解读防火墙记录(三)
http://www.vlan9.com 作者: 2005-12-02 来源:进入讨论

  三) 我发现一种对于同一系列端口的扫描来自于Internet上变化很大的源地址
  这通常是由于“诱骗”扫描(decoy scan),如nmap。其中一个是攻击者,其它的则不是。
  
  利用防火墙规则和协议分析我们可以追踪他们是谁?例如:如果你ping每个系统,你就可以将获得的TTL与那些连接企图相匹配。这样你至少可以哪一个是“诱骗”扫描(TTL应该匹配,如果不匹配则他们是被“诱骗”了)。不过,新版本的扫描器会将攻击者自身的TTL随机化,这样要找出他们回更困难。
  你可以进一步研究你的防火墙记录,寻找在同一子网中被诱骗的地址(人)。你通常会发现攻击者刚刚试图对你连接,而被诱骗者不会。
  
  四) 特洛伊木马扫描是指什么?
  特洛伊木马攻击的第一步是将木马程序放置到用户的机器上。常见的伎俩有:
  1) 将木马程序发布在Newsgroup中,声称这是另一种程序。
  2) 广泛散布带有附件的E-mail
  3) 在其Web上发布木马程序
  4) 通过即时通讯软件聊天系统发布木马程序(ICQ, AIM, IRC等)
  5) 伪造ISP(如AOL)的E-mail哄骗用户执行程序(如软件升级)
  6) 通过“文件与打印共享”将程序Copy至启动组
  
  下一步将寻找可被控制的机器。最大的问题是上述方法无法告知Hacker/Cracker受害者的机器在哪里。因此,Hacker/Cracker扫描Internet。
  这就导致防火墙用户(包括个人防火墙用户)经常看到指向他们机器的扫描。他们的机器并没有被攻击,扫描本身不会造成什么危害。扫描本身不会造成机器被攻击。真正的管理员会忽略这种“攻击”
  
  以下列出常见的这种扫描。为了发现你的机器是否被种了木马,运行“NETSTAT -an”。查看是否出现下列端口的连接。
  
  
  Port Trojan
  555 phAse zero
  1243 Sub-7, SubSeven
  3129 Masters Paradise
  6670 DeepThroat
  6711 Sub-7, SubSeven
  6969 GateCrasher
  21544 GirlFriend
  12345 NetBus
  23456 EvilFtp
  27374 Sub-7, SubSeven
  30100 NetSphere
  31789 Hack‘a‘Tack
  31337 BackOrifice, and many others
  50505 Sockets de Troie
  
  更多信息查看: http://www.commodon.com/threat/threat-ports.htm
  
  1. 什么是SUBSEVEN(sub-7)
  
  Sub-7是最有名的远程控制木马之一。现在它已经成为易于使用,功能强大的一种木马。原因是:
  1〕 它易于获得,升级迅速。大部分木马产生后除了修改bug以外开发就停止了。
  2〕 这一程序不但包含一个扫描器,还能利用被控制的机器也进行扫描。
  3〕 制作者曾比赛利用sub-7控制网站。
  4〕 支持“端口重定向”,因此任何攻击者都可以利用它控制受害者的机器。
  5〕 具有大量与ICQ, AOL IM, MSN Messager和Yahoo messenger相关的功能,包括密码嗅探,发送消息等。
  6〕 具有大量与UI相关的功能,如颠倒屏幕,用受害者扩音器发声,偷窥受害者屏幕。
  简而言之它不仅是一种hacking工具而且是一种玩具,恐吓受害者的玩具。
  
  Sub-7是由自称“Mobman”的人写的,他的站点是http://subseven.slak.org/。
  Sub-7可能使用以下端口:
  
  1243 老版本缺省连接端口
  2772 抓屏端口
  2773 键盘记录端口
  6711 ???
  6776 我并不清楚这个端口是干什么用的,但是它被作为一些版本的后面 (即不用密码也能连接)。
  7215 "matrix" chat程序
  27374 v2.0缺省端口
  54283 Spy端口
  
  五) 来自低端口的DNS包
  Q:我看见许多来自1024端口以下的DNS请求。这些服务是“保留”的吗?他们不是应该使用1024-65535端口吗?
  A:他们来自于NAT防火墙后面的机器。NAT并不需要保留端口。(Ryan Russell http://www.sybase.com/)
  
  Q:我的防火墙丢弃了许多源端口低于1024的包,所以DNS查询失败。
  A:不要用这种方式过滤。许多防火墙有类似的规则,但这是一种误导。因为Hacker/Cracker能伪造任何端口。
  
  Q:这些NAT防火墙工作不正常吗?
  A:理论上不是,但实际上会导致失败。正确的方式是在任何情况下完全保证DNS通讯。(尤其在那些“代理”DNS并强迫DNS通过53端口的情况下)
  
  Q:我以为DNS查询应该使用1024端口以上的随机端口?
  A:实际上,一般DNS客户将使用非保留端口。但是有许多程序使用53端口。在任何情况下,NAT都会完全不同,因为它改变了所有SOCKET(IP+port combo)
  
  
  六) 一旦我拨号连接到ISP后,我的个人防火墙就开始警告“有人在探测你的xxxx端口”。
  这种情况很常见。因为你使用ISP分配给你的IP,而在你使用之前刚有人使用。你看到的是上一个用户的“残留”信息。
  常见的例子是聊天程序。如果有人刚刚挂断,刚才和他聊天的人会继续试图连接。一些程序的“超时”设置很长。如POWWOW或ICQ。
  另一个例子是多人在线游戏。你会看到来自游戏提供者的通讯(如MPlayer),或其它不知名的游戏服务器。这些游戏通常基于UDP,因此无法建立连接。但为了获得较好的用户感觉,他们对于建立连接又很“执着”。以下是一些游戏的端口:
  
  7777 Unreal, Klingon Honor Guard
  7778 Unreal Tournament
  22450 Sin
  26000 Quake
  26900 Hexen 2
  26950 HexenWorld
  27015 Half-life, Team Fortress Classic (TFC)
  27500 QuakeWorld
  27910 Quake 2
  28000-28008 Starsiege TRIBES (TRIBES.DYNAMIX.COM)
  28910 Heretic 2
  
  另一个例子是多媒体广播、电视。如RealAudio客户端使用6970-7170端口接收声音数据。
  
  你需要连接的来源。例如ICQ服务器运行于4000端口,而其客户端使用更高的随机端口。这就是说你会看到你会看到从4000端口到高端随机端口的UDP包。换句话说,不要试图查询端口列表找到随机高端端口的用途。重要的是源端口。
  
  Sub-7也有类似问题。它使用不同的TCP连接用于不同的服务。如果受害者的机器下线,它会持续企图连接受害者机器的端口,特别是6776端口。
  
关键字:软件  聊天  共享  服务器  防火墙  多媒体  sybase  nat  msn  ie  icq  
进入讨论

相关文章 热点排行:
·CSVPN考后心得
·898分过CSVPN 考后心得
·VPN技术详解(3)
·“超级”以太网—VPLS技术及应用综述
·SSL VPN -- 可管理业务的下一个浪潮
·虚拟专用网VPN在企业中应用
·IPsec,Freeswan,VPN资料
·基于IPSec的VPN技术原理于实现
·IP/MPLS VPN安全吗?
·CIW实验教程:使用PGP实现VPN的实施
 ·浅论网络防火墙技术
·新型防火墙技术
·防火墙基础
·深入浅出谈防火墙(上)
·Cisco PIX 525防火墙
·防火墙指南之技术篇
·防火墙,自身别着火!
·防火墙选择哪一款
·linux防火墙实现技术比较
·IPSec基础-IPSec体系结构