“反身”端口数值为53而不是21。老版本的BIND使用“反身”端口用于特殊操作，新版本BIND则不再使用它，因此，经常看到这个信息会让我们睁大怀疑的眼睛。
相关文章链接
"网管知识 网吧的技术漏洞应如何封杀？
网络安全管理走出十字路口

　　以上3种数据与标准synscan产生的数据有很多相似出，因此可以初步推断产生它的工具或者是synscan的不同版本，或者是其他基于synscan代码的工具。显然，前面定义的特征已经不能将这个“变脸”识别出来，因为3个特征子项已经面目全非。这时，我们可以采取三种方法：

　　再单独创建一个匹配这些内容的特殊特征。

　　调整我们的探测目标，只关注普通的异常行为，而不是特殊的异常行为，创建识别普通异常行为的通用特征。

　　1和2都创建，既全面撒网，也重点垂钓，真实的罪犯必抓，可疑的分子也别跑。

　　通用特征可以创建如下：

　　没有设置确认标志，但是确认数值却非0的TCP数据包。

　　只设置了SYN和FIN标志的TCP数据包。

　　初始TCP窗口尺寸低于一定数值的TCP数据包。

　　使用以上的通用特征，上面提到过的两种异常数据包都可以有效地识别出来。看来，网大好捞鱼啊。

　　当然，如果需要更加详细地探测，再在这些通用特征的基础上添加一些个性数据就可以创建出一个特殊特征来。还是那个观点，创建什么样的特征、创建哪些特征，取决于实际需求，实践是检测创建何种特征的唯一标准吗！

更多天网防火墙使用技巧和教程 点击进入天网防火墙软件门户
使用中出现问题不知道怎么解决？去天网防火墙软件社区 求助吧