如何看懂防火墙记录

来源： 作者： 时间：2007-03-20 11:20:34 点击：

　　6670 DeepThroat

　　6711 Sub-7, SubSeven

　　6969 GateCrasher

　　21544 GirlFriend

　　12345 NetBus

　　23456 EvilFtp 　

　　27374 Sub-7, Seven

　　30100 NetSphere

　　31789 Hack‘a‘Tack

　　31337 BackOrifice, and many others

　　50505 Sockets de Troie

　　更多信息查看:http://www.commodon.com/threat/threat-ports.htm

　　什么是SUBSEVEN（sub-7）

　　Sub-7是最有名的远程控制木马之一。现在它已经成为易于使用，功能强大的一种木马。原因是：

　　1〕它易于获得，升级迅速。大部分木马产生后除了修改bug以外开发就停止了。

　　2〕这一程序不但包含一个扫描器，还能利用被控制的机器也进行扫描。

　　3〕制作者曾比赛利用sub-7控制网站。

　　4〕支持“端口重定向”，因此任何攻击者都可以利用它控制受害者的机器。

　　5〕具有大量与ICQ, AOL IM, MSN Messager和Yahoo messenger相关的功能，包括密码嗅探，发送消息等。

　　6〕具有大量与UI相关的功能，如颠倒屏幕，用受害者扩音器发声，偷窥受害者屏幕。

　　简而言之它不仅是一种hacking工具而且是一种玩具，恐吓受害者的玩具。

　　Sub-7是由自称“Mobman”的人写的，他的站点是http://subseven.slak.org/。

　　Sub-7可能使用以下端口：

　　1243 老版本缺省连接端口

　　2772 抓屏端口

　　2773 键盘记录端口

　　6711 ???

　　6776 我并不清楚这个端口是干什么用的，但是它被作为一些版本的后面 (即不用密码也能连接)。

　　7215 "matrix" chat程序

　　27374 v2.0缺省端口

　　54283 Spy端口

　　五、来自低端口的DNS包

　　Q：我看见许多来自1024端口以下的DNS请求。这些服务是“保留”的吗？他们不是应该使用1024-65535端口吗？

　　A：他们来自于NAT防火墙后面的机器。NAT并不需要保留端口。（Ryan Russell >http://www.sybase.com/）

　　Q：我的防火墙丢弃了许多源端口低于1024的包，所以DNS查询失败。

　　A：不要用这种方式过滤。许多防火墙有类似的规则，但这是一种误导。因为Hacker/Cracker能伪造任何端口。

　　Q：这些NAT防火墙工作不正常吗？

　　A：理论上不是，但实际上会导致失败。正确的方式是在任何情况下完全保证DNS通讯。（尤其在那些“代理”DNS并强迫DNS通过53端口的情况下）

　　Q：我以为DNS查询应该使用1024端口以上的随机端口？

　　A：实际上，一般DNS客户将使用非保留端口。但是有许多程序使用53端口。在任何情况下，NAT都会完全不同，因为它改变了所有SOCKET（IP＋port combo）

　　六、一旦我拨号连接到ISP后，我的个人防火墙就开始警告“有人在探测你的xxxx端口”。

　　这种情况很常见。因为你使用ISP分配给你的IP，而在你使用之前刚有人使用。你看到的是上一个用户的“残留”信息。

　　常见的例子是聊天程序。如果有人刚刚挂断，刚才和他聊天的人会继续试图连接。一些程序的“超时”设置很长。如POWWOW或ICQ。

　　另一个例子是多人在线游戏。你会看到来自游戏提供者的通讯（如MPlayer），或其它不知名的游戏服务器。这些游戏通常基于UDP，因此无法建立连接。但为了获得较好的用户感觉，他们对于建立连接又很“执着”。以下是一些游戏的端口：

　　7777 Unreal, Klingon Honor Guard

　　7778 Unreal Tournament

　　22450 Sin

　　26000 Quake

　　26900 Hexen 2

　　26950 HexenWorld
　　
　　27015 Half-life, Team Fortress Classic (TFC)

　　27500 QuakeWorld

　　27910 Quake 2

　　28000-28008 Starsiege TRIBES (TRIBES.DYNAMIX.COM)

　　28910 Heretic 2

　　另一个例子是多媒体广播、电视。如RealAudio客户端使用6970－7170端口接收声音数据。

　　你需要连接的来源。例如ICQ服务器运行于4000端口，而其客户端使用更高的随机端口。这就是说你会看到你会看到从4000端口到高端随机端口的UDP包。换句话说，不要试图查询端口列表找到随机高端端口的用途。重要的是源端口。

　　Sub-7也有类似问题。它使用不同的TCP连接用于不同的服务。如果受害者的机器下线，它会持续企图连接受害者机器的端口，特别是6776端口。

　　七、IRC服务器在探测我

　　最流行的聊天方式之一是IRC。这种聊天程序的特点之一就是它能告诉你正在和你聊天的人的IP地址。聊天室的问题之一是：人们匿名登陆并四处闲逛，往往会遭遇跑题的评论、粗鲁的话语、被打断谈话、被服务器“冲洗”或被其它客户踢下线。

　　因此，服务器端和客户端都默认禁止在聊天室内使用匿名登陆。特别需要指出的是，当有人进入聊天室时要检查他们是否通过其它代理服务器连接。最常见的这种扫描是SOCKS。假设你来的那个地方支持SOCKS，那么你完全有可能有一台完全独立的机器，你试图通过明处的代理服务器隐藏你在暗处的真实身份。Undernet’s关于这方面的策略可参考http://help.undernet.org/proxyscan.

　　同时，crackers/hackers会试图扫描人们的机器以确定他们是否运行某种服务，可被他们用做跳板。同样，通过检查SOCKS，攻击者希望发现某人打开了SOCKS，例如一个家庭的个人用户SOCKS实现共享连接，但将其错误设置成Internet上所有用户都能通过它。

　　八、什么是“重定向”端口
　　
　　一种常见的技术是把一个端口重定向到另一个地址。例如默认的HTTP端口是80，许多人把他们重定向到令一个端口，如8080( 这样，如果你打算访问本文就得写成http://www.robertgraham.com:8080/pubs/firewall-seen.html )

　　实现重定向是为了让端口更难被发现，从而使Hacker更难攻击。因为Hacker不能对一个公认的默认端口进行攻击而必须进行端口扫描。

　　大多数端口重定向与原端口有相似之处。因此，大多数HTTP端口由80变化而来：81，88，8000，8080，8888。同样POP的端口原来在110，也常被重定向到1100。

　　也有不少情况是选取统计上有特别意义的数，象1234，23456，34567等。许多人有其它原因选择奇怪的数，42，69，666，31337。近来，越来越多的远程控制木马( Remote Access Trojans, RATs )采用相同的默认端口。如NetBus的默认端口是12345。

　　Blake R. Swopes指出使用重定向端口还有一个原因,在UNIX系统上,如果你想侦听1024以下的端口需要有root权限。如果你没有root权限而又想开web服务，你就需要将其安装在较高的端口。此外，一些ISP的防火墙将阻挡低端口的通讯，所以即使你拥有整个机器你还是得重定向端口。

[评论] [打印] [关闭]

顶一下

上一篇：防火墙的选择（ZA和天网的比较）
下一篇：防火墙软件安全级别的建议

最新评论共有位网友发表了评论

查看所有评论

栏目列表

栏目最新

热点关注