| 第一部份 基础知识 一、什么是代理服务器? 代理服务器英文全称是Proxy Server,其功能就是代理网络用户去取得网络信息。形象的说:它是网络信息的中转站。 在一般情况下,我们使用网络浏览器直接去连接其他Internet站点取得网络信息时,需送出Request信号来得到回答,然后对方再把信息以bit方式传送回来。代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,Request信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。而且,大部分代理服务器都具有缓冲的功能,就好象一个大的Cache,它有很大的存储空间,它不断将新取得数据储存到它本机的存储器上,如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的,那么它就不重新从Web服务器取数据,而直接将存储器上的数据传送给用户的浏览器,这样就能显著提高浏览速度和效率。 更重要的是:Proxy Server (代理服务器)是 Internet链路级网关所提供的一种重要的安全功能,它的工作主要在开放系统互联 (OSI) 模型的对话层。 二、代理服务器的分类 1、HTTP代理按匿名功能分类。 是否具有隐藏IP的功能。 非匿名代理:不具有匿名功能。 匿名代理。使用此种代理时,虽然被访问的网站不能知道你的IP地址,但仍然可以知道你在使用代理,有些侦测IP的网页也仍然可以查到你的IP。 高度匿名代理:使用此种代理时,被访问的网站不知道你的IP地址,也不知道你在使用代理进行访问。此种代理的隐藏IP地址的功能最强。 2、按请求信息的安全性分类 全匿名代理:不改变你的request fields(报文),使服务器端看来就像有个真正的客户浏览器在访问它。当然,你的真实IP是隐藏起来的。服务器的网管不会认为你使用了代理。 普通匿名代理:能隐藏你的真实IP,但会更改你的request fields,有可能会被认为使用了代理,但仅仅是可能,一般说来是没问题的。不过不要受它的名字的误导,其安全性可能比全匿名代理更高,有的代理会剥离你的部分信息(就好比防火墙的stealth mode),使服务器端探测不到你的操作系统版本和浏览器版本。 elite代理:匿名隐藏性更高,可隐藏系统及浏览器资料信息等。此种代理安全性特强。 透明代理(简单代理):透明代理的意思是客户端根本不需要知道有代理服务器的存在,它改编你的request fields(报文),并会传送真实IP。注意,加密的透明代理则是属于匿名代理,意思是不用设置使用代理了,例如Garden 2程序。 3、按代理服务器的用途分类 1)Http代理:代理客户机的http访问,主要代理浏览器访问网页,它的端口一般为80、8080、3128等。 2)SSL代理:支持最高128位加密强度的http代理,可以作为访问加密网站的代理。加密网站是指以https://开始的网站。ssl的标准端口为443。 3)HTTP CONNECT代理:允许用户建立TCP连接到任何端口的代理服务器,这种代理不仅可用于HTTP,还包括FTP、IRC、RM流服务等。 4)FTP代理:代理客户机上的ftp软件访问ftp服务器,其端口一般为21、2121。 5)POP3代理:代理客户机上的邮件软件用pop3方式收邮件,其端口一般为110。 6)Telnet代理:能够代理通信机的telnet,用于远程控制,入侵时经常使用。其端口一般为23。 7)Socks代理:是全能代理,就像有很多跳线的转接板,它只是简单地将一端的系统连接到另外一端。支持多种协议,包括http、ftp请求及其它类型的请求。它分socks 4 和socks 5两种类型,socks 4只支持TCP协议而socks 5支持TCP/UDP协议,还支持各种身份验证机制等协议。其标准端口为1080。 socks代理相应的采用socks协议的代理服务器就是SOCKS服务器,是一种通用的代理服务器。Socks是个电路级的底层网关,是DavidKoblas在1990年开发的,此后就一直作为Internet RFC标准的开放标准。Socks不要求应用程序遵循特定的操作系统平台,Socks 代理与应用层代理、 HTTP 层代理不同,Socks代理只是简单地传递数据包,而不必关心是何种应用协议(比如FTP、HTTP和NNTP请求)。所以,Socks代理比其他应用层代理要快得多。它通常绑定在代理服务器的1080端口上。如果您在企业网或校园网上,需要透过防火墙或通过代理服务器访问Internet就可能需要使用SOCKS。一般情况下,对于拨号上网用户都不需要使用它。注意,浏览网页时常用的代理服务器通常是专门的http代理,它和SOCKS是不同的。因此,您能浏览网页不等于您一定可以通过SOCKS访问Internet。 常用的防火墙,或代理软件都支持SOCKS,但需要其管理员打开这一功能。如果您不确信您是否需要SOCKS或是否有SOCKS可用,请与您的网络管理员联系。为了使用socks,您需要了解一下内容: ① SOCKS服务器的IP地址 ② SOCKS服务所在的端口 ③ 这个SOCKS服务是否需要用户认证?如果需要,您要向您的网络管理员申请一个用户和口令 知道了上述信息,您就可以把这些信息填入“网络配置”中,或者在第一次登记时填入,您就可以使用socks代理了。 在实际应用中SOCKS代理可以用作为:电子邮件、新闻组软件、网络传呼ICQ、网络聊天MIRC和使用代理服务器上联众打游戏等等各种游戏应用软件当中。 8)TUNNEL代理:经HTTPTunnet程序转换的数据包封装成http请求(Request)来穿透防火墙,允许利用HTTP服务器做任何TCP可以做的事情,功能相当于Socks5。 9)文献代理:可以用来查询数据库的代理,通过这些代理,可以获得互联网的相关科研学术的数据库资源,例如查询Sciencedirect网站(简称SD)、Academic Press、IEEE,SPRINGER等数据库。 10)教育网代理:指学术教育机构局域网通过特定的代理服务器可使无出国权限或无访问某IP段权限的计算机访问相关资源。 11)跳板代理:应用于跳板程序,可以看作一种具有动态加密的特殊socks5代理,,也可直接用于PSD软件。其端口一般为1813。 12)Ssso代理:代理客户机上的ssso程序访问远程网站,具有SSL加密强度的超级代理,支持socks。 13)Flat代理:代理客户机上的flatsurfer程序访问远程网站,具有高强度加密数据流的特殊代理,支持socks,最大可设置三次级联,可以设置穿越代理。其端口一般为6700。 14)SoftE代理:代理客户机上的SoftEther程序访问远程网站,应用虚拟集线器HUB和虚拟网卡技术,具备VPN功能及多种认证方式的代理,符合https协议。 三、代理服务器的主要功能 代理服务器一般来讲,对于普通的网民的作用有以下几个(撇开一些高深的用处不谈,因为未必会用到): 1、连接Internet与Intranet 充当firewall(防火墙):因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可以设置IP地址过滤,限制内部网对外部的访问权限;另外,两个没有互联的内部网,也可以通过第三方的代理服务器进行互联来交换信息。 2、节省IP开销:如前面所讲,所有用户对外只占用一个IP,所以不必租用过多的IP地址,降低网络的维护成本。这样,局域局内没有与外网相连的众多机器就可以通过内网的一台代理服务器连接到外网,大大减少费用。当然也有它不利的一面,如许多网络黑客通过这种方法隐藏自己的真实IP地址,而逃过监视。 3、通过它来加快我们浏览某些网站的速度:有时候我们访问一些国外或者港台网站,速度慢得像蜗牛一样,但只要你正确的选用代理服务器,速度就可以得到提升,有时候这些速度的提升可是很明显的哦!本身带宽较小,通过带宽较大的proxy与目标主机连接。而且通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,从而达到提高访问速度的目的。 4、通过它,我们可以访问到一些平时不能去的网站:不信你可以马上打开你的浏览器和输入“www.geocities.com”这个网址。怎样?不用看着浏览器在这里空等了,并不是你的网络速度慢,也不是没有这个网站,而是你访问不到它(网络上还有很多这些类型的网站)。为什么访问不到?这个问题嘛......说法有很多种,大部分都说是国内的网络被限制了访问,所以某些网站是不能去的。如果你在以往浏览过程中出现过以上的情况,那么看来你有必要尝试一下使用代理服务器了。 第二部份 搜索和设置 一、寻找代理服务器的常用软件 proxy对于我们这么有用,那么究竟怎样才可以在诺大的网络上找寻这些服务器呢?这就要靠一些专门找寻proxy的软件了,搜索代理服务器的软件很多,下面介绍几款常用软件。 1、Proxy Hunter 这是Proxy搜索软件的老大哥了,自从1.0推出以来,就倍受全国网友热爱,目前我使用的版本是3.1,这个Proxy Hunter有什么特点呢?搜索速度之快,是同类软件之首,同时带有预测搜索任务完成时间的功能,除了教育网外,不限制搜索IP地址范围,同时支持HTTP与SOCKS类Proxy的搜索和验证,具备对已搜索得的Proxy地址进行管理,使用,自动调度,再验证等先进的功能。当有一大堆Proxy,不知用哪个好时,这时你需要自动调度功能,将网络软件的Proxy设置为本机IP(127.0.0.1),端口8080,然后在Proxy Hunter搜索结果列表中将欲使用的Proxy按鼠标右键设为“使用”(Enable),这样Proxy Hunter就会根据当时各Proxy速度的快慢,选择一个或数个使用,很方便吧。 2、Proxy NOW系列 这是由网站自动更新软件Update NOW的作者开发的,由HTTP Proxy NOW、SOCKS Proxy NOW、FTP Proxy NOW三部分组成,顾名思义,功能是分别搜索上述三类Proxy用的,若是能将其合一在一个软件里就好了,Proxy NOW系列的优点是绝对不限制搜索IP范围,但没注册进入时会有延时,不过只有几秒钟,没大碍,搜索速度还可以,算是中规中矩,缺点是功能分散单一,可设置项较少,验证不那么完善。 3、SOCKS Cat 这是专门搜索SOCKS Proxy的,同样不限制搜索IP地址范围,速度也比较快,据作者称,其速度只比Proxy Hunter慢些,不过在验证SOCKS Proxy方面要做得好,同时支持SOCKS4、SOCKS5的Proxy的搜索和验证,支持设置供验证的网页,设置最高连接数等,经实际使用,效果不错,如果能加入对HTTP Proxy的搜索和验证功能可能会更好。 总结:三者以Proxy Hunter为较好,但也不能一棵树吊死,应具体情况具体分析,选择一个适合的来用。 当然,有些搜索经验也应该掌握,搜索Proxy,如大海捞针,不掌握要领,可是要吃大亏的。大规模搜索,效果好,但成本高,耗时长,不值得推荐。经过实践,局部地区震荡IP搜索法较好。例如,你所在地有一大ISP或者是ICP,假设其IP地址为202.96.123.123,这时请以总数1275(255 × 5)为震荡范围,计算出应尝试搜索的范围是202.96.121.0至202.96.125.255,祝你好运!还有连接时间设长一点,以及注意加入以下端口8080(HTTP) 3128(HTTP) 80(HTTP) 1080(SOCKS)这样才不会有漏网之鱼。 二、如何搜索代理服务器? 搜索代理服务器的软件很多,下面以Proxy Hunter为例子,为大家讲解如何搜索proxy。 当你填加完任务后,返回到主界面,按蓝色的开始键,这样ProxyHunter就会开始搜索代理了。现在你需要做的事情就是盯住搜索结果栏和耐心地等待。 服务器地址:这里出现的就是你搜索到的代理服务器的IP。 端口:这个是它所用的端口。 类型:就是这个Proxy的类型。 验证状态:这个最重要,它的状态分几种,上图列出的就是其中几种状态,通常如果成功搜索到这个proxy的话,它会显示为“FREE”,那么你就可以直接使用这个proxy;如果显示为“要密码”的话,基本上你可以把这个proxy删除了,除非你有能力把它的密码破解吧...;要是显示“连接超时”或“连接失败”等其他状态的话,那么可能你现在的网络正处于繁忙状态,也有可能是这个proxy暂时关闭了,你可以隔一段时间再去验证一次。 时间特性:这个数值影响到这个proxy的速度,它显示的是你的机器连接到proxy的时间,如果你有多个proxy供你选择话,那么就选一个相对数值小的一个吧,连接的时间越小就代表这个porxy越快。 经过上一步的搜索,想必你已经搜索到几个“Free”属性的Proxy了吧?! 三、如何设置代理服务器? 那么究竟怎样才可以用这些Proxy呢?其实很简单,大部分软件都有一些软件属性的选项,比如“Setting”和“Preferences”等等。而在这些选项里面通常会有“Proxy”这个选项,你只需要在“Proxy”选项里面填上你搜索出来的Proxy的IP的端口,那么就可以使用这个Proxy了。如果软件是中文的话那么就更加简单,只要在“设置代理服务器”里面填上就ok了。 以浏览器IE6为例: 1、 打开“工具”里面的“Internet选项”。 2、 点选“连接”框。 3、 如果你使用拨号上网的话,那么选择“设置”。如果你是使用局域网的话,那么选择“局域网设置”。 在里面就有“代理服务器”这个设置。先点击“使用代理服务器”,然后在“地址”上填上Proxy的IP,在“端口”填上端口,好了!大功告成! 第三部份 端口分配一览表 端口:0服务:Reserved说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。 端口:1服务:tcpmux说明:显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布时含有几个默认的无密码帐户,如:IP/GUEST UUCP/NUUCP/DEMOS/TUTOR/DIAG/OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 端口:7服务:Echo说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 端口:19服务:Character说明:Generator 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 端口:21服务:FTP说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。 端口:22服务:Ssh说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 端口:23服务:Telnet说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。 端口:25服务:SMTP说明:SMTP服务:器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。 端口:31服务:MSG说明:Authentication 木马Master Paradise、Hackers Paradise开放此端口。 端口:42服务:WINS说明:Replication WINS复制 端口:53服务:Domain说明:Name Server(DNS) DNS服务:器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。 端口:67服务:Bootstrap说明:Protocol Server 通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。 端口:69服务:Trival说明:File Transfer 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。 端口:79服务:Finger说明:Server入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。 端口:80服务:HTTP说明:用于网页浏览。木马Executor开放此端口。 端口:99服务:Metagram说明:Relay后门程序ncx99开放此端口。 端口:102服务:Message说明:transfer agent(MTA)-X.400 over TCP/IP消息传输代理。 端口:109报务:Post说明:Office Protocol -Version3 POP3服务:器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 端口:110服务:SUN公司的RPC服务所有端口说明:常见RPC服务:有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等 端口:113服务:Authentication说明:Service这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务:的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 端口:119服务:Network说明:News Transfer ProtocolNEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 端口:135服务:Location说明:ServiceMicrosoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务:。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口:是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。 端口:137、138、139服务:NETBIOS说明:Name Service其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口,通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。 端口:143服务:Interim说明:Mail Access Protocol v2和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。 端口:161服务:SNMP说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。 端口:177服务:X说明:Display Manager Control Protocol许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 端口:389服务:LDAP、ILS轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 端口:443服务: Https说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。 端口:456服务:[NULL]说明:木马HACKERS PARADISE开放此端口。 端口:513服务:Login,remote说明:login是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。 端口:544服务:[NULL]说明:kerberos kshell 端口:548服务:Macintosh,File说明:Services(AFP/IP) Macintosh,文件服务。 端口:553服务:CORBA说明:IIOP (UDP) 使用cablemodem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。 端口:555服务:DSF说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 端口:568服务:Membership说明:DPA成员资格DPA。 端口:569服务:Membership说明:MSN成员资格MSN。 端口:635服务:mountd说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。 端口:636服务:LDAP说明:SSL(Secure Sockets layer) 端口:666服务:Doom说明:Id Software木马Attack FTP、Satanz Backdoor开放此端口 端口:993服务:IMAP说明:SSL(Secure Sockets layer) 端口:1001服务:[NULL]说明:木马Silencer、WebEx开放1001端口。 端口:1011服务:[NULL]说明:木马Doly Trojan开放1011端口。 端口:1024服务:Reserved说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。 端口:1025、1033服务:1025:network说明:blackjack/1033:[NULL]木马netspy开放这2个端口。 端口:1080服务:SOCKS说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC**时常会看到这种情况。 端口:1170服务:[NULL]说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。 端口:1234、1243、6711、6776服务:[NULL]说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。 端口:1245服务:[NULL]说明:木马Vodoo开放此端口。 端口:1433服务:SQL说明:Microsoft的SQL服务开放的端口。 端口:1492服务:stone-design-1说明:木马FTP99CMP开放此端口。 端口:1500服务:RPC说明:client fixed port session queries RPC客户固定端口会话查询 端口:1503服务:NetMeeting说明:T.120 NetMeeting T.120 端口:1524服务:ingress说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。 端口:1600服务:issd说明:木马Shivka-Burka开放此端口。 端口:1720服务:NetMeeting说明:NetMeeting H.233 call Setup。 端口:1731服务:NetMeeting说明:Audio Call Control NetMeeting音频调用控制。 端口:1807服务:[NULL]说明:木马SpySender开放此端口。 端口:1981服务:[NULL]说明:木马ShockRave开放此端口。 端口:1999服务:cisco说明:identification port 木马BackDoor开放此端口。 端口:2000服务: [NULL]木马GirlFriend 1.3、Millenium 1.0开放此端口。 端口:2001服务:[NULL]说明:木马Millenium 1.0、Trojan Cow开放此端口。 端口:2023服务:xinuexpansion说明:4木马Pass Ripper开放此端口。 端口:2049服务:NFS说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。 端口:2115服务:[NULL]说明:木马Bugs开放此端口。 端口:2140、3150服务:[NULL]说明:木马Deep Throat 1.0/3.0开放此端口。 端口:2500服务:RPC说明:client using a fixed port session replication应用固定端口会话复制的RPC客户 端口:2583服务:[NULL]说明:木马Wincrash 2.0开放此端口。 端口:2801服务: [NULL]木马Phineas Phucker开放此端口。 端口:3024、4092服务:[NULL]说明:木马WinCrash开放此端口。 端口:3128服务:squid说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入**。其他用户也会检验这个端口以确定用户的机器是否支持代理。 端口:3129服务:[NULL]说明:木马Master Paradise开放此端口。 端口:3150服务:[NULL]说明:木马The Invasor开放此端口。 端口:3210、4321服务:[NULL]说明:木马SchoolBus开放此端口。 端口:3333服务:dec-notes说明:木马Prosiak开放此端口。 端口:3389服务:超级终端说明:WINDOWS 2000终端开放此端口。 端口:3700服务:[NULL]说明:木马Portal of Doom开放此端口。 端口:3996、4060服务:[NULL]说明:木马RemoteAnything开放此端口。 端口:4000服务:QQ客户端说明:腾讯QQ客户端开放此端口。 端口:4092服务:[NULL]说明:木马WinCrash开放此端口。 端口:4590服务:[NULL]说明:木马ICQTrojan开放此端口。 端口:5000、5001、5321、50505服务:[NULL]说明:木马blazer5开放5000端口。木马Sockets deroie开放5000、5001、5321、50505端口。 端口:5400、5401、5402服务:[NULL]说明:木马Blade unner开放此端口。 端口:5550服务:[NULL]说明:木马xtcp开放此端口。 端口:5569服务:[NULL]说明:木马Robo-Hack开放此端口。 端口:5632服务:pcAnywere说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。 端口:5742服务:[NULL]说明:木马WinCrash1.03开放此端口。 端口:6400服务:[NULL]说明:木马The tHing开放此端口。 端口:6670、6671服务:[NULL]说明:木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。 端口:6883服务:[NULL]说明:木马DeltaSource开放此端口。 端口:6969服务:[NULL]说明:木马Gatecrasher、Priority开放此端口。 端口:6970服务:RealAudio说明:RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。 端口:7000服务:[NULL]说明:木马Remote Grab开放此端口。 端口:7300、7301、7306、7307、7308服务:[NULL]说明:木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。 端口:7323服务:[NULL]说明:Sygate服务器端。 端口:7626服务:[NULL]说明:木马Giscier开放此端口。 端口:7789服务:[NULL]说明:木马ICKiller开放此端口。 端口:8000服务:OICQ说明:腾讯QQ服务:器端开放此端口。 端口:8010服务:Wingate说明:Wingate代理开放此端口。 端口:8080服务:代理端口说明:WWW代理开放此端口。 端口:9400、9401、9402服务:[NULL]说明:木马Incommand 1.0开放此端口。 端口:9872、9873、9874、9875、10067、10167服务:[NULL]说明:木马Portal of Doom开放此端口。 端口:9989服务:[NULL]说明:木马iNi-Killer开放此端口。 端口:11000服务:[NULL]说明:木马SennaSpy开放此端口。 端口:11223服务:[NULL]说明:木马Progenic trojan开放此端口。 端口:12076、61466服务:[NULL]说明:木马Telecommando开放此端口。 端口:12223服务:[NULL]说明:木马Hack99 KeyLogger开放此端口。 端口:12345、12346服务:[NULL]说明:木马NetBus1.60/1.70、GabanBus开放此端口。 端口:12361服务:[NULL]说明:木马Whack-a-mole开放此端口。 端口:13223服务:PowWow说明:PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。 端口:16969服务:[NULL]说明:木马Priority开放此端口。 端口:17027服务:Conducent说明:这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。 端口:19191服务:[NULL]说明:木马蓝色火焰开放此端口。 端口:20000、20001服务:[NULL]说明:木马Millennium开放此端口。 端口:20034服务:[NULL]说明:木马NetBus Pro开放此端口。 端口:21554服务:[NULL]说明:木马GirlFriend开放此端口。 端口:22222服务:[NULL]说明:木马Prosiak开放此端口。 端口:23456服务:[NULL]说明:木马Evil FTP、Ugly FTP开放此端口。 端口:26274、47262服务:[NULL]说明:木马Delta开放此端口。 端口:27374服务:[NULL]说明:木马Subseven 2.1开放此端口。 端口:30100服务:[NULL]说明:木马NetSphere开放此端口。 端口:30303服务: [NULL]说明: 木马Socket23开放此端口。 端口:30999服务:[NULL]说明:木马Kuang开放此端口。 端口:31337、31338服务:[NULL]说明:木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。 端口:31339服务:[NULL]说明:木马NetSpy DK开放此端口。 端口:31666服务:[NULL]说明:木马BOWhack开放此端口。 端口:33333服务:[NULL]说明:木马Prosiak开放此端口。 端口:34324服务:[NULL]说明:木马Tiny Telnet Server、BigGluck、TN开放此端口。 端口:40412服务:[NULL]说明:木马The Spy开放此端口。 端口:40421、40422、40423、40426服务:[NULL]说明:木马Masters Paradise开放此端口。 端口:43210、54321服务:[NULL]说明:木马SchoolBus 1.0/2.0开放此端口。 端口:44445服务:[NULL]说明:木马Happypig开放此端口。 端口:50766服务:[NULL]说明:木马Fore开放此端口。 端口:53001服务:[NULL]说明:木马Remote Windows Shutdown开放此端口。 端口:65000服务:[NULL]说明:木马Devil 1.03开放此端口。 第四部份 代理之间的级联 对于在教育网和科技网内的朋友,直接从国外下载需要支付高额流量费,或机器不能直接连出国,所以要使用国外的代理,还得先学会用二级代理。有一点需要注意的是:并不是所有的代理都能用作一级代理,只有支持SSL的HTTP代理才行。 二次代理就是两个代理的级联,有很多Proxy Server本来就支持级联,如Winproxy、Wingate,这里只讨论如何使用代理。要用到的一些软件:Sockscap、Httport、MProxy,这几个软件在网上都能很方便的找到。 代理级联一般有http代理和socks代理为基础来进行,常用代理级联大概有以下几种方式: 一、http代理之间的级联 http代理级联可以有多种方式来实现,我说说简单的两种吧。最简单的方法就是使用Mproxy,它支持三级http代理级联,支持输入前两级代理的地址和端口即可,然后就可以使用本地127.0.0.1:888作为代理来访问,不过这个方法的缺陷就是不支持http代理的认证,不能使用需要认证http代理。 另外一种方法使用Httport,其实这个代理功能很强大,现在只是用来http代理间的级联,打开Httport,在proxy页输入第一级http代理的地址和端口,如果需要认证就选择上认证,输入用户名和密码,然后到port mapping页,点击Add按钮,在列表中出现New mapping,然后在RemoteHost里输入第二级http代理的地址,Remote port里输入第二级http代理的端口,local port里输入本地监听的端口,如3128、8080等端口,在Proxy页点start按钮后就可以使用本地127.0.0.1:3128作为代理来访问了,需要注意的是第一级http代理必须支持ssl连接,否则不能级联第二级http代理。 所谓SSL,是指Secure Sockets Layer,是由Netscape公司开发的一套Internet数据安全协议,当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。需要说明的是,虽然你浏览的内容是加密的,不过连接站点在代理服务器上边的是可见的。另外,站点的URL和IP在代理服务器上仍然是可见的。找SSL的代理很简单,可以使用AATools之类的软件,也可以直接用FLASHGAT来验证。 需要补充一点的就是,上面的二次代理可以供别人使用,因为是在本地所有ip上进行监听的,如在你的机器ip是10.9.1.11,本地端口是888,别人能访问10.9.0.11:888作为二次代理使用,这样你就可以与别人共享你的二次代理了,这里介绍的Mproxy不是Multiproxy,Multiproxy是做代理验证和调度用的。 二、socks代理之间的级联 socks代理级联也有几种方式,常用的方法是使用sockscap来实现,在sockscap的Setting对话框中输入socks代理地址、端口,如是socks5还有用户和密码,然后加入可使用socks代理的软件(FREE的SOCKS更好了!!),如IE,在Internet选项里socks里设置二级socks代理的地址和端口,在sockscap里运行IE就可以使用上二次socks代理了,像其他的Flashfxp、Sterm和Leapftp里也一样,在这些软件上设置二级socks代理,然后在sockscap里运行就可以使用二次socks代理了;另外也可以使用SkSockServer来实现,这个软件支持256级socks代理的级联,本身也可以作为socks proxy server来使用,跟mproxy差不多,只要加入各级socks代理地址和端口即可,另外sockschain也是做socks级联的工具。 三、http代理和其他代理的级联 http代理跟别的代理级联,这里用的是上面提到的httport,注意第一级http代理一定要求ssl连接(一定是SSL的代理呀,否则不行的!!),在proxy页输入http代理的地址和端口,然后在 port mapping页加入其他要级联的代理,如telnet代理,在remote host和remoteport里输入分别telnet代理的地址和端口,在local port输入本地监听端口,如23,在proxy页点击start,这样telnet 127.0.0.1 23就是连接到二次代理上,接着输入要远程登录地址和端口即可,级联socks代理也一样,在port mapping页输入二次代理的地址、端口和本地监听端口(如1080),这样你就可以在其他软件上使用127.0.0.1:1080作为二次代理使用了,其他的如ftp、pop3代理也一样这样作为二级代理与http代理级联。 四、socks代理和其他代理的级联 socks代理与其他代理级联,这里介绍的是sockscap,跟上面介绍的一样,在setting对话框里输入socks代理的地址和端口,然后add其他需要用二次代理的软件,如IE,OE和flashfxp等软件,只要在internet选项里输入第二级http和ftp代理的地址和端口,在sockscap里运行IE就能使用二级的http和ftp代理,其他的软件也一样,设置上二级代理在sockscap里运行即可使用二级代理。 五、tlenet代理之间的级联 其实telnet代理之间的级联很简单,以常用的wingate代理为例,当我们telnet到代理时出现Wingate> 的提示,直接输入另外一个telnet代理的地址和端口即可,一般是"ip port",有些代理是"ip:port"(如CSM Proxy Server),输入即可连到二次代理上,在二次代理输入要telnet登录的地址就可以了。 上面介绍了几种常用代理的级联方法,其实就是灵活使用上面的httport、sockscap等几个软件,只要熟练掌握软件的使用,能够玩出很多的花样来,比如跟其它的软件配合使用,至于国外的二次代理,http代理可以到multiproxy的主页上去找,其他代理可以在google上输入free proxy http socks来搜索,最新软件可以到软件的主页获得,最后说一句,学好httport软件的使用大有前途, 对那些只开了http代理,其他端口被封的人大有用处。 注:sockscap的主页 http://www.socks.nec.com/ httport的主页 http://www.htthost.com/ multiproxy的主页 http://www.multiproxy.org/ 1、先找一个国内的SOCKS4或者SOCKS5代理,之所以是国内的,主要是避免国际流量。同时,教育网内的用户还要注意的,不同学校定义的免费流量IP段是不同的,为了保护你免遭巨额流量费,一定要确认该FREE的SOCKS代理是免费的!!! 2、运行SOCKSCAP——文件——设置——填入代理(区分SOCKS4和SOCKS5) 3、添加:新建——浏览——你要运行的软件(如IE)——确定。 记住,每次要运行软件,只有从SCOKSCAP里面运行才生效! 第五部份 具体日常应用 一、怎样使用代理访问被屏蔽掉的网站 由于某些原因,中国电信把一些国外网站屏蔽掉了,所有国内用户不能访问,还有一些国外的网站禁止中国的IP访问,解决方法就是使用国外的代理服务器。但是教育网用户不能访问国外网站,所有国外的代理也不能为之使用,是否我们便无能为力了呢?不,我们可以参照下面二次代理的使用方法解决。 1.去Download一个Sockscap32,在设置中填好Socks代理服务器地址。 2.将浏览器的快捷方式拖到SocksCap32的空白框中。 联网后,先启动Sockscap32。再在浏览器中填上国外代理服务器的地址,在SocksCap32中运行浏览器即可。 二、如何通过代理使用FoxMail收信 可以使用sockscap32解决。前提:有一个好用的Socks代理,通过一个可以访问的Socks代理(Socks5或者Sock4代理),将FoxMail的快捷方式拖到SocksCap32的空白框中,你的Foxmail即可以畅通无阻了。同样的 方法也适用于Cterm、Sterm等Telnet软件访问教育网内的各大BBS站点,加快速度,而又能隐藏真实IP地址等等。有时会出现不能解析服务器地址的现象,可以先使用ping pop.mail.yahoo.com命令,然后把解析到的IP地址填入Foxmal的POP3服务器选项。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-29 11:36 , Processed in 0.219934 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
