防火墙的端口防护是指 防火墙端口信息的含义( 五 )


Port Trojan
555 phAse zero
1243 Sub-7, SubSeven
3129 Masters Paradise
6670 DeepThroat
6711 Sub-7, SubSeven
6969 GateCrasher
21544 GirlFriend
12345 NetBus
23456 EvilFtp
27374 Sub-7, SubSeven
30100 NetSphere
31789 Hack‘a‘Tack
31337 BackOrifice, and many others
50505 Sockets de Troie
1. 什么是SUBSEVEN(sub-7)
Sub-7是最有名的远程控制木马之一 。现在它已经成为易于使用 , 功能强大的一种木马 。原因是:
1〕 它易于获得,升级迅速 。大部分木马产生后除了修改bug以外开发就停止了 。
2〕 这一程序不但包含一个扫描器,还能利用被控制的机器也进行扫描 。
3〕 制作者曾比赛利用sub-7控制网站 。
4〕 支持“端口重定向” , 因此任何攻击者都可以利用它控制受害者的机器 。
5〕 具有大量与ICQ, AOL IM, MSN Messager和Yahoo messenger相关的功能,包括密码嗅探,发送消息等 。
6〕 具有大量与UI相关的功能,如颠倒屏幕,用受害者扩音器发声 , 偷窥受害者屏幕 。
简而言之它不仅是一种hacking工具而且是一种玩具,恐吓受害者的玩具 。
Sub-7是由自称“Mobman”的人写的
Sub-7可能使用以下端口:
1243 老版本缺省连接端口
2772 抓屏端口
2773 键盘记录端口
6711 ???
6776 我并不清楚这个端口是干什么用的,但是它被作为一些版本的后面 (即不用密码也能连接) 。
7215 "matrix" chat程序
27374 v2.0缺省端口
54283 Spy端口
五) 来自低端口的DNS包
Q:我看见许多来自1024端口以下的DNS请求 。这些服务是“保留”的吗?他们不是应该使用1024-65535端口吗?
A:他们来自于NAT防火墙后面的机器 。NAT并不需要保留端口 。(Ryan Russell http:http://www.sybase.com/)
Q:我的防火墙丢弃了许多源端口低于1024的包,所以DNS查询失败 。
A:不要用这种方式过滤 。许多防火墙有类似的规则,但这是一种误导 。因为Hacker/Cracker能伪造任何端口 。
Q:这些NAT防火墙工作不正常吗?
A:理论上不是,但实际上会导致失败 。正确的方式是在任何情况下完全保证DNS通讯 。(尤其在那些“代理”DNS并强迫DNS通过53端口的情况下)
Q:我以为DNS查询应该使用1024端口以上的随机端口?
A:实际上,一般DNS客户将使用非保留端口 。但是有许多程序使用53端口 。在任何情况下,NAT都会完全不同,因为它改变了所有SOCKET(IP+port combo)
六) 一旦我拨号连接到ISP后,我的个人防火墙就开始警告“有人在探测你的xxxx端口” 。
这种情况很常见 。因为你使用ISP分配给你的IP,而在你使用之前刚有人使用 。你看到的是上一个用户的“残留”信息 。
常见的例子是聊天程序 。如果有人刚刚挂断,刚才和他聊天的人会继续试图连接 。一些程序的“超时”设置很长 。如POWWOW或ICQ 。
另一个例子是多人在线游戏 。你会看到来自游戏提供者的通讯(如MPlayer) , 或其它不知名的游戏服务器 。这些游戏通常基于UDP,因此无法建立连接 。但为了获得较好的用户感觉,他们对于建立连接又很“执着” 。以下是一些游戏的端口:
7777 Unreal, Klingon Honor Guard
7778 Unreal Tournament
22450 Sin
26000 Quake
26900 Hexen 2
26950 HexenWorld
27015 Half-life, Team Fortress Classic (TFC)
27500 QuakeWorld
27910 Quake 2
28000-28008 Starsiege TRIBES (TRIBES.DYNAMIX.COM)
28910 Heretic 2
另一个例子是多媒体广播、电视 。如RealAudio客户端使用6970-7170端口接收声音数据 。
你需要连接的来源 。例如ICQ服务器运行于4000端口 , 而其客户端使用更高的随机端口 。这就是说你会看到你会看到从4000端口到高端随机端口的UDP包 。换句话说,不要试图查询端口列表找到随机高端端口的用途 。重要的是源端口 。
Sub-7也有类似问题 。它使用不同的TCP连接用于不同的服务 。如果受害者的机器下线 , 它会持续企图连接受害者机器的端口,特别是6776端口 。
七) IRC服务器在探测我
最流行的聊天方式之一是IRC 。这种聊天程序的特点之一就是它能告诉你正在和你聊天的人的IP地址 。聊天室的问题之一是:人们匿名登陆并四处闲逛,往往会遭遇跑题的评论、粗鲁的话语、被打断谈话、被服务器“冲洗”或被其它客户踢下线 。
因此,服务器端和客户端都默认禁止在聊天室内使用匿名登陆 。特别需要指出的是,当有人进入聊天室时要检查他们是否通过其它代理服务器连接 。最常见的这种扫描是SOCKS 。假设你来的那个地方支持SOCKS,那么你完全有可能有一台完全独立的机器 , 你试图通过明处的代理服务器隐藏你在暗处的真实身份 。Undernet’s关于这方面的策略可参考http:http://help.undernet.org/proxyscan.

推荐阅读