admin 端口知识及被攻击方法
端口可以分为3类:
1)众所周知的端口:从0到1023,它们与一些服务紧密绑定。通常,这些端口之间的通信清楚地表明了服务协议。比如80端口其实一直都是HTTP通信。
2)注册端口:从1024到49151。它们松散地绑定到一些服务。也就是说,这些端口绑定了很多服务,也有很多其他用途。例如,许多系统从大约1024开始处理动态端口。
3)动态和/或专用端口:从49152到65535。理论上,这些端口不应该分配给服务。实际上,机器通常从1024开始分配动态端口。也有例外:SUN的RPC端口从32768开始。
本节描述通常由TCP/UDP端口扫描的防火墙记录中的信息。记住,没有ICMP端口这种东西。如果您对解释ICMP数据感兴趣,请参考本文的其他部分。
常见端口详情及一些攻击策略:
0
通常用于分析操作系统。这种方法之所以有效,是因为“0”在某些系统中是无效端口,当你试图用一个普通的封闭端口连接它时,会产生不同的结果。典型扫描:使用IP地址0.0.0.0,设置ACK位并在以太网层广播。
1 tcpmux
这说明有人在找SGIIrix机器。Irix是tcpmux的主要提供者,默认在该系统中开启tcpmux。Iris machine在发布时包含了几个默认的无密码账号,比如LP、guest、uucp、nuucp、demos、tutor、diag、ezsetup、outofbox、4Dgifts。许多管理员在安装后忘记删除这些帐户。因此,黑客在互联网上搜索tcpmux
并使用这些帐户。
7Echo
大家在搜索Fraggle功放的时候可以看到很多发送到x.x.x.0和x.x.x.255的信息。一种常见的DoS攻击是echo-loop,攻击者伪造从一台机器发送到另一台机器的UDP数据包,两台机器以最快的方式响应这些数据包。(见Chargen)另一件事是DoubleClick在word端口建立的TCP连接。有个产品叫“共鸣全球调度”,连接DNS的这个端口,确定最近的路由。Harvest/squid缓存将从端口3130发送UDP echo:“如果缓存的source_ping on选项打开,它将向原始主机的UDP echo端口发送一个命中回复。”这将产生许多这样的数据包。
11 sysstat
这是一个UNIX服务,列出了机器上所有正在运行的进程以及启动它们的原因。这为入侵者提供了大量信息,并威胁到机器的安全,例如暴露某些已知弱点或帐户的程序。这个“ps”命令在UNIX系统中的结果是类似的。同样,ICMP没有端口,ICMP端口11通常是ICMP type = 11
19 chargen
。这是一个只发送字符的服务。UDP版本在接收到UDP数据包后会响应包含垃圾字符的数据包。当TCP连接时,它会发送包含垃圾字符的数据流,直到连接关闭。黑客可以利用IP欺骗发起DoS攻击。伪造两台chargen服务器之间的UDP数据包。当服务器试图响应两台服务器之间的无限往返数据通信时,chargen和echo会使服务器过载。类似的,fraggle DoS攻击会向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者会为了响应这些数据而过载。
21 ftp
最常见的攻击者是用来想办法打开“匿名者”的ftp服务器。这些服务器有可读和可写的目录。黑客或破解者利用这些服务器作为节点来传输warez(私人程序)和pr0n(故意拼错单词以避免被搜索引擎分类)。
22sh
PCAnywhere可能会建立TCP与此端口之间的连接,以便找到ssh。这项服务有许多弱点。如果以特定模式配置,许多使用RSAREF库的版本都有许多漏洞。(建议在其他端口上运行ssh)还应该注意,ssh工具包附带了一个名为make-ssh-known-hosts的程序。它将扫描整个
域的ssh主机。有时候你会在不经意间被使用这个程序的人扫描。UDP(而不是TCP)连接到另一端的端口5632意味着有一个搜索pcAnywhere的扫描。位交换后,532(十六进制的0x1600)是0x0016(十进制的22)。
23 Telnet
入侵者正在搜索远程登录UNIX的服务。在大多数情况下,入侵者扫描这个端口来寻找机器上运行的操作系统。此外,利用其他技术,入侵者会找到密码。
25 smtp
攻击者(垃圾邮件发送者)寻找smtp服务器来发送他们的垃圾邮件。入侵者的帐户总是关闭的,他们需要拨号到高带宽的电子邮件服务器,将简单的信息发送到不同的地址。SMTP服务器(尤其是sendmail)是最常见的进入系统的方式之一,因为它必须完全暴露在互联网上,邮件的路由也很复杂(暴露+复杂=弱点)。
53 DNS
黑客或破解者可能试图执行区域传输(TCP)、欺骗DNS(UDP)或隐藏其他通信。因此,防火墙通常会过滤或记录端口53。请注意,您通常会将端口53视为UDP源端口。不稳定的防火墙通常允许这种通信,并认为这是对DNS查询的回复。黑客经常使用这种方法穿透防火墙。
67和68上的Bootp/DHCP Bootp和DHCP
UDP:经常可以看到很多数据通过DSL和cable-modem的防火墙发送到广播地址255.255.255。这些机器正在向DHCP服务器请求地址分配。黑客经常输入它们来分配一个地址,并把自己当作本地路由器来发动大量“中间人”攻击。客户端将请求配置广播到端口68 (BOOTP),服务器将响应请求广播到端口67 (BOOTP)。此响应使用广播,因为客户端不知道可以发送的IP地址。
69 TFTP(UDP)
很多服务器都是和bootp一起提供这个服务的,这样可以很容易的从系统下载启动代码。但是它们通常配置错误,并提供系统中的任何文件,如密码文件。它们也可以用于向系统写入文件。
79 finger Hacker
用于获取用户信息,查询操作系统,检测已知的缓冲区溢出错误,响应从自己机器到其他机器的手指扫描。
98 linuxconf
这个程序提供了对linux boxen的简单管理。集成的HTTP服务器在端口98提供基于Web接口的服务。它发现了许多安全问题。某些版本的setuidroot,信任LAN,在/tmp下构建Internet可访问的文件,LANG环境变量有缓冲区溢出。此外,因为它包含集成的服务器,所以可能存在许多典型的HTTP漏洞(缓冲区溢出、目录遍历等。).
109 POP2
没有POP3出名,但是很多服务器同时提供两种服务(向后兼容)。在同一台服务器上,POP3的漏洞也存在于POP2中。
110 POP3
由客户端用来访问服务器的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的漏洞至少有20个(这意味着黑客可以在实际登录之前进入系统)。成功登录后还有其他缓冲区溢出错误。
111 sunrpc端口映射程序rpcbind Sun RPC
端口映射程序/RPCBIND .访问端口映射程序是扫描系统以查看允许哪些RPC服务的最早步骤。常见的RPC服务有:rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等。入侵者发现被允许的RPC服务会转向特定的端口来提供测试漏洞的服务。请记住记录守护进程、IDS或嗅探器,您可以发现入侵者正在使用什么程序来访问,以便了解发生了什么。
113 Ident auth
这是一个在许多机器上运行的协议,用于验证连接到TCP的用户。使用这个标准服务可以获得许多机器的信息(将被黑客使用)。但是它可以作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC。通常,如果许多客户通过防火墙访问这些服务,您会看到许多来自该端口的连接请求。请记住,如果您阻止此端口,客户端将会感觉到与防火墙另一侧的电子邮件服务器的连接速度很慢。很多防火墙都支持在阻断TCP连接的过程中发回RST,也就是说这种慢速连接会被停止。
119 NNTP新闻
新闻组传输协议,承载USENET通信。当您链接到诸如news://comp . security . firewalls/之类的地址时,通常会使用此端口。该端口的连接尝试通常是人们在寻找USENET服务器。大多数ISP只允许他们的客户访问他们的新闻组服务器。打开新闻组服务器将允许您张贴/阅读任何人的帖子,访问受限制的新闻组服务器,匿名张贴或发送垃圾邮件。
135oc-servms RPC端点映射器Microsoft
在此端口上运行DCE RPC端点映射器,以服务其DCOM。这类似于UNIX端口111的功能。使用DCOM和/或RPC的服务向机器上的端点映射器注册它们的位置。当远程客户端连接到机器时,它们查询端点映射器以找到服务的位置。类似地,黑客扫描机器的这个端口来找出,例如,Exchange服务器是否在这台机器上运行?是什么版本?此端口不仅可用于查询服务(例如使用epdump),还可用于直接攻击。一些DoS攻击是针对此端口的。17NetBIOS名称服务NBTSTAT (UDP)
这是防火墙管理员最常见的信息。请仔细阅读文章后面的NetBIOS部分
139NetBIOS文件和打印共享
通过此端口进入的连接试图获得NetBIOS/SMB服务。此协议用于Windows文件和打印机共享以及SAMBA。在互联网上共享你的硬盘可能是最常见的问题。这个端口从1999年开始大量出现,之后逐渐减少。它在2000年再次回升。一些VBS(IE5 visual basics scripting)开始把自己复制到这个端口,试图在这个端口繁殖。
143 IMAP
和上面POP3的安全问题一样,很多IMAP服务器都有缓冲区溢出漏洞,在登录时进入。请记住:Linux蠕虫(admw0rm)将通过此端口传播,因此对此端口的许多扫描都来自未受感染的用户。当RadHat在其Linux发行版中默认允许IMAP时,这些漏洞变得流行起来。这是自莫里斯蠕虫以来第一次广泛传播的蠕虫。此端口也用于IMAP2,但并不流行。一些报告发现,对端口0到143的一些攻击源自脚本。
161 SNMP(UDP)
入侵者经常探查的端口。允许SNMP远程管理设备。所有配置和操作信息都存储在数据库中,由SNMP客户端获取。许多管理员错误地配置了它们,使它们暴露在互联网上。黑客将尝试使用默认密码“public”和“private”访问系统。他们会尝试所有可能的组合。SNMP数据包可能会被错误地发送到您的网络。由于配置错误,Windows机器通常使用SNMP作为HP JetDirect远程管理软件。HP对象标识符将接收SNMP数据包。新版Win98使用SNMP解析域名,你会在子网中看到这个包广播(cable modem,DSL)查询sysName等信息。
162 SNMP陷阱
可能是由于配置错误。
177 xdmcp
很多黑客通过它访问X-Windows控制台,它需要同时打开6000端口。
513
rw可能是来自使用电缆调制解调器或DSL登录的子网中的UNIX计算机的广播。这些人为黑客访问他们系统提供了有趣的信息。
553 CORBA IIOP(UDP)
如果您使用电缆调制解调器或DSL VLAN,您将看到此端口的广播。CORBA是一个面向对象的RPC(远程过程调用)系统。黑客将利用这些信息进入系统。
600 pcserver后门
请检查端口1524。一些玩脚本的孩子认为他们通过修改ingreslock和PC服务器文件已经完全破坏了系统-艾伦j .罗森塔尔。
635 Mountd
Linux的mountd Bug这是人们扫描的一个流行Bug。这个端口的扫描大部分是基于UDP的,但是基于TCP的mountd增加了(mountd同时运行在两个端口上)。记住,mountd可以运行在任何端口上(具体是哪个端口,需要在111端口上做portmap查询),但是Linux默认是635端口,就像NFS一般运行在2049端口上一样。
1024
很多人问这个端口是干什么用的?这是动态端口的开始。许多程序不关心哪个端口用于连接网络,它们要求操作系统为它们分配“下一个空闲端口”。基于此,分配从端口1024开始。这意味着请求系统分配动态端口的第一个程序将被分配端口1024。要验证这一点,您可以重新启动机器,打开Telnet,然后打开一个窗口来运行“natstat -a”。您将看到Telnet被分配了端口1024。请求的程序越多,动态端口就越多。操作系统分配的端口会逐渐变大。同样,当你浏览网页时,使用“netstat”来查看它们。每个网页都需要一个新的
端口。
?版本0.4.1,2000年6月20日
http://www.robertgraham.com/pubs/firewall-seen.html
版权所有1998-2000年,作者:罗伯特·格拉汉姆
(mailto:firewall-seen1@robertgraham.com。
保留所有权利。本文档仅可复制(全部或
部分)用于非商业目的。所有复制品都必须
包含此版权声明,并且不得修改,除非获得作者的
许可。
1025 See 1024
1026 See 1024
1080 Socks
该协议以管道的方式穿越防火墙,允许防火墙后的多人通过一个IP地址访问互联网。理论上,它应该只允许内部通信到达互联网。但由于配置错误,会让防火墙外的黑客/破解者攻击穿过防火墙。或者简单地回应位于互联网上的计算机,以掩盖它们对你的直接攻击。WinGate是常见的Windows个人防火墙,经常会出现上述错误配置。当你加入IRC聊天室时,你经常会看到这种情况。
114SQL
系统本身很少扫描该端口,但它通常是sscan脚本的一部分。
1243 Sub-7特洛伊木马(TCP)
请参见下一节。
1524 ingreslock后门
很多攻击脚本都会在这个端口上安装一个后门Sh*ll(尤其是针对Sun系统中Sendmail和RPC服务漏洞的,比如statd、ttdbserver和cmsd)。如果你刚刚安装了你的防火墙,看到这个端口的连接尝试,很可能是上述原因。您可以尝试Telnet到您机器上的这个端口,看看它是否会给出一个Sh*ll。连接到600/pcserver时也存在此问题。
2049 NFS
NFS程序经常在此端口上运行。通常,你需要访问端口映射器来找出这个服务在哪个端口上运行,但是大多数时候,NFS是安装的。因此,Acker/Cracker可以关闭端口映射器来直接测试该端口。
3128 squid
这是Squid HTTP代理服务器的默认端口。攻击者扫描该端口以搜索代理服务器,并匿名访问互联网。您还会看到用于搜索其他代理服务器的端口:8000/8001/8080/8888。扫描该端口的另一个原因是用户正在进入一个聊天室。其他用户(或服务器本身)也会检查该端口,以确定用户的机器是否支持代理。请参见第5.3节。
5632 cany where
根据您所在的位置,您将看到对此端口的多次扫描。当用户打开pcAnywere时,它会自动扫描局域网C类网络代理的可能代理。骇客/骇客也会寻找开启这项服务的机器,所以您应该检查这项扫描的来源位址。对pcAnywere的某些扫描通常包含端口22上的UDP数据包。请参见拨号扫描。
6776 Sub-7神器
该端口是从Sub-7主端口分离出来的端口,用于传输数据。例如,当控制器通过电话线控制另一台机器,而被控制的机器挂断时,您会看到这种情况。因此,当另一个人使用此IP拨入时,他们将会看到在此端口的持续连接尝试。(译者:也就是当防火墙报告这个端口的连接尝试时,并不代表你已经被Sub-7控制了。)
6970 Real Audio
Real Audio客户端会从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口输出控制连接设置的。
13223 pow wow
pow wow是部落之声的聊天程序。它允许用户在此端口打开私人聊天连接。这个过程对于建立连接来说是非常“无礼”的。它将“站”在这个TCP端口上,等待响应。这将导致类似于心跳间隔的连接尝试。如果你是一个拨号用户,从另一个聊天用户那里“继承”了IP地址,就会出现这种情况:似乎有很多不同的人在测试这个端口。该协议使用“OPNG”作为其连接尝试的前四个字节。1027 condense
这是向外连接。这是因为公司内部有人安装了有助于“广告机器人”的共享软件。有助于显示共享软件的广告。使用这项服务的一个流行软件是Pkware。有人:屏蔽这个外发连接不会有任何问题,但是屏蔽IP地址本身会导致adbots每秒钟不断尝试连接多次,导致连接过载:
机器会不断尝试解析DNS name-ads.conducent.com,也就是IP地址。
216.33.210.40 ;
216.33.199.77;
216.33.199.80;
216.33.199.81;216.33.210.41 .
(译者:不知道NetAnts用的Radiate是否也有这种现象)
27374 Sub-7木马(TCP)
参见Subseven部分。
30100 NetSphere木马(TCP)
通常会扫描此端口以查找NetSphere木马。
31337背孔“精英”
黑客的31337读作“精英”/ei 'li: t/(译者:法语,译为骨干和精华。即3=E,1=L,7=T)。因此,许多后门程序运行在这个端口上。其中最著名的是背孔。有一段时间,这是互联网上最常见的扫描。现在它的流行度越来越少,其他木马程序越来越流行。
31789 Hack-a-tack
该端口的UDP通信通常是由于“Hack-a-tack”远程访问木马(RAT)造成的。这个特洛伊木马包含一个内置的扫描器,端口为31790,因此任何从31789端口到317890端口的连接都意味着已经有过这种入侵。(端口31789是控制连接,端口317890是文件传输连接)
32770~32900 RPC服务
Sun Solaris的RPC服务就在这个范围内。详细来说:早期版本的Solaris(2 . 5 . 1之前)将portmapper放在这个范围内,即使低端端口被防火墙封锁,它仍然允许黑客/破解者访问这个端口。扫描此范围内的端口是为了端口映射器或已知的可能被攻击的RPC服务。
33434 ~ 33600 traceroute
如果在此端口范围内(且仅在此范围内)看到UDP数据包,可能是由于traceroute。请参见traceroute部分。
41508 Inoculan
早期版本的Inoculan会在子网中产生大量的UDP通信来识别对方。见http//www . circle mud . org/~ jelson/software/UDP send . html
[URL http://www.ccd.bnl.gov/NSS/tips/inoculation/index.html[/URL
也有一些例外,比如来自NAT机器的连接。经常看到1024旁边的端口,这是系统分配给不在乎用哪个端口连接的应用的“动态端口”。客户服务描述:
1-5/tcp动态FTP端口1-5表示sscan脚本
20/tcp动态FTP FTP服务器传输文件的端口
53动态FTP DNS从该端口发送UDP响应。您还可以看到源/目的端口的TCP连接。
123运行动态S/NTP简单网络时间协议(S/NTP)服务器的端口。它们也将被发送到这个端口的广播。
27910~27961/udp动态雷神之锤(Quake)雷神之锤或由雷神之锤引擎驱动的游戏在该端口运行其服务器。因此,来自或发送到该端口范围的UDP数据包通常是游戏。
超过61000的动态FTP超过61000的端口可能来自Linux NAT服务器(IP伪装)
0条评论