史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 作業系統操作技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2003-06-28, 03:42 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 系統 - 常見連接阜的關閉

113連接阜或說端口,木馬的清除(僅適用於windows系統):
這是一個關於irc聊天室控制的木馬程序。
1.首先使用netstat -an指令確定自己的系統上是否開放了113連接阜
2.使用fport指令察看出是哪個程序在監聽113連接阜
fport工具下載
例如我們用fport看到如下結果:
Pid Process Port Proto Path
392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe

我們就可以確定在監聽在113連接阜的木馬程序是vhos.exe而該程序所在的路徑為
c:\winnt\system32下。
3.確定了木馬程序名(就是監聽113連接阜的程序)後,在任務管理器中搜尋到該工作,
並使用管理器結束該工作。
4.在開始-執行中鍵入regedit執行註冊表管理程序,在註冊表裡搜尋剛才找到那個程序,
並將相關的鍵值全部刪掉。
5.到木馬程序所在的目錄下刪除該木馬程序。(通常木馬還會包括其他一些程序,如
rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根據
木馬程序不同,文件也有所不同,你可以通過察看程序的產生和修改的時間來確定與
監聽113連接阜的木馬程序有關的其他程序)
6.重新啟動機器。

3389連接阜的關閉:
首先說明3389連接阜是windows的遠端管理終端所開的連接阜,它並不是一個木馬程序,請先
確定該服務是否是你自己開放的。如果不是必須的,請關閉該服務。

win2000關閉的方法:
win2000server 開始-->程序-->管理工具-->服務裡找到Terminal Services服務項,
選屬性內容選項將啟動類型改成手動,並停止該服務。
win2000pro 開始-->設定-->控制台-->管理工具-->服務裡找到Terminal Services
服務項,選屬性內容選項將啟動類型改成手動,並停止該服務。
winxp關閉的方法:
在我的電腦上點右鍵選屬性內容-->遠端,將裡面的遠端協助和遠端桌面兩個選項框裡的勾去掉。

4899連接阜的關閉:
首先說明4899連接阜是一個遠端控制軟體(remote administrator)服務端監聽的連接阜,他不能
算是一個木馬程序,但是具有遠端控制功能,通常殺毒軟體是無法查出它來的,請先確定該服
務是否是你自己開放並且是必需的。如果不是請關閉它。

關閉4899連接阜:
請在開始-->執行中輸入cmd(98以下為command),然後cd C:\winnt\system32(你的系統
安裝目錄),輸入r_server.exe /stop後按Enter鍵。
然後在輸入r_server /uninstall /silence

到C:\winnt\system32(系統目錄)下刪除r_server.exe admdll.dll radbrv.dll三個文件


5800,5900連接阜:
1.首先使用fport指令確定出監聽在5800和5900連接阜的程序所在位置(通常會是c:\winnt\fonts\
explorer.exe)
2.在任務管理器中殺掉相關的工作(注意有一個是系統本身正常的,請注意!如果錯殺可以重新
執行c:\winnt\explorer.exe)
3.刪除C:\winnt\fonts\中的explorer.exe程序。
4.刪除註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的
Explorer項。
5.重新啟動機器。

6129連接阜的關閉:
首先說明6129連接阜是一個遠端控制軟體(dameware nt utilities)服務端監聽得連接阜,他不是
一個木馬程序,但是具有遠端控制功能,通常的殺毒軟體是無法查出它來的。請先確定該服務
是否是你自己安裝並且是必需的,如果不是請關閉。

關閉6129連接阜:
選項開始-->設定-->控制台-->管理工具-->服務
找到DameWare Mini Remote Control項點擊右鍵選項屬性內容選項,將啟動類型改成禁用後
停止該服務。
到c:\winnt\system32(系統目錄)下將DWRCS.EXE程序刪除。
到註冊表內將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表項刪除。

1029連接阜和20168連接阜:
這兩個連接阜是lovgate蠕蟲所開放的後門連接阜。
蠕蟲相關資訊請參見:Lovgate蠕蟲
你可以下載專殺工具:FixLGate.exe
使用方法:下載後直接執行,在該程序執行結束後重新啟動機器後再執行一遍該程序。


45576連接阜:
這是一個代理軟體的控制連接阜,請先確定該代理軟體並非你自己安裝(代理軟體會給你的機器帶
來額外的流量)
關閉代理軟體:
1.請先使用fport察看出該代理軟體所在的位置
2.在服務中關閉該服務(通常為SkSocks),將該服務關掉。
3.到該程序所在目錄下將該程序刪除。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
有 2 位會員向 psac 送花:
u575098 (2006-12-23),wulihua (2006-09-04)
感謝您發表一篇好文章
舊 2003-07-12, 05:33 AM   #2 (permalink)
no1power
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

多謝賜教
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-07-12, 09:56 AM   #3 (permalink)
長老會員
 
ARALE 的頭像
榮譽勳章
UID - 9282
在線等級: 級別:103 | 在線時長:11105小時 | 升級還需:127小時級別:103 | 在線時長:11105小時 | 升級還需:127小時級別:103 | 在線時長:11105小時 | 升級還需:127小時級別:103 | 在線時長:11105小時 | 升級還需:127小時級別:103 | 在線時長:11105小時 | 升級還需:127小時級別:103 | 在線時長:11105小時 | 升級還需:127小時級別:103 | 在線時長:11105小時 | 升級還需:127小時級別:103 | 在線時長:11105小時 | 升級還需:127小時
註冊日期: 2002-12-10
住址: TAIWAN
文章: 388
精華: 0
現金: 460 金幣
資產: 17993154 金幣
預設

了解ㄌ,感謝你
__________________
http://myweb.hinet.net/home1/arale/arale.gifhttp://arale.myweb.hinet.net/medal/gshell2.gifhttp://arale.myweb.hinet.net/na.gif
ARALE 目前離線  
送花文章: 87, 收花文章: 235 篇, 收花: 997 次
舊 2003-07-12, 06:01 PM   #4 (permalink)
hsiaoheng
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

多謝賜教!感激大大您的分享提供~~!
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2006-06-20, 03:40 PM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

遊戲連接阜大全,玩遊戲又用牆的dx有福了

遊戲連接阜大全

中國遊戲中心 TCP 8000
聯眾世界 TCP 2000 2001 2002 3004
網易泡泡 UDP 4001
邊鋒網路遊戲世界 TCP 4000
中國圍棋網 TCP 9696
笨蘋果遊戲互動網 UDP 5000
上海熱線遊戲頻道 TCP 8000
凱思帝國遊戲線上 TCP 2050
浩方 TCP 1203

網上贏家 TCP 8001
證券之星 Tcp 8888


聯眾遊戲的連接阜號是什麼?


1007暗棋
2000遊戲大廳
2002聊天室
2005麻將
3030紅心大戰
3050五子棋
3060橋牌
3100跳棋
3200中國象棋
3300國際象棋
3400四國軍棋
4000~4010 GICQ
3000圍棋
3001俄羅斯方塊
3002三打一
3003斗地主
3004升級
3005梭哈
3006拱豬
3007夠級
3008雙扣
3010跑得快
3012飛行棋
3013拼圖
3015檯球
3016原子
3017510k
3018憋7
3019黑白棋
3020鋤大地
3021炒地皮
3022炸彈人
3023敲三家

遊戲連接阜範圍
> 1 征服者1.0 40625 40629
> 2 征服者1.0c 40725 40727
> 3 羅馬復興 40825 40829
> 4 帝國時代 40525 40527
> 6 CS反恐精英1.5 27115 27130
> 7 CS反恐精英戰隊訓練專區 27315 27318
> 8 CS反恐精英比賽專區 27415 27417
> 9 CS反恐精英服務器專區 27515 27530
> 10 CS反恐精英1.6 27215 27217
> 11 星際爭霸 6111 6120
> 12 魔獸爭霸3 6211 6220
> 13 冰封王座 6311 6318
> 14 紅色警戒 3000 3004
> 15 共和國之輝 3200 3202
> 16 紅警尤里復仇 3100 3102
> 17 三角洲部隊1 17624 17626
> 18 三角洲部隊3 37624 37626
> 19 FIFA2002 2048 2049
> 20 FIFA2003 2148 2149
> 21 英雄無敵3 3333 3334
> 22 突襲1.21 50626 50627
> 23 極品飛車2 2206 2207
> 24 極品飛車3 2306 2307
> 25 極品飛車5 2406 2407
> 26 暗黑破壞神I 7111 7112
> 27 暗黑破壞神II 7211 7212
> 28 流星蝴蝶劍 37105 37107
> 29 F16 26000 26001
> 30 F22 10022 10023
> 32 FIFA2004 2248 2250
> 31 CS反恐精英菜鳥天地 27015 27017

衝擊波連接阜
Tcp: 135, 137, 139, 445

Msn連接阜:
Tcp 1863, 443

msn傳文件檔案: 連接阜為tcp 6891-6900等幾個連接阜

BT的連接阜是tcp:6881~6890
電驢emule的連接阜tcp:4661-4669
迅雷的連接阜tcp:3077
poco的連接阜:udp:9000 udp:5356 tcp:5354

屏蔽以下地址(16個)後,pp 2005無法登入。
58.17.4.10
60.24.125.13
60.145.116.233
60.176.133.73
60.179.0.49
60.211.7.149
60.222.48.244
61.47.144.27
61.167.193.65
61.145.118.218
202.121.50.51
218.75.110.195
220.175.8.84
220.175.8.100
221.203.230.25
222.33.116.192

*****
遊戲
*****
3300/3550 i/o A3
3724 i/o 魔獸
6112 i/o 魔獸
6881 i/o 魔獸
6999 i/o 魔獸
7777 i/o Unreal:Klingon Honor Guard
7778 i/o Unreal:Tournament
22450 i/o Sin
26000 i/o Quake
26900 i/o HexenWorld
27005 i/o CS
27015 i/o CS
27500 i/o QuakeWorld
27910 i/o Quake 2
44405 UDP i/o 傳奇(UDP監聽連接阜)
55557 UDP i/o 傳奇(UDP監聽連接阜)
55901 i/o 傳奇(遊戲連接阜)
55960 i/o 傳奇(資料交換連接阜)
55962 i/o 傳奇(資料交換連接阜)
55970 i/o 傳奇(監聽連接阜)

禁用QQ、MSN、UC

利用新增IP規則,攔截以下IP的連接阜,實現禁止辦公網路內禁止聊天。
以下是常用的聊天工具的服務器IP以及連接阜,
QQ 所使用的Port: TCP 8000---8001;443
UDP 8000--1429
QQ所用到的IP地址有:
218.17.209.23 ; 218.17.217.106; 218.18.95.135; 218.18.95.153 ;218.18.95.163
218.18.95.165; 218.18.95.219 ; 218.18.95.220; 218.18.95.221 ;218.18.95.227
218.18.95.181 ; 218.18.95.182 ;218.18.95.183 ;218.18.95.188 ;218.18.95.189
218.18.95.162 ; 218.17.217.106; 211.162.63.24; 219.133.38.9
61.144.238.15; 61.172.249.133; 61.172.249.134


MSN 所用到的地址有:(Port:TCP 1863)
207.46.106.2; 207.46.106.30; 207.46.110.100; 207.46.107.23; 207.46.106.12;
207.46.107.65; 207.46.78.94; 207.68.172.246; 207.46.104.20;
207.46.106.32; 207.46.108.20; 207.46.107.24; 207.46.107.86; 207.46.106.197;
207.46.106.42 ; 207.46.104.20 ;207.46.106.19 ;207.46.110.254
65.54.194.117 ; 64.4.33.7; 64.4.32.7; 65.54.183.195; 65.54.183.192;
65.54.194.118
203.89.193.30; 207.46.110.26 ; 207.46.110.24 ; 207.46.110.18
210.51.190.110;

UC UDP Port1 Port2
210.192.97.215 3001 3002
210.192.97.216 3001 3002
210.192.97.217 3001 3002
210.192.97.218 3001 3002
210.192.97.219 3001 3002
210.192.97.220 3001 3002
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-09-03, 01:11 AM   #6 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

怎麼打開連接阜

怎麼打開連接阜
在Windows 2000/XP/Server 2003中要檢視連接阜,可以使用NETSTAT命令:
「開始">"執行」>「cmd」,打開命令提示字元視窗。在命令提示字元狀態下鍵入「NETSTAT -a -n」,按下Enter鍵鍵後就可以看到以數位形式顯示的TCP和UDP連接的連接阜號及狀態.
命令格式:Netstat -a -e -n -o -s
-a 表示顯示所有活動的TCP連接以及電腦監聽的TCP和UDP連接阜。
-e 表示顯示乙太網發送和接收的字節數、資料包數等。
-n 表示只以數位形式顯示所有活動的TCP連接的位址和連接阜號。
-o 表示顯示活動的TCP連接並包括每個連接的工作行程ID(PID)。
-s 表示按協議顯示各種連接的統計訊息,包括連接阜號。
關閉連接阜
比如在Windows 2000/XP中關閉SMTP服務的25連接阜,可以這樣做:首先打開「控制台」,雙擊「管理工具」,再雙擊「服務」。接著在打開的服務視窗中找到並雙擊「Simple Mail Transfer Protocol (SMTP)」服務,單擊「停止」按鍵來停止該服務,然後在「啟動類型」中選擇「已禁用」,最後單擊「確定」按鍵即可。這樣,關閉了SMTP服務就相當於關閉了對應的連接阜。
開啟連接阜
如果要開啟該連接阜只要先在「啟動類型」選擇「自動」,單擊「確定」按鍵,再打開該服務,在「服務狀態」中單擊「啟動」按鍵即可啟用該連接阜,最後,單擊「確定」按鍵即可。
另外在網路連接內容中,選擇「TCP/IP協議」內容,打開高階TCP/IP設置,在選項的那個網網頁面打開TCP/IP篩選,在出現的設置視窗中也可以根據實現情況設置連接阜的打開和關閉,預定是未啟用TCP/IP篩選。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-09-08, 08:42 AM   #7 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

怎樣關閉連接阜

怎樣關閉連接阜怎樣關閉連接阜
每一項服務都對應相應的連接阜,比如眾如周知的WWW服務的連接阜是80,smtp是25,ftp是21,win2000安裝中預定的都是這些服務開啟的。對於個人用戶來說確實沒有必要,關掉連接阜也就是關閉無用的服務。 「控制台」的「管理工具」中的「服務」中來配置。
1、關閉7.9等等連接阜:關閉Simple TCP/IP Service,支持以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、關閉80口:關掉WWW服務。在「服務」中顯示名稱為"World Wide Web Publishing Service",通過 Internet 訊息服務的管理單元提供 Web 連接和管理。
3、關掉25連接阜:關閉Simple Mail Transport Protocol (SMTP)服務,它提供的功能是跨網傳送電子郵件。
4、關掉21連接阜:關閉FTP Publishing Service,它提供的服務是通過 Internet 訊息服務的管理單元提供 FTP 連接和管理。
5、關掉23連接阜:關閉Telnet服務,它允許遠端用戶登入到系統並且使用命令行執行控制台程式。
6、還有一個很重要的就是關閉server服務,此服務提供 RPC 支持、文件、印表以及命名管道共享。關掉它就關掉了win2k的預定共享,比如ipc$、c$、admin$等等,此服務關閉不影響您的共他操作。
7、還有一個就是139連接阜,139連接阜是NetBIOS Session連接阜,用來文件和印表共享,注意的是執行samba的unix機器也開放了139連接阜,功能一樣。以前流光2000用來判斷對方主機類型不太準確,估計就是139連接阜開放既認為是NT機,現在好了。 關閉139口聽方法是在「網路和撥號連接」中「區域連線」中選取「Internet協議(TCP/IP)」內容,進入「高階TCP/IP設置」「WINS設置」裡面有一項「禁用TCP/IP的NETBIOS」,打勾就關閉了139連接阜。 對於個人用戶來說,可以在各項服務內容設置中設為「禁用」,以免下次重啟服務也重新啟動,連接阜也開放了。
電腦連接阜基礎知識
連接阜可分為3大類:

1) 公認連接阜(Well Known Ports):從0到1023,它們緊密綁定於一些服務。通常這些連接阜的通訊明確表明了某種服務的協議。例如:80連接阜實際上總是HTTP通訊。

2) 註冊連接阜(Registered Ports):從1024到49151。它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些連接阜,這些連接阜同樣用於許多其它目的。例如:許多系統處理動態連接阜從1024左右開始。

3) 動態和/或私有連接阜(Dynamic and/or Private Ports):從49152到65535。理論上,不應為服務分配這些連接阜。實際上,機器通常從1024起分配動態連接阜。但也有例外:SUN的RPC連接阜從32768開始。

  本節講述通常TCP/UDP連接阜掃瞄在防火牆記錄中的訊息。記住:並不存在所謂ICMP連接阜。如果你對解讀ICMP資料感興趣,請參看本文的其它部分。

  0 通常用於分析操作系統。這一方法能夠工作是因為在一些系統中「0」是無效連接阜,當你試圖使用一種通常的閉合連接阜連接它時將產生不同的結果。一種典型的掃瞄:使用IP位址為0.0.0.0,設置ACK位並在乙太網層廣播。

  1 tcpmux 這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者,預設情況下tcpmux在這種系統中被打開。Iris機器在發佈時含有幾個預設的無密碼的帳戶,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。許多管理員安裝後忘記刪除這些帳戶。因此Hacker們在Internet上搜索tcpmux並利用這些帳戶。

  7 Echo 你能看到許多人們搜索Fraggle放大器時,發送到x.x.x.0和x.x.x.255的訊息。

  常見的一種DoS攻擊是echo循環(echo-loop),攻擊者偽造從一個機器發送到另一個機器的UDP資料包,而兩個機器分別以它們最快的方式回應這些資料包。(參見Chargen)

  另一種東西是由DoubleClick在詞連接阜建立的TCP連接。有一種產品叫做「Resonate Global Dispatch」,它與DNS的這一連接阜連接以確定最近的路由。

  Harvest/squid cache將從3130連接阜發送UDP echo:「如果將cache的source_ping on選項打開,它將對原始主機的UDP echo連接阜回應一個HIT reply。」這將會產生許多這類資料包。

  11 sysstat 這是一種UNIX服務,它會列出機器上所有正在執行的工作行程以及是什麼啟動了這些工作行程。這為入侵者提供了許多訊息而威脅機器的安全,如暴露已知某些弱點或帳戶的程式。這與UNIX系統中「ps」命令的結果相似

  再說一遍:ICMP沒有連接阜,ICMP port 11通常是ICMP type=11

  19 chargen 這是一種僅僅發送字元的服務。UDP版本將會在收到UDP包後回應含有LJ字元的包。TCP連接時,會發送含有LJ字元的資料流知道連接關閉。Hacker利用IP欺騙可以發動DoS攻擊。偽造兩個chargen服務器之間的UDP包。由於服務器企圖回應兩個服務器之間的無限的往返資料通訊一個chargen和echo將導致服務器過載。同樣fraggle DoS攻擊向目標位址的這個連接阜廣播一個帶有偽造受害者IP的資料包,受害者為了回應這些資料而過載。

  21 ftp 最常見的攻擊者用於尋找打開「anonymous」的ftp服務器的方法。這些服務器帶有可讀寫的目錄。Hackers或Crackers 利用這些服務器作為傳送warez (私有程式) 和pr0n(故意拼錯詞而避免被搜索引擎分類)的節點。

  22 ssh PcAnywhere建立TCP和這一連接阜的連接可能是為了尋找ssh。這一服務有許多弱點。如果配置成特定的模式,許多使用RSAREF庫的版本有不少漏洞。(建議在其它連接阜執行ssh)

  還應該注意的是ssh工具包帶有一個稱為make-ssh-known-hosts的程式。它會掃瞄整個域的ssh主機。你有時會被使用這一程式的人無意中掃瞄到。

  UDP(而不是TCP)與另一端的5632連接阜相連意味著存在搜索pcAnywhere的掃瞄。5632(十六進制的0x1600)位交換後是0x0016(使進制的22)。

  23 Telnet 入侵者在搜索遠端登入UNIX的服務。大多數情況下入侵者掃瞄這一連接阜是為了找到機器執行的操作系統。此外使用其它技術,入侵者會找到密碼。

  25 smtp 攻擊者(spammer)尋找SMTP服務器是為了傳遞他們的spam。入侵者的帳戶總被關閉,他們需要撥號連接到高帶寬的e-mail服務器上,將簡單的訊息傳遞到不同的位址。SMTP服務器(尤其是sendmail)是進入系統的最常用方法之一,因為它們必須完整的暴露於Internet且郵件的路由是複雜的(暴露+複雜=弱點)。

  53 DNS Hacker或crackers可能是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏其它通訊。因此防火牆常常過濾或記錄53連接阜。

  需要注意的是你常會看到53連接阜做為UDP源連接阜。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回復。Hacker常使用這種方法穿透防火牆。

  67和68 Bootp和DHCP UDP上的Bootp/DHCP:通過DSL和cable-modem的防火牆常會看見大量發送到廣播位址255.255.255.255的資料。這些機器在向DHCP服務器請求一個位址分配。Hacker常進入它們分配一個位址把自己作為局部路由器而發起大量的「中間人」(man-in-middle)攻擊。客戶端向68連接阜(bootps)廣播請求配置,服務器向67連接阜(bootpc)廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的IP位址。

  69 TFTP(UDP) 許多服務器與bootp一起提供這項服務,便於從系統下載啟動代碼。但是它們常常錯誤配置而從系統提供任何文件,如密碼文件。它們也可用於向系統寫入文件。

  79 finger Hacker用於獲得用戶訊息,查詢操作系統,探測已知的緩衝區溢出錯誤,回應從自己機器到其它機器finger掃瞄。

  98 linuxconf 這個程式提供linux boxen的簡單管理。通過整合的HTTP服務器在98連接阜提供基於Web界面的服務。它已發現有許多安全問題。一些版本setuid root,信任局域網,在/tmp下建立Internet可訪問的文件,LANG環境變數有緩衝區溢出。此外因為它包含整合的服務器,許多典型的HTTP漏洞可能存在(緩衝區溢出,歷遍目錄等)

  109 POP2 並不像POP3那樣有名,但許多服務器同時提供兩種服務(向後相容)。在同一個服務器上POP3的漏洞在POP2中同樣存在。

  110 POP3 用於客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交換緩衝區溢出的弱點至少有20個(這意味著Hacker可以在真正登入前進入系統)。成功登入後還有其它緩衝區溢出錯誤。

  111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。訪問portmapper是掃瞄系統檢視允許哪些RPC服務的最早的一步。常見RPC服務有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提供服務的特定連接阜測試漏洞。

  記住一定要記錄線路中的daemon, IDS, 或sniffer,你可以發現入侵者正使用什麼程式訪問以便發現到底發生了什麼。

  113 Ident auth 這是一個許多機器上執行的協議,用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多機器的訊息(會被Hacker利用)。但是它可作為許多服務的記錄器,尤其是FTP, POP, IMAP, SMTP和IRC等服務。通常如果有許多客戶通過防火牆訪問這些服務,你將會看到許多這個連接阜的連接請求。記住,如果你阻斷這個連接阜客戶端會感覺到在防火牆另一邊與e-mail服務器的緩慢連接。許多防火牆支持在TCP連接的阻斷過程中發回RST,著將回停止這一緩慢的連接。

  119 NNTP news 新聞組傳輸協議,承載USENET通訊。當你鏈接到諸如:news://comp.security.firewalls/. 的位址時通常使用這個連接阜。這個連接阜的連接企圖通常是人們在尋找USENET服務器。多數ISP限制只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務器,匿名發帖或發送spam。

  135 oc-serv MS RPC end-point mapper Microsoft在這個連接阜執行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111連接阜的功能很相似。使用DCOM和/或RPC的服務利用機器上的end-point mapper註冊它們的位置。遠端客戶連接到機器時,它們查詢end-point mapper找到服務的位置。同樣Hacker掃瞄機器的這個連接阜是為了找到諸如:這個機器上執行Exchange Server嗎?是什麼版本?

  這個連接阜除了被用來查詢服務(如使用epdump)還可以被用於直接攻擊。有一些DoS攻擊直接針對這個連接阜。

  137 NetBIOS name service nbtstat (UDP) 這是防火牆管理員最常見的訊息,請仔細閱讀文章後面的NetBIOS一節

  139 NetBIOS File and Print Sharing 通過這個連接阜進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於Windows「文件和印表機共享」和SAMBA。在Internet上共享自己的硬碟是可能是最常見的問題。

  大量針對這一連接阜始於1999,後來逐漸變少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)開始將它們自己拷貝到這個連接阜,試圖在這個連接阜繁殖。

  143 IMAP 和上面POP3的安全問題一樣,許多IMAP服務器有緩衝區溢出漏洞執行登入過程中進入。記住:一種Linux蠕蟲(admw0rm)會通過這個連接阜繁殖,因此許多這個連接阜的掃瞄來自不知情的已被感染的用戶。當RadHat在他們的Linux發佈版本中預定允許IMAP後,這些漏洞變得流行起來。Morris蠕蟲以後這還是第一次廣泛傳播的蠕蟲。

  這一連接阜還被用於IMAP2,但並不流行。

  已有一些報道發現有些0到143連接阜的攻擊源於腳本。

  161 SNMP(UDP) 入侵者常探測的連接阜。SNMP允許遠端管理設備。所有配置和執行訊息都儲存在資料庫中,通過SNMP客獲得這些訊息。許多管理員錯誤配置將它們暴露於Internet。Crackers將試圖使用預設的密碼「public」「private」訪問系統。他們可能會試驗所有可能的組合。

  SNMP包可能會被錯誤的指向你的網路。Windows機器常會因為錯誤配置將HP JetDirect remote management軟件使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網內廣播(cable modem, DSL)查詢sysName和其它訊息。

  162 SNMP trap 可能是由於錯誤配置

  177 xdmcp 許多Hacker通過它訪問X-Windows控制台,它同時需要打開6000連接阜。

  513 rwho 可能是從使用cable modem或DSL登入到的子網中的UNIX機器發出的廣播。這些人為Hacker進入他們的系統提供了很有趣的訊息。

  553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你將會看到這個連接阜的廣播。CORBA是一種面向物件的RPC(remote procedure call)系統。Hacker會利用這些訊息進入系統。

  600 Pcserver backdoor 請檢視1524連接阜

  一些玩script的孩子認為他們通過修改ingreslock和pcserver文件已經完全攻破了系統-- Alan J. Rosenthal.

  635 mountd Linux的mountd Bug。這是人們掃瞄的一個流行的Bug。大多數對這個連接阜的掃瞄是基於UDP的,但基於TCP的mountd有所增加(mountd同時執行於兩個連接阜)。記住,mountd可執行於任何連接阜(到底在哪個連接阜,需要在連接阜111做portmap查詢),只是Linux預定為635連接阜,就像NFS通常執行於2049連接阜。

  1024 許多人問這個連接阜是幹什麼的。它是動態連接阜的開始。許多程式並不在乎用哪個連接阜連接網路,它們請求操作系統為它們分配「下一個閒置連接阜」。基於這一點分配從連接阜1024開始。這意味著第一個向系統請求分配動態連接阜的程式將被分配連接阜1024。為了驗證這一點,你可以重啟機器,打開Telnet,再打開一個視窗執行「natstat -a」,你將會看到Telnet被分配1024連接阜。請求的程式越多,動態連接阜也越多。操作系統分配的連接阜將逐漸變大。再來一遍,當你瀏覽Web頁時用「netstat」檢視,每個Web頁需要一個新連接阜。

 ?ersion 0.4.1, June 20, 2000

  http://www.robertgraham.com/pubs/firewall-seen.html ;

  Copyright 1998-2000 by Robert Graham (mailtfirewall-seen1@robertgraham.com.

  All rights reserved. This document may only be reproduced (whole or

in part) for non-commercial purposes. All reproductions must

contain this copyright notice and must not be altered, except by

permission of the author.

  1025 參見1024

  1026 參見1024

  1080 SOCKS

  這一協議以管道方式穿過防火牆,允許防火牆後面的許多人通過一個IP位址訪問Internet。理論上它應該只允許內部的通信向外達到Internet。但是由於錯誤的配置,它會允許Hacker/Cracker的位於防火牆外部的攻擊穿過防火牆。或者簡單地回應位於Internet上的電腦,從而掩飾他們對你的直接攻擊。WinGate是一種常見的Windows個人防火牆,常會發生上述的錯誤配置。在加入IRC聊天室時常會看到這種情況。

  1114 SQL

  系統本身很少掃瞄這個連接阜,但常常是sscan腳本的一部分。

 

  1243 Sub-7木馬(TCP)

  參見Subseven部分。

  

  1524 ingreslock後門

  許多攻擊腳本將安裝一個後門Sh*ll 於這個連接阜(尤其是那些針對Sun系統中Sendmail和RPC服務漏洞的腳本,如statd, ttdbserver和cmsd)。如果你剛剛安裝了你的防火牆就看到在這個連接阜上的連接企圖,很可能是上述原因。你可以試試Telnet到你的機器上的這個連接阜,看看它是否會給你一個Sh*ll 。連接到600/pcserver也存在這個問題。

 

  2049 NFS

  NFS程式常執行於這個連接阜。通常需要訪問portmapper查詢這個服務執行於哪個連接阜,但是大部分情況是安裝後NFS 杏謖飧齠絲塚?acker/Cracker因而可以閉開portmapper直接測試這個連接阜。

 

  3128 squid

  這是Squid HTTP代理服務器的預定連接阜。攻擊者掃瞄這個連接阜是為了搜尋一個代理服務器而匿名訪問Internet。你也會看到搜索其它代理服務器的連接阜:8000/8001/8080/8888。掃瞄這一連接阜的另一原因是:用戶正在進入聊天室。其它用戶(或服務器本身)也會檢驗這個連接阜以確定用戶的機器是否支持代理。請檢視5.3節。

 

  5632 pcAnywere

  你會看到很多這個連接阜的掃瞄,這依賴於你所在的位置。當用戶打開pcAnywere時,它會自動掃瞄局域網C類網以尋找可能得代理(譯者:指agent而不是proxy)。Hacker/cracker也會尋找開放這種服務的機器,所以應該檢視這種掃瞄的源位址。一些搜尋pcAnywere的掃瞄常包含連接阜22的UDP資料包。參見撥號掃瞄。

 

  6776 Sub-7 artifact

  這個連接阜是從Sub-7主連接阜分離出來的用於傳送資料的連接阜。例如當控制者通過電話線控制另一台機器,而被控機器掛斷時你將會看到這種情況。因此當另一人以此IP撥入時,他們將會看到持續的,在這個連接阜的連接企圖。(譯者:即看到防火牆報告這一連接阜的連接企圖時,並不表示你已被Sub-7控制。)

 

  6970 RealAudio

  RealAudio客戶將從服務器的6970-7170的UDP連接阜接收音頻資料流。這是由TCP7070連接阜外向控制連接設置的。

 

  13223 PowWow

  PowWow 是Tribal Voice的聊天程式。它允許用戶在此連接阜打開私人聊天的連接。這一程式對於建立連接非常具有「進攻性」。它會「駐紮」在這一TCP連接阜等待回應。這造成類似心跳間隔的連接企圖。如果你是一個撥號用戶,從另一個聊天者手中「繼承」了IP位址這種情況就會發生:好像很多不同的人在測試這一連接阜。這一協議使用「OPNG」作為其連接企圖的前四個字節。

 

  17027 Conducent

  這是一個外向連接。這是由於公司內部有人安裝了帶有Conducent "adbot" 的共享軟件。Conducent "adbot"是為共享軟件顯示廣告服務的。使用這種服務的一種流行的軟件是Pkware。有人試驗:阻斷這一外向連接不會有任何問題,但是封掉IP位址本身將會導致adbots持續在每秒內試圖連接多次而導致連接過載:

機器會不斷試圖解析DNS名─ads.conducent.com,即IP位址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者:不知NetAnts使用的Radiate是否也有這種現象)

 

  27374 Sub-7木馬(TCP)

  參見Subseven部分。

 

  30100 NetSphere木馬(TCP)

  通常這一連接阜的掃瞄是為了尋找中了NetSphere木馬。

 

  31337 Back Orifice 「elite」

  Hacker中31337讀做「elite」/ei』li:t/(譯者:法語,譯為中堅力量,精華。即3=E, 1=L, 7=T)。因此許多後門程式執行於這一連接阜。其中最有名的是Back Orifice。曾經一段時間內這是Internet上最常見的掃瞄。現在它的流行越來越少,其它的木馬程式越來越流行。

 

  31789 Hack-a-tack

  這一連接阜的UDP通訊通常是由於"Hack-a-tack"遠端訪問木馬(RAT, Remote Access Trojan)。這種木馬包含內置的31790連接阜掃瞄器,因此任何31789連接阜到317890連接阜的連接意味著已經有這種入侵。(31789連接阜是控制連接,317890連接阜是文件傳輸連接)

 

  32770~32900 RPC服務

  Sun Solaris的RPC服務在這一範圍內。詳細的說:早期版本的Solaris(2.5.1之前)將portmapper置於這一範圍內,即使低連接阜被防火牆封閉仍然允許Hacker/cracker訪問這一連接阜。掃瞄這一範圍內的連接阜不是為了尋找portmapper,就是為了尋找可被攻擊的已知的RPC服務。

 

  33434~33600 traceroute

  如果你看到這一連接阜範圍內的UDP資料包(且只在此範圍之內)則可能是由於traceroute。參見traceroute部分。

 

  41508 Inoculan

  早期版本的Inoculan會在子網內產生大量的UDP通訊用於識別彼此。參見

  http://www.circlemud.org/~jelson/software/udpsend.html ;

  http://www.ccd.bnl.gov/nss/tips/inoculan/index.html ;

 

(二) 下面的這些源連接阜意味著什麼?

  連接阜1~1024是保留連接阜,所以它們幾乎不會是源連接阜。但有一些例外,例如來自NAT機器的連接。參見1.9。

  常看見緊接著1024的連接阜,它們是系統分配給那些並不在乎使用哪個連接阜連接的應用程式的「動態連接阜」。

Server Client 服務 描述

  1-5/tcp 動態 FTP 1-5連接阜意味著sscan腳本

  20/tcp 動態 FTP FTP服務器傳送文件的連接阜

  53 動態 FTP DNS從這個連接阜發送UDP回應。你也可能看見源/目標連接阜的TCP連接。

  123 動態 S/NTP 簡單網路時間協議(S/NTP)服務器執行的連接阜。它們也會發送到這個連接阜的廣播。

  27910~27961/udp 動態 Quake Quake或Quake引擎驅動的遊戲在這一連接阜執行其服務器。因此來自這一連接阜範圍的UDP包或發送至這一連接阜範圍的UDP包通常是遊戲。

  61000以上 動態 FTP 61000以上的連接阜可能來自Linux NAT服務器(IP Masquerade)

檢視開放連接阜判斷木馬的方法
前最為常見的木馬通常是基於TCP/UDP協議進行client端與server端之間的通訊的,既然利用到這兩個協議,就不可避免要在server端(就是被種了木馬的機器了)打開監聽連接阜來等待連接。例如鼎鼎大名的冰河使用的監聽連接阜是7626,Back Orifice 2000則是使用54320等等。那麼,我們可以利用檢視本機開放連接阜的方法來檢查自己是否被種了木馬或其它黑客程式。以下是詳細方法介紹。

  1. Windows本身自帶的netstat命令

  關於netstat命令,我們先來看看windows幫助文件中的介紹:

  Netstat

  顯示協議統計和當前的 TCP/IP 網路連接。該命令只有在安裝了 TCP/IP 協議後才可以使用。

  netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

  參數

  -a

  顯示所有連接和偵聽連接阜。服務器連接通常不顯示。

  -e

  顯示乙太網統計。該參數可以與 -s 選項結合使用。

  -n

  以數位格式顯示位址和連接阜號(而不是嘗試查找名稱)。

  -s

  顯示每個協議的統計。預定情況下,顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可以用來指定預定的子集。

  -p protocol

  顯示由 protocol 指定的協議的連接;protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個協議的統計,protocol 可以是 tcp、udp、icmp 或 ip。

  -r

  顯示路由表的內容。

  interval

  重新顯示所選的統計,在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數,netstat 將印表一次當前的配置訊息。

  好了,看完這些幫助文件,我們應該明白netstat命令的使用方法了。現在就讓我們現學現用,用這個命令看一下自己的機器開放的連接阜。進入到命令行下,使用netstat命令的a和n兩個參數:

  C:\>netstat -an

  Active Connections

  Proto Local Address Foreign Address State
  TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
  TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
  TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
  UDP 0.0.0.0:445 0.0.0.0:0
  UDP 0.0.0.0:1046 0.0.0.0:0
  UDP 0.0.0.0:1047 0.0.0.0:0

  解釋一下,Active Connections是指當前本機活動連接,Proto是指連接使用的協議名稱,Local Address是本機電腦的 IP 位址和連接正在使用的連接阜號,Foreign Address是連接該連接阜的遠端電腦的 IP 位址和連接阜號,State則是表明TCP 連接的狀態,你可以看到後面三行的監聽連接阜是UDP協議的,所以沒有State表示的狀態。看!我的機器的7626連接阜已經開放,正在監聽等待連接,像這樣的情況極有可能是已經感染了冰河!急忙離線網路,用殺毒軟件查殺病毒是正確的做法。

  2.工作在windows2000下的命令行工具fport

  使用windows2000的朋友要比使用windows9X的幸運一些,因為可以使用fport這個程式來顯示本機開放連接阜與工作行程的對應關係。

  Fport是FoundStone出品的一個用來列出系統中所有打開的TCP/IP和UDP連接阜,以及它們對應應用程式的完整路徑、PID標識、工作行程名稱等訊息的軟件。在命令行下使用,請看例子:

  D:\>fport.exe
  FPort v1.33 - TCP/IP Process to Port Mapper
  Copyright 2000 by Foundstone, Inc.
  http://www.foundstone.com

  Pid Process Port Proto Path
  748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe
  748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
  748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
  416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

  是不是一目瞭然了。這下,各個連接阜究竟是什麼程式打開的就都在你眼皮底下了。如果發現有某個可疑程式打開了某個可疑連接阜,可千萬不要大意哦,也許那就是一隻狡猾的木馬!

  Fport的最新版本是2.0。在很多網站都提供下載,但是為了安全起見,當然最好還是到它的老家去下:http://www.foundstone.com /knowledge/zips/fport.zip

  3.與Fport功能類似的圖形化界面工具Active Ports

  Active Ports為SmartLine出品,你可以用來監視電腦所有打開的TCP/IP/UDP連接阜,不但可以將你所有的連接阜顯示出來,還顯示所有連接阜所對應的程式所在的路徑,本機IP和遠端IP(試圖連接你的電腦IP)是否正在活動。下面是軟件抓圖:

  是不是很直觀?更棒的是,它還提供了一個關閉連接阜的功能,在你用它發現木馬開放的連接阜時,可以立即將連接阜關閉。這個軟件工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。

  其實使用windows xp的用戶無須借助其它軟件即可以得到連接阜與工作行程的對應關係,因為windows xp所帶的netstat命令比以前的版本多了一個O參數,使用這個參數就可以得出連接阜與工作行程的對應來。
連接阜掃瞄分析(一)常用的網路相關命令

  一個連接阜就是一個潛在的通信通道,也就是一個入侵通道。對目標電腦進行連接阜掃瞄,能得到許多有用的訊息。進行掃瞄的方法很多,可以是手工進行掃瞄,也可以用連接阜掃瞄軟件進行。
  在手工進行掃瞄時,需要熟悉各種命令。對命令執行後的輸出進行分析。用掃瞄軟件進行掃瞄時,許多掃瞄器軟件都有分析資料的功能。
  通過連接阜掃瞄,可以得到許多有用的訊息,從而發現系統的安全漏洞。
  下面首先介紹幾個常用網路命令,對連接阜掃瞄原理進行介紹,然後提供一個簡單的掃瞄程式。第一節 幾個常用網路相關命令
Ping命令經常用來對TCP/IP網路進行診斷。通過目標電腦發送一個資料包,讓它將這個資料包反送回來,如果返回的資料包和發送的資料包一致,那就是說你的PING命令成功了。通過這樣對返回的資料進行分析,就能判斷電腦是否開著,或者這個資料包從發送到返回需要多少時間。

一。幾個常用網路相關命令
1.Ping命令的基本格式:
ping hostname

  其中hostname是目標電腦的位址。Ping還有許多高階使用,下面就是一個例子。
C:> ping -f hostname
  這條命令給目標機器發送大量的資料,從而使目標電腦忙於回應。在Windows 95的電腦上,使用下面的方法:
c:\windows\ping -l 65510 saddam_hussein*s.computer.mil
  這樣做了之後,目標電腦有可能會掛起來,或從新啟動。由於 -l 65510 產生一個巨大的資料包。由於要求返回一個同樣的資料包,會使目標電腦反應不過來。
  在Linux電腦上,可以編寫一個程式來實現上述方法。
#include <stdio.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netdb.h>
#include <netinet/in.h>
#include <netinet/in_systm.h>
#include <netinet/ip.h>
#include <netinet/ip_icmp.h>

/*
* If your kernel doesn*t muck with raw packets, #define REALLY_RAW.
* This is probably only Linux.
*/
#ifdef REALLY_RAW
#define FIX(x) htons(x)
#else
#define FIX(x) (x)
#endif

int
main(int argc, char **argv)
{
int s;
char buf[1500];
struct ip *ip = (struct ip *)buf;
struct icmp *icmp = (struct icmp *)(ip + 1);
struct hostent *hp;
struct sockaddr_in dst;
int offset;
int on = 1;

bzero(buf, sizeof buf);
if ((s = socket(AF_INET, SOCK_RAW, IPPROTO_IP)) < 0) {
perror("socket");
exit(1);
}
if (setsockopt(s, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on)) < 0) {
perror("IP_HDRINCL");
exit(1);
}
if (argc != 2) {
fprintf(stderr, "usage: %s hostname\n", argv[0]);
exit(1);
}
if ((hp = gethostbyname(argv[1])) == NULL) {
if ((ip->ip_dst.s_addr = inet_addr(argv[1])) == -1) {
fprintf(stderr, "%s: unknown host\n", argv[1]);
}
} else {
bcopy(hp->h_addr_list[0], &ip->ip_dst.s_addr, hp->h_length);
}

printf("Sending to %s\n", inet_ntoa(ip->ip_dst));
ip->ip_v = 4;
ip->ip_hl = sizeof *ip >> 2;
ip->ip_tos = 0;
ip->ip_len = FIX(sizeof buf);
ip->ip_id = htons(4321);
ip->ip_off = FIX(0);
ip->ip_ttl = 255;
ip->ip_p = 1;
ip->ip_sum = 0; /* kernel fills in */
ip->ip_src.s_addr = 0; /* kernel fills in */

dst.sin_addr = ip->ip_dst;
dst.sin_family = AF_INET;

icmp->icmp_type = ICMP_ECHO;
icmp->icmp_code = 0;
icmp->icmp_cksum = htons(~(ICMP_ECHO << 8));
/* the checksum of all 0*s is easy to compute */

for (offset = 0; offset < 65536; offset += (sizeof buf - sizeof *ip)) {
ip->ip_off = FIX(offset >> 3);
if (offset < 65120)
ip->ip_off |= FIX(IP_MF);
else
ip->ip_len = FIX(418); /* make total 65538 */
if (sendto(s, buf, sizeof buf, 0, (struct sockaddr *)&dst,
sizeof dst) < 0) {
fprintf(stderr, "offset %d: ", offset);
perror("sendto");
}
if (offset == 0) {
icmp->icmp_type = 0;
icmp->icmp_code = 0;
icmp->icmp_cksum = 0;
}
}
}

2.Tracert命令用來跟蹤一個消息從一台電腦到另一台電腦所走的路徑,比方說從你的電腦走到浙江訊息超市。在DOS視窗下,命令如下:
C:\WINDOWS>tracert 202.96.102.4

Tracing route to 202.96.102.4 over a maximum of 30 hops

1 84 ms 82 ms 95 ms 202.96.101.57
2 100 ms 100 ms 95 ms 0fa1.1-rtr1-a-hz1.zj.CN.NET [202.96.101.33]
3 95 ms 90 ms 100 ms 202.101.165.1
4 90 ms 90 ms 90 ms 202.107.197.98
5 95 ms 90 ms 99 ms 202.96.102.4
6 90 ms 95 ms 100 ms 202.96.102.4

Trace complete.

  上面的這些輸出代表什麼意思?左邊的數位是該路由通過的電腦數目。"150 ms"是指向那台電腦發送消息的往返時間,單位是微秒。由於每條消息每次的來回的時間不一樣,tracert將顯示來回時間三次。"*"表示來回時間太長,tracert將這個時間「忘掉了」。在時間訊息到來後,電腦的名字訊息也到了。開始是一種便於人們閱讀的格式, 接著是數位格式。

C:\WINDOWS>tracert 152.163.199.56

Tracing route to dns-aol.ANS.NET [198.83.210.28]over a maximum of 30 hops:

1 124 ms 106 ms 105 ms 202.96.101.57
2 95 ms 95 ms 90 ms 0fa1.1-rtr1-a-hz1.zj.CN.NET [202.96.101.33]
3 100 ms 90 ms 100 ms 202.101.165.1
4 90 ms 95 ms 95 ms 202.97.18.241
5 105 ms 105 ms 100 ms 202.97.18.93
6 100 ms 99 ms 100 ms 202.97.10.37
7 135 ms 98 ms 100 ms 202.97.9.78
8 760 ms 725 ms 768 ms gip-ftworth-4-serial8-3.gip.net [204.59.178.53]
9 730 ms 750 ms 715 ms gip-ftworth-4-serial8-3.gip.net [204.59.178.53]
10 750 ms 785 ms 772 ms 144.232.11.9
11 740 ms 800 ms 735 ms sl-bb11-pen-2-0.sprintlink.NET [144.232.8.158]
12 790 ms 800 ms 735 ms sl-nap2-pen-4-0-0.sprintlink.net [144.232.5.66]
13 770 ms 800 ms 800 ms p219.t3.ans.net [192.157.69.13]
14 775 ms 820 ms 780 ms h14-1.t60-6.Reston.t3.ANS.NET [140.223.17.18]
15 780 ms 800 ms 800 ms h11-1.t60-2.Reston.t3.ANS.NET [140.223.25.34]
16 790 ms 795 ms 800 ms h14-1.t104-0.Atlanta.t3.ANS.NET [140.223.65.18]
17 * h14-1.t104-0.Atlanta.t3.ANS.NET [140.223.65.18] reports: Destination host unreachable.

Trace complete.

3.rusers和finger
  這兩個都是Unix命令。通過這兩個命令,你能收集到目標電腦上的有關用戶的消息。
使用rusers命令,產生的結果如下示意:
gajake snark.wizard.com:ttyp1 Nov 13 15:42 7:30 (remote)
root snark.wizard.com:ttyp2 Nov 13 14:57 7:21 (remote)
robo snark.wizard.com:ttyp3 Nov 15 01:04 01 (remote)
angel111 snark.wizard.com:ttyp4 Nov14 23:09 (remote)
pippen snark.wizard.com:ttyp6 Nov 14 15:05 (remote)
root snark.wizard.com:ttyp5 Nov 13 16:03 7:52 (remote)
gajake snark.wizard.com:ttyp7 Nov 14 20:20 2:59 (remote)
dafr snark.wizard.com:ttyp15Nov 3 20:09 4:55 (remote)
dafr snark.wizard.com:ttyp1 Nov 14 06:12 19:12 (remote)
dafr snark.wizard.com:ttyp19Nov 14 06:12 19:02 (remote)

  最左邊的是通過遠端登入的用戶名。還包括上次登入時間,使用的SHELL類型等等訊息。
  使用finger可以產生類似下面的結果:
user S00 PPP ppp-122-pm1.wiza Thu Nov 14 21:29:30 - still logged in
user S15 PPP ppp-119-pm1.wiza Thu Nov 14 22:16:35 - still logged in
user S04 PPP ppp-121-pm1.wiza Fri Nov 15 00:03:22 - still logged in
user S03 PPP ppp-112-pm1.wiza Thu Nov 14 22:20:23 - still logged in
user S26 PPP ppp-124-pm1.wiza Fri Nov 15 01:26:49 - still logged in
user S25 PPP ppp-102-pm1.wiza Thu Nov 14 23:18:00 - still logged in
user S17 PPP ppp-115-pm1.wiza Thu Nov 14 07:45:00 - still logged in
user S-1 0.0.0.0 Sat Aug 10 15:50:03 - still logged in
user S23 PPP ppp-103-pm1.wiza Fri Nov 15 00:13:53 - still logged in
user S12 PPP ppp-111-pm1.wiza Wed Nov 13 16:58:12 - still logged in
  這個命令能顯示用戶的狀態。該命令是建立在客戶/服務模型之上的。用戶通過客戶端軟件向服務器請求訊息,然後解釋這些訊息,提供給用戶。在服務器上一般執行一個叫做fingerd的程式,根據服務器的機器的配置,能向客戶提供某些訊息。如果考慮到保護這些個人訊息的話,有可能許多服務器不提供這個服務,或者只提供一些無關的訊息。

4.host命令
  host是一個Unix命令,它的功能和標準的nslookup查詢一樣。唯一的區別是host命令比較容易理解。host命令的危險性相當大,下面舉個使用實例,演示一次對bu.edu的host查詢。
host -l -v -t any bu.edu
  這個命令的執行結果所得到的訊息十分多,包括操作系統,機器和網路的很多資料。先看一下基本訊息:
Found 1 addresses for BU.EDU
Found 1 addresses for RS0.INTERNIC.NET
Found 1 addresses for SOFTWARE.BU.EDU
Found 5 addresses for RS.INTERNIC.NET
Found 1 addresses for NSEGC.BU.EDU
Trying 128.197.27.7
bu.edu 86400 IN SOA BU.EDU HOSTMASTER.BU.EDU(
961112121 ;serial (version)
900 ;refresh period
900 ;retry refresh this often
604800 ;expiration period
86400 ;minimum TTL
)
bu.edu 86400 IN NS SOFTWARE.BU.EDU
bu.edu 86400 IN NS RS.INTERNIC.NET
bu.edu 86400 IN NS NSEGC.BU.EDU
bu.edu 86400 IN A 128.197.27.7

  這些本身並沒有危險,只是一些機器和它們的DNS服務器。這些訊息可以用WHOIS或在註冊域名的站點中檢索到。但看看下面幾行訊息:
bu.edu 86400 IN HINFO SUN-SPARCSTATION-10/41 UNIX
PPP-77-25.bu.edu 86400 IN A 128.197.7.237
PPP-77-25.bu.edu 86400 IN HINFO PPP-HOST PPP-SW
PPP-77-26.bu.edu 86400 IN A 128.197.7.238
PPP-77-26.bu.edu 86400 IN HINFO PPP-HOST PPP-SW
ODIE.bu.edu 86400 IN A 128.197.10.52
ODIE.bu.edu 86400 IN MX 10 CS.BU.EDU
ODIE.bu.edu 86400 IN HINFO DEC-ALPHA-3000/300LX OSF1

從這裡,我們馬上就發現一台EDC Alpha執行的是OSF1操作系統。在看看:
STRAUSS.bu.edu 86400 IN HINFO PC-PENTIUM DOS/WINDOWS
BURULLUS.bu.edu 86400 IN HINFO SUN-3/50 UNIX (Ouch)
GEORGETOWN.bu.edu 86400 IN HINFO MACINTOSH MAC-OS
CHEEZWIZ.bu.edu 86400 IN HINFO SGI-INDIGO-2 UNIX
POLLUX.bu.edu 86400 IN HINFO SUN-4/20-SPARCSTATION-SLC UNIX
SFA109-PC201.bu.edu 86400 IN HINFO PC MS-DOS/WINDOWS
UH-PC002-CT.bu.edu 86400 IN HINFO PC-CLONE MS-DOS
SOFTWARE.bu.edu 86400 IN HINFO SUN-SPARCSTATION-10/30 UNIX
CABMAC.bu.edu 86400 IN HINFO MACINTOSH MAC-OS
VIDUAL.bu.edu 86400 IN HINFO SGI-INDY IRIX
KIOSK-GB.bu.edu 86400 IN HINFO GATORBOX GATORWARE
CLARINET.bu.edu 86400 IN HINFO VISUAL-X-19-TURBO X-SERVER
DUNCAN.bu.edu 86400 IN HINFO DEC-ALPHA-3000/400 OSF1
MILHOUSE.bu.edu 86400 IN HINFO VAXSTATION-II/GPX UNIX
PSY81-PC150.bu.edu 86400 IN HINFO PC WINDOWS-95
BUPHYC.bu.edu 86400 IN HINFO VAX-4000/300 OpenVMS

  可見,任何人都能通過在命令行裡鍵入一個命令,就能收集到一個域裡的所有電腦的重要訊息。而且只化了3秒時間。
  我們利用上述有用的網路命令,可以收集到許多有用的訊息,比方一個域裡的名字服務器的位址,一台電腦上的用戶名,一台服務器上正在執行什麼服務,這個服務是哪個軟件提供的,電腦上執行的是什麼操作系統。
  如果你知道目標電腦上執行的操作系統和服務應用程式後,就能利用已經發現的他們的漏洞來進行攻擊。如果目標電腦的網路管理員沒有對這些漏洞及時修補的話,入侵者能輕而易舉的闖入該系統,獲得管理員權限,並留下後門。
  如果入侵者得到目標電腦上的用戶名後,能使用口令破解軟件,多次試圖登入目標電腦。經過嘗試後,就有可能進入目標電腦。得到了用戶名,就等於得到了一半的進入權限,剩下的只是使用軟件進行攻擊而已。

1 tcpmux TCP Port Service Multiplexer 傳輸控制協議連接阜服務多路開關選擇器
2 compressnet Management Utility   compressnet 管理實用程式
3 compressnet Compression Process   壓縮工作行程
5 rje Remote Job Entry     遠端作業登入
7 echo Echo       回顯
9 discard Discard     丟棄
11 systat Active Users     線上用戶
13 daytime Daytime      時間
17 qotd Quote of the Day    每日引用
18 msp Message Send Protocol    消息發送協議
19 chargen Character Generator   字元發生器
20 ftp-data File Transfer[Default Data]  文件傳輸協議(預定資料口) 
21 ftp File Transfer[Control]    文件傳輸協議(控制)
22 ssh SSH Remote Login Protocol   SSH遠端登入協議
23 telnet Telnet     終端仿真協議
24 any private mail system    預留給個人用郵件系統
25 smtp Simple Mail Transfer    簡單郵件發送協議
27 nsw-fe NSW User System FE    NSW 用戶系統現場工程師
29 msg-icp MSG ICP      MSG ICP
31 msg-auth MSG Authentication   MSG驗證
33 dsp Display Support Protocol   顯示支持協議
35 any private printer server   預留給個人印表機服務
37 time Time       時間
38 rap Route Access Protocol    路由訪問協議
39 rlp Resource Location Protocol   資源定位協議
41 graphics Graphics     圖形
42 nameserver WINS Host Name Server   WINS 主機名服務
43 nicname Who Is     "綽號" who is服務
44 mpm-flags MPM FLAGS Protocol   MPM(消息處理模塊)標誌協議
45 mpm Message Processing Module [recv]  消息處理模塊 
46 mpm-snd MPM [default send]    消息處理模塊(預定發送口)
47 ni-ftp NI FTP     NI FTP
48 auditd Digital Audit Daemon   數碼音頻後台服務49 tacacs Login Host Protocol (TACACS)  TACACS登入主機協議50 re-mail-ck Remote Mail Checking Protocol  遠端郵件檢查協議[未結束]
51 la-maint IMP Logical Address Maintenance  IMP(接頭訊息處理機)邏輯位址維護
52 xns-time XNS Time Protocol    施樂網路服務系統時間協議
53 domain Domain Name Server    域名服務器
54 xns-ch XNS Clearinghouse     施樂網路服務系統票據交換 55 isi-gl ISI Graphics Language   ISI圖形語言
56 xns-auth XNS Authentication   施樂網路服務系統驗證
57 ? any private terminal access   預留個人用終端訪問
58 xns-mail XNS Mail     施樂網路服務系統郵件
59 any private file service    預留個人文件服務
60 Unassigned      未定義
61 ni-mail NI MAIL      NI郵件?
62 acas ACA Services     異步通訊適配器服務
63 whois+ whois+      WHOIS+
64 covia Communications Integrator (CI)  通訊接頭 
65 tacacs-ds TACACS-Database Service   TACACS資料庫服務
66 sql*net Oracle SQL*NET    Oracle SQL*NET
67 bootps Bootstrap Protocol Server   啟始程式協議服務端
68 bootpc Bootstrap Protocol Client   啟始程式協議客戶端
69 tftp Trivial File Transfer    小型文件傳輸協議
70 gopher Gopher     訊息檢索協議
71 netrjs-1 Remote Job Service   遠端作業服務
72 netrjs-2 Remote Job Service   遠端作業服務
73 netrjs-3 Remote Job Service   遠端作業服務
74 netrjs-4 Remote Job Service   遠端作業服務
75 any private dial out service   預留給個人撥出服務
76 deos Distributed External Object Store 分佈式外部對像存儲 
77 any private RJE service     預留給個人遠端作業輸入服務
78 vettcp vettcp     修正TCP?
79 finger Finger     查詢遠端主機線上用戶等訊息
80 http World Wide Web HTTP     全球訊息網超文本傳輸協議 81 hosts2-ns HOSTS2 Name Server   HOST2名稱服務
82 xfer XFER Utility     傳輸實用程式
83 mit-ml-dev MIT ML Device     模塊化智慧式終端ML設備
84 ctf Common Trace Facility    公用追蹤設備
85 mit-ml-dev MIT ML Device     模塊化智慧式終端ML設備
86 mfcobol Micro Focus Cobol    Micro Focus Cobol編程語言
87 any private terminal link   預留給個人終端連接
88 kerberos Kerberos     Kerberros安全認證系統
89 su-mit-tg SU/MIT Telnet Gateway   SU/MIT終端仿真網路閘道器
90 dnsix DNSIX Securit Attribute Token Map  DNSIX 安全內容標記圖91 mit-dov MIT Dover Spooler    MIT Dover假離線
92 npp Network Printing Protocol   網路印表協議
93 dcp Device Control Protocol   設備控制協議
94 objcall Tivoli Object Dispatcher   Tivoli對像調度
95 supdup  SUPDUP    
96 dixie DIXIE Protocol Specification   DIXIE協議規範
97 swift-rvf(Swift Remote Virtural File Protocol)快速遠端虛擬文件協議98 tacnews TAC News      TAC新聞協議
99 metagram Metagram Relay    
100 newacct [unauthorized use]
101=NIC Host Name Server
102=ISO-TSAP
103=Genesis Point-to-Point Trans Net
104=ACR-NEMA Digital Imag. & Comm. 300
105=Mailbox Name Nameserver
106=3COM-TSMUX3com-tsmux
107=Remote Telnet Service
108=SNA Gateway Access Server
109=Post Office Protocol - Version 2
110=Post Office Protocol - Version 3
111=SUN RPC
112=McIDAS Data Transmission Protocol
113=Authentication Service
114=Audio News Multicast
115=Simple File Transfer Protocol
116=ANSA REX Notify
117=UUCP Path Service
118=SQL Servicessqlserv
119=Network News Transfer Protocol
120=CFDPTKTcfdptkt
121=Encore Expedited Remote Pro.Call
122=SMAKYNETsmakynet
123=Network Time Protocol
124=ANSA REX Trader
125=Locus PC-Interface Net Map Ser
126=Unisys Unitary Login
127=Locus PC-Interface Conn Server
128=GSS X License Verification
129=Password Generator Protocol
130=cisco FNATIVE
131=cisco TNATIVE
132=cisco SYSMAINT
133=Statistics Service
134=INGRES-NET Service
135=Location Service
136=PROFILE Naming System
137=NETBIOS Name Service
138=NETBIOS Datagram Service
139=NETBIOS Session Service
140=EMFIS Data Service
141=EMFIS Control Service
142=Britton-Lee IDM
143=Interim Mail Access Protocol v2
144=NewSnews
145=UAAC Protocoluaac
146=ISO-IP0iso-tp0
147=ISO-IPiso-ip
148=CRONUS-SUPPORT
149=AED 512 Emulation Service
150=SQL-NETsql-net
151=HEMShems
152=Background File Transfer Program
153=SGMPsgmp
154=NETSCnetsc-prod
155=NETSCnetsc-dev
156=SQL Service
157=KNET/VM Command/Message Protocol
158=PCMail Serverpcmail-srv
159=NSS-Routingnss-routing
160=SGMP-TRAPSsgmp-traps
161=SNMP
162=SNMP TRAP
163=CMIP/TCP Manager
164=CMIP/TCP Agent
165=Xeroxxns-courier
166=Sirius Systems
167=NAMPnamp
168=RSVDrsvd
169=Send
170=Network PostScript
170=Network PostScript
171=Network Innovations Multiplex
172=Network Innovations CL/1
173=Xyplexxyplex-mux
174=MAILQ
175=VMNET
176=GENRAD-MUXgenrad-mux
177=X Display Manager Control Protocol
178=NextStep Window Server
179=Border Gateway Protocol
180=Intergraphris
181=Unifyunify
182=Unisys Audit SITP
183=OCBinderocbinder
184=OCServerocserver
185=Remote-KIS
186=KIS Protocolkis
187=Application Communication Interface
188=Plus Five*s MUMPS
189=Queued File Transport
189=Queued File Transport
190=Gateway Access Control Protocol
190=Gateway Access Control Protocol
191=Prospero Directory Service
191=Prospero Directory Service
192=OSU Network Monitoring System
193=srmp, Spider Remote Monitoring Protocol
194=irc, Internet Relay Chat Protocl
195=DNSIX Network Level Module Audit
196=DNSIX Session Mgt Module Audit Redir
197=Directory Location Service
198=Directory Location Service Monitor
199=SMUX
200=IBM System Resource Controller
201=at-rtmp AppleTalk Routing Maintenance
202=at-nbp AppleTalk Name Binding
203=at-3 AppleTalk Unused
204=AppleTalk Echo
205=AppleTalk Unused
206=AppleTalk Zone Information
207=AppleTalk Unused
208=AppleTalk Unused
209=Trivial Authenticated Mail Protocol
210=ANSI Z39.50z39.50
211=Texas Instruments 914C/G Terminal
212=ATEXSSTRanet
213=IPX
214=VM PWSCSvmpwscs
215=Insignia Solutions
216=Access Technology License Server
217=dBASE Unix
218=Netix Message Posting Protocol
219=Unisys ARPsuarps
220=Interactive Mail Access Protocol v3
221=Berkeley rlogind with SPX auth
222=Berkeley rshd with SPX auth
223=Certificate Distribution Center
224=Reserved (224-241)
241=Reserved (224-241)
242=Unassigned#
243=Survey Measurement
244=Unassigned#
245=LINKlink
246=Display Systems Protocol
247-255 Reserved
256-343 Unassigned
344=Prospero Data Access Protocol
345=Perf Analysis Workbench
346=Zebra serverzserv
347=Fatmen Serverfatserv
348=Cabletron Management Protocol
349-370 Unassigned
371=Clearcaseclearcase
372=Unix Listservulistserv
373=Legent Corporation
374=Legent Corporation
375=Hasslehassle
376=Amiga Envoy Network Inquiry Proto
377=NEC Corporation
378=NEC Corporation
379=TIA/EIA/IS-99 modem client
380=TIA/EIA/IS-99 modem server
381=hp performance data collector
382=hp performance data managed node
383=hp performance data alarm manager
384=A Remote Network Server System
385=IBM Application
386=ASA Message Router Object Def.
387=Appletalk Update-Based Routing Pro.
388=Unidata LDM Version 4
389=Lightweight Directory Access Protocol
390=UISuis
391=SynOptics SNMP Relay Port
392=SynOptics Port Broker Port
393=Data Interpretation System
394=EMBL Nucleic Data Transfer
395=NETscout Control Protocol
396=Novell Netware over IP
397=Multi Protocol Trans. Net.
398=Kryptolankryptolan
399=Unassigned#
400=Workstation Solutions
401=Uninterruptible Power Supply
402=Genie Protocol
403=decapdecap
404=ncednced
405=ncldncld
406=Interactive Mail Support Protocol
407=Timbuktutimbuktu
408=Prospero Resource Manager Sys. Man.
409=Prospero Resource Manager Node Man.
410=DECLadebug Remote Debug Protocol
411=Remote MT Protocol
412=Trap Convention Port
413=SMSPsmsp
414=InfoSeekinfoseek
415=BNetbnet
416=Silverplattersilverplatter
417=Onmuxonmux
418=Hyper-Ghyper-g
419=Arielariel1
420=SMPTEsmpte
421=Arielariel2
422=Arielariel3
423=IBM Operations Planning and Control Start
424=IBM Operations Planning and Control Track
425=ICADicad-el
426=smartsdpsmartsdp
427=Server Location
429=OCS_AMU
430=UTMPSDutmpsd
431=UTMPCDutmpcd
432=IASDiasd
433=NNSPnnsp
434=MobileIP-Agent
435=MobilIP-MN
436=DNA-CMLdna-cml
437=comscmcomscm
439=dasp, Thomas Obermair
440=sgcpsgcp
441=decvms-sysmgtdecvms-sysmgt
442=cvc_hostdcvc_hostd
443=https
444=Simple Network Paging Protocol
445=Microsoft-DS
446=DDM-RDBddm-rdb
447=DDM-RFMddm-dfm
448=DDM-BYTEddm-byte
449=AS Server Mapper
450=TServertserver
512=exec, Remote process execution
513=login, remote login
514=cmd, exec with auto auth.
514=syslog
515=Printer spooler
516=Unassigned
517=talk
519=unixtime
520=extended file name server
521=Unassigned
522=Unassigned
523=Unassigned
524=Unassigned
526=newdate
530=rpc courier
531=chatconference
532=readnewsnetnews
533=for emergency broadcasts
539=Apertus Technologies Load Determination
540=uucp
541=uucp-rlogin
542=Unassigned
543=klogin
544=kshell
545=Unassigned
546=Unassigned
547=Unassigned
548=Unassigned
549=Unassigned
550=new-who
551=Unassigned
552=Unassigned
553=Unassigned
554=Unassigned
555=dsf
556=remotefs
557-559=rmonitor
560=rmonitord
561=dmonitor
562=chcmd
563=Unassigned
564=plan 9 file service
565=whoami
566-569 Unassigned
570=demonmeter
571=udemonmeter
572-599 Unassigned ipc server
600=Sun IPC server
607=nqs
606=Cray Unified Resource Manager
608=Sender-Initiated/Unsolicited File Transfer
609=npmp-trapnpmp-trap
610=npmp-localnpmp-local
611=npmp-guinpmp-gui
634=ginadginad
666=Doom Id Software
704=errlog copy/server daemon
709=EntrustManager
729=IBM NetView DM/6000 Server/Client
730=IBM NetView DM/6000 send/tcp
731=IBM NetView DM/6000 receive/tcp
741=netGWnetgw
742=Network based Rev. Cont. Sys.
744=Flexible License Manager
747=Fujitsu Device Control
748=Russell Info Sci Calendar Manager
749=kerberos administration
751=pump
752=qrh
754=send
758=nlogin
759=con
760=ns
762=quotad
763=cycleserv
765=webster
767=phonephonebook
769=vid
771=rtip
772=cycleserv2
774=acmaint_dbd
775=acmaint_transd
780=wpgs
786=Concertconcert
800=mdbs_daemon
996=Central Point Software
997=maitrd
999=puprouter
1023=Reserved
1024=Reserved
1025=network blackjack
1030=BBN IAD
1031=BBN IAD
1032=BBN IAD
1067=Installation Bootstrap Proto. Serv.
1068=Installation Bootstrap Proto. Cli.
1080=SOCKS
1083=Anasoft License Manager
1084=Anasoft License Manager
1155=Network File Access
1222=SNI R&D network
1248=hermes
1346=Alta Analytics License Manager
1347=multi media conferencing
1347=multi media conferencing
1348=multi media conferencing
1349=Registration Network Protocol
1350=Registration Network Protocol
1351=Digital Tool Works (MIT)
1352=/Lotus Notelotusnote
1353=Relief Consulting
1354=RightBrain Software
1355=Intuitive Edge
1356=CuillaMartin Company
1357=Electronic PegBoard
1358=CONNLCLIconnlcli
1359=FTSRVftsrv
1360=MIMERmimer
1361=LinX
1362=TimeFliestimeflies
1363=Network DataMover Requester
1364=Network DataMover Server
1365=Network Software Associates
1366=Novell NetWare Comm Service Platform
1367=DCSdcs
1368=ScreenCastscreencast
1369=GlobalView to Unix Shell
1370=Unix Shell to GlobalView
1371=Fujitsu Config Protocol
1372=Fujitsu Config Protocol
1373=Chromagrafxchromagrafx
1374=EPI Software Systems
1375=Bytexbytex
1376=IBM Person to Person Software
1377=Cichlid License Manager
1378=Elan License Manager
1379=Integrity Solutions
1380=Telesis Network License Manager
1381=Apple Network License Manager
1382=udt_os
1383=GW Hannaway Network License Manager
1384=Objective Solutions License Manager
1385=Atex Publishing License Manager
1386=CheckSum License Manager
1387=Computer Aided Design Software Inc LM
1388=Objective Solutions DataBase Cache
1389=Document Manager
1390=Storage Controller
1391=Storage Access Server
1392=Print Managericlpv-pm
1393=Network Log Server
1394=Network Log Client
1395=PC Workstation Manager software
1396=DVL Active Mail
1397=Audio Active Mail
1398=Video Active Mail
1399=Cadkey License Manager
1400=Cadkey Tablet Daemon
1401=Goldleaf License Manager
1402=Prospero Resource Manager
1403=Prospero Resource Manager
1404=Infinite Graphics License Manager
1405=IBM Remote Execution Starter
1406=NetLabs License Manager
1407=DBSA License Manager
1408=Sophia License Manager
1409=Here License Manager
1410=HiQ License Manager
1411=AudioFileaf
1412=InnoSysinnosys
1413=Innosys-ACLinnosys-acl
1414=IBM MQSeriesibm-mqseries
1415=DBStardbstar
1416=Novell LU6.2novell-lu6.2
1417=Timbuktu Service 1 Port
1417=Timbuktu Service 1 Port
1418=Timbuktu Service 2 Port
1419=Timbuktu Service 3 Port
1420=Timbuktu Service 4 Port
1421=Gandalf License Manager
1422=Autodesk License Manager
1423=Essbase Arbor Software
1424=Hybrid Encryption Protocol
1425=Zion Software License Manager
1426=Satellite-data Acquisition System 1
1427=mloadd monitoring tool
1428=Informatik License Manager
1429=Hypercom NMSnms
1430=Hypercom TPDUtpdu
1431=Reverse Gosip Transport
1432=Blueberry Software License Manager
1433=Microsoft-SQL-Server
1434=Microsoft-SQL-Monitor
1435=IBM CISCibm-cics
1436=Satellite-data Acquisition System 2
1437=Tabulatabula
1438=Eicon Security Agent/Server
1439=Eicon X25/SNA Gateway
1440=Eicon Service Location Protocol
1441=Cadis License Management
1442=Cadis License Management
1443=Integrated Engineering Software
1444=Marcam License Management
1445=Proxima License Manager
1446=Optical Research Associates License Manager
1447=Applied Parallel Research LM
1448=OpenConnect License Manager
1449=PEportpeport
1450=Tandem Distributed Workbench Facility
1451=IBM Information Management
1452=GTE Government Systems License Man
1453=Genie License Manager
1454=interHDL License Manager
1454=interHDL License Manager
1455=ESL License Manager
1456=DCAdca
1457=Valisys License Manager
1458=Nichols Research Corp.
1459=Proshare Notebook Application
1460=Proshare Notebook Application
1461=IBM Wireless LAN
1462=World License Manager
1463=Nucleusnucleus
1464=MSL License Manager
1465=Pipes Platform
1466=Ocean Software License Manager
1467=CSDMBASEcsdmbase
1468=CSDMcsdm
1469=Active Analysis Limited License Manager
1470=Universal Analytics
1471=csdmbasecsdmbase
1472=csdmcsdm
1473=OpenMathopenmath
1474=Telefindertelefinder
1475=Taligent License Manager
1476=clvm-cfgclvm-cfg
1477=ms-sna-server
1478=ms-sna-base
1479=dberegisterdberegister
1480=PacerForumpacerforum
1481=AIRSairs
1482=Miteksys License Manager
1483=AFS License Manager
1484=Confluent License Manager
1485=LANSourcelansource
1486=nms_topo_serv
1487=LocalInfoSrvr
1488=DocStordocstor
1489=dmdocbrokerdmdocbroker
1490=insitu-confinsitu-conf
1491=anynetgateway
1492=stone-design-1
1493=netmap_lmnetmap_lm
1494=icaica
1495=cvccvc
1496=liberty-lmliberty-lm
1497=rfx-lmrfx-lm
1498=Watcom-SQLwatcom-sql
1499=Federico Heinz Consultora
1500=VLSI License Manager
1501=Satellite-data Acquisition System 3
1502=Shivashivadiscovery
1503=Databeamimtc-mcs
1504=EVB Software Engineering License Manager
1505=Funk Software, Inc.
1524=ingres
1525=oracle
1525=Prospero Directory Service non-priv
1526=Prospero Data Access Prot non-priv
1527=oracletlisrv
1529=oraclecoauthor
1600=issd
1651=proshare conf audio
1652=proshare conf video
1653=proshare conf data
1654=proshare conf request
1655=proshare conf notify
1661=netview-aix-1netview-aix-1
1662=netview-aix-2netview-aix-2
1663=netview-aix-3netview-aix-3
1664=netview-aix-4netview-aix-4
1665=netview-aix-5netview-aix-5
1666=netview-aix-6netview-aix-6
1986=cisco license management
1987=cisco RSRB Priority 1 port
1988=cisco RSRB Priority 2 port
1989=cisco RSRB Priority 3 port
1989=MHSnet systemmshnet
1990=cisco STUN Priority 1 port
1991=cisco STUN Priority 2 port
1992=cisco STUN Priority 3 port
1992=IPsendmsgipsendmsg
1993=cisco SNMP TCP port
1994=cisco serial tunnel port
1995=cisco perf port
1996=cisco Remote SRB port
1997=cisco Gateway Discovery Protocol
1998=cisco X.25 service (XOT)
1999=cisco identification port
2009=whosockami
2010=pipe_server
2011=raid
2012=raid-ac
2013=rad-am
2015=raid-cs
2016=bootserver
2017=terminaldb
2018=rellpack
2019=about
2019=xinupageserver
2020=xinupageserver
2021=xinuexpansion1
2021=down
2022=xinuexpansion2
2023=xinuexpansion3
2023=xinuexpansion4
2024=xinuexpansion4
2025=xribs
2026=scrabble
2027=shadowserver
2028=submitserver
2039=device2
2032=blackboard
2033=glogger
2034=scoremgr
2035=imsldoc
2038=objectmanager
2040=lam
2041=interbase
2042=isis
2043=isis-bcast
2044=primsl
2045=cdfunc
2047=dls
2048=dls-monitor
2065=Data Link Switch Read Port Number
2067=Data Link Switch Write Port Number
2201=Advanced Training System Program
2500=Resource Tracking system server
2501=Resource Tracking system client
2564=HP 3000 NS/VT block mode telnet
2784=world wide web - development
3049=ccmail
3264=ccmail, cc:mail/lotus
3333=dec-notes
3984=MAPPER network node manager
3985=MAPPER TCP/IP server
3986=MAPPER workstation server
3421=Bull Apprise portmapper
3900=Unidata UDT OS
4132=NUTS Daemonnuts_dem
4133=NUTS Bootp Server
4343=UNICALL
4444=KRB524
4672=remote file access server
5002=radio free ethernet
5010=TelepathStarttelelpathstart
5011=TelepathAttack
5050=multimedia conference control tool
5145=rmonitor_secure
5190=aol, America-Online
5300=HA cluster heartbeat
5301=hacl-gs # HA cluster general services
5302=HA cluster configuration
5303=hacl-probe HA cluster probing
5305=hacl-test
6000-6063=x11 X Window System
6111=sub-process HP SoftBench Sub-Process Control
6141/=meta-corp Meta Corporation License Manager
6142=aspentec-lm Aspen Technology License Manager
6143=watershed-lm Watershed License Manager
6144=statsci1-lm StatSci License Manager - 1
6145=statsci2-lm StatSci License Manager - 2
6146=lonewolf-lm Lone Wolf Systems License Manager
6147=montage-lm Montage License Manager
7000=afs3-fileserver file server itself
7001=afs3-callback callbacks to cache managers
7002=afs3-prserver users & groups database
7003=afs3-vlserver volume location database
7004=afs3-kaserver AFS/Kerberos authentication service
7005=afs3-volser volume managment server
7006=afs3-errors error interpretation service
7007=afs3-bos basic overseer process
7008=afs3-update server-to-server updater
7009=afs3-rmtsys remote cache manager service
7010=ups-online onlinet uninterruptable power supplies
7100=X Font Service
7200=FODMS FLIP
7626=冰河
8010=Wingate
8181=IMail
9535=ma, n
如何關閉.限制電腦不用的連接阜

每一項服務都對應相應的連接阜,比如眾如周知的WWW服務的連接阜是80,smtp是25,ftp是21,win2000安裝中預定的都是這些服務開啟的。對於個人用戶來說確實沒有必要,關掉連接阜也就是關閉無用的服務。
「控制台」的「管理工具」中的「服務」中來配置。
1、關閉7.9等等連接阜:關閉Simple TCP/IP Service,支持以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、關閉80口:關掉WWW服務。在「服務」中顯示名稱為"World Wide Web Publishing Service",通過 Internet 訊息服務的管理單元提供 Web 連接和管理。
3、關掉25連接阜:關閉Simple Mail Transport Protocol (SMTP)服務,它提供的功能是跨網傳送電子郵件。
4、關掉21連接阜:關閉FTP Publishing Service,它提供的服務是通過 Internet 訊息服務的管理單元提供 FTP 連接和管理。
5、關掉23連接阜:關閉Telnet服務,它允許遠端用戶登入到系統並且使用命令行執行控制台程式。
6、還有一個很重要的就是關閉server服務,此服務提供 RPC 支持、文件、印表以及命名管道共享。關掉它就關掉了win2k的預定共享,比如ipc$、c$、admin$等等,此服務關閉不影響您的共他操作。
7、還有一個就是139連接阜,139連接阜是NetBIOS Session連接阜,用來文件和印表共享,注意的是執行samba的unix機器也開放了139連接阜,功能一樣。以前流光2000用來判斷對方主機類型不太準確,估計就是139連接阜開放既認為是NT機,現在好了。
關閉139口聽方法是在「網路和撥號連接」中「區域連線」中選取「Internet協議(TCP/IP)」內容,進入「高階TCP/IP設置」「WINS設置」裡面有一項「禁用TCP/IP的NETBIOS」,打勾就關閉了139連接阜。
對於個人用戶來說,可以在各項服務內容設置中設為「禁用」,以免下次重啟服務也重新啟動,連接阜也開放了。


 我們一般採用一些功能強大的反黑軟件和防火牆來保證我們的系統安全,但是有些用戶不具備上述條件。怎麼辦呢?下面就介紹一種簡易的辦法——通過限制連接阜來幫助大家防止非法入侵。

  非法入侵的方式

  簡單說來,非法入侵的方式可粗略分為4種:

  1、掃瞄連接阜,通過已知的系統Bug攻入主機。

  2、種植木馬,利用木馬開闢的後門進入主機。

  3、採用資料溢出的手段,迫使主機提供後門進入主機。

  4、利用某些軟件設計的漏洞,直接或間接控制主機。

  非法入侵的主要方式是前兩種,尤其是利用一些流行的黑客工具,通過第一種方式攻擊主機的情況最多、也最普遍;而對後兩種方式來說,只有一些手段高超的黑客才利用,波及面並不廣泛,而且只要這兩種問題一出現,軟件服務商很快就會提供修正檔,及時修復系統。

  因此,如果能限制前兩種非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且前兩種非法入侵方式有一個共同點,就是通過連接阜進入主機。

  連接阜就像一所房子(服務器)的幾個門一樣,不同的門通向不同的房間(服務器提供的不同服務)。我們常用的FTP預定連接阜為21,而WWW網頁一般預定連接阜是80。但是有些馬虎的網路管理員常常打開一些容易被侵入的連接阜服務,比如139等;還有一些木馬程式,比如冰河、BO、廣外等都是自動開闢一個您不察覺的連接阜。那麼,只要我們把自己用不到的連接阜全部封鎖起來,不就杜絕了這兩種非法入侵嗎?

  限制連接阜的方法

  對於個人用戶來說,您可以限制所有的連接阜,因為您根本不必讓您的機器對外提供任何服務;而對於對外提供網路服務的服務器,我們需把必須利用的連接阜(比如WWW連接阜80、FTP連接阜21、郵件服務連接阜25、110等)開放,其他的連接阜則全部關閉。

  這裡,對於採用Windows 2000或者Windows XP的用戶來說,不需要安裝任何其他軟件,可以利用「TCP/IP篩選」功能限制服務器的連接阜。具體設置如下:

  1、右鍵點擊「網上的芳鄰」,選擇「內容」,然後雙擊「區域連線」(如果是撥號上網用戶,選擇「我的連接」圖示),彈出「區域連線狀態」交談視窗。

  2、點擊[內容]按鍵,彈出「區域連線內容」,選擇「此連接使用下列專案」中的「Internet協議(TCP/IP)」,然後點擊[內容]按鍵。

  3、在彈出的「Internet協議(TCP/IP)」交談視窗中點擊[高階]按鍵。在彈出的「高階TCP/IP設置」中,選擇「選項」標籤,選中「TCP/IP篩選」,然後點擊[內容]按鍵。

  4、在彈出的「TCP/IP篩選」交談視窗裡選擇「啟用TCP/IP篩選」的復選框,然後把左邊「TCP連接阜」上的「只允許」選上(請見附圖)。

  這樣,您就可以來自己新增或刪除您的TCP或UDP或IP的各種連接阜了。

  新增或者刪除完畢,重新啟動機器以後,您的服務器就被保護起來了。

  最後,提醒個人用戶,如果您只上網瀏覽的話,可以不新增任何連接阜。但是要利用一些網路聯絡工具,比如OICQ的話,就要把「4000」這個連接阜打開,同理,如果發現某個常用的網路工具不能起作用的時候,請搞清它在您主機所開的連接阜,然後在「TCP/IP篩選」中新增連接阜即可。
常見連接阜的關閉

常見連接阜關閉

113連接阜木馬的清除(僅適用於windows系統):
這是一個基於irc聊天室控制的木馬程式。
1.首先使用netstat -an命令確定自己的系統上是否開放了113連接阜
2.使用fport命令察看出是哪個程式在監聽113連接阜
fport工具下載
例如我們用fport看到如下結果:
Pid Process Port Proto Path
392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe

我們就可以確定在監聽在113連接阜的木馬程式是vhos.exe而該程式所在的路徑為
c:\winnt\system32下。
3.確定了木馬程式名(就是監聽113連接阜的程式)後,在任務管理器中查找到該工作行程,
並使用管理器結束該工作行程。
4.在開始-執行中鍵入regedit執行註冊表管理程式,在註冊表裡查找剛才找到那個程式,
並將相關的鍵值全部刪掉。
5.到木馬程式所在的目錄下刪除該木馬程式。(通常木馬還會包括其他一些程式,如
rscan.exe、p***ec.exe、ipcpass.dic、ipcscan.txt等,根據
木馬程式不同,文件也有所不同,你可以通過察看程式的產生和修改的時間來確定與
監聽113連接阜的木馬程式有關的其他程式)
6.重新啟動機器。

3389連接阜的關閉:
首先說明3389連接阜是windows的遠端管理終端所開的連接阜,它並不是一個木馬程式,請先
確定該服務是否是你自己開放的。如果不是必須的,請關閉該服務。

win2000關閉的方法:
win2000server 開始-->程式-->管理工具-->服務裡找到Terminal Services服務項,
選中內容選項將啟動類型改成手動,並停止該服務。
win2000pro 開始-->設置-->控制台-->管理工具-->服務裡找到Terminal Services
服務項,選中內容選項將啟動類型改成手動,並停止該服務。
winxp關閉的方法:
在我的電腦上點右鍵選內容-->遠端,將裡面的遠端協助和遠端桌面兩個選項框裡的勾去掉。

4899連接阜的關閉:
首先說明4899連接阜是一個遠端控制軟件(remote administrator)服務端監聽的連接阜,他不能
算是一個木馬程式,但是具有遠端控制功能,通常殺毒軟件是無法查出它來的,請先確定該服
務是否是你自己開放並且是必需的。如果不是請關閉它。

關閉4899連接阜:
請在開始-->執行中輸入cmd(98以下為command),然後cd C:\winnt\system32(你的系統
安裝目錄),輸入r_server.exe /stop後按Enter鍵。
然後在輸入r_server /uninstall /silence

到C:\winnt\system32(系統目錄)下刪除r_server.exe admdll.dll radbrv.dll三個文件


5800,5900連接阜:
1.首先使用fport命令確定出監聽在5800和5900連接阜的程式所在位置(通常會是c:\winnt\font***plorer.exe)
2.在任務管理器中殺掉相關的工作行程(注意有一個是系統本身正常的,請注意!如果錯殺可以重新
執行c:\winnt\explorer.exe)
3.刪除C:\winnt\fonts\中的explorer.exe程式。
4.刪除註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的
Explorer項。
5.重新啟動機器。

6129連接阜的關閉:
首先說明6129連接阜是一個遠端控制軟件(dameware nt utilities)服務端監聽得連接阜,他不是
一個木馬程式,但是具有遠端控制功能,通常的殺毒軟件是無法查出它來的。請先確定該服務
是否是你自己安裝並且是必需的,如果不是請關閉。

關閉6129連接阜:
選擇開始-->設置-->控制台-->管理工具-->服務
找到DameWare Mini Remote Control項點擊右鍵選擇內容選項,將啟動類型改成禁用後
停止該服務。
到c:\winnt\system32(系統目錄)下將DWRCS.EXE程式刪除。
到註冊表內將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表項刪除。

1029連接阜和20168連接阜:
這兩個連接阜是lovgate蠕蟲所開放的後門連接阜。
蠕蟲相關訊息請參見:Lovgate蠕蟲
你可以下載專殺工具:FixLGate.exe
使用方法:下載後直接執行,在該程式執行結束後重起機器後再執行一遍該程式。


45576連接阜:
這是一個代理軟件的控制連接阜,請先確定該代理軟件並非你自己安裝(代理軟件會給你的機器帶
來額外的流量)
關閉代理軟件:
1.請先使用fport察看出該代理軟件所在的位置
2.在服務中關閉該服務(通常為SkSocks),將該服務關掉。
3.到該程式所在目錄下將該程式刪除。
命令行方式修改遠端任意連接阜
命令行方式下快速修改本機或遠端連接阜(telnet termsrv w3svc smtp iis ftp ) </P><P>Reg add 「\\ip\ HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp」 /v portnumber <BR>/t reg_dword /d 123 /f <BR>reg add "\\ip\ HKLM\SOFTWARE\Microsoft\TelnetServer\Defaults」 /v telnetport /t reg_dword /d 123 </P><P>Reg add "\\ip\HKLM\SYSTEM\CurrentControlSet\Control\ServiceProvider\ServiceTypes\W3SVC」 /v tcpport <BR>/t reg_dword /d 123 /f </P><P>Reg add "\\ip\HKLM\SYSTEM\CurrentControlSet\Control\ServiceProvider\ServiceTypes\SMTPSVc」 /v tcpport <BR>/t reg_dword /d 123 /f </P><P>Reg add "\\ip\HKLM\SYSTEM\CurrentControlSet\Control\ServiceProvider\ServiceTypes\MSFTPSVC」 /v tcpport <BR>/t reg_dword /d 123 /f </P><P>Reg add "\\ip\HKLM\SYSTEM\CurrentControlSet\Control\ServiceProvider\ServiceTypes\ Microsoft Internet Information Server」 /v tcpport <BR>/t reg_dword /d 123 /f </P><P>若顯示Error: The network path was not found. <BR>則說明對方沒有開啟Remote Registry Service服務 <BR>可用一下命令:net start remoteregistry
連接阜掃瞄
[背景知識]

(一) 什麼是連接阜

讓我先從因特網提供的一些常見的服務說起。
  
  說到服務,我們首先要明白「連接」和「無連接」的概念。最簡單的例子莫過於打電話和寫信。兩個人如果要通電話,得首先建立連接——即撥號,等待應答後才能相互傳遞訊息,最後還要釋放連接——即掛電話。寫信就沒有那麼複雜了,位址姓名填好以後直接往郵筒一扔,收信人就能收到。
  
  因特網上最流行的協議是TCP/IP協議,需要說明的是,TCP/IP協議在網路層是無連接的(資料包只管往網上發,如何傳輸和到達以及是否到達由網路設備來管理)。而我們一旦談「連接阜」,就已經到了傳輸層。協議裡面低於1024的連接阜都有確切的定義,它們對應著因特網上常見的一些服務。這些常見的服務可以劃分為使用TCP連接阜(面向連接如打電話)和使用UDP連接阜(無連接如寫信)兩種。
  
  使用TCP連接阜常見的有:

  ftp:定義了文件傳輸協議,使用21連接阜。常說某某主機開了 ftp服務便是文件傳輸服務。下載文件,上傳主頁,都要用到ftp服務。

  telnet:你上BBS嗎?以前的BBS是純字元界面的,支持BBS的服務器將23連接阜打開,對外提供服務。其實Telnet的真正意思是遠端登入:用戶可以以自己的身份遠端連接到主機上。

  smtp:定義了簡單郵件傳送協議。現在很多郵件服務器都用的是這個協議,用於發送郵件。服務器開放的是25連接阜。

  http:這可是大家用得最多的協議了——超文本傳送協議。上網瀏覽網頁就需要用到它,那麼提供網頁資源的主機就得打開其80連接阜以提供服務。我們常說「提供www服務」、「Web服務器」就是這個意思。

  pop3:和smtp對應,pop3用於接收郵件。通常情況下,pop3協議所用的是110連接阜。在263等免費郵箱中,幾乎都有pop3收信功能。也就是說,只要你有相應的使用pop3協議的程式(例如Foxmail或Outlook),不需要從Web方式登入進郵箱界面,即可以收信。

  使用UDP連接阜常見的有:

  DNS:域名解析服務。因特網上的每一台電腦都有一個網路位址與之對應,這個位址就是我們常說的IP位址,它以純數位的形式表示。然而這卻不便記憶,於是出現了域名。訪問主機的時候只需要知道域名,域名和IP位址之間的變換由DNS服務器來完成。DNS用的是53連接阜。

  snmp:簡單網路管理協議,使用161連接阜,是用來管理網路設備的。由於網路設備很多,無連接的服務就體現出其優勢。

  聊天軟件Oicq:Oicq的程式既接受服務,又提供服務,這樣兩個聊天的人才是平等的。oicq用的是無連接的協議,其服務器使用8000連接阜,偵聽是否有訊息到來;客戶端使用4000連接阜,向外發送訊息。如果上述兩個連接阜正在使用(有很多人同時和幾個好友聊天),就順序往上加。
  
  所以可以這樣說:連接阜便是電腦與外部通信的途徑,沒有它,電腦便又聾又啞。
一個連接阜就是一個潛在的通信通道,也就是一個入侵通道。對目標電腦進行連接阜掃瞄,能得到許多有用的訊息。進行掃瞄的方法很多,可以是手工進行掃瞄,也可以用連接阜掃瞄軟件進行。
  在手工進行掃瞄時,需要熟悉各種命令。對命令執行後的輸出進行分析。用掃瞄軟件進行掃瞄時,許多掃瞄器軟件都有分析資料的功能。通過連接阜掃瞄,可以得到許多有用的訊息,從而發現系統的安全漏洞。
(二)對電腦常用的連接阜一覽:

連接阜號 連接阜類型
1 TCP—MUX
2 COMPRESSNET
5 RJE
7 ECHO
9 DISCARD
11 SYSSTAT
13 DAYTIME
15 NETSTAT
17 QOTD
18 MSP
19 CHARGEN
20 FTP-DATA
21 FTP
23 TELNET
25 SMTP
79 FINGER
80 HTTP
110 POP3
115 SFTP
117 UUCP
139 NETBIOS-SSN
144 NEWS
以上是電腦常用的一些連接阜,此外還有很多連接阜,由於我們這次實驗沒用到,所以就不一一介紹了,有興趣的同學可以自己查查資料。
  
(三)下面介紹幾個常用網路命令,對連接阜掃瞄原理進行介紹。
一. Ping 命令
Ping命令經常用來對TCP/IP網路進行診斷。通過目標電腦發送一個資料包,讓它將這個資料包反送回來,如果返回的資料包和發送的資料包一致,那就是說你的PING命令成


功了。通過這樣對返回的資料進行分析,就能判斷電腦是否開著,或者這個資料包從發送到返回需要多少時間。
Ping命令的基本格式:
    ping hostname
其中hostname是目標電腦的位址。Ping還有許多高階使用,下面就是一個例子。
C:> ping -f hostname
  這條命令給目標機器發送大量的資料,從而使目標電腦忙於回應。在Windows 95的電腦上,使用下面的方法:
c:\windows\ping -l 65500 saddam_hussein*s.computer.mil
  這樣做了之後,目標電腦有可能會掛起來,或從新啟動。由於 -l 65510 產生一個巨大的資料包。由於要求返回一個同樣的資料包,會使目標電腦反應不過來。
二. Tracert 命令
Tracert命令用來跟蹤一個消息從一台電腦到另一台電腦所走的路徑,比方說從你的電腦走到浙江訊息超市。在DOS視窗下,命令如下:
C:\WINDOWS>tracert 202.96.102.4

Tracing route to 202.96.102.4 over a maximum of 30 hops

 1  84 ms  82 ms  95 ms 202.96.101.57
 2  100 ms  100 ms  95 ms 0fa1.1-rtr1-a-hz1.zj.CN.NET [202.96.101.33]
 3  95 ms  90 ms  100 ms 202.101.165.1
 4  90 ms  90 ms  90 ms 202.107.197.98
 5  95 ms  90 ms  99 ms 202.96.102.4
 6  90 ms  95 ms  100 ms 202.96.102.4

Trace complete.
可見,任何人都能通過在命令行裡鍵入一個命令,就能收集到一個域裡的所有電腦的重要訊息。
  我們利用有用的網路命令,可以收集到許多有用的訊息,比方一個域裡的名字服務器的位址,一台電腦上的用戶名,一台服務器上正在執行什麼服務,這個服務是哪個軟件提供的,電腦上執行的是什麼操作系統。
  如果你知道目標電腦上執行的操作系統和服務應用程式後,就能利用已經發現的他們的漏洞來進行攻擊。如果目標電腦的網路管理員沒有對這些漏洞及時修補的話,入侵者能輕而易舉的闖入該系統,獲得管理員權限,並留下後門。
  如果入侵者得到目標電腦上的用戶名後,能使用口令破解軟件,多次試圖登入目標電腦。經過嘗試後,就有可能進入目標電腦。得到了用戶名,就等於得到了一半的進入權限,剩下的只是使用軟件進行攻擊而已。

(四)下面對常用的連接阜掃瞄技術做一個介紹。

TCP connect() 掃瞄
  這是最基本的TCP掃瞄。操作系統提供的connect()系統呼叫,用來與每一個感興趣的目標電腦的連接阜進行連接。如果連接阜處於偵聽狀態,那麼connect()就能成功。否則,這個連接阜是不能用的,即沒有提供服務。這個技術的一個最大的優點是,你不需要任何權限。系


統中的任何用戶都有權利使用這個呼叫。另一個好處就是速度。如果對每個目標連接阜以線性的方式,使用單獨的connect()呼叫,那麼將會花費相當長的時間,你可以通過同時打開多個套接字,從而加速掃瞄。使用非阻塞I/O允許你設置一個低的時間用盡週期,同時觀察多個套接字。但這種方法的缺點是很容易被發覺,並且被過濾掉。目標電腦的logs文件會顯示一連串的連接和連接是出錯的服務消息,並且能很快的使它關閉。
TCP SYN掃瞄
  這種技術通常認為是「半開放」掃瞄,這是因為掃瞄程式不必要打開一個完全的TCP連接。掃瞄程式發送的是一個SYN資料包,好像準備打開一個實際的連接並等待反應一樣(參考TCP的三次握手建立一個TCP連接的過程)。一個SYN|ACK的返回訊息表示連接阜處於偵聽狀態。一個RST返回,表示連接阜沒有處於偵聽態。如果收到一個SYN|ACK,則掃瞄程式必須再發送一個RST信號,來關閉這個連接過程。這種掃瞄技術的優點在於一般不會在目標電腦上留下記錄。但這種方法的一個缺點是,必須要有root權限才能建立自己的SYN資料包。
TCP FIN 掃瞄
  有的時候有可能SYN掃瞄都不夠秘密。一些防火牆和包過濾器會對一些指定的連接阜進行監視,有的程式能檢測到這些掃瞄。相反,FIN資料包可能會沒有任何麻煩的通過。這種掃瞄方法的思想是關閉的連接阜會用適當的RST來回復FIN資料包。另一方面,打開的連接阜會忽略對FIN資料包的回復。這種方法和系統的實現有一定的關係。有的系統不管連接阜是否打開,都回復RST,這樣,這種掃瞄方法就不適用了。並且這種方法在區分Unix和NT時,是十分有用的。
IP段掃瞄
  這種不能算是新方法,只是其它技術的變化。它並不是直接發送TCP探測資料包,是將資料包分成兩個較小的IP段。這樣就將一個TCP頭分成好幾個資料包,從而過濾器就很難探測到。但必須小心。一些程式在處理這些小資料包時會有些麻煩。

[工具介紹]
1.portscan——是一個極其快速的連接阜掃瞄工具,只要知道別人的IP位址,就能查出他的電腦有那些連接阜開放。
2.Wingate scan——是一個專門掃瞄Wingate服務器的軟件,可以用Wingate作跳板進行Telnet登入。
3.PingPlus——強大的Ping程式,能夠快速掃瞄幾個C類位址。
4.Super Scan——一個強大的TCP連接阜掃瞄器、Pinger、hostname、reslover,多線的掃瞄技術使得掃瞄速度更快,操作界面友好。
5.rscan——用於掃瞄一定範圍的網段記憶體在特定CGI程式的主機。大陸國產精品。
6.Shadow scan——功能十分強大的掃瞄軟件。
7.追捕——可以很快得到對方電腦的一些常用訊息。
連接阜掃瞄分析(二)連接阜掃瞄途徑

作者:Oliver

二。 連接阜掃瞄途徑
什麼是掃瞄器
  掃瞄器是一種自動檢測遠端或本機主機安全性弱點的程式,通過使用掃瞄器你可一不留痕跡的發現遠端服務器的各種TCP連接阜的分配及提供的服務和它們的軟件版本!這就能讓我們間接的或直觀的瞭解到遠端主機所存在的安全問題。

工作原理
  掃瞄器通過選用遠端TCP/IP不同的連接阜的服務,並記錄目標給予的回答,通過這種方法,可以搜集到很多關於目標主機的各種有用的訊息(比如:是否能用匿名登入!是否有可寫的FTP目錄,是否能用TELNET,HTTPD是用ROOT還是nobady在跑!)

掃瞄器能幹什麼?
  掃瞄器並不是一個直接的攻擊網路漏洞的程式,它僅僅能幫助我們發現目標機的某些內在的弱點。一個好的掃瞄器能對它得到的資料進行分析,幫助我們查找目標主機的漏洞。但它不會提供進入一個系統的詳細步驟。
  掃瞄器應該有三項功能:發現一個主機或網路的能力;一旦發現一台主機,有發現什麼服務正執行在這台主機上的能力;通過測試這些服務,發現漏洞的能力。
  編寫掃瞄器程式必須要很多TCP/IP程式編寫和C, Perl和或SHELL語言的知識。需要一些Socket編程的背景,一種在開發客戶/服務應用程式的方法。開發一個掃瞄器是一個雄心勃勃的專案,通常能使程式員感到很滿意。
  下面對常用的連接阜掃瞄技術做一個介紹。
TCP connect() 掃瞄
  這是最基本的TCP掃瞄。操作系統提供的connect()系統呼叫,用來與每一個感興趣的目標電腦的連接阜進行連接。如果連接阜處於偵聽狀態,那麼connect()就能成功。否則,這個連接阜是不能用的,即沒有提供服務。這個技術的一個最大的優點是,你不需要任何權限。系統中的任何用戶都有權利使用這個呼叫。另一個好處就是速度。如果對每個目標連接阜以線性的方式,使用單獨的connect()呼叫,那麼將會花費相當長的時間,你可以通過同時打開多個套接字,從而加速掃瞄。使用非阻塞I/O允許你設置一個低的時間用盡週期,同時觀察多個套接字。但這種方法的缺點是很容易被發覺,並且被過濾掉。目標電腦的logs文件會顯示一連串的連接和連接是出錯的服務消息,並且能很快的使它關閉。

TCP SYN掃瞄
  這種技術通常認為是「半開放」掃瞄,這是因為掃瞄程式不必要打開一個完全的TCP連接。掃瞄程式發送的是一個SYN資料包,好像準備打開一個實際的連接並等待反應一樣(參考TCP的三次握手建立一個TCP連接的過程)。一個SYN|ACK的返回訊息表示連接阜處於偵聽狀態。一個RST返回,表示連接阜沒有處於偵聽態。如果收到一個SYN|ACK,則掃瞄程式必須再發送一個RST信號,來關閉這個連接過程。這種掃瞄技術的優點在於一般不會在目標電腦上留下記錄。但這種方法的一個缺點是,必須要有root權限才能建立自己的SYN資料包。

TCP FIN 掃瞄
  有的時候有可能SYN掃瞄都不夠秘密。一些防火牆和包過濾器會對一些指定的連接阜進行監視,有的程式能檢測到這些掃瞄。相反,FIN資料包可能會沒有任何麻煩的通過。這種掃瞄方法的思想是關閉的連接阜會用適當的RST來回復FIN資料包。另一方面,打開的連接阜會忽略對FIN資料包的回復。這種方法和系統的實現有一定的關係。有的系統不管連接阜是否打開,都回復RST,這樣,這種掃瞄方法就不適用了。並且這種方法在區分Unix和NT時,是十分有用的。

IP段掃瞄
  這種不能算是新方法,只是其它技術的變化。它並不是直接發送TCP探測資料包,是將資料包分成兩個較小的IP段。這樣就將一個TCP頭分成好幾個資料包,從而過濾器就很難探測到。但必須小心。一些程式在處理這些小資料包時會有些麻煩。

TCP 反向 ident掃瞄
  ident 協議允許(rfc1413)看到通過TCP連接的任何工作行程的擁有者的用戶名,即使這個連接不是由這個工作行程開始的。因此你能,舉個例子,連接到http連接阜,然後用identd來發現服務器是否正在以root權限執行。這種方法只能在和目標連接阜建立了一個完整的TCP連接後才能看到。

FTP 返回攻擊
  FTP協議的一個有趣的特點是它支持代理(proxy)FTP連接。即入侵者可以從自己的電腦a.com和目標主機target.com的FTP server-PI(協議解釋器)連接,建立一個控制通信連接。然後,請求這個server-PI啟動一個有效的server-DTP(資料傳輸工作行程)來給Internet上任何地方發送文件。對於一個User-DTP,這是個推測,儘管RFC明確地定義請求一個服務器發送文件到另一個服務器是可以的。但現在這個方法好像不行了。這個協議的缺點是「能用來發送不能跟蹤的郵件和新聞,給許多服務器造成打擊,用盡磁碟,企圖越過防火牆」。
  我們利用這個的目的是從一個代理的FTP服務器來掃瞄TCP連接阜。這樣,你能在一個防火牆後面連接到一個FTP服務器,然後掃瞄連接阜(這些原來有可能被阻塞)。如果FTP服務器允許從一個目錄讀寫資料,你就能發送任意的資料到發現的打開的連接阜。
  對於連接阜掃瞄,這個技術是使用PORT命令來表示被動的User DTP正在目標電腦上的某個連接阜偵聽。然後入侵者試圖用LIST命令列出當前目錄,結果通過Server-DTP發送出去。如果目標主機正在某個連接阜偵聽,傳輸就會成功(產生一個150或226的回應)。否則,會出現"425 Can*t build data connection: Connection refused."。然後,使用另一個PORT命令,嘗試目標電腦上的下一個連接阜。這種方法的優點很明顯,難以跟蹤,能穿過防火牆。主要缺點是速度很慢,有的FTP服務器最終能得到一些線索,關閉代理功能。

這種方法能成功的情景:
220 xxxxxxx.com FTP server (Version wu-2.4(3) Wed Dec 14 ...) ready.
220 xxx.xxx.xxx.edu FTP server ready.
220 xx.Telcom.xxxx.EDU FTP server (Version wu-2.4(3) Tue Jun 11 ...) ready.
220 lem FTP server (SunOS 4.1) ready.
220 xxx.xxx.es FTP server (Version wu-2.4(11) Sat Apr 27 ...) ready.
220 elios FTP server (SunOS 4.1) ready

這種方法不能成功的情景:
220 wcarchive.cdrom.com FTP server (Version DG-2.0.39 Sun May 4 ...) ready.
220 xxx.xx.xxxxx.EDU Version wu-2.4.2-academ[BETA-12](1) Fri Feb 7
220 ftp Microsoft FTP Service (Version 3.0).
220 xxx FTP server (Version wu-2.4.2-academ[BETA-11](1) Tue Sep 3 ...) ready.
220 xxx.unc.edu FTP server (Version wu-2.4.2-academ[BETA-13](6) ...) ready.

UDP ICMP連接阜不能到達掃瞄
  這種方法與上面幾種方法的不同之處在於使用的是UDP協議。由於這個協議很簡單,所以掃瞄變得相對比較困難。這是由於打開的連接阜對掃瞄探測並不發送一個確認,關閉的連接阜也並不需要發送一個錯誤資料包。幸運的是,許多主機在你向一個未打開的UDP連接阜發送一個資料包時,會返回一個ICMP_PORT_UNREACH錯誤。這樣你就能發現哪個連接阜是關閉的。UDP和ICMP錯誤都不保證能到達,因此這種掃瞄器必須還實現在一個包看上去是丟失的時候能重新傳輸。這種掃瞄方法是很慢的,因為RFC對ICMP錯誤消息的產生速率做了規定。同樣,這種掃瞄方法需要具有root權限。

UDP recvfrom()和write() 掃瞄
  當非root用戶不能直接讀到連接阜不能到達錯誤時,Linux能間接地在它們到達時通知用戶。比如,對一個關閉的連接阜的第二個write()呼叫將失敗。在非阻塞的UDP套接字上呼叫recvfrom()時,如果ICMP出錯還沒有到達時回返回EAGAIN-重試。如果ICMP到達時,返回ECONNREFUSED-連接被拒絕。這就是用來檢視連接阜是否打開的技術。

ICMP echo掃瞄
  這並不是真正意義上的掃瞄。但有時通過ping,在判斷在一個網路上主機是否開機時非常有用。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 06:08 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1