::: 點擊銘鴻展覽客服QQ號碼即時交流或留言 :::

 
解讀防火墻記錄(我看到的是什么?)(三)
 

  

三) 我發現一種對于同一系列端口的掃描來自于Internet上變化很大的源地址

這通常是由于誘騙掃描(decoy scan),如nmap。其中一個是攻擊者,其它的則不是。

利用防火墻規則和協議分析我們可以追蹤他們是誰?例如:如果你ping每個系統,你就可以將獲得的TTL與那些連接企圖相匹配。這樣你至少可以哪一個是誘騙掃描(TTL應該匹配,如果不匹配則他們是被誘騙了)。不過,新版本的掃描器會將攻擊者自身的TTL隨機化,這樣要找出他們回更困難。

你可以進一步研究你的防火墻記錄,尋找在同一子網中被誘騙的地址(人)。你通常會發現攻擊者剛剛試圖對你連接,而被誘騙者不會。

四) 特洛伊木馬掃描是指什么?
特洛伊木馬攻擊的第一步是將木馬程序放置到用戶的機器上。常見的伎倆有:
1)
將木馬程序發布在Newsgroup中,聲稱這是另一種程序。
2)
廣泛散布帶有附件的E-mail
3)
在其Web上發布木馬程序
4)
通過即時通訊軟件或聊天系統發布木馬程序(ICQ, AIM, IRC等)
5)
偽造ISP(如AOL)的E-mail哄騙用戶執行程序(如軟件升級)
6)
通過文件與打印共享將程序Copy至啟動組

下一步將尋找可被控制的機器。最大的問題是上述方法無法告知Hacker/Cracker受害者的機器在哪里。因此,Hacker/Cracker掃描Internet。
這就導致防火墻用戶(包括個人防火墻用戶)經?吹街赶蛩麄儥C器的掃描。他們的機器并沒有被攻擊,掃描本身不會造成什么危害。掃描本身不會造成機器被攻擊。真正的管理員會忽略這種攻擊

以下列出常見的這種掃描。為了發現你的機器是否被種了木馬,運行“NETSTAT an”。查看是否出現下列端口的連接。


Port Trojan
555 phAse zero
1243 Sub-7, SubSeven
3129 Masters Paradise
6670 DeepThroat
6711 Sub-7, SubSeven
6969 GateCrasher
21544 GirlFriend
12345 NetBus
23456 EvilFtp
27374 Sub-7, SubSeven
30100 NetSphere?
31789 Hack‘a‘Tack?
31337 BackOrifice, and many others?
50505 Sockets de Troie

更多信息查看: http://www.commodon.com/threat/threat-ports.htm

1.
什么是SUBSEVENsub-7

Sub-7
是最有名的遠程控制木馬之一,F在它已經成為易于使用,功能強大的一種木馬。原因是:
1
〕 它易于獲得,升級迅速。大部分木馬產生后除了修改bug以外開發就停止了。
2
〕 這一程序不但包含一個掃描器,還能利用被控制的機器也進行掃描。
3
〕 制作者曾比賽利用sub-7控制網站。
4
〕 支持端口重定向,因此任何攻擊者都可以利用它控制受害者的機器。
5
〕 具有大量與ICQ, AOL IM, MSN MessagerYahoo messenger相關的功能,包括密碼嗅探,發送消息等。
6
〕 具有大量與UI相關的功能,如顛倒屏幕,用受害者擴音器發聲,偷窺受害者屏幕。
簡而言之它不僅是一種hacking工具而且是一種玩具,恐嚇受害者的玩具。

Sub-7
是由自稱“Mobman”的人寫的,他的站點是http://subseven.slak.org/。
Sub-7
可能使用以下端口:

1243
老版本缺省連接端口
2772
抓屏端口
2773
鍵盤記錄端口
6711 ???
6776
我并不清楚這個端口是干什么用的,但是它被作為一些版本的后面 (即不用密碼也能連接)。
7215 "matrix" chat
程序
27374 v2.0
缺省端口
54283 Spy
端口

五) 來自低端口的DNS
Q
:我看見許多來自1024端口以下的DNS請求。這些服務是保留的嗎?他們不是應該使用1024-65535端口嗎?
A
:他們來自于NAT防火墻后面的機器。NAT并不需要保留端口。(Ryan Russell http://www.sybase.com/

Q
:我的防火墻丟棄了許多源端口低于1024的包,所以DNS查詢失敗。
A
:不要用這種方式過濾。許多防火墻有類似的規則,但這是一種誤導。因為Hacker/Cracker能偽造任何端口。

Q
:這些NAT防火墻工作不正常嗎?
A
:理論上不是,但實際上會導致失敗。正確的方式是在任何情況下完全保證DNS通訊。(尤其在那些代理”DNS并強迫DNS通過53端口的情況下)

Q
:我以為DNS查詢應該使用1024端口以上的隨機端口?
A
:實際上,一般DNS客戶將使用非保留端口。但是有許多程序使用53端口。在任何情況下,NAT都會完全不同,因為它改變了所有SOCKETIPport combo


六) 一旦我撥號連接到ISP后,我的個人防火墻就開始警告有人在探測你的xxxx端口。
這種情況很常見。因為你使用ISP分配給你的IP,而在你使用之前剛有人使用。你看到的是上一個用戶的殘留信息。
常見的例子是聊天程序。如果有人剛剛掛斷,剛才和他聊天的人會繼續試圖連接。一些程序的超時設置很長。如POWWOWICQ。
另一個例子是多人在線游戲。你會看到來自游戲提供者的通訊(如MPlayer),或其它不知名的游戲服務器。這些游戲通;UDP,因此無法建立連接。但為了獲得較好的用戶感覺,他們對于建立連接又很執著。以下是一些游戲的端口:

7777 Unreal, Klingon Honor Guard
7778 Unreal Tournament
22450 Sin
26000 Quake
26900 Hexen 2
26950 HexenWorld
27015 Half-life, Team Fortress Classic (TFC)
27500 QuakeWorld
27910 Quake 2
28000-28008 Starsiege TRIBES (TRIBES.DYNAMIX.COM)
28910 Heretic 2

另一個例子是多媒體廣播、電視。如RealAudio客戶端使用69707170端口接收聲音數據。

你需要連接的來源。例如ICQ服務器運行于4000端口,而其客戶端使用更高的隨機端口。這就是說你會看到你會看到從4000端口到高端隨機端口的UDP包。換句話說,不要試圖查詢端口列表找到隨機高端端口的用途。重要的是源端口。

Sub-7
也有類似問題。它使用不同的TCP連接用于不同的服務。如果受害者的機器下線,它會持續企圖連接受害者機器的端口,特別是6776端口。



 
 
九游游戏中心网页登录 <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>