解读防火墙记录2

为了寻找可被攻击的已知的 RPC服务。

33434~33600 traceroute
  如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。参见traceroute部分。

41508 Inoculan
  早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见 http://www.circlemud.org/~jelson/software/udpsend.html 和 http://www.ccd.bnl.gov/nss/tips/inoculan/index.html


二） 下面的这些源端口意味着什么？

端口1~1024是保留端口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。参见1.9。
常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。
Server Client 服务 描述
1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
20/tcp 动态 FTP FTP服务器传送文件的端口
53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播。
27910~27961/udp
  动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器（IP Masquerade）

三） 我发现一种对于同一系列端口的扫描来自于Internet上变化很大的源地址
这通常是由于“诱骗”扫描（decoy scan），如nmap。其中一个是攻击者，其它的则不是。

利用防火墙规则和协议分析我们可以追踪他们是谁？例如：如果你ping每个系统，你就可以将获得的TTL与那些连接企图相匹配。这样你至少可以哪一个是“诱骗”扫描（TTL应该匹配，如果不匹配则他们是被“诱骗”了）。不过，新版本的扫描器会将攻击者自身的TTL随机化，这样要找出他们回更困难。
你可以进一步研究你的防火墙记录，寻找在同一子网中被诱骗的地址（人）。你通常会发现攻击者刚刚试图对你连接，而被诱骗者不会。

四） 特洛伊木马扫描是指什么？
特洛伊木马攻击的第一步是将木马程序放置到用户的机器上。常见的伎俩有：
1) 将木马程序发布在Newsgroup中，声称这是另一种程序。
2) 广泛散布带有附件的E-mail
3) 在其Web上发布木马程序
4) 通过即时通讯软件或聊天系统发布木马程序（ICQ, AIM, IRC等）
5) 伪造ISP（如AOL）的E-mail哄骗用户执行程序（如软件升级）
6) 通过“文件与打印共享”将程序Copy至启动组

下一步将寻找可被控制的机器。最大的问题是上述方法无法告知Hacker/Cracker受害者的机器在哪里。因此，Hacker/Cracker扫描Internet。
这就导致防火墙用户(包括个人防火墙用户)经常看到指向他们机器的扫描。他们的机器并没有被攻击，扫描本身不会造成什么危害。扫描本身不会造成机器被攻击。真正的管理员会忽略这种“攻击”

以下列出常见的这种扫描。为了发现你的机器是否被种了木马，运行“NETSTAT －an”。查看是否出现下列端口的连接。


Port Trojan  
555 phAse zero  
1243 Sub-7, SubSeven  
3129 Masters Paradise  
6670 DeepThroat  
6711 Sub-7, SubSeven  
6969 GateCrasher  
21544 GirlFriend  
12345 NetBus  
23456 EvilFtp  
27374 Sub-7, SubSeven  
30100 NetSphere  
31789 Hack‘a‘Tack  
31337 BackOrifice, and many others  
50505 Sockets de Troie  


1. 什么是SUBSEVEN（sub-7）

Sub-7是最有名的远程控制木马之一。现在它已经成为易于使用，功能强大的一种木马。原因是：
1〕 它易于获得，升级迅速。大部分木马产生后除了修改bug以外开发就停止了。
2〕 这一程序不但包含一个扫描器，还能利用被控制的机器也进行扫描。
3〕 制作者曾比赛利用sub-7控制网站。
4〕 支持“端口重定向”，因此任何攻击者都可以利用它控制受害者的机器。
5〕 具有大量与ICQ, AOL IM, MSN Messager和Yahoo messenger相关的功能，包括密码嗅探，发送消息等。
6〕 具有大量与UI相关的功能，如颠倒屏幕，用受害者扩音器发声，偷窥受害者屏幕。
简而言之它不仅是一种hacking工具而且是一种玩具，恐吓受害者的玩具。

Sub-7是由自称“Mobman”的人写的，他的站点是http://subseven.slak.org/。
Sub-7可能使用以下端口：

1243 老版本缺省连接端口
2772 抓屏端口
2773 键盘记录端口
6711 ???
6776 我并不清楚这个端口是干什么用的，但是它被作为一些版本的后面 (即不用密码也能连接)。
7215 "matrix" chat程序
27374 v2.0缺省端口
54283 Spy端口

五） 来自低端口的DNS包
Q：我看见许多来自1024端