|
|
从0到33600端口详解
1 ~* G3 s5 T1 q3 S8 y B# m 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL! m9 Y( N& Q7 {
Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
/ n; f1 c9 b: a" L0 p3 T5 X。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如+ _" y9 e3 J3 F8 @- @+ p, _
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的: K' x: Y2 r4 a+ g' l5 N
端口。
' Y$ v* c; B$ h" N# u 查看端口 ! V- B( ^# S+ j$ }4 Z5 F0 L
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:
e9 F9 ^) [, I) Q& G% k 依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
5 _ D$ G' a8 n态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
8 J$ x0 z$ q; r4 v8 {. i; L口号及状态。
, Z, t5 u$ _8 X 关闭/开启端口
+ s/ k" ?$ w& X) W P$ I 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认6 m* w9 _1 d. T
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
+ ?. j3 w; G m服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
" L8 S- |, e ^可以通过下面的方 法来关闭/开启端口。 5 E2 C/ h- u$ L A/ }+ c
关闭端口% _$ k4 E$ f4 {: D) d( Z: T5 {+ p
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”/ G4 c3 Q+ r. H2 T
,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
8 Q4 F$ M( A0 ~! n" GMail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动( {8 J( B$ l1 T* I1 S% Z0 r7 ~5 i, e
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关# k9 b# i* u, g4 d/ Y% @% Y u8 i: o
闭了对应的端口。
$ {! a$ l7 \7 X0 |# l: u 开启端口
0 d; ?: V* ?# M5 i+ N 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
* U0 ^4 ~9 n8 c& ~服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可% D* u/ x2 K8 K0 v& ^( y& U4 \
。8 N/ s4 r. s0 L a
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
5 ~# M l" z" Q3 j+ C8 X9 |& |启端口。
* t$ v* \& u+ E$ Z% u- n; I- u2 x 端口分类
) }3 d- \0 |0 j- p 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
( k; _1 o4 D0 l3 {. O8 G 1. 按端口号分布划分
7 A- G0 h6 t8 v4 C4 ? (1)知名端口(Well-Known Ports)( Z- U) d! ]8 L$ z6 t
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。1 a, S6 M, D& ^: z- t5 |; Z# K& Q
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
8 L# Q c, P$ b- hHTTP服务,135端口分配给RPC(远程过程调用)服务等等。- r* A/ A& ^# y) Q
(2)动态端口(Dynamic Ports)# k! q; t8 U! w0 t& @8 B4 G
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许5 W" q, Y% O' ^7 a; q
多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以8 X. s! G, U: e4 |
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的" m* j2 h0 |. s, F( G" x* F
程序。在关闭程序进程后,就会释放所占用 的端口号。; ~* A7 T" y$ K! z/ e4 O" u6 v" F
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是+ @) k9 A. A7 P" T+ [* Z
8011、Netspy 3.0是7306、YAI病毒是1024等等。. R2 Y0 `; g& s) A8 W
2. 按协议类型划分- K0 C. Z7 t6 a5 b% w( h
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下
+ @1 X' {) v L面主要介绍TCP和UDP端口: {& d, ^0 V+ T/ d w& X
(1)TCP端口
) V- \1 n2 |4 z9 W TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可/ s; t8 d* E* |* a
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
0 z/ ?7 C, t% U2 J6 U7 A" F及HTTP服务的80端口等等。: m# A: Q( X5 r1 C
(2)UDP端口
+ O3 J& n! \! w UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到+ i/ h @1 ~ k9 G
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的' ]- a- \; H6 x1 l/ W0 o
8000和4000端口等等。
. k$ r. J# Y: q. x& O' Y 常见网络端口
, w9 l, f5 \6 F9 { 网络基础知识端口对照 4 C6 ~( u- N% {/ P) J
端口:0 * _. z1 Z9 r$ Z- p
服务:Reserved 5 q( e+ I6 P1 c8 B
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
_; a4 m& ^. D你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为2 t' G$ } R; _, [1 Q; }
0.0.0.0,设置ACK位并在以太网层广播。 4 g- Z" G0 ^+ w0 N
端口:1
6 q/ G6 i' B9 u& M- b6 }; ^服务:tcpmux 7 O" m# S; O- o& {* R' l) i7 o' Q
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
5 K! m& L0 P0 q8 t5 y& W* P3 d! Ktcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
5 j5 `/ m2 z) u2 i# A' }GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这
. g3 X" P" T( y些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
. J1 [3 I: c( S' W. W 端口:7
7 c( \" k2 t$ [服务:Echo
2 Q5 X1 Q) i& n# b4 t, b" z说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 5 v7 M$ H2 S" {- S
端口:19
- C1 H% k2 o7 p9 L0 f' m3 Y服务:Character Generator
+ m. ^2 @1 U% T2 W* B( m. @说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。' }! f9 e& J. }9 {
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击
+ h4 @) H! ~& e6 Z6 C# z4 `) N# H! O5 W。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
: v, y. c) g0 \, u+ Z个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 / ~$ @6 k4 H) v9 F8 a Z$ A6 p3 w
端口:21
( s& O v0 {6 d& @2 r0 Z! L服务:FTP % D" x! r+ V# N- M
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous# U8 X9 Z: Q% v! B
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
% m3 u! P( @, m7 Q+ h u0 XFTP、WebEx、WinCrash和Blade Runner所开放的端口。
7 e% |6 j3 P/ D 端口:22 ( G7 Y7 _1 Q7 ~' a. V) _; k1 g
服务:Ssh
4 @ L5 C8 N1 G- P说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,
! W& k( T/ T6 d1 ~5 \& g( h1 ~如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
: y4 R5 A. h0 j0 `4 @' z3 S 端口:23
0 D U; N! q7 K$ X1 @服务:Telnet
0 l' j1 o) c. F; P! |) @' `说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
; a5 h1 S! k# b6 [( d6 Q到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
* n: S! P9 _4 d3 L! TServer就开放这个端口。
; [- H4 Z, o. I2 r0 i5 v( H 端口:25 # k* ^ U: b" ^8 U: w0 o7 f6 u; J
服务:SMTP
' a [, E2 h3 P3 Y' E说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
4 y U) D3 M' V0 `2 j3 h) G7 KSPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递6 T7 Z i6 V# @, T6 [4 I
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth& H# ]0 ~9 m, A! c
、WinPC、WinSpy都开放这个端口。 ; h! F3 z% t% T* v9 `' o
端口:31
. G0 P! F# s T0 `; m9 ~6 A服务:MSG Authentication
# Y3 f! o( C |$ _- f9 Z说明:木马Master Paradise、HackersParadise开放此端口。
0 ~0 d- m8 @( s, ]7 ] 端口:42 2 h* g) ]# Z( M8 I/ v3 o% C4 R% X
服务:WINS Replication
5 _7 u1 \% G9 E: v; x, z! ^' X说明:WINS复制 " c6 b' G" \- M+ a
端口:53
7 ?+ r" e, c, T+ P服务:Domain Name Server(DNS) 5 [* o, c. i& E5 o G
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
O* j) S- V2 T, a' Q, u或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
( k# M0 [9 ~/ P( g7 p( U0 s9 r 端口:67 ]* s9 E: ]7 ^; X7 q8 m' Y9 b M
服务:Bootstrap Protocol Server
5 r2 e! J& I C+ T6 E, X说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据
) ]) [3 p# e9 e. ?5 j8 Q4 Z。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局0 P1 B0 y; D+ G$ d- c& }
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器 J* |. f! G0 l4 z
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
/ T6 n8 s: j1 | 端口:69
( Y8 e, V3 `( z& i& w服务:Trival File Transfer
5 A( r; e* E1 f/ [# h' V/ Z, F4 C说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
0 V( o9 p9 c" N- j错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
# y9 Z7 k( w3 t- J+ ]8 h- b1 [ 端口:79 , `% K. \/ n: X7 J8 V
服务:Finger Server
$ Q+ q( T+ P6 H+ Z) R: r- b说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己
0 q! p* `9 H1 {! W# }, W机器到其他机器Finger扫描。 & H, m! g) u8 t ?6 G8 `/ [0 p
端口:80
, S! o0 q' g: K3 x* @服务:HTTP ; w+ D) N9 r2 X, ]/ Y L
说明:用于网页浏览。木马Executor开放此端口。 1 f) h% z( p- d. E3 L: L
端口:99 * c: ]+ ? _$ H& y( _* F
服务:Metagram Relay
) w5 \6 R( B4 q4 R3 t说明:后门程序ncx99开放此端口。
9 i, O$ M9 P/ C A 端口:102
% R. L, L* g8 L服务:Message transfer agent(MTA)-X.400 overTCP/IP 9 J4 A; t& A5 M
说明:消息传输代理。 & a: p7 g2 z4 p& ~9 A2 E( g
端口:109
! s2 n1 H9 e/ _6 G- J9 N服务:Post Office Protocol -Version3 8 h! V( |" O' j7 T) D
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务! N, N- ?# T `4 \& w0 q
有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
: v0 b. d( K1 o5 V/ a* j可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
4 d. k) ~4 \# V$ i6 v8 V 端口:110
2 N7 s: d \3 x* u8 g* p服务:SUN公司的RPC服务所有端口
5 X& v( F9 U, g$ e9 x说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
}( t$ ~+ N @5 B 端口:113 9 V: k1 M8 f1 j( y; U) @
服务:Authentication Service
0 ^# w; @6 F; t E5 Z说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可6 i( ^6 v6 h9 I5 I# L* F, G8 ]
以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP U9 \; P. A# k, V
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接, d; k' E5 U; a- O- W
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接; P. e7 ]7 J$ Y& ~4 b
。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
; ]! T: I/ {; h8 i' }+ s; s 端口:119 ) }' B% l9 C& I8 ~
服务:Network News Transfer Protocol 7 C K3 d9 f/ l
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
6 E' a- Q! B+ t2 S' C, N3 k务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将8 o% Q' ~* u5 L0 Y( t3 z0 q/ {
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 0 S/ q4 F; A' R% N
端口:135 & V. [- h/ E ^* _ x; b
服务:Location Service 2 u/ [% l, X7 ]" F- D3 \, c/ A
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
' a) E5 N) m, i1 W4 y$ o) ~端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置1 c; G0 ^5 F" q. e7 f9 v/ {; C
。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算/ O4 |1 B( O4 t6 x/ @7 E
机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击2 j( P/ O; Y' f' Q# z( g3 {) d
直接针对这个端口。
8 y8 O2 ?# y) e) s7 K. N- y 端口:137、138、139
$ P$ \; Q: [# K) F服务:NETBIOS Name Service ; s- j6 y' `) K3 W5 }7 G8 p" j { a
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
% W9 |5 c2 `8 e这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享% W) z! Y, P( E0 x8 s m- A
和SAMBA。还有WINS Regisrtation也用它。 6 T4 K* a4 k. v" y' K% ]+ g; t$ v
端口:143 . I" c9 d- T7 A! }+ W, B
服务:Interim Mail Access Protocol v2 7 _1 \$ @; {+ E9 T8 M" I" k
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕7 R6 r1 T* [/ G% \9 h
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
# ~. B0 N0 S9 p用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
1 k Z# v! _+ Y+ H5 Y j还被用于 IMAP2,但并不流行。 : k+ g6 u7 b$ v& _# a ?; A: a- x' ~
端口:161
G7 Q# P: g R8 ^& | |服务:SNMP ' L0 D: b5 x2 L3 |8 ]
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
5 J3 l! e3 O2 O些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码
/ T3 d/ E, G& I' V! r. ?3 n+ zpublic、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用! k, j4 ]8 c f$ {7 V
户的网络。 / R: ? }) P/ n/ Q: P( s8 d
端口:177 7 L8 O' H: O; B# R
服务:X Display Manager Control Protocol : l1 Y" M2 w/ P1 X! X" p
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
5 i P/ ~: y, Y7 r) y% R- i" G4 U, x% s& \8 L I2 q u& U1 X
端口:389
Y1 u5 T/ q' ?. `% L; |3 m服务:LDAP、ILS
. P: _5 M2 n/ e6 g说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
2 ^8 i1 K5 ~# f2 J' D 端口:443
; K; F' U& s+ r/ ?; I7 p7 ^$ w服务:Https + G- S6 ^: \ f5 x6 r) H
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。( t* Q0 j P' K- I7 n( X
端口:456
0 j. ~. H y* [# W服务:[NULL] ! h' p' y. \6 H7 K
说明:木马HACKERS PARADISE开放此端口。
' ?8 j+ r+ J3 t- F& S 端口:513
0 b0 `0 _2 |, h8 _服务:Login,remote login 2 B* O% y t6 }" `
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者9 [, k! w: P1 V K" k
进入他们的系统提供了信息。 2 Z# K, O& h$ q% Y( K
端口:544
2 b( h0 X6 D6 V/ g; \' P) @服务:[NULL] - U! v7 \/ h8 I# U. `
说明:kerberos kshell
: {9 b+ |- [, B# l7 z9 }, _! @( p 端口:548 + _$ Q7 B7 ^# p6 C
服务:Macintosh,File Services(AFP/IP)
; \) G l A3 G3 R6 G说明:Macintosh,文件服务。
* }0 \5 {: ~+ x% S 端口:553
; n7 V6 b. Y& R: q8 i3 e服务:CORBA IIOP (UDP) 3 J/ @' l2 o9 X/ `* W' P: J& G
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
$ n- K6 l" M4 X1 G( L2 a系统。入侵者可以利用这些信息进入系统。 " w0 C' I1 _* v
端口:555
; j; s. r* j; X5 m+ _) b) I服务:DSF 0 ~( _% g0 U3 F! S9 j+ O1 G$ R
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 - @, n, { q0 r% f: e0 \2 ]% D
端口:568
( v, q/ U* S) J服务:Membership DPA # V1 C2 ~' G& w& k* E( Q! B' D
说明:成员资格 DPA。 0 p+ m6 U `! P) M) I; D, H2 a y
端口:569
% I: ]9 }6 p( z4 I N8 P服务:Membership MSN
! U3 b, j$ B: h$ ^" O w1 h5 H说明:成员资格 MSN。
, A, _3 J8 w1 g' P w z 端口:635 : d3 f/ g3 R/ G, ?
服务:mountd
& h6 G/ \+ f2 l说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
# c$ ?6 s: B7 Q* t, e. Q# j! N0 S1 x,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
% v3 E$ }" R2 c) y; [7 N何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就/ y; h+ \) w( h
像NFS通常运行于 2049端口。
8 i* E: p' z; |4 l `2 W8 y 端口:636 ' r& Y* }* g& Q/ V0 e P% h
服务:LDAP
* w4 ], ^( ~# O* h% ]说明:SSL(Secure Sockets layer)
2 Z% `& {6 c& z, g& a 端口:666
C: B- k( o1 q5 S" w0 @服务:Doom Id Software & h& b* ?; |4 {9 S1 ~( \- x/ E+ `) M
说明:木马Attack FTP、Satanz Backdoor开放此端口
( a) [) O0 z% {/ j, V- O- J 端口:993
" O+ I( O$ B3 B& H$ v3 F8 C服务:IMAP 9 I2 o# B; z$ h* @$ x! p7 B
说明:SSL(Secure Sockets layer) & \# h v d5 c2 U# z
端口:1001、1011
8 b1 ~' k- ?6 i; \; m服务:[NULL]
4 D0 y/ y$ N, l6 p. g说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 & s; L! q1 A5 X! u9 o
端口:1024 ! d) { H5 J3 Q* i+ o' }
服务:Reserved . i- d# E4 Y7 _3 c7 S
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
8 H! q( B/ |) E- B! H& `分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
# K8 ^) o; I- f7 j0 s# N3 p6 f7 y会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看3 y `% ]. `; u$ Y
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。) o1 {- e: W7 z' M! l
端口:1025、1033 4 X3 L5 A7 S. p: ~2 t+ ~* x) J
服务:1025:network blackjack 1033:[NULL] ! w9 Z' X1 d& w; a
说明:木马netspy开放这2个端口。 0 K c8 q0 R4 s B" P- k
端口:1080 5 [0 |, S2 {0 T/ |$ B2 ^- U3 F
服务:SOCKS % e2 F4 a" m% w1 o' z/ G. R$ W' v/ z
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
1 q# U# d: W# {# }- G( A# f。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于
7 U$ e9 ?) s% G# Z+ W4 W* d$ M9 Q防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这: P: G) `! x) J# W* c. w
种情 况。
+ J' o; R$ f8 E2 e; C- I- I# y 端口:1170
- O; }* ]% J4 K; _* U6 m服务:[NULL] ! Y' }( q3 a8 Q- g2 D4 Q1 @
说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 9 J% o/ R. B8 F" Y( n( S
端口:1234、1243、6711、6776 . Q/ ~- Z+ ]0 N
服务:[NULL]
( j9 I* M. D# L8 [1 a! d说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放
7 Y) z- i) R' S2 J. r) l6 x1243、6711、6776端口。 ! s( r: N4 U4 w' A4 M& L9 Z
端口:1245
' g P$ b6 f/ y" g5 v服务:[NULL]
: T/ l( G& \3 j说明:木马Vodoo开放此端口。
1 i# T, p. ~+ D& H8 C 端口:1433
4 q# D4 d0 {- ~( D8 u# a服务:SQL
2 ?6 Y" Y {* ^' C- N7 u* C说明:Microsoft的SQL服务开放的端口。
6 [( q- W: w! U9 i6 k 端口:1492
3 ?; U* P) Z! A" c' x& d/ w, V服务:stone-design-1
7 R! ?* n# C( y U说明:木马FTP99CMP开放此端口。
; r$ h5 O2 {/ Z) s& \ 端口:1500
' x2 Q) C9 A M- M6 r( V2 o服务:RPC client fixed port session queries ! J2 e" e( q) B1 Z3 v6 Y( B5 ~
说明:RPC客户固定端口会话查询
6 A! j0 D! K0 R! E; W& c7 m 端口:1503
9 H# A- q% W. T服务:NetMeeting T.120
9 E1 E* _( |7 [9 v \说明:NetMeeting T.1201 d+ d) M2 Z {9 {) G3 Q/ Z
端口:1524 - `# Q D4 y' P) K4 P, ~; x
服务:ingress . O' W! X1 X) A" V- `7 v X6 [
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC
. m2 _2 a9 @# `: I# O# E2 _服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
% ]# B2 H, W6 k" `8 c。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到) _7 _* u8 ~( Z: X9 A4 E
600/pcserver也存在这个问题。# h5 o! D/ `+ x0 e! ~
常见网络端口(补全)7 q5 N. P9 E) R2 X; }
553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广
& o% B. S" K/ I' O% h9 {$ B播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进
* j# B" e! n% v) v! ]8 s' m入系统。) W; G# s* A8 U5 ^/ Y) z
600 Pcserver backdoor 请查看1524端口。
1 w2 W) _# k; c一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
o' k& v+ x0 B6 S) J- d& v0 KAlan J. Rosenthal.
' ?& P5 |4 Z. x 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口% f7 R4 T* ?4 c' k3 h7 w6 T9 X p
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,2 t8 | T) G7 E/ z8 V' J' T% C
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默! D! @/ ]) N- J8 ^0 V: Z o
认为635端口,就象NFS通常 运行于2049端口。% ]4 H+ p, b/ z1 o$ d6 o) }
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
; K. l4 d: f8 b$ W x9 M口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口2 |) H1 G$ e, H& d- k
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
: n1 I- u* e$ R4 t" n8 q4 F一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
1 {3 t/ l$ ?9 j9 ~) H/ Y: D& FTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变) n/ |2 a2 c2 a% E
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。4 ^9 f; j1 E5 I: T
1025,1026 参见1024* X4 [2 Q3 y+ \7 h' ~2 u
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址
0 r" o1 q0 y2 W; b) g访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,. P7 j) s" z2 n' k* U* Q) X" V
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于( [8 z+ l0 j/ o
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防2 f8 ~1 A) W" \$ P @
火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。( X1 d5 b& W1 J: e! l
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。: k' j& }" G2 a& u, x( f$ W
; c. Z4 g4 B, |* _/ N" A1243 Sub-7木马(TCP)
' e% ] ?7 ^- z0 p 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针
6 o- u+ G( ]; A; L" U对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
, z! v; _5 K2 ^3 V/ U; [% ?$ l装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
$ x* C0 T* t/ o; W你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问! M& e1 I: b5 O9 f# T5 d
题。" ^8 S# }* T, T. j. V: ~: y
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
" B% [' p2 _3 A0 F4 g个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
3 j- ^: I: H6 E, g- h$ [portmapper直接测试这个端口。
! S% m( K. I! [+ f- n8 h$ W 3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
. `+ `+ H% c0 N5 |/ ]9 W/ y: R2 c一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:. y2 U$ ?5 v* j9 D$ E' I) g/ p1 k6 y) ~
8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服
7 E f; b0 b) d* r1 K务器本身)也会检验这个端口以确定用户的机器是 否支持代理。1 ]+ U' q: @+ ]. O" Y
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
7 K9 Y: m" v5 b l. e) fpcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)* x% U7 _' a$ M' h; R
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜4 T/ z9 _1 f- V+ _
寻pcAnywere的扫描常包含端 口22的UDP数据包。$ ?. u4 q, f/ h4 x0 K+ Y5 S
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如' g/ h) A, F5 I$ t. N9 f& v n' h- ?
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一- A# x" I7 [$ G3 \3 S& B
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
; J: ?5 }* `2 v告这一端口的连接企图时,并不表示你已被Sub-7控制。)6 s; M6 {2 A$ m# w: Y
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这$ X- i" Y, T6 |! a) z7 ^% u
是由TCP7070端口外向控制连接设置的。
# h5 P( \6 m. t2 G. K9 j; g- V2 L 13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天 W5 n0 C! i" d6 o6 D, o5 y/ R
的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应" I/ S* ^: ^8 Y9 y. @8 u; @
。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
& @! A0 P$ p# r3 E# W了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作% d2 |0 s# i* Z5 W, Z3 C/ G
为其连接企图的前四个字节。0 h3 j+ K$ |; ]6 j! F* X
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent# H* k0 z( w1 c1 F& Q2 |
"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一' ?* K: i, G9 z
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本( H. c! c( @7 q: U& L) J p/ T
身将会导致adbots持续在每秒内试图连接多次而导致连接过载: 7 p# |: j' @+ T
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;3 S5 a4 |5 x* s" [
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts
7 M% w7 r& i2 n Q2 F4 a2 C5 }5 c使用的Radiate是否也有这种现象)
# H+ g! g; r5 e1 N p x 27374 Sub-7木马(TCP)- U2 d9 n9 V; H3 a6 L5 l
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。1 i6 C% x4 ]1 D8 K) z {* U- Q
31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法- A( z2 b$ X$ `
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
( _4 |2 ~/ V2 x. y有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
( i# T0 u( z, }越少,其它的木马程序越来越流行。
* s: x Z" m, L1 v; x2 h 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
' n% B: C; ~& n7 W% b7 T0 b3 l$ V. G- xRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
. }& F3 T/ t" p1 X# D317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
) T1 X/ Y, x# v# T- ~输连接)
) _( D k7 h1 } 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的/ S: q* d5 Y7 Z% H" l
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许! b0 _2 T3 ^2 X9 L9 k0 o
Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
2 p8 s* [" n7 H; }5 y寻找可被攻击的已知的 RPC服务。- ?9 M$ u, ^; v% y
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
6 U0 {( N2 M" l+ h% ?$ @& ?)则可能是由于traceroute。% `) |' [2 O {
ps:! s# B" _+ z) p- [3 g; {
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
4 v) o! K) I, R$ @2 J! U: B8 Qwindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出
2 Y( T( x# Y3 \端口与进程的对应来。& K7 N6 z1 P# B( l
|
|
发表于 2012-2-16 14:00:57
