|
|
从0到33600端口详解& I3 o! L8 ?! { r# ^
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
% g+ }# f" z; o% l3 eModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
5 m0 ^' S! M F: a7 ~。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如: @ n) N, u A0 x% Y
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的
# y a# h y7 B$ P端口。 ) A3 Y1 ?: c, ?& z
查看端口 ; I) X3 M) g2 k; k, X# Z- S+ f
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:% a3 k# ]) k( n' @ U
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
6 K5 z- r8 K- X( D: u) Q态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端 L* N7 O9 D) i/ K: Z
口号及状态。
! V6 H& \" f; V" G) _6 b t4 v7 [ 关闭/开启端口
6 \$ I) V0 ^' N4 X, x 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认) h* i/ _5 z* j+ U
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
6 ^" A: `& l2 ^; X服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
& `. Z6 ]- M8 R$ e: i+ Z, h! B" D1 B可以通过下面的方 法来关闭/开启端口。
& u8 l* I4 z, l4 K6 T6 H 关闭端口4 C! h% a" [( n/ n( k; o& ]
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”9 B( r/ ?! V4 w" ^4 {: |0 b2 }
,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
0 v* z5 W% a8 q: X+ RMail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动: E3 R/ C, J# U6 t% p, B
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关0 y- [" }2 m- p2 N0 d9 Y$ |& D
闭了对应的端口。 4 A5 _$ Q! H5 S; H
开启端口+ U1 q( G. @: f, S, V" @
如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
+ A# k( I& u# L1 l* F服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
4 B* t0 `+ B- J9 g。; P4 l9 ]9 S+ A0 F9 S+ T, d- Q% _
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
3 G, z5 R' {, r启端口。; L2 Q+ y7 m. f/ W7 ]; R6 Y
端口分类
g2 B) ?/ f8 z4 h$ F1 I 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
, j6 K1 o* G# N7 ` 1. 按端口号分布划分 $ r+ g) Y- \' L# p0 w7 ?
(1)知名端口(Well-Known Ports)
: l3 k( M/ m" [: L1 V( q" Z( y$ S/ L 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。2 R. i& T* a0 }" w+ [8 Y
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
/ [) @- ^" |! iHTTP服务,135端口分配给RPC(远程过程调用)服务等等。+ U1 M" j5 p' x, R6 S- z* d! R; ~
(2)动态端口(Dynamic Ports)" C$ t# A3 p4 Z d* t
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许/ V! V5 P7 j$ r3 J/ i
多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以
\5 i# m% y( Z从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的# K% _. I& p. Q( m2 g6 H% V
程序。在关闭程序进程后,就会释放所占用 的端口号。
* g5 o" ? b" Q- \, \% | 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
( J5 {* H2 u/ ?+ s! V! b8011、Netspy 3.0是7306、YAI病毒是1024等等。, t$ k) B4 @; N" @' @/ n5 W9 A
2. 按协议类型划分
& ~2 _$ K7 j& E; d 按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下
, i1 g" P8 L9 T n2 P面主要介绍TCP和UDP端口:
! `3 T. `: X% W& j4 C% b (1)TCP端口
1 H7 ]# L. s3 o! a G TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可" m1 q! ?% M2 U# J- D9 W
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以7 F, S' s9 ^+ f, R- y4 u
及HTTP服务的80端口等等。5 D4 C% c- m# f* f% N
(2)UDP端口
) z* ?- n, O# C, q% |3 E& p) ]# l UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到
- e: c4 V7 `/ v& F- |3 |8 E6 U保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
( V( ]+ S: p! o1 i- x8000和4000端口等等。( f0 ]# V: r2 e5 t- i
常见网络端口4 w+ J( {/ _. R$ \& n- g: E
网络基础知识端口对照 - P0 q' P' H7 ^+ l+ ^6 E, c
端口:0
9 B' w3 Y! @8 J7 y* E) T服务:Reserved
, |2 [& o4 a2 N" d" I4 [说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当: E8 C( l9 g* p3 Y" d1 Q- ?
你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0 C7 J) F+ M# b8 n
0.0.0.0,设置ACK位并在以太网层广播。
9 s# d( [9 X6 D7 K8 _# ? 端口:1 8 c6 U& `* |9 F' Z" c1 j
服务:tcpmux ; \; r2 W v# T c+ `% N
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下$ N+ Q/ R* t! n/ A* u; m( M
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
/ Z/ W; W+ E, Q" [GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这. Y0 ]8 O! t5 l1 ], Y: x6 f
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
; e% y2 c' X! c9 `9 |. u 端口:7
! y/ U2 r( l- R服务:Echo ) c& R- w+ e1 M
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 + y; ~9 L$ m& D0 ~! J
端口:19
' N: I% p$ R1 Z) K- G服务:Character Generator ! R0 h( j' c$ t+ U
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。
" n5 D7 i9 o7 p3 TTCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击
! I" m, i6 U$ A5 K1 H。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一* q3 P+ X- Q2 B O- o8 K% |4 T
个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 " ~( K" \% ]+ i7 G
端口:21 - U6 p. M% I3 { D
服务:FTP # `% @+ L: w( k) s, Z c6 S
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous3 O/ k; {/ ?$ i0 I: y2 O: @
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
1 o- k+ s( s5 t4 r; _FTP、WebEx、WinCrash和Blade Runner所开放的端口。
$ M. c( e. _7 A 端口:22
; P+ W. F/ f; c服务:Ssh 8 k: p% D) h5 \ Y( _
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,
) }$ y" Q% w% Z! o4 s3 s( U" U( k如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 6 O5 G6 |; D6 k2 ^
端口:23 8 ]* i: G% }) x) p6 u+ w
服务:Telnet
0 ^+ f0 y7 _8 B4 y7 f说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
2 c# e2 [6 S1 o7 x到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet5 l" T" w' J4 v, S: J: p2 S; _
Server就开放这个端口。
1 r! a! B* W9 W 端口:25
1 a9 Y- `$ o! d, U" O1 \2 C服务:SMTP
" p8 V0 M1 N1 ?1 d' `8 w7 ]& R说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的, K1 p* t) y3 w
SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递3 T d+ V" }! C# R2 u; P- F& ]% n
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth3 ]! T& e8 A3 L: ^) F! z& o
、WinPC、WinSpy都开放这个端口。 4 H) m1 R9 i1 G
端口:31
6 k) q7 Z7 _% V! U8 [服务:MSG Authentication 6 \3 Y: l# ^! H. x1 ]& f
说明:木马Master Paradise、HackersParadise开放此端口。
9 h1 E4 J B: B# { 端口:42
0 n% a4 ?- v/ B" {! Z9 f服务:WINS Replication
3 l2 Y! X7 s' X* s8 N说明:WINS复制 # L( K0 T% |) p Z! D4 J+ h
端口:53 2 \* ]8 b, V6 q- J f
服务:Domain Name Server(DNS)
! q8 l7 f5 M4 @& @: F- C5 P说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
( Q- j, F+ I& L8 Y8 Q或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
7 g, Y. q% z8 ~ n1 y 端口:67 # a8 o1 Y; q1 G3 w( F/ n5 g/ @/ C
服务:Bootstrap Protocol Server
) M# n8 [5 |0 P4 ~说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据 a# {) Y( f! y# D
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局
) P5 y- k2 y' n: ~2 l; a1 Q部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器
, j# ]5 T+ ]8 W1 e& A向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。) `$ v, m ^/ Y2 _3 j% f$ p- Q6 N
端口:69 6 l. Y6 f6 ?0 G' C' X' T
服务:Trival File Transfer
2 g3 K! R1 U4 n$ A9 M" ?6 z说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于% m. F2 \' q' C5 X; W4 i( e) E* q# R
错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 7 ~5 u6 b0 \, ~' S
端口:79
5 C5 U O# X# T1 K) \' L1 w服务:Finger Server , |5 Z9 ~: D; D3 v
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己
5 i2 U/ Q0 |2 l8 O7 ^9 `机器到其他机器Finger扫描。 5 B4 [+ z4 i- D7 Q7 j2 t
端口:80
, D9 m; F+ r- r. E; c服务:HTTP + f/ y3 A* { U" `6 ~/ _
说明:用于网页浏览。木马Executor开放此端口。 $ B6 v. H& f' u& m% z' u
端口:99
; Q# d) \+ G7 C2 r5 y$ n$ R服务:Metagram Relay
; g" Z" B% \ W/ E" P6 z说明:后门程序ncx99开放此端口。 + q) H5 T! d- h- b3 Q
端口:102
& z0 ]8 l1 |, P# k% H服务:Message transfer agent(MTA)-X.400 overTCP/IP
( G) V& o1 I/ T; o. I- Z! S说明:消息传输代理。 ; x' T8 ?) F2 Y& t/ y7 _) o
端口:109 o! M) o5 Q4 l9 j, G# ?6 [# g
服务:Post Office Protocol -Version3 $ o0 H- b7 F2 S- O1 ]' Z! c8 {& b. n
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
. E7 Q0 f$ C q; Z% r有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
; D- U9 g$ f' a8 F* C) }& o可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
4 {% ~; o6 v8 k2 D6 x; V. u 端口:110
A! C9 H* H3 @服务:SUN公司的RPC服务所有端口 1 Q. f$ q0 k/ Z3 k( w/ z1 g; {9 h
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等 * s9 X; l$ H- e) T: t O8 w
端口:113
8 J1 k% H& g/ h服务:Authentication Service
5 r) o2 T% S a( j! O8 ?说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
+ c# N- }7 x k, o以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP+ p: L* O7 i2 G `
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接, u [( S) o5 T/ c
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接4 F+ @( o( E+ |8 F& M
。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 / a0 y7 ^) C2 M
端口:119 " ^4 W* k3 l' [/ a+ w2 f
服务:Network News Transfer Protocol
" L; ^& d/ U3 V, Q" M' A说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
! a) n" n4 g4 [- p. ]2 F务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将+ `8 w4 e. E9 T3 j0 x0 W! P; f
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 7 D. J" P) t- q6 ^
端口:135
/ E- j; S: Q5 ^) e7 {. Z服务:Location Service
. X# D5 f R# |. o说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
7 J. g5 m8 \' `2 e$ m+ W) j/ y端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置& b( Z3 @1 k1 j3 A* ~: a
。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
( Z) H* @2 Z" D, @机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
9 M9 ~: W; N* z* ~6 j) s* w @& c直接针对这个端口。
0 \8 a c; @6 f4 q& l 端口:137、138、139 * k7 _. m% s% O: J0 [: J' C
服务:NETBIOS Name Service ) w1 ^4 Y5 }7 R: T" n
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
5 r, K O8 b/ x9 q3 o) P# D. F! V这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
: a6 E9 \& Y; r, u8 X) c6 W9 E: n和SAMBA。还有WINS Regisrtation也用它。
# W c; y; V4 g8 E9 l) k 端口:143 / v1 h# r1 D- H4 M
服务:Interim Mail Access Protocol v2
0 U5 w7 ~8 C+ `说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕) G, ]7 u' d/ ~
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的 ^5 n/ q4 t' n/ S3 K: P4 Y
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口+ Y* }) W) t, k+ E& N" y
还被用于 IMAP2,但并不流行。 4 T5 l, S3 t- b- r4 D7 D# ?8 M
端口:161 + Q, S4 e; |- p5 z7 t/ H, ^ p$ t
服务:SNMP + N: `7 ^' `" c! l/ w8 n9 N
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
" c! b) B0 K+ N些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码) m( [" E% I( ], x! B( o0 n
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用
7 I1 x6 x7 g/ v( I户的网络。 6 H( Z. O; d, c/ U$ E
端口:177
5 I& x8 w/ P( K服务:X Display Manager Control Protocol
; w3 o9 k" R1 H- i说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 ' R& V) N0 W6 c- c4 S- H; j" R, o
/ }: g7 @0 r' \" m0 F8 b% D' Y% H 端口:389
( B8 h7 _3 d: D. Z" |. e' y服务:LDAP、ILS # U( H- R/ [5 o3 c/ M- n
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
f- Y+ z' f$ F( T 端口:443 # }# i: l& M" v' ]4 d. T7 ^
服务:Https
$ L; v! O9 K' e, ]3 x说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
& M7 S( j3 e2 s' \) f! x4 { 端口:456 ; ^% ?' h1 w: q o) Z
服务:[NULL]
* t& y$ M) Q% l4 d! k5 I说明:木马HACKERS PARADISE开放此端口。 2 m; K6 ~1 B9 g& f* w$ m
端口:513 ; y4 D$ A; l3 F* u: @ @+ I, \
服务:Login,remote login " D. g' S: @: J4 _
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者: V( \! q3 _$ `6 P
进入他们的系统提供了信息。
6 w( F7 [1 r+ g* C7 n: Z$ O 端口:544 3 f: K, }5 m, k% d: q# Y' Q/ x
服务:[NULL]
3 V; X$ g/ _8 ^; t* \0 x! k6 }说明:kerberos kshell " b4 C: [1 H1 J5 X! q) W5 k! q
端口:548
& c5 W7 _0 C; x n服务:Macintosh,File Services(AFP/IP) 7 u1 t! \+ q8 H2 m* K" K
说明:Macintosh,文件服务。
1 J7 `$ y& } U3 q( | 端口:553
0 K Z, Y: X( S9 d" k服务:CORBA IIOP (UDP) 2 n, `$ g$ [! w, E5 T; \
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
) S0 {4 _# Z# r: E1 P" d, `; y系统。入侵者可以利用这些信息进入系统。
' }9 P! Z }: k! \! n6 e% l2 D 端口:555 % l* P' D& w+ {0 D
服务:DSF
$ L, y# H) u( g; v; U! P说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
$ t# ^4 m! F* Q, h 端口:568
, N' y1 i. E! J/ s/ T8 ]4 T服务:Membership DPA
* x/ N4 q( s% Y6 b' P4 l说明:成员资格 DPA。 - a- O( ~' p5 _( @7 _
端口:569
4 T: z: I3 V) [. _( j服务:Membership MSN
/ Y6 L7 [2 j/ c1 ~8 g) x Y, t说明:成员资格 MSN。 " T0 K! i4 X# T
端口:635 2 G7 }7 R( N9 \' D, A% W( R
服务:mountd
3 t% e6 x& _* S( `9 G* Y说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的8 ]! y7 |' @" Z1 T+ V! r+ ^7 o
,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
( H! I% l2 `4 Y4 k5 k何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就, w& Z5 v1 L( W, Q
像NFS通常运行于 2049端口。 2 g9 r( f3 \. D( S. u
端口:636 6 L1 x1 |3 M) E; `, p
服务:LDAP
9 Q% x. G! H2 _; a3 H# J5 a3 b- m说明:SSL(Secure Sockets layer) ( g+ G6 K, B6 L2 K9 m1 e
端口:666
1 j% A/ T7 B1 _4 O服务:Doom Id Software
2 }+ e2 o8 Y1 x1 ]" H6 I说明:木马Attack FTP、Satanz Backdoor开放此端口
- F/ S1 b6 N4 C7 O L) t 端口:993 : R% x9 t; m- @
服务:IMAP
. F$ [. E7 {' M! r5 ?9 x说明:SSL(Secure Sockets layer) ! ~5 J b" v1 S7 [
端口:1001、1011
0 v: g q6 M4 H4 E7 I3 ?3 |; t服务:[NULL]
( u" T0 E }; f) D4 p说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
2 g& M e3 b1 O& K* ^% k( T 端口:1024 + b4 A3 ^9 p* `4 \
服务:Reserved
$ M; I7 e1 G7 c" O C说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
7 y+ W# K, g) S- J分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
1 q/ R3 K9 F L2 e( I( o/ {) x会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看: J8 O5 q9 y7 U$ R% {4 ~$ I. P- [
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。1 r+ u2 ]% _ r u- k/ c. d
端口:1025、1033
) @) ^6 v* r, W) V- N5 @" [服务:1025:network blackjack 1033:[NULL]
8 E0 y. S$ B! V1 F% N. x! k0 p说明:木马netspy开放这2个端口。
$ |$ g, e' U; I; c3 o/ ] 端口:1080
/ c0 W- d, x( A* B0 i服务:SOCKS # S/ Y5 K0 U: L
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
$ @7 x5 n& k6 D+ U% `3 \。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于3 a8 p! r( }% I2 N
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
; C" P! a/ f6 W( s种情 况。 , M+ v2 z0 N( ~) _
端口:1170
+ g d9 w' M4 H1 X服务:[NULL]
* x% a2 J9 ~/ }/ ]% A. V; s说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 / r) N& Y4 }& l; I% h' P
端口:1234、1243、6711、6776 $ ]/ O! a. J3 d/ G8 C5 x
服务:[NULL]
5 H0 H2 s4 C# _2 z# h' R. a# p说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放; F# T B/ t5 B' F3 a
1243、6711、6776端口。 ; E. m W& Q1 L
端口:1245 5 s Z( l1 _- I4 J& l
服务:[NULL]
* O; K# _7 j g2 A5 I# k: {说明:木马Vodoo开放此端口。
& Z) L7 X* N- E4 D 端口:1433 7 S2 e; C" b+ r( ^
服务:SQL
$ O- S/ I6 y6 k; a- D/ T4 i: P说明:Microsoft的SQL服务开放的端口。
7 [4 Q0 r/ n1 G/ p: _ 端口:1492 % o/ g" q3 W4 r! H6 J
服务:stone-design-1 ; A6 x X, X q, K
说明:木马FTP99CMP开放此端口。
W, i8 q5 T; |0 ^8 [5 v 端口:1500
6 e3 T' B8 |+ X, C, P2 D* c1 C服务:RPC client fixed port session queries
; z% ?3 @* L) r+ W) a9 K1 x说明:RPC客户固定端口会话查询
9 w$ d+ z$ G" I" H 端口:1503 6 N/ Y" x% N- u, h) ?+ i4 z! b
服务:NetMeeting T.120
0 C7 |7 ~: C: P w5 f说明:NetMeeting T.120
/ @ p9 j9 @! I- w 端口:1524 7 V" T+ q$ t$ |$ e( t, ^2 q
服务:ingress
# I/ f$ R8 z; p) U说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC
8 j( Q' ~$ q- h. \5 j) x5 B+ @# [服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
7 s& y6 H; K( \; C$ v。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到. |. g) E$ S c0 T, x
600/pcserver也存在这个问题。
2 A6 E( o. [: G# l; m常见网络端口(补全)
. Z" d) C2 |% ~. S7 Y 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广
* x2 [( I+ B( q2 X3 T播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进0 L& I; _" M. C, {* L2 B
入系统。
7 [: {8 L: ~. ]) ] 600 Pcserver backdoor 请查看1524端口。 & j5 ^$ f) q; k) Z, m( [
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
9 \; I. d' t) HAlan J. Rosenthal., V; ]0 Z& {" \. ^; ~0 {/ U5 @; o
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口0 o9 k! N( @9 X) t1 P
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,9 q! I3 t/ n3 k: b+ S3 _
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默3 U) t0 O% L! L1 F" x, y
认为635端口,就象NFS通常 运行于2049端口。 N, ^! o( d$ I/ v
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
/ g& P+ ?6 M: M口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口
7 F+ W W4 J. I3 _4 f G3 O9 E& B7 t/ u6 u1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
6 D# W1 K, ?& u' d* t4 R* ]. U一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
8 p: { c0 l3 K; c, DTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变
1 s8 t! [1 Q' N. {+ E; ?1 x大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。 T) W S5 c" W. R
1025,1026 参见1024
, P9 W5 P- Z6 f' {, [- \ 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址
: Q5 c4 q; K. H- i8 P+ `3 \ |* B访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,
. O( e9 G; | r2 E它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
5 I" R& S$ z7 \9 |, R: YInternet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
3 x' C) b7 W1 j* o火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
. ~$ T8 n. N1 G8 K/ O% W: H 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
! p# O% ?1 r' F: T
0 E/ V1 H* q! r+ Z: P( I5 d1243 Sub-7木马(TCP)
9 u3 I1 J" t* n# h 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针
2 e" K8 R. u' Z5 [; d' Y2 K1 z对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安1 v" ^2 Y, a I2 B9 Y
装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
% P7 W) I, g) o$ n% q# @7 S你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
- [$ A3 d1 a7 P. W+ p题。
7 }7 _, t' P/ a9 W+ e 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
, i4 v3 C/ g g个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
- h( c) V$ r2 n+ P5 T; f, Hportmapper直接测试这个端口。
- P' b- I2 `4 h, N* d 3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
4 D/ V2 t7 F0 R) J" Y$ q$ ]一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:% l9 P9 y" {# I" b
8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服" J! e: [$ t3 l6 h
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。$ g; r; c' W# C# F! `) H
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开9 N2 V% n' q6 x* O0 j
pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)) T _9 O0 v( h" E2 J3 K: S
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
& A' A1 }0 J" ? r, F寻pcAnywere的扫描常包含端 口22的UDP数据包。
# z* o' Y! H0 N8 X* g 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如
9 t: \+ y* k& M* W; v- b& \( n. q) r当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一8 u2 s' Y0 _( s
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报7 Q$ s% B+ `# Z' c
告这一端口的连接企图时,并不表示你已被Sub-7控制。)) j+ k6 k) r$ R, x5 v
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这. r- `; o, V; s4 b/ i
是由TCP7070端口外向控制连接设置的。
9 q, \5 t8 N+ v* V& t- | 13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天! I: V! t% l: i
的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
4 N0 H- R. f4 R6 s5 q。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
- {6 ~1 i/ G1 x6 G了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作: V3 u* B4 m. T# W; g: ^
为其连接企图的前四个字节。8 T# r2 ^9 S& h$ X6 r6 K3 V# N
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
0 w9 W$ y9 g& M1 X; J) O"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
6 o p5 P9 ?! Y5 z种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本
! Z* a* i0 m1 T* o身将会导致adbots持续在每秒内试图连接多次而导致连接过载: 6 a7 L( D# V8 g
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;
! c) q+ v" F- t" a, q/ W216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts
& g) v; ^9 f! g7 a1 W9 X* ^' E5 f使用的Radiate是否也有这种现象)9 I: d6 L* l; W- k' z! A
27374 Sub-7木马(TCP)1 e! m8 f4 O. H8 a4 @/ p) l
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
0 W/ q( k# V, F) B$ i1 c 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法' Y0 t- D/ Y% L
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最4 N y% G9 r' z2 A) J6 S3 Z# K4 n
有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
# X- y, l( m3 q: m2 a5 f越少,其它的木马程序越来越流行。
2 c8 \- |# g1 b* j 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
' Z* H" H7 R) r3 P/ ]. D$ DRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到4 }3 d% u4 K" N" z) V4 u4 G$ M5 a
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
) c. O: {! I+ K8 q4 d7 C输连接)
* R4 s% \) ?& O. X 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的' P" q) ]# Z7 p
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
+ r* U& p) Q7 }) r. [2 V6 MHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
' H9 t3 |# A9 u* Z( X; m/ H寻找可被攻击的已知的 RPC服务。
! S4 R8 d' V3 f 33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内& \0 g, W& \2 @" i7 W( m+ @
)则可能是由于traceroute。: s7 _9 x3 {; s+ \) u- @8 W
ps:
8 Y X$ h1 p- H& R其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
0 p( g$ e+ S( Q$ Hwindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出
5 J' c$ G1 @) N# {2 V! [端口与进程的对应来。
$ X; b9 T* u) I' m2 m$ I! c |
|
发表于 2012-2-16 14:00:57
