理解防火墙Log与端口扫描的含义

新客网 XKER.COM 2006-11-20 来源：收藏本文

　　6970 RealAudio 　

　　RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。　

　　13223 PowWow

　　PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

　　17027 Conducent 　

　　这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载：　

　　机器会不断试图解析DNS名―ads.conducent.com，即IP地址216.33.210.40 ；216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。(译者：不知NetAnts使用的Radiate是否也有这种现象) 　

　　27374 Sub-7木马(TCP) 　

　　参考Subseven部分。　

　　30100 NetSphere木马(TCP) 　

　　通常这一端口的扫描是为了寻找中了NetSphere木马。　

　　31337 Back Orifice “elite” 　

　　Hacker中31337读做“elite”/ei’li:t/(译者：法语，译为中坚力量，精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的木马程序越来越流行。　
31789 Hack-a-tack 　

　　这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT, Remote Access Trojan)。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接，317890端口是文件传输连接) 　

　　32770~32900 RPC服务　

　　Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。　

　　33434~33600 traceroute 　

　　如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute部分。　

　　41508 Inoculan 　

　　早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见　

　　http://www.circlemud.org/~jelson/software/udpsend.html 　

　　http://www.ccd.bnl.gov/nss/tips/inoculan/index.html 　

　　(二) 下面的这些源端口意味着什么？　

　　端口1~1024是保留端口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。参见1.9。　

　　常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。　

　　

共5页: 上一页 [1] [2] [3] [4] [5] 下一页

上一篇：非常实用的Gmail邮箱技巧批量放送下一篇：电脑超频后网卡故障与解决方法

【收藏】【评论】【推荐】【投稿】【打印】【关闭】