解读防火墙记录(12)

　　因此，服务器端和客户端都默认禁止在聊天室内使用匿名登陆。特别需要指出的是，当有人进入聊天室时要检查他们是否通过其它代理服务器连接。最常见的这种扫描是SOCKS。假设你来的那个地方支持SOCKS，那么你完全有可能有一台完全独立的机器，你试图通过明处的代理服务器隐藏你在暗处的真实身份。Undernet’s关于这方面的策略可参考http://help.undernet.org/proxyscan.

　　同时，crackers/hackers会试图扫描人们的机器以确定他们是否运行某种服务，可被他们用做跳板。同样，通过检查SOCKS，攻击者希望发现某人打开了SOCKS，例如一个家庭的个人用户SOCKS实现共享连接，但将其错误设置成Internet上所有用户都能通过它。

　　八） 什么是“重定向”端口

　　一种常见的技术是把一个端口重定向到另一个地址。例如默认的HTTP端口是80，许多人把他们重定向到令一个端口，如8080( 这样，如果你打算访问本文就得写成http://www.robertgraham.com:8080/pubs/firewall-seen.html )

　　实现重定向是为了让端口更难被发现，从而使Hacker更难攻击。因为Hacker不能对一个公认的默认端口进行攻击而必须进行端口扫描。

　　大多数端口重定向与原端口有相似之处。因此，大多数HTTP端口由80变化而来：81，88，8000，8080，8888。同样POP的端口原来在110，也常被重定向到1100。

　　也有不少情况是选取统计上有特别意义的数，象1234，23456，34567等。许多人有其它原因选择奇怪的数，42，69，666，31337。近来，越来越多的远程控制木马( Remote Access Trojans, RATs )采用相同的默认端口。如NetBus的默认端口是12345。

　　Blake R. Swopes指出使用重定向端口还有一个原因,在UNIX系统上,如果你想侦听1024以下的端口需要有root权限。如果你没有root权限而又想开web服务，你就需要将其安装在较高的端口。此外，一些ISP的防火墙将阻挡低端口的通讯，所以即使你拥有整个机器你还是得重定向端口。

　　九） 我还是不明白当某人试图连接我的某个端口时我该怎么办？

　　你可以使用Netcat建立一个侦听进程。例如，你想侦听1234端口：