深入解讀防火墻-3

第第頁深入解讀防火墻深入解讀防火墻-深入防火墻原理（4）

發(fā)表于：2023-06-23來源：：點擊數(shù)：標簽：

深入防火墻原理17027Conducent這是一個外向連接。這是由于公司內部有人安裝了帶有Conducentadbot的共享軟件。Conducentadbot是為共享軟件顯示廣告服務的。使用這種服務的一種流行的軟件是Pkware。有人試驗：阻斷這一外向連接不會有任何問題，但是封掉I

深入防火墻原理

17027Conducent這是一個外向連接。這是由于公司內部有人安裝了帶有Conducentadbot的共享軟件。Conducentadbot是為共享軟件顯示廣告服務的。使用這種服務的一種流行的軟件是Pkware。有人試驗：阻斷這一外向連接不會有任何問題，但是封掉IP地址本身將會導致adbots持續(xù)在每秒內試圖連接多次而導致連接過載：

機器會不斷試圖解析DNS名—，即IP地址0；7；0；1；1。（譯者：不知NetAnts使用的Radiate是否也有這種現(xiàn)象）

27374Sub-7木馬(TCP)

參見Subseven部分。

30100NetSphere木馬(TCP)

通常這一端口的掃描是為了尋找中了NetSphere木馬。

31337BackOrifice“elite”

Hacker中31337讀做“elite”/ei’li:t/（譯者：法語，譯為中堅力量，精華。即3=E,1=L,7=T）。因此許多后門程序運行于這一端口。其中最有名的是BackOrifice。曾經一段時間內這是I上最常見的掃描。現(xiàn)在它的流行越來越少，其它的木馬程序越來越流行。

31789Hack-a-tack

這一端口的UDP通訊通常是由于Hack-a-tack遠程訪問木馬（RAT,RemoteAccessTrojan）。這種木馬包含內置的31790端口掃描器，因此任何31789端口到317890端口的連接意味著已經有這種入侵。（31789端口是控制連接，317890端口是文件傳輸連接）

32770~32900RPC服務

SunSolaris的RPC服務在這一范圍內。詳細的說：早期版本的Solaris（2.5.1之前）將portmapper置于這一范圍內，即使低端口被防火墻封閉仍然允許Hacker/cracker訪問這一端口。掃描這一范圍內的端口不是為了尋找portmapper，就是為了尋找可被攻擊的已知的RPC服務。

33434~33600traceroute

如果你看到這一端口范圍內的UDP數(shù)據(jù)包（且只在此范圍之內）則可能是由于traceroute。參見traceroute部分。

41508Inoculan

早期版本的Inoculan會在子網(wǎng)內產生大量的UDP通訊用于識別彼此。參見

/~jelson/software/udpsend.html

/nss/tips/inoculan/index.html

(二）下面的這些源端口意味著什么？

端口1~1024是保留端口，所以它們幾乎不會是源端口。但有一些例外，例如來自NAT機器的連接。參見1.9。

?？匆娋o接著1024的端口，它們是系統(tǒng)分配給那些并不在乎使用哪個端口連接的應用程序的“動態(tài)端口”。

ServerClient服務描述

1-5/tcp動態(tài)FTP1-5端口意味著sscan腳本

20/tcp動態(tài)FTPFTP服務器傳送文件的端口

53動態(tài)FTPDNS從這個端口發(fā)送UDP回應。你也可能看見源/目標端口的TCP連接。

123動態(tài)S/NTP簡單網(wǎng)絡時間協(xié)議（S/NTP）服務器運行的端口。它們也會發(fā)送到這個端口的廣播。

27910~27961/udp動態(tài)QuakeQuake或Quake引擎驅動的游戲在這一端口運行其服務器。因此來自這一端

口范圍的UDP包或發(fā)送至這一端口范圍的UDP包通常是游戲。

61000以上動態(tài)FTP