深入防火墙记录

核心提示： 4．http://www.con.wesleyan.edu/~triemer/network/docservs.html特定的协议与端口，5．http://www.chebucto.ns.ca/~rakerman/trojan-port-table.html描述了许多端口，深入防火墙记录(

4．http://www.con.wesleyan.edu/~triemer/network/docservs.html

特定的协议与端口。

5．http://www.chebucto.ns.ca/~rakerman/trojan-port-table.html

描述了许多端口。

6．http://www.tlsecurity.com/trojanh.htm

TLSecurity的Trojan端口列表。与其它人的收藏不同，作者检验了其中的所有端口。

7．http://www.simovits.com/nyheter9902.html

Trojan Horse 探测

二、通常对于防火墙的TCP/UDP端口扫描有哪些？

本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住：并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。

0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。

7 Echo 你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。

常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个机器的UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见Chargen）

另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。