电脑端口设置
04月 5th, 2008
不是什么问题。
难道你 数据不经过路由器直接收么?
原来整理过这东西,帖在这里“
现在天网流行了。一是因为国产,大家有这个热情,二则功用确实不错。三是大家安全意识高了一些。
但有的人天网一开,就觉得百毒不侵了,想法极端。有人开了天网往往黄色的惊叹号闪个不停。一个兄弟电脑重新启动了几次,以为是黑客攻击,就担心的叫我去看,说被攻击了。其实不是什么事,正常的防火墙拦截信息而已。
可能有很多兄弟也都会对这有疑问的。我仅以我所知解释一些疑问。希望对大家有用。
天网的日志一般有三行:
第一行:数据包发送(接受)时间/发送者ip地址/对方通讯端口/数据包类型/本机通讯端口
第二行:为tcp数据包的标志位,共有六位标志位,分别是:urg、ack、psh、rst、syn、fin,天网在显示标志位时取这六个标志位的第一个字母即a代表ask、s代表syn等 ,其中标志位a、s和f较常用。
ack:确认标志 提示远端系统已经成功接收所有数据
syn:同步标志 该标志仅在建立tcp连接时有效,它提示tcp连接的服务端检查序列编号
fin:结束标志 带有该标志位的数据包用来结束一个tcp会话,但对应端口还处于开放状态,准备接收后续数据。
rst:复位标志,具体作用未知。
第三行:对数据包的处理方法:不符合规则的数据包会拦截或拒绝,显示为:“该操作被拒绝”,即防火墙拦截了!因此对方不能确定你在线否!
【⑴】:最常见的:尝试用ping来探测本机
在防火墙规则里设置“防止别人用ping命令探测主机”,你的电脑就不会返回给对方icmp包,这样别人就无法用ping命令探测你的电脑的存在。这种情况只是简单的ping命令探测,如:ping 210.29.14.130就会出现如下日志:
[11:13:35] 接收到 210.29.14.136 的 icmp 数据包,
类型: 8 , 代码: 0,
该包被拦截。
这条日志出现的频率很高。igmp的全称是internet组管理协议,它是ip协议的扩展,主要用于ip主机向它邻近主机通知组成员身份。通常出现这条日志并不表明电脑受到攻击,不过黑客可以通过编写攻击程序,利用windows本身的bug,采用特殊格式数据包向目标电脑发动攻击,使被攻击电脑的操作系统蓝屏、死机。蓝屏炸弹一般用的就是igmp协议。
一般形成igmp攻击时,会在日志中显示为大量来自于同一ip地址的igmp数据包。不过,有时收到这样的提示信息也并不一定是黑客或病毒在攻击,在局域网中也会常收到来自网关的类似数据包。
另外:你的机子安装了许多自动在线升级的软件,如瑞星、kv、windows自动更新、木马克星、魔法兔子等等软件,当这些软件的提供商即服务器,他要升级这些软件时,他在检查他的客户端发出升级指令,这个检查客户的过程就是ping客户。这点被多好朋友忽视。这是是善意的ping 。
也有另一种ping信息日志:
[14:00:24] 210.29.14.130 尝试用ping来探测本机,
该操作被拒绝。
这种情况一般是扫描器探测主机,主要目的是探测远程主机是否连网!
如果偶尔一两条没什么,但如果显示有n个来自同一ip地址的记录,很有可能是别人用黑客工具探测你主机信息或者因为病毒了。如:
[14:00:24] 210.29.14.45 尝试用ping来探测本机,
该操作被拒绝。
[14:01:09] 210.29.14.132 尝试用ping来探测本机,
该操作被拒绝。
[14:01:20] 210.29.14.85 尝试用ping 来探测本机,
该操作被拒绝。
[14:01:20] 210.29.14.68 尝试用ping 来探测本机,
该操作被拒绝。
若不是黑客所为,那这些机器一般是感染了冲击波类病毒。感染了“冲击波杀手”的机器会通过ping网内其他机器的方式来寻找rpc漏洞,一旦发现,即把病毒传播到这些机器上。感染局域网传染病毒的机器也会自动发送信息,这样的情况就要注意先打冲击波补丁,并且查毒。我中了v-king。但同网的就是不杀毒不理会。我只好每天不和他们同时上网。
【⑵】:一些常见端口信息日志
[16:47:24] 60.31.133.146试图连接本机的135端口,
tcp标志:s,
该操作被拒绝。
同上,是利用rpc服务漏洞的冲击波类的蠕虫病毒,该病毒主要攻击手段就是扫描计算机的135端口进行攻击。更新微软的补丁还是必要的。
[20:01:36] 218.8.124.230试图连接本机的netbios-ssn[139]端口,
tcp标志:s,
该操作被拒绝。
特征:某一ip连续多次连接本机的netbios-ssn[139]端口,表现为时间间隔短,连接频繁
139端口是netbios协议所使用的端口,在安装了tcp/ip 协议的同时,netbios 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过netbios知道你的电脑中的一切!netbios是网络的输入输出系统,尽管现在tcp/ip 协议成为广泛使用的传输协议,但是netbios提供的netbeui 协议在局域网中还在被广泛使用。对于连接到互联网上的机器,netbios完全没有用处,可以将它去掉。不会吗?自己查
[16:47:35] 60.31.135.195试图连接本机的cifs[445]端口,
tcp标志:s,
该操作被拒绝。
开了445端口,在局域网中轻松访问各种共享文件夹或共享打印机,但正因为有了它,别有用心者才有了可乘之机
smb: windows协议族,用于文件和打印共享服务。
nbt: 使用137(udp), 138(udp) and 139 (tcp)来实现基于tcp/ip的netbios网际互联。
在nbt上面,有smb基础报文头部。smb可以直接运行于tcp之上而无须nbt
在windows nt中smb基于nbt实现。 而在winxp中,smb除了基于nbt的实现,还有直接通过445端口实现。 当winxp(允许nbt)作为client来连接smb服务器时,它会同时尝试连接139和445端口,如果445端口有响应,那么就发送rst包给139端口断开连接,以455端口通讯来继续.当445端口无响应时,才使用139端口。
135端口是用来提供rpc通信服务的,445和139端口一样,是用来提供文件和打印机共享服务的。正常情况,局域网的机器共享和传输文件(139端口。连接你的135和445端口的机器本身应该是被动地发数据包,或者也有可能是正常的、非病毒的连接——虽然这个可能性比较小。既然如此,那当然也可能是利用聊的人扫描ip段,这个也是常见的,初学黑客技术都这样,十足的狂扫迷,但往往什么也没得到,这种人应该好好看看
tcp/ip协议原理。
前面说了,局域网传播病毒会ping局域网机器,那有漏洞的主机当然躲不过端口连接,连接135端口的是冲击波(worm.blaster)病毒,尝试用ping来探测本机也属于此,这种135端口的探测一般是局域网传播,现象为同一个ip不断连接本机135端口,此时远程主机没打冲击波补丁,蠕虫不断扫描同一ip段(这个是我自己的观点,冲击波的广域网和局域网传播方式估计不同吧,欢迎指正!)
某一ip连续多次连接本机的netbios-ssn[139]端口,表现为时间间隔短,连接频繁。此时日志中所列计算机感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点,它们会搜寻局域网内一切可用的共享资源,并会将病毒复制到取得完全控制权限的共享文件夹内,以达到病毒传播之目的。这种人应该同情下,好好杀毒吧!
[12:37:57] 192.168.177.16试图连接本机的试图连接本机的http[80]端口,
tcp标志:s,
该操作被拒绝。
一般上网的用户都有这种情况,网站服务器的回显等等啊,出现一两个这样的报警没关系的。
如果你安装了iis来建立自己的个人网站,开放了web服务,即会开放80端口。因此黑客扫描判断你是否开放了web服务,寻找相应的漏洞来进行入侵。一般我们所遇到的大都是别人的扫描行为,不需要过于担心了。
如果经常收到来自外部ip高端口(大于1024)发起的类似tcp的连接请求,你得小心对方电脑是否中了“红色代码”,并试图攻击你(也有可能是人为使用软件攻击)。由于此病毒只传染装有iis服务的系统,所以普通用户不需担心。
若发现本机试图访问其他主机的80端口,则应检查自己系统中是否有此病毒了。
[9:04:18] 218.2.140.13试图连接本机的ftp open server【21】端口,
tcp标志:s,
该操作被拒绝。
这个也分两种,一种是有人想探测你的主机是不是开放了21端口,想看看共享资源;另一种是用扫描器扫ip段的ftp服务端口,一般没什么恶意。21端口是ftp服务所开放的端口,导致这条记录出现的大部分原因是一些网虫在使用ftp搜索软件看哪些电脑开放了ftp,以寻求软件、电影的下载。
[23:08:34] 221.208.47.102试图连接本机的wingate[1080]端口,
tcp标志:s,
该操作被拒绝。
这个是有人扫描ip段中的代理服务器,一般代理服务器默认端口常见的如wingate[1080],ccproxy[808,1080]等等,也没什么关系。
[18:58:37] 10.186.210.96试图连接本机的blazer 5[5000]端口,
tcp标志:s,
该操作被拒绝。
系统因素:blazer 5[5000]端口是winxp的服务器端口,windowsxp默认启动的 upnp服务,没有病毒木马也是打开的,大家看到的报警一般属于这种情况,因为本地或远程主机的5000端口服务异常,导致不断连接5000端口。
木马因素:有些木马也开放此端口,如木马blazer5开放5000端口,木马sockets de roie开放5000、5001、5321端口等!
[19:55:55] 接收到 218.18.95.163 的 udp 数据包,
本机端口: 1214 ,
对方端口: oicq server[8000]
该包被拦截。
[19:55:56] 接收到 202.104.129.254 的 udp 数据包,
本机端口: 4001 ,
对方端口: oicq server[8000]
该包被拦截。
腾讯qq服务器端开放的就是8000端口.一般是qq服务器的问题,因为接受不到本地的客户响应包,而请求不断连接,还有一种可能就是主机通过qq服务器转发消息,但服务器发给对方的请求没到达,就不断连接响应了(tcp连续三次握手出错了,我是这么认为的,我研究不深,具体没找到权威资料,可能说的不对,欢迎指正)
[7:49:36] 接收到 64.74.133.9 的 udp 数据包,
本机端口: 33438 ,
对方端口: 10903
该包被拦截。
这种情况一般是游戏开放的服务端口,一般范围在27910~~27961,因此来自这一端口范围的udp包或发送到这一端口范围的udp包通常是游戏
。爱好游戏的朋友会收到类似的端口连接。比如启动cs后创建了两个端口44405和55557。奇迹服务器好象是55960和55962端口。
[18:34:16] 接收到 210.29.14.86 的 udp 数据包,
本机端口: 6884 ,
对方端口: 6881
该包被拦截。
这个是bt服务端口(6881~~6889),每个bt线程占用一个端口,据说只能开9个,但有时候防火墙报警,原因是防火墙过滤了这些端口。开放这些端口或关闭防火墙才能用bt。多说几句,何大哥有时候喜欢整几个限制下载的软件,因此楼上的不能用bt,因为他的电脑做主机限制了这些端口,不能使其bt端口全部打开。解决方法:端口映射,换默认端口!
一般高端端口没有什么好担心的,这是有人在用扫ip的软件在扫ip地址而正好扫到你的ip地址段,此类软件对被攻击主机的不同端口发送tcp或udp连接请求,探测被攻击对象运行的服务类型。特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。所以天网防火会报警,而且会拦截对方的ip,如果实在太烦,你可以把你的那个端口关掉。
【⑶】:日志记录的攻击性记录
常见的有洪水攻击syn flood、udp flood、icmp flood和stream flood等大流量ddos的攻击。
syn flood洪水攻击:
[11:13:55] 接收到210.29.14.130的syn flood攻击,
该操作被拒绝。
igmp数据包攻击:
[23:11:48] 接收到210.29.14.130的igmp数据包
该包被拦截
[23:11:48] 接收到210.29.14.130的igmp数据包
该包被拦截
这是日志中最常见最普遍的攻击形式。igmp(internet group management protocol)是用于组播的一种协议,实际上是对windows的用户是没什么用途的,但由于windows中存在igmp漏洞,当向安装有windows 9x操作系统的机子发送长度和数量较大的igmp数据包时,会导致系统tcp/ip栈崩溃,系统直接蓝屏或死机,这就是所谓的igmp攻击。在标志中表现为大量来自同一ip的igmp数据包。一般在自定义ip规则里已经设定了该规则,只要选中就可以了。
碰到这种情况可以分两种:一种是你得罪他了,和你有仇;另一种就是攻击者吃饱了撑的或是一个破坏狂,这种人一般就一个人住,做点坏事也没别人知道的。品格有点小恙,遇到了,多注意点吧。
【⑷】真正想入侵的日志这样的,应该注意:
[11:13:55] 219.130.135.151试图连接本机的3389端口,
tcp标志:s,
该操作被拒绝。
这种应该引起重视,3389这么恐怖的事情都来,菜鸟的最爱。
[11:13:55] 210.29.14.130试图连接本机的1433端口,
tcp标志:s,
该操作被拒绝。
远程溢出,溢出的system32就可以做cmd在你电脑上起作用,你整个电脑就在对方控制中了。
[11:13:55] 210.29.14.130试图连接本机的23端口,
tcp标志:s,
该操作被拒绝。
[11:13:55] 210.29.14.130试图连接本机的4899端口,
tcp标志:s,
该操作被拒绝。
以上两个不知道自己去网上查。
[5:49:55] 61.114.78.110 试图连接本机的7626端口
tcp标志:s
该操作被拒绝
冰河木马的端口,黑客迷们的最爱
[11:13:55] 210.29.14.130试图连接本机6267端口,
tcp标志:s,
该操作被拒绝。
广外女生木马的默认端口,很经典的一个国产木马
[11:13:55] 210.29.14.130试图连接本机5328端口,
tcp标志:s,
该操作被拒绝。
风雪木马的默认端口
这几条记录就要注意一下,假如你没有中木马,也就没有打7626这几个端口,当然没什么事。而木马如果已植入你的机子,你已中了木马,木马程序自动打开这几个端口,迎接远方黑客的到来并控制你的机子。但你装了防火墙以后,一般即使你中了木马,该操作也会被禁止,黑客拿你也没办法。但这是常见的木马,防火墙会给出相应的木马名称,而对于不常见的木马,天网只会给出连接端口号,这时就得靠你的经验和资料来分析该端口的是和哪种木马相关联,从而判断对方的企图,并采取相应措施,封了那个端口。
另外还有一些:
[6:14:20] 192.168.0.110 的【1294】端口停止对本机发送数据包
tcp标志:f a
继续下一规则
[6:14:20] 本机应答192.168.0.110的【1294】端口
tcp标志:a
继续下一规则
从上面两条规则看就知道发送数据包的机子是局域网里的机子,而且本机也做出了应答,因此说明此条数据的传输是符合规则的。为何有此记录,那是你在天网防火墙规则中选了“tcp数据包监视”,这样通过tcp传输的数据包都会被记录下来,所以大家没必要以为有新的记录就是人家在攻击你,上面的日志是正常的,别怕!udp监视查找ip可以利用这个道理。
补充一个非天网相关的问题,也是楼上田大哥提出来的:关机时出现提示“有1用户已登入到你的计算机,\***,是否切断与他的联系”
一、你中了木马,当木马的服务器(黑客)发出指令ping所有客户端,如果你的防火墙好就被拦截了,出现“[16:39:29] 218.74.?.? 尝试用ping 来探测本机,该操作被拒绝”的情况,没有防火墙,只有杀毒软件,就被入侵了,关机时出现“有1用户已登入到你的计算机\***,是否切断与他的联系”的情况。
关于如何防范,不想长篇大论了!网上资料也很多的。写这些东西也不是为菜鸟解颐,因为想学习的人是不会等着别人的总结的。个人能力有限啊,遗漏之处以后再整理添加。qq:191395024 e-mail:hundan5ji@163.com
天网使用教程:http://www.goldwing-c.com/soft/day-meshwork/day-network/4.htm,愿意且有空可以看看,其实自己多摸索就足够了。动手比看教程好。
标签:虚拟主机下载, 虚拟主机程序, 主机板相关日志
This entry was posted on 星期六, 04月 5th, 2008 at 1:53 am and is filed under ASP主机. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.