解读防火墙记录(三)

　　这篇文章讲解扫描端口的一系列行为。作者发现一种对于同一系列端口的扫描来自于Internet上变化很大的源地址这通常是由于“诱骗”扫描（decoy scan），如nmap。其中一个是攻击者，其它的则不是。利用防火墙规则和协议分析我们可以追踪他们是谁？例如：如果你ping每个系统，你就可以将获得的TTL与那些连接企图相匹配。这样你至少可以哪一个是“诱骗”扫描（TTL应该匹配，如果不匹配则他们是被“诱骗”了）。不过，新版本的扫描器会将攻击者自身的TTL随机化，这样要找出他们回更困难。你可以进一步研究你的防火墙记录，寻找在同一子网中被诱骗的地址（人）。你通常会发现攻击者刚刚试图对你连接，而被诱骗者不会。

　　三、我发现一种对于同一系列端口的扫描来自于Internet上变化很大的源地址这通常是由于“诱骗”扫描（decoy scan），如nmap。其中一个是攻击者，其它的则不是。

　　利用防火墙规则和协议分析我们可以追踪他们是谁？例如：如果你ping每个系统，你就可以将获得的TTL与那些连接企图相匹配。这样你至少可以哪一个是“诱骗”扫描（TTL应该匹配，如果不匹配则他们是被“诱骗”了）。不过，新版本的扫描器会将攻击者自身的TTL随机化，这样要找出他们回更困难。

　　你可以进一步研究你的防火墙记录，寻找在同一子网中被诱骗的地址（人）。你通常会发现攻击者刚刚试图对你连接，而被诱骗者不会。 　　四、特洛伊木马扫描是指什么？

　　特洛伊木马攻击的第一步是将木马程序放置到用户的机器上。常见的伎俩有：

　　1) 将木马程序发布在Newsgroup中，声称这是另一种程序。
　　2) 广泛散布带有附件的E-mail
　　3) 在其Web上发布木马程序
　　4) 通过即时通讯软件或聊天系统发布木马程序（ICQ, AIM, IRC等）
　　5) 伪造ISP（如AOL）的E-mail哄骗用户执行程序（如软件升级）
　　6) 通过“文件与打印共享”将程序Copy至启动组

　　下一步将寻找可被控制的机器。最大的问题是上述方法无法告知Hacker/Cracker受害者的机器在哪里。因此，Hacker/Cracker扫描Internet。

　　这就导致防火墙用户(包括个人防火墙用户)经常看到指向他们机器的扫描。他们的机器并没有被攻击，扫描本身不会造成什么危害。扫描本身不会造成机器被攻击。真正的管理员会忽略这种“攻击”

　　以下列出常见的这种扫描。为了发现你的机器是否被种了木马，运行“NETSTAT －an”。查看是否出现下列端口的连接。

　　Port Trojan
　　555 phAse zero
　　1243 Sub-7, SubSeven
　　3129 Masters Paradise
　　6670 DeepThroat
　　6711 Sub-7, SubSeven
　　6969 GateCrasher
　　21544 GirlFriend
　　12345 NetBus
　　23456 EvilFtp 　
　　27374 Sub-7, Seven
　　30100 NetSphere
　　31789 Hack‘a‘Tack
　　31337 BackOrifice, and many others
　　50505 Sockets de Troie

　　更多信息查看:http://www.commodon.com/threat/threat-ports.htm

匿名评论		登录后评论
[按 CTRL + ENTER 键快速发表评论]