解释防火墙的记录：Log与端口(10)

　　2〕 这一程序不但包含一个扫描器，还能利用被控制的机器也进行扫描。

　　3〕 制作者曾比赛利用sub-7控制网站。

　　4〕 支持“端口重定向”，因此任何攻击者都可以利用它控制受害者的机器。

　　5〕 具有大量与ICQ, AOL IM, MSN Messager和Yahoo messenger相关的功能，包括密码嗅探，发送消息等。

　　6〕 具有大量与UI相关的功能，如颠倒屏幕，用受害者扩音器发声，偷窥受害者屏幕。

　　简而言之它不仅是一种hacking工具而且是一种玩具，恐吓受害者的玩具。

　　Sub-7是由自称“Mobman”的人写的，他的站点是http://subseven.slak.org/。

　　Sub-7可能使用以下端口：

　　1243 老版本缺省连接端口

　　2772 抓屏端口

　　2773 键盘记录端口

　　6711 ???

　　6776 我并不清楚这个端口是干什么用的，但是它被作为一些版本的后面 (即不用密码也能连接)。

　　7215 "matrix" chat程序

　　27374 v2.0缺省端口

　　54283 Spy端口

　　五） 来自低端口的DNS包

　　Q：我看见许多来自1024端口以下的DNS请求。这些服务是“保留”的吗？他们不是应该使用1024-65535端口吗？

　　A：他们来自于NAT防火墙后面的机器。NAT并不需要保留端口。（Ryan Russell http://www.sybase.com /）

　　Q：我的防火墙丢弃了许多源端口低于1024的包，所以DNS查询失败。

　　A：不要用这种方式过滤。许多防火墙有类似的规则，但这是一种误导。因为Hacker/Cracker能伪造任何端口。

　　Q：这些NAT防火墙工作不正常吗？

　　A：理论上不是，但实际上会导致失败。正确的方式是在任何情况下完全保证DNS通讯。（尤其在那些“代理”DNS并强迫DNS通过53端口的情况下）

　　Q：我以为DNS查询应该使用1024端口以上的随机端口？

　　A：实际上，一般DNS客户将使用非保留端口。但是有许多程序使用53端口。在任何情况下，NAT都会完全不同，因为它改变了所有SOCKET（IP＋port combo）

　　六） 一旦我拨号连接到ISP后，我的个人防火墙就开始警告“有人在探测你的xxxx端口”。

　　这种情况很常见。因为你使用ISP分配给你的IP，而在你使用之前刚有人使用。你看到的是上一个用户的“残留”信息。

　　常见的例子是聊天程序。如果有人刚刚挂断，刚才和他聊天的人会继续试图连接。一些程序的“超时”设置很长。如POWWOW或ICQ。