|
|
从0到33600端口详解* B) N8 Y! J) a! ]# K& @
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
; A5 ~9 w% V: yModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等- {" F6 D6 m3 A/ _- s- k7 [" G
。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如
0 \7 T5 H- J$ }' ^9 O1 a8 O' m+ {用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的% m/ F' D, j0 u& a' }8 S) Q4 E
端口。
" A! j* e0 D, A( _% t5 J: W 查看端口 - {5 q% u5 X2 i! f1 {
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:
$ O& H. e. N* R' S0 Q 依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状, ~' C4 \* s" i
态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端" Z- n- ~" R; \+ }* g* i' c, n' h4 F
口号及状态。 6 m0 W" p. }) H, p1 `
关闭/开启端口8 j c$ _- Y. Q3 A4 `" D2 C3 j
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认' R8 Q: z6 L) f. K3 q+ i/ [
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP* U; T0 ~! B- z p& V% ^
服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们# h G E- T( L( ]
可以通过下面的方 法来关闭/开启端口。
0 y/ S- h8 q' ` 关闭端口( u/ t7 X+ A2 u9 M5 |/ s6 D1 n
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
5 O/ W2 [. { D- J,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
. B7 E. w2 s0 j# w" E- FMail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动& @1 h( ^$ P* u; n8 b/ A% I" ]! S$ |
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关0 w @- M% S- R& R
闭了对应的端口。
: d, d, O: ~3 ]6 {4 d* u, ~; T7 i1 P 开启端口
) e+ y( [$ X9 P 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
9 @# g5 Z5 R8 v" K8 t& Q! ?服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
! w& D0 }" H7 a6 L, {3 v。
$ d6 x. l y: i! h 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
# i" ?0 g6 N+ S启端口。
3 c5 n, @! y* M" A. }" ^& X 端口分类
* d0 N3 L. k3 Z9 p$ ]! J* i9 P5 E" M 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: 0 R0 s; d1 P2 e
1. 按端口号分布划分 3 Y) B( T5 d6 Q) d5 I& }1 _) e, `
(1)知名端口(Well-Known Ports)
: E( e2 d$ L$ v+ @" N) T; E0 j4 [ 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。* G- _2 C* v4 c- O5 X( G: K0 n; | u* C
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
2 A& |. V" O) }0 {" sHTTP服务,135端口分配给RPC(远程过程调用)服务等等。1 ?% j7 X0 v2 Y: ~; A% J
(2)动态端口(Dynamic Ports)
: c* X6 n' h. @/ R, ]& V$ c 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
8 A. P; W& E! P; e; f/ b! O% n多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以
3 r7 a$ b1 J9 w, B# y8 P s+ a从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的
5 h# N7 M4 ]3 d _7 z1 @程序。在关闭程序进程后,就会释放所占用 的端口号。- I7 ~4 G: i- Y$ ^: ]) j; |5 J: A3 o
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是7 B* Y: @: a! q% X s
8011、Netspy 3.0是7306、YAI病毒是1024等等。* L+ e. \0 r! m3 l0 E; t: d
2. 按协议类型划分
# g& L! \; V" z1 ?* k2 k 按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下0 h" G2 w, g0 o7 r. _
面主要介绍TCP和UDP端口:
4 s. o/ H6 @7 x5 I: B) Y# S (1)TCP端口2 Q1 t" ^4 t: U$ Y
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
1 m1 L% z q$ N) W& c3 ]% k靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以/ @1 f7 [$ Y9 T
及HTTP服务的80端口等等。
* ]' s" y* D1 t- b: } (2)UDP端口
( e3 \; r; }' h+ h5 ~: w UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到* t! m) ~- R+ F
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
) o: T. |# I$ A2 J5 E3 b& J3 X8000和4000端口等等。
; L+ H, @! j3 H: W. ^$ @ 常见网络端口( s5 T2 T: t. G* E. o& F
网络基础知识端口对照 1 M5 A9 T9 ^ G, L. t: e
端口:0
0 B% {& ~, X( x, N/ j. M. ?服务:Reserved " z& G( V8 x* f$ Y# i9 M n6 z7 ^
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当& F2 ^& [" E& c/ `
你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为4 U s# M/ U* x7 U+ }0 l
0.0.0.0,设置ACK位并在以太网层广播。
+ C# w" m- w. j8 j* a' |" A 端口:1 / y& w3 W6 H2 T: I1 J2 j
服务:tcpmux * c3 p! t. G; }5 c) J
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
5 M1 I* H9 g/ M$ R7 ttcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、: O9 P2 X2 k' [$ x- j! j
GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这! B4 | h' v1 x; L4 ~) F6 Y9 |
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
( Q# {8 Y. O# t4 M- | 端口:7
1 n( k0 p. g7 T0 h/ e4 v5 `7 o服务:Echo ( [% Y; v6 t. N: V( j4 p0 u
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
1 ^! ^+ @8 G* Z. `1 I 端口:19 / ^5 E% A8 |/ g6 J
服务:Character Generator
" |2 h" f' @; A% L. a" y说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。: t# B4 } N1 p
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击/ Z$ a1 e. J7 S$ Y
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一: `$ ~% T! t7 u; i( H# l9 E
个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 # [( V/ J( U. N4 g, v- f
端口:21
& P8 n! m; h2 S y服务:FTP
; ~+ e% J! G( `; Z5 K5 k' ^说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous) C2 y" K+ {& x2 c
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
+ m! A0 |% ~3 H& MFTP、WebEx、WinCrash和Blade Runner所开放的端口。
9 w4 N/ Q* P4 d( D |4 J- }8 O( p 端口:22 9 L! F0 e/ a8 n( |3 x. }
服务:Ssh & d/ ~3 u. }- J3 @" [( q; D+ `
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,
& @ e9 p& V0 @+ S如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
5 x. ~. W0 S( `( J; L8 ]* _8 ]7 _ 端口:23
4 i: q0 W+ ~ k- N4 p服务:Telnet $ ]% m& P" R5 h5 L
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
% A! Z# m1 C8 m% ]8 V到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet: I" O! F& F$ F! b; U
Server就开放这个端口。
2 O6 W ~* r3 v0 E 端口:25
0 [; j h" p; `" R7 L3 ]服务:SMTP
, q( Y- n/ c, ~" T说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的4 n7 r1 F( m5 m
SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递! T8 {; _- D3 j/ f( b4 a5 r1 B
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
$ S7 {: _* }" {- U$ D3 x% v: `、WinPC、WinSpy都开放这个端口。
0 d, O& P. o/ u) p8 X; r 端口:31
' d8 k+ A0 v% h: V- z, J' P服务:MSG Authentication * ~, T. D5 a8 u0 u+ j
说明:木马Master Paradise、HackersParadise开放此端口。 , e& u& o% [6 X, V. s- k9 s4 ~
端口:42
/ O: r, C* u, M服务:WINS Replication
# z! t' X2 I. U1 X$ \9 u说明:WINS复制
$ b6 `- M4 }0 I) Q) `/ Q 端口:53 ) g) O9 g6 R2 m2 [. O0 T
服务:Domain Name Server(DNS)
N" H' y4 i/ U/ b0 E( u说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
" N' \1 n- D' T" H) O, D& {' u或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
: _# e% X/ ~+ Z- o, c# Y: V4 w 端口:67 ' P& ^8 V, s4 t8 i1 \5 D4 F- G9 z
服务:Bootstrap Protocol Server
& o' S0 u7 n% f1 ^% \+ v说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据
: f* v6 g: ~9 h4 u6 G。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局0 m% M+ p4 K% x0 y5 g9 D
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器
% K% w+ q6 R! h向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。$ D8 N! b/ `4 j# [1 T: w* M+ z
端口:69 ' E! o: [7 F+ J, t, K
服务:Trival File Transfer
1 B8 E; v7 W9 F说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
0 a. m2 G# @* K% e0 h错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 ) x+ @- V: g/ @6 c1 N% {
端口:79 * H3 \& p) i* a+ O: X6 H. r
服务:Finger Server
( O c- N; ^& a. u" u) V0 t说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己: m5 `, |; B6 O
机器到其他机器Finger扫描。
3 N; v- `& H# o" y* Y 端口:80 & ]! |+ h! J8 {; D5 O8 C. i0 ^" R( w4 \
服务:HTTP , I) c, b; A' b, \2 w, I
说明:用于网页浏览。木马Executor开放此端口。
_! J, [9 S k4 ? t" u' ? 端口:99
, f$ p( L8 ?+ q! A服务:Metagram Relay 3 J$ Y, C% g# r; h l! \) g0 u n6 h
说明:后门程序ncx99开放此端口。 . N1 K& n* X: `# d' L1 J
端口:102
* A' b& g$ f8 n, _服务:Message transfer agent(MTA)-X.400 overTCP/IP & A( F$ U0 c; [: v3 K# I. i
说明:消息传输代理。
- ^, L4 ?9 J/ O2 j6 r$ w; z9 o: E3 R 端口:109 . l8 Q; C) E/ o0 z& y, r
服务:Post Office Protocol -Version3 " f, s( Z" @! `- N% j
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
) X' P, x* Q5 E3 `0 e0 j& X6 i有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者. \: }* [1 o8 D: k9 [
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
: d2 K: h7 ~ E9 r& @ 端口:110 / k/ M' d' e2 Z7 |! R+ G& u$ V
服务:SUN公司的RPC服务所有端口
3 j. t( _2 f3 Z! T说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等 # L1 Z) d- H. S3 j/ ]: V2 O( A
端口:113 5 I; h8 C) z) ?2 z# ^* E" W
服务:Authentication Service
5 |# A+ w/ Y) `6 E说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
& w5 C% H l2 _以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP7 k$ Q- S, m% Z
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接
. `1 |$ @5 e' ]6 O( R请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
$ R& v& F% K( Z! ?8 }' D* t。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
/ u* `: Q3 i; o2 c* [ 端口:119 7 d# g% ~5 L* L6 ]( ?" w
服务:Network News Transfer Protocol ' ^/ h# Y$ K# O5 }8 g
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
& B" L d% \, \3 U& ]- h' M# K) u务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将- p5 f; A% F) f
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
0 X+ U* N4 E: j Z. Y" T w 端口:135
& i3 F, h4 L6 e7 ~) T y, s/ g服务:Location Service
; j8 M q6 y5 P说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
D. d% F) p' n* e- T* ?9 h端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置1 k8 B' y0 U, c; K% c
。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算" `* p; F7 w: S$ K
机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
% n6 s) C& y+ H" I直接针对这个端口。 ) ] ^, o# Z; l R4 n* `' p
端口:137、138、139
' T3 v# o5 V# } _服务:NETBIOS Name Service 6 {$ i* d$ z. ?
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
0 ^) p j1 \% h这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
, w/ }( l- d% L4 H, X# X I和SAMBA。还有WINS Regisrtation也用它。
: |. Z% j2 _4 e9 a/ B6 t c: f( E 端口:143
" @7 z# X; O! P0 g9 ^, C. ^服务:Interim Mail Access Protocol v2
( |: z8 C4 D& F' W说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕
' w `+ ]& P# j. G虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的7 q L, R e+ Z+ B& e$ r+ U7 e! t
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口- B) f$ X5 {$ v" a) Z* e" v
还被用于 IMAP2,但并不流行。
: ^$ d* t/ B0 ^2 x: v 端口:161 0 U5 Y, X0 r2 o8 V) `+ }
服务:SNMP
9 M# l0 i+ j- s" z# J& {说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
' X9 s9 I+ {; f$ }1 T些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码' ~3 \4 c3 m# O |$ g
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用2 x9 d: I2 C4 b& d: k/ X _
户的网络。
/ x, g$ ~/ f) ` 端口:177
( ?5 e) Y/ A( x2 G服务:X Display Manager Control Protocol - h* o% I* P. Y' |& F
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 0 N3 R: U) L, h5 t/ [$ X' S9 y o
! X: Q1 i# @) Y, y; Q) X6 |4 D4 ?
端口:389 : S. d U3 E5 l1 J( _3 \0 @
服务:LDAP、ILS
. J+ ? w( j6 b) e( L说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 $ h7 @* D$ c' B8 [; i
端口:443
# u$ d3 d$ d; _; a; Z9 Z9 ` \服务:Https
' C$ Q! f! w5 ]- X说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。: g! V8 m" z2 S, _
端口:456
5 x$ n4 c3 U7 f- ~5 D) R6 o服务:[NULL]
1 N" J8 F- t4 g7 n说明:木马HACKERS PARADISE开放此端口。 & ^8 C6 j+ k: V- I0 [' [3 ?
端口:513 . k" A/ b) s& E8 H8 Z7 G) P# K
服务:Login,remote login
E+ ~, Z- n; B! x( I2 T4 Z说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
. t0 X! Z, u- e进入他们的系统提供了信息。
$ Q/ ]4 y2 @7 P- G, d 端口:544 & o8 S) Q D, _% m
服务:[NULL] ( X, \* [; |7 ]- g+ ?% w* d
说明:kerberos kshell ! `; E: f1 S# `3 N/ N% Q, L
端口:548
( U3 `# D1 c& @- L4 w' }% l6 z服务:Macintosh,File Services(AFP/IP) 1 V- e1 ] B0 E. u1 J1 G) s
说明:Macintosh,文件服务。 4 s0 }( ^! S* S& T( c6 {
端口:553
# ~1 \7 E1 F2 P9 C服务:CORBA IIOP (UDP)
& Y* w+ }; G" M% T: o说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
T( W$ i- i$ x" j, p& B* g/ F系统。入侵者可以利用这些信息进入系统。
% x# P+ @7 D$ R& T2 F 端口:555 " V* N, A4 U2 n9 R( C
服务:DSF
' {6 x3 v8 ~3 w3 k' q# Y) ]说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 ( @, R* I- S5 W1 h3 r+ ]1 Z
端口:568
( }0 ^9 f" o0 O" S% q服务:Membership DPA ! u8 r& W' P" r# n9 [; z
说明:成员资格 DPA。
2 w' J/ @# |9 j/ L0 z& r 端口:569
, W ~8 y6 |) B服务:Membership MSN / U0 w% R, g; V/ j
说明:成员资格 MSN。
; I5 k& Y1 M2 v* w0 `8 c5 A3 | 端口:635
. a# ^: q5 m# c4 x' n3 t4 s服务:mountd ! J8 u1 o: i4 X, B% i5 ?
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
* s8 S9 F s( L+ n7 b,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任* p6 A9 V: |7 c
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就+ S. `6 V# M y& h- Q
像NFS通常运行于 2049端口。
/ d- ?" ^( m+ d* u1 `% o' p 端口:636 2 F- R# G8 t, _- e% d7 j: N
服务:LDAP
2 G5 D1 o4 C) n" W说明:SSL(Secure Sockets layer) 5 t4 W J( Z1 q. r7 \
端口:666
% O$ q/ v6 F K# r; B服务:Doom Id Software
; @7 N' [, r$ K说明:木马Attack FTP、Satanz Backdoor开放此端口
3 S/ V" Q8 \* E: e+ ~+ p 端口:993 9 T6 g# U0 a& @1 I1 X
服务:IMAP - O, w( b* a _- _9 `: T
说明:SSL(Secure Sockets layer) % u8 B. c% F; c( f
端口:1001、1011 2 |! p: M( [( f9 C7 B! f
服务:[NULL]
5 U& i, m0 P _+ U8 `& ~- ^# ^说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 7 F6 z. ^0 O: E/ W b
端口:1024
) F; }# |: x! g服务:Reserved
* Q1 Q9 I. H3 {/ W: N" Y6 d说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
0 [2 E# e3 d. _! m# \" C4 J+ j# }- w% H分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
4 M" Z* O8 g6 G+ X, U: {( |会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看, ^* k G2 y9 _ t" Q5 ]
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。8 i/ }' S/ w! \' M2 I& B$ i
端口:1025、1033 2 ~4 U# w6 ?; Z$ v
服务:1025:network blackjack 1033:[NULL] 2 Q$ Z0 N) a+ C& v8 Y; ]
说明:木马netspy开放这2个端口。 ! ?. S+ A3 [4 M2 j# R: S: Q
端口:1080
5 u* J2 W6 p8 u! @2 V服务:SOCKS , v8 x& K. b3 h; ~: U$ f
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET7 q+ s7 j, x+ t% L0 k
。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于8 q. b+ b1 l7 f5 t2 I
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这3 l2 |5 j u. m/ T
种情 况。 , i0 u! h' ]" l3 z
端口:1170 D2 `3 \% I" F) O: C
服务:[NULL]
& f0 M0 Y7 f# ?2 |* E9 n说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 C4 _+ e; o6 q: e
端口:1234、1243、6711、6776 . k* x$ {; h, g- n4 N: |, G# E
服务:[NULL]
$ p; h8 e$ T$ B( x) u说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放
' n# z7 w4 @1 w# w( X3 X8 y0 O5 t1243、6711、6776端口。 8 Z; a6 K0 u# l( A1 e+ O: {
端口:1245
: l$ _; z9 X1 x' S2 L服务:[NULL]
" e5 t9 x- j" {4 f' l说明:木马Vodoo开放此端口。
% c. Z7 I. k! ~0 d; I7 v; f( R 端口:1433
$ T+ R5 B' I' V. A5 k$ t# W服务:SQL
8 z( R7 `/ P/ ]* M- W) Z说明:Microsoft的SQL服务开放的端口。 + B8 v+ V4 O5 e6 g" N; W6 R }
端口:1492 A& M% g! c5 N+ ~" w2 |5 M
服务:stone-design-1 3 ~- `! |( f2 J3 ~
说明:木马FTP99CMP开放此端口。
# i: g" G1 f- p5 W B3 d, d3 S 端口:1500 0 }9 g) ?- \ J- ]. A7 Z9 g1 y2 [) f, B
服务:RPC client fixed port session queries 2 L' j! ]# [8 M, I2 b5 Z1 t
说明:RPC客户固定端口会话查询
; @6 p6 x6 i% u y1 H% A8 ] 端口:1503 . h: K2 i- w6 ~2 Z/ y- x9 c5 b" Q
服务:NetMeeting T.120
6 b& R3 s: T- U4 Q; I; W说明:NetMeeting T.120
- r' }& Q, @/ ?7 G* I4 {' G 端口:1524
( g1 a* r5 W! r7 W服务:ingress / n" q4 z/ a4 J6 L9 s* v3 H7 _
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC
2 N0 A9 o4 _; X/ r1 i6 O服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
" h1 a" u# X* ]* Z& j T。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
8 w5 J2 r' n0 D* V7 n# c600/pcserver也存在这个问题。
/ T# a% e; l6 j% h常见网络端口(补全)
7 ^9 z2 J4 F; ]% k) s+ X _ 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广
$ a9 a3 g; F8 v9 [播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进2 O/ l, Z' k8 p, K. n
入系统。
6 a$ L/ T9 x% H1 A$ H1 N# M I 600 Pcserver backdoor 请查看1524端口。 + g& I! D$ d$ ~
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- i( V1 ]3 b& Y& g
Alan J. Rosenthal.5 I" _: [8 y* v' Z, p5 p1 o
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口
1 y% n6 A1 C: M: d+ L" F的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住," w; H) f1 m* G
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默) z# @ ^9 W4 f' W
认为635端口,就象NFS通常 运行于2049端口。$ |4 N( ?- n. }+ c$ R' H) n
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端9 @" D* o5 U: P3 e5 C
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口" [/ X) R( ^- W% Y% j
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
" x1 v0 L- q% H$ W& H. F4 D8 G一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
4 z* G4 W7 ]/ \9 k6 s5 UTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变
8 x1 j3 C" C# Z4 L0 e大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。- ^% E( u2 V# M
1025,1026 参见10248 e3 F [ s- ]1 F- H. _8 S# `
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址; B% ?1 t2 m! L$ z, I5 L
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,
0 d/ q# _6 D0 R2 w它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
! n, y( u$ W) U" J6 P/ `, Q, BInternet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
+ O% B9 a" t6 h+ d# g# x火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。& z' I0 G) o* H3 a2 @4 t2 d
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
4 j# [1 ]" J- p- P
" S# m8 ?, l9 q: s1243 Sub-7木马(TCP): U2 k$ S: l* R, h3 Q+ \- l
1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针4 G9 g0 h( x* ~! i- K6 ]
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安( T3 ]7 n; w0 C8 D* u
装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到7 h" p' d# \7 W+ p: r! T" l0 h
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
) {( u# y8 ~7 K/ F* _( A8 q题。
8 U9 Q: D9 y- H C8 O 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
y+ V! o( C' j- w2 {+ [个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
m# h1 G: A" n1 U" Vportmapper直接测试这个端口。
& V) r& t, W8 D5 n 3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
* y( p4 s7 L, \* O一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
3 O3 O' A& h5 y8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服$ M8 T6 g+ f' z
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
7 R5 X. t/ W. Y% O2 e4 V7 W- E$ I; L( {" J 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开+ U, c, o* P. U+ M
pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
, ~) l( G! N' a4 d7 s" F。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜+ K. X2 I/ j! M5 D: P( h( p t
寻pcAnywere的扫描常包含端 口22的UDP数据包。! \* z+ t4 |8 ?
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如
7 z( R: E7 k+ P当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一' k/ ~( `6 R- k5 W
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报9 i5 _6 Q8 R5 W. G2 H0 u
告这一端口的连接企图时,并不表示你已被Sub-7控制。)9 F) {: r5 w, J F
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这+ g2 y* e ]0 B& q, |1 ?- C: I3 ?
是由TCP7070端口外向控制连接设置的。
. H1 v5 H' Q% A 13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
, B0 i: f) P3 T5 l) N) M# A( V9 h的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
6 U1 S/ i$ L. y/ s。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”. x3 Q' T1 i7 ^! D7 M
了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作" ]) @! D& Z' _- b7 l, M% p
为其连接企图的前四个字节。# A, K$ b0 c9 h% F& i- r& k) I
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent" t7 h) T, E% u: \
"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一, H& a, K# p2 ^
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本
# T" V5 A5 U. z身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
* D4 x K0 N1 \2 n7 Z! s机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;% ~. \0 V# ^$ [; g* U2 R# `
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts
5 h$ K2 _4 {7 C* c& q% c+ Q使用的Radiate是否也有这种现象)
! Z/ Q' I7 l0 @) I: z8 E 27374 Sub-7木马(TCP), b' k. e U) }% B+ L/ `4 g+ [
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
" q0 n& p+ K% i( ?" g! C 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法 `- P' _2 O( |8 h+ E3 c
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
( S. c2 Q" e4 s" P有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
- F q e# \8 R8 @3 u越少,其它的木马程序越来越流行。- [7 H* u) D8 ^& S. T4 B2 k: J# H* ?
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
6 h: c+ n; c' B2 R0 t. m& N1 D; nRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到4 W' z- |4 b2 y, t$ m
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
- ]( i0 F8 }. w) S3 g* U/ M# h输连接); _, w! z6 _- {- l$ P
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的' r" t& M; T9 l5 A* C$ t
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许( |( ~, \/ G, y9 }
Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
6 |; q8 T' ~# o( y" l9 X寻找可被攻击的已知的 RPC服务。0 e' V2 ^! P7 u" c5 G
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内9 q( R: h% h% I" K; s* \
)则可能是由于traceroute。- L* h/ R# G p& u# s
ps:* c6 z/ h& k( y
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
/ r# r c6 o) f/ Ewindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出* U$ L; N& r: z$ J# V) x: W
端口与进程的对应来。$ w9 p# O2 A t8 |7 V
|
|
发表于 2012-2-16 14:00:57
