|
|
从0到33600端口详解+ J: q* B$ ?2 m
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL h! J- x! N; V6 O
Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等6 {# ^2 o, H+ t2 W
。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如8 t/ x" B# d z$ d+ _+ M
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的: j' E: V+ I1 ]9 @" L
端口。
( a! x9 Y) d+ m 查看端口
1 P6 H1 }( W3 k/ M$ W5 U; A 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:, ?/ ?4 G! A4 N
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状. ]+ ^8 r3 P( V. d% v; `
态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
9 p3 q* ~2 Z: @) c) ^* T( l口号及状态。
0 q. `2 U0 [, {9 d 关闭/开启端口
8 u5 x$ t4 h% N' e$ Q* B 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认; z6 x9 b q z1 H3 ^: t; A
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP2 g! p ~' E2 H! |5 c# ]) G
服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
0 u7 N8 t: i( U5 `: r可以通过下面的方 法来关闭/开启端口。
3 o9 x' Y) u# a; H9 h4 B7 `6 H" D 关闭端口
* `# H7 q7 R. S! v# _ 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”; X+ ?+ y7 e/ `4 B( }+ f5 X7 N8 ^7 { o
,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple) N5 N; t0 f: R% G& K8 r0 @
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动3 N8 [& V9 B t
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关 g6 d' z$ s2 \' p, L
闭了对应的端口。 3 o& d( V9 B& v- M
开启端口
Y q9 f4 k/ Q, Z A6 s% Z 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该2 z. y0 d8 Y5 }6 W" {* U A
服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
* e) f# t1 C- m: g4 D。. a! o5 O" F9 l8 [# ?0 H9 B
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开/ n7 L0 p1 n3 s' c: {7 o
启端口。% T9 y. Z9 _, N' p) w8 K
端口分类 : H3 l6 z+ ^- S5 q* l. U9 \0 Q m" i
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
. d7 r9 O6 k3 J 1. 按端口号分布划分
. y9 W# C5 f; \0 A! R! [; H1 Y3 S/ d (1)知名端口(Well-Known Ports)
4 u. Y% o# o# \; t+ a5 @ 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
' D4 N ^9 @1 K# a4 |' {比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
7 i0 B! l5 X3 Z$ s2 K- SHTTP服务,135端口分配给RPC(远程过程调用)服务等等。
' s# x' Z( ^6 |$ q6 J; [ (2)动态端口(Dynamic Ports)" V6 U8 J! c7 s4 F6 N. f, Q
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许0 |/ s# ~1 X b% ?- ~
多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以* K: t5 |" t" n/ X7 `
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的) u& m1 c. Y) g; E5 y/ G, A) |' O
程序。在关闭程序进程后,就会释放所占用 的端口号。1 t( j" h% G) j% D7 Z. k1 ?7 g& @& k
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是2 a% m3 t/ U3 |
8011、Netspy 3.0是7306、YAI病毒是1024等等。+ F+ r9 F6 a# ?" \# D
2. 按协议类型划分, e% q c' k( z5 {1 d
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下7 b4 U g- z/ ?/ l
面主要介绍TCP和UDP端口:
0 ^4 L0 t7 \6 }# @! c/ n (1)TCP端口# T4 `/ B" ^3 \$ t2 M3 D" ^
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可* t$ i M4 @: G# ^6 G5 M9 I
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
T( I- A, _. _5 j. B7 V及HTTP服务的80端口等等。
! I6 t, J1 c. {- C( |2 ?/ h (2)UDP端口' D( ^* G, {' O
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到- f& r) {- y( Y6 m( |9 |1 f
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
) s( @. Y1 l4 w1 \8000和4000端口等等。" Q' I2 K' t) d% M, ~7 n; W* r3 I
常见网络端口
1 @7 J: k) i" K" g7 s6 ?' W 网络基础知识端口对照
7 a' E! M* @& C+ V8 r- d3 x# G. n) H 端口:0 9 }1 J1 Z1 |) i7 E7 T- M! L
服务:Reserved
& o/ C! X8 |* |" v9 R% ` {说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当0 y& J2 l8 ^. A& q. j
你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为4 b( w+ l9 @# i0 d
0.0.0.0,设置ACK位并在以太网层广播。
8 D5 f: O3 Y6 r U 端口:1 0 k( a- O+ j9 \0 w
服务:tcpmux
3 w2 u/ V7 Y' |5 D说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
4 Q; q+ d2 y s5 b2 Ztcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、 k# Z0 p5 \- b( X3 |2 {
GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这
- U7 g, g/ B! u' `些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
: o& L+ `! ?2 w L1 a 端口:7 # @2 c: G0 Q; p/ P
服务:Echo 1 L; j. A3 P7 X) B, u) I
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
3 U8 a: |, A9 X8 n 端口:19
8 e6 j& q9 i/ g/ _* [/ H服务:Character Generator
# } `7 J3 F3 Y- w说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。
- a+ _ `$ f7 c. RTCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击& o6 n% u/ j6 C) z4 ?) |9 t' H
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一, n3 L+ X* K- |9 T
个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 $ O U1 n0 e1 }9 _- i4 Z+ \
端口:21 9 X- O- Y, j3 p5 _" L/ s% _% y" Y
服务:FTP
4 J$ r& G" H9 ]) R说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
- l2 R9 l4 d9 q, y的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
5 {* ]9 H5 }9 Q IFTP、WebEx、WinCrash和Blade Runner所开放的端口。
$ j. x* ~; m" f2 W/ \9 e 端口:22 $ [2 u% Z: K6 u7 | u: F9 h3 N
服务:Ssh 6 z0 `$ a- } x1 K) L
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,( U8 z% g2 \% }
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
/ i( C5 p- E: A! t4 q! R7 C 端口:23 4 @" Q8 V7 n) g/ T
服务:Telnet
0 n$ d9 v' X+ S' E5 E7 w说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
7 r5 f0 J, |, R" [" ~" C到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
* F Y* Y: l3 O% v- G6 [* t) ]Server就开放这个端口。 1 n' |9 O# F" m3 V, M
端口:25
5 E0 o1 W3 {1 M/ T4 h. w0 b5 }4 D服务:SMTP * D: v+ p$ V4 B h9 C, m6 \
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
' h! h8 [( w" r5 V+ C4 F, DSPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递
0 P2 d- z. n3 `+ g) D }到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth) o- T$ o/ k4 G d% t
、WinPC、WinSpy都开放这个端口。 5 {# X! y. G- Z) B
端口:31 9 i2 U- _! O7 D4 Y% ]$ I% |2 H! g
服务:MSG Authentication ( @" o+ e9 p4 U1 ?
说明:木马Master Paradise、HackersParadise开放此端口。
! y, n0 _5 @6 c3 O* q: l2 ^ 端口:42
# ~$ a) @5 g. v4 l, d服务:WINS Replication
8 x9 ?1 G6 H. m' e. V% o0 c2 i' q# W说明:WINS复制
2 j4 l! W" p5 c Y" v& t 端口:53
9 E6 h% C4 H5 z) q* ~; Q% w9 |服务:Domain Name Server(DNS) ) O' ~2 ~) x, m( i, v- }
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
* ?4 P5 d: D) ^或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
/ n! g A: l# g5 ^* P$ d7 B; Y; K 端口:67
, V; p7 L) N0 a2 @" G服务:Bootstrap Protocol Server
) R0 a9 B7 H, H5 i4 P说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据% k0 y7 \/ u) [! g, g& h% ]
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局% W0 r- A: |. w J) w: S
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器
' L3 R3 _) s3 ]# e2 ^1 _向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
/ U' E6 v( a7 R8 u) w; W 端口:69 & I, l4 F% i& w$ _3 j; S: W7 w; _) K. `
服务:Trival File Transfer 9 l0 D1 G( j8 @% [1 I/ R
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
+ @% L4 s& P+ ]6 |错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 ; d( d; E. o2 o$ Z. v# a0 j- W
端口:79
( X6 r3 T9 u2 y; q% c2 Q( H! L! r服务:Finger Server
- c" |7 Y4 x% k说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己, A/ p/ X) A, ]- ~; O/ y1 S
机器到其他机器Finger扫描。 , w! q% `6 o: S$ G8 x4 `1 ^9 Q$ d w
端口:80 + F& I. V! Y% X/ j* v1 i
服务:HTTP
5 d: }9 u! [6 C& y" i说明:用于网页浏览。木马Executor开放此端口。 . Z) F% l& V+ e6 {7 r& X
端口:99
4 l" U. a) ^: F/ u( D: u( a" ]服务:Metagram Relay
8 d4 H7 a+ {( X3 Y: G8 y! b说明:后门程序ncx99开放此端口。
+ _" ]. J3 B D 端口:102 8 Y# t4 s* J/ U; H
服务:Message transfer agent(MTA)-X.400 overTCP/IP
5 B O2 @* N2 i8 B! T% ~' x说明:消息传输代理。 ' i! F! q: j$ C0 O: M# ^7 \
端口:109 6 C* u1 _8 l* {
服务:Post Office Protocol -Version3
" \- n. ?3 @: B* ^说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
/ P! `% C* W) }, f4 s1 C0 k8 K# ^% j; \有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者' m7 f( v- l' [; d7 M3 ^* i
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 ) a/ a0 t. s/ E8 i+ g
端口:110 $ P. E! y }7 q- E8 R' g& \
服务:SUN公司的RPC服务所有端口
' }4 z7 `/ o: k6 W; v9 X说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
% V1 T6 ^4 V: @: U% y 端口:113
6 D( U& [ N: e$ h服务:Authentication Service
# p1 `% G. {. ~/ Y. v说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可# v- u6 j4 [% n9 I, k+ Y" i
以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP1 O/ l9 B6 J/ A4 ]3 _
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接! l% ?" @. R+ z
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接& r. {4 f" D* u0 R
。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
, w2 ~/ o; u; [- ^" Y! d 端口:119
# M/ D5 ?+ Z9 n \服务:Network News Transfer Protocol $ r" A9 J% C1 o6 K$ Z+ O
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
* b7 a) G* ]5 a务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将
% P# O5 V" E7 p/ G0 U+ d. u允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 : Q. n" \2 Q6 {: X* ]
端口:135
" S4 `0 Y" u0 V' Z+ i服务:Location Service * r8 |0 q/ ]. J, g+ }
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX1114 q6 I n- l y7 m: C
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置6 `" a( V% j; {; ?: Y) V
。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算8 ~# K1 Q6 _0 `$ w& `+ ~' J) j
机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击/ G: P- \) a9 E2 a" C
直接针对这个端口。 $ l- ]& G4 S. w# A: |
端口:137、138、139 0 v" g8 e i: E- w
服务:NETBIOS Name Service ( l( \8 A& y+ r+ n1 H6 t! k! L
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过* \- u; h4 \* d: r4 x% ]: d2 N
这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享 ]& Y; `! g( @+ K5 j; p
和SAMBA。还有WINS Regisrtation也用它。
q5 |" c L8 U6 I% N 端口:143 / Z4 B- s' k0 p
服务:Interim Mail Access Protocol v2 , G" M9 K: F, S& ?/ x
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕! I, J% @9 {% c$ {) d
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
5 L, I+ z/ P5 h8 l `" v; r' _用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
: u- I5 B8 U$ }9 R- l还被用于 IMAP2,但并不流行。
( I: Q' j7 f0 v$ P' q0 h, s 端口:161 % y# R3 I: O7 | s0 H9 D
服务:SNMP & y' `1 m# B0 m, t' d) J6 d1 ?
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
% y6 x: O: a! W. c8 j3 a些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码, b t$ w; l* O% v) c7 F; U/ p) f
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用
& ]. m' ~9 Y7 W% l4 [户的网络。
$ Z6 ]2 g( G |/ e9 s( N$ O 端口:177
8 k: o0 ^ L+ ^( P; m服务:X Display Manager Control Protocol
! j- Z; @$ A0 }0 x0 {说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
4 `1 c# U0 F& D/ Q3 X
* W2 E8 a2 y5 x. l1 E6 J 端口:389 + m' V8 ?. q' Q5 O
服务:LDAP、ILS ; k+ R, ^$ {/ p. y8 G. {4 w+ X3 O; L
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
/ x9 a) l, ]. X3 Y# x 端口:443 : x6 F& J1 P Q, ]: ]
服务:Https & r" C) c& ~3 B1 e$ `8 m8 z* }
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。. H. v, X# P! j/ V
端口:456
1 ^: N5 C" s) F; |服务:[NULL] ! \5 C2 L1 h+ @) S$ {2 p
说明:木马HACKERS PARADISE开放此端口。
# M. q2 U# C. k) {) k0 D6 l 端口:513
! @: j! x. d3 U9 {( B& K服务:Login,remote login
5 T& x0 x. h$ o6 n说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者3 Q* ^" H0 i" R6 e/ z# W
进入他们的系统提供了信息。
. k1 e) `; ~2 c; I6 Q, E4 q" \ 端口:544 9 S* ] C* p3 L
服务:[NULL] 5 i; [8 b9 I3 i. f/ R7 q+ _
说明:kerberos kshell
0 w, K( c( N; Y( | 端口:548 6 \0 J& o8 H% s* T. ]4 D/ Q- G, J
服务:Macintosh,File Services(AFP/IP)
# X% p# {# t1 Z6 n+ U+ p1 L4 @说明:Macintosh,文件服务。
+ T; T& J! P& a d 端口:553 ' i$ ]3 M- B3 f7 z
服务:CORBA IIOP (UDP)
$ g# a+ I. a* q" I. w$ @) J说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC! h6 }0 u& Z8 \: O" c {6 A6 ?8 ^
系统。入侵者可以利用这些信息进入系统。
9 S V ~$ J" M/ |1 _9 H1 L, { 端口:555 " Z7 i" y: e. H n
服务:DSF + i* x5 x( i+ k2 ^4 M" P' t& n
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 2 g @7 Q; r; B2 I! _
端口:568
# N" ]$ k& l8 G7 U& Q7 |服务:Membership DPA
. v# g# V5 p( v) y说明:成员资格 DPA。 9 {0 }7 P: \3 A8 r1 M4 u1 J7 |
端口:569 5 D% t6 h# ?6 ~1 |! M8 x& _
服务:Membership MSN
' a7 b" M, |! r) g说明:成员资格 MSN。
3 z6 X9 Q0 }3 U0 N1 O 端口:635
7 z8 h( F# o, I# H" A2 X/ p服务:mountd ( `; ~0 l4 X2 R$ B
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
, W, E9 x) S, W,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任8 p) ]# \9 i2 R" S7 N
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就% t- p4 v( a: a/ E& T& k
像NFS通常运行于 2049端口。 , |) {8 a; x! |' o0 h
端口:636 9 _- b4 U4 o2 y7 k+ i! U8 _
服务:LDAP " p& Z2 H6 U, J. f5 Y8 Y% A3 U
说明:SSL(Secure Sockets layer)
5 N) k1 K1 ]% d 端口:666
) _) _, g' J3 R1 }+ ~服务:Doom Id Software 1 t% _; u' T- u4 V' c
说明:木马Attack FTP、Satanz Backdoor开放此端口
" t& C; C6 x! x7 g9 r 端口:993 ( O. d! P0 L. k7 l
服务:IMAP
) V7 T2 A' F. P7 m8 U- A$ \5 \3 x说明:SSL(Secure Sockets layer)
" u" }- \& [7 Q! O6 k2 ^ r9 t 端口:1001、1011 ) y y$ U* ?. M- i+ N# K
服务:[NULL]
, U9 @& W" w% Q, N% Y* [! J说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 , g2 V/ [9 ?5 ]$ F" \9 R
端口:1024
7 |' E. z- l1 }( D( b5 w服务:Reserved
) Q- `$ c. \, h8 t1 {" ?说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们$ } h8 ^& ?. U0 m6 A
分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
3 x: }# S# @( \, f8 b' d会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看
" F8 K2 n* D1 y4 o# S到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
% u' {" v' l# y2 y4 P1 m( f, N 端口:1025、1033
% I" n: L6 B- F2 _服务:1025:network blackjack 1033:[NULL] 1 B! [/ \- X7 O& _; `
说明:木马netspy开放这2个端口。
" ]8 ^8 e9 r P2 i" x+ [ B 端口:1080
2 j- V8 m: @( r1 t服务:SOCKS
# {% p% T w1 W0 Y/ ]6 n9 i# J说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
7 }* l9 ]' M/ U! }; l0 J* _。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于5 v$ W, Y! S* |7 E0 b% d8 r
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
/ w/ V& z2 ~) }' r! _种情 况。 4 X9 w7 | R9 l, G( V6 }; p+ X
端口:1170 1 `: _4 [- x0 H1 o3 p% K$ Z
服务:[NULL]
6 z( U) p S6 [$ y2 U% c& C$ V1 V8 ?说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。
: q0 s) @1 U4 |6 Y 端口:1234、1243、6711、6776
3 m% Z @4 e7 h6 [* C# M; d9 c服务:[NULL]
* R3 {* W9 ^' p! k5 s说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放# }& y! I! e" Y" X( t& I
1243、6711、6776端口。
7 Q, g8 D$ `5 {+ l* G7 }4 d2 p 端口:1245
* B T7 L8 w2 |7 i4 x# J3 J服务:[NULL]
! b/ {7 g) i; o6 t说明:木马Vodoo开放此端口。
( y. s+ ~7 Y4 b$ Z/ x( i) [ d7 `' r 端口:1433
" t6 S( r- q6 R: G* h& R服务:SQL
: E( t! }7 |* }! |& N, {说明:Microsoft的SQL服务开放的端口。 6 V3 w* U" d1 ~$ N1 S2 C3 U! a
端口:1492
5 G8 m$ A, `3 v' i' |2 r& ?: ?服务:stone-design-1
) c) ~7 B' L$ d; G7 G! v; f4 q说明:木马FTP99CMP开放此端口。
& ^. S {+ N4 C+ }: j/ i$ } 端口:1500
5 o! M. a* i: |1 t; Y9 b9 o* B( M服务:RPC client fixed port session queries & y+ n8 w% \2 u, u5 j/ G( S; W
说明:RPC客户固定端口会话查询 B3 e. K; n' A D! I5 H
端口:1503
6 |6 [! n; `" q6 Y0 k服务:NetMeeting T.120
4 } }7 g4 A4 X* F# D说明:NetMeeting T.120
: q2 C d; C( E1 _5 ? 端口:1524
5 g+ T' T; T8 h- W服务:ingress
- i) ?3 e4 J2 P/ v8 P说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC
: [% K' K0 r5 q% z8 o服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
4 J9 r- x. h+ r3 l X, m" d。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
: Y' E0 Z' Z5 W600/pcserver也存在这个问题。 e/ r* V$ v. p& E1 ~
常见网络端口(补全)
) Y3 v& R3 h; \ H( z" @3 F. h 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广
- `; p: H5 J4 I9 T1 N播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进
: U# b: Q ^0 i# ]入系统。
+ o% S0 I) M: [ 600 Pcserver backdoor 请查看1524端口。
( i" L4 Q! Z8 @; L" Y一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--4 ?( K0 }% S2 n! l" o
Alan J. Rosenthal.6 O# I2 P" R V7 v
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口
: K% u" B0 J+ M2 w+ O. O3 [的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,; u/ T/ x3 p' z) S: D* A
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
! |) c. h# n/ J5 I% W2 `& _认为635端口,就象NFS通常 运行于2049端口。 I) I9 S& U+ K3 G9 Q! p
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
: A8 H8 n8 s/ k& G& D口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口! Z g: I7 m1 C5 G8 ?7 p, c( C) b
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
; j/ B& x4 E6 @+ r$ w一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
E% D. J M, c3 n9 K7 p( QTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变" y. D% J3 j! d% D& ~
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。. Q- B( L, l; y. m( p* A
1025,1026 参见10241 A5 T1 T6 }4 }
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址
+ Y5 v) i0 a; x访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,! L6 b; G5 N" E, D1 T4 {/ X
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于, y4 l; Z( k6 w0 \% K
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防, P( f! Z' B3 L4 x6 ^1 |
火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。8 g$ j) A, i9 x/ D4 _1 [6 k w) m
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
+ ?5 O; F( H& ]* n7 E6 N* A$ D9 W3 H( |" [
1243 Sub-7木马(TCP)( L( O9 y# {% W6 w
1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针2 Q; P& K2 V2 `; C: L: B( j3 M
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
6 u, s+ O: X$ Y* \装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到, N! H: O+ o) @, x7 F3 o0 t
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问7 H( P/ e5 q" ]0 ~3 C0 ^
题。$ t6 B! u' ?5 j! O# L) Y5 b, D0 D
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
# T6 C9 D' V7 _* q, p个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
$ Z1 J% S8 g9 w) H0 B- S& a7 ~& aportmapper直接测试这个端口。 i6 M2 s( @2 }
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
5 V6 g; ]/ x4 n w0 n$ g9 {# n. n一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
! q( w/ y* p1 q& s, v b8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服6 Q% p. g$ v6 c* E2 {
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。) M9 X) _. P3 o) ^% ^/ s- F- e
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开1 M' D0 Q$ u3 Y5 F4 @0 K
pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
* p6 b6 S+ t0 v$ ~7 u。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜# p! T& p: C! X% g! i0 b
寻pcAnywere的扫描常包含端 口22的UDP数据包。
$ N( L0 K9 C- H5 i; @2 y0 C/ d% ~ 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如" R5 L3 a1 J/ O6 K$ r5 p6 l
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一
7 ?' {: O& H. j( G4 M K人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报$ N, x+ V3 J- r7 g
告这一端口的连接企图时,并不表示你已被Sub-7控制。)
, C; u9 ]- D! d' U, K 6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这 O* s* u& |& g4 c
是由TCP7070端口外向控制连接设置的。
9 z* }; j0 C, F5 S: c 13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天* i4 M* g! @) P* n/ h' V2 i$ v
的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
2 _4 z9 V3 j, H; P; F。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
: M% a! i1 b( Y' `/ Y) X4 K了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
+ P5 G) G( X! U- c. N为其连接企图的前四个字节。
# g5 P2 p! s# n) l- Q4 @ c 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
$ F9 g6 q' k% k8 v# b, g& I' |"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一. N2 @" @ z1 ^% w
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本/ A" w4 m6 G& G/ ~
身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
0 O$ O4 [! D# }, _机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;( {( s, n; {( U6 X
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts
7 J; \% P4 x! z( l$ \6 g使用的Radiate是否也有这种现象)+ r" ?3 d1 {7 h6 i6 L/ o
27374 Sub-7木马(TCP)& V7 t6 P% }* g6 @9 Z! _
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。9 T3 @) |$ R( b1 j
31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法
) Q( H: P K% L% D7 K% x. P/ Z( ~语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最& f0 L3 A) d, f5 @4 k
有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来$ ]* Y$ T; q- m/ x% [1 L
越少,其它的木马程序越来越流行。* c- ~0 _0 x2 \' D/ f5 ]
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,8 y3 z. q* L2 V3 w9 U- O7 k, x; I" @
Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
3 h1 _- {+ E$ ^317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
$ G5 E" \% @9 d: O+ F输连接)
[' L. f9 d6 Y) p' D$ p5 l 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的8 S8 Z5 H4 X0 l1 {2 z! l
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
/ U' j8 x! Y. v: C7 SHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
8 }, ?7 ~5 }( d; ]+ Z& v( ]寻找可被攻击的已知的 RPC服务。! f1 W/ ^ _' m# _) v
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内$ {, [( [/ V% M% {
)则可能是由于traceroute。: i% v- Z; d# ?& v9 }4 B9 A w
ps:
4 e! s S( s# y# x其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
% o4 J6 e% d+ [5 a" R9 } E4 @, O; rwindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出9 b3 R- j( V& V# L w
端口与进程的对应来。
" @, j" E4 p" N7 u V |
|
发表于 2012-2-16 14:00:57
