|
|
从0到33600端口详解+ a4 S! {4 m& |2 \" O9 x5 V
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
6 w* k* u- a8 T% g5 Y6 ]Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
1 E6 h( p# {; Y, i! f% |# m6 J7 C。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如5 r2 _" ]& F0 h$ y
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的6 v5 B8 c5 |- X
端口。 ; m5 E3 @/ ] Y9 }* }8 E/ P* }0 e+ P
查看端口 ( ^, ?% F2 k5 y) Y& \8 X
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:0 h: E- Y y. \( Z/ \" i
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
( d$ U; a3 f& N4 s: \7 D J' H" {! c1 R态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
, R8 ~( M" K0 f: E0 E3 @0 r口号及状态。 % z3 E* }9 a+ m4 F# q; K' d5 f
关闭/开启端口( G7 Q. ?" ~0 M$ N7 H
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认
" J( P+ E2 {/ r) o1 @的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
% r5 v1 ~1 h1 y, g& j" k服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
w, D5 r t/ ]可以通过下面的方 法来关闭/开启端口。
$ X4 G0 f+ Z; T9 _' T% r# N$ C 关闭端口
% [& X* R+ x4 x W 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”/ o1 D# i4 q8 n6 t+ s8 c/ p1 \( {' s
,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple/ O) H8 e# ^, [4 R
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动9 y/ l) G v! L4 p. p1 @6 W* D9 L
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关 S2 l% N) ]4 K1 u
闭了对应的端口。
4 Y3 {, z, V2 A2 K0 g 开启端口: z: {! x; Q4 b5 y
如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该, H- c$ Y6 c& @1 }$ o: Y
服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可. L8 |' Y5 L# p& H" q1 E: h
。
' t7 _8 ^; w8 A; ?1 m* d% [- @ 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
4 i& G8 m, ]- ] E$ M# o' J" O" g b3 H. x启端口。* T# a) R# T i: V8 L) X
端口分类 $ _: K: Z9 h) O0 j, @& g( `
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: 3 ?' ]6 `& q; y; M- n
1. 按端口号分布划分 ' n& c2 h# X, {7 ^
(1)知名端口(Well-Known Ports)2 y! b+ L% j% T; R6 W% ?! t
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。1 h4 i; q+ P( E3 k# k; S/ W
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给( k- A/ }% ], ^7 R$ ^7 X
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。% b; O/ W) a+ B7 Z
(2)动态端口(Dynamic Ports)
# f1 F- d5 s' e' R$ d" u. F 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许( z6 a9 q8 |7 N, h
多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以
+ d$ y( K( R7 ~$ i1 p" j从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的1 Q. U9 N' B% m) E
程序。在关闭程序进程后,就会释放所占用 的端口号。
& C4 D, }. g1 ` 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是6 N. x1 m1 |* x4 w- s
8011、Netspy 3.0是7306、YAI病毒是1024等等。1 H3 X$ d7 m! y+ t
2. 按协议类型划分 E5 f( `- T5 [- O# [
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下
6 U( n6 s& i0 v' X' K" c面主要介绍TCP和UDP端口:
* V/ h, t; r) i$ u. r (1)TCP端口& w t4 y G! G+ x m
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
, K% ?( s1 e( u) R" y- e* O靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
5 n4 P4 `* X" i6 z, g# G8 q及HTTP服务的80端口等等。 S- W# B) m* a+ _2 ?
(2)UDP端口
" N4 ~: ~5 E7 H) X/ N6 ?$ m UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到
, s" S' X3 K6 o0 W; E l3 l' N# X保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的( T! X q( @0 t3 A5 d
8000和4000端口等等。
4 J; T: h! v6 X" t) U, G/ L 常见网络端口! D0 B6 y& i! ]& d3 u
网络基础知识端口对照
+ B1 l9 t) b e$ C 端口:0
7 y+ ^/ l z0 a" x服务:Reserved
, x3 n# u8 ?; f- K4 L& K, B( B说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
7 }* B7 u5 T0 W. T3 [$ ? ^你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为. j! Q# J' s# @/ z4 M2 y
0.0.0.0,设置ACK位并在以太网层广播。
- H) \2 t$ ]. ^& x7 _ 端口:1 # ^! q, u) j; f: ]7 L. j
服务:tcpmux
5 C) g$ o* e; x) l& ]) D* `说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下' s F0 V* q( r+ ~# n. f; J
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、* J; q- x! k; s4 @" r; W; @5 `4 A
GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这" S' o* s7 y! e" B& W$ C0 ?- W+ p
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
( p3 D. K) x! s0 S7 l 端口:7
0 }0 s& s7 V u6 e服务:Echo d5 \ V$ N% x% ^4 L
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 3 b% \+ t$ `- }+ B1 w$ H7 T
端口:19 $ o( j! e8 X0 @3 y
服务:Character Generator
N; g+ W* t, A- T S7 s% t说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。) D5 z1 d) P. p3 Q
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击
$ h8 e. l9 l' o b1 Q" t。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
3 {3 @( @% G% z' m6 v/ t4 Y' C个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
- |( Z t7 l* y x' A& W 端口:21 9 {2 P( x# z$ a" A9 z) x
服务:FTP
! K6 @' u. Y& N说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
3 b. v$ z8 f Z C, f! }的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible0 \* t8 H, K9 p$ `$ K, p
FTP、WebEx、WinCrash和Blade Runner所开放的端口。 . M+ q# u/ j; n. _ l
端口:22
% t& ^" Y' U( i5 w; ^服务:Ssh
: `4 a+ N, q- t( T0 @9 b* d说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,3 S, d/ e1 n& J& l' i
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 " N! }0 ^0 f4 j m- e
端口:23 ! E3 `& J/ G6 ?0 |
服务:Telnet
) o" Q# [2 K' ^/ W/ v9 l说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
1 X7 C: `3 G" X: ]( Q到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet* Y' H' C/ T' O
Server就开放这个端口。 ; r1 p4 u: h; }% N2 b, V" b1 V; W
端口:25 6 M9 T: R0 I5 y- m7 L: o8 J
服务:SMTP 2 F' p! H% Z! @% O: j; T u- w
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
[, {* u2 }/ x. YSPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递2 Z1 T0 ?, `# D8 e, j A! O
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth. B& K+ ?% V3 V: h5 g
、WinPC、WinSpy都开放这个端口。
/ Z8 n1 m- i) b 端口:31
" F. H& O: j) t' F服务:MSG Authentication - S3 T9 s/ D8 Z% F \: f
说明:木马Master Paradise、HackersParadise开放此端口。 9 g4 }+ Q% f6 N, u
端口:42
+ _8 P2 Y+ V! I; G服务:WINS Replication
$ W5 V+ w+ e5 M' O说明:WINS复制 2 }" N! J @0 p2 n. H, a& f
端口:53
! R; _/ I L( U m) Q; G& s( k# z服务:Domain Name Server(DNS) ) g0 ^2 x* v7 ?' F) `2 C
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)3 n& I# Y' S/ _! J3 l6 F1 \
或隐藏其他的通信。因此防火墙常常过滤或记录此端口。. ~* G( C# S& }' @
端口:67
8 B$ c* g: u0 X" b% @" `: L服务:Bootstrap Protocol Server
3 q; P; \8 y3 C说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据3 W S9 m# Z; y! p$ h% W, x3 o2 C1 Z
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局
; M1 `/ |; X/ W0 N7 a9 a' }; Y部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器8 A+ p$ b" C! W; F. p
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。9 }2 k) {* L. l' V- S! I0 W/ m
端口:69
; ]. M5 t7 \$ Z# d7 A" @服务:Trival File Transfer 0 d+ g- K. c( ^8 t# B5 s
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于$ I+ d3 o! Q& m# p/ Q7 N5 ~( J4 m
错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 ) e/ Q# ^9 `& `, i
端口:79
+ T& Q4 y1 \" U4 P服务:Finger Server 5 T1 e& i; B% J; |
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己4 H/ q' o' C. n, L4 J
机器到其他机器Finger扫描。
' S3 N, p3 ^+ R. ^- u4 U" T: G0 Q" S3 w& h 端口:80
1 {( D* S! g9 i m4 N( j; f服务:HTTP . I( w6 E8 u9 N# x" Q1 p5 C2 r/ a
说明:用于网页浏览。木马Executor开放此端口。 7 _# h; Z3 V# `% m5 n
端口:99 ! o9 P3 s- t' c. [. B5 U$ z0 i' \
服务:Metagram Relay $ u6 U4 ]- n$ I. ~0 {3 b& \9 ^
说明:后门程序ncx99开放此端口。 ! S, }0 T1 ]) V6 u4 \+ I1 S9 r
端口:102
f" o2 e4 J* e r服务:Message transfer agent(MTA)-X.400 overTCP/IP
8 a6 t1 d. S/ W说明:消息传输代理。 5 P7 P+ W* Z& w+ j5 m- T: k" V
端口:109
. j) M! Y% W5 c& x* t% p服务:Post Office Protocol -Version3 5 a% r7 d' n6 R, Q: }3 V' P
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务7 q" |$ B: }& c6 a9 H( P- v5 a
有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
8 U. C* l$ d |# R4 c4 {8 n9 A可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
% I% \/ W# `! \" E4 O0 b" K 端口:110 1 M; n: W" `3 {9 |9 R+ @. |
服务:SUN公司的RPC服务所有端口
; e5 l) G( ^! K; ]% J说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等 3 r7 R% c) q9 n6 e4 r& @ T: ]: @( ]
端口:113 4 T8 Z3 z8 P) p( S$ p8 ~$ G
服务:Authentication Service " b% A8 | j2 g3 T" y) x( v; b
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可5 l9 Y+ x% w" l. `
以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP% w( f" d: q- D' _5 x- `
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接
/ ^( S" r3 L3 x9 Q. u请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接) ~* H! Z3 F) R$ V) Q% B
。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 " x: D! U Z% s# c9 } i
端口:119 ! }4 N" _) h( J; C% f& x
服务:Network News Transfer Protocol ! K& y/ D4 J$ F
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服; k2 z+ m6 ?5 A# g+ G
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将2 N1 d7 y+ q& n" W0 A* y
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
; b3 ~: p2 V1 s4 k, C a 端口:135
; n( m, Z8 ?! U7 t0 G# G服务:Location Service # M( y1 R G, [8 M+ D1 G+ C
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
3 ] s* U- T7 H1 U6 H9 z _端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
' @3 ^: e) x7 e# F. z, d7 B9 ~: f。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算* d2 }3 q6 g7 ]: `9 o2 e2 b i- A1 t
机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击- E7 J5 U; H3 x2 |1 [0 @0 o- w% t
直接针对这个端口。 ) |1 {/ g1 w) f7 f- D# N+ a8 l- l
端口:137、138、139
# O( o o( @) C: |5 h0 z( ]% t7 F服务:NETBIOS Name Service ' B! M; [" l4 k& S2 {
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
/ a* l$ B; u0 R$ J4 L0 N这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
7 r8 `- O4 J8 N; k2 s和SAMBA。还有WINS Regisrtation也用它。 5 h j0 \# C0 X5 m
端口:143 9 j3 e# m* m8 h+ {9 d" X7 k0 n& k6 x* U
服务:Interim Mail Access Protocol v2 3 b; z. E1 C U5 |3 V
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕2 {% o( j. f; l/ L0 `& r1 N/ \. n
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
& u/ l( S9 ~& e* y$ a: R# I4 `5 E用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口5 P6 b! k V$ l
还被用于 IMAP2,但并不流行。
8 g, T: b8 p8 p3 e 端口:161
$ z: l" q( P. T. q& e服务:SNMP
0 j$ K) @5 }: b: ]9 n5 Y说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
$ M* @0 ?# n: S/ `9 R' f些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码
! y9 Q5 d, E9 s5 G) Ypublic、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用4 ?$ n. Q+ z; a, Q- T2 l
户的网络。
; S/ _: W. k3 c3 r8 _" B, E 端口:177
# \8 A. o$ P' s. j# A服务:X Display Manager Control Protocol : [! e3 l m G9 G. u# {
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
' g0 b' F+ k8 l/ ^/ |1 `! J# d
K3 L( N- E7 }7 Z6 Z y 端口:389 6 P6 ^, N3 K0 b* r, N
服务:LDAP、ILS
! L) M Z! E1 j; `5 Z" v# K说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
8 a2 f- @+ k* Q$ r/ x0 b: P; t 端口:443 ) C5 Q# e, ]$ r+ Q; a0 z: [5 }2 Y
服务:Https
$ _, L# Q" m ^2 y说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
4 B/ Y2 V$ c6 z" g& N2 ~4 U1 S 端口:456
. y5 B8 a4 _# B/ X服务:[NULL] ' V3 Y9 F- Y: o' _% W
说明:木马HACKERS PARADISE开放此端口。 . }4 }8 C; Y3 C/ o, U
端口:513 ( L8 V; {; P! G+ ?9 D- a5 P
服务:Login,remote login
0 H+ }2 b2 L# U5 r' t+ x说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
; W2 L0 Y( m; C进入他们的系统提供了信息。 $ W7 ?8 G& a" h& u- V
端口:544 4 M& G0 W1 r( Y0 e" p
服务:[NULL] w! p+ }! v8 b; M0 X- d6 U
说明:kerberos kshell
8 g. s& `7 {2 b6 n1 b 端口:548
! w8 a* P u$ A) j, U服务:Macintosh,File Services(AFP/IP) : i5 a, I! ~2 z
说明:Macintosh,文件服务。
+ X0 n$ P) i; @, w 端口:553
$ q- Z2 Z3 J# l0 n服务:CORBA IIOP (UDP) : @& E, z" Q7 S6 I" D N- H
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC2 D" ^% f$ T- B+ A9 w# i4 t- ~2 ]% Y
系统。入侵者可以利用这些信息进入系统。 ; x+ ^0 i& Y! {/ r8 Y3 h" I
端口:555 6 w; g' Q6 A* V; M: V5 F( p4 d
服务:DSF
a j# d, j3 {8 N6 _说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
/ y# ?9 X+ k* ~8 W8 K0 n" H 端口:568
" c: I8 [5 I" U, {) J服务:Membership DPA
7 X7 M( D; Q9 u% e) q说明:成员资格 DPA。
3 y: U% V3 Y/ U0 a1 i 端口:569 ! @# j, S s# n! x
服务:Membership MSN
/ k- ^( X; c6 ], |" J9 N$ W" H说明:成员资格 MSN。
0 f3 [$ a# l. N Q9 S9 r. y! ]* r 端口:635 & T6 {- u6 M) l
服务:mountd
- o4 J ] s. s6 s8 R! j说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
$ h$ {" z+ S' t! a" V,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任6 Y- ~. {. v+ }; Q+ ]7 {
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就: a; l# |. ]! e1 e( I' I
像NFS通常运行于 2049端口。 2 r( c, u4 B4 A3 p0 v y+ A* W
端口:636
: E8 V5 V9 V5 f6 g服务:LDAP 1 Z4 g" ?6 Y) ]* Y: x# [+ ~3 w
说明:SSL(Secure Sockets layer) 5 b" v7 J; ]' b. x7 u( v
端口:666
9 N i* X, T# E& R6 b( b. ]7 ~5 y服务:Doom Id Software 0 p* Q2 l* c4 H+ V5 t
说明:木马Attack FTP、Satanz Backdoor开放此端口 4 c+ ^9 @! b! f
端口:993
8 U4 e3 o( T" W" v0 \服务:IMAP ! A# [- U- z4 ~. W% U
说明:SSL(Secure Sockets layer)
) y# h$ q7 ]5 F8 B y+ W 端口:1001、1011
; i5 Q( \% M# r; |- W服务:[NULL]
! f( ~6 z/ i- W. ]) h4 X说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
2 O8 d7 \8 o7 @$ M 端口:1024
8 `9 Q- V5 ?/ N: N服务:Reserved / j" P" l7 Z9 X; j
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们$ y I! y2 h1 R, e3 L) {
分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的4 P/ S& _' k" _6 S
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看2 g2 _4 {$ h x/ M3 ^) X/ o
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
' g( G0 W9 @% b! u# K9 X 端口:1025、1033 5 p8 L+ f& k! y1 o$ k" f2 }* A
服务:1025:network blackjack 1033:[NULL] ) r K% [4 \8 ~7 e/ D" S( l# P
说明:木马netspy开放这2个端口。 # I# E9 B7 u8 B9 R! a
端口:1080 . A4 Q) C- c$ ^# ]
服务:SOCKS
' g c5 J) U2 }' w$ ~: j; Y. `! ]& R. Y说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
& |7 C( t6 f N; L: `1 o。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于# S; p2 O3 w& w" o& F H2 Z. |: |/ F5 s
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
6 m& j4 W- w0 K- ]1 c9 w# ^种情 况。
: g ^# F! V# Z6 t) i6 I, o 端口:1170 3 }: }! R7 f% |% e. a4 e$ V0 Z* u. j9 W
服务:[NULL]
# B! K! `9 Z1 |, [说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。
* Q% ], F) _9 U' F# S9 r8 K3 h E 端口:1234、1243、6711、6776
! ?; m/ e# K: ~ S" B2 g) g服务:[NULL]
: F8 t) s6 h- \" A说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放) f0 @7 K6 d! B6 z
1243、6711、6776端口。 + {' _5 F% }* x, b3 U1 L; i
端口:1245
: ] P, A8 J% y2 ^3 R服务:[NULL] 8 c+ t' K. C$ g& j4 J
说明:木马Vodoo开放此端口。 ' E1 V+ u' N6 n Z+ K
端口:1433
4 Q, M6 s9 _9 H+ p1 Z6 a$ G( u0 G/ o服务:SQL 5 n; p; y+ M# W2 C- z
说明:Microsoft的SQL服务开放的端口。
' i8 n9 K+ i p5 }, g# [5 K 端口:1492
- s9 F- I& i7 ?3 v* @8 u3 Z2 w服务:stone-design-1 ! ]* U' v" l- l! G; R4 ?) y6 w
说明:木马FTP99CMP开放此端口。 5 j ] @6 v3 q5 q
端口:1500 8 J$ [" b$ `5 Z6 S1 m! N$ q
服务:RPC client fixed port session queries 6 e. w' n+ B5 ~% [* K( j
说明:RPC客户固定端口会话查询
4 w' ]4 @4 [: @ 端口:1503
) l4 ?" A3 |4 B" E, I k" A服务:NetMeeting T.120 - Z. ]* M6 K, j/ T$ V" v; H9 m9 E1 _/ }
说明:NetMeeting T.120 @& l+ t4 ?$ v1 X# ^9 ^: V
端口:1524
( `' u1 L+ f4 M5 p服务:ingress
$ }( x2 C5 s) B4 v% l* j说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC' [) K/ f5 d$ e1 J2 K! ?
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因# f9 D0 [. m/ N8 K
。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
+ _! C0 N& Y; S& P600/pcserver也存在这个问题。
6 ~6 i+ Q% A& \常见网络端口(补全)
3 `6 K! g. w% @1 M 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广
6 y: C" C( q% r+ Y播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进. k2 B `: E% Y1 K: g6 X! F' {
入系统。+ x. T' o5 k, L6 E
600 Pcserver backdoor 请查看1524端口。 ' W5 `: m9 D- J: b9 l' h, @7 w( |& x
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--. I. G6 R# g- c$ x# P* Q
Alan J. Rosenthal.6 Y6 ]7 G4 O# d- L4 Z* P; j
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口8 e8 ~. j/ ?- ]
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
1 q* H# n' b! x2 [- S6 C3 Emountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默$ X" B4 Y9 \5 h `1 q# m0 z
认为635端口,就象NFS通常 运行于2049端口。% a6 _8 f& l r/ Z
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
9 }0 {: o7 b2 @+ T6 G0 O口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口
2 I7 {# {5 B$ a% T/ S) Z0 o- H1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
& u# }4 [: H6 M# U: I0 a一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
# x9 L# ^- `. H* T4 v7 A; i6 N% rTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变; Z8 O, C0 E+ f$ ^
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。
# ]7 y2 s3 a: F w 1025,1026 参见1024
4 m1 M/ F# q p$ Z# @2 u& A& q' C 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址
! {; H2 o) _3 N# I: a& h访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,
- N& j# C _8 v2 M V5 _/ }它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
( J7 {" Z' S/ H# ]9 W6 T0 SInternet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
, G# ^3 c, r9 W/ W0 ?9 J火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。6 P8 \$ [6 ?- ~3 |/ L3 }
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
: {3 z2 r/ `+ q1 r: {# w
! S4 c1 {7 K1 K- v1243 Sub-7木马(TCP)
( r; b/ j) n- q, t 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针5 p3 H) L$ v* a1 v
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
$ [+ W0 V. Y8 L* H2 s$ t装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
" H( k; D6 }( U7 _/ H% G你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问( D5 \. M4 e- W+ V; K
题。
' A# F! @, e# l% \' y6 n 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
! @% h: b: C1 P }个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
5 U4 l2 @* a$ O, B% D: \: b) T+ t. w& Mportmapper直接测试这个端口。
& ? r, R( M0 \& ] o% Y 3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
$ h( j' r7 G! D3 w一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
+ |+ k' c3 E1 X4 R7 C8 w8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服- u0 t. p* ~- D. l7 t* M& u
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。7 V+ z1 U; r! h* T6 k* x8 f6 p& {% z
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开2 W5 t# h# Z9 U' I9 g
pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
$ l; c% O1 T2 S& r" V5 B。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜" }9 r) p; y% d/ c d& j/ d
寻pcAnywere的扫描常包含端 口22的UDP数据包。) |2 F4 |: y1 G0 P: ~! U1 j& c1 f
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如
7 U- r+ g% R5 @" w- |2 F" q当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一3 T' b6 q2 b0 s2 r
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
8 D5 T& q% s: Q5 u0 f告这一端口的连接企图时,并不表示你已被Sub-7控制。)
Q6 ?% r3 T" L 6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
! u9 \6 v- G+ a2 t( y8 F2 u9 N是由TCP7070端口外向控制连接设置的。" c8 G6 R0 N p# N/ {: z& u
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天+ d/ |. Q! ? @& s2 L- d( y' _
的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应' p) A; T; j: D
。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
, V7 O# Y+ R" f3 I) R* l了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作2 ^1 P- k5 G2 ~4 a
为其连接企图的前四个字节。
8 N+ e' R7 r3 \8 a 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
( n. Z9 C! w4 r) ]0 {( j"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
5 L( `1 n/ R$ f X- B种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本
1 c" B( q4 r1 n; j% A6 D身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
9 x3 }* F6 H4 n机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;
m# ]! V/ ?, v# d9 ^ M }216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts
2 T$ H/ n8 _4 q/ K+ Y6 o使用的Radiate是否也有这种现象)1 P/ c+ ]% s* Z' |0 P$ o9 J
27374 Sub-7木马(TCP)+ e# _! m% o* ]! S1 w
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。8 s; z+ f b+ Y
31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法
# B' i( u) o" X: ` E' L语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最( M2 }" F3 c& Z4 Y
有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
; o* F, a; o. z" H/ J( N越少,其它的木马程序越来越流行。1 V H4 y N9 }8 e, C4 y
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,0 n, {" m* q5 n1 t% }$ B& N
Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
/ G% ^# |5 |' C+ u317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
9 O+ \! \! R" W' Q输连接)
+ z& k9 Y6 z2 c3 D 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
5 C' }% I1 U" @Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许! D6 s, W# I# I
Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
5 ?7 J- T5 H1 N9 }) F6 K. `寻找可被攻击的已知的 RPC服务。- O" {! B8 i# @5 l: I; u
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内6 ]# k4 z) |) r
)则可能是由于traceroute。
4 C$ H' T1 o0 bps:
( ^; G0 T! w( N* A) I3 D2 {* G其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
L |9 A( q( ?4 F; U5 @& Q' ?windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出6 Z4 L% U0 l1 r2 X" b
端口与进程的对应来。3 J( b" c+ {/ c
|
|
发表于 2012-2-16 14:00:57
