科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道解读防火墙记录(19)

解读防火墙记录(19)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文将向你解释你在防火墙的记录中看到了什么?尤其是那些端口是什么意思?你将能利用这些信息做出判断:我是否受到了Hacker的攻击?他/她到底想要干什么?

作者:51CTO.COM 2007年11月15日

关键字: 端口 攻击 记录 防火墙 IP地址

  • 评论
  • 分享微博
  • 分享邮件

  你必须记住这种包必须是“局部”的。通常路由器将不转发IP地址为255.255.255.255包。因为这些原因,这种IP地址被称为“局域广播地址”:这种包不会传播到局域网段(或虚拟网段)以外。

  这些包事干什么的?

  不妨查看一下本文头部的端口列表。如果不在端口列表中,你只好用一个嗅探器捕捉这些包,分析它们的内容了。

  例如,在随机端口运行的一个常用服务是CORBA IIOP包。许多服务运行于535端口,但常常重新配置到广播网址的其它端口。如果你看到嗅探器捕捉到的包(HEX),你将在内容中看到IIOP字样。

  其它情况下没什么值得注意的。实际上通过这种包你可以找到可以攻击的对象。但Hacker通常不会攻击拓扑结构中的网络邻居(因为容易被察觉),所以这种情况大部分是意外,而非恶意。

  需要注意的是:在今天的ATM网络中,广播的源地址可能都不和你在同一个洲,他们可能在几千英里以外。“局域”指的是拓扑结构而非距离。

  3.3 我如何追踪这些IP地址的来源呢?

  记住IP地址可以被伪造,因此IP地址的来源可能是无效的。越来越多的情况是,攻击来自于一个“肉鸡”。当你找到IP源地址的话,机器的主人可能很感激你的。我的意思是:礼貌点,专业点。

  许多公司建立了类似abuse@example.com的信箱。这个Email地址不但可以用于报告Email滥用也可用于报告网络滥用。当你发现IP地址的来源以后,你可以向这个信箱发送一份包含攻击证据的邮件。

  注册数据库

  过去所有IP地址都由Internic保存。一个由这些数据建立的数据库位于http://ipindex.dragonstar.net/。现在一共有3个官方的注册中心:北美,亚洲和欧洲。不幸的是,你必须分别查询这些独立的数据库。但是,如果你从北美注册中心开始,它会告诉你这个IP地址属于哪个数据库。注意返回的信息是不完全的。因此不要将愤怒发送给你查到的人,因为只有30%的机会达到正确的人手中。

  traceroute

  运行traceroute通常最少会发现IP地址拥有者的ISP。对实际IP地址的反向DNS查询很容易被欺骗,但对那个机器路由至少可以发现入侵者使用谁的机器。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章