解释防火墙的记录：Log与端口(11)

  　另一个例子是多人在线游戏。你会看到来自游戏提供者的通讯（如MPlayer），或其它不知名的游戏服务器。这些游戏通常基于UDP，因此无法建立连接。但为了获得较好的用户感觉，他们对于建立连接又很“执着”。以下是一些游戏的端口：

　　7777 Unreal, Klingon Honor Guard

　　7778 Unreal Tournament

　　22450 Sin

　　26000 Quake

　　26900 Hexen 2

　　26950 HexenWorld

　　27015 Half-life, Team Fortress Classic (TFC)

　　27500 QuakeWorld

　　27910 Quake 2

　　28000-28008 Starsiege TRIBES (TRIBES.DYNAMIX.COM)

　　28910 Heretic 2

　　另一个例子是多媒体广播、电视。如RealAudio客户端使用6970－7170端口接收声音数据。

　　你需要连接的来源。例如ICQ服务器运行于4000端口，而其客户端使用更高的随机端口。这就是说你会看到你会看到从4000端口到高端随机端口的UDP包。换句话说，不要试图查询端口列表找到随机高端端口的用途。重要的是源端口。

　　Sub-7也有类似问题。它使用不同的TCP连接用于不同的服务。如果受害者的机器下线，它会持续企图连接受害者机器的端口，特别是6776端口。

　　解读防火墙记录（我看到的是什么？）(四)

　　来源：http://www.robertgraham.com/

　　翻译整理：Tony Shen

　　Version 0.4.1, June 20, 2000

　　http://www.robertgraham.com/pubs/firewall-seen.html

　　Copyright 1998-2000 by Robert Graham (mailto:firewall-seen1@robertgraham.com.

　　All rights reserved. This document may only be reproduced (whole or in part) for non-commercial purposes. All reproductions must contain this copyright notice and must not be altered, except by permission of the author.

　　(接上篇)

　　七） IRC服务器在探测我

　　最流行的聊天方式之一是IRC。这种聊天程序的特点之一就是它能告诉你正在和你聊天的人的IP地址。聊天室的问题之一是：人们匿名登陆并四处闲逛，往往会遭遇跑题的评论、粗鲁的话语、被打断谈话、被服务器“冲洗”或被其它客户踢下线。

　　因此，服务器端和客户端都默认禁止在聊天室内使用匿名登陆。特别需要指出的是，当有人进入聊天室时要检查他们是否通过其它代理服务器连接。最常见的这种扫描是SOCKS。假设你来的那个地方支持SOCKS，那么你完全有可能有一台完全独立的机器，你试图通过明处的代理服务器隐藏你在暗处的真实身份。Undernet’s关于这方面的策略可参考http://help.undernet.org/proxyscan.