精妙解读防火墙的日志记录防范网络攻击

　2008-03-03 12:12:56　来源：WEB开发网　　　

核心提示： 3./etc/servicesUNIX系统中文件/etc/services包含通常使用的UNIX端口分配列表，WindowsNT中该文件位于%systemroot%/system32/drivers/etc/services，精妙解读防火墙的日志记录防范网络攻击(2)，4.http://

3./etc/services

UNIX系统中文件/etc/services包含通常使用的UNIX端口分配列表。WindowsNT中该文件位于%systemroot%/system32/drivers/etc/services。

4.http://www.con.wesleyan.edu/~triemer/network/docservs.html

特定的协议与端口。

5.http://www.chebucto.ns.ca/~rakerman/trojan-port-table.html

描述了许多端口。

6.http://www.tlsecurity.com/trojanh.htm

TLSecurity的Trojan端口列表。与其它人的收藏不同，作者检验了其中的所有端口。

7.http://www.simovits.com/nyheter9902.html

TrojanHorse探测。

二、通常对于防火墙的TCP/UDP端口扫描有哪些?

本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。

0通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

1tcpmux这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp,guest,uucp,nuucp,demos,tutor,diag,EZsetup,OutOfBox,和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。

7Echo你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。

常见的一种DoS攻击是echo循环(echo-loop)，攻击者伪造从一个机器发送到另一个机器的UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。(参见Chargen)