|
|
从0到33600端口详解
: m0 G" P5 e, p- p: ]9 S( \( ` 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
+ d0 A" [7 V2 u" LModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等; f6 G# A- n- I, F- ?/ y4 H
。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如. O5 Q, l; V8 _- I' N- a, c" [
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的
$ l* r: W' k8 Q. ?2 j5 g- W1 T端口。 & a% G, i J% l$ s
查看端口 & p7 _ X$ i: Q4 W
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:; _8 ]8 @+ g$ h9 [2 t
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
3 } n4 k* c9 D I. V* @3 f$ H态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端 i- N8 A; v. R
口号及状态。 4 L. b3 _- `# I# W
关闭/开启端口
5 |" h+ y" D% ? s/ j8 r7 @ 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认
# e: t! v7 T, j# K- ~4 @的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP- B2 `! |; O7 Q+ X4 O8 m8 y9 r. ~
服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
+ p$ u9 x7 K* x1 h可以通过下面的方 法来关闭/开启端口。 , ~/ Q( [0 F7 }5 J% Z8 B1 e
关闭端口
8 A" V2 r b/ ^# j0 |. m4 R* C2 ] 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
, q7 y: u- O3 Y; G3 Y9 X3 X2 v1 q,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
9 l# F! e G6 R& {: O3 WMail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动2 O& H- {* E' V/ [) x2 f L
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关
; R0 U/ S! Y" V! X0 K N$ v闭了对应的端口。
- ^# i, r) w: l* I( U! x P* i n 开启端口( T+ B! h1 g3 |& I
如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该9 g- g0 Y+ ?$ Y3 @
服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可5 w( b& D1 n$ v/ L# ?0 O5 ]
。
; s* c9 p) C9 O1 G, ^: ? 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开7 \3 e, |6 ?& S+ ~- q
启端口。
8 K. m- k" H0 {; J) X- S, ?. K4 m 端口分类 9 o* ~" k' P) m+ }: B2 y: r9 q* p
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: ' k0 F, }' I) j* ~
1. 按端口号分布划分
& r# w4 h# D! C( }# ~' i (1)知名端口(Well-Known Ports). r1 X( |# e( u; N8 t: r
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
9 \. S8 U8 \+ H0 \( X$ @9 c5 O比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给7 P7 X3 C5 p7 d, h* e
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。! K9 j a) f4 e7 x
(2)动态端口(Dynamic Ports)+ h7 c0 r5 N' z. c+ m2 ~, w9 D( Z
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
' u% R# U" |: D2 z6 z多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以
9 i+ x7 C* E( O0 M从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的
/ q" {0 F+ g. h5 G2 N2 M程序。在关闭程序进程后,就会释放所占用 的端口号。
& C% u0 R/ {+ K8 J4 r 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是2 G2 x. g: Y) F) F$ K/ z
8011、Netspy 3.0是7306、YAI病毒是1024等等。
7 ^+ I6 k# h- p. w9 J$ V4 u 2. 按协议类型划分& z; y, F) j% B, X& c* P9 T" g. j
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下/ s/ b% m3 L6 H F) @
面主要介绍TCP和UDP端口:. G8 o: {; p3 O6 Z1 B9 x* o
(1)TCP端口
5 e% J5 r* G. }# o0 G# h9 X) k0 Z TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可1 C- z8 V/ R/ O: [% M
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以2 K/ b, g y6 J
及HTTP服务的80端口等等。
+ l5 a5 @( j; E (2)UDP端口: B# o: I& {: T3 U9 v) `5 j" ` M
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到
% s# {" d# M/ c& S( d2 T& y/ x3 S8 e保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的) Q# S( L* S; k4 Q
8000和4000端口等等。
N" ?- w: o; w! Q/ ^ 常见网络端口' A H" r. e* d
网络基础知识端口对照
* m" q" w+ V8 \ 端口:0 / |9 @' @2 K$ y% X5 s
服务:Reserved $ t7 M+ {4 ^. r0 J' O R, t
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
5 x0 m( W: o- `. P8 g$ Q- X你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
7 s: `, v: n2 S$ a+ u5 }: _0.0.0.0,设置ACK位并在以太网层广播。
7 c3 z( Z7 L8 o& t$ h. H 端口:1 w& e* [( H3 \/ W( h/ B" s( S3 `* c
服务:tcpmux , B8 q% M+ }# t# C
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下0 r( M7 l) a K* S z( @3 B
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
0 J, L3 l$ K9 a) n+ f4 K* ? YGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这7 J# T# s$ S) o6 ?0 f6 i
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
7 M1 d- E% w5 ~( b& Q. l% E6 ] 端口:7
" G: y! M* h! v3 W2 c6 p D服务:Echo . d4 Z, A2 _: @% ^" n7 A# F5 @' s
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 0 _& b5 |* [; x6 Y* j1 R
端口:19
" G) j/ X8 Z: f7 N$ i, V服务:Character Generator
) K" M! r3 S I6 O说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。
/ v: E O% C% v8 yTCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击
* a( b6 t! y) m) r。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一. _6 e" m! R) X
个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
/ ? n) x! S) H+ [3 Y d' B 端口:21
G' w) X7 x% x- W' l服务:FTP % P! \: K% }* z( p% r
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
[8 ]$ o3 h u( ?; N) {的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
# B Z0 c9 Q4 P' [4 MFTP、WebEx、WinCrash和Blade Runner所开放的端口。 " }( Y9 q y4 _7 J
端口:22 " G" o6 p* b; r2 a0 ?0 S
服务:Ssh
8 J% K2 V1 N! S3 H说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,
2 h: r2 f2 k) Q, e# K6 t7 K如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 3 P+ a: Q! d$ q) L3 ^/ Y: P% c! f
端口:23 : x- c/ U& Z& {/ G
服务:Telnet % D8 V: e: h- x- b! f
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找) ^8 }; U8 i: ?
到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
% \; I( T7 Z( u* `Server就开放这个端口。
6 L( G! R0 a& F d! x1 w 端口:25
4 r4 H# P5 f/ B) p服务:SMTP
" e/ X) |6 e3 {说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的 I. R. {' E+ j
SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递
2 s- ]! R" }" \# o到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth1 i- D A% H5 }
、WinPC、WinSpy都开放这个端口。 # B; u7 {8 O8 @9 l' b* W( T$ ?
端口:31
) B; v; L% U) E8 f; V/ E服务:MSG Authentication
4 }- c6 z$ z! P. r/ g说明:木马Master Paradise、HackersParadise开放此端口。
2 L9 ~# Q T. K" T; l9 z 端口:42 * } \1 J6 Y- a! k" C9 G
服务:WINS Replication
% T; b7 V& S0 V1 L* x' {, G说明:WINS复制 . E& z0 c i/ s( |: w5 \& _ F
端口:53
0 ]: [% E6 y, I' @% ?8 v& q4 ~5 ~) ]! s服务:Domain Name Server(DNS)
, k% N& [* u- O4 a: l0 X H6 }说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)$ q! {# M7 y: }$ N
或隐藏其他的通信。因此防火墙常常过滤或记录此端口。3 w0 E; ?: z# Z1 [* ?7 @( r
端口:67 & M$ w; R# j8 g) A6 l. i( M6 H7 M5 P
服务:Bootstrap Protocol Server
% d6 t- `3 M% [. V说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据
2 H8 N9 |8 F+ m3 ?+ ~。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局2 ~/ C9 f7 @% f
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器5 x# L8 u; D, e: `1 x" D4 O. b3 f
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。# }9 U5 K9 Q- w% ?1 Q6 L6 _
端口:69 7 c( A% G3 }* R1 c
服务:Trival File Transfer + h: G- M/ s' A3 c0 V
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
- A- N, ~- f- J+ ?错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
3 Z$ w, N5 B! s0 c( _0 D 端口:79 ) A5 f" z) E6 u
服务:Finger Server
' ^0 R; m0 i2 a W说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己
" L U( {1 B( f2 V+ s8 p机器到其他机器Finger扫描。 " Q/ e6 C2 _* X/ |5 R' _- p0 A
端口:80
- L* t+ _9 \. o- R Z服务:HTTP & R9 M1 }3 N* B9 l: K5 }
说明:用于网页浏览。木马Executor开放此端口。 , H7 q/ T) I- O3 s3 s: G( P$ x
端口:99
3 t6 h& M! t1 v x( R服务:Metagram Relay
3 J; p) O) I! m9 l5 X说明:后门程序ncx99开放此端口。
; q1 `. m' j+ O) I 端口:102 % U2 z5 W, w* b# g
服务:Message transfer agent(MTA)-X.400 overTCP/IP
8 e# _' j5 i$ n8 g说明:消息传输代理。 $ J9 U% u4 E, P" C
端口:109 9 U% P/ d) d8 s ~$ Y! N* x( }
服务:Post Office Protocol -Version3 1 y; n, v, ^! p3 M
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务$ }& E5 b) G5 m/ ^' O4 j) y
有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者0 D' E+ Y% V/ Q$ T( P# C+ b& p' I
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 7 l0 }8 b8 b! R
端口:110
3 R# s# w: y A( {4 h/ ^服务:SUN公司的RPC服务所有端口
" a2 P1 j4 X$ v. d7 f说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
0 b) L# u4 {6 Y: A. V 端口:113 " ?; ?( A }6 L( M' W6 G
服务:Authentication Service
8 e$ [$ X0 S G' l说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
; Z$ R- Z/ S: ~; ~; w2 o以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP2 F& V- `3 A4 ]1 R% f8 `
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接
& Z7 {6 {' K" N/ G( Z请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
) @/ m8 l# O& B。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
9 o/ D" | J4 R( g0 J. K 端口:119 3 U8 D6 K* v |0 h
服务:Network News Transfer Protocol 0 N2 n" d; z* a3 C1 I$ Z4 z
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
6 m0 F2 `0 o* _ o. D3 ?3 z5 f务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将8 Z% ~9 L% [7 x) S4 ^8 J* w' [
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
& f ~# V. w& {: k2 S0 ~ 端口:135 ( Z4 s' h4 N. F0 e- z+ T- ~0 g
服务:Location Service . H- _6 B) h: Q9 Z7 Z* D) k
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
) B5 u! _; h8 k" Z& b8 I- g端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
; D# N: k2 D4 h。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
6 d! `* X' n ^4 `0 d1 U' f, {机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
M+ a! R' Y. `$ j' y直接针对这个端口。 $ q! W- F$ [" ^) t7 G
端口:137、138、139
% Y! _9 c; Z2 N* j! i服务:NETBIOS Name Service
. u2 q4 j4 R' n0 B$ a3 P9 {说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过3 |( B, _$ Y+ Z
这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享$ h; ?# u% {! v3 r# v6 f
和SAMBA。还有WINS Regisrtation也用它。
; @$ s( m1 r' [* R! Z% G 端口:143
$ \8 u1 G4 p5 H0 S服务:Interim Mail Access Protocol v2
" ?, Q# A# {! z说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕. J% d' ]: F' r' d
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的% Q, [6 w% J" E( W$ a9 l6 a
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口 H* p) \ |; I* `
还被用于 IMAP2,但并不流行。 . C3 J5 y" H5 |( M& V7 q# h
端口:161
( ^( O; `5 H: n服务:SNMP 0 U) B E9 Y/ \* p M
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这 b5 V, i, I r
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码
" R4 @) L5 }0 Q5 h7 `7 Spublic、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用
+ Z# ?4 i8 M1 M! g) N% m户的网络。
6 J3 [; r$ t5 B: R& A: Z8 A 端口:177 % x' k! W! y9 D+ v- `. h) k
服务:X Display Manager Control Protocol 3 z6 E" @: U( Y0 x
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
) s4 x0 p# f# h! D3 V8 g& X
5 ], F) o& `- H 端口:389 ) `6 f4 m! F \" O9 n/ ~$ Q
服务:LDAP、ILS
7 U1 ]' s: k8 ]/ p# _4 Y/ j: ?说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 - X, s, j- R+ c4 g' Q# S
端口:443
; `+ z3 d+ E, Y+ H. o g* a服务:Https
4 C1 e4 U6 [* m. ~* u说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。 C" Q& M) ?9 H
端口:456
6 _, }# N, {( a! ~" p服务:[NULL]
! z& Z. }0 J% ~3 y) ~0 e说明:木马HACKERS PARADISE开放此端口。 * S; n! ?, S% y6 ~4 Y$ W0 J& z# d
端口:513 : u( [9 T! ?" L' b2 N* b8 `. c. Y# a
服务:Login,remote login
- m, J8 @( m4 B2 |$ K& A& t说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
5 b3 Y8 l( u$ E, m3 X进入他们的系统提供了信息。 . R/ e4 ]0 @: v3 [* L8 Z6 z
端口:544 7 C8 Z% Y# h/ |, D$ ~! }
服务:[NULL] 9 A1 R. o. I2 J5 \. H1 a6 S
说明:kerberos kshell 3 ]+ l/ T" l2 `. m" n
端口:548 ( }3 b% T4 z2 `& C: n2 `. _
服务:Macintosh,File Services(AFP/IP)
2 G% g& B% s& ^4 V/ K说明:Macintosh,文件服务。
* ^$ V! g& u( ^/ F 端口:553 " O$ Q# H! H8 z. ^
服务:CORBA IIOP (UDP) 4 Z/ T" _3 F4 i5 i
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
3 A+ j0 ]% {& _, z7 W系统。入侵者可以利用这些信息进入系统。 & l" d' o S' o3 G6 C* W
端口:555
) j5 V0 t4 z& [9 ]. _3 I服务:DSF
. ]9 ?% L* n0 `% Y$ m# r' ^说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 ' A1 Y; \+ D D- N" \
端口:568
; i" p% l8 Z9 U5 [服务:Membership DPA 2 Z. ]1 `) C0 H+ _% S# c: h# k5 n
说明:成员资格 DPA。 - D, j6 b1 k+ K# X
端口:569 8 F: ?/ Y( A5 q& n
服务:Membership MSN
0 P: k* A+ I0 Q" a0 X' l说明:成员资格 MSN。
9 N E- U) \, m* N7 ]5 `, W 端口:635
/ |- ~) U0 v9 y3 @' Q. N, _服务:mountd
; ]) A( ^$ {' U4 Q说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
0 @4 a8 H) m7 i. j$ b2 t N( y% G,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任# D6 C6 C! j$ j0 d3 Z6 q$ X
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就1 p7 \2 b7 J) l3 U7 y
像NFS通常运行于 2049端口。 0 d: T8 e& R) i( p# n# a
端口:636
& r2 B5 h: B4 C$ n% ?3 d7 {服务:LDAP ( A, q$ w8 i3 P; R% Q) p: ~, H
说明:SSL(Secure Sockets layer)
; C% X& E1 \8 ] [2 r1 \3 z8 g 端口:666 n5 B z. A) ~
服务:Doom Id Software / a2 Z4 l7 m% n, c" F
说明:木马Attack FTP、Satanz Backdoor开放此端口
+ Y+ \! @, W) V8 k) K 端口:993
, D8 _% R! V7 ~( T B; W服务:IMAP
R1 n# {1 Q& d9 y* F. A2 K说明:SSL(Secure Sockets layer) / r2 R0 j a. e* | n- N
端口:1001、1011 / [+ ~+ A! ^/ b& V( v7 V# V
服务:[NULL]
/ b$ E7 _" h- s# P; d- s$ B2 w- E说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 9 c$ H3 p' u4 b# _1 X/ b3 ?
端口:1024
5 V- I, E7 ]) _7 X) Q* z服务:Reserved
* g- C( u a6 Y+ z5 W [说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
8 @. H: \" _6 f0 F+ p2 ?) m* Y分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
& Z$ ]! K/ [0 q' n2 }. `会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看( M. \; u$ E6 Q" @6 g9 ?
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。) ^% W4 n2 |. k6 [# A
端口:1025、1033 6 d- f; F5 Q7 ~- p3 C4 J
服务:1025:network blackjack 1033:[NULL] ( L/ C4 @/ \$ a% _% |1 S
说明:木马netspy开放这2个端口。 ( z7 Q2 U0 y i9 X$ t4 y: t, V+ _
端口:1080 4 j. O- E+ I& h: P" n
服务:SOCKS \5 [$ w5 u% h4 n, O2 ~! x
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET6 z3 u1 B9 {: d; g# ]! O8 f. t
。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于
1 L8 T$ |$ w5 z防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
. d1 o0 ]0 l# m# ]/ t" p2 H种情 况。
, u Q7 U6 v1 f3 N f3 N 端口:1170
; U: t0 v) O8 H' B0 F+ J服务:[NULL]
) z) q5 o5 ~, ]$ e+ y4 G9 k5 c" Z说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 ( z; q! U7 G5 ~* [6 n3 Y+ M
端口:1234、1243、6711、6776 . w# S1 [, z2 r) j1 R, I
服务:[NULL] ) p0 M2 T) g7 b4 ^% R
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放
2 o- b3 f9 l) q% h# r1243、6711、6776端口。
: X! X; I* S9 B$ q% p 端口:1245
: w0 X: x/ \2 I G8 \服务:[NULL] # x( G8 c. ^) G/ `7 u- A
说明:木马Vodoo开放此端口。
! e! K) D1 }) g3 o 端口:1433
t e5 ^9 d5 i0 ?- G$ V2 o服务:SQL ; Q, B9 q" X8 q' H" `. ?
说明:Microsoft的SQL服务开放的端口。
' v- G- G# g1 ?0 {: } 端口:1492 + n) P7 [0 }5 I0 {9 b
服务:stone-design-1
) i& Y- n2 Q' m$ `说明:木马FTP99CMP开放此端口。 # z7 _8 n% j# e0 ?
端口:1500 6 ]6 L1 U( ~- i1 [9 o( _, F0 j
服务:RPC client fixed port session queries ! I9 u9 o. e) t. t8 @& x! ^
说明:RPC客户固定端口会话查询
( j$ o# L0 v1 t3 [! q W 端口:1503 - ? ^5 n' B, v2 }; T9 L
服务:NetMeeting T.120
' Y9 j2 A* O1 s3 S9 K- ?; P i+ y1 K说明:NetMeeting T.120; \. m3 l; S- q+ x" n* \2 a6 I
端口:1524
0 w. w, S5 X2 z8 W1 P( j6 l服务:ingress 5 I0 U4 Q X; r, F6 T: R3 u6 M
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC5 D; C( d' P3 t+ x3 d
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
) Q$ w+ F2 X, D7 T。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到& B! T" L1 m! }/ O$ V
600/pcserver也存在这个问题。
" U$ @+ }( J$ E1 s% F常见网络端口(补全)/ x4 f. X7 b+ w( A" M E' v
553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广) i0 k" u7 I) w% ^
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进
1 H$ }% A: N* W, x入系统。
: ~/ c8 k B0 A( h8 `& ] 600 Pcserver backdoor 请查看1524端口。
, o6 g7 j3 E% D+ L一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
: D e: P3 [: n+ r8 n' QAlan J. Rosenthal.
3 A' S1 H+ g4 v8 J 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口: r) h, O- h- q. H- u
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,% p: z1 y* r& x# R2 e- f+ a( f
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默# m ~9 d1 b- K) u( `5 H" z
认为635端口,就象NFS通常 运行于2049端口。- A8 u" L6 Z" g8 \
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端# h$ k% p) q- G# s# { h& O3 Y
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口
' q# Q/ B- `8 J' ]4 q5 ]1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
! I+ W, u2 y" _! t0 C/ z一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到 n; U$ V/ N$ Q4 W- A
Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变
) e% _, ^7 V' C4 G大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。
* V. z' l' E# Q& _, h1 L8 l 1025,1026 参见10249 q: U7 P5 X/ \1 y" G0 d' w( F5 ^
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址* ~% T. d* k ^; B
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,0 c/ Z& O* S* R/ [
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于9 V* y7 D0 v* M3 Q4 M% Z
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
( Y. }, x1 y' E. O. ~ S. z火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
. m s+ \, d9 k& T4 U' k, T 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
* v$ r9 G; z% V* [5 b0 t, e
9 R; g- i- R1 l, M" l3 t1243 Sub-7木马(TCP)
/ o; m& F- H1 T* O1 W4 ^ 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针
7 p S0 ^- R; S) Y$ j8 y对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
* D& z5 c2 q z6 p装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
: N& g I$ z5 b8 F: X6 M; f你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
5 a9 E' `, W- A; E题。
( w2 B7 a3 n8 I2 L 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪" Z$ F a$ M- Y
个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开. P4 J4 k/ \3 l
portmapper直接测试这个端口。
, T. G0 J5 R/ U5 x. @ 3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
: w" u/ w9 l$ X, j+ G一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
% V* p( q1 c% N- t8 g8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服
5 D( }& B8 {5 h9 ?9 ^8 t$ B5 ?! R务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
& d, U' G6 n# G2 J0 H- w. H 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开. |# M( P- ^; O3 p
pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
: Z' c5 ^5 l2 N' p。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
' u/ F" Y/ U$ N" w8 Z% H8 h寻pcAnywere的扫描常包含端 口22的UDP数据包。
( J0 |6 m, [3 B 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如
/ Y) J2 C$ x/ _当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一
; P# \" E% h3 F# j人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报# {2 D; X* Q" p, _
告这一端口的连接企图时,并不表示你已被Sub-7控制。)7 p* m( x1 `/ C u+ n b$ \! K# W' S
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
9 L* Q5 ?" T, p Y7 U是由TCP7070端口外向控制连接设置的。/ [6 H% Z w% p; m
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
) D9 h" s" {* f, v7 U的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应/ N, I7 Z0 }7 f6 M4 f
。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”- b1 {4 L& {$ c: X
了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作2 ^: o) ?0 O1 `: y( p' ?
为其连接企图的前四个字节。
, P" ]. I$ b' y( ]* m, i 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent2 b1 k! m2 y0 ^6 L
"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
5 S8 d# J! }/ W4 b9 F0 w种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本: X, |9 U' e4 l
身将会导致adbots持续在每秒内试图连接多次而导致连接过载: + s f- R/ z1 W$ q
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;, c7 J. E) e* M+ J, ?; C
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts% t1 ~' X7 c/ _' v2 E
使用的Radiate是否也有这种现象)
- g+ B2 R; q7 S7 K. O" t8 [ 27374 Sub-7木马(TCP)- h" H; u" g: a7 n: Z) r4 U! v4 [
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。3 w1 A* N: D/ n9 E. l
31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法4 o- O4 [, ], k. V8 U7 I4 F. C
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
7 Q) g6 a0 n% x0 C, b8 |有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
" U" q- c; Q6 [2 I1 t; ~" U }越少,其它的木马程序越来越流行。
6 B( q' C8 J+ V I 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
$ c' _4 o: F2 n1 o) L5 u/ uRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
+ Z: Q0 H) B4 y317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传6 x1 P2 u' r& T( C
输连接)" l1 s+ F& a( @* l2 i8 Q, z
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的0 K- H/ \; B5 o: x* B$ J; }4 Y* f
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许; P8 f9 i" j5 ?5 s$ J
Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了! b* |$ K/ X c! M8 }9 Z
寻找可被攻击的已知的 RPC服务。" X0 W: J$ P# ]' i4 W: Z
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
/ g; v0 p9 ~2 Z. @' p8 M+ E6 e)则可能是由于traceroute。; `* M0 u' i- q
ps:
+ l( d \* K* }其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为# N2 N& }1 V* l" j
windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出# L) g' V, }4 q. \; l' u
端口与进程的对应来。
) l- o/ ~0 |& y8 @/ D |
|
发表于 2012-2-16 14:00:57
