攻击防范六（整理）

八种扫描器说明
八种扫描器说明
⑴NSS（网络安全扫描器）
NSS由Perl语言编成，它最根本的价值在于它的速度，它运行速度非常快，它可以执行下列常规检查：
■Sendmail
■匿名FTP
■NFS出口
■TFTP
■Hosts.equiv
■Xhost
注：除非你拥有最高特权，否则NSS不允许你执行Hosts.equiv。
利用NSS，用户可以增加更强大的功能，其中包括：
■AppleTalk扫描
■Novell扫描
■LAN管理员扫描
■可扫描子网
简单地说，NSS执行的进程包括：
■取得指定域的列表或报告，该域原本不存在这类列表
■用Ping命令确定指定主机是否是活性的
■扫描目标主机的端口
■报告指定地址的漏洞
尽管没有详尽讨论NSS，但我在这里要说明一些次要的问题：
■在对NSS进行解压缩后，不能立即运行NSS，需要对它进行一些修改，必须设置一些环境变量，以适应你的机器配置。主要变量包括：
■$TmpDir_NSS使用的临时目录
■$YPX-ypx应用程序的目录
■$PING_可执行的ping命令的目录
■$XWININFO_xwininfo的目录
提示：如果你隐藏了Perl include目录（目录中有Perl include文件），并且在PATH环境变量中没有包含该目录，你需要加上这个目录；同时，用户应该注意NSS需要ftplib.pl库函数。NSS具有并行能力，可以在许多工作站之间进行分布式扫描。而且，它可以使进程分支。在资源有限的机器上运行NSS（或未经允许运行NSS）应该避免这种情况，在代码中有这方面的选项设置。
你可在下面地址找到NSS拷贝。http://www.giga.or.at/pub/hacker/unix ;
⑵Strobe（超级优化TCP端口检测程序）
strobe是一个TCP端口扫描器，它可以记录指定机器的所有开放端口。strobe运行速度快（其作者声称在适中的时间内，便可扫描整个一个国家的机器）。
strobe的主要特点是，它能快速识别指定机器上正在运行什么服务。strobe的主要不足是这类信息是很有限的，一次strobe攻击充其量可以提供给“入侵者”一个粗略的指南，告诉什么服务可以被攻击。但是，strobe用扩展的行命令选项弥补了这个不足。比如，在用大量指定端口扫描主机时，你可以禁止所有重复的端口描述。（仅打印首次端口定义）其他选项包括：
■定义起始和终止端口
■定义在多长时间内接收不到端口或主机响应，便终止这次扫描。
■定义使用的socket号码
■定义strobe要捕捉的目标主机的文件
在如下地址可以找到strobe的拷贝：http://sunsite.kth.se/linux/system/network/admin/ ;
提示：在你获得strobe的同时，必然获得手册页面，这对于Solaris 2.3是一个明显的问题，为了防止发生问题，你必须禁止使用getpeername()。在行命令中加入-g 标志就可以实现这一目的。
同时，尽管strobe没有对远程主机进行广泛测试，但它留下的痕迹与早期的ISS一样明显，被strobe扫描过的主机会知道这一切（这非常象在/var/adm/messages文件中执行连接请求）。
⑶SATAN（安全管理员的网络分析工具）
SATAN是为UNIX设计的，它主要是用C和Perl语言编写的（为了用户界面的友好性，还用了一些HTML技术）。它能在许多类UNIX平台上运行，有些根本不需要移植，而在其他平台上也只是略作移植。
注意：在Linux上运行SATAN有一个特殊问题，应用于原系统的某些规则在Linus平台上会引起系统失效的致命缺陷；在tcp-scan模块中实现select()调用也会产生问题；最后要说的是，如果用户扫描一个完整子网，则会引进反向fping爆炸，也即套接字（socket）缓冲溢出。但是，有一个站点不但包含了用于Linux的、改进的SATAN二进制代码，还包含了diff文件，这些条款可以在ftp.lod.com
上发现，或者可以直接从Sun站点（sunsite.unc.edu）取得diff文件：
/pub/linux/system/network/admin/satan-linux.1.1.1.diff.gz
SATAN用于扫描远程主机的许多已知的漏洞，其中包括，但并不限于下列这些漏洞：
■FTPD脆弱性和可写的FTP目录
■NFS脆弱性
■NIS脆弱性
■RSH脆弱性
■Sendmail
■X服务器脆弱性
你可在下面地址中获得SATAN的拷贝：http://www.fish.com ;
安装过程
SATAN的安装和其他应用程序一样，每个平台上的SATAN目录可能略有不同，但一般都是/satan-1.1.1。安装的第一步（在阅读了使用文档说明后）是运行Perl程序reconfig。这个程序搜索各种不同的组成成分，并定义目录路径。如果它不能找到或定义一个浏览器。则运行失败，那些把浏览器安装在非标准目录中（并且没有在PATH中进行设置）的用户将不得不手工进行设置。同样，那些没有用DNS（未在自己机器上运行DNS）的用户也必须在/satan-1.1.1/conf/satan.cf中进行下列设置：$dont_use_nslookuo=1；在解决了全部路径问题后，用户可以在分布式系统上运行安装程序（IRIX或SunOS），我建议要非常仔细地观察编译，以找出错误。
提示：SATAN比一般扫描器需要更多一些的资源，尤其是在内存和处理器功能方面要求更高一些。如果你在运行SATAN时速度很慢，可以尝试几种解决办法。最直接的办法就是扩大内存和提高处理器能力，但是，如果这种办法不行，我建议用下面两种方法：一是尽可能地删除其他进程；二是把你一次扫描主机的数量限制在100台以下。最后说明的一点是，对于没有强大的视频支持或内存资源有限的主机，SATAN有一个行命令接口，这一点很重要。
⑷Jakal
Jakal是一个秘密扫描器，也就是就，它可以扫描一个区域（在防火墙后面），而不留下任何痕迹。
秘密扫描器工作时会产生“半扫描”（half scans），它启动（但从不完成）与目标主机的SYN/ACK过程。从根本上讲，秘密扫描器绕过了防火墙，并且避开了端口扫描探测器，识别出在防火墙后面运行的是什么服务。（这里包括了像Courtney和GAbriel这样的精制扫描探测器）
在下面地址中可以找到由Half life，Jeff(PhiJi)Fay和Abdullah Marahie编写的Jakal拷贝：http://www.giga.or.at.pub/hacker/unix ;
⑸IdentTCPscan
IdentTCPscan是一个更加专业化的扫描器，其中加入了识别指定TCP端口进程的所有者的功能，也就是说，它能测定该进程的UID。可在如下地址找到拷贝：http://www.giga.or.at/pub/hacker/unix ;
⑹CONNECT
CONNECT是一个bin/sh程序，它的用途是扫描TFTP服务子网。在下面地址可得到拷贝：http://www.giga.or.at/pub/hacker/unix/ ;
⑺FSPScan
FSPScan用于扫描FSP服务顺。FSP代表文件服务协议，是非常类似于FTP的Internet协议。它提供匿名文件传输，并且据说具有网络过载保护功能（比如，FSP从来不分叉）。FSP最知名的安全特性可能就是它记录所有到来用户的主机名，这被认为优于FTP，因为FTP仅要求用户的E-mail地址（而实际上根本没有进行记录）。FSP相当流行，现在为Windows 和OS/2开发了GUI客户程序。可在如下地址找到：http://www.giga.or.at/pub/hacker/unix ;
⑻XSCAN
XSCAN扫描具有X服务器弱点的子网（或主机）。乍一看，这似乎并不太重要，毕竟其他多数扫描器都能做同样的工作。然而，XSCAN包括了一个增加的功能：如果它找到了一个脆弱的目标，它会立即加入记录。
XSCAN的其他优点还包括：可以一次扫描多台主机。这些主机可以在行命令中作为变量键入（并且你可以通过混合匹配同时指定主机和子网）。可在如下地址找到：http://www.giga.or.at/pub/hacker/unix ;
WINNT2000的简单攻击
呵呵！快到春节，为了纪念这个传统的节日，我们一些网友决定对台湾进行一次检测，不过我发现一些网友对NT/2000服务器的攻击还有不懂的地方，今天先给大家讲讲3389端口开放配合输入法漏洞主机的攻击方法，讲的不好的地方请大家多多包涵！
　　准备工具：scanner 扫描仪 　　　　点击下载
　　　　　　：mstsc.exe 客户端软件 　点击下载
　　首先打开scanner扫描一段台湾的ip。啊？你不会用这个扫描仪？我倒！先看看我写的新手上路，那里有详解（图文），端口是3389，不一会，扫到很多开放3389的主机，放到url里，看看哪个有主页，（其实没有的也可以的），呵呵！记下ip关掉扫描仪、
打开mstsc.exe客户端软件，把你刚刚扫到的主机添加到服务器栏，其它的用默认就可以了，点连接。即出现了win2000的登陆提示框，首先在用户名的那一项上先用鼠标点一下，将光标放在那里，在用shift+ctrl键将输入法转到全拼，是否出现了出现了全拼输入法的图标，右键单击微软的图标，弹出一个选项，这个选项有帮肋，版本信息，手工造词，和设置四个选项。
　　我们主要是看这个帮肋，如果帮肋是灰色的，不能点，换一台吧，反正肉机有都是，呵呵，点帮肋--输入法入门，就会弹出一个输入法操做指南的窗口，在空白处点右键，选最下面的一项，跳转至url.在此框中输入C:/WINNT/system32，按确定，就进入了他的system32目录下了，在此目录下找到net.exe的文件，单击右键创建快捷方式，找到这个快捷方式，点右键，选择属性，在里面找到目标这个窗口。里面的默认是C:/WINNT/system32/net.exe 在这个命令后面加上空格user ccb ccb /add ,确定之后，双击运行，双击之后没运行？呵呵！它是在后台运行，你看不到的！这样我们就创建了一个用户名和密码都是ccb的账号，也就是user:ccb password:ccb 的账号。但是这个ccb还是普通的权限。我们现在要做的是把这个ccb这账号提升到Administators的权限，还是找到刚才创建的那个net.exe的快捷方式，选属性，目标，在C:/WINNT/system32/net.exe 后加上一个空格localgroup administrators ccb/add,这样我们就将ccb这个账号提升到administrators 权限了，点击确定后双击运行，关掉其它窗口，只留下最初登陆的窗口就可以了，在登陆窗口的用户名里填上ccb.密码ccb，确定，呵呵，进去了吧！（如图）
现在你就是超级权限了，接下的事就由不得我了，呵呵！看看主页放在哪里了，MD，这个webmaster也太咸湿了，非要把主页放在缺省的c:/inetpub/wwwroot里，我都快求求他了，改改地方不行吗？改主页这么菜的问题就不用我教你了吧，呵呵！最后别忘了D掉日志，c:/WINNT/system32/logfiles/*.* 不会？看看高手写的日志清除方法吧！点 此
常见手工入侵检测
当我们架设起一台WIN2000服务器后，很多服务都是系统默认安装的，其中有些服务是我们平时
很少使用或根本就用不上的。而这些服务往往漏洞多多，容易被黑客利用来攻击我们的服务器。
WIN2000服务器漏洞检测：
一．基于应用的检测技术。采用被动的、非破坏性的办法检查应用软件包的设置，发现安全漏
洞。
二．基于主机的检测技术。采用被动的、非破坏性的办法对系统进行检测。通常涉及系统内核、
文件属性、操作系统补丁问题，还包括口令解密。因此，可以非常准确的定位系统存在的问题，
发现系统漏洞。其缺点是与平台相关，升级复杂。
三．基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性，如
数据库、注册号等。通过消息文摘算法，对文件的加密数进行检验。
四．基于网络的检测技术。它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。
利用一系列脚本对系统进行攻击，然后对结果进行分析。网络检测技术常被用来进行穿透实验
和安全审记。这种技术可以发现一系列平台的漏洞，也容易安装。但是，它容易影响网络的性
能，对系统内部检验不到。
五．综合的技术。集中了以上四种技术的优点，极大的增强了漏洞识别的精度。
使用漏洞检测技术时，应该注意以下几点：
1 合理的检测分析的位置；
2 完善的报表功能与灵活的配置特性；
3 可提供多种检测后的解决方案；
4 检测系统本身的完整性等。
我们如何实现手工检测呢？最简单，最方便的还是利用扫描软件来完成。所以也可以说，黑客扫
描器是把双刃剑，看使用它的人用它来作什么了，呵呵。
下面结合几种扫描和监控的软件来看看如何发现漏洞和补上漏洞：
我们可以用CMD命令行扫描器TWWWSCAN 参考[图1]
扫描出服务器存在IDQ、IDA影射溢出漏洞，
解决方法：在INTERNET信息管理器设置，把WEB站点属性--》主目录--》配置里的IDQ、IDA影射
删除掉即可。
接着我们用流光漏洞扫描器来为服务器检测吧，运行程序，选择要扫描的漏洞资料，如果你的
服务器安装了SQL SERVER 的话，建议扫描SQL 空口令。选流光主菜单的探测--》扫描SQL主机
如果服务器存在SQL的SA空口令漏洞，探测结果会显示，参考[图3]。
解决方法：运行SQLSERVER管理工具，给SA帐号加上强壮密码，还要在SQL命令行执行：
“if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]
') and OBJECTPROPERTY(id, N'IsExtendedProc') = 1) exec sp_dropextendedproc N'[dbo]
.[xp_cmdshell]' ”
GO
或：
“use master
sp_dropextendedproc 'xp_cmdshell'”
这样就算攻击者获得SA帐号密码远程连接后，也不能调用CMDSHELL了。
另外一个也是很常用的数据库MYSQL，默认安装后也存在ROOT空口令漏洞，如果你不补上的话，
INTERNET上任意远程主机都可以连接你服务器上的MYSQL数据库，任意编辑，修改，删除数据库
甚至可以通过它来提升权限，完全控制你的服务器。所以必须重视。
解决方法：在mysql>状态下输入：
grant select,insert,update,delete on *.* to root@"%" identified by "pass"；
语句即可为ROOT设置口令。这样攻击者就不能远程连接本机数据库了。参考[图4]
如果你的服务器安装了PERL解析，很可能会存在CGI漏洞。
解决方法：这就需要打齐微软的最新补丁，在IIS里把CGI论坛的图片目录属性设置成（无）
即不运行任何教程和程序，这样可以最大限度的减少被攻击的风险。
我们可以利用数据监控软件[COMMVIEW]来监视进出本服务器的数据包，经过的端口。参考[图5]。
还可以检查可疑数据包的内容，
这样我们就不会对服务器的运行一无所知，在被攻击前或被攻击后找出攻击者的信息，制定出
相应的解决方案。
黑客必须具备的技能
真正的黑客，是指对网络安全形成威胁的人，而不是那些使用某种现成工具对网络进行攻击的攻击者，真正的黑客管这种人叫做script kids(只会使用工具的孩子），虽然script kids也会对网络安全构成一定的威胁，但是这类进攻是比较容易防范的。真正厉害的角色是那些具备相当深厚的系统知识的人。
其实黑客应该对所有的计算机知识了如指掌，而不是单单掌握与攻击相关的知识。当然，从单纯的攻击方面来讲还是必须了解一些与其他计算机工作人员不同的内容，列举如下：
1。必须对网络上常见的操作系统有深入的研究，例如Unix,windowsNT等。这里说的是深入研究，而不是简单的学会使用，应该了解系统内核的工作原理以及系统上运行的常用软件的使用方法。
2。应该熟悉各种网络协议，在因特网上主要是TCP/IP协议。
3。黑客应该首先是程序员。如果对编程一窍不通，只是简单的使用工具，那只能对个别的特定系统进行攻击，是不可能真正威胁到大量系统安全的。
4。收集相关的系统漏洞。对已知漏洞的分析有利于发现新的漏洞和提高安全的防护能力
过滤广告的软件
http://www.8715.com/llpopupkill/llpopupkill.zip
关于ＷＩＮＸＰ的密码
Windows XP强大而友好的系统界面博得了越来越多用户的青睐，然而它对用户安全性的审核即是非常严格的，要是你忘记了设置的口令（密码），可别以为能够像Windows98那样选择“取消”同样可以进入系统－－这一点相信安装Windows XP的你，是很清楚的。当然这也是有过痛苦的经历后，才被我们重视的。
由于没有登陆口令，无法进入系统；起初的方法总是选择重新安装Windows XP，但这种方法但繁琐，而且费时费力，经过多次实验之后，终于找到了一个可以不需要任何其它软件，就可破解Windows XP登录口令的方法：
但是破解登陆口令，需要有两个必要的前提：
1.安装Windows XP的分区必须采用FAT32文件系统；
2.用户名中没有汉字。
  在确认满足这两个条件后，即可执行以下步骤，来破解登陆口令。
1.开机启动Win XP，当运行到“正在启动Windows XP”的提示界面时，按“F8”键调出系统启动选择菜单，选择“带命令行安全模式”；
2.当运行停止后，会列出“Administrator”和其它用户的选择菜单(本例的其他用户以xpuser01为例)，选择“Administrator”后回车，进入命令行模式；
3.键入命令““net user xpuser01 1234/ADD”这是更改该用户密码的命令，命令中的“1234”是更改后的新密码，如果键入的用户不存在（xpuser01），那么系统会自动添加这个用户。
4.另外还可以使用“net 1oca1group administrator xpuser01 /ADD”命令把xpuser01这个用户升为超级用户，即可拥有所有权限。
5.最后一步，就是重新启动计算机，在登录窗口中输入刚刚更改的新密码便可成功登陆。
  如果你正在为丢失了登陆口令而烦恼的话，不妨试一试此方法。
以下方法是WIN2000的,但我想XP一样用:
(1) 如果使用NTFS文件系统,可将故障计算机上的硬盘取下,以从盘模式挂接到其它的Win2000计算机上.下面的操作以后一种情况为准,假设现在故障计算机的system分区(通常是C在新的计算机上成为分区E:.
(2) 编写一个能恢复管理员密码的批处理文件admin.bat,内容只需要一条"net user"命令即可.如下:
net user administrator 12345678
这儿我们假设当前的管理员是administrator,将它的密码恢复为"12345678".将文件admin.bat保存到"E:/winnt/system32/GroupPolicy/Machine/Scripts/Startup"下,也就是故障计算机原来的"C:/winnt/system32/GroupPolicy/Machine/Scripts/Startup"下.
(3) 编写一个启动/关机脚本配置文件scripts.ini,这个文件名是固定的,不能改变.内容如下:
[Startup]
0CmdLine=admin.bat
0Parameters=
将文件scripts.ini保存到"E:/winnt/system32/GroupPolicy/Machine/Scripts"下,也就是故障计算机原来的"C:/winnt/system32/GroupPolicy/Machine/Scripts"下.
(4) 将硬盘恢复为主盘,接回原来的计算机,重新启动,等待启动脚本运行.启动脚本运行结束管理员administrator的密码就被恢复为"12345678".
(5) 如果要新建一个管理员账号,admin.bat文件的内容可以修改为:
net user admin 12345678 /add
net localgroup administrators admin /add
这样一个名为"admin",密码是"12345678"的管理员账号就建立了.
这个方法不仅可以恢复独立服务器上本地管理员密码,也可以恢复Win2000域中域管理员的密码.
方法两种，非NTFS时 (684字) 没有名字了 (158518)于今天(09:07:05)..
方法一
开机后，Win2000自启动，出现登录窗口，显示用户名，并要求输入密码（当然这时你不会有密码）。这时请将输入焦点置于用户名一项，用Ctrl+Shift切换输入法（随便选上一种，只要能出现输入法工具条的就行）。在出现的输入法提示工具条上单击右键，选择帮助，会弹出一个帮助窗口。接下来你需要在这个窗口里找到一个（绿色带下划线）超级链接，并用SHIFT＋鼠标左键单击，打开它会弹出一个IE窗口，请在窗口地址栏里输入c:，到这步你应该很清楚怎么做了。只要点击标准按键的“向上”，会发现你可以进入“控制面板”了，进入后你可以直奔“用户和密码”接下发生的事只有你自己知道了。^_^
注意：此方法只能在没有安装SP补丁前使用，因为后来有人把这个方法透露给老盖，老盖就把他龚断了。如果你不幸安装了SP补丁，请不要灰心，下面将继续给你介绍第二种方法。
方法二
用光盘（软盘）启动系统，或者说如果硬盘上有双系统，你也可以从另一个系统进入硬盘，只要你能进入win2000所在的分区，用哪种方法都行。进入后，找到winnt/system32/config目录下的sam文件，删除它后重启动，大功告成，很简单吧。
注意：如果win2000的系统分区为NTFS和NTFS格式，此方法无效。
注解：SAM，即安全账号管理数据库（Security Accounts Management Database），它是Win NT/2000操作系统的核心，其中存放了本地机和操作系统所控制域的组账号及用户账号信息。SAM中的开始存放了域中各组的描述信息和权限信息，接下来的部分存放了域用户的描述信息和加密后的密码数据等。超级用户Administrator的密码存放在SAM文件中最后一个“Administrator”的字串之后。
端口详解
端口可分为3大类：
1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。
2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。
3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。
　　本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住：并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。
　　0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。
　　1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。
　　7 Echo 你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。
　　常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个机器的UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见Chargen）
　　另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。
　　Harvest/squid cache将从3130端口发送UDP echo：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。
　　11 sysstat 这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似
　　再说一遍：ICMP没有端口，ICMP port 11通常是ICMP type=11
　　19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。
　　21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。
　　22 ssh PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）
　　还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。
　　UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632（十六进制的0x1600）位交换后是0x0016（使进制的22）。
　　23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。
　　25 smtp 攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。
　　53 DNS Hacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。
　　需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。
　　67和68 Bootp和DHCP UDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
　　69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件。
　　79 finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。
　　98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）
　　109 POP2 并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。
　　110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。
　　111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有：rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。
　　记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。
　　113 Ident auth 这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST，着将回停止这一缓慢的连接。
　　119 NNTP news 新闻组传输协议，承载USENET通讯。当你链接到诸如：news://comp.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。
　　135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运行Exchange Server吗？是什么版本？
　　这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。
　　137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息，请仔细阅读文章后面的NetBIOS一节
　　139 NetBIOS　File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。
　　大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasic Scripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。
　　143 IMAP 和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。
　　这一端口还被用于IMAP2，但并不流行。
　　已有一些报道发现有些0到143端口的攻击源于脚本。
　　161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。
　　SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。
　　162 SNMP trap 可能是由于错误配置
　　177 xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。
　　513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。
　　553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会利用这些信息进入系统。
　　600 Pcserver backdoor 请查看1524端口
　　一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.
　　635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口。
　　1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新端口。
　?ersion 0.4.1, June 20, 2000
　　http://www.robertgraham.com/pubs/firewall-seen.html  
　　Copyright 1998-2000 by Robert Graham (mailto:firewall-seen1@robertgraham.com.  
　　All rights reserved. This document may only be reproduced (whole or
in part) for non-commercial purposes. All reproductions must
contain this copyright notice and must not be altered, except by
permission of the author.
　　1025 参见1024
　　1026 参见1024
　　1080 SOCKS
　　这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
　　1114 SQL
　　系统本身很少扫描这个端口，但常常是sscan脚本的一部分。
　　1243 Sub-7木马（TCP）
　　参见Subseven部分。
　　1524 ingreslock后门
　　许多攻击脚本将安装一个后门Sh*ll 于这个端口（尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本，如statd, ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。
　　2049 NFS
　　NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS 杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。
　　3128 squid
　　这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口：8000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。
　　5632 pcAnywere
　　你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。
　　6776 Sub-7 artifact
　　这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。）
　　6970 RealAudio
　　RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。
　　13223 PowWow
　　PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。
　　17027 Conducent
　　这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载：
机器会不断试图解析DNS名─ads.conducent.com，即IP地址216.33.210.40 ；216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使用的Radiate是否也有这种现象）
　　27374 Sub-7木马(TCP)
　　参见Subseven部分。
　　30100 NetSphere木马(TCP)
　　通常这一端口的扫描是为了寻找中了NetSphere木马。
　　31337 Back Orifice “elite”
　　Hacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的木马程序越来越流行。
　　31789 Hack-a-tack
　　这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT, Remote Access Trojan）。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连接意味着已经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接）
　　32770~32900 RPC服务
　　Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。
　　33434~33600 traceroute
　　如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。参见traceroute部分。
　　41508 Inoculan
　　早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见
　　http://www.circlemud.org/~jelson/software/udpsend.html  
　　http://www.ccd.bnl.gov/nss/tips/inoculan/index.html
(二） 下面的这些源端口意味着什么？
　　端口1~1024是保留端口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。参见1.9。
　　常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。
Server Client 服务 描述
　　1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
　　20/tcp 动态 FTP FTP服务器传送文件的端口
　　53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
　　123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播。
　　27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器（IP Masquerade）
黑客教材之2-入侵技术介绍
第一部分 收集信息与探测
收集信息
信息收集其实是非常重要的，当然，你只是一个工具爱好者就不说了。一个真正的入侵者应该非常具有针对性，而不是随便看看。这样就意味着需要收集和目标相关的足够的信息，而且需要判断哪些信息是可利用的。整个网络本身就是由信息构成的。
当然，对入侵有直接用处的是下面这些信息：
1、 相关人的姓名，常用代号，电子邮件地址
2、 网站地址，规模
3、 安全措施等级
4、 相关的开放主机信息
5、 与能接触到的主机的一切相关消息，比如最新BUG等等。（对付网管高手来说，就么跟他比谁的漏洞了解得最新最快）
在这么庞大的互联网上，怎么能够收集到需要的信息呢，这就需要熟悉使用搜索引擎了。我们常用的搜索引擎就是www.google.com 。它简直是无所不能，输入需要查询的内容就能够得到非常多的结果了。熟练使用搜索引擎就等于你可以准备做更多事情了。
当然，还应该去收集一些更加直接的东西，比如域名查询。这就是whois 。再UNIX系统中能够直接使用 whois来查询，WIN就不行，但是可以上网来查。
有这些地方：www.crsnic.net
www.networksolutions.com
www.arin.net
www.uwhois.com/cgi/whois.cgi
美国政府部门：whois.nic.gov/cgi-bin/whois
美国军事部门： whois.nic.mil
等等，只要是域名注册地方都能够使用Whois来查询。
比如：通过 whois.nic.gov查询 “whitehouse.” 后面有一个“.”哦。就能够得到非常多的域名信息，其中第一条就是：

Executive Office of the President (WHITEHOUSE-DOM)
Office of Administration
Washington, DC 20503

Domain Name: WHITEHOUSE.GOV
Status: ACTIVE
Domain Type: Federal

Technical Contact, Administrative Contact:
Reynolds, William D. (WDR)
(202) 395-6975
WILLIAM_D._REYNOLDS@OA.EOP.GOV

Domain servers in listed order:

DNSAUTH1.SYS.GTEI.NET 4.2.49.2
DNSAUTH2.SYS.GTEI.NET 4.2.49.3
DNSAUTH3.SYS.GTEI.NET 4.2.49.4

Record last updated on 28-Aug-00.

通过这些whois能够查询到域名相关的注册信息。其中对我们有帮助的是：
* 注册机构
* 相关ip地址
* 注册人联系办法，比如EMAIL、姓名等
* 有关DNS的解析地址
通过这样的查询，能够制造“域名劫持”的攻击，感兴趣的，可以到搜索引擎自己找找。
当我们确定域名后，就可以进行DNS查询，在*NIX和WIN系统都有一个nslookup的工具。这里，需要知道一些关于DNS的基本知识：
Start of Authority 授权开始 SOA 标记区数据的开始,定义影响整个区的参数
Name Server 名字服务器 NS 标明域的名字服务器
Address 地址 A 转换主机名到地址
Pointer 指针 PTR 转换地址到主机名
Mail Exchange 邮件交换 MX 标明发往给定域名的邮件应传送到的位置
Canonical Name 正规名 CNAME 定义主机名别名
HOST information 主机信息 HINFO 描绘主机硬件和操作系统的信息
Wellknown Service 著名服务 WKS 通告网络服务

现在进入nslookup的交互模式，在命令行输入nslookup。

C:/>nslookup
Default Server: ××××××××××××（我自己的，隐去了，呵呵）
Address: ××××××××××

> cnhonker.net （查询域名）
Server: ××××××××××
Address: ××××××××××

Non-authoritative answer:
Name: cnhonker.net
Addresses: 211.154.211.203, 211.154.211.204 （得到域名的相关地址）

> set type=ns （把查询的类别设置为查询名字服务器）
> cnhonker.net
Server: ××××××××××
Address: ××××××××××

Non-authoritative answer:
cnhonker.net nameserver = ns4.chinadns.com
cnhonker.net nameserver = ns3.chinadns.com
ns4.chinadns.com internet address = 202.108.32.89 （得到名字服务器地址）
ns3.chinadns.com internet address = 202.108.32.88
（这里一个是主名字服务器，一个是次名字服务器）
> server 202.108.32.89 （现在我们把DNS查询的服务器改为目标域名的名字服务器地址，就是替换我上面用××××××××××代替的部分）
Default Server: [202.108.32.89]
Address: 202.108.32.89
> set type=all （设置查询的内容是所有记录）
> ls -d cnhonker.net （显示域名的内容）
[202.108.32.89]
cnhonker.net. SOA ns4.chinadns.com hostmaster.ns4.chinadns.com. (2001
072841 3600 900 720000 3600)
cnhonker.net. NS ns4.chinadns.com
cnhonker.net. NS ns3.chinadns.com
cnhonker.net. MX 10 mail-g1.chinadns.com
cnhonker.net. A 211.154.211.203
cnhonker.net. A 211.154.211.204
admin A 202.108.32.88
news A 210.74.254.146
mysql CNAME mysql-g1.chinadns.com
mail CNAME mail-g1.chinadns.com
www A 211.154.211.203
www A 211.154.211.204
www2 A 61.153.17.3
bbs A 202.108.32.88
ftp CNAME www.cnhonker.net
cnhonker.net. SOA ns4.chinadns.com hostmaster.ns4.chinadns.com. (2001
072841 3600 900 720000 3600)
> exit
我们得到相当多关于这个域名的IP地址等等东西（NND，新网查得这些详细）。Nslookup是一个非常有用的命令，如果需要知道怎么使用，请用?查询。
信息收集还有一些非常多的办法，最可能多获得的地方就是对方的网站了。请留意网页中得下面这些地方：
1、网页上的相关em