详细讲解防火墙端口信息的含义(3)

　　六) 一旦我拨号连接到ISP后，我的个人防火墙就开始警告“有人在探测你的xxxx端口”。

　　这种情况很常见。因为你使用ISP分配给你的IP，而在你使用之前刚有人使用。你看到的是上一个用户的“残留”信息。

　　常见的例子是聊天程序。如果有人刚刚挂断，刚才和他聊天的人会继续试图连接。一些程序的“超时”设置很长。如POWWOW或ICQ。

　　另一个例子是多人在线游戏。你会看到来自游戏提供者的通讯(如MPlayer)，或其它不知名的游戏服务器。这些游戏通常基于UDP，因此无法建立连接。但为了获得较好的用户感觉，他们对于建立连接又很“执着”。以下是一些游戏的端口：

　　7777 Unreal, Klingon Honor Guard

　　7778 Unreal Tournament

　　22450 Sin

　　26000 Quake

　　26900 Hexen 2

　　26950 HexenWorld

　　27015 Half-life, Team Fortress Classic (TFC)

　　27500 QuakeWorld

　　27910 Quake 2

　　28000-28008 Starsiege TRIBES (TRIBES.DYNAMIX.COM)

　　28910 Heretic 2

　　另一个例子是多媒体广播、电视。如RealAudio客户端使用6970-7170端口接收声音数据。

　　你需要连接的来源。例如ICQ服务器运行于4000端口，而其客户端使用更高的随机端口。这就是说你会看到你会看到从4000端口到高端随机端口的UDP包。换句话说，不要试图查询端口列表找到随机高端端口的用途。重要的是源端口。

　　Sub-7也有类似问题。它使用不同的TCP连接用于不同的服务。如果受害者的机器下线，它会持续企图连接受害者机器的端口，特别是6776端口。

　　七) IRC服务器在探测我

　　最流行的聊天方式之一是IRC。这种聊天程序的特点之一就是它能告诉你正在和你聊天的人的IP地址。聊天室的问题之一是：人们匿名登陆并四处闲逛，往往会遭遇跑题的评论、粗鲁的话语、被打断谈话、被服务器“冲洗”或被其它客户踢下线。

　　因此，服务器端和客户端都默认禁止在聊天室内使用匿名登陆。特别需要指出的是，当有人进入聊天室时要检查他们是否通过其它代理服务器连接。最常见的这种扫描是SOCKS。假设你来的那个地方支持SOCKS，那么你完全有可能有一台完全独立的机器，你试图通过明处的代理服务器隐藏你在暗处的真实身份。Undernet’s关于这方面的策略可参考https://help.undernet.org/proxyscan.

　　同时，crackers/hackers会试图扫描人们的机器以确定他们是否运行某种服务，可被他们用做跳板。同样，通过检查SOCKS，攻击者希望发现某人打开了SOCKS，例如一个家庭的个人用户SOCKS实现共享连接，但将其错误设置成Internet上所有用户都能通过它。

　　八) 什么是“重定向”端口

　　一种常见的技术是把一个端口重定向到另一个地址。例如默认的HTTP端口是80，许多人把他们重定向到令一个端口，如8080( 这样，如果你打算访问本文就得写成https://www.robertgraham.com:8080/pu...ewall-seen.html )

　　实现重定向是为了让端口更难被发现，从而使Hacker更难攻击。因为Hacker不能对一个公认的默认端口进行攻击而必须进行端口扫描。

　　大多数端口重定向与原端口有相似之处。因此，大多数HTTP端口由80变化而来：81，88，8000，8080，8888。同样POP的端口原来在110，也常被重定向到1100。

　　也有不少情况是选取统计上有特别意义的数，象1234，23456，34567等。许多人有其它原因选择奇怪的数，42，69，666，31337。近来，越来越多的远程控制木马( Remote Access Trojans, RATs )采用相同的默认端口。如NetBus的默认端口是12345。

　　Blake R. Swopes指出使用重定向端口还有一个原因,在UNIX系统上,如果你想侦听1024以下的端口需要有root权限。如果你没有root权限而又想开web服务，你就需要将其安装在较高的端口。此外，一些ISP的防火墙将阻挡低端口的通讯，所以即使你拥有整个机器你还是得重定向端口。

　　九) 我还是不明白当某人试图连接我的某个端口时我该怎么办?

　　你可以使用Netcat建立一个侦听进程。例如，你想侦听1234端口：

　　NETCAT -L -p 1234

　　许多协议都会在连接开始的部分发送数据。当使用Netcat侦听某个端口时，你能想办法搞清在使用什么协议。如果幸运的话，你会发现是HTTP协议，它会为你提供大量信息，使你能追踪发生的事情。

　　“-L”参数是让Netcat持续侦听。正常情况下Netcat会接受一个连接，复制其内容，并退出。加上这个参数后，它可以持续运行以侦听多个连接。

　　解读防火墙记录(我看到的是什么?)

　　二.ICMP

　　TCP和UDP能承载数据，但ICMP仅包含控制信息。因此，ICMP信息不能真正用于入侵其它机器。Hacker们使用ICMP通常是为了扫描网络，发动DoS攻击，重定向网络交通。(这个观点似乎不正确，可参考shotgun关于木马的文章，译者注)

　　一些防火墙将ICMP类型错误标记成端口。要记住，ICMP不象TCP或UDP有端口，但它确实含有两个域：类型(type)和代码(code)。而且这些域的作用和端口也完全不同，也许正因为有两个域所以防火墙常错误地标记了他们。更多关于ICMP的知识请参考Infosec Lexicon entry on ICMP。

　　0 * Echo replay 对ping的回应

　　3 * Destination Unreachable 主机或路由器返回信息：一些包未达到目的地

　　0 Net Unreachable 路由器配置错误或错误指定IP地址

　　1 Host Unreachable 最后一个路由器无法与主机进行ARP通讯

　　3 Port unreachable 服务器告诉客户端其试图联系的端口无进程侦听

　　4 Fragmentation Needed but DF set 重要：如果你在防火墙丢弃记录中发现这些包，你应该让他们通过否则你的客户端将发现TCP连接莫名其妙地断开

　　4 * Source Quench Internet阻塞

　　5 * Redirect 有人试图重定向你的默认路由器，可能Hacker试图对你进行“man-in-middle”的攻击，使你的机器通过他们的机器路由。

　　8 * Echo Request ping

　　9 * Router Advertisement hacker可能通过重定向愕哪?系穆酚善鱀oS攻击你的Win9x 或Solaris。邻近的Hacker也可以发动man-in-the-middle的攻击

　　11 * Time Exceeded In Transit 因为超时包未达到目的地

　　0 TTL Exceeded 因为路由循环或由于运行traceroute，路由器将包丢弃

　　1 Fragment reassembly timeout 由于没有收到所有片断，主机将包丢弃

　　12 * Parameter Problem 发生某种不正常，可能遇到了攻击