|
|
从0到33600端口详解. s% }1 m! H( W+ X) D' O. f2 ~" c$ s) U
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL/ x% r, s9 F0 V) T
Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
O9 s! Z' S, c Y1 e- h9 n- f。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如) y) p1 P- e' v5 P3 u
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的
1 u9 V6 s r# h6 A1 |1 K& i端口。
! s0 o9 |0 _5 W3 l- H0 X 查看端口
+ s8 b5 r" B7 `6 N0 }! @/ ^ 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:
( g2 i; Y! r5 g, O! W 依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
8 F$ x$ p0 x( Y% y( A d4 @态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
2 L5 q$ X; { k& }3 `口号及状态。 " c# p$ \* j) ]
关闭/开启端口0 |0 I3 g3 J j( F3 m* y: T. {7 C
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认! M9 H/ P2 ^$ }5 A# K \
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
0 P% I8 f& U# d! W7 u服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
$ _& i( W/ c; H2 |可以通过下面的方 法来关闭/开启端口。
8 @+ `7 L7 Q e 关闭端口
: o. u& f0 K- v& C2 h d& T% o, N 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”# a- \# k G& z/ D
,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple9 U5 n1 z9 l M2 ]3 S0 C% g
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动
! C& i v% ?7 e2 @类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关4 ~2 G* v% Q$ g% }& b9 R
闭了对应的端口。 ! a- C+ i$ o) V- g, L
开启端口
- S' @! {, t' l; Q4 z# f# o 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该# R! ^+ x0 k$ ?6 i
服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
- I: F- Y$ K4 [# ^, [。
: t* H: Q6 R! E, y$ ~9 h- r 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开: r; G7 x- C% w7 |
启端口。
9 |" D4 N. Q% N7 y9 T. f 端口分类
8 l0 P% d) K4 B8 `: I 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
. V A" G' D3 G2 V 1. 按端口号分布划分
% }2 S% \1 n6 ^7 Z, ^% d (1)知名端口(Well-Known Ports). M1 g1 t: d5 F% ~$ `& x
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
; v! D4 ^7 J6 \比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
" \3 O! P2 B7 w% _) _4 ?HTTP服务,135端口分配给RPC(远程过程调用)服务等等。- m% A, H' S1 Q1 u0 F8 k, A
(2)动态端口(Dynamic Ports)
1 ?% N/ j6 T8 m u% u& G 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
. i q; ^8 m8 B O9 P/ z0 h( X$ N多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以: z: c Z3 C1 ]6 q: j' Y* x
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的' B1 I7 s" a# d' B
程序。在关闭程序进程后,就会释放所占用 的端口号。
2 A. m7 R* y, ]- V$ E% j5 r: C4 } 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
L. i$ F" G& U% I2 }6 K8011、Netspy 3.0是7306、YAI病毒是1024等等。- o4 O: Y5 z! \3 O0 `% W
2. 按协议类型划分
G6 O3 i- d! l: i0 I0 } 按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下& d r, P$ h' c5 z3 I+ }( A
面主要介绍TCP和UDP端口:, M' J+ ~! Z! L0 E( D* l. H" ]
(1)TCP端口
& k$ `1 K) | r/ H+ @. Y TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可) I- c$ g* s4 R: H- w2 v
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
6 C6 h3 @& z% m, l6 o# I% L0 N及HTTP服务的80端口等等。# {/ \/ C3 h. `3 m6 W: Q: h
(2)UDP端口
% h0 I0 J: w: W) S0 _4 v* O" X UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到
% z: p, f& L; u# [% s( B8 j$ G* p1 m保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
7 {- d- K( E; {& R8000和4000端口等等。
: z, P3 H( r$ i0 l6 z7 i, O 常见网络端口5 G2 g" }- Z3 y3 p3 `% Z
网络基础知识端口对照 " E+ U2 Q7 p% \: ~$ j5 o
端口:0 ; B- A8 x/ E& Z, x( [
服务:Reserved : ` M& `, m9 o0 i$ C. B& t
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当2 J3 P- f% M: J- |5 O
你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
+ m2 O6 K' K1 h, _4 C0.0.0.0,设置ACK位并在以太网层广播。 6 Q+ y6 [2 j! n) X
端口:1 ( h: Q( p3 r+ Z+ s( d; s( d, w
服务:tcpmux 6 p2 v# D* I1 w/ {
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
* @; D! ^$ H1 G& c8 ]tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
; g3 {. P; n* u- y- MGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这% M0 W8 `4 B8 \, c! b/ _! P" R
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
/ r; t& k: }( Z, P: |2 P1 U 端口:7
, I' K" S/ q: Y# u! J' _. k服务:Echo F( ~+ x! s+ ~* n! Y5 T
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 2 h2 G; K6 J7 R* ]; I
端口:19
5 E$ T$ V# a; A服务:Character Generator
: `( x. K9 M0 T e说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。
/ B5 b4 W4 Z3 A8 N8 q' M( ~; ITCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击3 `0 G7 Q! o2 H o
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一2 A; P# \, \$ s/ z1 H; b6 | s+ u
个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
# W9 b6 X7 Y* U6 A3 P! E/ P 端口:21
# J1 k4 ^: c$ a- P1 l6 q服务:FTP
; X: Q& f, P5 q) B- g) m, ~说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
8 B: h$ C5 `, J2 K的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
/ l% X4 _% r8 T- T/ @FTP、WebEx、WinCrash和Blade Runner所开放的端口。 ) `2 i! k+ a7 z* ^' n9 @
端口:22 ( }- M; a, \( b3 A6 k" m' r) l
服务:Ssh
8 M1 v$ D$ z0 ~1 w/ Z0 ?' M0 H2 G. T说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,
4 p: z1 y3 W: A. e" U$ [如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
5 `7 G* y: T) L8 y$ `( K2 q0 S 端口:23 3 |1 J1 D3 v" z
服务:Telnet
7 Y! E4 N4 S$ d* N( ^! H说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找5 l) n- N) m" Y4 ] ?
到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
" {2 p5 }( D/ s! G. IServer就开放这个端口。 $ t1 q4 f9 L' ^' [4 g
端口:25 ' a- g- g3 A2 h7 b* B5 f+ N2 Q& c
服务:SMTP
; b/ t" s U s6 j* h说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
, x. c1 ~' Q' q2 wSPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递8 p9 ^1 U( _" }
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth9 l2 \1 e$ _" w s& ]3 D; _6 a
、WinPC、WinSpy都开放这个端口。
$ o$ A1 j% q/ h) ~. t; z$ Z7 f4 }0 | 端口:31 7 B( c! y# I/ ~) q# v1 I3 t
服务:MSG Authentication % D- l* X% N( L; V
说明:木马Master Paradise、HackersParadise开放此端口。 1 s' [* ~& J% V
端口:42
7 z5 {; [1 h3 j9 C% A1 Q服务:WINS Replication
: S0 z1 i) t/ C5 C$ W. T3 x' O9 z说明:WINS复制 O( [. x# P5 v% v) _) H. m
端口:53
* G% Y) B& z C& a8 M服务:Domain Name Server(DNS) % J% x- W3 E' Z5 U
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)4 [4 a- S* P/ B+ n: h
或隐藏其他的通信。因此防火墙常常过滤或记录此端口。4 }2 ^1 P$ Z' H) H
端口:67
& H, m4 v: ]: z5 I- P服务:Bootstrap Protocol Server # m" \/ Q' g; U$ J
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据
4 a5 U" k+ m: N, \. [5 x) L。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局7 e, _& \8 A; C6 K/ v# J
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器/ u, b) [2 _ N& Z
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。/ ]6 ^. _5 p/ J$ M- ~0 q# \
端口:69
5 R& c, R8 i6 |' {/ O服务:Trival File Transfer
) Z' m; C. m% E O说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于! M1 n1 S6 M; s* u+ ]: @3 P5 c
错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
8 z0 k! x6 f# l( ?1 |" \# ? 端口:79 4 C) D' x- i; Q) x
服务:Finger Server 0 e4 x7 p0 K8 w* {
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己! w, y' f6 l3 [" ~- M) S" E1 {" z
机器到其他机器Finger扫描。 * N \; \8 h+ v- ~+ {5 P
端口:80 _7 q4 g7 V7 S! Z! v
服务:HTTP ( ?( L v0 K6 L$ r* ^! b, u+ F3 b% h
说明:用于网页浏览。木马Executor开放此端口。 $ `2 I5 j; ?; d9 B
端口:99 0 ?+ s) J$ V, w1 l, j/ E
服务:Metagram Relay
, h2 X. P# Q) b# | Q V! e" v说明:后门程序ncx99开放此端口。 + u `3 [( W* f6 V4 W
端口:102
! F& o# D. p9 z, g# d. u' Q服务:Message transfer agent(MTA)-X.400 overTCP/IP
! ~0 P9 ]7 U( }3 \( S说明:消息传输代理。
# |- v' p" M0 {& x4 k9 r$ q 端口:109
1 R) r% H- c, N W7 B5 j9 M服务:Post Office Protocol -Version3 , Z/ C' y/ s: ^5 D& V: ]- t, q
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
. H$ {( C$ q& [' W/ @+ @! b {有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者2 P" ]$ o, ^+ ?2 |
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 % _0 \3 @/ F" o2 {- F& Q# x- z9 {2 s
端口:110 , z! g) W" t6 E, q
服务:SUN公司的RPC服务所有端口 0 [1 V9 Q, \& ]/ a
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
& v& T' `) j% o5 g: J8 C 端口:113
) U# g1 T1 y5 l* U/ t服务:Authentication Service : b" l$ Z2 B5 }4 k
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可/ _1 E% E/ U4 o$ C& [. s
以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP
& i6 [3 b z# @ ^* p( h9 q和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接" _' B- R- k8 F3 P/ L
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接5 H; Y; H& i+ \6 ]5 U6 T
。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 1 ]0 \8 N2 Q \! O" [( B1 o j( i
端口:119 ( ~" c) y+ W/ b/ ^' Q9 J9 V, W
服务:Network News Transfer Protocol ; x' O: t$ z1 X7 f9 J- t" c) a
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
. W# a; U0 p3 L$ Q$ c务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将
: J7 G5 D# y% Q5 ~$ }! q允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 " E4 q! C% s0 e9 n
端口:135
) T0 x/ w- I0 h# W) `服务:Location Service - f& t4 E% k8 ~' a; L, Y6 M2 D8 o
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
; d! F0 f9 U6 ^! l' g9 I$ K端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
3 R( K: y8 t E* w9 M! @0 ]1 @。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
$ ^6 N0 V1 P0 h6 n) m' Q机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
' r& T( q+ B5 N$ k! X8 _# `直接针对这个端口。 % A; q( {. u' ^
端口:137、138、139
1 q, X- n9 ~& |服务:NETBIOS Name Service 5 }( E, G: i% @. w
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
a0 }3 L# e8 l( c/ o这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
; v$ \: t( I0 H, K+ c" p y! K和SAMBA。还有WINS Regisrtation也用它。
% \0 B! Z$ e& N* }+ Q) a( I' m2 |( a 端口:143
* `4 i+ D' _( K9 W8 u9 E服务:Interim Mail Access Protocol v2
h) o' b- f8 f9 w& ^ f说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕
& B/ R& v0 n7 G) w$ A3 z虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
/ A$ |$ f8 q) l8 F- W0 L用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
1 g* E* C/ f0 m6 X3 r H1 E `还被用于 IMAP2,但并不流行。 / t( a( X1 T$ Q- m
端口:161 $ @4 l0 Z# h) X/ K8 ^
服务:SNMP
% U4 p- M1 P4 v# Z: l7 e# x说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这1 S5 [0 `6 |1 O* g0 u# V2 U
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码" F4 `* P7 M M2 _2 |" u, w; |# b
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用' [5 q4 _+ U" n* e
户的网络。
' g# e& g/ j8 }. K& E* A 端口:177
, ]6 B/ `; T' X/ D5 Q服务:X Display Manager Control Protocol
d: j0 N9 @* j说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
8 |: \+ Q: z, `6 s) e- v+ u" W6 _! C5 m
端口:389 9 d% G) M5 P& L: T+ ]
服务:LDAP、ILS 6 S8 q1 j% u4 j2 z5 K
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 / q) @. I+ W( p( |' a
端口:443
) L* Y3 L; O. H1 `# P服务:Https . w& ]8 |$ N8 o! t2 g0 K
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
+ L' ]4 _3 c# S) y0 E 端口:456
: w+ n' h! X, R) O, M0 l服务:[NULL] # K) c g7 b( q! k+ v
说明:木马HACKERS PARADISE开放此端口。 . F) P7 f% F4 I# q
端口:513
8 x/ c5 ^7 q' U4 e服务:Login,remote login
7 J0 f* w3 h2 T6 L! r- d2 {9 N说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
# H+ B4 M" @) I {进入他们的系统提供了信息。 ' N& O3 L5 s1 Z- o E; f$ E5 o
端口:544 # R* ]: @& l9 N8 X: m
服务:[NULL]
: i O* Z, u% V8 ]/ }说明:kerberos kshell , d4 a6 r, l/ H8 ]/ O' m
端口:548
* \7 W% e7 K% W' X, Y. O5 M9 I服务:Macintosh,File Services(AFP/IP)
! l. r0 w8 r% ]6 T8 a4 `说明:Macintosh,文件服务。
9 ?. ]2 [2 M/ j' T 端口:553 $ N* J6 k) E" C0 ^) e7 e% x5 A
服务:CORBA IIOP (UDP) * G; C' L$ K' G1 _8 r T: ]
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC' S7 ]* S' I% R2 v, \; w2 c
系统。入侵者可以利用这些信息进入系统。
8 C! ?4 i& [5 R( t+ Z' s+ Z& a# m 端口:555 6 }. ^+ i& I: S5 d$ X9 J" B3 s
服务:DSF % V8 L$ |5 R/ E/ M
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
. q; W5 N) o! z6 e( u 端口:568 + K$ u* D) }) A4 c
服务:Membership DPA 6 t! D% Y9 Z$ I6 [' m- E1 j' I% U3 {
说明:成员资格 DPA。
. ^$ M+ E. b6 D! _! ^ 端口:569
: V& t2 `- B# n) ]8 ~. L" n% L& C服务:Membership MSN # {9 K7 p4 e! S" j H: T
说明:成员资格 MSN。 " g! ^5 i: e# o) h% F0 x; W
端口:635
5 x P$ t9 b( h+ W$ F服务:mountd 0 D! ~# T! O) L& I
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
0 \& a j# L% E; C% G: K. {,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
. i2 `& |2 z; L) F何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就: f. u( S8 a. [ C; i1 G$ B
像NFS通常运行于 2049端口。 $ u+ [+ ]7 m( B' ~% `( h* X
端口:636 / s5 ?9 O1 P- @4 W
服务:LDAP , r y& m; `. w7 I4 O$ m
说明:SSL(Secure Sockets layer) ! V# w* _6 }' L f- J" t, }3 P
端口:666
* Y" k+ u) y; W" X& a5 s8 e- {9 n" @服务:Doom Id Software
! a% [% @! L0 j' _说明:木马Attack FTP、Satanz Backdoor开放此端口 8 t8 H- Q+ p# g$ a5 S' ~9 L) M
端口:993 ) v0 S- @! H6 [1 L3 a8 ^
服务:IMAP
. l1 O% e7 L- W2 A4 e* C说明:SSL(Secure Sockets layer) / U" H* s6 z' C+ R8 z
端口:1001、1011 . q- r8 \7 n/ e2 n: p# Y
服务:[NULL]
0 A2 V+ f5 }: u$ G0 h" q说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 2 x9 q9 M3 o% B" d) v' e5 E
端口:1024 - W; t6 C* g4 v* n6 J: P
服务:Reserved
8 [3 p2 P' m: d0 S% \( X说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们4 r; Q1 s1 V l( C
分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的4 T# l* ? J- I8 b2 ]
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看6 r2 _! [ g0 s& k
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
% A' j4 e' p+ M' r; M0 n$ r 端口:1025、1033 K1 d+ o% y/ b* G
服务:1025:network blackjack 1033:[NULL]
1 J% A& H- f( Z9 g说明:木马netspy开放这2个端口。
J- z7 H' i* J( l6 d0 j 端口:1080
$ H+ Q7 N' d, F/ D: N服务:SOCKS " h8 U$ R9 p9 T% k G
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
: \- P" \8 s% e4 z( h。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于4 o$ _- e2 L2 E& y
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
$ C C7 }% x `; L) _种情 况。
" i+ n0 u) c. L5 P 端口:1170
H- l/ r& n- `& b) `( P8 l服务:[NULL] 5 N& o$ ?8 M7 o# `- j5 X
说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。
$ i8 X a9 F8 k" H, `1 M7 V 端口:1234、1243、6711、6776 ; o; Y6 t" F/ T6 D1 C/ _
服务:[NULL] ! K& h9 G. D. ~: M2 R5 [
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放
/ R) b/ e; ^1 a) s8 a1243、6711、6776端口。 0 r! _4 C1 Y3 g
端口:1245 8 [8 M& I/ m" `
服务:[NULL] ! o3 a$ o& J4 k H, ^7 e
说明:木马Vodoo开放此端口。
7 p% c8 E) R1 C& ^3 W, @% t 端口:1433
e2 A! l* x1 p$ e9 p% v$ V, M; P服务:SQL ' ~" o# p) |3 ~# q8 w; H
说明:Microsoft的SQL服务开放的端口。
; \3 k U2 P8 Q+ q 端口:1492 2 K) L, P2 `6 G: n' g
服务:stone-design-1 , S- m6 d* M; Z; Z/ [
说明:木马FTP99CMP开放此端口。
4 y4 F. f4 E2 D& t* g 端口:1500
+ T3 v8 E% t2 K9 s" g! }2 Z* r服务:RPC client fixed port session queries / U/ }# h4 |0 j" R3 n8 J
说明:RPC客户固定端口会话查询
$ ?8 u" {, C( S 端口:1503 . J4 |8 B" s/ z! H n
服务:NetMeeting T.120
1 z5 Z3 ]: x5 N" W: S! X3 p说明:NetMeeting T.120
; @" y! q4 E, `2 e9 K2 C: q 端口:1524
& \% J2 Z- E- N0 ?$ j& _$ Z服务:ingress & N/ i1 i( u* P1 k/ f
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC* P5 ^: P* H8 M( a
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因! C8 d3 [4 g* W7 V1 P* w2 D
。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
) t6 E9 F" }) l6 b' E; e600/pcserver也存在这个问题。 ?* j D$ U" r7 \1 ^8 x
常见网络端口(补全)
5 {. D: A) \3 i! n1 [ 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广9 ]- ~+ s: j8 Y1 c6 l4 l
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进
. M% W( ~% }, W& w4 T$ y k( A5 b& T入系统。 z; R7 T% Y3 _2 Q, f" F
600 Pcserver backdoor 请查看1524端口。 2 n7 `; {" d& Q8 _, f
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
6 ?7 w6 f" u" `. [$ W+ U& ]Alan J. Rosenthal.
2 X9 E8 U& P* K& ^5 t% x, g 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口
C# I; E6 h7 v, m5 a! r+ I的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
- @ Y% X3 A& Umountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
0 ]$ P7 t5 A* V) p L认为635端口,就象NFS通常 运行于2049端口。9 R- b3 Z& E3 J$ _: `5 h) ?) v* Y6 g
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
% D3 ^1 Q" n8 q5 C4 T' k口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口
9 s" g$ l2 b# Q; T9 H& \8 c/ b1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这- K5 Q* L, b* ] X2 ^# K
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
" b B/ t" H4 D7 zTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变4 Q7 f+ R3 Q# ?. w1 }
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。
9 A+ i) h/ z }; y% f4 ~2 ` 1025,1026 参见1024; b- E+ D ], Z) w4 a8 j
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址
$ |* C7 M: ^5 H# D/ r9 ?. U访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,- [* {; j6 g4 d) F4 Z9 R
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
$ r' ^$ h7 o6 [/ |5 R* q0 BInternet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防$ r5 i8 M N; ]" j' ?
火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。: u6 V: z/ z- M! j: x: y
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
8 x0 ?" d7 k/ K) B
9 p* r* _+ e8 \" K Q1243 Sub-7木马(TCP)
9 u' U3 `! `" }4 E0 b; k+ G6 Q 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针
- Z2 ?( Z# [' w# [+ Z/ C对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
$ b- p4 D3 A6 ]装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
. c5 q/ H% ^* J2 W0 @" b* p你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问& V+ `* F9 p# h" |& f
题。
( p# l1 P3 W% w8 v 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪6 b; ~ x( ?: ~. n; f
个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
8 X5 S, ]- q, Rportmapper直接测试这个端口。* W2 k4 c) ?+ S& ]8 }
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻6 l( J+ Z. u: @2 _
一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:. b9 G7 `# g- l6 O p
8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服* X: s4 i- {) f: e: n2 _
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
- w; C% C! J" R: b9 o5 e- d 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开5 o9 p* Z, d, a/ K
pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
* [# ^7 w5 @9 `$ B9 Q。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜: M& A) k; d/ g7 n
寻pcAnywere的扫描常包含端 口22的UDP数据包。
7 E0 ~) v1 V* y/ w 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如
- k- n* O4 a& A1 |7 g当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一, D! o; e V, }: z
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
4 \. h+ f/ [7 H8 V' w: `, [告这一端口的连接企图时,并不表示你已被Sub-7控制。)7 o+ h: D% p2 z6 Y
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
/ a+ d/ o2 p! i5 S8 |5 }* i; k是由TCP7070端口外向控制连接设置的。
- j2 |( s; s6 _, H 13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
: p% B/ N: K6 ~: N4 v% r' P的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
9 }: s, ?- {! C。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
2 e& w2 q) P0 z1 T R8 S) S了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作+ @; y( S- e& z0 s; q
为其连接企图的前四个字节。
' v5 s3 d/ B- A6 g0 E0 G 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent: h7 M' J( a" _( s2 {
"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一- n+ N$ q" _1 _/ n
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本
" B! B; G5 e7 g8 f+ }5 A身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
: R! t/ P0 o7 c6 N8 Z- m; J机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;* ]4 s! y5 y, B9 L
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts
, [7 s8 G4 ~: G- e% v# q2 I' x* w使用的Radiate是否也有这种现象)( L ], ~& _3 z2 W7 B/ a
27374 Sub-7木马(TCP)/ w; b1 Y' G' Y2 Q" y5 g6 M( t4 x4 p
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
' `! @, _: q2 M+ { 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法 c+ U* l4 T {0 s, F) }% V
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最; d2 R$ ?8 W2 {
有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
7 O7 t" g; i Q* _" F越少,其它的木马程序越来越流行。 a" X7 L5 P( U7 }' F6 B# D9 g# d
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
7 F, K2 _, L; h' M7 T6 B3 B* CRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
7 M( _* y, a* A0 Y, f+ H317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
T% T; v( I) Z0 \, i& Y输连接)
/ g5 l, D( q; _' I 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的- ?) O2 O I0 E1 ~
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许1 B- E5 j0 [3 c Y
Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
5 x4 w) k' H4 k寻找可被攻击的已知的 RPC服务。
' a4 P+ V' A+ t 33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内( E; [5 R* ?2 I0 }. {& K) R0 ?
)则可能是由于traceroute。3 X4 e/ a, a4 o4 T4 e5 G
ps:
1 l4 I5 g6 H& d其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
) k; W% ?! H9 ? @4 X/ nwindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出6 O8 s; L2 \$ E
端口与进程的对应来。
7 D- e6 C9 R9 x# N1 d |
|
发表于 2012-2-16 14:00:57
