|
|
从0到33600端口详解
- C& k& e. E/ j6 N# V/ d. E 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL- j6 `8 _, P A5 u# J- p
Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
1 N. @' E" _# B7 D7 x。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如
: V2 e- ]9 ]9 d! D' R用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的% Z' \9 H& Q) x
端口。
' e4 F6 Y( s# r5 ~) N R' [$ ] 查看端口 - a. [; g2 a) F3 E" k7 C9 M v
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:
4 g4 G7 U3 T1 f2 p5 s 依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
' R" E+ P! ]' u# A+ @态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
8 Y) g" q1 u. Z: c口号及状态。
' S7 I4 K" ^" ]. j* q$ X 关闭/开启端口% [0 k' V! f& t, \" z
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认
+ r& ?# ~8 h- H4 g4 t; U9 ?7 w的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
# H; ]% {, c% ]$ x5 F5 |- H服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们" j7 p% @( F9 m* z9 G) l% v
可以通过下面的方 法来关闭/开启端口。 7 C& l' [7 j4 ]* D. b0 t
关闭端口
3 ~9 Y2 u' f' {9 B! E 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
4 N. U- `# _5 L! j" E) y,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
1 t- K- J/ r: y* ~1 qMail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动1 a4 O% J, Q& v. }6 w: v
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关
5 r7 W, A: N& C- w闭了对应的端口。
1 H* h1 X, q6 u4 C$ g7 Z* q0 {7 o9 W 开启端口
. g( l8 `" f4 n: v7 ^. i+ K% } 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
0 r+ B' a1 b" A' Q3 Q% C服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可. U* u' ~) k) q! s4 Y
。
& l) j* D8 U7 P0 g" H 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
) x& P: q: V/ {# _. ~" o& r# u启端口。
. V9 h8 ]" b) N: H# U- \( ]3 `+ v 端口分类 ( ^ J$ o* s R" h
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
) K# d( ?: t, G/ H* S$ K* M 1. 按端口号分布划分 / C0 X- [6 p$ |6 h
(1)知名端口(Well-Known Ports)
) X: H" M5 n* r( k 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
- {: l" c6 d/ k比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给1 e' k1 u1 F8 h' j$ G9 b
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。
1 _3 T& E0 B( f! C# L9 T (2)动态端口(Dynamic Ports)
9 [6 O' W' J& @. S 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
& l5 N% g1 u6 t$ p多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以
: V$ _* p+ n8 [从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的/ J# A6 y; a8 c$ Z. B
程序。在关闭程序进程后,就会释放所占用 的端口号。
1 B3 u! s, n. ^' w i1 M 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
0 V5 \3 s; `. e2 `- E3 p8011、Netspy 3.0是7306、YAI病毒是1024等等。
( m$ T* e. W0 t% N: k/ x# o 2. 按协议类型划分
% z& u# Z% \0 t' m 按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下
7 T* N9 r2 C+ R; n面主要介绍TCP和UDP端口:' x% a4 o) Z- n7 y0 F
(1)TCP端口2 n1 f2 P4 y0 Q
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
) ~6 S. O% m1 b+ Z靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以1 o) H! A' `+ X s/ U" A; n
及HTTP服务的80端口等等。+ {; z! D& h5 m6 J
(2)UDP端口
* D5 J% I# g# {" B* F UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到! S9 @: B! t" n1 u5 Q
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
* c. _* ]0 ^1 w0 P7 m& [5 Y8000和4000端口等等。% v* a! O% m+ h) M2 z2 k3 U
常见网络端口
7 c" h* } {5 ~6 b: {. ?7 _ 网络基础知识端口对照 . L9 b( l" E: _
端口:0 5 P$ D2 K" s! Z% d5 b1 E: T
服务:Reserved
2 [) u V- N- T说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
" w# k2 G( _: L; ^# x5 q2 x你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
# K5 |7 v y) W* ~. P0 ^- @8 A( |0.0.0.0,设置ACK位并在以太网层广播。
5 e; [ a0 V2 S* m" T 端口:1
. |/ P G: g5 w7 u4 b' M2 u服务:tcpmux
_" A H% c% g8 b3 D$ @: \说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
8 s" h# G4 z1 K/ P" |$ I$ ?tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、6 W3 U `6 V. ^# w0 a
GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这
* q0 `9 Q( C9 v$ I些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。 * [# k8 B* q' X- B" G5 x5 F
端口:7
- f, a# ~3 W2 _9 J7 c; C& U: \/ A% V服务:Echo . r6 ~5 K% G: y! ?6 v
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
/ e @( G- U V! Z2 U 端口:19 ! E! l' ^, L3 t- s8 E
服务:Character Generator * K( B1 w/ w$ w# f; b) e
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。, y/ v& K& u1 ]# u" J& E/ k
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击4 m! _" o" d& T9 D* j$ A5 [/ x
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
5 ^7 d2 F3 b5 Y; I7 G C; x个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
$ h! \& H$ |: X5 x' Q+ c 端口:21 , F* O7 w5 R& S* ?6 H: k( ]
服务:FTP
( ` w; m1 B' x* D' p7 D6 @+ \说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
/ M) @7 ?: K5 k% _的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
/ h* w: ?. E' u- kFTP、WebEx、WinCrash和Blade Runner所开放的端口。
6 |. e" W5 _4 P9 l9 U4 l 端口:22
8 \# q6 E' S, D3 K4 `! j, i2 Z6 P( U服务:Ssh
$ M5 _9 L& D+ ]9 v说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,
4 p; c/ W5 K0 C Y) A1 N; g4 p; ?如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
7 w: {/ W' Z* ?; J 端口:23 & H4 A3 B: C; f+ {" G3 }
服务:Telnet
5 o) w" R. C) U* a, m说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找5 E+ E% Y- H9 X, R( a1 ^7 x* N7 [$ v
到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet; b4 |- p$ b9 ?
Server就开放这个端口。 . S0 Y$ J( k/ V, r: G: {! G
端口:25
. `9 W3 I4 e$ s+ r* q) ?' P服务:SMTP
/ I' i! z; o( \说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的: r2 k; }8 Q* | n
SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递( t- E L* {3 j5 A7 W! ~- G# J8 s3 c
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
' {6 s$ V- x5 Z2 t+ W* t2 x6 S、WinPC、WinSpy都开放这个端口。
- s+ v2 Q) n6 S+ \1 Y 端口:31
: D! G# ~7 o5 ^$ V3 Z% \1 `) T& F服务:MSG Authentication 9 q6 m1 M- |& Q7 r, m: ^3 s
说明:木马Master Paradise、HackersParadise开放此端口。
, l3 O3 X$ R# y' M# T! l 端口:42 / i; x+ X4 U" u) m2 \% W4 V* E
服务:WINS Replication
2 p) W& w {! B$ _说明:WINS复制 4 S# T9 F! h8 r/ x! m V6 s
端口:53 5 L' N9 g: v, `3 x7 k- o5 P
服务:Domain Name Server(DNS) 3 b, Q. K; [; z' a" c% f
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
' b% P$ _$ L2 O4 t或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
( l4 e) `4 Z* @6 N) f 端口:67
; x7 b) k. a. I服务:Bootstrap Protocol Server
: U8 \/ J& l1 G说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据
+ o! ?! a7 t. q9 R。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局; w: H9 S3 K( A# r
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器
) {, _) S5 V4 _2 T向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。" _$ y" Z$ u9 }2 M
端口:69
# c; O7 e. `* E/ |$ z服务:Trival File Transfer
b3 |- [; m1 }5 }+ K说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于7 C1 q) ?' N' g& }
错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
( a1 ^* I. M0 F: Z 端口:79 5 x" v1 w' ^( b- F/ i
服务:Finger Server
1 E A9 _& E# O说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己
8 J6 M9 A2 }" {7 O/ ]! k机器到其他机器Finger扫描。 & L4 l3 @" N# {! D- m. _
端口:80 : ~; Y g! t1 v' l; F
服务:HTTP
6 |! p! K$ P6 N说明:用于网页浏览。木马Executor开放此端口。
! j! w! s [+ f0 z9 h" x: F- { 端口:99
- r$ C& d' P+ Q6 z9 n7 ^; B4 Z2 O: h服务:Metagram Relay
, e* p" G) o0 k说明:后门程序ncx99开放此端口。
8 S* u( g( y0 l& g' } 端口:102 - y- j+ ]7 @1 c( {5 p8 s. ^
服务:Message transfer agent(MTA)-X.400 overTCP/IP / s# C" B2 d1 }' c" m
说明:消息传输代理。 7 D# @! x+ u( ?3 ^6 @
端口:109 2 T! T* I2 s+ y# ^2 S7 W
服务:Post Office Protocol -Version3
4 P+ t* Y( y8 N* X3 f/ L7 g说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
0 |! L- c) Z4 G( k1 X' k P8 u有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
( O+ x( j9 e. [$ p2 d/ A可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 ! l0 {8 q8 O' {3 n4 A! E: d
端口:110
$ ]" B9 |) X/ p3 B服务:SUN公司的RPC服务所有端口
" u Y. [$ d* E0 ~2 l6 D说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
' i) H: I% Q: J# ^0 q 端口:113
: b, D. k/ l3 s0 q9 e( S服务:Authentication Service * G! Q0 b! X' n( u' a4 f& K
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可0 O6 Y1 D$ ^3 v0 _2 a. \
以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP" u2 _0 m* I6 o s8 a7 i" d& Y
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接0 n9 R. T. c" N: }) w: C7 e5 D; V
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接& z6 t) _0 l3 J) `/ S, u
。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
! l$ f7 Y8 f, F( d* Z, h 端口:119
2 ?4 u0 |/ E7 L2 X服务:Network News Transfer Protocol
% D# [3 {% y5 c k说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服$ c5 `5 P d3 a
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将5 y! ^# r$ b. ~. Q" d4 }9 {
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
7 @2 Z: H( d. r0 v( r" C" u" U 端口:135 ; i* h+ z7 p- ?: b4 e* F
服务:Location Service 0 l. b8 {' B% w2 Y" {1 H
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX1112 j j! `; E" G8 i2 z) C/ k$ K
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置9 O. z& G0 W7 v, ?
。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算3 Z0 X% T% v1 k
机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
; {& e+ k/ }. E; Z; k直接针对这个端口。 . U* r: y$ r0 Y
端口:137、138、139
3 n: g+ B: L4 W% z x/ `服务:NETBIOS Name Service
' S: ^! ?) d! } G& `说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
6 P/ B( ], f( `4 T这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
: y Z+ ^) }( U" E7 W6 Y/ D2 d和SAMBA。还有WINS Regisrtation也用它。
' G1 K7 W0 q( s 端口:143 : G7 U' a1 k' T0 z
服务:Interim Mail Access Protocol v2 + F* f, N, Z" _6 q
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕
6 D# D6 a* F8 S Y( [) F5 ?! O虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的! y5 \& z% a& V; D5 e8 I8 U
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
* |" u" r& {* m( }还被用于 IMAP2,但并不流行。
# U" O' c, O* o& w0 p2 J 端口:161 + w/ e0 x+ O) |' o3 ?5 f
服务:SNMP 7 h, _. H9 ~8 y5 N8 ? Q' Q
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
" C# T" `1 U/ g- F4 K1 Y些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码6 a4 C' o7 G8 ^3 x/ _
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用
; ~4 ^' n8 v V& s7 a户的网络。
% }1 }1 U7 _/ d3 a0 F1 C 端口:177
& W" @3 r4 _5 r服务:X Display Manager Control Protocol ! E9 Y" p) o# {' g1 b9 s7 q9 f
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
; z6 A: G/ r/ `+ F
) f( f( h6 J' Q5 {) }! } 端口:389
( Q( W) R( Y- U' Q9 Z服务:LDAP、ILS + G) V) ?2 i. a- s$ r5 z. [
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 ) J" ^7 X3 T% M, y' q
端口:443
4 G: I* U0 V4 ]" R服务:Https
5 q4 t# e- H$ L4 L说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
. ?3 K3 @' T0 |% ]. H5 x6 z 端口:456
3 p: G1 Y9 N/ @0 ?+ c服务:[NULL]
J. s& c/ L5 M" w: C说明:木马HACKERS PARADISE开放此端口。
- v) v1 @5 {0 F/ {+ _ 端口:513
8 L9 J+ u, C# Y6 M8 m4 |; h) T服务:Login,remote login
6 h* \3 O a, \* ] }说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
4 W6 Y+ O: A; U4 _% h进入他们的系统提供了信息。 - C) g) Y. _( w( z; v! w
端口:544
% P- O. m5 L, ~服务:[NULL]
- X5 w8 v3 z, W9 K& V* H: S; E5 F- c说明:kerberos kshell . l$ i* u B- I( ?
端口:548
1 C' K+ h& W, E服务:Macintosh,File Services(AFP/IP) ) ^4 L% e7 D3 p2 ~9 o% N; j
说明:Macintosh,文件服务。 ) ?+ J. {- \( o9 a) m
端口:553 ' y/ ]2 I$ C" n- ~. X5 r" [) K
服务:CORBA IIOP (UDP)
4 g# j$ g* {( n I1 B% G/ J说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
4 ^9 f. C+ v' j- V系统。入侵者可以利用这些信息进入系统。
9 R3 t' ~- X! D& }$ ]7 ? 端口:555 4 m' |$ K9 J% d" v2 v1 a. V
服务:DSF : w" N* p& Y. U! {
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
9 i6 S" L; S, H+ S P 端口:568 % a) @* ^ b# j: a
服务:Membership DPA
) S4 [ Q! a4 `0 Z3 [# c- C9 W说明:成员资格 DPA。
1 K$ x- `# Y* |0 `' ^ j8 G: e 端口:569
/ }' S4 x* f+ j8 }7 ]服务:Membership MSN ( Q& Q1 `& l: j% R
说明:成员资格 MSN。 . ^4 Y& g0 t- f' C% S0 R8 w
端口:635 , K: L7 `0 n$ s9 x" r- k2 U
服务:mountd + z3 m# |2 ?2 E7 J
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的" @3 z9 g1 p2 L- m" @
,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任$ r, W6 F6 ?2 ^
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就; ]8 r) E( o" a) t9 Y+ u
像NFS通常运行于 2049端口。 3 ^7 x$ Z7 b0 F, I' t; x' v
端口:636
$ R5 S: y2 {" o& k' p+ w服务:LDAP 1 q! k: Z0 C7 p8 P$ e0 n
说明:SSL(Secure Sockets layer)
. _( r, l: [' g3 G# b5 v. y$ M 端口:666
% U% n) }# L7 o3 b服务:Doom Id Software 7 X+ |+ R) d/ m4 b* K" [
说明:木马Attack FTP、Satanz Backdoor开放此端口 $ I# @9 x7 s( E% e; B# r: u; O
端口:993 0 d8 I9 S7 T9 S0 I
服务:IMAP
' b/ Q P" \& B# G- e7 U; [说明:SSL(Secure Sockets layer)
: Z b7 C5 G A2 \, N1 r- E 端口:1001、1011
+ L' A+ ]) Y: P8 M服务:[NULL] 4 b; S+ e+ b1 ~! c
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 8 w( x( u1 V5 D/ R
端口:1024 % N6 |& F; Z) y0 b( ~# r
服务:Reserved
, o4 q! D7 [" u6 @说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们2 Z" a+ y$ l& o0 e3 _# x
分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
/ `$ ^7 M, Y) v$ h) z会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看
$ q0 k; c9 D# B8 u% N- a, L! _到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
! F9 a3 L. u, s# E9 i9 A 端口:1025、1033 9 U- C2 z& X! T, n6 J0 d
服务:1025:network blackjack 1033:[NULL] 7 ?1 ~" T6 u h8 S% F7 D
说明:木马netspy开放这2个端口。 . c' N4 Y2 o D; F0 C8 k
端口:1080 ; Y! Q9 R! m+ ^# _$ D5 g& q
服务:SOCKS
' W" h) @! T5 l) _( B4 R. r说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
. I9 `7 M3 S# d% w+ b4 _9 w。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于
3 z# c. {. i6 w7 p# x* i8 S防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
" c) m2 a! ]$ E! V种情 况。
1 i' l; i, B* n6 a 端口:1170
/ `5 ~: S3 Y' r# }* l# b. e! Q服务:[NULL] ; H2 C# y3 F, y r6 u- f+ L
说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。
$ r% A, g4 M5 i, [0 E 端口:1234、1243、6711、6776
& q% a4 y9 r2 S- h) M服务:[NULL]
7 p/ ^6 Y @/ F+ _& v! [说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放
I9 f F7 m; F) V! Y, U1243、6711、6776端口。 4 A) w; ^1 [5 R
端口:1245
4 W: r9 {* @4 K( g% t0 l服务:[NULL] ( _& A! r' a( Y' q) G- @
说明:木马Vodoo开放此端口。
{! b5 A [0 Y6 s7 a 端口:1433
- w5 ~6 B* z; A! r" t1 w服务:SQL
" W3 c, q: V: {- q+ Q说明:Microsoft的SQL服务开放的端口。 5 c. w+ ~" x. j8 ^8 k
端口:1492 ' c3 X! c0 W9 s: C
服务:stone-design-1
. ?+ e7 u0 `8 n! ?) ~" T( b说明:木马FTP99CMP开放此端口。 3 u8 N5 o9 L& e- I5 o* s% }
端口:1500
6 s8 J/ b8 q; n7 w服务:RPC client fixed port session queries
e) H2 e7 W/ ^) Q# R& h. [说明:RPC客户固定端口会话查询- t$ G# l7 ^. F" c9 Q8 v
端口:1503
. y( k0 F2 l! F4 }$ l服务:NetMeeting T.120 $ O- v, _ M6 R) i
说明:NetMeeting T.120
! f0 n. E& M6 x7 T 端口:1524 C0 f: |% y2 L& s; ]4 l! {
服务:ingress 6 p/ w6 x- S& Q- W
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC) n: `- Z5 {' s3 ^
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因, q, ]5 K' ^8 M+ C* _8 b
。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到" ~: @$ u* j/ T! l$ ~+ p
600/pcserver也存在这个问题。
# s, r2 U) R8 ]常见网络端口(补全)2 M' Z. f# i _/ ^( e# Z
553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广/ T( G0 t+ [% ]; q- |6 L4 Q5 n
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进
r( Y0 g- J) M! X0 o$ ]入系统。; D6 E3 [4 W2 Z1 d$ I
600 Pcserver backdoor 请查看1524端口。
$ {0 { C. k2 n* L4 a一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
! r0 s. ]' A+ u. W- S! A9 y! nAlan J. Rosenthal.6 S# F8 P6 P3 r7 Q+ d# j
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口6 ~# [3 n! t" p$ m" [
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
% w$ q4 O$ M7 m/ I, M t1 f( N7 C! \3 Cmountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默4 v* C2 P* a6 T) [/ l+ E {2 l( Q
认为635端口,就象NFS通常 运行于2049端口。$ V$ ~2 ?2 x$ b; H$ J
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端; t* n) y0 V6 ] Y. S j
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口
9 K: n5 t& l+ y- X9 r$ ^1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这& }% W3 h4 O6 G' i4 D$ `
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
7 k/ P; }& p# ~/ B$ d; JTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变$ Y" v; H* Z- I: ~4 `; i T. T
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。) ~* C. D" c, m$ c" O% x4 E# l% p
1025,1026 参见1024
, y. M' G3 K/ S6 \6 J 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址( e' k" m8 E5 R& L
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,
+ s( K9 T& _; f: O它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
% M) o# }8 s$ d0 KInternet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
9 {7 o8 B% [- ]' D0 ?, H4 _& l火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。* `! s" D; k# B
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
" D% U$ `% D7 u0 U8 D: Y
m" `7 M( |; h+ ?8 C- s1243 Sub-7木马(TCP)0 e/ [- }0 e. t) G: ]" Y
1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针
9 Z/ o% c' L! {' K对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安9 ^% l8 V3 t9 r
装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到" W2 Y% Y) |5 a
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问) y/ b L0 {9 T
题。
) _* Y5 Z+ B9 U E* D, \, P( Z U' S 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪+ @3 L/ a! T% j( l8 _
个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
8 i& m' J' R* h* {+ M, J5 ^portmapper直接测试这个端口。% d: ^5 z6 i6 M4 ^
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻* j% W: V& M- `) _) l* j
一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:: q6 ~$ _ ]7 P) U+ s
8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服8 {7 a! f- D1 Y, ]+ l
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
0 [9 p. t; t6 @4 a$ Z5 m 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
! J6 G8 ?, x( P0 |pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)$ Q; n6 B2 N- V2 V0 q& D
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
! f/ t7 Y, l& ]- u" m ?寻pcAnywere的扫描常包含端 口22的UDP数据包。
5 a( b% I3 f0 K& \+ n9 j 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如* a$ E4 p! z* ]
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一. q6 b$ F. h) n$ {- C
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报$ t0 ?" T: B, |9 J9 b* a
告这一端口的连接企图时,并不表示你已被Sub-7控制。)5 X, g A5 }( L N5 b% s
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
7 S# R8 B- ^ @$ P- x/ {, y+ ]' k是由TCP7070端口外向控制连接设置的。
. | c5 [6 o: l8 L 13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天5 f1 }1 t5 ?3 v; \; c6 P
的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应$ n3 _8 ]. B7 W& k
。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
8 q- A9 S7 O# o* G; G了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
" Q& h! D2 }; |( ^ i! C2 m为其连接企图的前四个字节。6 M f! G1 H. B+ j" i% x
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent( ]$ ?* `# L' P1 _) |2 b* O
"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
8 i' S$ [" i! k2 q$ I8 R种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本
( |& O: \; `9 F. h+ h" G% f* | `身将会导致adbots持续在每秒内试图连接多次而导致连接过载: ; m% m$ m& v1 ]. X3 V% y% I: z+ I
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;3 o8 J/ y6 x6 i {! Q" x! }; t4 o% F
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts6 ]. _2 k3 O0 F! t: Z/ s. h
使用的Radiate是否也有这种现象)
% J7 q; a9 P" c5 D. H2 F 27374 Sub-7木马(TCP): `, { ]# R# E# K U# t
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
2 W, k$ r" r# U0 ^ 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法7 w: f* G& t! q% k6 X3 Q
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最& o. j1 B1 p' U! p3 w/ }* r' R; t5 V
有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来$ C5 A: g: U9 S: x! u& i6 S. h
越少,其它的木马程序越来越流行。' }" r4 }) b) }! Y- D) M
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
, `3 e! c9 g+ z5 o; ZRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
( Z4 E0 F3 H) ]; {317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
q7 C% t" h0 ?& `输连接)
0 }0 t0 j4 b4 C 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的5 H) @ b. g6 \: Z1 V
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
* E0 A: N% c& @% w' iHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了/ j6 L/ _, c. j Z) N5 V0 b- `
寻找可被攻击的已知的 RPC服务。5 k( j' d, V' z; j6 ]% @- M, U
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
" ^ M' V" ]! ? g5 M U)则可能是由于traceroute。& [% C$ U$ s+ [8 W" \2 K5 U
ps:% R" \! k7 w/ q8 P; W( C9 e8 f9 S
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
0 a) X! W) x1 W8 ^1 @windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出9 U* j z% c& V5 [' s" n; Q
端口与进程的对应来。
5 v$ p) f4 R/ T) C8 S& u' R) c1 p8 A |
|
发表于 2012-2-16 14:00:57
