0 by Robert Graham
(mailto:firewall-seen1@robertgraham.com.
All rights reserved. This document may only be reproduced (whole orin part) for non-commercial purposes. All reproductions must
contain this copyright notice and must not be altered, except by
permission of the author.
1025 参见1024
1026 参见1024
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许
多人通过一个IP地址访 问Internet。理论上它应该只
允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于 防火墙外部的攻
击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。
WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时 常会看到这种情况。
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
1243 Sub-7木马(TCP)参见Subseven部分。
1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口(尤其是那些针对 Sun系统中Sendmail和RPC服务漏洞的脚本,如statd,ttdbserver和cmsd)。如果你刚刚安装 了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你 的机器上的这个端口,看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问 题。
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端 口,但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直 接测试这个端口。
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个 代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服 务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。
5632 pcAnywere你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开 pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是 proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地 址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当 控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告 这一端口的连接企图时,并不表示你已被Sub-7控制。)
6970 RealAudio
RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向 控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开 私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口 等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手 中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使 用“OPNG”作为其连接企图的前四个字节。
17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。
Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是 Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致 adbots持续在每秒内试图连接多次而导致连接过载:
机器会不断试图解析DNS名─ads.conducent.com,即IP地址
216.33.210.40 ;
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知 NetAnts使用的Radiate是否也有这种现象)
27374 Sub-7木马(TCP) 参见Subseven部分。
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/(译者:法语,译为 中坚力量,精华。即 3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的 是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少, 其它的 木马程序越来越流行。
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马 (RAT,Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端 口到317890端口的连 接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文 件传输连接)
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的 Solaris(2.5.1之前)将 portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许 Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找portmapper,就是为 了寻找可被攻击的已知的RPC服务。
33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则 可能是由于traceroute。参见traceroute分。
41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见
http://www.circlemud. 此新闻共有4页 1 2 3 4 |
