安全知识：解读防火墙日志记录

　　如今个人防火墙已经越来越多的应用于用户的计算机上，但您真的可以驾驭您的防火墙吗？它的性能可以被用户最大限度的发挥出来吗？本文将详细介绍个人防火墙的日志的详细信息，有效保护用户的计算机。cs.Phontol.com

　　一、目标端口

　　所有穿过防火墙的通讯都是连接的一个部分。cs.Phontol.com一个连接包含一对相互“交谈”的IP地址以及一对与IP地址对应的端口。cs.Phontol.com目标端口通常意味着正被连接的某种服务。cs.Phontol.com当防火墙阻挡（block）某个连接时，它会将目标端口“记录在案”。cs.Phontol.com

　　端口可分为3大类：

　　1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。cs.Phontol.com通常这些端口的通讯明确表明了某种服务的协议。cs.Phontol.com例如：80端口实际上总是HTTP通讯。cs.Phontol.com

　　2） 注册端口（Registered Ports）：从1024到49151.它们松散地绑定于一些服务。cs.Phontol.com也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。cs.Phontol.com例如：许多系统处理动态端口从1024左右开始。cs.Phontol.com

　　3） 动态和/私有端口（Dynamic/Private Ports）：从49152到65535.理论上，不应为服务分配这些端口。cs.Phontol.com实际上，机器通常从1024起分配动态端口。cs.Phontol.com但也有例外：SUN的RPC端口从32768开始。cs.Phontol.com

　　从哪里获得更全面的端口信息：

　　1.ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers

　　"Assigned Numbers" RFC，端口分配的官方来源。cs.Phontol.com

　　2.http://advice.networkice.com/advice/Exploits/Ports/

　　端口数据库，包含许多系统弱点的端口。cs.Phontol.com

　　3./etc/services

　　UNIX 系统中文件/etc/services包含通常使用的UNIX端口分配列表。cs.Phontol.comWindows NT中该文件位于%systemroot%/system32/drivers/etc/services.

　　4.http://www.con.wesleyan.edu/~triemer/network/docservs.html

　　特定的协议与端口。cs.Phontol.com

　　5.http://www.chebucto.ns.ca/~rakerman/trojan-port-table.html

　　描述了许多端口。cs.Phontol.com

　　二、通常对防火墙的TCP/UDP端口扫描有哪些？

　　0 通常用于分析操作系统。cs.Phontol.com这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。cs.Phontol.com一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。cs.Phontol.com

　　1 tcpmux 这显示有人在寻找SGI Irix机器。cs.Phontol.comIrix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。cs.Phontol.comIris机器在发布时含有几个缺省的无密码的帐户，如lp， guest， uucp， nuucp， demos， tutor， diag， EZsetup， OutOfBox， 和4Dgifts.许多管理员安装后忘记删除这些帐户。cs.Phontol.com因此Hacker们在Internet上搜索tcpmux并利用这些帐户。cs.Phontol.com

　　7 Echo 你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。cs.Phontol.com

　　常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个机器的UDP数据包，而两个机器分别以它们最快的方式回应这些数据包；另一种东西是由DoubleClick在词端口建立的TCP连接。cs.Phontol.com有一种产品叫做“Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。cs.Phontol.com

　　Harvest/squid cache将从3130端口发送UDP echo：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply.”这将会产生许多这类数据包。cs.Phontol.com