|
|
从0到33600端口详解
9 ~0 K% k) k; X; Y/ l: f* } 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
; T2 l5 { k' N. y4 I0 {. P& P% iModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等2 G1 `5 O4 h3 u7 |! N
。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如
: @% v- n6 B" c7 ?- O用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的4 u+ v! A! [" r# B0 H5 L: ~
端口。
6 H' S1 O6 g3 U/ N# e. O 查看端口
( p2 j& O/ N: ~$ t 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:3 A& A. `& L3 E, S' g. {
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状7 P7 Q# F3 E" a& a
态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端2 {# {7 B& Q9 n/ ?" ^+ s5 y
口号及状态。
7 f7 Z' n# ~( C+ G* K- A 关闭/开启端口) k( H, K R+ N( S8 ^7 u6 u
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认+ b* C$ j( s7 o& X* X. a5 I
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
3 v8 F' | o! N" P) h+ h/ G# c" E! v服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们& ~0 T7 ?- r+ W( A
可以通过下面的方 法来关闭/开启端口。 0 l+ d- U% b+ U) i% u0 m
关闭端口
$ v# x& P8 c6 ]: }# ] 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
5 z& S b& U6 F4 G$ i) Z,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
& |1 f) ?) D! A$ S' X! w8 z( vMail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动
& M/ g- z) L- J5 z4 R# j" [9 L" m( n类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关* }& G$ P( g2 ?0 U+ N, R
闭了对应的端口。 ( B! ]( y( h, Y1 V
开启端口5 [/ _) {3 V4 V. R
如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
& m N( ?# g' p* Y服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可+ c+ K, ~* G$ ~ l
。
# w$ ?" {" `& l! b0 H; ?: U: v6 U6 N 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
& D/ G% F1 Q; h9 v, U0 Z0 f" v启端口。
: ^5 j+ R3 w* a; ^ 端口分类 , M8 H3 G! W, q) V6 k5 [
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
' Y& X4 i, ]7 A2 E8 L7 T: q. r9 Y 1. 按端口号分布划分
) M: S- ^9 @: o (1)知名端口(Well-Known Ports)
0 h8 q+ @' ]# W+ s& K 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
- s9 a6 t5 B2 [8 U% F% T( j比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
: O5 f5 V5 p/ @HTTP服务,135端口分配给RPC(远程过程调用)服务等等。8 A( \7 N3 C+ F- J8 K' Q4 c# I, H }
(2)动态端口(Dynamic Ports)
' ?) J+ |. @. ?/ S 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
M; I' m4 b, G' J7 c. ^多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以$ t0 d8 n' }& W. e( D F. m7 ~
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的. K4 K$ |% ~7 L2 i7 ^: [
程序。在关闭程序进程后,就会释放所占用 的端口号。
; o; I) O1 b, Q) C. H$ y2 G 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
# d8 B% p5 J0 H7 T( u" x8011、Netspy 3.0是7306、YAI病毒是1024等等。
( n% n: g: m1 V" m% A* \8 \5 B4 ` 2. 按协议类型划分
9 p; N6 a% j7 d. h" w. E( R 按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下
/ z2 k5 ~: a. F) o4 h7 L6 u面主要介绍TCP和UDP端口:
" b& C0 q* a& g! Z3 A/ ?' ? (1)TCP端口- [/ L( G6 i; ]# R3 H0 d. F
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可, e! H" E( F" U- v1 {( m
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以. A2 \2 E" Y1 T+ Q; B
及HTTP服务的80端口等等。9 j3 M1 @( N: L; |4 r) C# M
(2)UDP端口
8 Z% q/ J2 h( M" q, g$ a UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到
( w4 A; L# s' R: q* U' R* c: e保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
! D( b( p9 [7 ?8000和4000端口等等。. A/ G! R! K D4 Y6 e4 `+ g# b. t
常见网络端口8 H% `2 J- ?9 L3 j4 ^, M" ?
网络基础知识端口对照
+ {3 x$ }: ]+ |9 Q 端口:0 . Y0 }% }+ t1 o) @0 `
服务:Reserved
" @; [2 b1 D% ^0 ^) L说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
6 h( F: v1 ^# _) d' I3 K你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为# L6 a# ^ F' ]( O' v
0.0.0.0,设置ACK位并在以太网层广播。
/ r( J T; F) d& S/ ?2 ? 端口:1 * D' ^ U8 p2 m1 j I3 C
服务:tcpmux
# k; c E1 v* r' @. H说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
" }6 F' R! ?( E9 W6 i, btcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
7 |5 z# q& y9 F' b4 Y( sGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这5 f, N# p$ H" ]/ Z6 ?0 S, [
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
8 r' J8 {5 Z3 S7 h7 ?7 x" L 端口:7
" C9 [. Z/ @7 Z3 R服务:Echo
, ~* [; S, H4 m4 w; G7 F说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
. y/ Q3 K$ A: W 端口:19
! A' |$ z9 h& T: S2 \服务:Character Generator
6 T& E* G5 V: Z6 I9 J说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。/ X$ a" V Q% m
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击
* J h) u+ ~/ k% D5 {5 I。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
; i( R* X1 t: Q9 z- I( |5 }个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
7 v( u# u( o' D# ] 端口:21
4 E2 J6 u+ J9 w/ w4 ?服务:FTP , V' g8 \' A' H- y
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
( k3 [# W- d2 X% }5 w' B H" X# _的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible( l! H; c5 p- ~8 ]
FTP、WebEx、WinCrash和Blade Runner所开放的端口。
. @! z* s& I+ n" S5 ^8 ?* S& j 端口:22 * g4 A3 h+ L( I% V
服务:Ssh ! ]8 g8 t/ b" x
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,0 D3 n) m6 v, W2 p9 w, o
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 6 q9 l2 F7 `/ w! D: A4 o. {
端口:23
4 L# C1 A; Q! j服务:Telnet
- Y5 O* l1 W$ X' } N4 K说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
4 {& w' m, p3 ^& |$ Y2 @* I$ x到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
% j- D. M5 d9 j' p+ a# ?Server就开放这个端口。 / m) } d4 k( T+ A% S4 r
端口:25 4 B+ Z8 _% h0 p u4 L* p0 m
服务:SMTP
. z0 Z: F6 ?: f) F+ E' d说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的; ~4 n; r% G% G# ]+ R, z$ C# g7 l/ `
SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递5 r9 z$ U' z5 N+ O% H/ l9 q: B
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
% B6 |3 a2 Q0 k4 ^( _' B5 H+ \9 f" G、WinPC、WinSpy都开放这个端口。 - i2 s U$ Y9 |7 n- d( J
端口:31 7 T. G, W3 w" }7 @' K" u) U, T
服务:MSG Authentication : L) W+ a2 N$ u$ {8 W- s# k
说明:木马Master Paradise、HackersParadise开放此端口。 . o4 K4 V# e) y/ ~5 R6 y
端口:42
3 X- Z+ s8 {/ b0 d: z# C服务:WINS Replication
9 V: C; N o$ A* K5 {! ~4 W2 t* D说明:WINS复制 ) y3 k2 l" m4 Y, S i
端口:53 4 ~0 {( y) G- `
服务:Domain Name Server(DNS)
8 a* X/ H: k, [: Z- k: O说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
* H2 w$ c Y; G( H" ~' b( _9 h, f或隐藏其他的通信。因此防火墙常常过滤或记录此端口。+ I( Z3 j" o" t6 X$ D4 j J
端口:67 # f: E$ x6 |; v* y2 }' g( y
服务:Bootstrap Protocol Server 6 r: [, l% Y$ E7 Z
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据' @4 c: v( L z6 B+ k* A
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局
1 ~1 f# [5 {1 G/ ?部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器. ~0 ~0 r6 `8 P+ D w# f4 t- L
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。% Q( M0 T6 C' T2 L
端口:69 K: q% j9 N. {3 \& l# U$ ?4 [
服务:Trival File Transfer 8 O1 d, S& |/ c+ e. W% }% p
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
& a, P, G, J$ I$ {2 Y* _5 I+ Y错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
9 |4 }9 [# B- P3 H6 a" o 端口:79 ( e. s. d2 d; l5 p* E4 A1 q# t
服务:Finger Server
5 `, E5 I/ |6 i2 `9 T- s说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己* T6 Y6 i: e# m
机器到其他机器Finger扫描。 + Q. N% A' \5 R9 X0 E4 n- _
端口:80
, c/ J0 S7 z* ~% E' H服务:HTTP ) R j( k* K# z3 L, |$ q9 Y
说明:用于网页浏览。木马Executor开放此端口。 5 n ?: N6 R& T8 r
端口:99 : I5 q# B' Z1 ]+ \
服务:Metagram Relay 7 F7 v- ]0 I+ h1 K* {; X
说明:后门程序ncx99开放此端口。 6 U$ j3 r# J" ^, {/ v+ x7 w; ]
端口:102 1 {+ U9 M3 D9 d- ]
服务:Message transfer agent(MTA)-X.400 overTCP/IP
' e. Y5 O: O4 i K9 v说明:消息传输代理。
, `+ K# S- u; l5 s! v 端口:109 0 I% e+ O4 m/ X9 J
服务:Post Office Protocol -Version3
. H2 p$ I/ q' r! r& A, y, x2 d说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
! [* y. y# ]* [( l有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
5 F- A4 X s3 D x1 c5 j5 [- @( Z可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
4 t9 P. e! m( t 端口:110 ! b2 ~3 u/ R5 a+ I3 l
服务:SUN公司的RPC服务所有端口
8 f9 M1 V- v5 e) d说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等 ; y4 E3 J5 t3 ^7 c: c, n7 U
端口:113
) v5 b5 u: ]3 F( d& [* @服务:Authentication Service 0 S, }, z# U7 ], w1 N! X
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
* O2 w' h% P( C8 B( p以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP
, c) k3 v) c- M2 y5 K% X9 G和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接$ ~0 w v2 X+ W
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
; }+ T5 k: Z4 W9 e7 v4 o- G。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 ( {! |; ]& g* w$ U2 b; K
端口:119 , P6 O! W) n9 s2 r, s
服务:Network News Transfer Protocol % b3 p, Q6 Z$ F( E# l
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
w0 ]/ a# ^ A务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将. I$ f: H- R( S+ A0 |! `
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 ( l+ ^* @3 m& T7 L. O
端口:135
6 N2 W0 U( J2 h: N5 V服务:Location Service $ d8 J& s) o1 C& ?" h8 p- {! W
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
' ^9 T. R2 z" X/ K端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
1 Z. U/ T% L( S5 x. j8 M。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算$ y0 W N- V6 M y
机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击7 q. g: {7 @; v
直接针对这个端口。 ( ]0 q* g2 l" O" L' K
端口:137、138、139 ' K2 n5 e0 e2 A6 G- Z0 M
服务:NETBIOS Name Service 0 X. I, |7 E% Z9 W
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过; R) Z q w m$ O9 i- Y- Z
这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
0 `) y% U& m1 A( K" d) C和SAMBA。还有WINS Regisrtation也用它。 ; B H- e4 a; x; e- I
端口:143 - V* V6 P% S9 l6 M% E
服务:Interim Mail Access Protocol v2
1 C. `. ^ V* j说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕
- q3 l: O6 w& |$ K( o虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
' K8 R5 G& C$ w9 C, b N7 h用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
# O( A& b5 K8 m2 s% O还被用于 IMAP2,但并不流行。
$ h! B/ E8 f. m& q, y- O 端口:161
2 e6 K& x- q" ]/ F" ]' g服务:SNMP
% D. I/ ~1 r3 C8 H6 R+ `. M' I说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
2 ?1 ^/ Q: P# x7 n些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码* n, n: }8 T. R! |3 E ]! y
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用5 C* Z$ J0 E& `3 M! h& X
户的网络。
) J5 H3 x( ?7 S3 Z 端口:177
5 A) @, R/ \6 q- m5 G$ [; ?8 {& L3 B服务:X Display Manager Control Protocol % w& _/ _" m) ?7 K
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
! v0 r% [; y3 z
& K6 u! w$ Z3 O. O* i 端口:389
* Q9 @3 P; y/ m$ M. h0 `) ?5 u服务:LDAP、ILS
* s& O, B9 w) S5 w$ y/ Y说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 * f* w a9 s9 \4 a
端口:443
8 x: H- D* V0 ]" f3 y9 [& M服务:Https 7 O- Z5 }* y' `/ F7 y- l
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
+ B& G) u+ Z4 b 端口:456 + {& X" h. U4 R
服务:[NULL] f! w2 G+ C3 Y' F* B0 j7 h, `
说明:木马HACKERS PARADISE开放此端口。
7 E2 V* r5 i+ j: M E 端口:513 " O. Q5 M6 e1 |6 G: M/ t9 q
服务:Login,remote login $ g" l. D R# {7 G* W! H8 g u
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者, u# R& C% E6 m. ]+ [
进入他们的系统提供了信息。
$ s" c4 p) X1 v* d1 J& Z* Y; I 端口:544
$ K: G2 z; N1 X6 l" y+ K服务:[NULL] L8 p, p0 [! I- `+ k
说明:kerberos kshell
% l$ K/ |6 P, F( z& F( r6 O% q' n 端口:548 * ?% t3 u* p( ^/ m" p
服务:Macintosh,File Services(AFP/IP)
( t9 L; t: w) M- i说明:Macintosh,文件服务。
4 y, o* A' }6 J9 Z$ y& W 端口:553
9 V; X/ s5 e% E, C8 t6 n: E6 `服务:CORBA IIOP (UDP) z2 j1 N0 Q, I
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC( [8 E C* L0 c$ h; n1 {% g
系统。入侵者可以利用这些信息进入系统。 7 L9 l& k: b. B3 h
端口:555
9 b' J# L, ?2 t+ b; i服务:DSF
" X, H* L( i" U' f6 P$ m* H说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
: ^7 f# N* P0 K6 s) W0 _ 端口:568 4 `. d6 [. i% o3 }+ u1 l) F
服务:Membership DPA
; S; `5 a7 b6 f8 T8 i! l' B- K说明:成员资格 DPA。 ) ?+ Q3 k/ A( a$ |
端口:569
% Q! }3 I D& o+ n9 `* f G& n服务:Membership MSN % c" F% J' o- w& o
说明:成员资格 MSN。
% u u! [9 _) p2 T; @+ g3 m1 I 端口:635 0 i1 ]! p$ c7 m# Y' A2 u3 k
服务:mountd
# C0 t" l" x: K& ~7 H3 l说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
! |4 J. w* A& E! o,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任. L" K T- q8 Q8 k! ]& a
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就
# Q) S& C& Z+ M C: |- _像NFS通常运行于 2049端口。 - O9 d! M) A/ s' b' G4 ?
端口:636 - G& P% w; N" l3 [+ R" H
服务:LDAP # M; p8 B9 S' W: R7 Y8 y0 T5 ~
说明:SSL(Secure Sockets layer)
6 w; e4 N% S+ m" W2 l 端口:666
1 @1 s* s# T, `服务:Doom Id Software
* `4 [6 V: J' }说明:木马Attack FTP、Satanz Backdoor开放此端口 1 Z5 x* j0 k( ^) G
端口:993
1 M) G& ]/ y, E服务:IMAP 5 V R- g5 ~* X6 E
说明:SSL(Secure Sockets layer)
( }3 z( M( \, d9 R) K 端口:1001、1011 7 f- s" a% o& D* i$ ]# s( `
服务:[NULL]
# C( c! D+ E) J# z$ C6 `4 v$ |说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 4 b+ f* c# y1 H; ]( T$ X
端口:1024
: F+ N0 V9 l' C- Z; u服务:Reserved
2 i6 i ~( l* n说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
* e8 Y" Y/ R4 v, y分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
3 S2 T: ?! R8 T% Z4 P' U会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看; k9 w1 V, A% j
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
: B& b7 Q- k" L% G1 O 端口:1025、1033
V0 g3 u! D- f- i* A4 o7 q' c/ B服务:1025:network blackjack 1033:[NULL] / M/ Y6 p% P- p$ c$ e3 q
说明:木马netspy开放这2个端口。
' ]3 d2 s. V& S+ [: ^3 b/ B! {# F 端口:1080
# J7 t- G3 J7 K6 ^服务:SOCKS ; }6 l2 m$ R) ~5 P& ^6 D) y; `! _
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
/ J: ^8 q+ ?1 [. u" ?( S5 d。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于
$ x. E" `: V" M. x0 G防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
, G4 a# {% |/ v4 P: u种情 况。
' T0 e* e Q( q0 u5 ~ 端口:1170
9 o9 @4 e" K- [" I K3 A服务:[NULL] 4 `) | F [+ }, N
说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 , f0 e+ `9 `; Z# `% l) W/ \8 R7 T
端口:1234、1243、6711、6776 5 F- v* h4 y0 C, c7 S3 L
服务:[NULL]
" l( G7 `+ o8 n! X; P说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放" r! X; ]! _6 K$ @# k! s
1243、6711、6776端口。 ! F: i4 |0 [0 E& U: q& R
端口:1245
, Q) n: M T. @ _; Q3 T8 f+ a服务:[NULL]
; i4 F3 X' J/ F) d说明:木马Vodoo开放此端口。 3 i9 B7 U+ [0 n9 X% u
端口:1433
* e3 l: |3 U9 e9 c服务:SQL 9 x; Q# L& A$ s# M# n) h
说明:Microsoft的SQL服务开放的端口。 9 ~) b" b9 ^7 W' j! z
端口:1492
; r- p, ?; ^! }/ h服务:stone-design-1
4 F3 _% {' L* j% \! X" C* e6 z说明:木马FTP99CMP开放此端口。
s+ s( S1 ^9 {! Q: ] 端口:1500
- w1 x* ~# G( J! o1 a' l服务:RPC client fixed port session queries " q* |% o* {, d6 I
说明:RPC客户固定端口会话查询
- C8 p& `3 U$ h _! C% { 端口:1503
7 ~* _ B+ D0 _- J6 _% J/ p+ ?' t1 d4 M服务:NetMeeting T.120
- _# `9 y2 \0 R3 t" L6 x说明:NetMeeting T.120& ]& u5 K' r, p6 ~' b3 {, Z
端口:1524
! {+ p S0 d3 `! U* H2 k服务:ingress
" D5 ?* e! X$ D7 U说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC
$ v7 D" ?# k9 ]4 D服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因) t" @8 J" g4 i: V% i# s- }7 q
。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到% w" E* o, `7 g! j0 X% \& a* Y7 C
600/pcserver也存在这个问题。5 S: z0 L$ V7 _9 M" `! k, o' V$ R8 n
常见网络端口(补全)
; E' K3 F: P. B 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广1 l1 p, J% Q8 B7 A$ M$ }; b
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进+ ^ k4 j! @+ a
入系统。* n" |0 I5 u0 U& @( m+ @
600 Pcserver backdoor 请查看1524端口。 : o, T8 C+ g7 {1 K4 Q
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
3 g3 b% D( }' t2 }, E( JAlan J. Rosenthal.- r, ]+ H- s7 j' }; S
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口8 `5 C! M6 D! j' a
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
5 @- w5 D& x, ?) X% V7 R Xmountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
' o( |' D/ s; P* Z7 ^2 [+ D$ N认为635端口,就象NFS通常 运行于2049端口。
7 c4 e$ z! B% q) s 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端2 z$ ?9 Q0 x, t' I3 t) d4 E: S
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口! i: }' b7 Y* d9 n# ]
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这6 D* P( h, [3 I" z
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到% ?: @( J, u1 e4 B+ e, |, s
Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变
, a* A0 [3 c5 J- w; E大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。
1 g! [0 k5 M! N/ t/ } F9 g, O 1025,1026 参见10242 e% {' ~) S$ h9 F4 S* R) f/ t" c
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址( g* r, ~2 `3 {$ o, z0 {6 |) k
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,
A" f4 U5 w: {* g; {. K1 D: }0 o它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于$ F8 {& j/ b Z
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
' h: P% _6 \" g6 e& j, v火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
U* C; U) }$ ~ 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
# d% D z8 `, D3 A" F/ v- A. l6 L7 C8 c
1243 Sub-7木马(TCP)
' s# b( T5 D- j4 g2 U! f2 s. G 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针- w E; g2 }2 g% ~5 p
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
g) g n, ]- L5 n- m6 y- `装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
0 o/ T' U/ M( d9 l+ ~你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问( k6 h& y8 j. t5 S, v3 J' q' [
题。0 \( P0 U$ J1 `- U- G
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
+ `" S1 D1 e1 h% E# F4 |个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
' a" s+ Y* N7 Z6 Q3 F2 qportmapper直接测试这个端口。; P+ T* C- h8 O/ q- z/ d
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
( Z( s7 x. E( N8 [$ c# ?) M一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:" c) G; z- ^+ a$ J8 F
8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服: V; j# Y, l% i
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。% d+ Z1 E& V$ d: {: W
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
" }: Z% F# m5 C2 T4 SpcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
' `5 n9 I0 W' C& \7 F2 a。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜; g7 p# V) w$ s/ e
寻pcAnywere的扫描常包含端 口22的UDP数据包。 e' p' c; X) {3 ^4 M/ F
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如( r& X# X* @: q0 l
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一: f7 K5 P2 [, i4 v; A9 U* P. E
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
5 x$ ^# D# C: L: `告这一端口的连接企图时,并不表示你已被Sub-7控制。)+ E; A3 t9 c; K& w1 N! E
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
0 p7 ~: Y) I% }% _1 {是由TCP7070端口外向控制连接设置的。9 ]- `) S$ l4 t
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
$ \/ `6 P# `7 w3 @5 M的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应1 Q' Z2 [; y) b+ w# p( z, |
。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
# K7 G, t, w( z% M' i8 r: ^( p了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
0 K8 n) n* M3 M8 [0 I6 o为其连接企图的前四个字节。8 K1 J$ u+ a. n# F/ S% _
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
. Z" W* z) O7 |8 U% ^"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
+ `; E6 H) \9 |5 ?$ r种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本/ u* A& J6 U1 Z
身将会导致adbots持续在每秒内试图连接多次而导致连接过载: , z& z% ?; V- ^# O& l, N
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;1 s o u9 d" D6 b% z" B
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts
% E: P' ]3 _+ Q使用的Radiate是否也有这种现象)' `1 l/ ~- k. K: O6 P* U0 H
27374 Sub-7木马(TCP)8 v' R, w' R0 p
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
% \) n' l$ B, G4 y" s3 J 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法7 O) `( I% \" ^6 ~6 L
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最1 x" \: D; S" d9 c
有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来) [# F, b' l0 {/ Y! i5 G, o& T
越少,其它的木马程序越来越流行。% q( Y+ x7 m5 q1 _
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
! g) {& M# ^: J/ R7 nRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到$ L9 E2 A9 t6 b7 h
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传0 W2 `2 N/ u: K/ x& W: z
输连接)
5 S* O6 M2 S6 {) ~) S8 h 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的1 N8 E+ O; J) p9 s) W0 ~- ^2 z
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
6 i# a1 {9 J% O- ?% a" K3 nHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
) U8 w& {" j* ` V7 G3 P& D$ r寻找可被攻击的已知的 RPC服务。! ^0 j5 }+ z# `% Z; Y, P
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内 {- f: }- ?* W* k
)则可能是由于traceroute。
* z* D4 N, k, y; W' d! k. t) \ |ps:
( P6 S( I+ ^- u7 w m其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为8 @5 Z4 e! e" V- @8 s
windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出5 ]4 I3 D% M- N" \2 n
端口与进程的对应来。, `2 Q$ b6 K2 K# u! r/ D
|
|
发表于 2012-2-16 14:00:57
