解读防火墙记录(1)

　　本文将向你解释你在防火墙的记录（Log）中看到了什么？尤其是那些端口是什么意思？你将能利用这些信息做出判断：我是否受到了Hacker的攻击？他/她到底想要干什么？本文既适用于维护企业级防火墙的安全专家，又适用于使用个人防火墙的家庭用户。

　　*译者：现在个人防火墙开始流行起来，很多网友一旦看到报警就以为受到某种攻击，其实大多数情况并非如此。

　　一、目标端口ZZZZ是什么意思

　　所有穿过防火墙的通讯都是连接的一个部分。一个连接包含一对相互“交谈”的IP地址以及一对与IP地址对应的端口。目标端口通常意味着正被连接的某种服务。当防火墙阻挡（block）某个连接时，它会将目标端口“记录在案”（logfile）。这节将描述这些端口的意义。

　　端口可分为3大类：

　　1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。

　　2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

　　3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

　　从哪里获得更全面的端口信息：

　　1．ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers

　　"Assigned Numbers" RFC，端口分配的官方来源。

　　2．http://advice.networkice.com/advice/Exploits/Ports/

　　端口数据库，包含许多系统弱点的端口。

　　3．/etc/services

　　UNIX 系统中文件/etc/services包含通常使用的UNIX端口分配列表。Windows NT中该文件位于%systemroot%/system32/drivers/etc/services。

　　4．http://www.con.wesleyan.edu/~triemer/network/docservs.html

　　特定的协议与端口。

　　5．http://www.chebucto.ns.ca/~rakerman/trojan-port-table.html

　　描述了许多端口。

　　6．http://www.tlsecurity.com/trojanh.htm

　　TLSecurity的Trojan端口列表。与其它人的收藏不同，作者检验了其中的所有端口。

　　7．http://www.simovits.com/nyheter9902.html

　　Trojan Horse 探测。

　　一） 通常对于防火墙的TCP/UDP端口扫描有哪些？

　　本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住：并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。