|
|
从0到33600端口详解
: d* q' c7 t$ R) U9 s, K 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
+ I% P6 N* E# F) s, m* iModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
0 a$ E8 D0 W8 p$ R! I+ U0 e! [4 w。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如
0 x+ f/ Z6 p: F5 D* D) p5 i用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的7 ^) N, E; ]) d1 r$ ?- S
端口。
# F& N/ y+ a& `3 R 查看端口 * m2 m2 w9 l. d6 x8 Q
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:0 v& x7 a4 Z+ k6 _- M
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
& p+ c+ ?' e% k a0 m态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端- ]8 B4 I3 R P' w9 L
口号及状态。 ; D) U/ u" G E$ k6 @( V& \
关闭/开启端口
( n$ j2 Z+ ]# `! f 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认
. N( p* b) a5 d I* B' k的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
- Y) H% v4 | u2 y服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
0 \! Y* s" v9 k1 l可以通过下面的方 法来关闭/开启端口。 9 \9 d% Z, e) H; g5 W7 o1 K# ^
关闭端口& b% F. C. J4 b, v
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”$ f& o9 m2 k6 j+ X
,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
& z7 R2 h. @* GMail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动" p f9 j" Q K+ ~8 q: \; T x
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关: n Z: Y% X7 h* H' l: M7 t
闭了对应的端口。
5 F. k5 j' ?* k" { 开启端口
- N8 a2 F& {* X) M6 ?7 Y! P 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
. ?0 d7 V( S8 @2 L2 X# v- { ^服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
+ T; ]2 J3 }, r8 G8 |& P。- U; S0 G: `: q+ e( j9 m
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开% \* _5 d: q8 J# I0 c* k+ a
启端口。5 V1 g. y" c5 W! `& X
端口分类 * [& ]) b) ~( r, W. a9 n
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: 5 ~2 f2 x5 Y9 l
1. 按端口号分布划分
+ c9 ~) ~2 ` @6 I, z3 {' I' X (1)知名端口(Well-Known Ports)
% j! l8 R/ t* |. ~ 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
- }: l# f# U) t% n1 d! U比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
% ^, R0 A/ u/ g4 v# u+ c' V; eHTTP服务,135端口分配给RPC(远程过程调用)服务等等。
i6 a2 u4 Y2 F (2)动态端口(Dynamic Ports)+ C1 Q1 t8 Y2 a' y! p K
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许! c) d* g9 j; ~% p/ X3 L/ ]
多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以/ X- C1 |( |* S. x8 H/ I
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的
* e+ ? I" v9 n$ G q% S: d程序。在关闭程序进程后,就会释放所占用 的端口号。+ ~9 ]; V, r5 D$ M/ r
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
( L/ t7 ]3 b f; N7 p6 f' y8011、Netspy 3.0是7306、YAI病毒是1024等等。
( H! x" h4 G/ v! T# ^3 w' ] 2. 按协议类型划分
$ L7 _6 k) i! f$ E' l4 O' V 按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下
; j. z4 I& {9 H% a; P; r' ~( m: [面主要介绍TCP和UDP端口:
1 t' x& m' A# k% k (1)TCP端口
; I7 L( K4 k# ~+ t TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可! R2 o# n- ^1 A8 {/ o
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以9 U$ v- H4 n0 c% b8 k
及HTTP服务的80端口等等。& ~1 S& s# }4 |6 O5 l6 U" W' z
(2)UDP端口
2 |7 z% R; I7 i: X s) e UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到
9 t% n! e7 J- q% X3 v7 x+ G保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
& B, [/ K: l8 z- s s2 _2 |: X3 j, z8000和4000端口等等。$ w0 C4 z/ L( {* X+ C
常见网络端口. E7 U- Z' n$ G) a
网络基础知识端口对照
7 t; z) R# O f7 ~ 端口:0 % S5 P! S. ^$ f. W# ~
服务:Reserved 9 M! r' \7 E1 d) x/ x: [" K
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当9 b# r5 Y7 a' s8 P3 F
你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
. \, K! T1 ~, E. j- d0.0.0.0,设置ACK位并在以太网层广播。
0 m2 u) n; K/ n4 L% { 端口:1
/ z: I* R; A0 ] E( q服务:tcpmux
' ?) @4 V- n t% V说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下: N \4 ?1 V1 D4 j4 r1 j
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
& o8 g7 m# ]# U6 b4 V& HGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这
$ k5 B. @; w; H' z些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。 , K) N/ X7 `5 O2 ~" l- N
端口:7
0 K" F" |' _3 ~ |- c服务:Echo ! F, ]8 s/ s) |; a+ t" a
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
* N: Q: J$ ]3 v/ K/ x 端口:19
6 S# W; q1 X+ a1 a服务:Character Generator " o8 P3 W$ a9 H0 R
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。- [0 @6 }& X9 c( [2 f! L7 i
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击2 O0 [- r0 N( A6 p8 H9 Q
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一5 ^) @' d+ ?% D2 X8 R7 c
个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
# Z9 e* I! \5 x) P* m; O 端口:21 1 [: b' }( H! G6 R0 I
服务:FTP
# P! O/ k) ?) Y" }+ u说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous& ~) v; H, b. K
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
! K; W7 t; l4 h9 T8 DFTP、WebEx、WinCrash和Blade Runner所开放的端口。
7 e/ V j3 q$ e6 ?; t, p 端口:22
( M, c0 z; ?$ A! [服务:Ssh ' [& l- k% g' C
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,
& w t6 I& i; m1 G如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
) A" h) R7 W7 `* }9 S) ^ 端口:23 " e! x3 l) D" z' U3 M4 V
服务:Telnet ( q7 c8 D5 J: q: V( C$ j
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
. {7 [* Q5 b& t0 o' I& B7 E( \到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
: L {- g6 R8 Q8 r) @. Z" Q( o MServer就开放这个端口。 ) b7 M" m, g& V4 v
端口:25
9 B0 t y6 S8 `) P: A% e) M服务:SMTP
) q+ u# O& {4 M- `% ?% ^说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
5 L0 @2 y# V0 C J. g) W4 HSPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递
" N4 K5 E% ]1 ], H7 c- _1 a到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
: a/ ^ P) L0 N+ O" ^; i、WinPC、WinSpy都开放这个端口。
! g4 t# q6 h+ m/ s# n J" K 端口:31 + w& d0 X/ l2 H+ l% R
服务:MSG Authentication
) ?7 t' C1 h5 R3 I2 {; h说明:木马Master Paradise、HackersParadise开放此端口。 + m" O" ~4 O6 z" d, r L( m
端口:42 * f. W! t c' R& L
服务:WINS Replication
4 t" d- m8 W' |, o! V/ B+ p- }/ y# m说明:WINS复制
0 [: F5 [# |! S" R5 s1 a0 _3 P 端口:53 * P. f m! i+ b1 [9 p0 K
服务:Domain Name Server(DNS) w( s6 p; J+ f5 l/ p. P. {
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP); q- q: x6 h' z3 N
或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
( n" b2 S J# r: ^; C( X 端口:67 # ~8 Q' J& |( t) i
服务:Bootstrap Protocol Server ' k8 e1 q! l3 T3 |
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据
+ h9 O2 B+ b% Z$ w: u, j2 A。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局8 h' v. n% t% t& P# I
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器
5 }$ @: z6 s: x( _' T% c向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。" @3 Z% `, M5 v$ h6 {& s
端口:69 ?: P* p# o! d1 h8 s& y
服务:Trival File Transfer
2 ~0 Z+ D, A" H: t4 @说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于# j& D' \; _) F
错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 2 ?/ |5 ~* C1 K( ~
端口:79
$ P: n, j) E6 k: G2 `7 L! f6 [服务:Finger Server - O o: Q' E) K( s6 z. Q
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己 h' v" |8 t! ~& v( A
机器到其他机器Finger扫描。 + G$ n7 @+ D- Z! C( w/ X3 ?; s% F
端口:80 $ U3 o9 Y: `6 r
服务:HTTP
/ c( @8 H% `7 C' H7 J说明:用于网页浏览。木马Executor开放此端口。
3 y2 _2 h) Y3 I 端口:99 4 a2 q/ i! z" e+ |7 e' b+ c' Y
服务:Metagram Relay
% t/ m4 F' |2 _说明:后门程序ncx99开放此端口。
+ y2 ?5 c: i! K6 M0 b$ ^# h 端口:102
% J1 q9 y4 h [$ |. j服务:Message transfer agent(MTA)-X.400 overTCP/IP
d F( D: ~; ~* {说明:消息传输代理。 9 j1 a8 a1 T2 ^! d) d% n
端口:109
" T4 C- f) N2 y/ `4 K服务:Post Office Protocol -Version3
" c" L q$ _# S7 i) d* J' p说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务' n4 ~+ c( u% P) S8 ]* C" v
有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者7 f9 c# x% ^. o) q, l3 w
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
( H+ I/ n$ N5 ^' Q/ J 端口:110
. B4 J4 X3 W0 ^5 Q/ p服务:SUN公司的RPC服务所有端口 # _: R3 D2 R. o+ q
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
* Z/ j% r) Z- b: l% X 端口:113
. B/ R2 ^6 u8 r! m3 m. j服务:Authentication Service
3 Z- r8 [$ t, U说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
! X+ B" n* ?% J3 s+ F以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP
! |4 u7 Y+ { I, `0 Z$ |和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接
, z# X, n' E$ a2 {" Z请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
2 U, M5 Y" Y/ B% Z3 [1 m9 r: ^: d。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 + Y* i3 d& L* q1 O6 g
端口:119 " r, X: s/ K! O2 u* I
服务:Network News Transfer Protocol
4 n' R' q M1 U; u5 O说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
' f+ [$ g2 P( n3 g* [+ V务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将
4 Y+ C! I. n8 N允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
( w% [5 y' r9 Y, Y2 R0 ? 端口:135
: |3 A6 g0 n& J% i3 U1 V+ _6 A服务:Location Service # s3 O; Z9 ^5 S9 ?4 B7 ^
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111/ m9 H0 Y5 q- l( l& ?, ~
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
+ g$ `/ d* n* x6 ]。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算4 f/ t8 C# L8 B
机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击4 Q; ~8 m( n" q2 n4 P! k, t
直接针对这个端口。 7 q: {4 s6 n9 q+ f* y+ a% s H. q2 `
端口:137、138、139 9 _6 X# t# {( a- ~: A. b: Z
服务:NETBIOS Name Service % Z" }2 s/ ^" W6 [% q& o8 p% G+ g( a
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过- Q0 N- R5 L H0 b2 ]( C
这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享1 P0 h! X: M6 M+ Y/ o7 f
和SAMBA。还有WINS Regisrtation也用它。 " I3 f3 {* s) u! f/ C
端口:143
1 f+ W I8 r$ w% h* G0 W5 R( C服务:Interim Mail Access Protocol v2
$ B, T. L, W# K- m- ? T; O( X* p说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕
6 |& d' ^9 {: L3 }% C! {0 E虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
+ E- b* a5 a2 ^' X) j$ L6 W用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
; d: s1 W/ B0 I还被用于 IMAP2,但并不流行。 - p& B- W0 v; V( I5 V$ Z- ?
端口:161 % V# |. m d$ ^& D
服务:SNMP
7 T( }1 f y5 p' Z: v说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这8 n' l! U6 C/ k a
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码$ }2 q" E- I- {" a [* {
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用
& J* {4 Q* G: ?$ N5 ~8 h: Z户的网络。
- }- ]1 ?' D$ W 端口:177 3 s$ y$ B; v: D5 @5 A. L: S
服务:X Display Manager Control Protocol 5 I6 v$ B6 x4 o) M; a1 r' Z
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
% u/ m$ J$ b# f$ U* |, z
6 Z" @- G& {8 i 端口:389
0 { W& p) m! d服务:LDAP、ILS
) U: w. G+ f, X0 @说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
5 ?1 U4 |3 _% S/ o) Z" S" j- K 端口:443
# t' A. m3 N1 `6 f- `) _) P/ ^服务:Https 6 Z6 }' o4 d5 S0 d2 I% F
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
# U" k' z" Y, w2 Z 端口:456
" e! ]: Y( J5 ~% Z) i3 W服务:[NULL]
0 L3 E6 x+ n) s说明:木马HACKERS PARADISE开放此端口。
$ R+ P2 l; ]. ?; }/ H1 \ 端口:513 % f, R1 c7 O" Q/ t }5 b) Q
服务:Login,remote login
+ l( E4 m7 y; e2 O8 p: u2 _说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者7 t. w, x9 t& a$ Y1 R
进入他们的系统提供了信息。 . b) A7 q# G2 I. ~3 V/ F
端口:544
3 l8 H9 q* x9 t8 ^/ A" z* |* j5 i服务:[NULL] 6 H$ I- x, v$ w) I9 d
说明:kerberos kshell 4 Q1 s- P- m( } V- H8 s" x' ~2 j! h& \
端口:548 4 b9 @' l+ [' w, Z- y
服务:Macintosh,File Services(AFP/IP)
Y) ]& q& O# M: B- k/ L( M. ]' h说明:Macintosh,文件服务。
1 `% Q- C! b" `: |& S 端口:553
" U3 F. B6 J$ N8 w服务:CORBA IIOP (UDP) ! W! w+ p# o; r' [7 I& H
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC. D% \' |, c+ e- b
系统。入侵者可以利用这些信息进入系统。
) [' A3 _4 c" P) G' m3 }$ ? 端口:555 4 R$ b. L7 E5 q, k9 c
服务:DSF
1 |8 ^* U: i1 @$ L8 P: r- a& E: v说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 2 i/ D( y, h& T3 G) ]( T6 [9 _
端口:568 , t0 z% k: c4 {6 J8 N" J% ]
服务:Membership DPA
. Q( d7 Z1 X$ _9 ]) M! @说明:成员资格 DPA。
% y$ C K+ b0 [: Y3 Q$ n2 N" B 端口:569 - _) E- k, p$ ^. ]1 Y1 Q
服务:Membership MSN 5 D7 c8 C- i2 _4 Y; u1 f
说明:成员资格 MSN。
7 q" q i' j, C; }9 `6 } 端口:635
! y7 M* U+ i4 O9 P8 v1 J+ p0 d服务:mountd ' b# B& e) ` j, @ J
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的% { u# P# z. s9 C: _2 C& `2 ?
,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任2 W3 e8 B. a! R! @1 \3 `/ U" }
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就& i8 ~1 j: K2 Q# G
像NFS通常运行于 2049端口。
! G0 \$ ~3 @; _/ [( ]# C 端口:636
& o' D# H! y- _$ u7 W服务:LDAP 3 [5 `+ L* \% X; o
说明:SSL(Secure Sockets layer) - O8 ]0 G+ i# O
端口:666
- o9 Y1 ~9 e. a/ A$ r+ ?服务:Doom Id Software # F! A% h% W$ }: \* e# Z/ b9 h+ h) C/ |4 ?
说明:木马Attack FTP、Satanz Backdoor开放此端口 / {) a1 `- y; T, S0 X
端口:993
1 s8 S6 A3 g4 N8 W! W服务:IMAP
( K- Q- I& i0 q0 A5 \3 Q7 Q" {; C1 u5 }说明:SSL(Secure Sockets layer)
& {9 n+ d6 I% a 端口:1001、1011
9 t8 L) @3 Q- x: u/ u服务:[NULL]
6 w+ W! E6 v% o' @( ~说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 ( Z+ Y h# o3 _
端口:1024
t* _; V" u9 X6 ^2 U服务:Reserved
. W. n' o0 P" g' E! z- M说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
$ d# V" @6 F% s' p# ?" A分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的5 H, a# S0 Z1 X# s% o7 l6 B
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看7 d) J* {* Z4 T) [; K
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。: ~3 }$ ~+ \% @# h/ a
端口:1025、1033 9 j6 O! c% Y* }% W# l
服务:1025:network blackjack 1033:[NULL] 9 I- Q8 n: K# V+ B, x4 k. z: H
说明:木马netspy开放这2个端口。 4 j% f* H" W8 `0 \8 z
端口:1080 X/ N% c8 {) O$ d
服务:SOCKS
' N0 l% V: B- r0 u) n+ l% D' [8 ]说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET. _- P. d$ a" r" Y6 |
。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于
u( ]% d0 q* D% X! H' K* J' E防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这1 t6 m' s" Q3 m
种情 况。
2 e2 w, s: r: p# s1 k 端口:1170
0 q! o2 K5 @5 Z& T6 W, }服务:[NULL] * q! ]- Y( t! P, ^* n; {3 w
说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。
8 V( b2 Y# a" Y4 G* v 端口:1234、1243、6711、6776 * S' r0 }. P8 m2 O
服务:[NULL]
( w# H% }7 U+ }' n, u9 A说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放3 l0 F5 Y9 V, h9 `. X- N+ k
1243、6711、6776端口。 2 m9 x- z5 }/ a0 f4 B+ J
端口:1245 ' L2 |5 b+ w' t' t0 }& T" G
服务:[NULL] % b0 d1 a/ Q5 ], @7 D) f# U
说明:木马Vodoo开放此端口。 " L( c: R# x9 h
端口:1433 # g# q7 ^- Q( c }+ a
服务:SQL
1 [. Y1 S( Y0 y1 ^6 d说明:Microsoft的SQL服务开放的端口。
! W$ S( p( }+ ^5 Q 端口:1492
3 B: l W5 W; a! b服务:stone-design-1
8 Y. A6 n/ ]! L/ M" |7 e/ z说明:木马FTP99CMP开放此端口。 3 U9 ^* T4 o7 z+ v8 r
端口:1500 3 j) j; P4 o8 j* M* x# y5 u; @& v
服务:RPC client fixed port session queries
9 H3 h1 D3 X; h+ c% F$ C2 ?说明:RPC客户固定端口会话查询
( ^2 X# C! t, ~: j1 K$ M, ~ 端口:1503
& T& L( T# ~' r7 n# C" R) }服务:NetMeeting T.120
1 E. Y+ I9 J7 {+ d说明:NetMeeting T.120& _8 O/ _4 |0 B2 O M7 Q" B
端口:1524 5 u8 f) k: I+ L9 M6 ]$ c( C
服务:ingress ' M8 s" c( a& H' B
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC5 |) m+ j0 s5 h; p
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
! y) Q9 Z$ l% _" L' @$ R# d" s; o。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到5 a9 N. Z( X. r$ n; l9 t9 @
600/pcserver也存在这个问题。
9 G( \( p8 o. h" X/ ?6 s常见网络端口(补全)
# ]1 B/ I5 v1 x: ]6 v 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广+ P; A. g4 h& H/ u+ U: G
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进
& f5 G1 v& O! {, u: y0 c* R入系统。
( b9 e. t" T, d; O8 M+ I: J% x 600 Pcserver backdoor 请查看1524端口。 ! K% C; ?+ Q) W; b- n1 g' o' v( d
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--9 W( M/ z. _, Y `3 _5 b
Alan J. Rosenthal., S' N! t) T/ i9 e9 {
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口
; S0 i5 U$ A- a9 i的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
: |* Y7 t. i+ o$ e' o4 cmountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默 k- C% k m: S; a" \/ v- K$ m: w
认为635端口,就象NFS通常 运行于2049端口。
0 J- }1 G0 i% _; P# v6 ` 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
# a# r' l/ a' j O; @' y口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口
5 a6 @$ G4 E- w9 c1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
7 O: K+ }# [ `+ T( X一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
- H8 T+ B: O8 ^& u; ]Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变
! X" S4 B3 Z- g9 k大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。
; H" c* h+ _* K. | 1025,1026 参见1024# b3 q: T, ?. }9 K( V9 `" z3 P# s" t6 {
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址! O4 S" i$ k+ Q- Y* x1 v5 y0 R" C
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置," a/ Z k+ ^2 i0 Q. F J, Z' H
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
) b/ p |5 M* JInternet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防: M8 b* d" r: V' s) B0 C4 `: ^1 w& n
火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
1 s% G! K& ?0 r4 D& S2 H3 p' g 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。* u& M, w3 J( H! w8 n
1 e8 R7 C2 s' V4 X
1243 Sub-7木马(TCP)
7 `2 s: P8 d* X 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针1 @4 f* P# g8 G7 w* l& z
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
/ \. ]" r: I- n2 ^0 k* z装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到% q }2 V. m6 c% E* L) B, G( a
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
) B5 P: h" u3 f7 F) f题。
p4 k) t/ t( Y* C2 W 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
( ]5 C4 q1 u; e \- Q) s个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开$ E% Y7 {. y1 G; X% F' i2 W; ^
portmapper直接测试这个端口。8 _+ n" I3 Y, u; e2 M' f, }2 E
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
* N ~ E4 b! N1 [- O- N) S) i一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
! n5 k0 l8 b0 f' m8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服
4 V4 f7 Z& X! Q7 t8 [务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
% \, l! R7 Q& M; Y2 a 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开& {% \( k- ^, m5 b, p4 G
pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy): i! C# Y# ^% |$ A3 `
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
6 T0 s7 C9 N- s- ~' G. Z寻pcAnywere的扫描常包含端 口22的UDP数据包。/ Q& l) K" h5 E
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如5 @& }* ?9 ~- e) k; o
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一" ~$ | L* z1 L. G+ Z# K9 X9 m
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
$ C: v1 `2 x6 P告这一端口的连接企图时,并不表示你已被Sub-7控制。), T$ S! n: a& {; P" l
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
* V+ n& ?8 ^8 |# o( C0 t是由TCP7070端口外向控制连接设置的。
5 O( G- y. O! I 13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天) F, _: D, p8 f! J9 I
的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
0 ]' J- A7 h) V2 u。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”1 J# A3 L3 f8 ?% P0 z
了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
# D/ r8 L! u& k. H7 n; V+ c: I为其连接企图的前四个字节。
# D9 w7 X" }1 u3 X* r 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
+ x0 f: I' e. J. y+ ]* T" u"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
" }" M9 j) {2 b8 c种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本
7 C9 H* U' X3 c: o2 J身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
) e, a& I8 O' O3 v) u: p机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;
3 e& C9 K8 S R5 Q# f216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts, h. n! V: [2 A5 y, q
使用的Radiate是否也有这种现象)$ b0 }# ?( a4 `1 ]
27374 Sub-7木马(TCP)
7 q, |2 V, h" K. j5 _ 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。1 C. ^0 @5 X$ t- a$ N# E- ]
31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法! x/ @7 f1 P# X; o5 B
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最8 L! ?/ F: _4 E# j- @
有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
' z5 b$ w7 N8 n, i; O# {2 C; }越少,其它的木马程序越来越流行。3 B, A1 C! N0 |
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
) b6 A0 [6 P$ w9 o3 C4 ?' `+ y( Z KRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
7 d9 J! O m; n317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传9 d4 m2 Y0 C2 I9 ^
输连接) z* W( d; u2 U9 J
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的; j' ~% j: l0 b8 T
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
3 z+ H5 Q7 `0 N* j* OHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了$ a5 k. M' U* T5 \# K5 L& \
寻找可被攻击的已知的 RPC服务。9 Q* H5 P0 G" {" M8 U# _
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内7 T" S* a" X g, g- O$ P
)则可能是由于traceroute。
$ |/ X- I: O* s$ hps:6 Y3 e9 e. \. m O
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
4 m! }6 e1 j! I7 Q7 i+ d5 Gwindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出0 w4 {, A3 x; J2 `' N
端口与进程的对应来。
8 ^$ E. C& p m# S% Z9 X1 z |
|
发表于 2012-2-16 14:00:57
