防火墙日志记录对安全知识进行全面解读

一、目标端口

所有穿过防火墙的通讯都是连接的一个部分。一个连接包含一对相互“交谈”的ip地址以及一对与ip地址对应的端口。目标端口通常意味着正被连接的某种服务。当防火墙阻挡(block)某个连接时，它会将目标端口“记录在案”。

端口可分为3大类:

1)公认端口(wellknownports):从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是http通讯。

2)注册端口(registeredports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。

3)动态和/私有端口(dynamic/privateports):从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外:sun的rpc端口从32768开始。

从哪里获得更全面的端口信息:

1.ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers

2.adviceworkice/advice/exploits/ports/

端口数据库，包含许多系统弱点的端口。

3./etc/services

unix系统中文件/etc/services包含通常使用的unix端口分配列表。windowsnt中该文件位于%systemroot%/system32/drivers/etc/services。

4.con.wesleyan.edu/~triemer/work/docservs.html

特定的协议与端口。

5.chebucto.ns.ca/~rakerman/trojan-port-table.html

描述了许多端口。

二、通常对防火墙的tcp/udp端口扫描有哪些?

0通常用于分析*作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用ip地址为0.0.0.0，设置ack位并在以太网层广播。

1tcpmux这显示有人在寻找sgiirix机器。irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。iris机器在发布时含有几个缺省的无密码的帐户，如lp,guest,uucp,nuucp,demos,tutor,diag,ezsetup,outofbox,和4dgifts。许多管理员安装后忘记删除这些帐户。因此hacker们在inter上搜索tcpmux并利用这些帐户。

7echo你能看到许多人们搜索fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。

常见的一种dos攻击是echo循环(echo-loop)，攻击者伪造从一个机器发送到另一个机器的udp数据包，而两个机器分别以它们最快的方式回应这些数据包；另一种东西是由doubleclick在词端口建立的tcp连接。有一种产品叫做“resonateglobaldispatch”，它与dns的这一端口连接以确定最近的路由。

harvest/squidcache将从3130端口发送udpecho:“如果将cache的source_pingon选项打开，它将对原始主机的udpecho端口回应一个hitreply。”这将会产生许多这类数据包。

11sysstat这是一种unix服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与unix系统中“ps”命令的结果相似

19chargen这是一种仅仅发送字符的服务。udp版本将会在收到udp包后回应含有垃圾字符的包。tcp连接时，会发送含有垃圾字符的数据流知道连接关闭。hacker利用ip欺骗可以发动dos攻击。伪造两个chargen服务器之间的udp包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggledos攻击向目标地址的这个端口广播一个带有伪造受害者ip的数据包，受害者为了回应这些数据而过载。

21ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。hackers或crackers利用这些服务器作为传送warez(私有程序)和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

22sshpcanywhere建立tcp和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用rsaref库的版本有不少漏洞。(建议在其它端口运行ssh)

还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。

udp(而不是tcp)与另一端的5632端口相连意味着存在搜索pcanywhere的扫描。5632(十六进制的0x1600)位交换后是0x0016(使进制的22)。

23tel入侵者在搜索远程登陆unix的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的*作系统。此外使用其它技术，入侵者会找到密码。

25smtp攻击者(spammer)寻找smtp服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。smtp服务器(尤其是sendmail)是进入系统的最常用方法之一，因为它们必须完整的暴露于inter且邮件的路由是复杂的(暴露+复杂=弱点)。

53dnshacker或crackers可能是试图进行区域传递(tcp)，欺骗dns(udp)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。

需要注意的是你常会看到53端口做为udp源端口。不稳定的防火墙通常允许这种通讯并假设这是对dns查询的回复。hacker常使用这种方法穿透防火墙。

67和68bootp和dhcpudp上的bootp/dhcp:通过dsl和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向dhcp服务器请求一个地址分配。hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置，服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的ip地址。

69tftp(udp)许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件。

79fingerhacker用于获得用户信息，查询*作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。

98linuxconf这个程序提供linuxboxen的简单管理。通过整合的http服务器在98端口提供基于web界面的服务。它已发现有许多安全问题。一些版本setuidroot，信任局域网，在/tmp下建立inter可访问的文件，lang环境变量有缓冲区溢出。此外因为它包含整合的服务器，许多典型的http漏洞可能存在(缓冲区溢出，历遍目录等)

109pop2并不象pop3那样有名，但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上pop3的漏洞在pop2中同样存在。

110pop3用于客户端访问服务器端的邮件服务。pop3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。

111sunrpcportmaprpcbindsunrpcportmapper/rpcbind。访问portmapper是扫描系统查看允许哪些rpc服务的最早的一步。常见rpc服务有:rpc.mountd,nfs,rpc.statd,rpc.csmd,rpc.ttybd,amd等。入侵者发现了允许的rpc服务将转向提供服务的特定端口测试漏洞。

记住一定要记录线路中的daemon,ids,或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

113identauth这是一个许多机器上运行的协议，用于鉴别tcp连接的用户。使用标准的这种服务可以获得许多机器的信息(会被hacker利用)。但是它可作为许多服务的记录器，尤其是ftp,pop,imap,smtp和irc等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在tcp连接的阻断过程中发回rst，着将回停止这一缓慢的连接。

119nntpnews新闻组传输协议，承载use通讯。当你链接到诸如:news://p.security.firewalls/.的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找use服务器。多数isp限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的*，访问被限制的新闻组服务器，匿名发帖或发送spam。

135oc-servmsrpcend-pointmappermicrosoft在这个端口运行dcerpcend-pointmapper为它的d服务。这与unix111端口的功能很相似。使用d和/或rpc的服务利用机器上的end-pointmapper注册它们的位置。远端客户连接到机器时，它们查询end-pointmapper找到服务的位置。同样hacker扫描机器的这个端口是为了找到诸如:这个机器上运行exchangeserver吗?是什么版本?

这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些dos攻击直接针对这个端口。

137biosnameservicenbtstat(udp)这是防火墙管理员最常见的信息，请仔细阅读文章后面的bios一节

139biosfileandprintsharing通过这个端口进入的连接试图获得bios/smb服务。这个协议被用于windows“文件和打印机共享”和samba。在inter上共享自己的硬盘是可能是最常见的问题。

大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些vbs(ie5visualbasicscripting)开始将它们自己拷贝到这个端口，试图在这个端口繁殖。

143imap和上面pop3的安全问题一样，许多imap服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种linux蠕虫(admw0rm)会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当radhat在他们的linux发布版本中默认允许imap后，这些漏洞变得流行起来。morris蠕虫以后这还是第一次广泛传播的蠕虫。

这一端口还被用于imap2，但并不流行。

已有一些报道发现有些0到143端口的攻击源于脚本。

161snmp(udp)入侵者常探测的端口。snmp允许远程管理设备。所有配置和运行信息都储存在数据库中，通过snmp客获得这些信息。许多管理员错误配置将它们暴露于inter。crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。

snmp包可能会被错误的指向你的网络。windows机器常会因为错误配置将hpjetdirectremotemanagement软件使用snmp。hpobjectidentifier将收到snmp包。新版的win98使用snmp解析域名，你会看见这种包在子网内广播(cablemodem,dsl)查询sysname和其它信息。

162snmptrap可能是由于错误配置

177xdmcp许多hacker通过它访问x-windows控制台，它同时需要打开6000端口。

513rwho可能是从使用cablemodem或dsl登陆到的子网中的unix机器发出的广播。这些人为hacker进入他们的系统提供了很有趣的信息。

553corbaiiop(udp)如果你使用cablemodem或dslvlan，你将会看到这个端口的广播。corba是一种面向对象的rpc(remoteprocedurecall)系统。hacker会利用这些信息进入系统。

600pcserverbackdoor请查看1524端口

一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--alanj.rosenthal.

635mountdlinux的mountdbug。这是人们扫描的一个流行的bug。大多数对这个端口的扫描是基于udp的，但基于tcp的mountd有所增加(mountd同时运行于两个端口)。记住，mountd可运行于任何端口(到底在哪个端口，需要在端口111做portmap查询)，只是linux默认为635端口，就象nfs通常运行于2049端口。

1024许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求*作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验*这一点，你可以重启机器，打开tel，再打开一个窗口运行“natstat-a”，你将会看到tel被分配1024端口。请求的程序越多，动态端口也越多。*作系统分配的端口将逐渐变大。再来一遍，当你浏览web页时用“stat”查看，每个web页需要一个新端口。

[防火墙日志记录对安全知识进行全面解读]相关文章：

• 春季防火消防安全知识

  春季风干物燥，生产、生活用火频繁，火灾发生几率和扑救难度相应增加。春季消防安全工作不容忽视。自进入3月份以来，河间各地相继发生多起居民和工厂火灾。这使得大家了解防火安全知识显得尤为重要。春季火灾频发进入3月份以来，全省各地相继发生多起居民和...

• 防火防电安全知识板报

  火可以给我们带来光明，但它也随时有可能吞噬我们的生命，所以同学们不要乱玩火。下面是百分网小编为大家整理的关于防火防电安全知识板报，希望大家喜欢!防火防电安全知识板报图片(1)防火防电安全知识板报图片(2)防火防电安全知识板报图片(3) 小学...

• 关于安全防火防盗知识

  为了保*您和他人的财物安全，有效地预防控制公司物品及个人物品的遗失，，希望提高自我防火防盗安全知识。1、各位同事须提高安全意识，做好自我物品的保管，包不要放在办公室的明处，进办公室将包放进能上锁的橱内的习惯，并上好锁。2、办公室的抽屉中不得...

• 防震防火安全知识

  防火防地震安全知识大家知道多少呢，不要看知识不大重要，关键时刻会有不一样的效果，下面是小编为大家带来的防震防火安全知识，希望可以帮到大家哦!防地震知识一、面临地震，如何做好防震减灾?假若地震时你正在室内，如离门窗较远，暂时躲避在坚实的家具下...

• 防火安全标志知识教案设计

  自然是如此美好，生活是如此安宁。然而，躲在和平、文明背后的火魔，正窥视着我们。在所有的自然灾害中，发生频率最高的，莫过于火灾。一个小小的火星可以使人类创造的物质、精神财富化为灰烬，可以夺走人最宝贵的生命。新的《幼儿园教育指导纲要》明确指出：...