科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道解读防火墙记录(10)

解读防火墙记录(10)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文将向你解释你在防火墙的记录中看到了什么?尤其是那些端口是什么意思?你将能利用这些信息做出判断:我是否受到了Hacker的攻击?他/她到底想要干什么?

作者:51CTO.COM 2007年11月15日

关键字: 端口 攻击 记录 防火墙 IP地址

  • 评论
  • 分享微博
  • 分享邮件

  555 phAse zero

  1243 Sub-7, SubSeven

  3129 Masters Paradise

  6670 DeepThroat

  6711 Sub-7, SubSeven

  6969 GateCrasher

  21544 GirlFriend

  12345 NetBus

  23456 EvilFtp

  27374 Sub-7, SubSeven

  30100 NetSphere

  31789 Hack‘a‘Tack

  31337 BackOrifice, and many others

  50505 Sockets de Troie

  更多信息查看: http://www.commodon.com/threat/threat-ports.htm

  1. 什么是SUBSEVEN(sub-7)

  Sub-7是最有名的远程控制木马之一。现在它已经成为易于使用,功能强大的一种木马。原因是:

  1〕 它易于获得,升级迅速。大部分木马产生后除了修改bug以外开发就停止了。

  2〕 这一程序不但包含一个扫描器,还能利用被控制的机器也进行扫描。

  3〕 制作者曾比赛利用sub-7控制网站。

  4〕 支持“端口重定向”,因此任何攻击者都可以利用它控制受害者的机器。

  5〕 具有大量与ICQ, AOL IM, MSN Messager和Yahoo messenger相关的功能,包括密码嗅探,发送消息等。

  6〕 具有大量与UI相关的功能,如颠倒屏幕,用受害者扩音器发声,偷窥受害者屏幕。

  简而言之它不仅是一种hacking工具而且是一种玩具,恐吓受害者的玩具。

  Sub-7是由自称“Mobman”的人写的,他的站点是http://subseven.slak.org/。

  Sub-7可能使用以下端口:

  1243 老版本缺省连接端口

  2772 抓屏端口

  2773 键盘记录端口

  6711 ???

  6776 我并不清楚这个端口是干什么用的,但是它被作为一些版本的后面 (即不用密码也能连接)。

  7215 "matrix" chat程序

  27374 v2.0缺省端口

  54283 Spy端口

  五) 来自低端口的DNS包

  Q:我看见许多来自1024端口以下的DNS请求。这些服务是“保留”的吗?他们不是应该使用1024-65535端口吗?

  A:他们来自于NAT防火墙后面的机器。NAT并不需要保留端口。(Ryan Russell http://www.sybase.com /)

  Q:我的防火墙丢弃了许多源端口低于1024的包,所以DNS查询失败。

  A:不要用这种方式过滤。许多防火墙有类似的规则,但这是一种误导。因为Hacker/Cracker能伪造任何端口。

  Q:这些NAT防火墙工作不正常吗?

  A:理论上不是,但实际上会导致失败。正确的方式是在任何情况下完全保证DNS通讯。(尤其在那些“代理”DNS并强迫DNS通过53端口的情况下)

  Q:我以为DNS查询应该使用1024端口以上的随机端口?

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章