史萊姆論壇 - 查看單個文章

psac · 2006-01-08, 04:41 AM

*作系統分配的連接阜
將逐漸變大。再來一遍，當你瀏覽Web頁時用「netstat」檢視，每個Web頁需要一個新連接阜。

?ersion 0.4.1, June 20, 2000
h++p://www.robertgraham.com/ pubs/firewall-seen.html Copyright 1998-2000 by
Robert Graham
(mailto:firewall-seen1@robertgraham.com.
All rights
reserved. This document may only be reproduced (whole orin part) for
non-commercial purposes. All reproductions must
contain this copyright
notice and must not be altered, except by
permission of the
author.
#3
1025 參見1024
1026參見1024
1080 SOCKS

這一傳輸協定以管道方式穿過防火牆，允許防火牆後面的許多人通過一個IP 位址訪問Internet。

理論上它應該只允許內部的通信向外達到Internet。

但是由於錯誤的組態，它會允許Hacker/Cracker 的位於防火牆外部的攻
擊穿過防火牆。

或者簡單地回應位於Internet上的電腦，從而掩飾他們對你的直接攻擊。

WinGate是一種一般的Windows個人防火牆，常會發生上述的錯誤組態。

在加入IRC聊天室時常會看到這種情況。

1114 SQL

系統本身很少掃瞄這個連接阜，但常常是sscan指令碼的一部分。
1243 Sub-7木馬（TCP）參見Subseven部分。

1524
ingreslock後門許多攻擊指令碼將安裝一個後門Sh*ll 於這個連接阜（尤其是那些
針對Sun系統中Sendmail和RPC服務漏洞的指令碼，如statd,ttdbserver和cmsd）。

如果你剛剛安裝了你的防火牆就看到在這個連接阜上的連接企圖，很可能是上述原因。

你可以試試Telnet到你的電腦上的這個連接阜，看看它是否會給你一個Sh*ll 。

連線到 600/pcserver也存在這個問題。

2049 NFS NFS程序常執行於這個連接阜。通常需要訪問portmapper查詢這個服務執行於哪個連接阜，但是大部分情況是安裝後NFS杏謖飧齠絲塚?

acker/Cracker因而可以閉開 portmapper直接測試這個連接阜。
3128 squid
這是Squid h++p代理伺服器的預設連接阜。

攻擊者掃瞄這個連接阜是為了搜尋一個代理伺服器而匿名訪問Internet。

你也會看到搜尋其它代理伺服器的連接阜：
000/8001/8080/8888。

掃瞄這一連接阜的另一原因是：用戶正在進入聊天室。其它用戶
（或伺服器本身）也會檢驗這個連接阜以確定用戶的機器是否支持代理。
請檢視5.3節。

5632
pcAnywere你會看到很多這個連接阜的掃瞄，這依賴於你所在的位置。

當用戶開啟 pcAnywere時，它會自動掃瞄區域網路C類網以尋找可能得代理（譯者：指agent而不是
proxy）。

Hacker/cracker也會尋找開放這種服務的機器，所以應該檢視這種掃瞄的源位址。

一些搜尋pcAnywere的掃瞄常包含連接阜22的UDP資料包。

參見撥號掃瞄。

6776 Sub-7 artifact
這個連接阜是從Sub-7主連接阜分離出來的用於傳送資料的連接阜。

例如當控制者通過電話線控制另一台機器，而被控機器掛斷時你將會看到這種情況。

因此當另一人以此IP撥入時，他們將會看到持續的，在這個連接阜的連接企圖。

（譯者：即看到防火牆報告這一連接阜的連接企圖時，並不表示你已被Sub-7控制。）

6970
RealAudio客戶將從伺服器的6970-7170的UDP連接阜接收音瀕資料流。

這是由TCP7070 連接阜外向控制連接設定13223 PowWow PowWow
是Tribal Voice的聊天程序。

它允許用戶在此連接阜開啟私人聊天的接。

這一程序對於建立連接非常具有「進攻性」。

它會「駐紮」在這一TCP連接阜等待回應。

這造成類似心跳間隔的連接企圖。

如果你是一個撥號用戶，從另一個聊天者手中「繼承」了IP位址這種情況就會發生：
好像很多不同的人在測試這一連接阜。這一傳輸協定使用「OPNG」作為其連接企圖的前四個字元。

17027
Conducent這是一個外向連接。

這是由於公司內部有人安裝了帶有Conducent "adbot" 的共享軟體。

Conducent
"adbot"是為共享軟體顯示廣告服務的。

使用這種服務的一種流行的軟體是Pkware。有人試驗：
阻斷這一外向連接不會有任何問題，但是封掉IP位址本身將會導致adbots持續在每秒內試圖連接多次而導致連接過載：

機器會不斷試圖解析DNS名─ads.conducent.com，即IP位址216.33.210.40 ；
216.33.199.77
；216.33.199.80 ；216.33.199.81；216.33.210.41。

（譯者：不知NetAnts使用的Radiate是否也有這種現象）
27374 Sub-7木馬(TCP) 參見Subseven部分。

30100
NetSphere木馬(TCP) 通常這一連接阜的掃瞄是為了尋找中了NetSphere木馬。
31337 Back Orifice
「eliteHacker中31337讀做「elite」/ei』li:t/（譯者：* 語，譯為中堅力量，精華。即 3=E, 1=L,
7=T）。因此許多後門程序執行於這一端口。其中最有名的是Back Orifice。

曾經一段時間內這是Internet上最一般的掃瞄。

現在它的流行越來越少，其它的木馬程序越來越流行。

31789 Hack-a-tack
這一連接阜的UDP通訊通常是由於"Hack-a-tack"遠端訪問木馬（RAT,Remote Access
Trojan）。這種木馬包含內裝的31790連接阜掃瞄器，因此任何 31789連接阜到317890連接阜的連接意味著已經有這種入侵。

（31789連接阜是控制連接，317890連接阜是文件傳輸連接）
32770~32900 RPC服務 Sun Solaris的RPC服務在這一範圍內。

詳細的說：
早期版本的Solaris（2.5.1之前）將 portmapper置於這一範圍內，即使低連接阜被防火牆封閉仍然允許Hacker/cracker訪問這一連接阜。

掃瞄這一範圍內的連接阜不是為了尋找 portmapper，就是為了尋找可被攻擊的已知的RPC服務。

33434~33600 traceroute
如果你看到這一連接阜範圍內的UDP資料包（且只在此範圍之內）則可能是由於traceroute。參見traceroute分。

41508
Inoculan早期版本的Inoculan會在子網內產生大量的UDP通訊用於識別彼此。

參見 h++p://www.circlemud.org/~jelson/software/udpsend.html
h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html連接阜1~1024是保留端
口，所以它們幾乎不會是源連接阜。

但有一些例外，例如來自NAT機器的連接。常看見緊接著1024的連接阜，它們是系統分配給那些並不在乎使用哪個連接阜連接的應用程式
的「動態連接阜」。

Server Client 服務描述

1-5/tcp 動態 FTP 1-5連接阜意味著sscan指令碼

20/tcp 動態 FTP
FTP伺服器傳送文件的連接阜

53 動態 FTP DNS從這個連接阜傳送UDP回應。

你也可能看見源/目標連接阜的TCP連接。

123 動態
S/NTP 簡單網路時間傳輸協定（S/NTP）伺服器執行的連接阜。

它們也會傳送到這個連接阜的廣播。

27910~27961/udp 動態 Quake
Quake或Quake引擎驅動的遊戲在這一連接阜執行其伺服器。

因此來自這一連接阜範圍的UDP包或傳送至這一連接阜範圍的UDP包通常是遊戲。

61000以上
動態 FTP 61000以上的連接阜可能來自Linux NAT伺服器
#4
連接阜大全（中文翻譯）
1　tcpmux　TCP Port Service

Multiplexer　　傳輸控制傳輸協定連接阜服務多路開關選項器

2　compressnet　Management Utility　　　　
compressnet 管理實用程序

3　compressnet　Compression Process　　　　壓縮排程

5　rje　Remote
Job Entry　　　　　　　　　
遠端作業登入
7　echo　Echo　　　　　　　　　　　　　　　回顯

9　discard　Discard　　　　　　　　　　　　丟棄

11　systat　Active
Users　　　　　　　　　在線用戶

13　daytime　Daytime　　　　　　　　　　　時間

17　qotd　Quote of the
Day　　　　　　　　每日引用

18　msp　Message Send Protocol　　　　　　
消息傳送傳輸協定
19　chargen　Character Generator　　　　　字元發生器

20　ftp-data　File Transfer
[Default Data]　文件傳輸傳輸協定(預設資料口)　

21　ftp　File Transfer
[Control]　　　　　　文件傳輸傳輸協定(控制)

22　ssh　SSH Remote Login Protocol　　　　
SSH遠端登入傳輸協定

23　telnet　Telnet　　　　　　　　　　　　終端模擬傳輸協定

24　?　any private mail
system　　　　　　預留給個人用郵件系統

2006-01-08, 04:41 AM	#4 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	作系統分配的連接阜將逐漸變大。再來一遍，當你瀏覽Web頁時用「netstat」檢視，每個Web頁需要一個新連接阜。 ?ersion 0.4.1, June 20, 2000 h++p://www.robertgraham.com/ pubs/firewall-seen.html Copyright 1998-2000 by Robert Graham (mailto:firewall-seen1@robertgraham.com. All rights reserved. This document may only be reproduced (whole orin part) for non-commercial purposes. All reproductions must contain this copyright notice and must not be altered, except by permission of the author. #3 1025 參見1024 1026參見1024 1080 SOCKS 這一傳輸協定以管道方式穿過防火牆，允許防火牆後面的許多人通過一個IP 位址訪問Internet。理論上它應該只允許內部的通信向外達到Internet。但是由於錯誤的組態，它會允許Hacker/Cracker 的位於防火牆外部的攻擊穿過防火牆。或者簡單地回應位於Internet上的電腦，從而掩飾他們對你的直接攻擊。 WinGate是一種一般的Windows個人防火牆，常會發生上述的錯誤組態。在加入IRC聊天室時常會看到這種情況。 1114 SQL 系統本身很少掃瞄這個連接阜，但常常是sscan指令碼的一部分。 1243 Sub-7木馬（TCP）參見Subseven部分。 1524 ingreslock後門許多攻擊指令碼將安裝一個後門Shll 於這個連接阜（尤其是那些針對Sun系統中Sendmail和RPC服務漏洞的指令碼，如statd,ttdbserver和cmsd）。如果你剛剛安裝了你的防火牆就看到在這個連接阜上的連接企圖，很可能是上述原因。你可以試試Telnet到你的電腦上的這個連接阜，看看它是否會給你一個Shll 。連線到 600/pcserver也存在這個問題。 2049 NFS NFS程序常執行於這個連接阜。通常需要訪問portmapper查詢這個服務執行於哪個連接阜，但是大部分情況是安裝後NFS杏謖飧齠絲塚? acker/Cracker因而可以閉開 portmapper直接測試這個連接阜。 3128 squid 這是Squid h++p代理伺服器的預設連接阜。攻擊者掃瞄這個連接阜是為了搜尋一個代理伺服器而匿名訪問Internet。你也會看到搜尋其它代理伺服器的連接阜： 000/8001/8080/8888。掃瞄這一連接阜的另一原因是：用戶正在進入聊天室。其它用戶（或伺服器本身）也會檢驗這個連接阜以確定用戶的機器是否支持代理。請檢視5.3節。 5632 pcAnywere你會看到很多這個連接阜的掃瞄，這依賴於你所在的位置。當用戶開啟 pcAnywere時，它會自動掃瞄區域網路C類網以尋找可能得代理（譯者：指agent而不是 proxy）。 Hacker/cracker也會尋找開放這種服務的機器，所以應該檢視這種掃瞄的源位址。一些搜尋pcAnywere的掃瞄常包含連接阜22的UDP資料包。參見撥號掃瞄。 6776 Sub-7 artifact 這個連接阜是從Sub-7主連接阜分離出來的用於傳送資料的連接阜。例如當控制者通過電話線控制另一台機器，而被控機器掛斷時你將會看到這種情況。因此當另一人以此IP撥入時，他們將會看到持續的，在這個連接阜的連接企圖。（譯者：即看到防火牆報告這一連接阜的連接企圖時，並不表示你已被Sub-7控制。） 6970 RealAudio客戶將從伺服器的6970-7170的UDP連接阜接收音瀕資料流。這是由TCP7070 連接阜外向控制連接設定13223 PowWow PowWow 是Tribal Voice的聊天程序。它允許用戶在此連接阜開啟私人聊天的接。這一程序對於建立連接非常具有「進攻性」。它會「駐紮」在這一TCP連接阜等待回應。這造成類似心跳間隔的連接企圖。如果你是一個撥號用戶，從另一個聊天者手中「繼承」了IP位址這種情況就會發生：好像很多不同的人在測試這一連接阜。這一傳輸協定使用「OPNG」作為其連接企圖的前四個字元。 17027 Conducent這是一個外向連接。這是由於公司內部有人安裝了帶有Conducent "adbot" 的共享軟體。 Conducent "adbot"是為共享軟體顯示廣告服務的。使用這種服務的一種流行的軟體是Pkware。有人試驗：阻斷這一外向連接不會有任何問題，但是封掉IP位址本身將會導致adbots持續在每秒內試圖連接多次而導致連接過載：機器會不斷試圖解析DNS名─ads.conducent.com，即IP位址216.33.210.40 ； 216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（譯者：不知NetAnts使用的Radiate是否也有這種現象） 27374 Sub-7木馬(TCP) 參見Subseven部分。 30100 NetSphere木馬(TCP) 通常這一連接阜的掃瞄是為了尋找中了NetSphere木馬。 31337 Back Orifice 「eliteHacker中31337讀做「elite」/ei』li:t/（譯者：語，譯為中堅力量，精華。即 3=E, 1=L, 7=T）。因此許多後門程序執行於這一端口。其中最有名的是Back Orifice。曾經一段時間內這是Internet上最一般的掃瞄。現在它的流行越來越少，其它的木馬程序越來越流行。 31789 Hack-a-tack 這一連接阜的UDP通訊通常是由於"Hack-a-tack"遠端訪問木馬（RAT,Remote Access Trojan）。這種木馬包含內裝的31790連接阜掃瞄器，因此任何 31789連接阜到317890連接阜的連接意味著已經有這種入侵。（31789連接阜是控制連接，317890連接阜是文件傳輸連接） 32770~32900 RPC服務 Sun Solaris的RPC服務在這一範圍內。詳細的說：早期版本的Solaris（2.5.1之前）將 portmapper置於這一範圍內，即使低連接阜被防火牆封閉仍然允許Hacker/cracker訪問這一連接阜。掃瞄這一範圍內的連接阜不是為了尋找 portmapper，就是為了尋找可被攻擊的已知的RPC服務。 33434~33600 traceroute 如果你看到這一連接阜範圍內的UDP資料包（且只在此範圍之內）則可能是由於traceroute。參見traceroute分。 41508 Inoculan早期版本的Inoculan會在子網內產生大量的UDP通訊用於識別彼此。參見 h++p://www.circlemud.org/~jelson/software/udpsend.html h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html連接阜1~1024是保留端口，所以它們幾乎不會是源連接阜。但有一些例外，例如來自NAT機器的連接。常看見緊接著1024的連接阜，它們是系統分配給那些並不在乎使用哪個連接阜連接的應用程式的「動態連接阜」。 Server Client 服務描述 1-5/tcp 動態 FTP 1-5連接阜意味著sscan指令碼 20/tcp 動態 FTP FTP伺服器傳送文件的連接阜 53 動態 FTP DNS從這個連接阜傳送UDP回應。你也可能看見源/目標連接阜的TCP連接。 123 動態 S/NTP 簡單網路時間傳輸協定（S/NTP）伺服器執行的連接阜。它們也會傳送到這個連接阜的廣播。 27910~27961/udp 動態 Quake Quake或Quake引擎驅動的遊戲在這一連接阜執行其伺服器。因此來自這一連接阜範圍的UDP包或傳送至這一連接阜範圍的UDP包通常是遊戲。 61000以上動態 FTP 61000以上的連接阜可能來自Linux NAT伺服器 #4 連接阜大全（中文翻譯） 1　tcpmux　TCP Port Service Multiplexer　　傳輸控制傳輸協定連接阜服務多路開關選項器 2　compressnet　Management Utility　　　　 compressnet 管理實用程序 3　compressnet　Compression Process　　　　壓縮排程 5　rje　Remote Job Entry　　　　　　　　　遠端作業登入 7　echo　Echo　　　　　　　　　　　　　　　回顯 9　discard　Discard　　　　　　　　　　　　丟棄 11　systat　Active Users　　　　　　　　　在線用戶 13　daytime　Daytime　　　　　　　　　　　時間 17　qotd　Quote of the Day　　　　　　　　每日引用 18　msp　Message Send Protocol　　　　　　消息傳送傳輸協定 19　chargen　Character Generator　　　　　字元發生器 20　ftp-data　File Transfer [Default Data]　文件傳輸傳輸協定(預設資料口)　 21　ftp　File Transfer [Control]　　　　　　文件傳輸傳輸協定(控制) 22　ssh　SSH Remote Login Protocol　　　　 SSH遠端登入傳輸協定 23　telnet　Telnet　　　　　　　　　　　　終端模擬傳輸協定 24　?　any private mail system　　　　　　預留給個人用郵件系統
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次