锐客网

  1. 首页 > 睿知 > >

防火墙的端口防护是指 防火墙端口信息的含义( 六 )

生活经验经验知识


同时,crackers/hackers会试图扫描人们的机器以确定他们是否运行某种服务 , 可被他们用做跳板 。同样,通过检查SOCKS , 攻击者希望发现某人打开了SOCKS,例如一个家庭的个人用户SOCKS实现共享连接,但将其错误设置成Internet上所有用户都能通过它 。
八) 什么是“重定向”端口
一种常见的技术是把一个端口重定向到另一个地址 。例如默认的HTTP端口是80,许多人把他们重定向到令一个端口,如8080( 这样 , 如果你打算访问本文就得写成http:http://www.robertgraham.com:8080/pu...ewall-seen.html )
实现重定向是为了让端口更难被发现,从而使Hacker更难攻击 。因为Hacker不能对一个公认的默认端口进行攻击而必须进行端口扫描 。
大多数端口重定向与原端口有相似之处 。因此 , 大多数HTTP端口由80变化而来:81,88,8000 , 8080,8888 。同样POP的端口原来在110,也常被重定向到1100 。
也有不少情况是选取统计上有特别意义的数,象1234,23456 , 34567等 。许多人有其它原因选择奇怪的数,42,69 , 666,31337 。近来,越来越多的远程控制木马( Remote Access Trojans, RATs )采用相同的默认端口 。如NetBus的默认端口是12345 。
Blake R. Swopes指出使用重定向端口还有一个原因,在UNIX系统上,如果你想侦听1024以下的端口需要有root权限 。如果你没有root权限而又想开web服务,你就需要将其安装在较高的端口 。此外,一些ISP的防火墙将阻挡低端口的通讯 , 所以即使你拥有整个机器你还是得重定向端口 。
九) 我还是不明白当某人试图连接我的某个端口时我该怎么办?
你可以使用Netcat建立一个侦听进程 。例如,你想侦听1234端口:
NETCAT -L -p 1234
许多协议都会在连接开始的部分发送数据 。当使用Netcat侦听某个端口时,你能想办法搞清在使用什么协议 。如果幸运的话 , 你会发现是HTTP协议,它会为你提供大量信息,使你能追踪发生的事情 。
“-L”参数是让Netcat持续侦听 。正常情况下Netcat会接受一个连接 , 复制其内容,并退出 。加上这个参数后,它可以持续运行以侦听多个连接 。
解读防火墙记录(我看到的是什么?)
二.ICMP
TCP和UDP能承载数据,但ICMP仅包含控制信息 。因此 , ICMP信息不能真正用于入侵其它机器 。Hacker们使用ICMP通常是为了扫描网络,发动DoS攻击,重定向网络交通 。(这个观点似乎不正确,可参考shotgun关于木马的文章 , 译者注)
一些防火墙将ICMP类型错误标记成端口 。要记?。?ICMP不象TCP或UDP有端口,但它确实含有两个域:类型(type)和代码(code) 。而且这些域的作用和端口也完全不同,也许正因为有两个域所以防火墙常错误地标记了他们 。更多关于ICMP的知识请参考Infosec Lexicon entry on ICMP 。
0 * Echo replay 对ping的回应
3 * Destination Unreachable 主机或路由器返回信息:一些包未达到目的地
0 Net Unreachable 路由器配置错误或错误指定IP地址
1 Host Unreachable 最后一个路由器无法与主机进行ARP通讯
3 Port unreachable 服务器告诉客户端其试图联系的端口无进程侦听
4 Fragmentation Needed but DF set 重要:如果你在防火墙丢弃记录中发现这些包 , 你应该让他们通过否则你的客户端将发现TCP连接莫名其妙地断开
4 * Source Quench Internet阻塞
5 * Redirect 有人试图重定向你的默认路由器,可能Hacker试图对你进行“man-in-middle”的攻击,使你的机器通过他们的机器路由 。
8 * Echo Request ping
9 * Router Advertisement hacker可能通过重定向愕哪?系穆酚善?oS攻击你的Win9x 或Solaris 。邻近的Hacker也可以发动man-in-the-middle的攻击
11 * Time Exceeded In Transit 因为超时包未达到目的地
0 TTL Exceeded 因为路由循环或由于运行traceroute , 路由器将包丢弃
1 Fragment reassembly timeout 由于没有收到所有片断 , 主机将包丢弃
12 * Parameter Problem 发生某种不正常,可能遇到了攻击
(一) type=0 (Echo reply)
发送者在回应由你的地址发送的ping,可能是由于以下原因:
有人在ping那个人:防火墙后面有人在ping目标 。
自动ping:许多程序为了不同目的使用ping,如测试联系对象是否在线,或测定反应时间 。很可能是使用了类似VitalSign‘s Net.Medic的软件 , 它会发送不同大小的ping包以确定连接速度 。
诱骗ping扫描:有人在利用你的IP地址进行ping扫描,所以你看到回应 。

推荐阅读


上一篇:什么是控制端口 控制端口的作用

下一篇:windows操作系统查看占用端口的进程的命令