詳細(xì)講解防火墻端口信息的含義(3)

　　六) 一旦我撥號連接到ISP后，我的個人防火墻就開始警告“有人在探測你的xxxx端口”。

　　這種情況很常見。因為你使用ISP分配給你的IP，而在你使用之前剛有人使用。你看到的是上一個用戶的“殘留”信息。

　　常見的例子是聊天程序。如果有人剛剛掛斷，剛才和他聊天的人會繼續(xù)試圖連接。一些程序的“超時”設(shè)置很長。如POWWOW或ICQ。

　　另一個例子是多人在線游戲。你會看到來自游戲提供者的通訊(如MPlayer)，或其它不知名的游戲服務(wù)器。這些游戲通常基于UDP，因此無法建立連接。但為了獲得較好的用戶感覺，他們對于建立連接又很“執(zhí)著”。以下是一些游戲的端口：

　　7777 Unreal, Klingon Honor Guard

　　7778 Unreal Tournament

　　22450 Sin

　　26000 Quake

　　26900 Hexen 2

　　26950 HexenWorld

　　27015 Half-life, Team Fortress Classic (TFC)

　　27500 QuakeWorld

　　27910 Quake 2

　　28000-28008 Starsiege TRIBES (TRIBES.DYNAMIX.COM)

　　28910 Heretic 2

　　另一個例子是多媒體廣播、電視。如RealAudio客戶端使用6970-7170端口接收聲音數(shù)據(jù)。

　　你需要連接的來源。例如ICQ服務(wù)器運行于4000端口，而其客戶端使用更高的隨機端口。這就是說你會看到你會看到從4000端口到高端隨機端口的UDP包。換句話說，不要試圖查詢端口列表找到隨機高端端口的用途。重要的是源端口。

　　Sub-7也有類似問題。它使用不同的TCP連接用于不同的服務(wù)。如果受害者的機器下線，它會持續(xù)企圖連接受害者機器的端口，特別是6776端口。

　　七) IRC服務(wù)器在探測我

　　最流行的聊天方式之一是IRC。這種聊天程序的特點之一就是它能告訴你正在和你聊天的人的IP地址。聊天室的問題之一是：人們匿名登陸并四處閑逛，往往會遭遇跑題的評論、粗魯?shù)脑捳Z、被打斷談話、被服務(wù)器“沖洗”或被其它客戶踢下線。

　　因此，服務(wù)器端和客戶端都默認(rèn)禁止在聊天室內(nèi)使用匿名登陸。特別需要指出的是，當(dāng)有人進入聊天室時要檢查他們是否通過其它代理服務(wù)器連接。最常見的這種掃描是SOCKS。假設(shè)你來的那個地方支持SOCKS，那么你完全有可能有一臺完全獨立的機器，你試圖通過明處的代理服務(wù)器隱藏你在暗處的真實身份。Undernet’s關(guān)于這方面的策略可參考https://help.undernet.org/proxyscan.

　　同時，crackers/hackers會試圖掃描人們的機器以確定他們是否運行某種服務(wù)，可被他們用做跳板。同樣，通過檢查SOCKS，攻擊者希望發(fā)現(xiàn)某人打開了SOCKS，例如一個家庭的個人用戶SOCKS實現(xiàn)共享連接，但將其錯誤設(shè)置成Internet上所有用戶都能通過它。

　　八) 什么是“重定向”端口

　　一種常見的技術(shù)是把一個端口重定向到另一個地址。例如默認(rèn)的HTTP端口是80，許多人把他們重定向到令一個端口，如8080( 這樣，如果你打算訪問本文就得寫成https://www.robertgraham.com:8080/pu...ewall-seen.html )

　　實現(xiàn)重定向是為了讓端口更難被發(fā)現(xiàn)，從而使Hacker更難攻擊。因為Hacker不能對一個公認(rèn)的默認(rèn)端口進行攻擊而必須進行端口掃描。

　　大多數(shù)端口重定向與原端口有相似之處。因此，大多數(shù)HTTP端口由80變化而來：81，88，8000，8080，8888。同樣POP的端口原來在110，也常被重定向到1100。

　　也有不少情況是選取統(tǒng)計上有特別意義的數(shù)，象1234，23456，34567等。許多人有其它原因選擇奇怪的數(shù)，42，69，666，31337。近來，越來越多的遠(yuǎn)程控制木馬( Remote Access Trojans, RATs )采用相同的默認(rèn)端口。如NetBus的默認(rèn)端口是12345。

　　Blake R. Swopes指出使用重定向端口還有一個原因,在UNIX系統(tǒng)上,如果你想偵聽1024以下的端口需要有root權(quán)限。如果你沒有root權(quán)限而又想開web服務(wù)，你就需要將其安裝在較高的端口。此外，一些ISP的防火墻將阻擋低端口的通訊，所以即使你擁有整個機器你還是得重定向端口。

　　九) 我還是不明白當(dāng)某人試圖連接我的某個端口時我該怎么辦?

　　你可以使用Netcat建立一個偵聽進程。例如，你想偵聽1234端口：

　　NETCAT -L -p 1234

　　許多協(xié)議都會在連接開始的部分發(fā)送數(shù)據(jù)。當(dāng)使用Netcat偵聽某個端口時，你能想辦法搞清在使用什么協(xié)議。如果幸運的話，你會發(fā)現(xiàn)是HTTP協(xié)議，它會為你提供大量信息，使你能追蹤發(fā)生的事情。

　　“-L”參數(shù)是讓Netcat持續(xù)偵聽。正常情況下Netcat會接受一個連接，復(fù)制其內(nèi)容，并退出。加上這個參數(shù)后，它可以持續(xù)運行以偵聽多個連接。

　　解讀防火墻記錄(我看到的是什么?)

　　二.ICMP

　　TCP和UDP能承載數(shù)據(jù)，但I(xiàn)CMP僅包含控制信息。因此，ICMP信息不能真正用于入侵其它機器。Hacker們使用ICMP通常是為了掃描網(wǎng)絡(luò)，發(fā)動DoS攻擊，重定向網(wǎng)絡(luò)交通。(這個觀點似乎不正確，可參考shotgun關(guān)于木馬的文章，譯者注)

　　一些防火墻將ICMP類型錯誤標(biāo)記成端口。要記住，ICMP不象TCP或UDP有端口，但它確實含有兩個域：類型(type)和代碼(code)。而且這些域的作用和端口也完全不同，也許正因為有兩個域所以防火墻常錯誤地標(biāo)記了他們。更多關(guān)于ICMP的知識請參考Infosec Lexicon entry on ICMP。

　　0 * Echo replay 對ping的回應(yīng)

　　3 * Destination Unreachable 主機或路由器返回信息：一些包未達(dá)到目的地

　　0 Net Unreachable 路由器配置錯誤或錯誤指定IP地址

　　1 Host Unreachable 最后一個路由器無法與主機進行ARP通訊

　　3 Port unreachable 服務(wù)器告訴客戶端其試圖聯(lián)系的端口無進程偵聽

　　4 Fragmentation Needed but DF set 重要：如果你在防火墻丟棄記錄中發(fā)現(xiàn)這些包，你應(yīng)該讓他們通過否則你的客戶端將發(fā)現(xiàn)TCP連接莫名其妙地斷開

　　4 * Source Quench Internet阻塞

　　5 * Redirect 有人試圖重定向你的默認(rèn)路由器，可能Hacker試圖對你進行“man-in-middle”的攻擊，使你的機器通過他們的機器路由。

　　8 * Echo Request ping

　　9 * Router Advertisement hacker可能通過重定向愕哪?系穆酚善鱀oS攻擊你的Win9x 或Solaris。鄰近的Hacker也可以發(fā)動man-in-the-middle的攻擊

　　11 * Time Exceeded In Transit 因為超時包未達(dá)到目的地

　　0 TTL Exceeded 因為路由循環(huán)或由于運行traceroute，路由器將包丟棄

　　1 Fragment reassembly timeout 由于沒有收到所有片斷，主機將包丟棄

　　12 * Parameter Problem 發(fā)生某種不正常，可能遇到了攻擊