⑴(二) 下面的这些源端口意味着什么?
⑵端口~是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。参见.。
⑶常看见紧接着的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。
⑷Server Client 服务 描述
⑸-/tcp 动态 FTP -端口意味着sscan脚本
⑹/tcp 动态 FTP FTP服务器传送文件的端口
⑺ 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
⑻ 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。
⑼~/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
⑽以上 动态 FTP 以上的端口可能来自Linux NAT服务器(IP Masquerade)
⑾三) 我发现一种对于同一系列端口的扫描来自于Inter上变化很大的源地址
⑿这通常是由于“诱骗”扫描(decoy scan),如nmap。其中一个是攻击者,其它的则不是。
⒀利用防火墙规则和协议分析我们可以追踪他们是谁?例如:如果你ping每个系统,你就可以将获得的TTL与那些连接企图相匹配。这样你至少可以哪一个是“诱骗”扫描(TTL应该匹配,如果不匹配则他们是被“诱骗”了)。不过,新版本的扫描器会将攻击者自身的TTL随机化,这样要找出他们回更困难。
⒁你可以进一步研究你的防火墙记录,寻找在同一子网中被诱骗的地址(人)。你通常会发现攻击者刚刚试图对你连接,而被诱骗者不会。
⒂四) 特洛伊木马扫描是指什么?
⒃特洛伊木马攻击的第一步是将木马程序放置到用户的机器上。常见的伎俩有:
⒄) 将木马程序发布在Newsgroup中,声称这是另一种程序。
⒅) 广泛散布带有附件的E-mail
⒆) 在其Web上发布木马程序
⒇) 通过即时通讯软件或聊天系统发布木马程序(ICQ, AIM, IRC等)
⒈) 伪造ISP(如AOL)的E-mail哄骗用户执行程序(如软件升级)
⒉) 通过“文件与打印共享”将程序Copy至启动组
⒊下一步将寻找可被控制的机器。最大的问题是上述方法无法告知Hacker/Cracker受害者的机器在哪里。因此,Hacker/Cracker扫描Inter。
⒋这就导致防火墙用户(包括个人防火墙用户)经常看到指向他们机器的扫描。他们的机器并没有被攻击,扫描本身不会造成什么危害。扫描本身不会造成机器被攻击。真正的管理员会忽略这种“攻击”
⒌以下列出常见的这种扫描。为了发现你的机器是否被种了木马,运行“STAT -an”。查看是否出现下列端口的连接。
⒍Port Trojan
⒎ phAse zero
⒏ Sub-, SubSeven
⒐ Masters Paradise
⒑ DeepThroat
⒒ Sub-, SubSeven
⒓ GateCrasher
⒔ GirlFriend
⒕ EvilFtp
⒖ Sub-, SubSeven
⒗ Sphere
⒘ Hack‘a‘Tack
⒙ BackOrifice, and many others
⒚ Sockets de Troie
⒛. 什么是SUBSEVEN(sub-)
①Sub-是最有名的远程控制木马之一。现在它已经成为易于使用,功能强大的一种木马。原因是:
②〕 它易于获得,升级迅速。大部分木马产生后除了修改bug以外开发就停止了。
③〕 这一程序不但包含一个扫描器,还能利用被控制的机器也进行扫描。
④〕 制作者曾比赛利用sub-控制网站。
⑤〕 支持“端口重定向”,因此任何攻击者都可以利用它控制受害者的机器。
⑥〕 具有大量与ICQ, AOL IM, MSN Messager和Yahoo messenger相关的功能,包括密码嗅探,发送消息等。
⑦〕 具有大量与UI相关的功能,如颠倒屏幕,用受害者扩音器发声,偷窥受害者屏幕。
⑧简而言之它不仅是一种hacking工具而且是一种玩具,恐吓受害者的玩具。
⑨Sub-是由自称“Mobman”的人写的
⑩Sub-可能使用以下端口:
Ⅰ 老版本缺省连接端口
Ⅱ 我并不清楚这个端口是干什么用的,但是它被作为一些版本的后面 (即不用密码也能连接)。
Ⅲ "matrix" chat程序
Ⅳ五) 来自低端口的DNS包
ⅤQ:我看见许多来自端口以下的DNS请求。这些服务是“保留”的吗?他们不是应该使用-端口吗?
ⅥA:他们来自于NAT防火墙后面的机器。NAT并不需要保留端口。(Ryan Russell )
ⅦQ:我的防火墙丢弃了许多源端口低于的包,所以DNS查询失败。
ⅧA:不要用这种方式过滤。许多防火墙有类似的规则,但这是一种误导。因为Hacker/Cracker能伪造任何端口。
ⅨQ:这些NAT防火墙工作不正常吗?
ⅩA:理论上不是,但实际上会导致失败。正确的方式是在任何情况下完全保证DNS通讯。(尤其在那些“代理”DNS并强迫DNS通过端口的情况下)
㈠Q:我以为DNS查询应该使用端口以上的随机端口?
㈡A:实际上,一般DNS客户将使用非保留端口。但是有许多程序使用端口。在任何情况下,NAT都会完全不同,因为它改变了所有SOCKET(IP+port bo)