WEB开发网
开发学院网络安全防火墙 深入防火墙记录 阅读

深入防火墙记录

 2007-06-21 12:42:51 来源:WEB开发网   
核心提示: 1025 参见10241026 参见10241080 SOCKS这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet,深入防火墙记录(8),理论上它应该只允许内部的通信向外达到Internet,但是由于错误的配置,扫描这一端口的另一原因是:用户正在进入聊

1025 参见1024

1026 参见1024

1080 SOCKS

这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

1114 SQL

系统本身很少扫描这个端口,但常常是sscan脚本的一部分。

1243 Sub-7木马(TCP)

参见Subseven部分。

1524 ingreslock后门

许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。

2049 NFS

NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开portmapper直接测试这个端口。

3128 squid

这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。

5632 pcAnywere

上一页  3 4 5 6 7 8 9 10  下一页

Tags:深入 防火墙 记录

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接