北京论坛

 找回密码
 注册
查看: 259|回复: 0

详细讲解防火墙端口信息的含义

[复制链接]
发表于 2014-1-5 11:43:22 | 显示全部楼层 |阅读模式

      如今自个防火墙开端流行起来,许多网友一旦看到报警就认为遭到某种进犯,其实大多数状况并非如此。文中,咱们将具体介绍防火墙的记载(log)中能看到 啥,尤其是那些端口是啥意思。你将能运用这些信息作出判别:我是不是遭到了Hacker的进犯?他/她究竟想要干啥?这篇文章既适用于保护企业级防火墙的 安全教授,又适用于运用自个防火墙的家庭用户。
64位win7系统下载 www.pmppcc.net
一) 一般关于防火墙的TCP/UDP端口扫描有哪些?

本节叙述一般TCP/UDP端口扫描在防火墙记载中的信息。记住:并不存在所谓ICMP端口。若是你对解读ICMP数据感兴趣,请参看这篇文章的其它有些。

0 一般用于剖析操作体系。这一办法能够作业是由于在一些体系中“0”是无效端口,当你妄图运用一种一般的闭合端口衔接它时将发生不一样的成果。一种典型的扫描:运用IP地址为0.0.0.0,设置ACK位并在以太网层播送。

1 tcpmux 这显现有人在寻觅SGI Irix机器。

Irix是完成tcpmux的首要供给者,缺省状况下tcpmux在这种体系中被翻开。Iris机器在发布时富含几个缺省的无暗码的帐户,如lp,  guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,  和4Dgifts。许多办理员装置后忘掉删去这些帐户。因而Hacker们在Internet上查找tcpmux并运用这些帐户。

7 Echo 你能看到许多大家查找Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。

常见的一种DoS进犯是echo循环(echo-loop),进犯者假造从一个机器发送到另一个机器的UDP数据包,而两个机器别离以它们最快的办法回答这些数据包。

另一种东西是由DoubleClick在词端口树立的TCP衔接。有一种商品叫做“Resonate Global Dispatch”,它与DNS的这一端口衔接以断定近来的路由。

Harvest/squid cache将从3130端口发送UDP echo:“若是将cache的source_ping on选项翻开,它将对原始主机的UDP echo端口回答一个HIT reply。”这将会发生许多这类数据包。

11 sysstat 这是一种UNIX效劳,它会列出机器上一切正在运转的进程以及是啥发动了这些进程。这为入侵者供给了许多信息而要挟机器的安全,如露出已知某些缺点或帐户的程序。这与UNIX体系中“ps”指令的成果类似

再说一遍:ICMP没有端口,ICMP port 11一般是ICMP type=11

19 chargen  这是一种只是发送字符的效劳。UDP版别将会在收到UDP包后回答富含废物字符的包。TCP衔接时,会发送富含废物字符的数据流晓得衔接封闭。 Hacker运用IP诈骗能够建议DoS进犯。假造两个chargen效劳器之间的UDP包。由于效劳器妄图回答两个效劳器之间的无限的往复数据通讯一个 chargen和echo将致使效劳器过载。相同fraggle  DoS进犯向方针地址的这个端口播送一个带有假造受害者IP的数据包,受害者为了回答这些数据而过载。

21 ftp 最常见的进犯者用于寻觅翻开“anonymous”的ftp效劳器的办法。这些效劳器带有可读写的目录。Hackers或Crackers 运用这些效劳器作为传送warez (私有程序) 和pr0n(成心拼错词而防止被查找引擎分类)的节点。

22 ssh PcAnywhere树立TCP和这一端口的衔接能够是为了寻觅ssh。这一效劳有许多缺点。若是装备成特定的形式,许多运用RSAREF库的版别有不少缝隙。(主张在其它端口运转ssh)

还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被运用这一程序的人无意中扫描到。

UDP(而不是TCP)与另一端的5632端口相连意味着存在查找pcAnywhere的扫描。5632(十六进制的0x1600)位交流后是0x0016(使进制的22)。

23 Telnet 入侵者在查找远程登陆UNIX的效劳。大多数状况下入侵者扫描这一端口是为了找到机器运转的操作体系。此外运用其它技术,入侵者会找到暗码。

25 smtp  进犯者(spammer)寻觅SMTP效劳器是为了传递他们的spam。入侵者的帐户总被封闭,他们需求拨号衔接到高带宽的e-mail效劳器上,将简略 的信息传递到不一样的地址。SMTP效劳器(尤其是sendmail)是进入体系的最常用办法之一,由于它们有必要完好的露出于Internet且邮件的 路由是杂乱的(露出+杂乱=缺点)。

53 DNS Hacker或crackers能够是妄图进行区域传递(TCP),诈骗DNS(UDP)或躲藏其它通讯。因而防火墙常常过滤或记载53端口。

需求注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙一般答应这种通讯并假定这是对DNS查询的回复。Hacker常运用这种办法穿透防火墙。

67和68 Bootp和DHCP  UDP上的Bootp/DHCP:经过DSL和cable-modem的防火墙常会看见很多发送到播送地址255.255.255.255的数据。这些机 器在向DHCP效劳器恳求一个地址分配。Hacker常进入它们分配一个地址把自个作为部分路由器而建议很多的“中间人”(man-in-middle) 进犯。客户端向68端口(bootps)播送恳求装备,效劳器向67端口(bootpc)播送回答恳求。这种回答运用播送是由于客户端还不晓得能够发送的 IP地址。

69 TFTP(UDP) 许多效劳器与bootp一同供给这项效劳,便于从体系下载发动代码。可是它们常常过错装备而从体系供给任何文件,如暗码文件。它们也可用于向体系写入文件。

79 finger Hacker用于取得用户信息,查询操作体系,勘探已知的缓冲区溢出过错,回答从自个机器到其它机器finger扫描。

98 Linuxconf 这个程序供给linux  boxen的简略办理。经过结合的HTTP效劳器在98端口供给根据Web界面的效劳。它已发现有许多安全问题。一些版别setuid  root,信赖局域网,在/tmp下树立Internet可拜访的文件,LANG环境变量有缓冲区溢出。此外由于它包括结合的效劳器,许多典型的HTTP 缝隙能够存在(缓冲区溢出,历遍目录等)

109 POP2 并不象POP3那样有名,但许多效劳器一起供给两种效劳(向后兼容)。在同一个效劳器上POP3的缝隙在POP2中相同存在。

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|北京论坛  

Web Analytics

GMT+8, 2020-6-1 06:40 , Processed in 0.066728 second(s), 17 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表