NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 病毒安全 .: Log与端口之二

Log与端口之二

1025 参见1024

1026 参见1024

1080 SOCKS

这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。

1243 Sub-7木马(TCP) 参见Subseven部分。

1524 ingreslock后门

许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。

2049 NFS

NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开portmapper直接测试这个端口。

3128 squid

这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。

5632 pcAnywere

你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact

这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)

6970 RealAudio

RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。

13223 PowWow

PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

17027 Conducent

这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:机器会不断试图解析DNS名—ads.conducent.com,即IP地址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象)

27374 Sub-7木马(TCP) 参见Subseven部分。

30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “elite”

Hacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的木马程序越来越流行。

31789 Hack-a-tack

这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT, Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接)

32770~32900 RPC服务

Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。

33434~33600 traceroute

如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute部分。

41508 Inoculan

早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见 http://www.circlemud.org/~jelson/software/udpsend.htmlhttp://www.ccd.bnl.gov/nss/tips/inoculan/index.html

二) 下面的这些源端口意味着什么?
端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。参见1.9。

常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。

Server Client 服务 描述

1-5/tcp 动态 FTP 1-5端口意味着sscan脚本

20/tcp 动态 FTP FTP服务器传送文件的端口

53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。

123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。

27910~27961/udp

动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP Masquerade)


三) 我发现一种对于同一系列端口的扫描来自于Internet上变化很大的源地址

这通常是由于“诱骗”扫描(decoy scan),如nmap。其中一个是攻击者,其它的则不是。

利用防火墙规则和协议分析我们可以追踪他们是谁?例如:如果你ping每个系统,你就可以将获得的TTL与那些连接企图相匹配。这样你至少可以哪一个是“诱骗”扫描(TTL应该匹配,如果不匹配则他们是被“诱骗”了)。不过,新版本的扫描器会将攻击者自身的TTL随机化,这样要找出他们回更困难。

你可以进一步研究你的防火墙记录,寻找在同一子网中被诱骗的地址(人)。你通常会发现攻击者刚刚试图对你连接,而被诱骗者不会。

四) 特洛伊木马扫描是指什么?

特洛伊木马攻击的第一步是将木马程序放置到用户的机器上。常见的伎俩有:

1) 将木马程序发布在Newsgroup中,声称这是另一种程序。

2) 广泛散布带有附件的E-mail

3) 在其Web上发布木马程序

4) 通过即时通讯软件或聊天系统发布木马程序(ICQ, AIM, IRC等)

5) 伪造ISP(如AOL)的E-mail哄骗用户执行程序(如软件升级)

6) 通过“文件与打印共享”将程序Copy至启动组

下一步将寻找可被控制的机器。最大的问题是上述方法无法告知Hacker/Cracker受害者的机器在哪里。因此,Hacker/Cracker扫描Internet。

这就导致防火墙用户(包括个人防火墙用户)经常看到指向他们机器的扫描。他们的机器并没有被攻击,扫描本身不会造成什么危害。扫描本身不会造成机器被攻击。真正的管理员会忽略这种“攻击”

以下列出常见的这种扫描。为了发现你的机器是否被种了木马,运行“NETSTAT -an”。查看是否出现下列端口的连接。

 Port Trojan

555 phAse zero

1243 Sub-7, SubSeven

3129 Masters Paradise

6670 DeepThroat

6711 Sub-7, SubSeven

6969 GateCrasher

21544 GirlFriend

12345 NetBus

23456 EvilFtp

27374 Sub-7, SubSeven

30100 NetSphere

31789 Hack‘a‘Tack

31337 BackOrifice, and many others

50505 Sockets de Troie

更多信息查看: http://www.commodon.com/threat/threat-ports.htm

1. 什么是SUBSEVEN(sub-7)

Sub-7是最有名的远程控制木马之一。现在它已经成为易于使用,功能强大的一种木马。原因是:

1〕 它易于获得,升级迅速。大部分木马产生后除了修改bug以外开发就停止了。

2〕 这一程序不但包含一个扫描器,还能利用被控制的机器也进行扫描。

3〕 制作者曾比赛利用sub-7控制网站。

4〕 支持“端口重定向”,因此任何攻击者都可以利用它控制受害者的机器。

5〕 具有大量与ICQ, AOL IM, MSN Messager和Yahoo messenger相关的功能,包括密码嗅探,发送消息等。

6〕 具有大量与UI相关的功能,如颠倒屏幕,用受害者扩音器发声,偷窥受害者屏幕。

简而言之它不仅是一种hacking工具而且是一种玩具,恐吓受害者的玩具。

Sub-7是由自称“Mobman”的人写的,他的站点是http://subseven.slak.org/

Sub-7可能使用以下端口:

1243 老版本缺省连接端口

2772 抓屏端口

2773 键盘记录端口

6711 ???

6776 我并不清楚这个端口是干什么用的,但是它被作为一些版本的后面 (即不用密码也能连接)。

7215 "matrix" chat程序

27374 v2.0缺省端口

54283 Spy端口

五) 来自低端口的DNS包

Q:我看见许多来自1024端口以下的DNS请求。这些服务是“保留”的吗?他们不是应该使用1024-65535端口吗?

A:他们来自于NAT防火墙后面的机器。NAT并不需要保留端口。(Ryan Russell http://www.sybase.com /)

Q:我的防火墙丢弃了许多源端口低于1024的包,所以DNS查询失败。

A:不要用这种方式过滤。许多防火墙有类似的规则,但这是一种误导。因为Hacker/Cracker能伪造任何端口。

Q:这些NAT防火墙工作不正常吗?

A:理论上不是,但实际上会导致失败。正确的方式是在任何情况下完全保证DNS通讯。(尤其在那些“代理”DNS并强迫DNS通过53端口的情况下)

Q:我以为DNS查询应该使用1024端口以上的随机端口?

A:实际上,一般DNS客户将使用非保留端口。但是有许多程序使用53端口。在任何情况下,NAT都会完全不同,因为它改变了所有SOCKET(IP+port combo)

六) 一旦我拨号连接到ISP后,我的个人防火墙就开始警告“有人在探测你的xxxx端口”。

这种情况很常见。因为你使用ISP分配给你的IP,而在你使用之前刚有人使用。你看到的是上一个用户的“残留”信息。

常见的例子是聊天程序。如果有人刚刚挂断,刚才和他聊天的人会继续试图连接。一些程序的“超时”设置很长。如POWWOW或ICQ。

另一个例子是多人在线游戏。你会看到来自游戏提供者的通讯(如MPlayer),或其它不知名的游戏服务器。这些游戏通常基于UDP,因此无法建立连接。但为了获得较好的用户感觉,他们对于建立连接又很“执着”。以下是一些游戏的端口:

7777 Unreal, Klingon Honor Guard

7778 Unreal Tournament

22450 Sin

26000 Quake

26900 Hexen 2

26950 HexenWorld

27015 Half-life, Team Fortress Classic (TFC)

27500 QuakeWorld

27910 Quake 2

28000-28008 Starsiege TRIBES (TRIBES.DYNAMIX.COM)

28910 Heretic 2

另一个例子是多媒体广播、电视。如RealAudio客户端使用6970-7170端口接收声音数据。

你需要连接的来源。例如ICQ服务器运行于4000端口,而其客户端使用更高的随机端口。这就是说你会看到你会看到从4000端口到高端随机端口的UDP包。换句话说,不要试图查询端口列表找到随机高端端口的用途。重要的是源端口。

Sub-7也有类似问题。它使用不同的TCP连接用于不同的服务。如果受害者的机器下线,它会持续企图连接受害者机器的端口,特别是6776端口。


这篇文章对你多有用?

相关文章

article Log与端口之一
本文将向你解释你在防火墙的记录(Log)中看到了什...

(No rating)  8-1-2007    Views: 1484   
article Log与端口之三
七) IRC服务器在探测我...

(No rating)  8-1-2007    Views: 1481   

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited