騰達(dá)Tenda路由不能映射端口的原因及解決方法
2023-07-22
更新時間:2023-07-22 00:12:34作者:未知
一) 通常對于防火墻的TCP/UDP端口掃描有哪些?
本節(jié)講述通常TCP/UDP端口掃描在防火墻記錄中的信息。記?。翰⒉淮嬖谒^ICMP端口。如果你對解讀ICMP數(shù)據(jù)感興趣,請參看本文的其它部分。
0 通常用于分析操作系統(tǒng)。這一方法能夠工作是因為在一些系統(tǒng)中“0”是無效端口,當(dāng)你試圖使用一種通常的閉合端口連接它時將產(chǎn)生不同的結(jié)果。一種典型的掃描:使用IP地址為0.0.0.0,設(shè)置ACK位并在以太網(wǎng)層廣播。
1 tcpmux 這顯示有人在尋找SGI Irix機器。
Irix是實現(xiàn)tcpmux的主要提供者,缺省情況下tcpmux在這種系統(tǒng)中被打開。Iris機器在發(fā)布時含有幾個缺省的無密碼的帳戶,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。許多管理員安裝后忘記刪除這些帳戶。因此Hacker們在Internet上搜索tcpmux并利用這些帳戶。
7 Echo 你能看到許多人們搜索Fraggle放大器時,發(fā)送到x.x.x.0和x.x.x.255的信息。
常見的一種DoS攻擊是echo循環(huán)(echo-loop),攻擊者偽造從一個機器發(fā)送到另一個機器的UDP數(shù)據(jù)包,而兩個機器分別以它們最快的方式回應(yīng)這些數(shù)據(jù)包。
另一種東西是由DoubleClick在詞端口建立的TCP連接。有一種產(chǎn)品叫做“Resonate Global Dispatch”,它與DNS的這一端口連接以確定最近的路由。
Harvest/squid cache將從3130端口發(fā)送UDP echo:“如果將cache的source_ping on選項打開,它將對原始主機的UDP echo端口回應(yīng)一個HIT reply?!边@將會產(chǎn)生許多這類數(shù)據(jù)包。
11 sysstat 這是一種UNIX服務(wù),它會列出機器上所有正在運行的進程以及是什么啟動了這些進程。這為入侵者提供了許多信息而威脅機器的安全,如暴露已知某些弱點或帳戶的程序。這與UNIX系統(tǒng)中“ps”命令的結(jié)果相似
再說一遍:ICMP沒有端口,ICMP port 11通常是ICMP type=11
19 chargen 這是一種僅僅發(fā)送字符的服務(wù)。UDP版本將會在收到UDP包后回應(yīng)含有垃圾字符的包。TCP連接時,會發(fā)送含有垃圾字符的數(shù)據(jù)流知道連接關(guān)閉。Hacker利用IP欺騙可以發(fā)動DoS攻擊。偽造兩個chargen服務(wù)器之間的UDP包。由于服務(wù)器企圖回應(yīng)兩個服務(wù)器之間的無限的往返數(shù)據(jù)通訊一個chargen和echo將導(dǎo)致服務(wù)器過載。同樣fraggle DoS攻擊向目標(biāo)地址的這個端口廣播一個帶有偽造受害者IP的數(shù)據(jù)包,受害者為了回應(yīng)這些數(shù)據(jù)而過載。
21 ftp 最常見的攻擊者用于尋找打開“anonymous”的ftp服務(wù)器的方法。這些服務(wù)器帶有可讀寫的目錄。Hackers或Crackers 利用這些服務(wù)器作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜索引擎分類)的節(jié)點。
22 ssh PcAnywhere建立TCP和這一端口的連接可能是為了尋找ssh。這一服務(wù)有許多弱點。如果配置成特定的模式,許多使用RSAREF庫的版本有不少漏洞。(建議在其它端口運行ssh)
還應(yīng)該注意的是ssh工具包帶有一個稱為make-ssh-known-hosts的程序。它會掃描整個域的ssh主機。你有時會被使用這一程序的人無意中掃描到。
UDP(而不是TCP)與另一端的5632端口相連意味著存在搜索pcAnywhere的掃描。5632(十六進制的0x1600)位交換后是0x0016(使進制的22)。
23 Telnet 入侵者在搜索遠(yuǎn)程登陸UNIX的服務(wù)。大多數(shù)情況下入侵者掃描這一端口是為了找到機器運行的操作系統(tǒng)。此外使用其它技術(shù),入侵者會找到密碼。
25 smtp 攻擊者(spammer)尋找SMTP服務(wù)器是為了傳遞他們的spam。入侵者的帳戶總被關(guān)閉,他們需要撥號連接到高帶寬的e-mail服務(wù)器上,將簡單的信息傳遞到不同的地址。SMTP服務(wù)器(尤其是sendmail)是進入系統(tǒng)的最常用方法之一,因為它們必須完整的暴露于Internet且郵件的路由是復(fù)雜的(暴露+復(fù)雜=弱點)。
53 DNS Hacker或crackers可能是試圖進行區(qū)域傳遞(TCP),欺騙DNS(UDP)或隱藏其它通訊。因此防火墻常常過濾或記錄53端口。
需要注意的是你常會看到53端口做為UDP源端口。不穩(wěn)定的防火墻通常允許這種通訊并假設(shè)這是對DNS查詢的回復(fù)。Hacker常使用這種方法穿透防火墻。
67和68 Bootp和DHCP UDP上的Bootp/DHCP:通過DSL和cable-modem的防火墻常會看見大量發(fā)送到廣播地址255.255.255.255的數(shù)據(jù)。這些機器在向DHCP服務(wù)器請求一個地址分配。Hacker常進入它們分配一個地址把自己作為局部路由器而發(fā)起大量的“中間人”(man-in-middle)攻擊。客戶端向68端口(bootps)廣播請求配置,服務(wù)器向67端口(bootpc)廣播回應(yīng)請求。這種回應(yīng)使用廣播是因為客戶端還不知道可以發(fā)送的IP地址。
69 TFTP(UDP) 許多服務(wù)器與bootp一起提供這項服務(wù),便于從系統(tǒng)下載啟動代碼。但是它們常常錯誤配置而從系統(tǒng)提供任何文件,如密碼文件。它們也可用于向系統(tǒng)寫入文件。
79 finger Hacker用于獲得用戶信息,查詢操作系統(tǒng),探測已知的緩沖區(qū)溢出錯誤,回應(yīng)從自己機器到其它機器finger掃描。
98 Linuxconf 這個程序提供linux boxen的簡單管理。通過整合的HTTP服務(wù)器在98端口提供基于Web界面的服務(wù)。它已發(fā)現(xiàn)有許多安全問題。一些版本setuid root,信任局域網(wǎng),在/tmp下建立Internet可訪問的文件,LANG環(huán)境變量有緩沖區(qū)溢出。此外因為它包含整合的服務(wù)器,許多典型的HTTP漏洞可能存在(緩沖區(qū)溢出,歷遍目錄等)
109 POP2 并不象POP3那樣有名,但許多服務(wù)器同時提供兩種服務(wù)(向后兼容)。在同一個服務(wù)器上POP3的漏洞在POP2中同樣存在。
110 POP3 用于客戶端訪問服務(wù)器端的郵件服務(wù)。POP3服務(wù)有許多公認(rèn)的弱點。關(guān)于用戶名和密碼交換緩沖區(qū)溢出的弱點至少有20個(這意味著Hacker可以在真正登陸前進入系統(tǒng))。成功登陸后還有其它緩沖區(qū)溢出錯誤。
111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。訪問portmapper是掃描系統(tǒng)查看允許哪些RPC服務(wù)的最早的一步。常見RPC服務(wù)有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發(fā)現(xiàn)了允許的RPC服務(wù)將轉(zhuǎn)向提供服務(wù)的特定端口測試漏洞。
記住一定要記錄線路中的daemon, IDS, 或sniffer,你可以發(fā)現(xiàn)入侵者正使用什么程序訪問以便發(fā)現(xiàn)到底發(fā)生了什么。
113 Ident auth 這是一個許多機器上運行的協(xié)議,用于鑒別TCP連接的用戶。使用標(biāo)準(zhǔn)的這種服務(wù)可以獲得許多機器的信息(會被Hacker利用)。但是它可作為許多服務(wù)的記錄器,尤其是FTP, POP, IMAP, SMTP和IRC等服務(wù)。通常如果有許多客戶通過防火墻訪問這些服務(wù),你將會看到許多這個端口的連接請求。記住,如果你阻斷這個端口客戶端會感覺到在防火墻另一邊與e-mail服務(wù)器的緩慢連接。許多防火墻支持在TCP連接的阻斷過程中發(fā)回RST,著將回停止這一緩慢的連接。
119 NNTP news 新聞組傳輸協(xié)議,承載USENET通訊。當(dāng)你鏈接到諸如:news://comp.security.firewalls/. 的地址時通常使用這個端口。這個端口的連接企圖通常是人們在尋找USENET服務(wù)器。多數(shù)ISP限制只有他們的客戶才能訪問他們的新聞組服務(wù)器。打開新聞組服務(wù)器將允許發(fā)/讀任何人的帖子,訪問被限制的新聞組服務(wù)器,匿名發(fā)帖或發(fā)送spam。
135 oc-serv MS RPC end-point mapper Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務(wù)。這與UNIX 111端口的功能很相似。使用DCOM和/或RPC的服務(wù)利用機器上的end-point mapper注冊它們的位置。遠(yuǎn)端客戶連接到機器時,它們查詢end-point mapper找到服務(wù)的位置。同樣Hacker掃描機器的這個端口是為了找到諸如:這個機器上運行Exchange Server嗎?是什么版本?
這個端口除了被用來查詢服務(wù)(如使用epdump)還可以被用于直接攻擊。有一些DoS攻擊直接針對這個端口。
139 NetBIOS File and Print Sharing 通過這個端口進入的連接試圖獲得NetBIOS/SMB服務(wù)。這個協(xié)議被用于Windows“文件和打印機共享”和SAMBA。在Internet上共享自己的硬盤是可能是最常見的問題。
大量針對這一端口始于1999,后來逐漸變少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)開始將它們自己拷貝到這個端口,試圖在這個端口繁殖。
143 IMAP 和上面POP3的安全問題一樣,許多IMAP服務(wù)器有緩沖區(qū)溢出漏洞運行登陸過程中進入。記住:一種Linux蠕蟲(admw0rm)會通過這個端口繁殖,因此許多這個端口的掃描來自不知情的已被感染的用戶。當(dāng)RadHat在他們的Linux發(fā)布版本中默認(rèn)允許IMAP后,這些漏洞變得流行起來。Morris蠕蟲以后這還是第一次廣泛傳播的蠕蟲。
這一端口還被用于IMAP2,但并不流行。
已有一些報道發(fā)現(xiàn)有些0到143端口的攻擊源于腳本。
161 SNMP(UDP) 入侵者常探測的端口。SNMP允許遠(yuǎn)程管理設(shè)備。所有配置和運行信息都儲存在數(shù)據(jù)庫中,通過SNMP客獲得這些信息。許多管理員錯誤配置將它們暴露于Internet。Crackers將試圖使用缺省的密碼“public”“private”訪問系統(tǒng)。他們可能會試驗所有可能的組合。
SNMP包可能會被錯誤的指向你的網(wǎng)絡(luò)。Windows機器常會因為錯誤配置將HP JetDirect remote management軟件使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網(wǎng)內(nèi)廣播(cable modem, DSL)查詢sysName和其它信息。
162 SNMP trap 可能是由于錯誤配置
177 xdmcp 許多Hacker通過它訪問X-Windows控制臺, 它同時需要打開6000端口。
513 rwho 可能是從使用cable modem或DSL登陸到的子網(wǎng)中的UNIX機器發(fā)出的廣播。這些人為Hacker進入他們的系統(tǒng)提供了很有趣的信息。
553 CORBA
IIOP (UDP) 如果你使用cable modem或DSL VLAN,你將會看到這個端口的廣播。CORBA是一種面向?qū)ο蟮腞PC(remote procedure call)系統(tǒng)。Hacker會利用這些信息進入系統(tǒng)。
600 Pcserver backdoor 請查看1524端口
一些玩script的孩子認(rèn)為他們通過修改ingreslock和pcserver文件已經(jīng)完全攻破了系統(tǒng)-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數(shù)對這個端口的掃描是基于UDP的,但基于TCP的mountd有所增加(mountd同時運行于兩個端口)。記住,mountd可運行于任何端口(到底在哪個端口,需要在端口111做portmap查詢),只是Linux默認(rèn)為635端口,就象NFS通常運行于2049端口。
1024 許多人問這個端口是干什么的。它是動態(tài)端口的開始。許多程序并不在乎用哪個端口連接網(wǎng)絡(luò),它們請求操作系統(tǒng)為它們分配“下一個閑置端口”。基于這一點分配從端口1024開始。這意味著第一個向系統(tǒng)請求分配動態(tài)端口的程序?qū)⒈环峙涠丝?024。為了驗證這一點,你可以重啟機器,打開Telnet,再打開一個窗口運行“natstat -a”,你將會看到Telnet被分配1024端口。請求的程序越多,動態(tài)端口也越多。操作系統(tǒng)分配的端口將逐漸變大。再來一遍,當(dāng)你瀏覽Web頁時用“netstat”查看,每個Web頁需要一個新端口。
1025 參見1024
1026 參見1024
1080 SOCKS
這一協(xié)議以管道方式穿過防火墻,允許防火墻后面的許多人通過一個IP地址訪問Internet。理論上它應(yīng)該只允許內(nèi)部的通信向外達(dá)到Internet。但是由于錯誤的配置,它會允許Hacker/Cracker的位于防火墻外部的攻擊穿過防火墻?;蛘吆唵蔚鼗貞?yīng)位于Internet上的計算機,從而掩飾他們對你的直接攻擊。WinGate是一種常見的Windows個人防火墻,常會發(fā)生上述的錯誤配置。在加入IRC聊天室時常會看到這種情況。
1114 SQL
系統(tǒng)本身很少掃描這個端口,但常常是sscan腳本的一部分。
1243 Sub-7木馬(TCP)
參見Subseven部分。
1524 ingreslock后門
許多攻擊腳本將安裝一個后門Shell于這個端口(尤其是那些針對Sun系統(tǒng)中Sendmail和RPC服務(wù)漏洞的腳本,如statd, ttdbserver和cmsd)。如果你剛剛安裝了你的防火墻就看到在這個端口上的連接企圖,很可能是上述原因。你可以試試Telnet到你的機器上的這個端口,看看它是否會給你一個Shell。連接到600/pcserver也存在這個問題。
2049 NFS
NFS程序常運行于這個端口。通常需要訪問portmapper查詢這個服務(wù)運行于哪個端口,但是大部分情況是安裝后NFS運行于這個端口,Hacker/Cracker因而可以閉開portmapper直接測試這個端口。
3128 squid
這是Squid HTTP代理服務(wù)器的默認(rèn)端口。攻擊者掃描這個端口是為了搜尋一個代理服務(wù)器而匿名訪問Internet。你也會看到搜索其它代理服務(wù)器的端口:8000/8001/8080/8888。掃描這一端口的另一原因是:用戶正在進入聊天室。其它用戶(或服務(wù)器本身)也會檢驗這個端口以確定用戶的機器是否支持代理。請查看5.3節(jié)。
5632 pcAnywere
你會看到很多這個端口的掃描,這依賴于你所在的位置。當(dāng)用戶打開pcAnywere時,它會自動掃描局域網(wǎng)C類網(wǎng)以尋找可能得代理(譯者:指agent而不是proxy)。Hacker/cracker也會尋找開放這種服務(wù)的機器,所以應(yīng)該查看這種掃描的源地址。一些搜尋pcAnywere的掃描常包含端口22的UDP數(shù)據(jù)包。參見撥號掃描。
6776 Sub-7 artifact
這個端口是從Sub-7主端口分離出來的用于傳送數(shù)據(jù)的端口。例如當(dāng)控制者通過電話線控制另一臺機器,而被控機器掛斷時你將會看到這種情況。因此當(dāng)另一人以此IP撥入時,他們將會看到持續(xù)的,在這個端口的連接企圖。(譯者:即看到防火墻報告這一端口的連接企圖時,并不表示你已被Sub-7控制。)
6970 RealAudio
RealAudio客戶將從服務(wù)器的6970-7170的UDP端口接收音頻數(shù)據(jù)流。這是由TCP7070端口外向控制連接設(shè)置的。
13223 PowWow
PowWow 是Tribal Voice的聊天程序。它允許用戶在此端口打開私人聊天的連接。這一程序?qū)τ诮⑦B接非常具有“進攻性”。它會“駐扎”在這一TCP端口等待回應(yīng)。這造成類似心跳間隔的連接企圖。如果你是一個撥號用戶,從另一個聊天者手中“繼承”了IP地址這種情況就會發(fā)生:好象很多不同的人在測試這一端口。這一協(xié)議使用“OPNG”作為其連接企圖的前四個字節(jié)。
17027 Conducent
這是一個外向連接。這是由于公司內(nèi)部有人安裝了帶有Conducent "adbot" 的共享軟件。Conducent "adbot"是為共享軟件顯示廣告服務(wù)的。使用這種服務(wù)的一種流行的軟件是Pkware。有人試驗:阻斷這一外向連接不會有任何問題,但是封掉IP地址本身將會導(dǎo)致adbots持續(xù)在每秒內(nèi)試圖連接多次而導(dǎo)致連接過載:
機器會不斷試圖解析DNS名—ads.conducent.com,即IP地址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者:不知NetAnts使用的Radiate是否也有這種現(xiàn)象)
27374 Sub-7木馬(TCP)
參見Subseven部分。
30100 NetSphere木馬(TCP)
通常這一端口的掃描是為了尋找中了NetSphere木馬。
31337 Back Orifice “elite”
Hacker中31337讀做“elite”/ei’li:t/(譯者:法語,譯為中堅力量,精華。即3=E, 1=L, 7=T)。因此許多后門程序運行于這一端口。其中最有名的是Back Orifice。曾經(jīng)一段時間內(nèi)這是Internet上最常見的掃描?,F(xiàn)在它的流行越來越少,其它的木馬程序越來越流行。
31789 Hack-a-tack
這一端口的UDP通訊通常是由于"Hack-a-tack"遠(yuǎn)程訪問木馬(RAT, Remote Access Trojan)。這種木馬包含內(nèi)置的31790端口掃描器,因此任何31789端口到317890端口的連接意味著已經(jīng)有這種入侵。(31789端口是控制連接,317890端口是文件傳輸連接)
32770~32900 RPC服務(wù)
Sun Solaris的RPC服務(wù)在這一范圍內(nèi)。詳細(xì)的說:早期版本的Solaris(2.5.1之前)將portmapper置于這一范圍內(nèi),即使低端口被防火墻封閉仍然允許Hacker/cracker訪問這一端口。掃描這一范圍內(nèi)的端口不是為了尋找portmapper,就是為了尋找可被攻擊的已知的RPC服務(wù)。
33434~33600 traceroute
如果你看到這一端口范圍內(nèi)的UDP數(shù)據(jù)包(且只在此范圍之內(nèi))則可能是由于traceroute。參見traceroute部分。
(二) 下面的這些源端口意味著什么?
端口1~1024是保留端口,所以它們幾乎不會是源端口。但有一些例外,例如來自NAT機器的連接。參見1.9。
常看見緊接著1024的端口,它們是系統(tǒng)分配給那些并不在乎使用哪個端口連接的應(yīng)用程序的“動態(tài)端口”。
Server Client 服務(wù) 描述
1-5/tcp 動態(tài) FTP 1-5端口意味著sscan腳本
20/tcp 動態(tài) FTP FTP服務(wù)器傳送文件的端口
53 動態(tài) FTP DNS從這個端口發(fā)送UDP回應(yīng)。你也可能看見源/目標(biāo)端口的TCP連接。
123 動態(tài) S/NTP 簡單網(wǎng)絡(luò)時間協(xié)議(S/NTP)服務(wù)器運行的端口。它們也會發(fā)送到這個端口的廣播。
27910~27961/udp 動態(tài) Quake Quake或Quake引擎驅(qū)動的游戲在這一端口運行其服務(wù)器。因此來自這一端口范圍的UDP包或發(fā)送至這一端口范圍的UDP包通常是游戲。
61000以上 動態(tài) FTP 61000以上的端口可能來自Linux NAT服務(wù)器(IP Masquerade)
三) 我發(fā)現(xiàn)一種對于同一系列端口的掃描來自于Internet上變化很大的源地址
這通常是由于“誘騙”掃描(decoy scan),如nmap。其中一個是攻擊者,其它的則不是。
利用防火墻規(guī)則和協(xié)議分析我們可以追蹤他們是誰?例如:如果你ping每個系統(tǒng),你就可以將獲得的TTL與那些連接企圖相匹配。這樣你至少可以哪一個是“誘騙”掃描(TTL應(yīng)該匹配,如果不匹配則他們是被“誘騙”了)。不過,新版本的掃描器會將攻擊者自身的TTL隨機化,這樣要找出他們回更困難。
你可以進一步研究你的防火墻記錄,尋找在同一子網(wǎng)中被誘騙的地址(人)。你通常會發(fā)現(xiàn)攻擊者剛剛試圖對你連接,而被誘騙者不會。
四) 特洛伊木馬掃描是指什么?
特洛伊木馬攻擊的第一步是將木馬程序放置到用戶的機器上。常見的伎倆有:
1) 將木馬程序發(fā)布在Newsgroup中,聲稱這是另一種程序。
2) 廣泛散布帶有附件的E-mail
3) 在其Web上發(fā)布木馬程序
4) 通過即時通訊軟件或聊天系統(tǒng)發(fā)布木馬程序(ICQ, AIM, IRC等)
5) 偽造ISP(如AOL)的E-mail哄騙用戶執(zhí)行程序(如軟件升級)
6) 通過“文件與打印共享”將程序Copy至啟動組
下一步將尋找可被控制的機器。最大的問題是上述方法無法告知Hacker/Cracker受害者的機器在哪里。因此,Hacker/Cracker掃描Internet。
這就導(dǎo)致防火墻用戶(包括個人防火墻用戶)經(jīng)??吹街赶蛩麄儥C器的掃描。他們的機器并沒有被攻擊,掃描本身不會造成什么危害。掃描本身不會造成機器被攻擊。真正的管理員會忽略這種“攻擊”
以下列出常見的這種掃描。為了發(fā)現(xiàn)你的機器是否被種了木馬,運行“NETSTAT -an”。查看是否出現(xiàn)下列端口的連接。
Port Trojan
555 phAse zero
1243 Sub-7, SubSeven
3129 Masters Paradise
6670 DeepThroat
6711 Sub-7, SubSeven
6969 GateCrasher
21544 GirlFriend
12345 NetBus
23456 EvilFtp
27374 Sub-7, SubSeven
30100 NetSphere
31789 Hack‘a(chǎn)‘Tack
31337 BackOrifice, and many others
50505 Sockets de Troie
1. 什么是SUBSEVEN(sub-7)
Sub-7是最有名的遠(yuǎn)程控制木馬之一?,F(xiàn)在它已經(jīng)成為易于使用,功能強大的一種木馬。原因是:
1〕 它易于獲得,升級迅速。大部分木馬產(chǎn)生后除了修改bug以外開發(fā)就停止了。
2〕 這一程序不但包含一個掃描器,還能利用被控制的機器也進行掃描。
3〕 制作者曾比賽利用sub-7控制網(wǎng)站。
4〕 支持“端口重定向”,因此任何攻擊者都可以利用它控制受害者的機器。
5〕 具有大量與ICQ, AOL IM, MSN Messager和Yahoo messenger相關(guān)的功能,包括密碼嗅探,發(fā)送消息等。
6〕 具有大量與UI相關(guān)的功能,如顛倒屏幕,用受害者擴音器發(fā)聲,偷窺受害者屏幕。
簡而言之它不僅是一種hacking工具而且是一種玩具,恐嚇受害者的玩具。
Sub-7是由自稱“Mobman”的人寫的
Sub-7可能使用以下端口:
1243 老版本缺省連接端口
2772 抓屏端口
2773 鍵盤記錄端口
6711 ???
6776 我并不清楚這個端口是干什么用的,但是它被作為一些版本的后面 (即不用密碼也能連接)。
7215 "matrix" chat程序
27374 v2.0缺省端口
54283 Spy端口
五) 來自低端口的DNS包
Q:我看見許多來自1024端口以下的DNS請求。這些服務(wù)是“保留”的嗎?他們不是應(yīng)該使用1024-65535端口嗎?
A:他們來自于NAT防火墻后面的機器。NAT并不需要保留端口。(Ryan Russell http://www.sybase.com/)
Q:我的防火墻丟棄了許多源端口低于1024的包,所以DNS查詢失敗。
A:不要用這種方式過濾。許多防火墻有類似的規(guī)則,但這是一種誤導(dǎo)。因為Hacker/Cracker能偽造任何端口。
Q:這些NAT防火墻工作不正常嗎?
A:理論上不是,但實際上會導(dǎo)致失敗。正確的方式是在任何情況下完全保證DNS通訊。(尤其在那些“代理”DNS并強迫DNS通過53端口的情況下)
Q:我以為DNS查詢應(yīng)該使用1024端口以上的隨機端口?
A:實際上,一般DNS客戶將使用非保留端口。但是有許多程序使用53端口。在任何情況下,NAT都會完全不同,因為它改變了所有SOCKET(IP+port combo)
六) 一旦我撥號連接到ISP后,我的個人防火墻就開始警告“有人在探測你的xxxx端口”。
這種情況很常見。因為你使用ISP分配給你的IP,而在你使用之前剛有人使用。你看到的是上一個用戶的“殘留”信息。
常見的例子是聊天程序。如果有人剛剛掛斷,剛才和他聊天的人會繼續(xù)試圖連接。一些程序的“超時”設(shè)置很長。如POWWOW或ICQ。
另一個例子是多人在線游戲。你會看到來自游戲提供者的通訊(如MPlayer),或其它不知名的游戲服務(wù)器。這些游戲通?;赨DP,因此無法建立連接。但為了獲得較好的用戶感覺,他們對于建立連接又很“執(zhí)著”。以下是一些游戲的端口:
7777 Unreal, Klingon Honor Guard
7778 Unreal Tournament
22450 Sin
26000 Quake
26900 Hexen 2
26950 HexenWorld
27015 Half-life, Team Fortress Classic (TFC)
27500 QuakeWorld
27910 Quake 2
28000-28008 Starsiege TRIBES (TRIBES.DYNAMIX.COM)
28910 Heretic 2
另一個例子是多媒體廣播、電視。如RealAudio客戶端使用6970-7170端口接收聲音數(shù)據(jù)。
你需要連接的來源。例如ICQ服務(wù)器運行于4000端口,而其客戶端使用更高的隨機端口。這就是說你會看到你會看到從4000端口到高端隨機端口的UDP包。換句話說,不要試圖查詢端口列表找到隨機高端端口的用途。重要的是源端口。
Sub-7也有類似問題。它使用不同的TCP連接用于不同的服務(wù)。如果受害者的機器下線,它會持續(xù)企圖連接受害者機器的端口,特別是6776端口。
七) IRC服務(wù)器在探測我
最流行的聊天方式之一是IRC。這種聊天程序的特點之一就是它能告訴你正在和你聊天的人的IP地址。聊天室的問題之一是:人們匿名登陸并四處閑逛,往往會遭遇跑題的評論、粗魯?shù)脑捳Z、被打斷談話、被服務(wù)器“沖洗”或被其它客戶踢下線。
因此,服務(wù)器端和客戶端都默認(rèn)禁止在聊天室內(nèi)使用匿名登陸。特別需要指出的是,當(dāng)有人進入聊天室時要檢查他們是否通過其它代理服務(wù)器連接。最常見的這種掃描是SOCKS。假設(shè)你來的那個地方支持SOCKS,那么你完全有可能有一臺完全獨立的機器,你試圖通過明處的代理服務(wù)器隱藏你在暗處的真實身份。Undernet’s關(guān)于這方面的策略可參考http://help.undernet.org/proxyscan.
同時,crackers/hackers會試圖掃描人們的機器以確定他們是否運行某種服務(wù),可被他們用做跳板。同樣,通過檢查SOCKS,攻擊者希望發(fā)現(xiàn)某人打開了SOCKS,例如一個家庭的個人用戶SOCKS實現(xiàn)共享連接,但將其錯誤設(shè)置成Internet上所有用戶都能通過它。
八) 什么是“重定向”端口
一種常見的技術(shù)是把一個端口重定向到另一個地址。例如默認(rèn)的HTTP端口是80,許多人把他們重定向到令一個端口,如8080( 這樣,如果你打算訪問本文就得寫成http://www.robertgraham.com:8080/pu...ewall-seen.html )
實現(xiàn)重定向是為了讓端口更難被發(fā)現(xiàn),從而使Hacker更難攻擊。因為Hacker不能對一個公認(rèn)的默認(rèn)端口進行攻擊而必須進行端口掃描。
大多數(shù)端口重定向與原端口有相似之處。因此,大多數(shù)HTTP端口由80變化而來:81,88,8000,8080,8888。同樣POP的端口原來在110,也常被重定向到1100。
也有不少情況是選取統(tǒng)計上有特別意義的數(shù),象1234,23456,34567等。許多人有其它原因選擇奇怪的數(shù),42,69,666,31337。近來,越來越多的遠(yuǎn)程控制木馬( Remote Access Trojans, RATs )采用相同的默認(rèn)端口。如NetBus的默認(rèn)端口是12345。
Blake R. Swopes指出使用重定向端口還有一個原因,在UNIX系統(tǒng)上,如果你想偵聽1024以下的端口需要有root權(quán)限。如果你沒有root權(quán)限而又想開web服務(wù),你就需要將其安裝在較高的端口。此外,一些ISP的防火墻將阻擋低端口的通訊,所以即使你擁有整個機器你還是得重定向端口。
九) 我還是不明白當(dāng)某人試圖連接我的某個端口時我該怎么辦?
你可以使用Netcat建立一個偵聽進程。例如,你想偵聽1234端口:
NETCAT -L -p 1234
許多協(xié)議都會在連接開始的部分發(fā)送數(shù)據(jù)。當(dāng)使用Netcat偵聽某個端口時,你能想辦法搞清在使用什么協(xié)議。如果幸運的話,你會發(fā)現(xiàn)是HTTP協(xié)議,它會為你提供大量信息,使你能追蹤發(fā)生的事情。
“-L”參數(shù)是讓Netcat持續(xù)偵聽。正常情況下Netcat會接受一個連接,復(fù)制其內(nèi)容,并退出。加上這個參數(shù)后,它可以持續(xù)運行以偵聽多個連接。
解讀防火墻記錄(我看到的是什么?)
二.ICMP
TCP和UDP能承載數(shù)據(jù),但I(xiàn)CMP僅包含控制信息。因此,ICMP信息不能真正用于入侵其它機器。Hacker們使用ICMP通常是為了掃描網(wǎng)絡(luò),發(fā)動DoS攻擊,重定向網(wǎng)絡(luò)交通。(這個觀點似乎不正確,可參考shotgun關(guān)于木馬的文章,譯者注)
一些防火墻將ICMP類型錯誤標(biāo)記成端口。要記住,ICMP不象TCP或UDP有端口,但它確實含有兩個域:類型(type)和代碼(code)。而且這些域的作用和端口也完全不同,也許正因為有兩個域所以防火墻常錯誤地標(biāo)記了他們。更多關(guān)于ICMP的知識請參考Infosec Lexicon entry on ICMP。
0 * Echo replay 對ping的回應(yīng)
3 * Destination Unreachable 主機或路由器返回信息:一些包未達(dá)到目的地
0 Net Unreachable 路由器配置錯誤或錯誤指定IP地址
1 Host Unreachable 最后一個路由器無法與主機進行ARP通訊
3 Port unreachable 服務(wù)器告訴客戶端其試圖聯(lián)系的端口無進程偵聽
4 Fragmentation Needed but DF set 重要:如果你在防火墻丟棄記錄中發(fā)現(xiàn)這些包,你應(yīng)該讓他們通過否則你的客戶端將發(fā)現(xiàn)TCP連接莫名其妙地斷開
4 * Source Quench Internet阻塞
5 * Redirect 有人試圖重定向你的默認(rèn)路由器,可能Hacker試圖對你進行“man-in-middle”的攻擊,使你的機器通過他們的機器路由。
8 * Echo Request ping
9 * Router Advertisement hacker可能通過重定向愕哪?系穆酚善?oS攻擊你的Win9x 或Solaris。鄰近的Hacker也可以發(fā)動man-in-the-middle的攻擊
11 * Time Exceeded In Transit 因為超時包未達(dá)到目的地
0 TTL Exceeded 因為路由循環(huán)或由于運行traceroute,路由器將包丟棄
1 Fragment reassembly timeout 由于沒有收到所有片斷,主機將包丟棄
12 * Parameter Problem 發(fā)生某種不正常,可能遇到了攻擊
(一) type=0 (Echo reply)
發(fā)送者在回應(yīng)由你的地址發(fā)送的ping,可能是由于以下原因:
有人在ping那個人:防火墻后面有人在ping目標(biāo)。
自動ping:許多程序為了不同目的使用ping,如測試聯(lián)系對象是否在線,或測定反應(yīng)時間。很可能是使用了類似VitalSign‘s Net.Medic的軟件,它會發(fā)送不同大小的ping包以確定連接速度。
誘騙ping掃描:有人在利用你的IP地址進行ping掃描,所以你看到回應(yīng)。
轉(zhuǎn)變通訊信道:很多網(wǎng)絡(luò)阻擋進入的ping(type=8),但是允許ping回應(yīng)(type=0)。因此,Hacker已經(jīng)開始利用ping回應(yīng)穿透防火墻。例如,針對internet站點的DdoS攻擊,其命令可能被嵌入ping回應(yīng)中,然后洪水般的回應(yīng)將發(fā)向這些站點而其它Internet連接將被忽略。
(二) Type=3 (Destination Unreachable)
在無法到達(dá)的包中含有的代碼(code)很重要
記住這可以用于擊敗“SYN洪水攻擊”。即如果正在和你通訊的主機受到“SYN洪水攻擊”,只要你禁止ping(type=3)進入,你就無法連接該主機。
有些情況下,你會收到來自你從未聽說的主機的ping(type=3)包,這通常意味著“誘騙掃描”。攻擊者使用很多源地址向目標(biāo)發(fā)送一個偽造的包,其中有一個是真正的地址。Hacker的理論是:受害者不會費力從許多假地址中搜尋真正的地址。
解決這個問題的最好辦法是:檢查你看到的模式是否與“誘騙掃描”一致。比如,在ICMP包中的TCP或UDP頭部分尋找交互的端口。
1) Type = 3, Code = 0 (Destination Net Unreachable)
無路由器或主機:即一個路由器對主機或客戶說,:“我根本不知道在網(wǎng)絡(luò)中如何路由!包括你正連接的主機”。這意味著不是客戶選錯了IP地址就是某處的路由表配置錯誤。記住,當(dāng)你把自己UNIX機器上的路由表搞亂后你就會看到“無路由器或主機”的信息。這常發(fā)生在配置點對點連接的時候。
2) Type = 3, Code = 3 (Destination Port Unreachable)
這是當(dāng)客戶端試圖連擊一個并不存在的UDP端口時服務(wù)器發(fā)送的包。例如,如果你向161端口發(fā)送SNMP包,但機器并不支持SNMP服務(wù),你就會收到ICMP Destination Port Unreachable包。
解碼的方案
解決這個問題的第一件事是:檢查包中的端口。你可能需要一個嗅探器,因為防火墻通常不會記錄這種信息。這種方法基于ICMP原始包頭包含IP和UDP頭。以下是復(fù)制的一個ICMP unreachable包:
00 00 BA 5E BA 11 00 60 97 07 C0 FF 08 00 45 00
00 38 6F DF 00 00 80 01 B4 12 0A 00 01 0B 0A 00
01 C9 03 03 C2 D2 00 00 00 00 45 00 00 47 07 F0
00 00 80 11 1B E3 0A 00 01 C9 0A 00 01 0B 08 A7
79 19 00 33 B8 36
其中字節(jié)03 03是ICMP的類型和代碼。最后8個字節(jié)是原始UDP頭,解碼如下:
08A7 UDP源端口 port=2215,可能是臨時分配的,并不是很重要。
7919 UDP目標(biāo)端口 port=31001,很重要,可能原來用戶想連接31001端口的服務(wù)。
0033 UDP長度 length=51,這是原始UDP數(shù)據(jù)的長度,可能很重要。
B836 UDP校驗和 checksum=0xB836,可能不重要。
你為什么會看到這些?
“誘騙UDP掃描”:有人在掃描向你發(fā)送ICMP的機器。他們偽造源地址,其中之一是你的IP地址。他們實際上偽造了許多不同的源地址使受害者無法確定誰是攻擊者。如果你在短時間內(nèi)收到大量來自同一地址的這種包,很有可能是上述情況。檢查UDP源端口,它總在變化的話,很可能是Scenario。
“陳舊DNS”:客戶端會向服務(wù)器發(fā)送DNS請求,這將花很長時間解析。當(dāng)你的DNS服務(wù)器回應(yīng)的時候,客戶端可能已經(jīng)忘記你并關(guān)閉了用于接受你回應(yīng)的UDP端口。如果發(fā)現(xiàn)UDP端口值是53,大概就發(fā)生了這種情況。這是怎么發(fā)生的?服務(wù)器可能在解析一個遞歸請求,但是它自己的包丟失了,所以它只能超時然后再試。當(dāng)回到客戶時,客戶認(rèn)為超時了。許多客戶程序(尤其是Windows中的程序)自己做DNS解析。即它們自己建立SOCKET進行DNS解析。如果它們把要求交給操作系統(tǒng),操作系統(tǒng)就會一直把端口開在那里。
“多重DNS回應(yīng)”:另一種情況是客戶收到對于一個請求的多重回應(yīng)。收到一個回應(yīng),端口就關(guān)閉了,后序的回應(yīng)無法達(dá)到。此外,一個Sun機器與同一個以太網(wǎng)中的多個NICs連接時,將為兩個NICs分配相同的MAC地址,這樣Sun機器每楨會收到兩個拷貝,并發(fā)送多重回復(fù)。還有,一個編寫的很糟糕的客戶端程序(特別是那些吹噓是多線程DNS解析但實際上線程不安全的程序)有時發(fā)送多重請求,收到第一個回應(yīng)后關(guān)閉了Socket。但是,這也可能是DNS欺騙,攻擊者既發(fā)送請求由發(fā)送回應(yīng),企圖使解析緩存崩潰。
“NetBIOS解析”:如果Windows機器接收到ICMP包,看看UDP目標(biāo)端口是否是137。如果是,那就是windows機器企圖執(zhí)行g(shù)ethostbyaddr()函數(shù),它將將會同時使用DNS和NetBIOS解析IP地址。DNS請求被發(fā)送到某處的DNS服務(wù)器,但NetBIOS直接發(fā)往目標(biāo)機器。如果目標(biāo)機器不支持NetBIOS,目標(biāo)機器將發(fā)送ICMP unreachable。
“Traceroute”:大多數(shù)Traceroute程序(Windows中的Tracert.exe除外)向關(guān)閉的端口發(fā)送UDP包。這引起一系列的背靠背的ICMP Port Unreachable包發(fā)回來。因此你看到防火墻顯示這樣ICMP包,可能是防火墻后面的人在運行Traceroute。你也會看到TTL增加。
3) Type = 3, Code = 4 (Fragmentation Needed and Don‘t Fragment was Set)
這是由于路由器打算發(fā)送標(biāo)記有(DF, 不允許片斷)的IP報文引起的。為什么?IP和TCP都將報文分成片斷。TCP在管理片斷方面比IP有效得多。因此,餞堆趨向于找到“Path MTU”(路由最大傳輸單元)。在這個過程將發(fā)送這種ICMP包。
假設(shè)ALICE和BOB交談。他們在同一個以太網(wǎng)上(max frame size = 1500 bytes),但是中間有連接限制最大IP包為600 byte。這意味著所有發(fā)送的IP包都要由路由器切割成3個片斷。因此在TCP層分割片斷將更有效。TCP層將試圖找到MTU(最大傳輸單元)。它將所有包設(shè)置DF位(Don‘t Fragment),一旦這種包碰到不能傳輸如此大的包的路由器時路由器將發(fā)回ICMP錯誤信息。由此,TCP層能確定如何正確分割片斷。
你也許應(yīng)該允許這些包通過防火墻。否則,當(dāng)小的包可以通過達(dá)到目的地建立連接,而大包會莫名其妙的丟失斷線。通常的結(jié)果是,人們只能看到Web頁僅顯示一半。
路由最大傳輸單元的發(fā)現(xiàn)越來越整合到通訊中。如IPsec需要用到這個功能。
(三) Type = 4 (Source Quench)
這種包可能是當(dāng)網(wǎng)絡(luò)通訊超過極限時由路由器或目的主機發(fā)送的。但是當(dāng)今的許多系統(tǒng)不生成這些包。原因是現(xiàn)在相信簡單包丟失是網(wǎng)絡(luò)阻塞的最后信號(因為包丟失的原因就是阻塞)。
現(xiàn)在source quenches的規(guī)則是(RFC 1122):
路由器不許生成它們
主機可以生成它們
主機不能隨便生成它們
防火墻應(yīng)該丟棄它們
但是,主機遇到Source Quench仍然減慢通訊,因此這被用于DoS。防火墻應(yīng)該過濾它們。如果懷疑發(fā)生DoS,包中的源地址是無意義的,因為IP地址肯定是虛構(gòu)的。
已知某些SMTP服務(wù)器會發(fā)送Source Quench。
(四) Type = 8 (Echo aka PING)
這是ping請求包。有很多場合使用它們;它可能意味著某人掃描你機器的惡意企圖,但它也可能是正常網(wǎng)絡(luò)功能的一部分。參見Type = 0 (Echo Response)
很多網(wǎng)絡(luò)管理掃描器會生成特定的ping包。包括ISS掃描器,WhatsUp監(jiān)視器等。這在掃描器的有效載荷中可見。許多防火墻并不記錄這些,因此你需要一些嗅探器捕捉它們或使用入侵檢測系統(tǒng)(IDS)標(biāo)記它們。
記住,阻擋ping進入并不意味著Hacker不能掃描你的網(wǎng)絡(luò)。有許多方法可以代替。例如,TCP ACK掃描越來越流行。它們通常能穿透防火墻而引起目標(biāo)系統(tǒng)不正常的反應(yīng)。
發(fā)送到廣播地址(如x.x.x.0或x.x.x.255)的ping可能在你的網(wǎng)絡(luò)中用于smurf放大。
(五) Type = 11 (Time Exceeded In Transit)
這一般不會是Hacker或Cracker的攻擊
1) Type = 11, Code = 0 (TTL Exceeded In Transit)
這可能有許多事情引起。如果有人從你的站點traceroute到Internet,你會看到許多來自路由器的TTL增加的包。這就是traceroute的工作原理:強迫路由器生成TTL增加的信息來發(fā)現(xiàn)路由器。