解释防火墙的记录：Log与端口(9)

　　这通常是由于“诱骗”扫描（decoy scan），如nmap。其中一个是攻击者，其它的则不是。

　　利用防火墙规则和协议分析我们可以追踪他们是谁？例如：如果你ping每个系统，你就可以将获得的TTL与那些连接企图相匹配。这样你至少可以哪一个是“诱骗”扫描（TTL应该匹配，如果不匹配则他们是被“诱骗”了）。不过，新版本的扫描器会将攻击者自身的TTL随机化，这样要找出他们回更困难。

　　你可以进一步研究你的防火墙记录，寻找在同一子网中被诱骗的地址（人）。你通常会发现攻击者刚刚试图对你连接，而被诱骗者不会。

　　四） 特洛伊木马扫描是指什么？

　　特洛伊木马攻击的第一步是将木马程序放置到用户的机器上。常见的伎俩有：

　　1) 将木马程序发布在Newsgroup中，声称这是另一种程序。

　　2) 广泛散布带有附件的E-mail

　　3) 在其Web上发布木马程序

　　4) 通过即时通讯软件或聊天系统发布木马程序（ICQ, AIM, IRC等）

　　5) 伪造ISP（如AOL）的E-mail哄骗用户执行程序（如软件升级）

　　6) 通过“文件与打印共享”将程序Copy至启动组

　　下一步将寻找可被控制的机器。最大的问题是上述方法无法告知Hacker/Cracker受害者的机器在哪里。因此，Hacker/Cracker扫描Internet。

　　这就导致防火墙用户(包括个人防火墙用户)经常看到指向他们机器的扫描。他们的机器并没有被攻击，扫描本身不会造成什么危害。扫描本身不会造成机器被攻击。真正的管理员会忽略这种“攻击”

　　以下列出常见的这种扫描。为了发现你的机器是否被种了木马，运行“NETSTAT －an”。查看是否出现下列端口的连接。

　　Port Trojan

　　555 phAse zero

　　1243 Sub-7, SubSeven

　　3129 Masters Paradise

　　6670 DeepThroat

　　6711 Sub-7, SubSeven

　　6969 GateCrasher

　　21544 GirlFriend

　　12345 NetBus

　　23456 EvilFtp

　　27374 Sub-7, SubSeven

　　30100 NetSphere

　　31789 Hack‘a‘Tack

　　31337 BackOrifice, and many others

　　50505 Sockets de Troie

　　更多信息查看: http://www.commodon.com/threat/threat-ports.htm

　　1. 什么是SUBSEVEN（sub-7）

　　Sub-7是最有名的远程控制木马之一。现在它已经成为易于使用，功能强大的一种木马。原因是：

　　1〕 它易于获得，升级迅速。大部分木马产生后除了修改bug以外开发就停止了。