科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道解释防火墙的记录:Log与端口(8)

解释防火墙的记录:Log与端口(8)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文将向你解释你在防火墙的记录中看到了什么?那些端口是什么意思?你将能利用这些信息做出判断:我是否受到了Hacker的攻击?本文既适用于维护企业级防火墙的安全专家,又适用于使用个人防火墙的家庭用户。

作者:51CTO.COM 2007年10月29日

关键字: 防火墙 端口 服务 记录

  • 评论
  • 分享微博
  • 分享邮件

  27374 Sub-7木马(TCP)

  参见Subseven部分。

  30100 NetSphere木马(TCP)

  通常这一端口的扫描是为了寻找中了NetSphere木马。

  31337 Back Orifice “elite”

  Hacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的木马程序越来越流行。

  31789 Hack-a-tack

  这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT, Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接)

  32770~32900 RPC服务

  Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。

  33434~33600 traceroute

  如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute部分。

  41508 Inoculan

  早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见 http://www.circlemud.org/~jelson/software/udpsend.html 和 http://www.ccd.bnl.gov/nss/tips/inoculan/index.html

  阅读提示:本文将向你解释你在防火墙的记录(Log)中看到了什么?尤其是那些端口是什么意思?你将能利用这些信息做出判断:我是否受到了Hacker的攻击?他/她到底想要干什么?本文既适用于维护企业级防火墙的安全专家,又适用于使用个人防火墙的家庭用户。

  二) 下面的这些源端口意味着什么?

  端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。参见1.9。

  常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。

  Server Client 服务 描述

  1-5/tcp 动态 FTP 1-5端口意味着sscan脚本

  20/tcp 动态 FTP FTP服务器传送文件的端口

  53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。

  123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。

  27910~27961/udp

  动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章