本文将向你解释你在防火墙的记录(Log)中看到了什么?尤其是那些端口是什么意思?你将能利用这些信息做出判断:我是否受到了Hacker的攻击?他/她到底想要干什么?本文既适用于维护企业级防火墙的安全专家 , 又适用于使用个人防火墙的家庭用户 。
现在个人防火墙开始流行起来 , 很多网友一旦看到报警就以为受到某种攻击 , 其实大多数情况并非如此 。
一、目标端口ZZZZ是什么意思
所有穿过防火墙的通讯都是连接的一个部分 。一个连接包含一对相互“交谈”的IP地址以及一对与IP地址对应的端口 。目标端口通常意味着正被连接的某种服务 。当防火墙阻挡(block)某个连接时 , 它会将目标端口“记录在案”(logfile) 。这节将描述这些端口的意义 。
端口可分为3大类:
1) 公认端口(Well Known Ports):从0到1023 , 它们紧密绑定于一些服务 。通常这些端口的通讯明确表明了某种服务的协议 。例如:80端口实际上总是HTTP通讯 。
2) 注册端口(Registered Ports):从1024到49151 。它们松散地绑定于一些服务 。也就是说有许多服务绑定于这些端口 , 这些端口同样用于许多其它目的 。例如:许多系统处理动态端口从1024左右开始 。
3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535 。理论上 , 不应为服务分配这些端口 。实际上 , 机器通常从1024起分配动态端口 。但也有例外:SUN的RPC端口从32768开始 。
从哪里获得更全面的端口信息:
1.ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers
"Assigned Numbers" RFC , 端口分配的官方来源 。
2.http://advice.networkice.com/advice/Exploits/Ports/
端口数据库 , 包含许多系统弱点的端口 。
3./etc/services
UNIX 系统中文件/etc/services包含通常使用的UNIX端口分配列表 。Windows NT中该文件位于%systemroot%/system32/drivers/etc/services 。
4.http://www.con.wesleyan.edu/~triemer/network/docservs.html
特定的协议与端口 。
5.http://www.chebucto.ns.ca/~rakerman/trojan-port-table.html
【精妙解读防火墙日志记录 防范网络攻击】描述了许多端口 。
6.http://www.tlsecurity.com/trojanh.htm
TLSecurity的Trojan端口列表 。与其它人的收藏不同 , 作者检验了其中的所有端口 。
7.http://www.simovits.com/nyheter9902.html
Trojan Horse 探测 。
二、通常对于防火墙的TCP/UDP端口扫描有哪些?
本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息 。记住:并不存在所谓ICMP端口 。如果你对解读ICMP数据感兴趣 , 请参看本文的其它部分 。
0 通常用于分析操作系统 。这一方法能够工作是因为在一些系统中“0”是无效端口 , 当你试图使用一种通常的闭合端口连接它时将产生不同的结果 。一种典型的扫描:使用IP地址为0.0.0.0 , 设置ACK位并在以太网层广播 。
1 tcpmux 这显示有人在寻找SGI Irix机器 。Irix是实现tcpmux的主要提供者 , 缺省情况下tcpmux在这种系统中被打开 。Iris机器在发布时含有几个缺省的无密码的帐户 , 如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts 。许多管理员安装后忘记删除这些帐户 。因此Hacker们在Internet上搜索tcpmux并利用这些帐户 。
7 Echo 你能看到许多人们搜索Fraggle放大器时 , 发送到x.x.x.0和x.x.x.255的信息 。
常见的一种DoS攻击是echo循环(echo-loop) , 攻击者伪造从一个机器发送到另一个机器的UDP数据包 , 而两个机器分别以它们最快的方式回应这些数据包 。(参见Chargen)
另一种东西是由DoubleClick在词端口建立的TCP连接 。有一种产品叫做“Resonate Global Dispatch” , 它与DNS的这一端口连接以确定最近的路由 。
推荐阅读
- 探究天网防火墙负载分担技术
- 防火墙封阻应用攻击的八项技术
- 网络安全基础:防火墙的概念及实现原理
- ARP静态绑定批处理文件脚本详细解读
- 如何解读梦见开车刹车失灵 梦见开车刹车失灵了刹不住什么意思
- 我也说说J5的来电防火墙
- TP-Link路由器防火墙功能应用实例
- 解读CISCO与华为3COM路由器配置差别
- 华为路由器防火墙配置命令总结
- 上 华为路由器防火墙配置命令总结