每天电脑的天网防火墙都要记录N多关于接到7777端口UDP数据包的报告,虽说好像不影响电脑的使用,可本人一直很是纳闷,到底是什么回事呢?于是就baidu和google了一下,总算是基本上弄明白了怎么回事,原来都是PPlive搞的怪。
在BitUnion上和BitFx上好像看到有人讨论过,看到大家好像没讨论出什么结果,所以就把我看到的文字总结了一下,希望还在纳闷的同学看后不再纳闷,还有,如果这就是最近网络变慢的原因的话,希望相关人士能够找到解决的办法,是禁用PPlive呢还是等等之类的对策。
首先进行一下7777端口UDP数据包产生源头可能性分析,有几个可能:
1、源IP地址机器正在试图通过7777端口连接Tini木马;
2、当有新机器连入局域网后会通过UDP7777端口枚举网内计算机,这和Computer Browser服务有关;
3、有人在用PPLive看电视,PPLive会每10S以7777为源端口与目的端口向同网段的用户广播UDP数据包。
4、其它原因。
求解及验证:1、把7777端口的UDP数据包联想到Tini木马上去,实际是对TCP与UDP端口的混淆不清。因为与Tini木马对应的telnet程序用的是TCP7777端口,而不是UDP7777端口。如此排除了有黑客尝试用7777端口连接Tini木马的可能性。以下是我在实验室另外一台电脑尝试用telnet连接我的电脑的7777端口时我的电脑天网log:
| 引用: |
[22:23:56] 10.2.26.159试图连接本机的7777端口,
TCP标志:S,
该操作被拒绝。
[22:23:59] 10.2.26.159试图连接本机的7777端口,
TCP标志:S,
该操作被拒绝。
[22:24:05] 10.2.26.159试图连接本机的7777端口,
TCP标志:S,
该操作被拒绝。 |
|
PS:远程登录程序tini.exe介绍:tini是一款在同类软件中非常优秀的后门程序,说它优秀是由于它的体积只有3K,而且没有木马的特性,只是利用Windows本身的服务。如果你的电脑被安装执行tini之后,tini会监听7777端口,黑客就可以用telnet远程登录连接到你的电脑的7777端口,利用DOS命令控制你的电脑。如果你怕你被安装了tini木马了,你可以用搜索功能找一下tini.exe,如果找到了,Delete就ok了。
2、通过查看自己电脑上的天网log文件,发现如果有7777端口的UPD数据包报告,那么同一个源IP大概在9,10,11秒会有一个UDP7777端口的数据包发给我的电脑。如此基本上可以确定是PPlive的PE.exe的原因了。为了进一步验证,我打开同一试验室的另外一台电脑的PPlive程序,此电脑的IP为10.2.26.159,然后回头查看自己电脑上的天网事件,呵呵,有7777端口UDP数据包报告;过去关闭PPlive,回来,呵呵,没有7777端口UDP数据包报告出现了。到此已经可以确定是PPlive产生了7777端口UDP数据包了。以下一段Log:
| 引用: |
[21:56:18] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。
[21:56:28] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。
[21:56:38] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。
[21:56:48] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。
[21:56:58] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。
[21:57:08] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。
[21:57:18] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。
[21:57:28] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。
[21:57:38] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。
[21:57:48] 接收到 10.2.26.159 的 UDP 数据包,
本机端口: 7777 ,
对方端口: 7777
该包被拦截。 |
|
3、关于当有新机器连入局域网后会通过UDP7777端口枚举网内计算机这个问题,本人不太清楚,也不太好做实验,所以放弃了。不过有一点是可以肯定的,Compute Browser服务不会每隔10s枚举一次,据此可以排除这个可能性。
4、在确定PPlive的PE.exe的原因之后,并不能确定所有的7777端口UDP数据包都源于此。但如果是每10s一次的数据包,本人认为其他可能性应该不大,没有人会无聊到模拟PE.exe这个动作吧,当然不排除有程序在这个动作上和PE.exe巧合的可能性。
探讨:| 引用: |
Originally posted by danielwtx at 2006-4-21 02:12 PM:
难道是因为网络安全比赛开始了?这层住了好多9系的兄弟... |
|
| 引用: |
Originally posted by lawsherman at 2006-4-21 02:30 PM:
UDP Flood会将整个网段都弄崩溃的
所以我提议把那个人揪出来打一顿...... |
|
这是BitUnion上“7777端口遭到攻击”的回复引用,这也是导致我去弄清整个事情的原因。呵呵,我觉得特别好玩的是
lawsherman的回复,其实我想咱们当中应该没有太多人在研究怎么黑别人的电脑这些技术,当我们的电脑受到某一电脑攻击时,多半是源电脑中毒了。废话,突然发现怎么自己说起地球人都知道了的东西了。
说点正经的:
1、PE.exe这种每10s广播一次是否会导致UDP数据包洪流结果导致网络阻塞,最后导致现在校园网如此之慢,本人就没什么想法了,希望专业学习网络通信的高手进行一下分析,如果结果是yes,那么给学校的网络中心反映反映情况,希望他们能制定出对策,就此让我们的网络不要再么蜗牛。
2、如果使用天网的同学烦这个7777端口UDP数据包拦截记录与警告,可以加一条UDP规则:拦截UDP7777端口数据包(发送接收都拦截),但不记录不警告。记得添加后要点击一下保存按钮啊,天网有点傻,不会自动保存规则。PS:用PPlive的同学就不要加这条规则了,好像说加了这条规则,pplive就不能正常使用了。
如果还想了解更多可以自己上baidu,google以“7777 UDP数据包 PPlive”为关键词搜索一下。