|
|
从0到33600端口详解
1 T' W8 h1 Y- f! z: ? Q2 a 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL% k# a7 r: v; g* R8 I
Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等" H% C h9 }8 A3 B( Z) L
。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如+ I0 Z5 L0 @3 @* S2 R$ A$ n1 u5 X
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的1 S4 m* o7 y5 g! b$ {9 s
端口。 6 }- v- E L% z; e
查看端口
; S; C3 J; }6 Q& C, {$ |& l6 x$ G 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:
/ c) \' |% U2 T1 X! w 依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
, O* J7 t3 @% d3 ]1 L. [+ |# N7 T7 e2 M态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
$ J3 S& D" l5 p) d/ B6 X: ^- U+ @6 n口号及状态。
7 `0 {8 y9 {% x% v3 b Q 关闭/开启端口2 K8 O3 q2 e, C& B& r9 b
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认. P. X1 J; v# O4 g7 u' t
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
$ u0 }( H( u) L服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们- }. h! M9 l% C- J2 O$ p# f9 t2 G
可以通过下面的方 法来关闭/开启端口。
( J w0 e( d' L4 e* U( z 关闭端口# g! L5 }8 j. p. Z$ h5 G, f
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”! P. p/ o8 e$ {6 P$ P
,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple% [& U' N$ z) {! n
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动
: W; n4 [, `+ [类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关
7 s' x% ]. X- p C5 h) {闭了对应的端口。
: T3 t! V @& X _! ~9 m$ j3 J 开启端口
9 m. C0 [1 j, R, c$ N" } 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该% A% v- Q6 d7 e& j0 x( f/ W6 @! e
服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
( }' |. i4 r/ n5 t- X" }。7 i# [& x# B a& ~# @
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开, [9 \ o. Q( [0 O$ P1 J1 M% ~- B
启端口。
7 q ^8 P9 X: _5 m; p, } 端口分类 9 z8 @/ A9 [* w' u+ p6 l
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
4 `2 r! j% C' V 1. 按端口号分布划分 - C4 |6 i W5 S5 \
(1)知名端口(Well-Known Ports)
2 q4 p" z, r7 P* ?9 @' Z, J U 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
2 _' D' U. ] g& X比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
9 u. _) }( t( z4 r2 R3 pHTTP服务,135端口分配给RPC(远程过程调用)服务等等。
6 r$ [! {. Z2 n, ?" e( J5 ?9 n% \ (2)动态端口(Dynamic Ports)
, {+ Y b5 L9 z7 a2 J1 N$ ` 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许- j; \5 K, C7 Q6 I
多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以
3 }" w& z( t8 w* m6 U# x从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的1 H, X( e& G+ E' A2 {: w k
程序。在关闭程序进程后,就会释放所占用 的端口号。5 B w/ |& e7 v; W0 o X
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是" j$ E# e0 X0 n" O# D# n
8011、Netspy 3.0是7306、YAI病毒是1024等等。
% w; J' C" t9 K2 g 2. 按协议类型划分5 D# ^& h1 W& Y) e7 V% r1 C
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下3 @* o1 i# j i4 Z1 I
面主要介绍TCP和UDP端口:
+ A0 m9 h" ?" D( L/ J; U (1)TCP端口" }, k9 H2 s+ g% L. X6 A! q2 E
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
. a; J" J% L0 Q' H3 V. L靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
! j! N: D0 N% Y% V" m+ Z+ w4 ~及HTTP服务的80端口等等。2 L! R% N; k1 Y/ e
(2)UDP端口" F& N; O: b: D) L8 e
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到6 [3 O. H- y* L% P3 e
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
% B* F3 X/ H Z& `# H8000和4000端口等等。4 J6 F8 _5 [9 c
常见网络端口
# s9 l \8 e& t9 ?9 w ^! ^8 V. a 网络基础知识端口对照
& W* J) z. B2 P& z& q/ _ 端口:0 2 l- i$ j7 a0 `+ L1 m2 s5 H# e
服务:Reserved
. A5 V4 v+ B2 Z& V& W% z! k- p# e说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
- X8 t; r, y8 _& s你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为/ k8 } s5 X: k9 Q5 s, |! ^& c* L
0.0.0.0,设置ACK位并在以太网层广播。
3 u2 N4 L+ `5 c, u* T+ a# [" ~7 `8 P 端口:1
; {6 v% E: V0 [6 |7 z7 l' K7 C服务:tcpmux - V; c* C) ]2 B& i$ t7 J
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下+ s! v' d) ~6 r! c# v7 X& ~
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、& ? x: H% {% a; p0 [
GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这
& a" X* m& j; {" x9 r( p# q& R些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
# A- e5 C% ~( R8 m( [ 端口:7 + i+ K! v7 `+ z' N" P+ ]0 ]
服务:Echo & i& s" H6 u0 J. R" r* n' A; v
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
6 ?# w$ s# j( m6 @ 端口:19 z, m' ~+ x% o0 ^
服务:Character Generator
) V& @, e$ S u: l说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。
9 ?1 V+ z9 J' wTCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击
/ y7 v8 t( [1 i# R5 N。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
. a+ c. a* j* n2 @个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 ( \2 \. z5 }/ N8 i6 t
端口:21
0 w7 M j1 u# Y! [服务:FTP * \+ B8 B0 f9 Y3 ?( x4 B7 [
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous9 S7 s+ N# C7 {! t
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible( g3 F8 \8 l5 G1 Z/ y' F
FTP、WebEx、WinCrash和Blade Runner所开放的端口。
/ x7 t* S5 P% z* l6 J* G' _; R7 W 端口:22
/ U3 C1 p) p/ c: n; t4 ?服务:Ssh ' n; h3 C1 r3 c5 C
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,
5 h8 T% U6 o$ {2 l: i1 Z如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 " }4 j2 S M! ]0 G
端口:23 3 u* M( p/ P# X2 t9 C
服务:Telnet ) I# n6 Q& c8 {- O" m* a
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找3 t& L- e. C0 _( r/ O+ d6 ?
到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet/ P4 J1 }3 z8 T6 m
Server就开放这个端口。
/ \( l: J, N& _# W' t0 q6 {2 B( o 端口:25
9 L: }0 N. L, i6 v' i服务:SMTP
% f- p& w8 x' o. O& }说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的- u) Y' Y5 }! V7 s# N9 w4 g1 \! W
SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递3 o9 [: |; Z, V
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
, {7 A9 X& @# S* B、WinPC、WinSpy都开放这个端口。
+ y+ E* M* g l& N 端口:31 " S" w% G0 |- d( i% v# f z4 R
服务:MSG Authentication
4 E) E" _/ a0 G" [. g& X- h说明:木马Master Paradise、HackersParadise开放此端口。
& N( ^4 m2 d5 H6 \, S- q2 I' c 端口:42 ; G; w# o; [4 `
服务:WINS Replication
' u8 e ]$ E+ F \( o3 b3 {说明:WINS复制 ) K2 P( j2 c4 m6 `
端口:53
, a6 l3 T. e) T7 v, Y服务:Domain Name Server(DNS)
( V/ v3 A: P6 M" X7 x1 v/ f说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
4 ?* q( J: X. w2 C" J或隐藏其他的通信。因此防火墙常常过滤或记录此端口。+ W' U/ P- \2 Z2 S
端口:67
: Q3 W0 l) Z; |4 X( Q服务:Bootstrap Protocol Server
1 ]* a3 K: i( R+ k- M9 q; e说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据- H; {$ {+ b8 @( ?
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局& z; x2 L; z( }# B0 z7 Q
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器
2 F1 ^2 N& r" f% E3 I向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。) p$ Z0 R v" A1 o2 f
端口:69 ' s8 j* Z1 R0 Q
服务:Trival File Transfer " d- I+ u, u/ j
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
9 p8 x# x; l" y# U/ }8 U错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
) [& a* v7 N) M/ a 端口:79
" Y# h2 j0 \4 }- y服务:Finger Server
- O c6 Y. S8 C& H4 o$ _9 b说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己3 C/ L0 e( T6 [0 O
机器到其他机器Finger扫描。 2 f& Q3 C( t/ _" E% _# {3 q& V
端口:80
3 r: a8 k9 M |$ K* @服务:HTTP
" t; d/ {! c3 T+ `% ~说明:用于网页浏览。木马Executor开放此端口。
) d( h" X) A# _1 k. g- a 端口:99
% L1 n( B/ I! a$ _服务:Metagram Relay
1 O: }' X9 c( ^ p, |, F说明:后门程序ncx99开放此端口。 . G- Q$ |2 \4 \# D! J3 I
端口:102
+ _; e( `4 i% u+ p+ D1 s服务:Message transfer agent(MTA)-X.400 overTCP/IP
2 @, B8 {- D& h* E5 I说明:消息传输代理。 ' n2 E d7 H, Y4 D, g
端口:109
& I! n) w1 C" _% `- a# v! t服务:Post Office Protocol -Version3
3 C8 }( N! Y6 m7 f. M+ s* l说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
/ V4 Q4 ^4 `0 i; g有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者( s. Q$ `+ U8 _7 V; f
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
0 a' ^; ^+ h6 w4 Z 端口:110
& @& Y- D8 L! [& }. n& u服务:SUN公司的RPC服务所有端口 " ~6 J1 ]2 E! b5 [
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等 , C; N8 k0 Y! P- F( V6 s; z
端口:113 1 T4 f& E/ Q$ ~7 d# @" R* K+ Q' U
服务:Authentication Service 7 c% x3 L* L* y9 @8 E8 a k
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
" v2 h7 ?% D& |: O以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP w( m# z: j2 h$ d3 b
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接
[) B8 O6 u+ v9 V请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接3 l1 t! v+ g2 a7 y, T! z
。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 ! S+ F6 f* X" U5 F6 e& ]: ~" E) d
端口:119 # x& H9 c7 q+ H3 G9 z- g! n
服务:Network News Transfer Protocol 0 w) w5 l2 ?* d2 d) Z, P
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服9 F2 Q. t- ?, B" x( T% E3 v& {
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将- }3 U% Z" u4 X6 g8 L: p! z
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
) A" @; U0 q+ M. s1 V- D 端口:135 . X# e! V7 {8 a& j7 g7 R1 ^" J: o
服务:Location Service , e7 k6 u' t6 K2 ?- y9 ?9 g
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
N: O4 G4 v; G# x6 s" `' q0 o V端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置4 v3 Z% Q4 S, L6 z
。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算6 T( r: s* J, r! \; y
机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
% E! G' F6 |. X( Y8 b0 ^直接针对这个端口。 , b/ m* v( }3 P: x7 r3 H
端口:137、138、139
5 B3 }: u) z5 C2 W& J7 s3 X服务:NETBIOS Name Service
! Z% t4 ^) M8 d说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
6 q9 `; Y B1 M% H' ]5 J这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
' m0 r7 a$ K# N7 O* o3 V+ d6 R和SAMBA。还有WINS Regisrtation也用它。 * B- m# O# P! c6 v7 }4 ] H
端口:143 8 q! W6 X8 R9 h. ]: ~
服务:Interim Mail Access Protocol v2 ! E5 a- A+ S! H' z6 h
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕
% t$ U" l2 g' }虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的; L2 ?& O5 i' S) l
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
6 B5 m" I$ p9 t5 h1 \还被用于 IMAP2,但并不流行。
4 B- Z* @$ C _% T+ t) B% n 端口:161
- t% @! p# a/ u6 i服务:SNMP
4 y; L1 k+ n O( d" @, [1 }说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这3 E" |" U9 H1 r- P" G; ~
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码
4 s" @+ |, {$ Fpublic、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用
' ]7 d, e% k$ j户的网络。
0 i: F& A- |1 {9 K5 [! Q1 q3 ] 端口:177 : @% |: w3 T) H, W) K7 k% M' B
服务:X Display Manager Control Protocol
/ p8 K H, z6 l2 P! a: Y说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 ! t4 v0 M( V( Y% [
8 W L* U4 J* c4 z* E5 K$ C( k+ S/ L* W7 v
端口:389
% m2 E. g* M c0 G服务:LDAP、ILS
7 j0 \& S, ?' S G3 @3 T说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
0 b1 _2 y, `3 i 端口:443
, {* c! E \ \, [, r) [+ c; x3 z服务:Https
3 P! ?, Y; ?& T- u, O" J说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
' E% \: s7 \" Q) h# B 端口:456
* S m1 p3 w+ |4 l5 h @服务:[NULL]
! B3 t, R# l% h+ O4 t) P8 |说明:木马HACKERS PARADISE开放此端口。
* f# L, R" n+ V 端口:513
" T: W- t1 |8 W& e5 g服务:Login,remote login / k( ]% O3 F2 ?
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者, H' F+ H8 q% B
进入他们的系统提供了信息。 p. ~' u* a; R
端口:544
) U* ^3 c& ~; ^服务:[NULL] 2 L9 p c) m, L* ~0 O9 A, f; P9 q8 }
说明:kerberos kshell % ]& L( P7 V9 a8 _/ O/ l) U% \
端口:548 & J: k5 K5 o1 m ^+ l8 R
服务:Macintosh,File Services(AFP/IP)
! [/ ~9 B# h+ K# ^说明:Macintosh,文件服务。
/ W! O1 d. z1 g* _& u# z$ y# @ 端口:553
9 Y+ l8 f8 V$ q" ?+ ^3 w2 P8 T服务:CORBA IIOP (UDP) 8 {8 S- e; f. b7 a& [: K4 h
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC# R1 \; I9 @9 m" J( q+ i$ C
系统。入侵者可以利用这些信息进入系统。 7 I8 | u1 n) U5 F) s+ p
端口:555
$ _* ~: {' \7 w6 G服务:DSF
6 G0 R* O: N/ _& z' \0 ^7 W说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
) h/ S. @/ _. W* ` 端口:568
4 Q* i& ^. E3 M7 @0 _服务:Membership DPA
8 A2 T9 Q/ G& t7 e5 H+ r- w: z说明:成员资格 DPA。
- C c1 q9 u# a+ _ 端口:569 4 W, J' C: j {; G: x# Z$ S7 N6 _
服务:Membership MSN
- }! ^( [- X& y; J: \5 X: w说明:成员资格 MSN。
: l* V4 h- i! [$ M' [5 H" k 端口:635
% A. s4 x5 z, w: i# \# i' r服务:mountd
% v6 y5 v. T& n7 A& f0 t4 n说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
3 |! w% W, l7 a8 n" [6 },但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
- K5 T2 X( Z! `5 D* ?何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就
( B) q, ?& I% N9 q) s像NFS通常运行于 2049端口。 ( {+ z6 M2 z* q
端口:636 , d" t$ K, d$ _0 v5 w
服务:LDAP ( d. |, ?5 r2 |' G* J2 R ?1 o# Q
说明:SSL(Secure Sockets layer)
: e# F+ D4 C |' u: E6 f( N 端口:666 % s2 s8 w; W- x; B- P0 O
服务:Doom Id Software / }6 j6 }5 t( h; c2 {
说明:木马Attack FTP、Satanz Backdoor开放此端口
5 R7 M( |9 H! v: j1 C( A( u 端口:993
/ F4 M+ N5 ` { E5 V服务:IMAP
# q$ l1 q6 w* H. n2 g4 J说明:SSL(Secure Sockets layer)
( a; a- k/ i; a; L! {& [; d2 O% t 端口:1001、1011
* m$ m, H- X# k& f ?服务:[NULL]
9 n- v) N5 G5 X2 A2 j说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 2 }4 K+ R3 M6 a' R
端口:1024
. z4 C+ _( k. {8 U* l服务:Reserved ) |6 `. S1 x' S" g8 v8 l
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
8 ~3 X6 V7 E" ?% B H分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
6 [% K. e0 Q. d: M会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看6 u0 ~8 Q. @: B+ @+ u
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
7 m. n9 J/ @1 b( ?9 D: ]! E5 d1 r 端口:1025、1033
1 r: F5 _/ J$ }服务:1025:network blackjack 1033:[NULL] ; v) j& @; ~; F% f' C5 ?' t, L& F$ o
说明:木马netspy开放这2个端口。 ( L" `) Z! w0 x/ A1 V
端口:1080
% V: }. {9 E' @ p$ R( Q5 J服务:SOCKS
. \7 A1 c( j7 I8 p) ?9 e* z, c说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET- ?5 G$ L+ Q/ u: A% D
。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于
. n: f) n. [6 Z; ~) X: @- ?9 t5 k防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
1 [( I' Z* I c) O, H, j1 ~种情 况。
' N/ R9 f# D* _5 Y 端口:1170
# n9 n w% H8 d2 s服务:[NULL]
5 J7 C- N3 E) e/ \, Y3 E1 Q9 [3 o9 v说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。
' A2 Q* n* [: n1 ~! U3 s 端口:1234、1243、6711、6776 $ y, A( o! W' P% Z+ w
服务:[NULL] $ _' a3 N$ t2 J7 C7 B( o( R& B* U/ `
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放
g4 M$ p- d2 M# x1243、6711、6776端口。 $ R' O3 _/ q% d( y$ n
端口:1245 4 r4 M$ G: [. l: X
服务:[NULL]
* j+ ~9 q9 l& l [# i' ?: g: @1 q说明:木马Vodoo开放此端口。
$ y( [9 F$ s( f9 g; g, T, m2 q3 E 端口:1433
3 F/ e: T' H9 b* A+ [, @服务:SQL " P1 U( x6 N f+ T( b* n
说明:Microsoft的SQL服务开放的端口。
! l& E- R- _7 n 端口:1492 , }# w# l% K+ P
服务:stone-design-1
9 \1 X5 N4 @' N/ C( g, O说明:木马FTP99CMP开放此端口。 & w3 a8 N- b* s1 D
端口:1500 8 P: S. i2 e' H. s2 T. H; D
服务:RPC client fixed port session queries $ X2 {1 K% z4 A' v% U
说明:RPC客户固定端口会话查询
1 ]' P2 t; t- z- Y" m( t 端口:1503
) M7 p; q" z) Z- [3 ]% g2 g" J7 }* J服务:NetMeeting T.120
8 }6 I7 v) e8 ?! a说明:NetMeeting T.120
' H2 z& i$ T5 J7 x( _! ]- E* Q 端口:1524 0 \' h& g* y \3 E) y: t* C
服务:ingress , ]9 ?) J) v) f; J
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC4 D' x4 g1 V+ R) d4 U
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因1 p: J, X7 p4 t( G( N
。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
: u2 b1 j: `! L2 z8 Y600/pcserver也存在这个问题。1 S, J4 I. N8 y5 S
常见网络端口(补全)
, C5 a! \$ g @ 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广7 {6 d: U/ v4 n6 d3 F/ _
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进: m7 Y5 ~# T# A: P
入系统。1 Z& a8 R8 h7 K+ P4 [3 j# E
600 Pcserver backdoor 请查看1524端口。 9 L9 c3 {/ ?4 v* Y
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
9 [- K! d# X4 T$ y6 a8 _: ?Alan J. Rosenthal.% v u/ c9 b) l% G4 ]* k
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口
8 n* }* e3 y" U的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
( v6 y: y+ w3 A: e4 Nmountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默, B2 T/ m @- |* H" J
认为635端口,就象NFS通常 运行于2049端口。
7 w1 U8 m; g! b8 v' j$ e0 V 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
+ S/ ?% N Y1 C- p- _9 r5 i m- J口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口2 z! T7 m: o; e( {6 _
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
- S1 p& f, T4 a% z: Y( o& O$ x% _3 r一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到 I7 w. z$ e. s& [5 x( T
Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变9 f( [7 g n1 m9 l7 v# K. a5 X
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。
. C% `6 c( ^+ ?0 y6 ~' B6 C 1025,1026 参见1024$ f$ i$ k/ L( Z5 n# F* N
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址, V6 N* M: o3 X- E
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,
7 g! Z' g# y0 G它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于0 M+ h& \' X. S" P1 d. ~* X
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
' K+ G: B# P1 V# h7 O火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
" @2 l) A) ?- ]# ` 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
/ [/ S2 [3 f& y6 V& F& | p% S9 s- M$ j! c7 f
1243 Sub-7木马(TCP)
3 u, Z f; F D m7 m1 y. e 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针9 O6 P6 K: }; d1 l9 P1 r: A+ O
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
! ]+ w) c" C7 {/ d& K3 v! E: b0 s, O! A装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到0 l7 l+ e3 {/ p4 ^, }
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问2 {7 I& O& c& e$ z5 ~9 f3 c0 y
题。
1 X. i4 B% P* F- W% y 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
D! [4 \4 m# J, t' ], q# K7 ?( V个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
, \2 p( k9 G( b2 [7 gportmapper直接测试这个端口。% {. [% S, N u( z/ l# I" V
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻( G- ^- D+ h5 V, ~* p b" T+ |; s) C
一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
' h' {9 A" h7 p7 n4 e W8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服" R% q% H1 I' M4 Q( T: L0 r, }
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。" ?4 ]7 n- m9 A: E
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
& L8 Y: \* y: n/ B; JpcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
/ ^$ t4 C/ u% I% O0 i( R, g' ?。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
: P2 S; {! L6 m' U: E0 i寻pcAnywere的扫描常包含端 口22的UDP数据包。
* b7 J. ^+ g+ c) ~7 n: q; g& T 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如
0 A4 T4 k9 k7 E当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一
8 z, F6 ] I! T5 o3 S人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
! B! B7 t8 g/ Z3 F: {- y) j告这一端口的连接企图时,并不表示你已被Sub-7控制。), B% j% I! U* ~
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这. i' v# }* p5 C
是由TCP7070端口外向控制连接设置的。) \$ w' i4 g0 N) G+ `
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
$ z: B9 U9 ?( N' e1 ]4 _的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
( h+ k% K1 M$ @, [- K# C。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”; ?( X2 q$ @2 k: a
了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
7 J1 E! H# T3 Y' E为其连接企图的前四个字节。
+ K0 E/ R% V5 X 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
6 T L- n8 d/ p2 l3 I+ U"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
) v3 ^3 E5 c3 M& i, G# L- [& [5 \种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本7 U' c) d% L1 L& z4 |# }
身将会导致adbots持续在每秒内试图连接多次而导致连接过载: % r0 A8 v$ Z; V" X
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;
6 a. @* w4 e: |6 S$ z216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts
" F9 ~$ y* j- S; b: e9 R0 z+ |使用的Radiate是否也有这种现象)+ ]2 e9 G8 M( W d$ F
27374 Sub-7木马(TCP)2 F3 h2 B# B9 T3 O, O4 l
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。2 x& F6 ^6 Q! a: C
31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法
8 ~' e% o8 X7 R/ l8 n语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
: r% Y( [0 c1 U! v2 Y0 Z, ~有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来2 c7 T+ P( e! w. ^9 T% {1 X
越少,其它的木马程序越来越流行。
F6 m5 v+ l! V) @ 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,& y+ d* F: q! {, |
Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到- u5 J) ?* l, j5 E: j& I
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传! @" l! g9 w4 F+ J
输连接)# u" m6 D& x$ Y5 @2 F% r( y
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的4 s5 y5 v+ f+ q- {, {4 ^) f
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
- S1 y" ?. t9 Z4 mHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了) x" z# {* j4 ?% j% H. f
寻找可被攻击的已知的 RPC服务。0 R3 X% |6 N# e+ N/ J @* G: Q) j
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
- k$ k0 b q" ]6 ~; a)则可能是由于traceroute。
) w6 ^" R: {& A4 Y2 g# G# @ps:
: \% v; J" {# b$ w2 ^其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
* @: _/ r9 X( rwindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出* I2 z/ T' X$ r* t2 h
端口与进程的对应来。 Y6 e% Q, R$ [; v
|
|
发表于 2012-2-16 14:00:57
