扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
这通常是由于“诱骗”扫描(decoy scan),如nmap。其中一个是攻击者,其它的则不是。
利用防火墙规则和协议分析我们可以追踪他们是谁?例如:如果你ping每个系统,你就可以将获得的TTL与那些连接企图相匹配。这样你至少可以哪一个是“诱骗”扫描(TTL应该匹配,如果不匹配则他们是被“诱骗”了)。不过,新版本的扫描器会将攻击者自身的TTL随机化,这样要找出他们回更困难。
你可以进一步研究你的防火墙记录,寻找在同一子网中被诱骗的地址(人)。你通常会发现攻击者刚刚试图对你连接,而被诱骗者不会。
四) 特洛伊木马扫描是指什么?
特洛伊木马攻击的第一步是将木马程序放置到用户的机器上。常见的伎俩有:
1) 将木马程序发布在Newsgroup中,声称这是另一种程序。
2) 广泛散布带有附件的E-mail
3) 在其Web上发布木马程序
4) 通过即时通讯软件或聊天系统发布木马程序(ICQ, AIM, IRC等)
5) 伪造ISP(如AOL)的E-mail哄骗用户执行程序(如软件升级)
6) 通过“文件与打印共享”将程序Copy至启动组
下一步将寻找可被控制的机器。最大的问题是上述方法无法告知Hacker/Cracker受害者的机器在哪里。因此,Hacker/Cracker扫描Internet。
这就导致防火墙用户(包括个人防火墙用户)经常看到指向他们机器的扫描。他们的机器并没有被攻击,扫描本身不会造成什么危害。扫描本身不会造成机器被攻击。真正的管理员会忽略这种“攻击”
以下列出常见的这种扫描。为了发现你的机器是否被种了木马,运行“NETSTAT -an”。查看是否出现下列端口的连接。
Port Trojan
555 phAse zero
1243 Sub-7, SubSeven
3129 Masters Paradise
6670 DeepThroat
6711 Sub-7, SubSeven
6969 GateCrasher
21544 GirlFriend
12345 NetBus
23456 EvilFtp
27374 Sub-7, SubSeven
30100 NetSphere
31789 Hack‘a‘Tack
31337 BackOrifice, and many others
50505 Sockets de Troie
更多信息查看: http://www.commodon.com/threat/threat-ports.htm
1. 什么是SUBSEVEN(sub-7)
Sub-7是最有名的远程控制木马之一。现在它已经成为易于使用,功能强大的一种木马。原因是:
1〕 它易于获得,升级迅速。大部分木马产生后除了修改bug以外开发就停止了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。