|
|
从0到33600端口详解' {8 J, n4 @. x- O9 q3 ^
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL9 b) l8 Y6 X( c8 Z0 i! P1 K
Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
t" U5 w' H* V' _5 h6 E。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如- \$ \3 _7 z q5 J7 l- Y' v
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的
: N: m+ ~. S, V: W# y( k端口。 ( a3 f( s" F6 n4 `, F
查看端口 : Q/ P. m1 c, B% l
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:' s% V1 d* I# J+ L5 u d/ }% Q
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
- h% F. j2 Q0 m' ?6 Y- |态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
0 I! ?7 l5 A( B2 X口号及状态。 ! @; F- B6 b# ?! E
关闭/开启端口8 H! h2 a- b/ c1 _1 C ]
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认' a' M5 q/ ~! y- F5 {8 I
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
$ t# G% _9 H# R; Z5 y' L8 R5 R% o" L8 f; M服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们* U* Z5 x: f, F5 b
可以通过下面的方 法来关闭/开启端口。 " f. i: m: }5 |9 v( B6 y4 d4 }
关闭端口7 H3 D! d _2 F, Y3 ~
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
- j. q6 `+ R) K,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
/ ~" w4 V; p3 @8 K7 o* q# v" lMail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动; a. v2 ]. k- u, ]2 v F
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关7 P7 ]1 o9 t3 m
闭了对应的端口。
) [) ?, }! Q0 s' g 开启端口) m% R5 ?1 E! n4 `% u1 P
如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
4 N! E. K- q# e5 W$ S0 J服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
/ j2 t( Z' z3 W3 J; o# _9 t, }$ d。2 Y7 R& v I1 y* t
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
8 r8 M" }+ W6 u& b1 v启端口。6 x* F2 P3 l2 _6 t* D
端口分类
- X8 u. X% P0 j3 R7 e# a 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
5 h1 L2 [& v( v% v$ x 1. 按端口号分布划分 1 v+ _0 a2 ^5 l/ G; C) p# K
(1)知名端口(Well-Known Ports)
2 _! H# t* p3 a- B5 s 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。 v% z9 V, K+ g) Z+ M, B/ k
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给( v, e8 \/ G' z& u5 g) x
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。
" d$ B/ Z# n8 |" O4 O7 `8 @ (2)动态端口(Dynamic Ports)
3 \3 ~7 \+ e% M c0 @ 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
) E$ d& D0 n5 g0 w* j# X6 z多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以( l! Q* W N( L7 y# a& X \
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的7 o- k* y' w/ o) x- v) S
程序。在关闭程序进程后,就会释放所占用 的端口号。
- p8 {7 N( A/ x$ Q+ k7 S8 S- U6 u 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
/ J/ w- l0 W3 D/ p8 w8011、Netspy 3.0是7306、YAI病毒是1024等等。% A/ Q' ~* c2 L' f9 `. j
2. 按协议类型划分# j- M' I# {& L7 N
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下
6 d d( L1 j5 R& x' @面主要介绍TCP和UDP端口:" m0 B# D+ q9 `. j% H$ Z [( r
(1)TCP端口# n/ Y% S" [5 y# K t
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
! t$ H$ t# }( g. f7 f, t/ r7 A, y靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以3 ^* D1 q' W6 u4 V9 W
及HTTP服务的80端口等等。" v7 ?; y- C% z% O5 Q
(2)UDP端口+ _( ]2 \6 L" s o5 [% ~
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到- l! m- u( e1 b# L% y, j: q
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
+ \8 D; q6 T( K# C9 Y+ J* W% \8000和4000端口等等。
( u: w. A# Y1 ~' V; H 常见网络端口( ~5 W! F6 k$ S( Q7 k
网络基础知识端口对照 ' n4 }9 o3 L: u2 N5 {% v) g' `
端口:0 * R* w$ W6 w) k/ S
服务:Reserved
5 I8 q; u/ s" ]/ O$ b& o, z/ j说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
: Q/ ~# Q) n4 o你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
9 W$ ^9 t6 L7 G7 J v) t; M$ x0.0.0.0,设置ACK位并在以太网层广播。 5 o) L* |6 k9 P" ~+ t! i
端口:1
/ l0 X# U" }! }( c7 ]# X; M" c服务:tcpmux 9 x! ?/ V z! E# i
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
' G- v6 [* [2 {5 K; O2 ?tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
4 w% {; Q/ D! |7 q, pGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这+ {: Q0 ^: D+ a& k
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
0 k8 z* v" H) E0 P7 m: G9 L 端口:7 8 H2 O( f: W* |
服务:Echo $ @5 b$ Y. e2 u% z* [
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 $ J/ J% f/ b( c5 K
端口:19
* E- L" Y9 {& X5 l% U: B) v2 C4 A X服务:Character Generator
9 ?$ f% ~+ N ^) g0 O; D说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。3 w* S, I! K) K9 i
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击
9 |2 R+ Z. F8 o1 y7 h& J- u, @。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一; D) H; c$ c) x
个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
# u# O5 a+ ?+ {) h 端口:21
/ D. j$ h$ Y) d% b0 V服务:FTP 0 K) }9 {9 E. N2 K- a
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
, L. |( ]" G! y的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
2 {. ?* M7 \2 E" M# a8 `* W( S5 QFTP、WebEx、WinCrash和Blade Runner所开放的端口。
# |! s% W, Y' Z) C 端口:22 " `5 L3 ^2 O+ t# c! o
服务:Ssh
$ l5 v% g2 m& w/ u7 Y1 M6 E说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,5 _2 |6 y. c4 T
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
! h+ }- U* X- Z* ? _, g. K 端口:23
1 A; S& v" l3 t' q) t5 G/ z1 A服务:Telnet
" y6 u+ s% ~. c. Z- Y# i说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
6 C: `$ ?6 Q( _, x0 F# F$ D到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet- O; r. O* X/ A4 D
Server就开放这个端口。
' w; O1 A4 }$ Z 端口:25 ) o1 i \5 K) V' L
服务:SMTP h1 v9 W# p4 ]- Z Y
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的' A; B, \* o, u" J* C0 |# ~0 b0 f! B! C7 }
SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递
_. N4 R6 H" X1 r/ H( S9 Y到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth" L7 L3 M8 [2 R& P. k
、WinPC、WinSpy都开放这个端口。
4 S6 p$ v, _4 \0 {) r1 t* r1 g 端口:31
+ Y5 r! Z, y" ] ^' ]+ p服务:MSG Authentication 5 S8 X2 X2 y! ]$ g
说明:木马Master Paradise、HackersParadise开放此端口。
" ]7 L0 f& w9 I3 H4 t 端口:42 8 D9 o8 ]4 N+ z) Q. c0 a
服务:WINS Replication : ]) ~$ ]( f6 w7 e' v
说明:WINS复制
a# X1 I. l; Z, |# Y( F( i 端口:53 0 Q" W7 ~, p7 |3 d9 R
服务:Domain Name Server(DNS)
' R9 c5 X/ l- a* q说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
3 |! t- s- Y! g2 f& A1 _或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
& l4 _, @ ?" X0 ]5 M. e9 t 端口:67
0 u& D+ X$ ^ R! g服务:Bootstrap Protocol Server
, ^! R+ C% q2 z6 l说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据) U/ j! H3 F% @* W- Y" K$ u# m
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局% p a& L/ p, g/ ~" V' d
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器( j$ O# F, f4 j# o0 U! n, m# A1 y1 t
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。 w: o, c. A- M+ I2 v& f
端口:69 2 L! d) C( ?$ d7 x
服务:Trival File Transfer 0 e* u# b1 Z: d2 I9 I z
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于, ~1 A( v/ Y3 o/ V
错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
' L1 ^$ v/ v* V& O; P7 i9 l 端口:79 ( P0 c% ~$ W( e4 ~- J! {
服务:Finger Server
& U6 P2 [# ~/ r, {3 H说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己
, @6 K# L) Y. V% u机器到其他机器Finger扫描。
5 G% l7 G7 d3 L3 c" e' p 端口:80
& z, v! C* R3 @. g: t服务:HTTP
4 F N9 ?2 L9 ~& ]4 B说明:用于网页浏览。木马Executor开放此端口。
`" C7 |' n5 s2 a. K 端口:99
5 l, @( r8 ?) ?8 Z1 w4 l. M0 U服务:Metagram Relay $ x% U- q# Q* W* F8 s
说明:后门程序ncx99开放此端口。
& n# t- t& r/ w( q0 [( H 端口:102 # c6 m+ {( M3 u1 V) e
服务:Message transfer agent(MTA)-X.400 overTCP/IP
6 N0 {8 a# J2 N: L* {说明:消息传输代理。
, l/ Q/ ?1 r" P! a7 a6 z Q' Q 端口:109 5 d5 f: M) X! v- n: I6 k) I$ [
服务:Post Office Protocol -Version3
0 I! x+ C0 V6 k: o6 C说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务. N6 i) }5 i2 r5 K+ e
有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
S; G$ T) X+ ^$ a& ]& c% F6 v2 T可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
6 B ]3 A" c8 t+ o* t, { 端口:110 & h3 R9 ^; {# r
服务:SUN公司的RPC服务所有端口 ! S9 Y d, o4 A4 f" D+ X3 J
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等 : S+ s7 e, Z: z- v `* y
端口:113
2 y* Y! p/ G% U服务:Authentication Service ( o, g e6 l1 x) v. g m0 O
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可2 O7 U/ _1 A! H8 E
以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP/ a: Y, b# D; |- r% S$ @8 v8 r
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接
1 s) X* l) {: t请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
3 r2 l. V, l+ a' U" k。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
+ p0 z f$ V" s% i7 U 端口:119 / W2 C) H1 K7 ]& p$ B
服务:Network News Transfer Protocol 2 B3 }9 `& K6 A7 d' Y
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服+ ^% i! e4 ^5 Q* ~3 b' y
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将7 \; M0 J }+ G; f
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 6 y: g! [6 T4 `$ i
端口:135
0 c. A" M# b3 t/ E# G o服务:Location Service & a4 F, |! T5 x9 z5 e4 D0 s
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
* c0 @3 C8 r: C' r& a; t2 O5 b端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
2 O, m' H9 O2 l。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
6 @0 E* d/ S p; V0 i! s机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
: U6 V$ e) W9 y直接针对这个端口。 + \1 j# Q* p m7 } M$ W# _
端口:137、138、139
# `4 H9 o, d2 i服务:NETBIOS Name Service
$ u5 m3 m& G- L8 @# [说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
# B% Q- C& O/ o4 ?0 @! E2 u这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
8 F0 `! M* b4 e和SAMBA。还有WINS Regisrtation也用它。 \ n, b) ~8 y3 U: K6 C/ i
端口:143
/ ]/ Z* h& K/ v. l* a: _服务:Interim Mail Access Protocol v2 " d; F6 W+ p u* O" b
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕& A6 F. o' e- N+ r0 E: ?
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
% t! R1 _" W' H用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
9 P0 w5 ?9 [% V! z还被用于 IMAP2,但并不流行。
: a3 ~8 u9 p/ f! p% B6 q r 端口:161
2 [. `% Q7 o3 v服务:SNMP & U }- t" \: F4 ~1 B
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这+ R D a0 R* g# z6 k) k/ D8 s/ w
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码- K; e6 L" |# C9 ^! x
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用
* h" H, F# ~) }户的网络。
0 @# c% {" u5 A8 I; e( J* q 端口:177
! u8 d7 e4 { [ d4 j" y服务:X Display Manager Control Protocol # R' ^9 U+ O& x0 ?9 Y
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
4 _, D+ I) Z; G$ G9 K5 x4 c/ V
) n/ {& v% U1 p 端口:389
' y( B" o* h! b) ~( H服务:LDAP、ILS
( Q! i( s" A" x v$ v说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 9 n; u- z O: c2 i# ]
端口:443
: Z7 W; _- e; o" ]服务:Https 0 B1 E3 N8 _4 x. b+ l
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。5 j1 K1 E" ]6 | p$ f& t
端口:456 ; f( s% O0 y. k# M
服务:[NULL] * ?3 r4 K* r) T2 p& h- [. h
说明:木马HACKERS PARADISE开放此端口。 7 s. K, k3 }; z, m" ~5 S# z, H
端口:513 2 @+ [0 F" G" k. O7 B; U7 t; M
服务:Login,remote login ! X9 ~$ x# ?: u- ]4 g9 w3 m5 T
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者: a g) Z0 |( |# |
进入他们的系统提供了信息。 * t& E" i, O) t
端口:544
* a% h4 w5 G2 u5 T$ q0 w/ T$ g6 G服务:[NULL] 2 u* z* m( M' \" | v% {; s
说明:kerberos kshell
1 {* e9 M, J2 N+ z 端口:548 / n1 `' g6 z6 k
服务:Macintosh,File Services(AFP/IP) & a2 @& [! i9 ?' ^2 s! j4 n/ N
说明:Macintosh,文件服务。 9 c9 Z/ {- H8 F R7 D9 G( e
端口:553 , D* k) r$ X9 K% i
服务:CORBA IIOP (UDP)
2 R/ u; c; e- H8 j: D说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC' F! T1 a y6 G4 L u
系统。入侵者可以利用这些信息进入系统。 & W& j9 ?" }0 y
端口:555
3 R) d4 [2 y; A服务:DSF
; n' g1 Y1 M, m2 n( y3 i说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
. ^4 n( y$ B9 ]8 d: f 端口:568
! F6 L! B" P. D服务:Membership DPA
! Y0 I5 J: B) I4 c6 T% I+ Y说明:成员资格 DPA。
+ z6 M& E' J' \* A6 P* L& K0 p 端口:569 / S/ G' A. J0 D9 V
服务:Membership MSN
* M: E" U4 l# Y$ z/ f6 k说明:成员资格 MSN。
6 M, F+ y+ |0 R1 x1 F) A& s% | 端口:635
3 P" C/ V7 `- E& W. s5 B: s服务:mountd
% z+ s8 l' Q' [5 r说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
4 U; Y6 D$ W, I( C B2 \* V% G,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
, f8 d* B% A" R何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就. c" J0 K% |) g1 [2 u
像NFS通常运行于 2049端口。
. t9 _$ l' f( Y( e& f# x B, k 端口:636
" d, H7 v+ t3 ~" Q3 a" J服务:LDAP
/ ]4 {9 \. r+ R! a9 I5 J说明:SSL(Secure Sockets layer)
1 D1 Y$ S/ Y0 _2 g7 a2 \, ] 端口:666 # O+ z1 I/ S/ o2 Q9 k4 o' G
服务:Doom Id Software ( u* C0 f7 I- {
说明:木马Attack FTP、Satanz Backdoor开放此端口 & B5 }2 g; n) R1 L, D2 y/ D; M# }
端口:993 2 n7 h* r' W" c2 I) o
服务:IMAP
. U2 A% j$ ^4 m说明:SSL(Secure Sockets layer) % a- r; b4 l3 ]0 e5 `8 Q
端口:1001、1011 2 B' }8 b7 x+ P9 }- S
服务:[NULL] _* h, s. H% ?/ M: ]
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 ; u9 x( g. B5 C9 Z! [$ i
端口:1024 # o; E7 X1 e+ }& N3 y% J
服务:Reserved
) o5 d3 x1 f0 J; A! u* I说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们( z: W& J! s% L( ?% S
分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的9 j, E0 ~) p! I, X
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看6 z6 c. ?% _- S ]
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。' x0 L% ~, q: G p
端口:1025、1033
7 N% F$ X. X+ f9 z3 Z7 W7 i服务:1025:network blackjack 1033:[NULL]
: ~( g6 ~+ k7 t说明:木马netspy开放这2个端口。 \: Z) [6 Y9 C3 e% v
端口:1080 - y+ T- l3 @* p, l1 `" ?7 `
服务:SOCKS ' F' Y9 j! u- O2 {# U8 d' F, {
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET f2 D0 k7 u- k/ k
。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于7 Y; s5 Z# \2 [$ {. W/ Q5 d
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这' J: W ^3 V) c' q/ i
种情 况。
# Y" Z7 K# a+ O8 B7 p5 H 端口:1170 3 G) z9 r& F2 ?( x6 w" B
服务:[NULL]
4 e4 z& b7 w1 n, |. Q5 M" p说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。
- w+ {3 R9 A. U5 p 端口:1234、1243、6711、6776
% X. B0 C5 b* ^; t服务:[NULL] ) Y6 E, ]) E4 k" \( X: \# n
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放0 e, T) }& ], b& d) C) y% G! p7 A
1243、6711、6776端口。
& S) _6 h/ Z0 ~0 W8 J; r 端口:1245
) N1 |/ Y( M" ]! _服务:[NULL]
) b8 o# C- H% @# ^/ Z- a, M说明:木马Vodoo开放此端口。
7 S u0 U" M( ?* z( V: h9 r% | 端口:1433
! U s& g$ Q: A服务:SQL
" Y4 e5 c3 g' d2 z: e5 w; i说明:Microsoft的SQL服务开放的端口。
% k$ n! \8 Q4 o 端口:1492 T3 I- J# {6 U8 r$ o
服务:stone-design-1 5 K* E' ^1 [2 J& m7 s# p
说明:木马FTP99CMP开放此端口。 ( c5 @; N6 G% I! I
端口:1500 8 K, Z& K, \2 R+ q: V& F- u6 @( q
服务:RPC client fixed port session queries 1 ^& s; U/ f+ M# }* H
说明:RPC客户固定端口会话查询
- x2 m3 G: g) w1 p: W* P5 q 端口:1503
0 O4 b- }' l3 ]4 f" r; R服务:NetMeeting T.120 6 q. |$ S; ?8 H3 d* \0 Z/ \
说明:NetMeeting T.120+ C1 D r8 e! O/ L
端口:1524
1 i- j$ X8 k! Z7 h服务:ingress 1 d4 C. M9 Q- g/ j ~! P
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC3 a. G; m {1 i: f3 t+ G) w P
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
: r2 p( P$ C. t3 ?。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到% S1 J7 ?* y* V9 i {1 P
600/pcserver也存在这个问题。
* j" ^) ]" K; X+ L* O4 U+ g常见网络端口(补全)
$ z7 E' M! ]: n: @1 ?. h! C( f F G 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广* p$ o6 T; J- c4 Z
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进
) c) g- O' O S; P. x, k入系统。
6 k, W; [) p; Q) U6 y 600 Pcserver backdoor 请查看1524端口。
8 E: P T# q2 Y Z9 ?一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
' C \. w7 U9 i$ I; pAlan J. Rosenthal.* {, T3 b3 ~' K- F% ?
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口+ L$ r4 J/ ^3 w0 k
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,) A5 V& L r' G0 G$ p+ m
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默3 V. B6 w* @ w! d
认为635端口,就象NFS通常 运行于2049端口。
( I! d7 e ^. ?- z. u$ j 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
: W/ N# @5 x$ _% W8 R& C口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口
+ L+ K$ X. j! a2 i3 |3 M! y; w4 W1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这" ^; p6 W2 @$ ~7 m4 `& B
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
! h5 m) u% V; H7 e, ZTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变
! x/ {$ q; N" z4 g大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。
) T7 h" l$ l7 k9 A& V 1025,1026 参见1024+ N. v& Q, V L j) D3 V8 x. T; z
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址
& P! V1 R% N2 H访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,+ u3 ^+ f6 C# C
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
2 X% _7 C1 x, U: B) p7 ~Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防. M1 h; y" n8 U1 m- M% b1 I
火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
+ ?: t3 z! K" r! K2 w 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。6 ^6 d+ }- g. w) }9 X
3 ~) ], _9 k/ J$ s1 v2 R x
1243 Sub-7木马(TCP): z3 F. h- r! H# e
1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针
3 n' v2 |% i! p3 N3 K( N. A对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
9 L7 a9 M# x, S7 \装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到8 r. b6 ~ q- t' }
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问& u" `5 `3 w. L4 r! P& f( D* Z
题。- s$ Z1 H! ]* K- O+ F
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
' k5 X& P0 p' H3 E8 w5 P5 l6 h" Y个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开5 Z% r0 Z5 X2 P$ b
portmapper直接测试这个端口。1 a J( [+ ]/ Q7 p
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
& o: _ `5 j4 V: g4 A6 W: h- C一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:' | v8 ~9 u' x& R M5 ]1 I
8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服4 E8 o# P9 r# {' Y1 V5 _
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。! \1 K. X1 B0 ~6 a% O. V7 }; T
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
) H* t2 t5 ~/ U, `' A- m# tpcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)' F2 R0 R7 z4 t$ p |3 U: R
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
! a+ Q) x& D4 Q. G. Q寻pcAnywere的扫描常包含端 口22的UDP数据包。+ m. y2 }& K& q/ P0 s) J+ y4 m! `
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如' w9 V2 K. W& b5 z: G
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一
% U+ y6 [9 B' Z/ c人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
. {5 c. a- |0 @7 b( G告这一端口的连接企图时,并不表示你已被Sub-7控制。)
* u8 p$ L6 G% i+ Q8 `) w8 e. D 6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这" H' e4 h) Z. X2 ]- C
是由TCP7070端口外向控制连接设置的。1 R9 `7 w- T* Q m& w* w( B
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
+ A" O! _: N \3 Q' P的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
# l# ~" ~8 n9 `8 ~- m6 S- @! b。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
k6 V/ A3 O' y4 s" l% ?& B了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作6 X# j0 O) d1 r+ r
为其连接企图的前四个字节。$ R: D* r, `" c+ N; i( [3 h
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent4 [( I3 F) Y3 l4 j2 _
"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
3 u$ @: i! m: r& k; L) B% c& r8 F种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本; g* I* H* B: i0 x6 e0 q5 B
身将会导致adbots持续在每秒内试图连接多次而导致连接过载: - i! Q- Z7 O V l
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;3 f0 }1 O8 `, v: U
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts! j* |9 v7 q5 q+ ^, S* ~% j4 e
使用的Radiate是否也有这种现象)
/ G0 a5 W( X8 ` 27374 Sub-7木马(TCP)
' u/ P1 j7 x _, n: O8 Y2 d7 ] 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
" ~) b% g* P; P" G2 V+ h 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法0 C" ^0 Q) V* |% A' z
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
6 c2 d1 s6 ]2 i& e! r: c有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来4 u U: h) A1 U* H: ^
越少,其它的木马程序越来越流行。
0 {: ]& z6 ~1 L- Z+ k& A6 Z) T 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,4 f/ d; Y. U7 a' D6 j4 _
Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
$ F& |6 h. t6 _/ x317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传3 O- h+ Y9 u5 D5 |, J
输连接)
/ G% b: b0 N# K' \ 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的* U) ~ c- v0 G( @+ o
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许9 k% M" j7 S: w% J
Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了4 E9 b6 F+ v, l
寻找可被攻击的已知的 RPC服务。. V% R; Y" V5 j4 V+ U: x
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内/ E! Y7 f1 V& c# E0 u: N9 Q
)则可能是由于traceroute。 C( [: d! U) v4 w. ]1 q
ps:
7 ]) k) h d8 U% ~9 \其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为- }% i: p; f/ L# v: m
windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出' z* D/ _ h2 b+ u4 T$ D* l& ^
端口与进程的对应来。
* N2 E( l3 |" G% T; w |
|
发表于 2012-2-16 14:00:57
