科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道解释防火墙的记录:Log与端口(1)

解释防火墙的记录:Log与端口(1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文将向你解释你在防火墙的记录中看到了什么?那些端口是什么意思?你将能利用这些信息做出判断:我是否受到了Hacker的攻击?本文既适用于维护企业级防火墙的安全专家,又适用于使用个人防火墙的家庭用户。

来源:51CTO.com 2007年10月29日

关键字: 服务 端口 记录 防火墙

  • 评论
  • 分享微博
  • 分享邮件

  本文将向你解释你在防火墙的记录(Log)中看到了什么?尤其是那些端口是什么意思?你将能利用这些信息做出判断:我是否受到了Hacker的攻击?他/她到底想要干什么?本文既适用于维护企业级防火墙的安全专家,又适用于使用个人防火墙的家庭用户。

  *译者:现在个人防火墙开始流行起来,很多网友一旦看到报警就以为受到某种攻击,其实大多数情况并非如此。

  一、目标端口ZZZZ是什么意思

  所有穿过防火墙的通讯都是连接的一个部分。一个连接包含一对相互“交谈”的IP地址以及一对与IP地址对应的端口。目标端口通常意味着正被连接的某种服务。当防火墙阻挡(block)某个连接时,它会将目标端口“记录在案”(logfile)。这节将描述这些端口的意义。

  端口可分为3大类:

  1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。

  2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。

  3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。

  从哪里获得更全面的端口信息:

  1.ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers

  "Assigned Numbers" RFC,端口分配的官方来源。

  2.http://advice.networkice.com/advice/Exploits/Ports/

  端口数据库,包含许多系统弱点的端口。

   3./etc/services

  UNIX 系统中文件/etc/services包含通常使用的UNIX端口分配列表。Windows NT中该文件位于%systemroot%/system32/drivers/etc/services。

  4.http://www.con.wesleyan.edu/~triemer/network/docservs.html

  特定的协议与端口。

  5.http://www.chebucto.ns.ca/~rakerman/trojan-port-table.html

  描述了许多端口。

  6.http://www.tlsecurity.com/trojanh.htm

  TLSecurity的Trojan端口列表。与其它人的收藏不同,作者检验了其中的所有端口。

  7.http://www.simovits.com/nyheter9902.html

  Trojan Horse 探测。

  本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣,请参看本文的其它部分。

  0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章