|
|
从0到33600端口详解
) }5 M* H* A0 D# A 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL' B% r6 n" |. E' a9 s# z( f
Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等1 T" ? S# u O# W
。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如# p* T& e/ B. g7 H" T' u
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的
% a0 m+ k7 P; T% |端口。
! ^ ~. K$ \! K, s: R 查看端口 1 C8 D/ A/ u; B9 y1 N3 L
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:1 I/ l; x9 w) \/ ^/ }0 y
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状% e- X8 h8 u! ^' U: k
态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
1 L: s6 w2 i! _+ s( _2 i口号及状态。
6 ~; g) u. a# @3 _+ a, L ? 关闭/开启端口- v- h1 y8 G" z% e
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认
5 E: N; v7 e- J的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
' L5 Z& [! E: M服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们) v7 E( A1 K+ [* I
可以通过下面的方 法来关闭/开启端口。 7 w G7 s; M8 a) r
关闭端口
1 G/ b. g+ F4 L9 ^ 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”( v9 ?6 `: i/ N1 ^( J: k* V6 z2 c4 ^
,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple$ b7 o5 I: n) ]* C, Q
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动1 z( d2 j& C" j# I
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关
& q) E, E3 [4 G! j1 B' {" ^& s闭了对应的端口。
; g: J' c1 ?' H$ T& S3 g) c# e 开启端口
! k4 H* m( p1 ]7 g6 i1 x$ O 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
- P! H; I3 S. S服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
& L6 f, k( T5 S! d) @0 O. C; P: H。& u2 ?) v8 \( W. n
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开: b+ e% n, o) r6 L
启端口。* X; n/ ]- T1 E# x
端口分类
. E0 i0 a+ q; O3 f 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: 5 ^/ R5 n9 o0 K; B3 j
1. 按端口号分布划分
+ T1 a/ n8 t3 J/ R+ { (1)知名端口(Well-Known Ports)+ h9 S( T& m1 M3 n- u- x. ^1 |9 Q
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。% k9 c" H0 O5 K" j: K- Q
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给6 |/ Q$ E7 C" w5 K' m2 d
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。: ?! q9 `7 Y; ?3 o7 B
(2)动态端口(Dynamic Ports)/ F8 i% B7 K! i; i/ f
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
2 X/ W7 V9 {6 j# {多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以5 e$ w+ T) X; |7 c* ~, a% x4 u3 ?
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的5 k; L. g( O5 Z! e
程序。在关闭程序进程后,就会释放所占用 的端口号。; t [& {' Y3 n2 E* A3 S+ X; E$ N6 A9 p
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
' x4 y8 O' a+ _% s, O8011、Netspy 3.0是7306、YAI病毒是1024等等。
- b" f: i- o- Q- d7 Z3 G) F 2. 按协议类型划分 I h2 q1 q# j/ a" d6 \# A
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下$ p- E! G2 ^, T3 F- T, B
面主要介绍TCP和UDP端口:
' N6 Q! Z9 D2 z+ [. `% E (1)TCP端口
" c3 j* D; h$ j7 n TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
/ v6 k" m1 U$ a靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
f( }1 R# o r! p/ Q5 |及HTTP服务的80端口等等。# [0 K5 b' m4 n% z2 }
(2)UDP端口6 ?' d" L6 V0 i" |8 L
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到
4 d: o2 {9 z8 [. S保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
- f+ B# O3 m3 ?# M6 i/ X5 u8000和4000端口等等。2 {4 C$ V7 u3 ~; x3 l; F
常见网络端口! W$ f) f7 V( L! Q! M5 i
网络基础知识端口对照 " b5 [. I1 ~: k
端口:0 % ?8 V* l1 k: R9 Z
服务:Reserved
4 _% I6 o+ a7 v8 f- F说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当/ H) i" C/ z6 }* ]9 k( r8 m. L# Z
你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
1 r$ K6 F/ V% E0.0.0.0,设置ACK位并在以太网层广播。
/ w' s4 k$ @7 B# Q, `4 ~ 端口:1 p! R* j0 f# }3 Y) v/ H
服务:tcpmux 5 o( g/ m: w3 ^5 @. L
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
) _2 o% e7 Z* Wtcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
' `5 f4 B& k, b* ?* AGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这7 j) D& H/ n$ ^" b1 G
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
- n9 L5 V* |' X5 G' H5 m; c 端口:7 1 j6 ?9 d) z7 q
服务:Echo
4 V9 b" X9 \9 M2 O+ G说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
9 g& m& r7 S5 J' p/ Q 端口:19 6 |7 ]* R$ U6 f- q1 i9 M6 e
服务:Character Generator
5 w6 q/ W/ s/ [1 K7 ?说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。
E1 U9 E, R7 j8 tTCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击5 p1 ]1 t" m4 k; L5 u- G
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一% E2 q" G) ?0 K: H9 c1 K
个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
8 C: }% w- T1 d8 v+ q 端口:21
, ?/ t* k- \* ~. x+ Q服务:FTP
& y2 X6 t' X( g0 \说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous9 e3 }# \; j+ ~& u: U
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
5 \ G4 E, f4 f5 IFTP、WebEx、WinCrash和Blade Runner所开放的端口。
m. ]" S7 e' [+ A2 `& G 端口:22 4 D9 F; |, ]* [2 t* E$ y E
服务:Ssh
0 {7 j/ M0 v3 O) V说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,; f7 f- k# f; v9 l2 c+ `
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
/ c/ |) L8 z) G+ K4 _ 端口:23 , g1 t* Y3 l4 [! f
服务:Telnet # J+ W5 e2 G; U! l c* w+ K, ~
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
7 ~+ n" Z! T+ u+ a到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
* _ Y# c) o% s2 R4 j: ~# F) sServer就开放这个端口。
( C$ M' t9 A: R' j' H( R4 N& i 端口:25
3 _) C6 c4 K% P; m: t服务:SMTP
; v& [3 e- ^0 [- A4 C4 i+ M说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的( \9 a0 a" S; l/ P9 h7 x
SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递6 z2 T4 a/ r" B! }9 T; Y, Q" z% e- Q
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
. ~0 V H9 K9 Q4 t、WinPC、WinSpy都开放这个端口。 $ s* e+ s8 F+ P/ k4 _$ i1 x- x
端口:31 ; E0 Y# D; ^# [
服务:MSG Authentication
0 M+ ]$ H" K! [* B说明:木马Master Paradise、HackersParadise开放此端口。 3 N; u( V: f/ l; ]3 c
端口:42
" f- [& [( i+ M服务:WINS Replication
* E4 O+ ^# g2 v7 d+ z说明:WINS复制
, ~ t! ]" V; k$ H( R) [1 h. Y, ] 端口:53 ; c9 g8 Y J% c7 ]9 \
服务:Domain Name Server(DNS) # E' K, L: t& p+ [7 b# ]2 A
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
! I3 u0 F- z4 z% l$ _& J或隐藏其他的通信。因此防火墙常常过滤或记录此端口。: t, [& P' z, N) p
端口:67
( W+ M" Z7 V; D$ ~5 E( W服务:Bootstrap Protocol Server / l3 u' o, z+ t1 L* J
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据
; z6 q* U( q4 \ u。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局
- g" R; Z$ J# {4 R$ i. P) D6 U部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器 }* d2 i! n5 H& U* U! [
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
7 U) W3 X4 u2 _ 端口:69 + o I# F$ @7 p# G
服务:Trival File Transfer
. R% R" p2 x, P* P' j$ M说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
" G: ]2 Y2 v2 p4 k8 j9 ]& k错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 4 E' m4 u- V. a7 J: H1 L) n; ^
端口:79
- c# Z" `- l: ~! {2 n) B$ n! p服务:Finger Server
+ [: R/ R( H" c说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己* h8 h$ l5 z+ Y( P
机器到其他机器Finger扫描。
% ~' Y" Z5 K2 k' V* {( S7 g 端口:80
% L t& {1 W1 u- `- P服务:HTTP % {2 M0 k! t5 |- \9 @9 u
说明:用于网页浏览。木马Executor开放此端口。 ' A: d$ t8 _( F+ m- A$ X
端口:99 + \+ t9 v; u: _* `% R
服务:Metagram Relay
% r* \0 Q# x1 f0 S0 \4 U说明:后门程序ncx99开放此端口。 8 R! T% s) `$ E
端口:102 5 b ^ d, ~; }# |
服务:Message transfer agent(MTA)-X.400 overTCP/IP * a) @( V; k! y( {
说明:消息传输代理。 $ k- N: X- V5 ? \+ d. E; k
端口:109 * L+ M g0 T6 _ i2 u- x% @1 R1 @) e) ^
服务:Post Office Protocol -Version3
. t6 m+ B3 o3 T4 I0 l- F' k1 n% r2 ^说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
, u( D9 T8 r+ V& H! m! H$ s有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者- @( z1 |0 R ?9 Y
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 ' k3 B* E5 C8 o# k( I* f5 |
端口:110 5 Z* y/ F+ i4 I* ?( `9 |
服务:SUN公司的RPC服务所有端口 , o; j+ M' s) t, W3 f* r+ A
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等 % y& D n0 x3 e3 j0 y* Y. w' ~
端口:113 ; G) i' y! E. m) n" b; j# M
服务:Authentication Service
r* n5 G: I# d说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可. }$ r0 |2 L* y" n
以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP8 U% w! ]( f2 D, U0 D: B: }; ~
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接% r, h0 a2 O9 S: g# U
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
0 ` f& q3 \5 w4 ?$ U& r。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
% u2 T0 Y! L( S) B 端口:119
# }" n8 M6 k. k2 x1 Z: B服务:Network News Transfer Protocol 2 k8 L) Q8 V0 K0 Q+ ~9 G
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服! m0 j, U# w7 F+ v5 w
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将
4 D% |# F. G0 M8 C8 O+ D( q允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 ) n( E% c6 { {# O$ O
端口:135 8 r: a' d0 B, J0 m, y& C
服务:Location Service
: P5 p) G, m" L' S0 p# q$ _: B说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
" X/ h6 n b7 U% y% _端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
) _9 Y* |3 S' I# J。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
; e0 d0 |7 H/ Z' U; G机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
1 R! q z1 c2 b- l直接针对这个端口。
! p* o X7 k* m( }/ ~ 端口:137、138、139
( E/ \* V& {+ Y' X" i0 T服务:NETBIOS Name Service / V& k) o& w+ g% G; v5 k7 R
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过! s7 u) Q- n Z/ I0 A3 K" u
这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享& P4 ^; q$ I' I% \
和SAMBA。还有WINS Regisrtation也用它。
) F& y( @- d- ^6 y; U' W 端口:143
# K& M! t I4 L7 K服务:Interim Mail Access Protocol v2 ; Z' H, q2 Y. ?1 A8 G
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕
/ Q; H" G! P% r8 h! K虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
! r1 Q/ n( l* r, s. R4 ]用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口/ l; l; Y9 W0 P1 b* A9 t& Z: N& S: C d
还被用于 IMAP2,但并不流行。 3 U/ O0 y3 q' u
端口:161 F' M( g4 }' r
服务:SNMP
" i0 o3 t, y! l: X. h7 w: N; q说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这1 m' C6 M. q. p
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码6 |, L- l' I% e/ A- @5 E- g7 `% w
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用
! b, B) J* F1 \0 J5 @: P! u: N户的网络。 7 W1 `( C2 Y( M3 v6 b0 Z- H* w
端口:177
5 w8 U0 f6 a5 i% |' T服务:X Display Manager Control Protocol 0 Z0 U4 e& [. `/ m
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 8 ^7 [' S+ W5 U+ N7 S
# j' v+ Z3 h6 g! y( `
端口:389
6 I2 H- ^1 f( m. ^3 g; f服务:LDAP、ILS ' j( I r( N7 t2 m. E, l' W
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
5 a( ^. w/ _1 s( d 端口:443
3 q. {3 ~/ V; v" Q; {* r; k服务:Https
* t5 `+ [) L: _8 g" N H说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
" Q" t$ A( |2 L( P" ^% f 端口:456
% w0 Q, I5 p0 q; ^; \0 X# }服务:[NULL] + r+ I% b: {) i* X
说明:木马HACKERS PARADISE开放此端口。
4 I7 p% b' {/ d0 D, a W* I0 ] 端口:513 - |- i w4 u3 `6 X: ]0 \: v
服务:Login,remote login 1 _ ]9 R$ s8 J) w
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
1 \5 x. y8 b% E f: X进入他们的系统提供了信息。
1 e! x- u. d7 ~+ c# {6 f, @ 端口:544
! k7 S( r# A% z5 C: f( R9 z \( W服务:[NULL]
. v% A$ F+ r# w" X9 n说明:kerberos kshell
6 H( \( R# l( Z" ]/ k( x 端口:548
/ }+ P; H4 o7 }& w服务:Macintosh,File Services(AFP/IP) / T! g3 V1 i2 r' ~* t
说明:Macintosh,文件服务。 # M$ d. Z& Z" E4 R
端口:553 2 p6 j. O' i M' L
服务:CORBA IIOP (UDP)
* G3 O( m9 M% J8 T说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
2 P) S9 U3 v. ^* x- u% ~ |( Y系统。入侵者可以利用这些信息进入系统。
& a4 t" _# M! d7 [% V 端口:555 + F5 I' a, L0 ~! I" |) u
服务:DSF 2 X' y3 p. Y0 t$ s- b# m- Y
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
( S. W% q M8 v 端口:568 / J3 k$ A! a( X& P/ w
服务:Membership DPA 6 x! q; B+ |2 Y9 q1 ~7 B
说明:成员资格 DPA。 4 Z! Q. Z4 M) z% ^
端口:569
' H/ s$ X0 _6 O, {! v z服务:Membership MSN - \4 [# @- t [ k6 U
说明:成员资格 MSN。
* m# ~1 P. O0 S; X0 z# q# _* D 端口:635
; r. X6 ^ P/ z" ]$ z2 P, c2 a服务:mountd
. v7 i$ K% P; z! r! r# G说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
% J; L' v C: y0 A; c6 j( b, D8 x! P,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
1 q! d. H3 h4 F9 T- }2 o2 w) B何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就+ W1 ^# i7 s% [. K& U. n
像NFS通常运行于 2049端口。 ) I+ r& ?4 y* g# C" v }
端口:636 / [9 L2 g& q s
服务:LDAP
# Y; U e+ L# X# d# o% v说明:SSL(Secure Sockets layer) $ O0 ]' j" Y: T2 l- G
端口:666 8 ]6 K6 c4 o( W% x& {- B' |
服务:Doom Id Software
9 H) {! F, O0 m8 R0 o$ R F% @说明:木马Attack FTP、Satanz Backdoor开放此端口 . k) ^8 P: s- e" d
端口:993 " H6 K2 f0 p1 R3 v% S b' a& r0 O
服务:IMAP
* i! X! R- t$ `# P说明:SSL(Secure Sockets layer) . p! t a [4 J3 }" T: W# j
端口:1001、1011
: D- ^$ w" K* K服务:[NULL]
' _( F( m/ Y' S% ^' M( M1 d7 U说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
. g A/ Q- n" ^5 g; | V* s 端口:1024 % W) ?/ B+ V1 \. G' @+ z
服务:Reserved
3 a+ A8 h. O/ l* O说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
, G0 L( w- D+ ^. R分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的6 C( N" r* ]4 W5 u* [0 }: d: C t
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看
$ B6 O$ T9 g. z+ t到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
5 `+ C( q( [$ Z; k% Q7 g, } 端口:1025、1033 & [5 i, B) t8 B; ]0 Z9 [7 q
服务:1025:network blackjack 1033:[NULL]
# F! O& f! @0 V/ x Z4 i5 ]1 C说明:木马netspy开放这2个端口。
1 C. s5 d; L1 b/ B 端口:1080
! w- W* r; K# w) l5 b9 m$ b5 f服务:SOCKS
" a5 c/ i3 h+ h- a说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
2 W" E; T$ N5 \1 P( X& U% q" C2 V0 i。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于 F% u: E2 p+ m$ x
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这( z7 h% N+ C3 F4 I2 a- n$ O) n( s/ n
种情 况。
# d7 v. P5 G+ c 端口:1170 0 z! O0 n( o i/ \& J
服务:[NULL]
8 b( ?& d( S, `1 a说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 0 s( R& e7 d) @4 M* u) c" c
端口:1234、1243、6711、6776 - \) g) r/ w$ r z; B, R# x
服务:[NULL] 3 M! O2 f" j5 ?* m
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放7 H3 i+ X* f, {* g
1243、6711、6776端口。
9 Q5 ]8 j' O6 e 端口:1245 9 M; S3 x+ h. k$ }( n
服务:[NULL] ; l9 V% [7 c. f* d9 i
说明:木马Vodoo开放此端口。 . V- {! M5 T7 Y8 ?' q/ T% u
端口:1433 $ Q: P* @- Q+ p
服务:SQL 7 J( H u% z& l$ W6 x7 I
说明:Microsoft的SQL服务开放的端口。
& k. S- H. G' W. q2 {' d# S! c 端口:1492 5 d8 X# z# [8 P% k8 p( @) k
服务:stone-design-1
4 z. U9 _7 N8 m! o7 ~2 K/ S5 a2 f说明:木马FTP99CMP开放此端口。
! c# H3 R, x# }. x 端口:1500
( w7 Y! H& O N" U" P( ~. |, h服务:RPC client fixed port session queries & o6 q% |' ^5 r5 ?: }* l3 y2 _
说明:RPC客户固定端口会话查询
3 O- A9 K Y- H8 _ 端口:1503 : Z. _3 `+ Q+ j% d
服务:NetMeeting T.120 ) d! R3 g0 C/ d) i
说明:NetMeeting T.1205 h8 Y! P# D' a+ T+ P, t# q
端口:1524 6 l' Y3 @% ?: R' J1 b
服务:ingress * ?1 x( ~. V% a
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC
' k3 C. N( G* G: T. L& N服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
0 J1 D7 Q& D0 D3 M。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
8 c8 g0 K) U! E3 M: b& f+ z0 c5 J: u600/pcserver也存在这个问题。
5 X5 M7 ]4 R/ q9 x常见网络端口(补全)
" T- S6 ~! ^7 c( T! @ 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广- C. ^+ _. [1 [( l o( U
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进
' K Z* e8 N) P5 `) i入系统。
' y( D. a( [0 z+ W7 P- I6 } 600 Pcserver backdoor 请查看1524端口。 1 E& V e2 L( \% @+ N
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
1 I2 e$ t/ U {& ~- L0 D$ LAlan J. Rosenthal.7 l/ [9 y+ Z& c. ?1 s3 q) v+ l
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口7 f* m; q3 G! F' t4 f
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
# G) U1 h5 n; K7 \4 p" w2 s: amountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
2 D) R& O2 i) L4 l( h认为635端口,就象NFS通常 运行于2049端口。& z5 A4 x6 T& l7 j: @, Y: i5 X m
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端# Y0 {, y, ?1 r; |" u. u. x
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口6 i+ ~( X+ t' @( ]7 _6 x, L
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
( | M! G3 L6 o! P# \# s- ]" s, o一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到2 m+ h3 [2 I( f1 d2 @' x
Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变6 A! s/ M' o0 {: S, o; F. e* Z
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。
4 B# h3 V- J$ b 1025,1026 参见1024, K4 y% l/ b+ ?% a
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址
7 i2 O) s' c: z* @* I访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置," a! L7 t! r6 B
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于( `, k( P: I9 p) @( V/ o# S! P
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防2 X: L" I7 |: Q8 l5 n5 D
火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。, J, S' ?9 V8 H, l u( I
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。; Z* z4 l p$ c8 p- |
& A% z) D3 ^8 C* A, s _- y1243 Sub-7木马(TCP)5 D& N" `* ?8 O) ^% F4 L( [
1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针
- m, {. ^ L$ `% L对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
- X6 X# W" J7 P9 g e: }- [装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
( c, P9 L% T; u ]) n: X你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
# D) {2 |4 @5 F! M题。! [0 q# b( a; A, q/ A s
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
5 B4 N4 [0 Z- B4 p- M4 N6 R个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
' M4 X; n9 {& r( @portmapper直接测试这个端口。
; I) g. c8 q0 X6 D+ | 3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
, i/ r6 b" {' N9 Y. V/ e一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口: |- v% o& b9 n
8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服' |( R& w9 n9 e C' b! F5 V
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。6 ?* @. C& m: D& I
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
9 \' z& V: H! s6 Y# Q6 }* ]pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
7 L; {9 B. J5 g。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
/ o* g9 h: h( s# _+ X- n寻pcAnywere的扫描常包含端 口22的UDP数据包。3 [# m8 Z; _. p% `3 @3 K
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如8 D, U: Z- H* N0 S' Z7 P
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一
+ `" M0 U! e% a! R+ [ V/ q人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
8 E! j% v% b: P1 b {告这一端口的连接企图时,并不表示你已被Sub-7控制。)
. _& u3 m, T8 Q' ] 6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这$ [" d; L# g- V( M
是由TCP7070端口外向控制连接设置的。
2 E h3 t W& J9 i# d5 T 13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
6 E2 T" @- J/ I+ E的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
' {/ S; L9 z( Z: W。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”0 I7 ?" [ x9 u( W7 ]+ J" x0 E
了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作& K% M- c7 t3 ?! F& q
为其连接企图的前四个字节。. j2 K j* Y3 m- l" Y5 h
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent8 j+ D o! [) U9 H9 r) z
"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一9 X) u$ S/ u& B* ?( i/ G6 g
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本
. n& g0 M) X. T身将会导致adbots持续在每秒内试图连接多次而导致连接过载: % M4 s+ ^9 s {& C; p% \! R7 Q9 `
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;( h" |% m, `) f" W
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts. U1 [4 E' l: K( q6 H" ~$ k
使用的Radiate是否也有这种现象)( P% Y4 d+ C5 n1 ~7 X' O' n
27374 Sub-7木马(TCP)
* O( x4 O# D9 W! w/ I! ]# w 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
" h5 @; |. l. T5 t4 z4 j 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法
, i- D" v% c+ o1 O9 W9 y语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最; z% D. A$ F- Y' {. }
有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来: x5 j3 [, T0 @# P7 I
越少,其它的木马程序越来越流行。3 h4 T, } y p% ^) }) O( p( O" q
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,2 c+ o7 N9 u/ m* Y1 ^/ w
Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到/ r- k! ?" ^7 [# I) V# Q/ u
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传" ?5 H0 p9 J w
输连接): D* ^0 {' ^0 m9 J
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的# O9 H" n7 P4 y/ ~3 i6 o
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
1 R7 w/ U6 D7 e) B X1 @Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
0 ^% s+ Y5 e% l; D" w寻找可被攻击的已知的 RPC服务。
3 ?- [7 Z& c3 ?- P. D 33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内2 n9 U- T. M3 b2 ~0 @4 d
)则可能是由于traceroute。
: l: S% v6 O) U1 q! Z- p' g% x9 v+ M' vps:
0 i$ F' ]( Y! ?1 B+ z其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
: _3 g/ d; r4 [8 \% k1 K( }3 Y# mwindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出
. G& @) B& u- M& m. n3 I/ `端口与进程的对应来。
4 I& V) b3 E9 G: j# G |
|
发表于 2012-2-16 14:00:57
