【TechTarget中国原创】在分析防火墙日志或者IDS警告的时候,可能会碰到不熟悉的资源或者目的端口。分析过程的下一步是确定哪些服务正在使用哪些端口,这样就能决定网络是否存在风险。
识别并开始监控网络端口的最简单的方法是查看每个现代的TCP/IP堆栈的服务文件。就是在Windows系统下的C:\WINDOWS\SYSTEM32\DRIVERS\ETC\SERVICES(提示:可以使用记事本来查看或编辑文件——只需双击它,然后从列表中选择记事本),或者大部分Unix版本下的/etc/services。Windows的“find”或者Unix的“grep”可以快速搜索到这些文件。通常在默认服务文件中找不到端口,因为他们只列出可以得到的网络端口和服务的很少的子集。然后就该使用Web了:
- 互联网端口数据库是带有Web和DNS界面的网络端口的大型数据库,和一个可以用于替换或者补充主要的服务文件的刻下在uber-services文件。这个站点从来都没让我失望过。
- SANS Institute有大量的安全信息,包括(有点儿陈旧的)一般特洛伊使用的端口列表。
- DoSHelp.com有相似的列表。
- Nmap的列表包含2200个端口。
- Internet Assigned Numbers Authority (IANA) listing中提供了指定端口数量的确定资源。这里的关键词是“指定”。破解者不能为他们的恶意项目记录端口数,而且用户可以为了安全,通过不明的物质或者防火墙把服务移动到不同的端口。
一旦你发现了使用可疑端口的服务,不要做任何假设。首先。它真的是看起来那样吗?还是有人改变了端口数?有些端口通常用于不止一种服务,那么哪个是它呢?这种服务是环境允许的吗?应该有它吗?下面的工作可以帮助发现到底发生了什么。
- Foundstone有一个叫做fpor的命令行功能,而SysInternals有一个叫做TCPView的GUI项目。这两个工具可以 向你显示你的Window电脑上打开的Tcp和UDP端口,以及使用它们的项目和程序。这些项目出现在简单的ZIP文件中,你可以解压、使用,然后删除它们——不需要安装。
- 在Unix上,只要使用‘netstat -anp | less’或者更好一点,使用‘lsof -Pni’。lsof (LiSt Open Files)和Linux分布在一起,虽然它通常不是默认安装的。和名字显示的一样,它可以把打开的文件列表,但是因为Unix中的所有都是文件,这个工具要做的比名字中显示的多得多。我高度推荐使用它。
- Nmap最近增加了服务和网络端口扫描器。还有些其他的工作也可以作这些工作,但是Nmap可能是最好最简的。它还在Winsows上运行。和通常一样,在你编写可以这么做的许可前,一点不要端口扫面任何东西。
如果其他的都失败了,试一试Google搜索,但是不要对你的发现作过多的设想。目的是为了验证你的环境中发生了什么——为什么你收到了警告,为什么这个日志会产生,它是恶性的还是良性的。你要比Web上的任何人都了解你的网络。