|
|
从0到33600端口详解
( }: x6 e2 `% T$ J! M- q3 _ 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
6 I' T1 e" l, A2 ~* hModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等' g) W; O) u6 ^
。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如- B7 w) ^3 _, f2 P( z/ B$ c
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的5 z7 T+ y# x1 ^+ H" R' n8 d0 T
端口。 6 j* Z3 b6 Q, V& I, A- s
查看端口 0 p/ s$ x/ a9 u( w8 f- q6 T& y; t
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:1 |3 T' y! K' j! S- A3 I) q
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状 R2 h5 x6 a7 _+ ^/ l6 h
态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端' H' N7 \7 J% O# f! L
口号及状态。 / P; M1 }$ v- [; f$ `2 ]+ P
关闭/开启端口
. X7 J& o4 L6 O5 F5 D6 P 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认
' h6 ? ~' X& B, y的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP" @3 Y# j8 J" m; {
服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
5 q2 E" [ P' q可以通过下面的方 法来关闭/开启端口。
, |; U' w& q( t6 l& [( \) I 关闭端口0 a' a5 B# g) f$ E
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
" t7 D. j: G6 q2 Z( `/ C,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple8 P/ _" `1 t: T' d
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动( E h" x" u% C2 @3 p
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关
* W, L! T: u; N2 `1 _# C闭了对应的端口。
4 D' T" d* l1 h2 W0 {/ P: } 开启端口
( ^+ V `/ H% }1 s* P 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
" B* y2 [8 H. Z1 ?5 _- F' z! c服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可9 w9 D9 Q6 ]; O P3 G" F9 z/ `2 _
。: C- P9 ^3 V: X
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
5 M% g# ]: c! }8 b8 F. F6 C启端口。
( S3 Y" K$ e& n& ^3 w 端口分类 / o+ G; s& m9 L
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: & r4 R, q. |5 g8 s& A
1. 按端口号分布划分 ' m) N6 x9 z' e6 C; g9 H4 {- t3 r
(1)知名端口(Well-Known Ports)
, N5 G) z( J r$ | 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
: T; C- Y. M5 a7 R3 S& z5 L# ]比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给: x5 v# P. {" `8 G/ V7 G* }
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。
/ W o* P1 e3 Z5 s7 X (2)动态端口(Dynamic Ports)
3 F5 U6 i3 R& q+ q7 d S 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许7 S6 w4 W0 K, J* A6 _# W9 w
多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以
' \+ e! ?: K$ @$ S从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的+ D* g t8 q+ \6 \6 s3 A
程序。在关闭程序进程后,就会释放所占用 的端口号。
6 P" G) N* m# }' S; Q 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是3 [. h) _9 A, c7 c
8011、Netspy 3.0是7306、YAI病毒是1024等等。
! t+ ]) P) ~8 e# f8 X7 f 2. 按协议类型划分7 f( F* O+ Y% Y' s, h9 C7 l3 v
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下6 x2 s9 v) {, S8 `
面主要介绍TCP和UDP端口:
7 h0 _% x1 i' G/ x8 S1 v3 q& y (1)TCP端口
6 V# b- ~1 F+ R+ Z1 x( s3 k TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可7 y, p. _1 A+ `6 [6 W
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以3 z& P. Z7 ]7 u& }7 |$ W$ u1 A5 e
及HTTP服务的80端口等等。1 z: R& {5 h3 J. N, V
(2)UDP端口
$ Z# V( V% ]. @9 P% F' B5 D4 ] UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到) k7 g$ J. u E. U4 {+ }2 t7 J
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的5 O1 s4 P+ Z5 F4 T3 \
8000和4000端口等等。
" c$ l# \. q0 f+ s/ x 常见网络端口/ b' N' Y. o+ ~
网络基础知识端口对照
/ X- M1 C6 x+ S3 @, C 端口:0 $ i: O6 Q0 T4 Y
服务:Reserved . C, N+ i6 b6 r9 k, {, r! [
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
% v" i. A" Y! }& }你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
. x$ n# @" Q9 }' k' Q, L0.0.0.0,设置ACK位并在以太网层广播。
: h- ~5 E1 N3 U! n. |0 j 端口:1 2 q- u1 n! U$ v0 X0 W
服务:tcpmux 4 @4 a1 ~6 Y5 f! a/ D1 J% G
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
& F; n( |7 u, N) u% h2 V# xtcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、6 O% B$ l/ A: e7 x
GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这- j, ~: F2 L9 x. s
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。 9 l7 o0 }1 ^& m) u& U S
端口:7 ! l6 H9 d: d L% k
服务:Echo 0 I5 o5 m- w5 [( L
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
3 m6 O, J, W* r7 t6 k8 X3 x 端口:19
9 ^/ y. i; I1 {3 t* P+ |" v服务:Character Generator * {0 [9 L) t" A, O
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。: N+ l* ]& G. C- H& i9 w G% m
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击1 {- U# x' H* a' Q0 D- P" c3 T% z
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
9 Q# ~' H2 H! w/ t4 p& p, c. l个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 6 y7 {" m7 U% `- a
端口:21 S5 G) r% Y) }
服务:FTP 7 S4 `6 q# T8 s6 J1 k+ }& P
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
; x2 j: @! |! y+ r/ x" `的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
7 d" c7 S' v& V( O$ c# W) H" ZFTP、WebEx、WinCrash和Blade Runner所开放的端口。
8 q( z G. Y5 g5 F$ o* m 端口:22
+ c+ L. b% ~9 `4 H D服务:Ssh ) ] K2 j5 n5 r& d# ]' m+ l
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,8 o' [9 @2 u0 a2 g1 Q
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
2 T. S. `9 F: S 端口:23 1 l/ H( U+ A: ~2 \" j3 P+ @
服务:Telnet - F9 c! j5 ^8 D9 y
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找. [) ?; D$ D4 W$ V; u- X* x
到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet A3 O7 O$ T7 k$ L
Server就开放这个端口。 1 W# C' T7 Y& k
端口:25
# R5 L( x* O5 w: X* T1 K& T3 }服务:SMTP
% X4 G1 @5 X$ K8 w5 \1 W说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
+ H, e' H; |4 r: z8 I0 O4 `0 o9 ySPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递! A4 [$ U" j! h
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
' v" c% G: X9 q5 @( j0 d、WinPC、WinSpy都开放这个端口。 + Q* R7 U3 j) w
端口:31
5 ?- [. t/ j& l6 ^' p服务:MSG Authentication
0 E) g) w; X: W. c/ l) Y, c说明:木马Master Paradise、HackersParadise开放此端口。 $ |/ Z5 X: s8 F% b' [
端口:42 7 K+ f& z `) A3 N6 q
服务:WINS Replication
' Q- S9 f7 e# I+ [1 I e说明:WINS复制
* T' ]( d/ F4 G) w! \ 端口:53 9 R a5 I5 k+ `- _- W+ m
服务:Domain Name Server(DNS)
8 N5 T; e. ], s# A( ~& J说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)8 U" A; b4 C2 m8 `) n- b, Z! Y
或隐藏其他的通信。因此防火墙常常过滤或记录此端口。; B9 F1 h3 i% p! H1 {
端口:67 $ v: S' }# J. D) z, U
服务:Bootstrap Protocol Server
R1 R( |2 y) \4 w说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据+ T7 l) k w* a6 s" e0 y
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局
' V' o9 T5 U+ g/ [部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器" W. o" s2 c* b9 ^, U+ w0 a' y
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。% A5 C$ V4 Z4 L" S
端口:69
+ U- D7 ^4 T# U" ~6 c3 q服务:Trival File Transfer 3 |; U# Z3 [) B7 I
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于( \3 G) G/ K g, {
错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 % f, c G; x; H5 Z+ I, W/ n+ Q1 P
端口:79
+ G" ?- o2 _7 F6 Z. l+ p) V$ R" u服务:Finger Server
) W+ T9 P2 C2 W! R说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己8 I, B. D, X* }+ R" ?2 n
机器到其他机器Finger扫描。
& d- x' L! g. u G 端口:80
" `: }, x( P' ?服务:HTTP
9 X/ u2 X; f l7 _' F# ]说明:用于网页浏览。木马Executor开放此端口。 2 ], |5 c( \( k) v& D) | W+ ~
端口:99 6 a# Q+ {8 u7 e" `, V! v
服务:Metagram Relay
, S* M3 v7 M0 L/ @说明:后门程序ncx99开放此端口。 6 ^2 A$ f9 t3 Z8 F; r+ |
端口:102 " B6 A: s5 B a3 `5 n
服务:Message transfer agent(MTA)-X.400 overTCP/IP
6 G" S( z& T2 Y说明:消息传输代理。 ! x) v( d* c* Z- ~
端口:109 " i5 H+ J9 u3 {* b1 t
服务:Post Office Protocol -Version3 . _; A& d9 `& k3 s
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
: `2 r6 s, o+ t/ y. e. ~0 }) G有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
, \ t/ J; h' D! D. M可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
5 U) d L5 {3 E* ?8 | 端口:110 , v/ C; o" k, q( l
服务:SUN公司的RPC服务所有端口
- I4 l" d( J7 S p+ M( k" x+ ]: F说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
; _8 j- ]: n, M" f! Q7 z8 E: } 端口:113
: `. W) ]# m- t M服务:Authentication Service
5 n8 R; [# d, e* @' q说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可1 e8 [7 R ~" r* N5 w1 k( M5 z
以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP
$ p1 x: [: D8 e. s7 {0 G和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接# A& Z0 ~9 t# h/ R: x
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接5 G3 K0 V7 W; m3 D, U
。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 " Y3 M9 l0 ?" ]0 C; l
端口:119 0 I" S$ a& b6 p3 e! C8 @" [$ Q# z3 {
服务:Network News Transfer Protocol
1 v% k G8 R% v6 V8 u+ ]说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
: F# b q2 ^9 m2 L, _7 X" `! V" b务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将- G8 k3 c3 D g
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 {0 Q% V9 `! Q; j( z: x
端口:135
4 R, c) o; J$ j" }' |5 |' J服务:Location Service
" w/ m/ H. x3 h! p- t( x说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111 M7 b6 c S$ N- U! |
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置7 C0 _# L- ~. T. R d l7 I
。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
4 Z' v* L+ z2 V机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
7 J5 O$ K0 |, |# }: \2 q直接针对这个端口。 6 C0 m5 ~2 S+ J$ g- M# @" h
端口:137、138、139
* W% V8 c$ N! n9 Z& H! {4 m+ L服务:NETBIOS Name Service " ?% S r& C- f* H; n4 h3 u
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过: i1 L3 u% _9 t1 ?7 S, u# C
这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享; }: ~. W3 a- M* B1 \( R. k+ b
和SAMBA。还有WINS Regisrtation也用它。
( ?" X* M) m4 C$ A% @; E& K 端口:143 ( \% v; g) p, V: H# w) S
服务:Interim Mail Access Protocol v2 " z V' p) f# c& b% O2 E
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕
6 ?$ v" y: S" v! u. y1 M; [% d+ i- Y虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
! @4 R! G' B6 K$ M& S用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
; @# k b( y4 c7 n还被用于 IMAP2,但并不流行。
& Y, Q' y2 J0 [. c; _ 端口:161 9 S+ w z- x( \: m F- c
服务:SNMP 0 ?5 `) k2 j8 H5 @
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
/ N& \/ Q3 J* i! c9 C8 d& {些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码3 b& \- A+ t: f8 }
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用0 }$ G4 }" l' K% G, \9 q
户的网络。
% T5 j3 \) P* B' J* W( m 端口:177 3 W1 D8 e7 K3 S
服务:X Display Manager Control Protocol * n# A+ `+ U' O6 M' M. H _
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 " i! J Y$ n6 l* i
# a2 i3 u( w# V d1 J
端口:389
! C; R9 |# b1 d) j" o2 L服务:LDAP、ILS $ ~' p# m+ B7 n
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 9 f3 f; ?& E3 \; g e
端口:443 4 b, p8 M% j1 V0 @0 g; I5 N
服务:Https
+ V; e$ G6 U8 w说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
5 I2 q4 V* |4 V' ^4 u$ [* y 端口:456
, G" F- x- P: Z$ ` [4 @0 I服务:[NULL]
7 V9 b* U) s! ~/ o, e说明:木马HACKERS PARADISE开放此端口。
! Q- v% }/ l2 ^' h 端口:513 , J6 M6 P- O+ T9 \
服务:Login,remote login
- d( ?) F( [- n( [( k说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
4 Q) g1 G$ M2 Z0 q) U进入他们的系统提供了信息。
+ @; X! C5 a* S, A 端口:544
% ~' Q0 N+ X9 ]* v( X% z& T! t服务:[NULL]
; I) z& A* d7 C' r7 |+ g4 s, c3 N说明:kerberos kshell
+ m# |; b$ P1 n% k$ n$ M 端口:548
& L2 U2 Y" s. i0 t z. c服务:Macintosh,File Services(AFP/IP)
2 [7 z, A$ V/ w# p1 \说明:Macintosh,文件服务。
8 M/ U+ {$ p& ^( K8 x8 X$ w6 x6 b 端口:553
3 b* _" u1 w g$ P0 A+ I, z9 `服务:CORBA IIOP (UDP) , _2 e# l' D% A$ B6 m
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
0 e: P/ N; y5 ?" P0 u4 u5 v系统。入侵者可以利用这些信息进入系统。 . \, N4 `% X2 y9 I$ U3 i9 W8 _
端口:555
( x2 i9 ^8 Y6 G6 S% V2 s服务:DSF . r, Z7 o, c/ G( k1 c2 r" ?
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
4 b/ ^4 B4 f G 端口:568
2 [3 \! s7 [$ k9 N( P& ~/ w& X8 _& Y服务:Membership DPA
. H0 l& ]4 q h0 W说明:成员资格 DPA。
# o! a2 ~# i3 k( Q. I, R 端口:569
+ K$ J; o t; L0 E服务:Membership MSN
& ]% E2 v5 Q ]6 p& u" {3 [说明:成员资格 MSN。 , G: {. f1 @- e
端口:635
4 [" L* g) X) o4 }0 H+ D服务:mountd & J" I/ x6 A9 y8 p3 s! M A
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的6 u) ]! X F( P& ^
,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
2 Y( |1 k5 X' N8 h# l何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就4 y* A# [* @% `1 _
像NFS通常运行于 2049端口。
' M% K+ V& c- c+ A7 x( }# h* P' r% G8 M 端口:636 ; d: Q2 @! e( F6 N R9 a* P6 y2 k; ]! i
服务:LDAP
+ s4 X, j8 I! t8 P: C) K, r说明:SSL(Secure Sockets layer) . |& v4 ~1 M$ J- @ L5 ^1 c V
端口:666 : e! N. s: i+ [; |0 Y
服务:Doom Id Software ( t+ s( H! a" E) |1 l, z
说明:木马Attack FTP、Satanz Backdoor开放此端口
5 y' F0 d, b& c5 H- C1 T! a 端口:993
' \9 {% L5 J0 y J% Q3 g服务:IMAP 3 m5 i/ m" C( u# H0 j
说明:SSL(Secure Sockets layer) - W2 i/ f' D' [" z2 K0 `/ Z7 o
端口:1001、1011 , z4 o/ [4 g! n, p' R
服务:[NULL]
) F* `; f# f, n! H+ n说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
1 f) T$ a7 x: t j4 N 端口:1024 / f& }6 i: X1 ^! K2 U8 r
服务:Reserved
! U9 ^! L0 q; f5 g) ~ W说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们/ @5 h m( X$ O, |+ X
分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
: t* A5 b% F5 D0 X" x6 f4 C" `" z会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看4 [: n/ n. V, S5 ^
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
; s; R" z0 [) t& ]: ^4 P 端口:1025、1033
9 T2 q7 ?' Y3 X a服务:1025:network blackjack 1033:[NULL]
+ X+ a( P( _3 P- L- O: }# h R1 g8 Q说明:木马netspy开放这2个端口。 + ~. @( T% ]7 H% y
端口:1080
; ~3 B3 d+ P# j1 B' ?! d( h服务:SOCKS 5 {/ n3 _5 ~9 ]! M! Y @; c
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
* q3 x' i8 u9 M% D。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于
% n) P. K4 t+ b0 y. M% q防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
% b) x) f8 [6 c种情 况。
3 J. @6 o- f0 f' q/ I 端口:1170 ! t2 t. p0 x" c' k9 u
服务:[NULL]
# S, x. s, e: c$ [) A说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。
o2 z1 r& P& ~" V4 d# R 端口:1234、1243、6711、6776 " E4 T: u, M; d+ k% d
服务:[NULL]
+ U& b* `: Z E1 T说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放3 I- B3 H" \4 ?2 A5 P
1243、6711、6776端口。
( T8 k* h8 t5 i" V: P. \- m B | 端口:1245 7 c7 Y: r% U) i: X# P3 \ ]
服务:[NULL]
) @0 d% h7 f( Q" T说明:木马Vodoo开放此端口。
4 d! @0 X. b- r; V: v1 H0 E, O: ]# U 端口:1433
4 ?0 }( [ d! \0 g, r% m9 D服务:SQL : b6 d( d& Q( ?
说明:Microsoft的SQL服务开放的端口。
1 F* I7 @* N" ?8 o 端口:1492 # E6 |! i7 E3 \' P( r/ Q) `
服务:stone-design-1
, p! t: o/ t h" @$ j8 J/ K说明:木马FTP99CMP开放此端口。 ) I+ `- L2 B8 `
端口:1500
3 y' m; g" C+ ]服务:RPC client fixed port session queries
: g+ x4 {$ U' K) t说明:RPC客户固定端口会话查询, D& Z+ W9 w. X; ]4 Y) y
端口:1503
# p4 Z( E- W, p6 \服务:NetMeeting T.120 7 o9 I6 D1 G, ^ [/ c1 w& \/ m
说明:NetMeeting T.1206 i0 u1 q$ }: [2 P
端口:1524 , _# U, x. Q: k) Z% r3 R
服务:ingress V3 K, R+ R1 o+ }
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC8 v3 N1 e6 Q& ]5 [- a! u
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因6 @* u* j5 W7 i% E# D0 K1 y
。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
# h% {& f0 `/ x! m: @9 h600/pcserver也存在这个问题。 N. L: R) H3 i5 J9 u+ g7 G$ @
常见网络端口(补全)3 J) P! }' V: B- n4 {* ?4 @
553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广7 c" g- x6 c& q: D% o) j/ }
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进
- @2 m9 M4 d4 s, p, Z0 ^% J6 P入系统。" y0 k1 q+ m( [; Q
600 Pcserver backdoor 请查看1524端口。 ; }! M6 D& w% E
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--8 Y. j" `$ U& z) o1 J
Alan J. Rosenthal.
* H: T6 Q# ^2 H 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口
% }" g. L0 R9 U# Q/ ?: j* N的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,+ q' D" ~$ b$ L* l1 |- b7 E1 b
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默) D$ T; u K4 C4 W4 R5 H! j
认为635端口,就象NFS通常 运行于2049端口。) C% C& z3 ^8 ~ j% ^. Y
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端% j- }: `7 y/ v* {
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口
& r7 J) O2 e0 @! Z( T- j1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
9 n; m/ m1 K( a( M+ r+ W9 f5 z一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到/ |5 _' o/ X, I8 R
Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变
% l* g! s2 k/ q& x0 l" U大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。
) G* k# H) `- V+ x0 s' z; | Z 1025,1026 参见1024
' q5 ?, r) o9 T1 Z* m Y Z: l 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址. h. C) e. _9 F5 |' P
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,
9 H. \! U) S( n它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
$ R. [& h! i2 S8 m" dInternet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
, C! ]/ B8 r& [火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
2 f7 E; f2 N; n0 x; d3 n' h 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。$ k: ~- c* n( e7 H0 S# K& S
; d" X0 {( O) v& c% a6 A
1243 Sub-7木马(TCP)
# V" s# z* W: W' x 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针
+ t% a! P2 K2 U( o, D2 W$ a- j7 K7 R对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
- E) a4 U% M5 m6 @1 [装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到4 r3 k3 G' h1 W
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
& f4 n& j4 l1 m( H题。- u# h' d6 L. k4 q
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪. ~ S: ]7 |" a
个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
; M i, U: F5 x) e; C, U0 X0 eportmapper直接测试这个端口。6 T; ^- w( x" s* @0 \
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
0 c" W4 y- I9 x! u一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
) I4 l2 L1 ^ {! @8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服8 O. Y8 ~6 O/ j3 K/ e8 ]( ^
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
$ p X# ~' `0 Q ? 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
$ X7 ?) M3 A( IpcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)* M3 v& h+ B2 b5 y8 `3 r
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
" s4 D( _1 p; T1 S7 @0 o t寻pcAnywere的扫描常包含端 口22的UDP数据包。( k4 h4 {$ ]9 m3 } p2 `
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如
/ U2 p( {0 c4 M+ n2 L当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一
2 r4 r! S! v. U% {5 u人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
( l! E; O8 l: z7 E告这一端口的连接企图时,并不表示你已被Sub-7控制。); i; F& p; v& {8 j- j. T
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这* i1 Q- l0 m5 q6 V
是由TCP7070端口外向控制连接设置的。
) {2 R+ K m5 S% W; m 13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天$ U* P. M# L9 f3 E3 u; k. N. F* O
的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应9 k/ c( E7 N+ {9 M
。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
, g: O5 s- ^" L8 ?9 {- X, |了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作8 @# ^- U! B$ v9 g
为其连接企图的前四个字节。0 z5 }, A" m5 _! _5 i
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent4 b1 W+ Z! F1 M- z. Y2 P
"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一" Y# R; S1 z1 F
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本6 S& [( G- k9 B8 b
身将会导致adbots持续在每秒内试图连接多次而导致连接过载: O- i5 n4 {$ I6 b
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;: Z& ?( O% o- P2 v, l
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts
3 r: ]5 a) \5 Z+ [, K使用的Radiate是否也有这种现象)) C% G! f1 w7 I2 ?/ {
27374 Sub-7木马(TCP)
' ]( H$ ?/ `6 c" Y. N- L6 Z3 C8 o 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。: x& ]3 r. p5 G5 n* O
31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法2 |6 H/ x1 f0 [# _, b
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
0 }+ K4 ]6 a1 Q2 D: n: j- h有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
% Q: p3 V4 V3 a! b+ T9 }越少,其它的木马程序越来越流行。
; v1 {6 ?; }) R7 Y 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,9 ^0 {; D5 O+ M$ W
Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
4 m* M, G+ ?+ @' u+ u- a317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
. L5 J+ _9 R$ q2 R8 J5 X) g+ i# F输连接)5 [$ S# X- L& I: Z3 ^4 P
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
, A) X5 h+ {# MSolaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
" U/ i- \: M4 m7 b; I) LHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了: J+ k: } V J( O" G$ z( _
寻找可被攻击的已知的 RPC服务。
4 ]' K2 F& {2 `& Q6 q7 y% I 33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
9 ~& O* O4 }+ j4 w)则可能是由于traceroute。. P- [0 }! u. o! r* e3 I9 d
ps:. q& ^! l2 m1 |" e. k4 U+ f' M' b
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
* F/ z6 C E7 l" J- |3 P$ p( r& Cwindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出
6 ]4 W( z3 R2 C9 a& E8 r& |端口与进程的对应来。; f; I5 X3 j" M' u' g G
|
|
发表于 2012-2-16 14:00:57
