詳細(xì)講解防火墻端口信息的含義(2)

　　(二) 下面的這些源端口意味著什么?

　　端口1~1024是保留端口，所以它們幾乎不會是源端口。但有一些例外，例如來自NAT機(jī)器的連接。參見1.9。

　　�？匆娋o接著1024的端口，它們是系統(tǒng)分配給那些并不在乎使用哪個端口連接的應(yīng)用程序的“動態(tài)端口”。

　　Server Client 服務(wù) 描述

　　1-5/tcp 動態(tài) FTP 1-5端口意味著sscan腳本

　　20/tcp 動態(tài) FTP FTP服務(wù)器傳送文件的端口

　　53 動態(tài) FTP DNS從這個端口發(fā)送UDP回應(yīng)。你也可能看見源/目標(biāo)端口的TCP連接。

　　123 動態(tài) S/NTP 簡單網(wǎng)絡(luò)時間協(xié)議(S/NTP)服務(wù)器運行的端口。它們也會發(fā)送到這個端口的廣播。

　　27910~27961/udp 動態(tài) Quake Quake或Quake引擎驅(qū)動的游戲在這一端口運行其服務(wù)器。因此來自這一端口范圍的UDP包或發(fā)送至這一端口范圍的UDP包通常是游戲。

　　61000以上 動態(tài) FTP 61000以上的端口可能來自Linux NAT服務(wù)器(IP Masquerade)

　　三) 我發(fā)現(xiàn)一種對于同一系列端口的掃描來自于Internet上變化很大的源地址

　　這通常是由于“誘騙”掃描(decoy scan)，如nmap。其中一個是攻擊者，其它的則不是。

　　利用防火墻規(guī)則和協(xié)議分析我們可以追蹤他們是誰?例如：如果你ping每個系統(tǒng)，你就可以將獲得的TTL與那些連接企圖相匹配。這樣你至少可以哪一個是“誘騙”掃描(TTL應(yīng)該匹配，如果不匹配則他們是被“誘騙”了)。不過，新版本的掃描器會將攻擊者自身的TTL隨機(jī)化，這樣要找出他們回更困難。

　　你可以進(jìn)一步研究你的防火墻記錄，尋找在同一子網(wǎng)中被誘騙的地址(人)。你通常會發(fā)現(xiàn)攻擊者剛剛試圖對你連接，而被誘騙者不會。

　　四) 特洛伊木馬掃描是指什么?

　　特洛伊木馬攻擊的第一步是將木馬程序放置到用戶的機(jī)器上。常見的伎倆有：

　　1) 將木馬程序發(fā)布在Newsgroup中，聲稱這是另一種程序。

　　2) 廣泛散布帶有附件的E-mail

　　3) 在其Web上發(fā)布木馬程序

　　4) 通過即時通訊軟件或聊天系統(tǒng)發(fā)布木馬程序(ICQ, AIM, IRC等)

　　5) 偽造ISP(如AOL)的E-mail哄騙用戶執(zhí)行程序(如軟件升級)

　　6) 通過“文件與打印共享”將程序Copy至啟動組

　　下一步將尋找可被控制的機(jī)器。最大的問題是上述方法無法告知Hacker/Cracker受害者的機(jī)器在哪里。因此，Hacker/Cracker掃描Internet。

　　這就導(dǎo)致防火墻用戶(包括個人防火墻用戶)經(jīng)�？吹街赶蛩麄儥C(jī)器的掃描。他們的機(jī)器并沒有被攻擊，掃描本身不會造成什么危害。掃描本身不會造成機(jī)器被攻擊。真正的管理員會忽略這種“攻擊”

　　以下列出常見的這種掃描。為了發(fā)現(xiàn)你的機(jī)器是否被種了木馬，運行“NETSTAT -an”。查看是否出現(xiàn)下列端口的連接。

　　Port Trojan

　　555 phAse zero

　　1243 Sub-7, SubSeven

　　3129 Masters Paradise

　　6670 DeepThroat

　　6711 Sub-7, SubSeven

　　6969 GateCrasher

　　21544 GirlFriend

　　12345 NetBus

　　23456 EvilFtp

　　27374 Sub-7, SubSeven

　　30100 NetSphere

　　31789 Hack‘a‘Tack

　　31337 BackOrifice, and many others

　　50505 Sockets de Troie

　　1. 什么是SUBSEVEN(sub-7)

　　Sub-7是最有名的遠(yuǎn)程控制木馬之一�，F(xiàn)在它已經(jīng)成為易于使用，功能強大的一種木馬。原因是：

　　1〕 它易于獲得，升級迅速。大部分木馬產(chǎn)生后除了修改bug以外開發(fā)就停止了。

　　2〕 這一程序不但包含一個掃描器，還能利用被控制的機(jī)器也進(jìn)行掃描。

　　3〕 制作者曾比賽利用sub-7控制網(wǎng)站。

　　4〕 支持“端口重定向”，因此任何攻擊者都可以利用它控制受害者的機(jī)器。

　　5〕 具有大量與ICQ, AOL IM, MSN Messager和Yahoo messenger相關(guān)的功能，包括密碼嗅探，發(fā)送消息等。

　　6〕 具有大量與UI相關(guān)的功能，如顛倒屏幕，用受害者擴(kuò)音器發(fā)聲，偷窺受害者屏幕。

　　簡而言之它不僅是一種hacking工具而且是一種玩具，恐嚇受害者的玩具。

　　Sub-7是由自稱“Mobman”的人寫的

　　Sub-7可能使用以下端口：

　　1243 老版本缺省連接端口

　　2772 抓屏端口

　　2773 鍵盤記錄端口

　　6711 ???

　　6776 我并不清楚這個端口是干什么用的，但是它被作為一些版本的后面 (即不用密碼也能連接)。

　　7215 "matrix" chat程序

　　27374 v2.0缺省端口

　　54283 Spy端口

　　五) 來自低端口的DNS包

　　Q：我看見許多來自1024端口以下的DNS請求。這些服務(wù)是“保留”的嗎?他們不是應(yīng)該使用1024-65535端口嗎?

　　A：他們來自于NAT防火墻后面的機(jī)器。NAT并不需要保留端口。(Ryan Russell https://www.sybase.com/)

　　Q：我的防火墻丟棄了許多源端口低于1024的包，所以DNS查詢失敗。

　　A：不要用這種方式過濾。許多防火墻有類似的規(guī)則，但這是一種誤導(dǎo)。因為Hacker/Cracker能偽造任何端口。

　　Q：這些NAT防火墻工作不正常嗎?

　　A：理論上不是，但實際上會導(dǎo)致失敗。正確的方式是在任何情況下完全保證DNS通訊。(尤其在那些“代理”DNS并強迫DNS通過53端口的情況下)

　　Q：我以為DNS查詢應(yīng)該使用1024端口以上的隨機(jī)端口?

　　A：實際上，一般DNS客戶將使用非保留端口。但是有許多程序使用53端口。在任何情況下，NAT都會完全不同，因為它改變了所有SOCKET(IP+port combo)