|
|
从0到33600端口详解, s6 x; N8 Y! h0 u: \
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
) I* e9 U8 g- H: }# O) VModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
% K J, m' ~! m7 b2 _。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如- u% `- d6 c9 d6 T. z' p" x& J
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的' N+ k4 k1 ]% F. o- w! x
端口。 9 l$ u2 ^3 I C
查看端口 5 K* ?6 i& ]5 A9 S" `3 G
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:
# X& W- H" p' a+ X Q! u 依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状" q6 h* {/ \0 n+ t( |% P+ f# L
态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
$ h( Q1 P- u9 {) i! Q8 o" g0 K口号及状态。 & y5 N4 `* z. K
关闭/开启端口
: J; W: u# Y$ y ^0 F/ _ 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认- v- N5 q( a4 z5 |* |4 j# Q( s
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP2 b3 h q/ L& S% q2 x4 I
服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们" I/ \: [' t& [, W9 V& n
可以通过下面的方 法来关闭/开启端口。 . c( E y+ ?5 x
关闭端口
, P& B/ O( O/ G6 ^ 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
3 B$ s8 ^" v9 U) k,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple6 O7 Y! l4 R; d, H
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动
. J! l% u0 i K/ e/ o4 k类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关
1 S0 y! e. a1 ~ Y* I3 ?4 A闭了对应的端口。 5 m: N$ O! \7 k
开启端口
& ?% |2 }7 v9 t3 T1 [4 o 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
& A$ W# D, }( r, Q服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
- d$ _" k9 N0 M2 m3 k6 f1 |, G。
9 E+ |& p3 ~! l- P 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开 `9 [% O5 a- u2 U$ ~/ f; `/ p
启端口。- l! e* l& z5 s& Q/ m7 f! C
端口分类
6 ^( U. N" q8 b3 T3 D6 w# y 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: + F8 J. X, N4 r5 A" ?; j- ]
1. 按端口号分布划分
( m3 x% r( c2 M1 v- @+ S3 R (1)知名端口(Well-Known Ports)
# n( P0 E3 J. I, Y 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。; w% _, n7 N8 p7 ^# J+ U
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
8 D5 }1 p" h; G6 h$ uHTTP服务,135端口分配给RPC(远程过程调用)服务等等。$ ]6 n% W' E& e4 T" P* l
(2)动态端口(Dynamic Ports)
; ?/ r1 W* D9 p4 S& Z, l. P 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
6 {/ C, n- l, R多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以; q. M* l& ?( u0 B Q6 y! \* Y$ b
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的
" t7 F1 [8 |& H7 Q& O程序。在关闭程序进程后,就会释放所占用 的端口号。
5 r9 U5 O/ L& _( K 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
; |/ r& h S4 L2 j. O2 ~) S# x8011、Netspy 3.0是7306、YAI病毒是1024等等。
a9 I3 s Y/ T 2. 按协议类型划分
" e1 g: q1 N% a! M# {8 l, L 按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下7 v$ Q8 k; y8 Y+ G: D
面主要介绍TCP和UDP端口:" Z( C% r" H9 ]7 X, |
(1)TCP端口
' }% ?. ] r7 x# _/ |3 T2 V. D TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可+ u# E# p. Y/ D: L
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
( Z$ o5 q( K4 J" O2 o6 P及HTTP服务的80端口等等。
1 i0 Y1 f: [# `0 J2 m! M (2)UDP端口
9 e+ T3 X1 h: N- ^" M U: Y UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到
, U3 G/ g2 @: E; A* [! g4 P保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
% }# e1 G! d7 @: _) a& w9 c" e8000和4000端口等等。
$ r5 T. R8 b8 w x- V1 J! ~ 常见网络端口# z/ P4 L, @+ K+ x
网络基础知识端口对照 ) s& L u6 g- k2 F7 x) |3 U
端口:0
. s% h. ^% T( W+ B, H3 ?' w服务:Reserved
' M) C# d& j. \; g说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当3 R: p; o2 l' ^9 g! \2 p4 J# {5 i
你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为 a" M0 Q5 r% i% p
0.0.0.0,设置ACK位并在以太网层广播。
& G, I6 x8 b9 Y' X0 c# n/ h$ w 端口:1 ; C0 V/ X* ?; U/ b# r
服务:tcpmux
. _6 A; V$ l0 b1 ~1 n( G说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
5 E2 }2 d: ~3 D6 T& ctcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、6 |% i$ v9 t9 z4 `7 U# v2 L
GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这& o/ @" x* V7 d
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。 2 N# f( y. a8 l
端口:7
- z# U: M4 S" }, @ b- P服务:Echo
+ k' j3 {6 j8 Q1 b) n5 v1 }1 a说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
& `- p2 i* _0 ] 端口:19
/ F; k( }& O0 ^ G7 d' d- P服务:Character Generator
4 x9 o1 Q+ H x. l# M* p0 A$ u6 F说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。. l+ a/ _% A! L: Z G
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击8 c$ j; ^1 X# M2 }/ q: H% E
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
* O* t% Y: b4 E" m- A7 X个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
! N6 g5 I: s+ F, `( r 端口:21
2 I* ]& ], Y" ^1 H1 g服务:FTP ; f: X- ]; x! t3 r
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous+ C6 D7 T: O* h6 @0 G
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible1 C7 A) o5 m8 l% @
FTP、WebEx、WinCrash和Blade Runner所开放的端口。
/ {* ~: h. p E! h 端口:22
B. l2 r) C3 e5 K I! X; L8 W服务:Ssh 6 D' ^, C5 ~- ~4 T
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,% c* c R7 L( Y e8 }
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
% q* N3 V& T# P2 `8 }1 i5 J$ ], z 端口:23
" Z4 V0 L' T& E4 C服务:Telnet
+ e0 x" D7 f' L' z' B说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找% f) p8 @, ^+ n6 l
到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet) j- P8 `# f { o: x. c2 f
Server就开放这个端口。 9 \7 K/ e* F3 M. e
端口:25
( p- l5 e9 W- e# T$ b服务:SMTP
7 f0 C2 r# r5 K9 _4 i9 A9 e7 m说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的/ V' E8 M) _0 u5 ^+ w. C0 S5 J
SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递5 ?3 f" b( B8 @' V2 Z
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth- V7 D. h8 b& q
、WinPC、WinSpy都开放这个端口。
$ s9 u! }. R- Y( g6 d) c- a 端口:31
8 L4 m. R' P* x) o, [8 Y) d服务:MSG Authentication
0 U o+ U3 Z M2 o- y说明:木马Master Paradise、HackersParadise开放此端口。 6 `* H/ q' w$ c
端口:42 1 B2 o" f# \/ X) K* m3 T
服务:WINS Replication
: W0 K; M3 v- r, l1 |6 ]说明:WINS复制
" d, M) a; Q3 A/ c" m* D1 }8 W8 [ 端口:53 7 n! ]) r4 _3 }' j+ Y- W0 Y
服务:Domain Name Server(DNS)
0 p; V' A& _) B! Z+ V2 K3 a说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)+ ?: q# X# \: d
或隐藏其他的通信。因此防火墙常常过滤或记录此端口。- s' m3 ^' R" A! H$ ]8 L
端口:67 + u+ e$ O) x' Y( l8 `4 g
服务:Bootstrap Protocol Server ' R# q* ]! p6 W+ x0 v0 k
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据 a. @3 ~# h3 G% k. i, U
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局) s$ t+ j+ ^# f J# V, Z5 T/ ^
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器
* D0 A( t" T( p* P- Q向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
' J# I4 \7 e! ]) V# h ]3 v( N& [ 端口:69
j$ f4 m d/ h, |7 Q- w2 I) S服务:Trival File Transfer + v K2 }5 q2 m3 r8 @& F, F
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
9 J$ d, y* I" r* V$ L错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 . U& W+ n% P+ d7 T. n" U1 g/ c1 _
端口:79
' A. c9 Z K9 H' F$ ^+ E! P服务:Finger Server $ c; n: t; `, n+ v1 X" V9 [
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己
/ Y# F- I1 S6 z9 c' f; o机器到其他机器Finger扫描。 . u* F5 u" z! U/ ~! S1 L+ [
端口:80 + e6 l7 C; }2 y! ^4 M
服务:HTTP
) c6 n H/ J. B8 J) k$ T, H+ P, @4 Z说明:用于网页浏览。木马Executor开放此端口。 * B- N5 @$ u$ a3 ?3 m, P# ~
端口:99 : q$ t7 [3 L- f6 A
服务:Metagram Relay
: v8 y9 y6 V0 a7 k n7 b说明:后门程序ncx99开放此端口。 * Y3 e+ |% Z$ {0 J- _
端口:102
$ B; ]7 W, y' y% J0 z服务:Message transfer agent(MTA)-X.400 overTCP/IP 4 i8 |& n% X. F+ O
说明:消息传输代理。
( _0 l7 I5 @& f. g/ B! t 端口:109 " d( t8 Z; w# G0 i0 G
服务:Post Office Protocol -Version3
# @: [) H! w& [说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务, \" K2 {5 J6 X* D4 Q% A7 z. f
有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者 v! K# K. F$ h) o* V+ t
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 2 q* e3 |6 p E
端口:110 * n- V3 P$ r! N$ ~% z: n
服务:SUN公司的RPC服务所有端口
9 h. Z( c2 c: i n: u) m; E6 [% J说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
, v5 P! a. a( |2 ^/ ~6 Y 端口:113 W0 o: U( V2 l4 [. q3 A; Y
服务:Authentication Service 9 c6 n I8 Z1 A, q" s6 N4 n2 ]+ P- R
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
0 z" x$ V$ c9 M$ Q$ m3 e; Y. d以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP
; w' H1 k; X4 [: a4 J- V和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接
, Q/ i' ]/ e5 p3 G/ \请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接( J" p! ~$ s( M
。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 / K) d; `8 o( x; h) J6 J
端口:119
2 A0 C% m0 T9 ?! ?7 y+ N& \& l服务:Network News Transfer Protocol
$ o$ l- A' Q* e5 T- H+ _ v* @说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服5 u* `3 n9 V3 b8 t, D# P2 I
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将' L) i1 ]0 A7 {7 g
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 5 s2 b* F9 Z& U% _* E' L. ~" R, M
端口:135
0 y; b9 I' t8 |& s服务:Location Service : b2 k/ i# q1 m( x$ `
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
! K! H% a8 b4 Q. d7 d* b" g端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置8 p! f+ q d/ a
。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算1 @/ q% H1 d: F* [+ u, q
机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击3 ~5 m5 u; y: k( v0 D. A
直接针对这个端口。 2 T) z% K s9 r1 P# E
端口:137、138、139
5 l# |1 y- ]2 G4 O$ ]7 M( M服务:NETBIOS Name Service
; R' E& h7 d+ f说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过6 [3 o s$ t" k* `" `' p% v
这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
- d/ v2 ]3 | b: r' m和SAMBA。还有WINS Regisrtation也用它。 1 u$ I z0 ^# @# H3 o
端口:143 5 [' l7 [" @; Q1 M' u
服务:Interim Mail Access Protocol v2
9 Q. Y5 b1 A0 T' n说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕4 a% @6 |- k0 ?* K4 B
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的# P% ?2 T; k3 x9 Y( M+ P
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口 j8 n& I, e, c7 j; S
还被用于 IMAP2,但并不流行。 . C3 S0 S$ A" b- f
端口:161
% @( N ]; h! ^5 x h4 g服务:SNMP ; I+ {% l' ~0 U3 X" e$ ^) ~* p* N
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这2 L4 Z5 \1 j s7 L
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码: O8 |2 ?* W" ~& C: ~% z
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用8 e: V7 U. x- \( T
户的网络。 ( Y z* I3 @. u8 k/ {+ y2 U1 v
端口:177
9 u, K4 R+ v) W7 q% e' x2 Q- ?服务:X Display Manager Control Protocol
; Y8 n' N4 |+ ]说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 3 q+ S- i' J% ~
* x! w6 z6 p+ Y% L; U1 z, t 端口:389
# @7 [; ?7 H# C" {( o& Q0 q" b( y# `服务:LDAP、ILS
' G- L% g- g5 L { L% {2 { R说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 . V( E9 R9 `" p5 `/ R% J
端口:443 & k0 C5 g9 r8 K5 f
服务:Https , Q! \! m i3 [3 C3 t# z
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
7 ?" H/ r- s" L6 r4 M0 T+ Y 端口:456 ! d( \% r/ V9 h9 e8 \
服务:[NULL]
% b+ ~) v# s& N* g( z$ s说明:木马HACKERS PARADISE开放此端口。 0 z# Z) M {2 N4 T
端口:513 2 ?5 a0 ^3 Z& o) g2 ]
服务:Login,remote login + }$ Q' R6 @$ r/ S! g( @
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者) u' X* _( w" Z' X. j
进入他们的系统提供了信息。 & C8 I" n3 e& [
端口:544
0 E# P- o* ]( o# l' i3 n服务:[NULL]
: B- i' c- W5 l: l2 e. e说明:kerberos kshell ' S2 T6 \3 h( C( v. H: {
端口:548 & n2 V8 J5 ^7 u( B/ R/ J' r6 h7 A
服务:Macintosh,File Services(AFP/IP) $ R- X, ^3 k" v( F1 D
说明:Macintosh,文件服务。
: m# x: I1 W" H8 r' H 端口:553 P; w/ P. |6 K% u+ x
服务:CORBA IIOP (UDP) , M9 N% [7 ?, E( m* b' N- [1 h
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
0 Y) u9 s c% ?! U! a系统。入侵者可以利用这些信息进入系统。 ) S2 u: [* ]& v$ M* @" X, D. }
端口:555
7 y, P o! Y; s* z服务:DSF
: c& N% ?& @7 D( T$ I" S6 `说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
( F8 f" |6 _: ?1 E* G, q 端口:568
1 a, ?: I( [7 [2 R' b3 o服务:Membership DPA / p" \* s# T' |, r6 Q9 _7 t
说明:成员资格 DPA。 ( O4 q9 m% f( o9 o
端口:569
4 [' V6 t1 g8 Q p, A服务:Membership MSN
8 A: G9 x7 T5 |5 T说明:成员资格 MSN。
$ b. z3 P+ L2 c* A$ _' ^) I 端口:635
, a+ B! S+ Y) o' J& p+ |3 v' c服务:mountd
' R9 J" H" H) `. w- s: Q* p: s说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
$ j% j$ |0 e( @9 ],但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任+ s+ e6 l( f! [& D$ Z S5 L
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就* N- H3 Z% x0 N. S
像NFS通常运行于 2049端口。
( x, ~; Y) M6 _4 u& w 端口:636 ' j- T* Q1 ^" j: I: I- Q
服务:LDAP
" H' ^( x* O- R( L说明:SSL(Secure Sockets layer)
4 u4 O5 [. F: S% h6 {: e, U 端口:666 * }0 }0 w3 B- `1 j- r4 G
服务:Doom Id Software - [1 J% m- O/ |9 Y( i
说明:木马Attack FTP、Satanz Backdoor开放此端口 0 n7 S: G5 `, H5 ^
端口:993 , m- o# j# x: h; X0 e
服务:IMAP 2 l4 H3 h4 C! ]+ c
说明:SSL(Secure Sockets layer)
8 x8 r) h4 F- i4 z0 `4 k$ L 端口:1001、1011
8 ^* P4 d$ K- B" Z4 {$ y/ |7 q服务:[NULL]
% Y' B6 A# X2 C7 Z2 L说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 $ r. l+ d7 G" m
端口:1024 + I& u# b; X/ a' i; U
服务:Reserved ; j0 v s, w% V. O
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
( ~2 q# U- r- n3 j: X: G分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的$ ~) j& Q! U% Y' a. P- ^
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看9 _. i, c( M. ?! v& Y7 S1 q
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
+ f/ S& }2 t: X' \ c 端口:1025、1033
$ X8 ]0 S- v( z服务:1025:network blackjack 1033:[NULL]
6 S$ z# G7 p9 D) C! T- E说明:木马netspy开放这2个端口。 " F" g/ }% F1 n) i$ ~& m3 E
端口:1080 / \6 Q W+ {9 N! Z( p4 Y/ \
服务:SOCKS
[. a' `6 \4 p- |2 x8 O% E说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
( d) Q( ^) E# f# ]。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于: V! g$ t# a: }/ n: }! D( y3 h
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这7 l% }& p6 [7 x# g- c6 K
种情 况。 ) e+ j# f- M( n D* l8 U" B
端口:1170 $ p1 E v' d' h
服务:[NULL]
0 ?# S1 ^$ g5 C5 \说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 , m6 Z+ u2 r- ~1 I
端口:1234、1243、6711、6776
9 ?% b+ w5 d, ]% O5 m1 Q- V* g服务:[NULL] - I6 P/ G( i) P
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放
9 ~4 q! L+ t/ O0 \1243、6711、6776端口。 & n$ k) |4 n; Y' N9 l
端口:1245 ! d7 X. L" `5 M+ T, I
服务:[NULL]
; i, J0 h9 o1 ?% w' P说明:木马Vodoo开放此端口。
: t( k" o% s* c2 N 端口:1433
. x: x! w' N( a0 H$ m6 d. a1 a# U/ D服务:SQL c3 u6 M1 E- F
说明:Microsoft的SQL服务开放的端口。 ! @$ P& }- K, q; M2 X& C5 U' i
端口:1492
2 G) ]: W7 F$ y/ T4 e" A服务:stone-design-1 6 q" Z+ B* N+ {) x
说明:木马FTP99CMP开放此端口。
% [5 r# A5 U) y. ~6 C% | 端口:1500 - L1 ]; \' `, g$ J1 V* ^$ A
服务:RPC client fixed port session queries 8 y3 z* s @: ~+ X# h, @3 w" G. q
说明:RPC客户固定端口会话查询
; z" H( T3 Q, R9 l5 u3 U4 o 端口:1503 " B) w! P" E6 ]2 S+ w8 [ g7 w2 Z
服务:NetMeeting T.120
' P' z9 F) A& {说明:NetMeeting T.120$ |. s8 E8 p2 v+ g* {' G
端口:1524 + a: [% ?7 u- S/ r
服务:ingress : {4 o1 v% \7 d! P$ P: i) V
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC
( {: t2 s6 t( x0 C" t服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
( D, a6 m$ d; h5 B/ \! k) g7 `。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
& k7 l, o4 P9 G/ Q6 x8 o. w$ a600/pcserver也存在这个问题。
( j% l1 `! N2 u4 B4 F( G0 y常见网络端口(补全)5 I' y' a+ T' f3 A1 o0 E* b
553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广+ L. F0 |7 d; t, Z1 C& P
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进/ q, f, s. _4 O1 J
入系统。( l l! [$ x8 a9 ?& ~# N
600 Pcserver backdoor 请查看1524端口。
6 x! O8 I! w7 M; c& B# O: G' A g一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
% c" U& A( F& m3 l9 HAlan J. Rosenthal.
7 ^) c4 B( q/ ?% z 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口
! x" }' W' p& A, G8 w的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
3 G0 X( N! p/ U+ K+ ]mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
7 d9 g$ Q; _ R$ u认为635端口,就象NFS通常 运行于2049端口。
5 ]3 A" B, L: I; V3 w/ f! n0 W% Q 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端4 e. X# e. o" y7 w
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口- n0 n3 X3 P; e9 X8 I/ {
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这0 `4 B3 ^( L/ w" K; j$ }% ?; I
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到- r/ T1 W' r- J. A
Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变% R- K. E5 k9 x/ t. y2 t* c* j) A4 @
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。9 | o* j, g, B/ p+ h! V
1025,1026 参见1024
# ]9 p% A& X3 u3 p {, y 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址
Y! |( r% U/ j访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,1 X/ P3 L$ |7 G4 F, s w2 R5 o" {
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于1 s# w; Q* j$ d! v
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
7 P V& {/ D- v# ^6 \火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。" U$ z' l2 B0 X% O
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。" C2 {' J) m6 P! J" _& H
4 z! E0 I$ k5 m
1243 Sub-7木马(TCP)
0 h% W6 v; @- _) L. F. v. h 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针( H6 C, R+ l [5 z0 U9 O! @2 E4 L
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安4 w/ H) ]% O( W6 z
装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到3 F9 m5 C; q, N8 Z1 |
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
$ W$ }$ @1 L$ `$ m题。
( F% X) e8 p4 {- p 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
" s, P' @; h5 H* U0 d) [& w个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
6 }7 E* r" V' b9 Dportmapper直接测试这个端口。
% c& o7 y/ B2 n- s2 l7 f 3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻+ t" a; N1 j2 k) Y* Y
一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
; b; }5 D/ @& P+ \6 N8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服
2 ]- a5 d5 O, }; s* J ~务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
, a$ `3 p/ ^& x) c/ k( N J3 g5 t% \ 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
4 y' n- T' z+ s0 F9 D6 l' JpcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
3 L, _" E+ E+ @' l9 T9 y。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
& f( x# V* c" r' h$ I1 I7 [寻pcAnywere的扫描常包含端 口22的UDP数据包。/ q& |: _$ C" c4 h8 C0 v. k9 U" d
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如: s3 s+ |: {- z$ b T
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一
- m* ^, l5 m Q0 N: J7 G( X人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报- y3 t4 R( _# F% H! j( m4 E
告这一端口的连接企图时,并不表示你已被Sub-7控制。); Z+ I; i" Y3 O
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这% X9 ^, C, e U& ~& n# S' b4 ]
是由TCP7070端口外向控制连接设置的。! {2 ]! R" q9 o$ W
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
# k5 o" S# n) A% B* U( i的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
. W9 R% C# n/ h8 }。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
( p( M2 F' ^% h h. j4 q, K. K了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
& i- a0 ?1 [6 Q' T为其连接企图的前四个字节。
- n/ D) E1 ] G8 S- q/ n- } 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent6 |% m) ` A4 w
"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一+ g3 z* @, Q( j
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本
0 L3 G- S8 Q' Q身将会导致adbots持续在每秒内试图连接多次而导致连接过载: ( _ G* }# i& i- J& m! }
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;
9 e. U9 T( V( q9 ~- i- h. \216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts
: n* Y. D. t: h% K6 |使用的Radiate是否也有这种现象); G# i' x9 S* [/ ~& g6 G
27374 Sub-7木马(TCP)
1 x5 H, _+ X0 O. G p. b 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
' T' q1 ]0 h. k' ]! V# f# |2 N 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法* C4 j! J% P& M+ n6 \
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
1 p+ J/ x3 r8 }' I有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来9 C7 ^' c+ {) P, N! X0 ^
越少,其它的木马程序越来越流行。 \3 \0 X! K* t
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
! w& o. L5 o% u4 ]8 A+ PRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到3 O* z7 x; d- |# e G5 `
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
0 p( o5 d. I! p* O- b+ u输连接) w1 G* E6 Y5 [8 U! G
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
+ l4 ^% {0 e2 z" Y3 h$ X5 \Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许4 w# P& a" V, E. C+ q" c) l. K2 T
Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了- J" m" G# F: M; K. V
寻找可被攻击的已知的 RPC服务。% f* k! ~. H: ~7 J) G( b
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
8 _3 u# ]8 C# {3 S( W# S" g)则可能是由于traceroute。
! C5 }7 r* `' Mps:$ {% N+ v0 U/ q; [: ?9 f" k
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
+ _, N6 A1 y( M) m/ l9 ]" P# Lwindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出0 p1 s, ~: X1 T( X$ D
端口与进程的对应来。; P i$ `8 b9 k: W( g
|
|
发表于 2012-2-16 14:00:57
