Dieser Artikel erklärt Ihnen Rekord Ihre Firewall (Log) zu sehen, was? Gerade diese Häfen bedeuten? Sie können die Informationen zu beurteilen, verwenden: Ich erhielt Hacker-Attacke? Er / sie am Ende wollen Sie tun? Dies gilt sowohl für Enterprise-Class-Firewall-Security-Experten zu pflegen, sondern auch auf die Verwendung von persönlichen Firewall Benutzer zu Hause anwenden.
Erstens, was ist von den Ziel-Port gemeint ZZZZ
Alle Mitteilungen werden durch die Firewall einen Teil verbunden. Eine Verbindung enthält ein Paar von jeder "sprechen" die IP-Adresse und ein Paar von IP-Adressen mit den entsprechenden Port. Destination Port bedeutet normalerweise, dass ein Dienst verbunden. Wenn die Firewall blockiert (block) eine Verbindung, wird es den Ziel-Port "auf Platte sein" (Logfile). Dieser Abschnitt beschreibt die Bedeutung dieser Häfen.
Port lässt sich in drei große Kategorien unterteilt werden:
1) anerkannt Hafen (well known ports): 0 bis 1023 sind sie eng in einige Dienste gebunden. Diese Ports sind in der Regel eine Art von Kommunikation klar, dass die Vereinbarung über Dienstleistungen. Zum Beispiel: HTTP-Kommunikation ist immer Port 80 in der Tat.
2) Die registrierte Ports (Registered Ports): von 1024 bis 49.151. Sie sind locker, einige Dienste gebunden. Es gibt viele Dienste, die eine Bindung an diese Ports, diese Ports sind auch für viele andere Zwecke verwendet. Zum Beispiel: viele Systeme Umgang mit dynamischen Ports ab etwa 1024.
3) Dynamische und / oder private Ports (Dynamic und / oder Private Ports): von 49.152 auf 65.535. In der Theorie sollten diese Ports nicht für den Dienst zugeteilt werden. In der Tat, die Maschine in der Regel dynamische Port-Zuweisung von 1024 ab. Aber es gibt Ausnahmen: Suns RPC-Ports ab 32768 ergibt.
Wo umfassender Port-Informationen:
1. ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers
"Assigned Numbers" RFC, die offizielle Quelle Portzuordnung.
2. http://advice.networkice.com/advice/Exploits/Ports/
Port Datenbank, die die Port-Nummer des Systems Schwachstellen enthält.
3. / Etc / services
UNIX-System-Dateien / etc / services enthält die gängigen UNIX Portzuordnung Liste. Windows NT wird die Datei in% systemroot% / system32/drivers/etc/services gelegen.
4. http://www.con.wesleyan.edu/ ~ triemer / network / docservs.html
Bestimmtes Protokoll und Port.
5. http://www.chebucto.ns.ca/ ~ rakerman / Trojaner-port-table.html
Beschreibt eine Reihe von Ports.
6. http://www.tlsecurity.com/trojanh.htm
TLSecurity der Trojaner Port-Liste. Anders als bei anderen Menschen Sammlungen, die ich getestet habe alle Ports.
7. http://www.simovits.com/nyheter9902.html
Trojan Horse Detection
Zweitens, in der Regel die Firewall TCP / UDP Port-Scan, was?
Dieser Abschnitt beschreibt in der Regel TCP / UDP Port-Scan die Firewall Informationen im Datensatz. Merke: Es gibt keine sogenannte ICMP-Port. Wenn Sie daran interessiert sind, Dateninterpretation ICMP finden Sie den Rest dieses Artikels.
0 wird normalerweise benutzt, um das Betriebssystem zu analysieren. Dieser Ansatz kann, weil in einigen Systemen arbeiten, "0" ist ungültig Hafen, wenn Sie einen Öffner Anschluss zu verwenden, verbinden Sie es unterschiedliche Ergebnisse erzeugen versuchen. Ein typischer Scan: Mit IP-Adresse 0.0.0.0, setzen Sie das ACK-Bit in der Ethernet-Schicht übertragen.
[Weiter]
1 tcpmux Dies zeigt, dass Menschen für SGI Irix Maschinen suchen. IRIX ist ein führender Anbieter von tcpmux erreichen, default tcpmux in diesem System wird geöffnet. Iris zum Zeitpunkt der Maschine enthält mehrere Standard-Konten ohne Passwörter, wie z. B. lp, Gast, uucp, nuucp, Demos, Tutor, diag, EZsetup, OutOfBox und 4Dgifts. Viele Administratoren vergessen, diese Konten nach der Installation löschen. Deshalb Hacker im Internet suchen tcpmux und Verwendung dieser Konten.
7 Echo können Sie sehen, eine Menge Leute, die Suche nach Fraggle-Verstärker, ist xxx0 und xxx255 Informationen gesendet werden.
DoS-Angriffe sind eine häufige echo Schleife (echo-loop), sind die Angreifer schickt gefälschte von einer Maschine auf eine andere Maschine die UDP-Pakete, jeweils die zwei Maschinen der schnellste Weg, um diese Pakete zu reagieren. (Siehe Chargen)
Eine andere Sache ist das Wort in Port DoubleClick etablierte TCP-Verbindung. Es gibt ein Produkt namens "Global Resonate Dispatch", um seine Verbindung mit dem DNS des Hafens bestimmt der nächste Weg.
Harvest / Squid-Cache aus dem Port 3130 zu schicken UDP-Echo: "Wenn Sie den Cache des source_ping auf Optionen offen, es dem ursprünglichen Wirt der UDP-Port wird Echo in Reaktion auf eine HIT antworten." Dies würde viele solcher Pakete haben.
11 sysstat Dies ist ein UNIX-Dienst, dass alle Maschinen laufen Prozesse Liste wird und was ist der Prozess begonnen. Dies bietet eine Vielzahl von Informationen für den Eindringling, um die Sicherheit der Maschine, wie die Exposition gegenüber einige der Schwächen oder die Konten der bekannten Verfahren drohen. Das UNIX-System "ps" Befehl wie die Ergebnisse der
Sag es noch einmal: ICMP-Port nicht, ist ICMP Port 11 normalerweise ICMP type = 11
19 chargen Dies ist ein Zeichen nur für den Service zu verschicken. Version von UDP UDP-Paket empfangen werden, nachdem die Antwort beinhaltet das Paket des LJ Charakter. TCP-Verbindung sendet den Datenstrom mit den LJ Charakter, der Verbindung geschlossen. Hacker verwenden können, um DoS-Attacken auf IP Täuschung zu starten. Forged zwischen den beiden chargen-Server UDP-Pakete. Da der Server versucht, die unendliche zwischen zwei Servern zu reagieren aus einer chargen und echo Datenkommunikation wird Überlastung des Servers führen. Ebenso fraggle DoS-Attacken von diesem Port an die Zieladresse mit einem gefälschten Opfer Broadcast IP-Datenpakete, die Opfer in Reaktion auf die Datenflut.
21 FTP für die häufigsten Angreifer zu finden, öffnen Sie den "anonymen" in den FTP-Server Ansatz. Diese Server können lesen und schreiben mit dem Verzeichnis. Hacker oder Cracker verwenden diese Server als Lieferung warez (private-Programm), und pr0n (absichtlich falsch geschriebene Wörter und vermeiden Sie die Suchmaschinen-Kategorie) des Knotens.
22 ssh pcAnywhere und den Hafen zu schaffen TCP-Verbindung kann man ssh finden. Der Service hat viele Schwächen. Wenn ein bestimmtes Muster konfiguriert, und viele nutzen RSAREF Version der Bibliothek gibt es viele Schlupflöcher. (Empfohlen in anderen Häfen zu ssh run)
Es sollte auch darauf hingewiesen werden, dass der ssh-Kit mit einem Namen make-ssh-known-hosts des Programms. Es scannt den gesamten Bereich der SSH Host. Manchmal werden Sie mit diesem Verfahren wurden versehentlich gescannt.
UDP (nicht TCP) und das andere Ende der 5632-Port angeschlossen, um den Scanvorgang impliziert die Existenz der Suche pcAnywhere. 5632 (hexadezimal 0x1600) Bit nach dem Austausch ist 0x0016 (bis 22 dezimal).
23 Telnet Remote Login UNIX Eindringling in den Suchdienst. In den meisten Fällen den Eindringling Scan des Hafens ist die Maschine mit dem Betriebssystem zu finden. Darüber hinaus Verwendung anderer Technologien, die Eindringlinge zu finden, das Passwort.
25 SMTP Angreifer (Spammer) zu finden, SMTP-Server zu ihren Spam zu verschicken. Intruder gesamten Account geschlossen wird, müssen sie DFÜ-Verbindungen mit hoher Bandbreite, um E-Mail-Server, die einfache Botschaft an eine andere Adresse. SMTP-Server (insbesondere sendmail) in das System ist eines der am häufigsten verwendete Methode, weil sie die zur vollständigen Internet ausgesetzt werden muss und die E-Mail-Routing ist komplex (+ = komplexe ausgesetzt Schwächen).
53 DNS-Hacker oder Cracker kann zu regionalen Verteilerverkehr (TCP) werden versuchen, Täuschung DNS (UDP) oder auszublenden anderen Mitteilungen. So oft der Firewall-Port-Filterung oder Aufzeichnungen 53.
Beachten Sie, dass Sie häufig sehen, ein 53-Port als UDP Source Port. Firewalls sind meist instabil, um diese Kommunikation zu ermöglichen, und gehen davon aus, dass dies eine DNS-Abfrage-Antworten ist. Hacker verwenden häufig diese Methode durch die Firewall.
67 und 68 BOOTP und DHCP UDP über BOOTP / DHCP: von DSL-und Kabel-Modem-Firewall werden sehen, eine große Anzahl von oft auf die Broadcast-Adresse 255.255.255.255 gesendeten Daten. Die Maschine fordert eine Adresse an den DHCP-Server zugewiesen. Hacker regelmäßigen Zugang zu ihren zugewiesenen einer Adresse an den lokalen Router und startete selbst als eine große Zahl von "Vermittlern" (Man-in-Mitte) anzugreifen. Die Client-Port 68 (bootps) Broadcast-Anfrage Konfiguration der Server-Port 67 (bootpc) Broadcast-Anfrage. Diese Reaktion ist die Ausstrahlung, weil der Kunde nicht weiß, um die IP-Adresse zu senden verwenden.
69 TFTP (UDP) zusammen mit einer Reihe von Server-und BOOTP zu bieten diesen Service, einfach aus dem System-Boot-Code herunterzuladen. Aber sie sind oft falsch konfiguriert, um alle Dokumente aus dem System beinhalten, wie die Passwort-Datei. Sie kann auch verwendet werden, um Dateien auf dem System zu schreiben.
79 Finger Hacker verwendet, um Nutzer Informationen zu erhalten, überprüfen Sie das Betriebssystem auf Pufferüberlauf-Fehler zu erkennen ist bekannt, dass auf andere Maschinen aus ihrem Finger reagieren Scan Maschine.
[Weiter]
98 linuxconf Dieses Programm bietet eine einfache Verwaltung von Linux-Boxen. Durch den integrierten HTTP-Server-Port in den 98 Service-basierte Web-Schnittstelle. Es hat viele Sicherheitsprobleme gefunden. Einige Versionen von setuid root, Vertrauen in lokale Netzwerke, in / tmp unter die Einrichtung von Internet zugänglichen Dateien, Umgebungsvariable LANG für einen Pufferüberlauf. Darüber hinaus ist die Integration der Server, weil es viele der typischen HTTP Schwachstelle enthält, kann noch existieren (buffer overflow, Kalender der ganzen Katalog, etc.)
109 POP2 ist nicht so bekannt wie POP3, viele Server bieten sowohl Dienste (Abwärtskompatibilität). POP3-Server auf der gleichen Schwachstelle existiert auch in POP2.
110 POP3-Server für Client-Zugriff auf Mail-Service. POP3-Dienst anerkannt hat viele Schwächen. Austausch von Benutzernamen und Kennwort Pufferüberlauf mindestens 20 (was bedeutet, dass Hacker kann wirklich in das System vor der Landung). Nach der erfolgreichen Landung gibt es noch andere Pufferüberlauf-Fehler.
111 sunrpc portmap rpcbind Sun RPC PortMapper / rpcbind. Der Zugang zum System gescannt wird sehen, was von RPC-Diensten, den ersten Schritt ermöglichen Portmapper. Gemeinsame RPC-Dienste: rpc.mountd, rpc.statd NFS, rpc.csmd, rpc.ttybd, AMD so weiter. Intruder fand den Service, damit die RPC-Dienste werden zu einem bestimmten Hafen Prüfabgriff verlagern.
Denken Sie daran, Zeile in der Daemon, IDS, Sniffer oder aufzeichnen, können Sie sehen, welche Programme verwenden, um den Eindringling zu entdecken, was am Ende passiert ist zuzugreifen.
113 Ident auth Das ist eine Menge von Maschinen, die das Protokoll TCP-Verbindung verwendet, um den Benutzer zu identifizieren. Dieser Service nutzt die Standard-Informationen zur Verfügung zu viele Maschinen (Hacker verwendet werden). Aber es kann als Recorder von vielen Diensten verwendet werden, vor allem FTP, POP, IMAP, SMTP und IRC Services. Normalerweise, wenn es viele Kunden, um diese Dienste durch die Firewall zugreifen, werden Sie sehen eine Reihe von Verbindungsanforderungen an diesen Port. Denken Sie daran, wenn Sie den Port des Clients auf der anderen Seite der Firewall und fühlen sich blockiert E-Mail-Server langsam zu verbinden. Viele Firewalls unterstützen die TCP-Verbindung zurück an den Prozess der RST-Block, wird die Rückkehr zu dieser langsame Verbindung zu stoppen.
119 NNTP-Newsgroups news Transfer Protocol, trägt USENET-Kommunikation. Wenn Sie zu verknüpfen, wie zB: news: / / comp.security.firewalls /. 'S Adresse verwenden normalerweise diesen Port. Der Hafen Verbindungsversuche werden in der Regel Menschen auf der Suche nach Usenet Server. Die meisten ISP-Kunden, dass sie nur begrenzt Zugang zu ihren News-Server-Gruppe. Öffnen Sie die News Group Server ermöglicht Senden / Lesen niemandes Post, ist der Zugang beschränkt sich auf die News-Gruppe, Server, anonyme Post oder Spam versenden.
135 oC-serv MS RPC-Endpunkt-Mapper Microsoft in diesem Hafen zu laufen DCE-RPC-Endpunkt-Zuordnung für die DCOM-Dienste. Diese UNIX 111-Port-Funktion ist ähnlich. Verwenden Sie DCOM und / oder RPC-Dienste verwenden die Maschine auf der Endpunktzuordnung Register ihres Standorts. Remote-Client auf dem Rechner zu verbinden, sie Abfrage Endpunktzuordnung den Standort von Dienstleistungen zu finden. Hacker scannt auch die Maschine ist für den Hafen zu finden wie: die Maschine läuft Exchange Server zu tun? Welche Version?
Darüber hinaus genutzt, um die Hafendienste (wie die Verwendung epdump Abfrage) kann auch für einen direkten Angriff genutzt werden. Einige DoS-Attacken in den Hafen geleitet.
137 NetBIOS Name Service nbtstat (UDP), der häufigsten Firewall-Administrator ist, bitte den Artikel in dem Abschnitt hinter dem NetBIOS lesen
139 NETBIOS Datei-und Druckerfreigabe-Verbindung über diesen Port zu versuchen, NetBIOS / SMB-Dienst zu bekommen. Dieses Protokoll wird für Windows "Datei-und Druckerfreigabe" verwendet und SAMBA. Das Internet auf die eigene Festplatte Aktie ist wahrscheinlich die häufigste Problem.
[Weiter]
Großes für den Hafen begann im Jahr 1999, dann allmählich weniger. 2000 wurden wieder zurückgeschickt. Einige VBS (IE5 VisualBasic Scripting) begann ihre eigene Kopie an diesen Port, versuchen, in diesem Hafen zu züchten.
143 IMAP-und POP3-Sicherheitsfragen oben, wie viele IMAP-Servern Buffer Overflow in der Landung Prozess ausgeführt haben. Denken Sie daran: Ein Linux-Wurm (admw0rm) wird über diesen Port zu züchten, so viele auf den Hafen von ahnungslosen Anwendern Scan infiziert wurden. Wenn RadHat Release ihrer Linux-Versionen ermöglichen IMAP verfügen standardmäßig über diese Schwachstellen populär geworden. Morris-Wurm war das erste Mal seit dem verbreiteten Würmer.
Der Hafen ist auch IMAP2 verwendet, aber nicht populär.
Einige Berichte haben festgestellt, dass einige der Angriff von 0 bis 143 Ports aus dem Skript.
161 SNMP (UDP)-Ports, die oft erkannt Eindringlinge. SNMP ermöglicht Remote-Management-Gerät. Alle Konfigurations-und operativen Daten in der Datenbank gespeichert ist, die Informationen über SNMP off erhalten. Viele Administratoren konfigurieren ihre Fehler ausgesetzt Internet. Crackers wird versuchen, den Standard zu verwenden Kennwort "public", "private" Zugriff auf das System. Sie können alle möglichen Kombinationen testen.
SNMP-Pakete kann die falsche Nummer an Ihr Netzwerk sein. Windows-Rechnern häufig durch falsche Konfiguration HP JetDirect Remote-Management-Software mit SNMP. HP OBJECT IDENTIFIER erhalten SNMP-Pakete. Die Analyse der neuen Version von Win98 mittels SNMP-Domäne, werden Sie dieses Paket in der Subnetz-Broadcast-sehen (Kabel-Modem, DSL)-Abfrage sysName und andere Informationen.
162 SNMP-Trap kann an falsch konfigurierten
177 xdmcp durch ihn Zugang zu vielen der Hacker X-Windows-Konsole, die müssen auch Port 6000 zu öffnen.
513 rwho kann das Kabelmodem oder DSL von der Landung verwenden, um die Subnetz-Broadcast von UNIX-Maschinen ausgestellt. Hacker diese Leute in ihr System bietet sehr interessante Informationen.
553 CORBA IIOP (UDP), wenn Sie Kabel-Modem oder DSL-VLAN verwenden, sehen Sie den Hafen von Rundfunk. CORBA ist eine objektorientierte RPC (Remote Procedure Call)-System. Hacker werden die Informationen in das System zu benutzen.
600 Pcserver Backdoor-Port 1524, siehe
Manche Kinder glauben, sie spielen Skript, indem Sie die ingreslock und pcserver Dokumente wurden komplett Pause das System - Alan J. Rosenthal.
635 mountd Linux mountd Bug. Dies ist eines der beliebtesten Bug zu scannen. Das meiste davon ist auf dem UDP-Port-Scan basiert, aber die Zunahme mountd TCP-basierte (mountd auf zwei Ports laufen). Denken Sie daran, mountd kann auf jedem Port (Wo liegt Port, Port 111 muss portmap Abfrage nicht ausgeführt werden), sondern Linux standardmäßig bis 635 Ports, wie zB NFS läuft normalerweise auf Port 2049.
1024 Viele Leute fragen diesen Anschluss nicht. Es ist der Beginn der dynamischen Port. Viele Programme egal welcher Port mit dem Netzwerk-Betriebssystem, um sie zuordnen ihren Antrag "die nächste unbenutzte Port zu verbinden." Basierend auf dieser Zuweisung von Port 1024 von Anfang an. Dies bedeutet, dass die erste Anforderung an das System dynamische Portzuordnung Verfahren Port 1024 zugewiesen. Um dies zu überprüfen, können Sie den Rechner neu starten, öffnen Sie den Telnet, und dann öffnet sich ein Fenster zu laufen "natstat-a", sehen Sie den Telnet-Port 1024 zugeordnet ist. Request Prozess dynamischer Port wird auch mehr. Das Betriebssystem zugewiesenen Port wird immer größer. Do it again, wenn Sie Webseiten durchsuchen mit dem "netstat", um anzuzeigen, muss jeder Web-Seite einen neuen Hafen.
1025 See 1024
1026 See 1024
1080 SOCKS
[Weiter]
Die Vereinbarung über die Kanäle, durch die Firewall Form, so dass viele Menschen hinter der Firewall durch eine IP-Adresse das Internet zugreifen. In der Theorie sollte es erlauben nur die interne Kommunikation nach außen Internet. Doch durch falsche Konfiguration, wird es die Hacker / Cracker's ist in den Angriff außerhalb der Firewall über die Firewall befindet. Oder einfach an den Computer im Internet zu reagieren, zu vertuschen, ihren direkten Angriff auf Ihre. WinGate ist eine beliebte Windows Personal Firewall, die obige Fehlermeldung tritt häufig Konfiguration. Oft Beitritt zum IRC-Chat-Raum werden sehen.
SQL 1114
System selbst nur selten die Ports scannen, aber oft sscan Teil des Skripts.
1243 Sub-7 Trojan (TCP)
Siehe Subseven Teil.
1524 ingreslock Hintertür
Viele Angriffe Skripte installieren eine Hintertür zu Shell in diesem Port (insbesondere gegen Sun-Systemen RPC-Service-Schwachstellen in Sendmail und Skripte, wie statd, ttdbserver und cmsd). Wenn Sie Ihre Firewall installiert nur in diesem Hafen Verbindungsversuche zu sehen, kann es der Grund sein. Sie können Telnet auf Ihren Rechner versuchen, auf diesem Port zu sehen, ob es geben, erhalten Sie eine Shell. Verbinden Sie es 600/pcserver dieses Problem.
2049 NFS
NFS-Programm läuft in der Regel auf diesem Port. Typischerweise benötigen Zugriff auf die Abfrage Portmapper-Dienst auf dem Port, aber die meisten der NFS installiert werden, um auf diesem Port läuft, Hacker / Cracker geschlossen werden kann und sich somit unmittelbar Test der Port offen Portmapper.
3128 squid
Dies ist der HTTP-Proxyserver Squid, den Standard-Port. Angreifer diesen Port Scan ist für einen Proxy-Server und anonymen Zugang zum Internet suchen. Sie sehen die Suche nach anderen Proxy-Server-Port: 8000/8001/8080/8888. Ein weiterer Grund für die Port-Scanning ist: Benutzer sind in die Chat-Raum. Andere Benutzer (oder der Server selbst) wird der Port-Test, um festzustellen, ob der Computer des Benutzers Agenten unterstützen. Bitte lesen Sie Abschnitt 5.3.
5632 pcAnywere
Sie werden sehen, eine Menge der Port-Scan, abhängig von Ihrem Standort. Wenn der Benutzer pcAnywere öffnet, wird es automatisch scannen C-Klasse Netzwerk LAN benötigen, um den Agenten (der Übersetzer: agent, dass anstatt der Proxy) zu finden. Hacker / Cracker wird der Dienst an der Maschine finden, zu öffnen, so sollte es um den Quell-Adresse eines solchen Scans. Einige suchen pcAnywere Scans enthält oft den UDP-Port 22 Pakete. Zeige Dial-up scannen.
6.776 Sub-7 Artefakt
Dieser Hafen ist der wichtigste Hafen von der Sub-7 separaten Anschluss für die Datenübertragung. Zum Beispiel, wenn der Controller über die Telefonleitung Kontrolle über eine andere Maschine, die Maschine bis zum Stillstand, wenn aufgeladen und Sie werden das sehen. So, wenn diese IP eine andere Person wählen, werden sie in den Hafen von Verbindungsversuche weiter sehen. (Übersetzung: Der Bericht des Hafens, dass die Firewall, wenn der Verbindungsversuch bedeutet nicht, müssen Sie Sub-7 gesteuert werden.)
6970 RealAudio
RealAudio-Client vom Server die UDP-Ports 6970-7170 den Empfang von Audio-Datenstrom. Dies wird durch die TCP7070 Hafen ausgehende Verbindung gesteuert.
13.223 PowWow
Ist Tribal Voice PowWow Chat-Programm. Es erlaubt Benutzern, einen privaten Hafen in diesem Zusammenhang zu plaudern. Dieses Verfahren ist für eine Verbindung mit "Offensive". Es wird "stationiert" in den TCP-Port wartet auf eine Antwort. Dies führte zu einem ähnlichen Taktintervall der Verbindungsversuche. Wenn Sie eine DFÜ-Benutzern, von einem anderen in die Hände der chat "erbte" die IP-Adresse dies geschehen wird: Wenn viele verschiedene Menschen in der Prüfung des Hafens. Dieses Protokoll verwendet "OPNG", wie die ersten vier Bytes der Verbindungsversuche.
17.027 Conducent
[Weiter]
Dies ist eine ausgehende Verbindung. Dies liegt daran, das Unternehmen mit Conducent "Adbot installiert wurde" Shareware. Conducent "Adbot" ist es, die Software zeigt Werbedienstleistungen teilen. Mit diesem Service eine populäre Software Pkware. Einige Tests: block die ausgehende Verbindung wird keine Probleme haben, aber Abdichtung der IP-Adresse selbst wird adbots führen weiterhin zu versuchen, mehrere Male pro Sekunde Verbindung Überlastung durch zu verbinden:
Die Maschine wird weiterhin versuchen, den DNS-Namen-ads.conducent.com, dass die IP-Adresse 216.33.210.40; beheben 216.33.199.77; 216.33.199.80; 216.33.199.81; 216.33.210.41. (Übersetzung: Ich weiß nicht, ob solche Phänomene NetAnts Radiate verwenden)
27.374 Sub-7 Trojan (TCP)
Siehe Subseven Teil.
30.100 netsphere Trojan (TCP)
In der Regel Port-Scan ist für eine netsphere Trojan suchen.
31.337 Back Orifice "Elite"
Hacker in 31.337 ausgesprochen "Elite" / ei'li: t / (Übersetzer: Französisch, in den Backbone des Wesens übersetzt. Das 3 = E, 1 = L, 7 = T). Deshalb laufen viele Backdoor-Programme auf diesem Port. Einer der berühmtesten ist Back Orifice. Dies war eine Zeit ist die häufigste Scannen Internet. Jetzt ist es weniger populär, die anderen populären Trojaner.
31.789 Hack-a-tack
Die UDP-Port-Kommunikation ist in der Regel aufgrund der "Hack-a-tack" Remote Access Trojan (Ratte, Remote Access Trojan). Dieser Trojaner enthält einen eingebauten 31.790 Port-Scanner, so dass alle 31 789 317 890 Hafen zu Hafen-Verbindung wurde mittels der Invasion. (31 789 Control Port angeschlossen ist, 317 890 File-Transfer-Port angeschlossen ist)
32.770 ~ 32.900 RPC-Dienst
Sun Solaris für RPC-Dienste in diesem Zusammenhang. Detaillierte sagte: Frühe Versionen von Solaris (2.5.1 vor) dem Portmapper in diesem Zusammenhang gestellt, auch wenn die niedrige Port von der Firewall geschlossen noch erlaubt Hacker / Cracker auf den Port zugreifen. Scan Bereich der Ports, die nicht zu Portmapper zu finden, ist für bekannte Angriffe RPC-Dienst werden sehen.
33.434 ~ 33.600 traceroute
Wenn Sie diesen Port in der UDP-Datenpakete (und nur in diesem Bereich) kann durch traceroute verursacht werden. Siehe traceroute Teil.
41.508 Inoculan
Frühe Versionen von Inoculan Subnetz werden große Mengen von UDP-Kommunikation verwendet werden, um sich gegenseitig zu identifizieren. Sehen
http://www.circlemud.org/ jelson ~ / software / udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan/index.html
Nach dem Quell-Port bedeuten?
Port 1 bis 1.024 Ports sind reserviert, sodass sie fast nicht der Quell-Port sein. Aber es gibt einige Ausnahmen, wie zB NAT-Verbindungen aus der Maschine. Siehe 1.9.
1024 von dem Hafen oft gesehen gefolgt, sie zu jenen Systemen zugeordnet sind, und egal, welcher Port für die Anwendung "dynamischen Port zu verbinden."
Server Client Services Description
1-5/tcp dynamischen Port bedeutet sscan Skript FTP 5.1
20/tcp FTP FTP-Servers die dynamische Schnittstelle zum Übertragen von Dateien
Dynamic DNS 53 FTP UDP-Antworten gesendet von diesem Port. Möglicherweise finden Sie auch die Quelle / Ziel-Port des TCP-Verbindung.
Dynamic 123 S / NTP Simple Network Time Protocol (S / NTP)-Server auf Port. Sie werden auch in den Hafen von Rundfunk gesendet werden.
27.910 ~ 27961/udp dynamischen Quake Quake oder Quake-Engine-driven-Spiele in den Hafen zu laufen dem Server. Also von dieser Seite
UDP Port-Bereich, um Pakete oder UDP-Pakete an diesem Port-Bereich senden wird in der Regel das Spiel.
Dynamic FTP 61.000 mehr als 61.000 Ports können von Linux-Server NAT (IP Masquerade kommen)
Drittens habe ich einen Port für die gleiche Abfolge von Veränderungen Scan aus dem Internet eine große Quelle-Adresse wird in der Regel als "Köder" scannen (Scan-Köder), wie nmap. Einer der Angreifer, der andere nicht.
Mit Firewall-Regeln und Protokoll-Analyse können wir verfolgen, wer sie sind? Zum Beispiel: Wenn Sie ping jedes System, können Sie das TTL entsprechen denen Verbindungsversuche. So können Sie zumindest das man "Decoy" scan (TTL passen sollte, wenn nicht, dann passen sie werden "gelockt" a). Allerdings wird die neue Version des Scanners der Angreifer eigenen TTL randomisiert werden, so schwierig sie zu finden zurück.
Sie können weitere Firewall-Logs, sucht im selben Subnetz, in die Adresse (Menschen gelockt werden). Sie in der Regel nur versuchen, den Angreifer zu dir zu verbinden zu finden, die nicht gelockt werden.
[Weiter]
4, Scan-Trojaner ist?
Trojanisches Pferd angreift, ist der erste Schritt, um den Trojaner auf dem Rechner des Anwenders statt. Gemeinsame Tricks sind:
1) Trojaner ist in der Newsgroup, die Behauptung verbreitet, dass dies ein anderes Programm.
2) verbreiteten E-Mails mit Anhängen
3) Die Trojaner Gesendet seiner Web
4) durch Instant-Messaging-Software oder Chat-Systeme zu verteilen Trojaner (ICQ, AIM, IRC, etc.)
5) Fälschung ISP (zB AOL) in der E-Mail an den Benutzer zu täuschen, um Programme auszuführen (z. B. Software-Upgrades)
6) durch die "Datei-und Druckerfreigabe" Kopieren Sie das Programm mit der Gruppe beginnen
Der nächste Schritt wird sein, eine Maschine, die gesteuert werden können zu finden. Das größte Problem ist die oben genannten Methoden können nicht sagen, Hacker / Cracker Wo ein Opfer der Maschine. Daher Hacker / Cracker Scannen Internet.
Dies führt dazu, Benutzer-Firewall (einschließlich Personal-Firewall-Benutzer) sehen oft ihre Nummer, um die Maschine zu scannen. Die Maschinen wurden nicht angegriffen, Scannen selbst wird keinen Schaden zufügen. Scan selbst wird nicht der Maschine führen, angegriffen zu werden. Ignoriert die reale Administrator dieser "Angriff"
Die folgenden sind häufig bei diesem Scan. Um herauszufinden, ob Ihre Maschine eine Art Trojanisches Pferd ist, den Befehl "netstat-an". Sehen Sie, wenn Sie eine der folgenden Port-Verbindungen.
Port Trojan
555 Phase Null
1243 Sub-7, SubSeven
3129 Masters Paradise
6.670 deepthroat
6.711 Sub-7, SubSeven
6969 Gatecrasher
21.544 GirlFriend
12.345 NetBus
23.456 EvilFtp
27.374 Sub-7, Seven
30.100 netsphere
31.789 Hack'a'Tack
31.337 BackOrifice und viele andere
50.505 Sockets de Troie
Für weitere Informationen siehe: http://www.commodon.com/threat/threat-ports.htm
Was ist SubSeven (sub-7)
Sub-7 ist das berühmteste der Fernbedienung Trojan. Jetzt ist es geworden ist einfach zu bedienen, leistungsstark, ein Trojanisches Pferd. Die Gründe dafür sind:
1〕 es leicht zugänglich, schnell zu aktualisieren. Die meisten Trojaner außerhalb Bug Veränderungen und nach der Wahl von der Entwicklung zum Stillstand.
2〕 dieses Verfahren beinhaltet nicht nur einen Scanner, kann die Maschine auch mit Scannen kontrolliert werden.
3〕 Game Maker hatte sub-7-Steuerung Sites verwendet.
4〕 support "Port Weiterleitung", so dass jeder Angreifer kann es verwenden, um dem Rechner des Opfers zu kontrollieren.
5〕 mit einer großen Anzahl und ICQ, AOL IM, MSN Messager und Yahoo Messenger-bezogene Features, einschließlich Passwort Sniffing, Nachrichten senden und so weiter.
6〕 eine große Anzahl von UI-bezogenen Funktionen, wie den Kopf Leinwand, Sound-Verstärker mit den Opfern, die Opfer der Bildschirm guckt.
Kurz: es ist nicht nur ein Hacker-Tool, sondern ein Spielzeug, Einschüchterung von Opfern des Spielzeugs.
Sub-7 in Anspruch genommen wird "Mobman" Menschen zu schreiben, seine Website ist http://subseven.slak.org/.
Sub-7 können die folgenden Ports:
Die alte Version der Standard-Port 1243
2772 Screenshots Hafen
2773 Rekord-Tastatur-Anschluss
6711 bin svn log tmp
6776 Ich weiß nicht, was diesen Port verwendet wird, aber es ist hinter einer Reihe von Versionen (das kann ohne Passwort) anzuschließen.
7215 "Matrix" Chat-Programm
Der Standard-Port 27374 v2.0
54.283 Spy-Port
[Weiter]
V. DNS-Pakete von low-Port
Q: Ich sah viele aus den folgenden DNS-Anfragen für Port 1024. Diese Dienste sind "reserviert" ist? Nicht, dass sie die von 1.024 bis 65.535 Port zu verwenden?
A: Sie kommen aus einer Maschine hinter dem NAT-Firewall. NAT muss nicht in den Hafen zu halten. (Ryan Russell http://www.sybase.com/)
Q: Meine Firewall verworfen einer Reihe von Quell-Port kleiner als 1024 Pakete, so DNS-Abfragen fehlschlagen.
A: Nicht Filter auf diese Weise. Viele Firewalls haben ähnliche Regelungen, aber das ist irreführend. Weil Hacker / Cracker können gefälschte jeden beliebigen Port.
Q: Die NAT-Firewall nicht richtig funktioniert?
A: Theoretisch nein, aber in Wirklichkeit wird zum Ausfall führen. Der richtige Weg ist in jedem Fall unbedingt darauf achten, dass DNS-Kommunikation. (Besonders in diesen "Proxy"-DNS und erzwungene DNS-Ports über das Gehäuse von 53)
Q: Ich dachte, DNS-Anfragen sollten einen zufälligen Port oberhalb von 1024 Port zu verwenden?
A: In der Tat wird das allgemeine DNS-Client verwenden, nicht reservierten Port. Aber es gibt viele Programme, über 53-Port. In jedem Fall würde NAT völlig unterschiedlich sein, weil sie alle die Steckdose (IP + Port Combo-Änderungen)
6, nachdem ich DFÜ-Verbindung zum ISP, begann meine persönliche Firewall-Warnung "wurde bei der Erkennung von Ihrem xxxx-Port."
Es ist sehr verbreitet. Weil Sie den ISP zugewiesene IP, sondern nur, bevor Sie jemanden zu bedienen. Sie sehen, ist ein Benutzer der "Rest"-Informationen.
Gemeinsame Beispiel ist das Chat-Programm. Wenn jemand einfach auflegen, gerade jetzt, und er wird weiterhin versuchen, Chat zu verbinden. Einige Verfahren, "Überstunden"-Einstellung ist sehr lang. Wenn POWWOW oder ICQ.
Ein weiteres Beispiel ist die Multiplayer-Online-Spiel. Sie werden die Mitteilung aus dem Spiel-Provider (wie MPlayer zu sehen), oder andere unbekannte Spiel-Server. Diese Spiele sind in der Regel auf UDP basiert, kann keine Verbindung aufbauen. Aber um sich einen besseren Sinn für den Benutzer, und sie alle zu verbinden und sehr "hartnäckig". Hier sind einige von den Game-Anschluss:
Unreal 7777, Klingon Honor Guard
Unreal Tournament 7778
22.450 Sin
26.000 Quake
26.900 Hexen 2
26.950 HexenWorld
27.015 Half-Life, Team Fortress Classic (TFC)
27.500 QuakeWorld
27.910 Quake 2
28.000 bis 28.008 Starsiege Stämme (TRIBES.DYNAMIX.COM)
28.910 Heretic 2
Ein weiteres Beispiel ist die Multi-Media-Radio, Fernsehen. Wie RealAudio-Client zu empfangen Sprach-Daten mit den Ports 6970-7170.
Sie müssen an der Quelle zu verbinden. Wie ICQ-Server auf Port 4000, und seine Kunden zu bedienen mehr zufälligen Port. Dies bedeutet, dass Sie werden sehen, dass Sie den Port von 4000 sehen die hohen zufälligen Port UDP-Pakete. In anderen Worten, versuchen Sie nicht, den Hafen Liste, um die Verwendung von Zufallszahlen hoher Port zu finden überprüfen. Wichtige Quell-Port.
Sub-7 auch ähnliche Probleme haben. Es verwendet eine andere TCP-Verbindungen für verschiedene Dienste. Wenn dem Rechner des Opfers offline, wird es weiterhin zu versuchen, das Opfer Maschine-Schnittstellen anschließen, vor allem die 6.776-Anschluss.
7, IRC-Server in der Erkennung von I
Eines der beliebtesten Chat IRC ist. Eines der Merkmale dieser Chat-Programm, dass Sie sagen können, sind und Ihre IP-Adresse der Person sprechen. Einer der Chat-Raum ist: anonym anmelden und Roaming um das Töten von Menschen, die häufig aufgetretenen off Punkt Kommentare, rohen Worten unterbrochene Gespräch, von dem Server "waschen" oder anderen Kunden startete das Fließband.
Deshalb sind die Server und Client in den Chat-Raum zu den Standard zu verwenden anonyme Anmeldung untersagt. Besonders zu beachten ist, dass, wenn Menschen den Raum betreten Chat, um zu überprüfen, ob sie durch andere Proxy-Server verbunden sind. Dieser Scan ist die häufigste SOCKS. Angenommen, Sie an diesen Ort, um SOCKS-Unterstützung kommen, so haben Sie sehr wahrscheinlich eine völlig eigenständige Maschine, werden Sie zu Proxy-Server Ming Chu's versuchen, Ihre wahre Identität im Dunkeln zu verstecken. Undernet Strategie in diesem Zusammenhang beziehen sich auf http://help.undernet.org/proxyscan.
Zur gleichen Zeit, Cracker / Hacker werden versuchen, die Menschen zu Maschinen scannen, um festzustellen, ob es sich um einen Dienst ausführen, können sie als Sprungbrett genutzt werden. Ebenso indem SOCKS, müsste der Angreifer möchte jemanden, der einen SOCKS offen, zum Beispiel eine Familie von Einzelpersonen SOCKS freigegebenen Anschluss zu finden, aber seine Fehler für alle Benutzer über das Internet durch sie festgelegt.
8. Was ist "redirect"-Anschluss
Eine übliche Technik ist zu einem Hafen an eine andere Adresse umzuleiten. Zum Beispiel ist der Standard-HTTP-Port 80, viele von ihnen an einen Port-Umleitung, wie 8080 (so, wenn Sie zu besuchen beabsichtigen, dies muss schriftlich http://www.robertgraham.com:8080/pubs/firewall-seen werden . html)
Leiten Sie den Port, um es schwerer zu finden, so Hacker-Angriffe erschwert werden. Hacker können nicht als Standard-Port erkannt werden muss Port-Scanning-Attacken.
Die meisten Port-Umleitung und die Original-Port sind ähnlich. Daher HTTP die meisten Änderungen von Port 80: 81,88,8000,8080,8888. Ebenso sind die Original-POP-Port 110, die oft bis 1100 umgeleitet.
Es gibt viele Fälle ist es, Statistiken über die Anzahl von besonderer Bedeutung, wie 1234,23456,34567 wählen. Viele Menschen haben andere Gründe für die Wahl der ungeraden Zahlen, 42,69,666,31337. Kürzlich Verwendung einer wachsenden Zahl von Trojanern Fernbedienung (Remote Access Trojaner, Ratten) den gleichen Standard-Port. Wenn NetBus den Standard-Port 12345 ist.
Blake R. Swopes umzuleiten, dass der Hafen zu einem anderen Grunde zu verwenden, das UNIX-System, wenn Sie auf Ports unter 1024 hören möchten Root-Rechte erforderlich. Wenn Sie keine Root-Rechte und will Web-Services zu öffnen, müssen Sie in der High-Port installiert werden. Darüber hinaus werden einige ISP's Firewall blockieren niedrige Port Kommunikation, also auch wenn Sie die Maschine haben Sie immer noch die Umleitung Port haben.
[Weiter]
9. Ich verstehe immer noch nicht, wenn jemand an einen Port auf meine Versuche, eine Verbindung, wie kann ich tun?
Sie können zu einem Netcat hören Prozess zu etablieren. Zum Beispiel, Sie wollen auf Port 1234 zu hören:
Netcat-L-p 1234
Viele Vereinbarungen sind Teil der Verbindung zum Senden von Daten. Bei der Verwendung von Netcat Hören auf einem Port, können Sie versuchen, herauszufinden, welches Protokoll verwendet wird. Wenn Sie Glück haben, finden Sie eine HTTP-Protokoll zu finden, wird es Ihnen mit einer Fülle von Informationen zur Verfügung, so können Sie verfolgen, was geschieht.
"-L"-Parameter ist weiterhin hören Netcat. Unter normalen Umständen Netcat wird eine Verbindung zu akzeptieren, kopieren Sie den Inhalt und Schließen. Mit diesem Parameter kann es weiterhin laufen, um für mehrere Verbindungen zu lauschen.
ICMP
TCP und UDP kann Daten transportieren, ICMP enthält nur Steuerinformationen. Daher können ICMP-Nachricht nicht für die Invasion von anderen Maschinen wahr. Hacker, der normalerweise benutzen das ICMP ist es, das Netzwerk scannen, eine DoS-Attacke zu starten, Umleitung von Netzwerkverkehr. (Diese Auffassung scheint falsch zu sein, entnehmen Sie bitte dem Artikel Schrotflinte auf die Trojaner, Übersetzer beachten)
ICMP Typ Anzahl von Firewall-Ports falsch bezeichnet wurden. Denken Sie daran, ICMP ist nicht TCP oder UDP als Hafen, aber es enthält zwei Felder: Typ (Typ) und Code (Code). Und die Rolle dieser Domains und Ports sind völlig anders, vielleicht weil die beiden Felder, so dass die Firewall immer falsch zu kennzeichnen. Mehr Wissen über ICMP Siehe Infosec Lexikon-Eintrag über ICMP.
Über ICMP Type / Code, also die offiziellen Informationen entnehmen Sie bitte dem http://www.isi.edu/in-notes/iana/assignments/icmp-parameters. Das offizielle Dokument beschreibt den Sinn, aber dieser Artikel versucht, den Hacker zu beschreiben, siehe unten.
类型 代码 名称 含义
0 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Echo replay 对ping的回应
3 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Destination Unreachable 主机或路由器返回信息:一些包未达到目的地
0 Net Unreachable 路由器配置错误或错误指定IP地址
1 Host Unreachable 最后一个路由器无法与主机进行ARP通讯
3 Port unreachable 服务器告诉客户端其试图联系的端口无进程侦听
4 Fragmentation Needed but DF set 重要:如果你在防火墙丢弃记录中发现这些包,你应该让他们通过否则你的客户端将发现TCP连接莫名其妙地断开
4 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Source Quench Internet阻塞
5 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Redirect 有人试图重定向你的默认路由器,可能Hacker试图对你进行“man-in-middle”的攻击,使你的机器通过他们的机器路由。
8 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Echo Request ping
9 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Router Advertisement hacker可能通过重定向你的默认的路由器DoS攻击你的Win9x 或Solaris。邻近的Hacker也可以发动man-in-the-middle的攻击
10 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Time Exceeded In Transit 因为超时包未达到目的地
0 TTL Exceeded 因为路由循环或由于运行traceroute,路由器将包丢弃
1 Fragment reassembly timeout 由于没有收到所有片断,主机将包丢弃
11 backup bin bin_old conf config crawler.tar.gz crawler_bin.tar.gz data eshow eshow_sitemap.html generate.sh google.html google.html.md5 log maint news:10 news:11 news:12 news:13 news:14 news:15 news:16 news:17 news:18 news:2 news:3 news:4 news:5 news:6 news:7 news:8 news:9 outboundLinksMgr.sql seeds sitemap.html svn tasks tmp xml2dict-2008.6-tar.gz xml2dict-read-only Parameter Problem 发生某种不正常,可能遇到了攻击
(一) type=0 (Echo reply)
发送者在回应由你的地址发送的ping,可能是由于以下原因:
[Weiter]
有人在ping那个人:防火墙后面有人在ping目标。
自动ping:许多程序为了不同目的使用ping,如测试联系对象是否在线,或测定反应时间。很可能是使用了类似VitalSign‘s Net.Medic的软件,它会发送不同大小的ping包以确定连接速度。
诱骗ping扫描:有人在利用你的IP地址进行ping扫描,所以你看到回应。
转变通讯信道:很多网络阻挡进入的ping(type=8),但是允许ping回应(type=0)。因此,Hacker已经开始利用ping回应穿透防火墙。例如,针对internet站点的DdoS攻击,其命令可能被嵌入ping回应中,然后洪水般的回应将发向这些站点而其它Internet连接将被忽略。
(二) Type=3 (Destination Unreachable)
在无法到达的包中含有的代码(code)很重要记住这可以用于击败“SYN洪水攻击”。即如果正在和你通讯的主机受到“SYN洪水攻击”,只要你禁止ping(type=3)进入,你就无法连接该主机。
有些情况下,你会收到来自你从未听说的主机的ping(type=3)包,这通常意味着“诱骗扫描”。攻击者使用很多源地址向目标发送一个伪造的包,其中有一个是真正的地址。Hacker的理论是:受害者不会费力从许多假地址中搜寻真正的地址。
解决这个问题的最好办法是:检查你看到的模式是否与“诱骗扫描”一致。比如,在ICMP包中的TCP或UDP头部分寻找交互的端口。
1) Type = 3, Code = 0 (Destination Net Unreachable)
无路由器或主机:即一个路由器对主机或客户说,:“我根本不知道在网络中如何路由!包括你正连接的主机”。这意味着不是客户选错了IP地址就是某处的路由表配置错误。记住,当你把自己UNIX机器上的路由表搞乱后你就会看到“无路由器或主机”的信息。这常发生在配置点对点连接的时候。
2) Type = 3, Code = 3 (Destination Port Unreachable)
这是当客户端试图连击一个并不存在的UDP端口时服务器发送的包。例如,如果你向161端口发送SNMP包,但机器并不支持SNMP服务,你就会收到ICMP Destination Port Unreachable包。
解码的方案
解决这个问题的第一件事是:检查包中的端口。你可能需要一个嗅探器,因为防火墙通常不会记录这种信息。这种方法基于ICMP原始包头包含IP和UDP头。以下是复制的一个ICMP unreachable包:
00 00 BA 5E BA 11 00 60 97 07 C0 FF 08 00 45 00
00 38 6F DF 00 00 80 01 B4 12 0A 00 01 0B 0A 00
01 C9 03 03 C2 D2 00 00 00 00 45 00 00 47 07 F0
00 00 80 11 1B E3 0A 00 01 C9 0A 00 01 0B 08 A7
79 19 00 33 B8 36
其中字节03 03是ICMP的类型和代码。最后8个字节是原始UDP头,解码如下:
08A7 UDP源端口 port=2215,可能是临时分配的,并不是很重要。
7919 UDP目标端口 port=31001,很重要,可能原来用户想连接31001端口的服务。
0033 UDP长度 length=51,这是原始UDP数据的长度,可能很重要。
B836 UDP校验和 checksum=0xB836,可能不重要。
你为什么会看到这些?
“诱骗UDP扫描”:有人在扫描向你发送ICMP的机器。他们伪造源地址,其中之一是你的IP地址。他们实际上伪造了许多不同的源地址使受害者无法确定谁是攻击者。如果你在短时间内收到大量来自同一地址的这种包,很有可能是上述情况。检查UDP源端口,它总在变化的话,很可能是Scenario。
“陈旧DNS”:客户端会向服务器发送DNS请求,这将花很长时间解析。当你的DNS服务器回应的时候,客户端可能已经忘记你并关闭了用于接受你回应的UDP端口。如果发现UDP端口值是53,大概就发生了这种情况。这是怎么发生的?服务器可能在解析一个递归请求,但是它自己的包丢失了,所以它只能超时然后再试。当回到客户时,客户认为超时了。许多客户程序(尤其是Windows中的程序)自己做DNS解析。即它们自己建立SOCKET进行DNS解析。如果它们把要求交给操作系统,操作系统就会一直把端口开在那里。
“多重DNS回应”:另一种情况是客户收到对于一个请求的多重回应。收到一个回应,端口就关闭了,后序的回应无法达到。此外,一个Sun机器与同一个以太网中的多个NICs连接时,将为两个NICs分配相同的MAC地址,这样Sun机器每桢会收到两个拷贝,并发送多重回复。还有,一个编写的很糟糕的客户端程序(特别是那些吹嘘是多线程DNS解析但实际上线程不安全的程序)有时发送多重请求,收到第一个回应后关闭了Socket。但是,这也可能是DNS欺骗,攻击者既发送请求由发送回应,企图使解析缓存崩溃。
“NetBIOS解析”:如果Windows机器接收到ICMP包,看看UDP目标端口是否是137。如果是,那就是windows机器企图执行gethostbyaddr()函数,它将将会同时使用DNS和NetBIOS解析IP地址。DNS请求被发送到某处的DNS服务器,但NetBIOS直接发往目标机器。如果目标机器不支持NetBIOS,目标机器将发送ICMP unreachable。
“Traceroute”:大多数Traceroute程序(Windows中的Tracert.exe除外)向关闭的端口发送UDP包。这引起一系列的背靠背的ICMP Port Unreachable包发回来。因此你看到防火墙显示这样ICMP包,可能是防火墙后面的人在运行Traceroute。你也会看到TTL增加。
3) Type = 3, Code = 4 (Fragmentation Needed and Don‘t Fragment was Set)
这是由于路由器打算发送标记有(DF, 不允许片断)的IP报文引起的。 Warum? IP和TCP都将报文分成片断。 TCP在管理片断方面比IP有效得多。因此,饯堆趋向于找到“Path MTU”(路由最大传输单元)。在这个过程将发送这种ICMP包。
假设ALICE和BOB交谈。他们在同一个以太网上(max frame size = 1500 bytes),但是中间有连接限制最大IP包为600 byte。这意味着所有发送的IP包都要由路由器切割成3个片断。因此在TCP层分割片断将更有效。TCP层将试图找到MTU(最大传输单元)。它将所有包设置DF位(Don‘t Fragment),一旦这种包碰到不能传输如此大的包的路由器时路由器将发回ICMP错误信息。由此,TCP层能确定如何正确分割片断。
你也许应该允许这些包通过防火墙。否则,当小的包可以通过达到目的地建立连接,而大包会莫名其妙的丢失断线。通常的结果是,人们只能看到Web页仅显示一半。
路由最大传输单元的发现越来越整合到通讯中。如IPsec需要用到这个功能。
(三) Type = 4 (Source Quench)
这种包可能是当网络通讯超过极限时由路由器或目的主机发送的。但是当今的许多系统不生成这些包。原因是现在相信简单包丢失是网络阻塞的最后信号(因为包丢失的原因就是阻塞)。
现在source quenches的规则是(RFC 1122):
路由器不许生成它们
主机可以生成它们
主机不能随便生成它们
防火墙应该丢弃它们
但是,主机遇到Source Quench仍然减慢通讯,因此这被用于DoS。防火墙应该过滤它们。如果怀疑发生DoS,包中的源地址是无意义的,因为IP地址肯定是虚构的。
已知某些SMTP服务器会发送Source Quench。
(四) Type = 8 (Echo aka PING)
这是ping请求包。有很多场合使用它们;它可能意味着某人扫描你机器的恶意企图,但它也可能是正常网络功能的一部分。参见Type = 0 (Echo Response)
很多网络管理扫描器会生成特定的ping包。包括ISS扫描器,WhatsUp监视器等。这在扫描器的有效载荷中可见。许多防火墙并不记录这些,因此你需要一些嗅探器捕捉它们或使用入侵检测系统(IDS)标记它们。
记住,阻挡ping进入并不意味着Hacker不能扫描你的网络。有许多方法可以代替。例如,TCP ACK扫描越来越流行。它们通常能穿透防火墙而引起目标系统不正常的反应。
发送到广播地址(如x.x.x.0或x.x.x.255)的ping可能在你的网络中用于smurf放大。
(五) Type = 11 (Time Exceeded In Transit)
这一般不会是Hacker或Cracker的攻击
1) Type = 11, Code = 0 (TTL Exceeded In Transit)
这可能有许多事情引起。如果有人从你的站点traceroute到Internet,你会看到许多来自路由器的TTL增加的包。这就是traceroute的工作原理:强迫路由器生成TTL增加的信息来发现路由器。
防火墙管理员看到这种情况的原因是Internet上发生路由循环。路由器Flapping(持续变换路由器)是一个常见的问题,常会导致循环。这意味着当一个IP包朝目的地前进时,这个包被一个路由器错误引导至一个它曾经通过的路由器。如果路由器在包经过的时候把TTL域减一,这个包只好循环运动。实际上当TTL值为0时它被丢弃。
造成这种情况的另一个原因是距离。许多机器(Windows)的默认TTL值是127或更低。路由器也常常会把TTL值减去大于1的值,以便反应诸如电话拨号或跨洋连接的慢速连接。因此,可能由于初始TTL值太小,而使站点无法到达。此外,一些Hacker/Cracker也会使用这种办法使站点无法到达。
2) Type = 11, Code = 1 (Fragment Reassembly Time Exceeded)
当发送分割成片断的IP报文时,发送者并不接收所有片断。通常,大多数TCP/IP通讯甚至不分割片断。你看到这种情况必定是采用了分割片断而且你和目的地之间有阻塞。
(六) Type = 12 (Parameter Problem)
这可能意味着一种进攻。有许多足印技术会生成这种包。