|
|
从0到33600端口详解
. t. S* G! N5 s, G 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
8 N, p5 M) w( D2 W" `4 w$ T, {Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等" R2 i0 W3 n. p1 d: ^/ v
。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如
1 y5 g, T7 v: ` ^% z* \用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的
! R! q0 b1 z% W. x: u4 d* x. b端口。
; O0 L* i7 P& F& s: f& R 查看端口
- k+ w- P% N4 O( T 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:0 S, Q# `4 ?6 g
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
+ \2 i# o9 [6 ?态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
. A6 M4 `4 Q. F; M# h" ?口号及状态。
4 D) \7 |- [: W! z6 _ 关闭/开启端口
2 e: p! {: }/ p( _' Y 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认% K7 v* e/ e9 c* v5 m5 X- d
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
: h, s p% I! H) E. G; G/ w服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们7 m/ V$ h7 |0 V$ k# |' S
可以通过下面的方 法来关闭/开启端口。
@: R3 l& } s5 q5 s 关闭端口+ F+ S8 t, A3 B/ v5 R6 Z) p+ L
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
7 c! \! v) i7 K. Q,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple6 r+ i, M: y4 w b& }! }
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动
# P" S+ ]1 e) j! G6 P) t类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关7 x3 P( Y2 K4 X( v
闭了对应的端口。
1 O/ B' Q$ D) B$ g! N+ U 开启端口9 p5 {$ r) {3 Q9 o2 C3 Q
如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该" x: v; j: m! r0 a3 U) _, b1 Y0 y
服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可7 [+ ?1 l3 u" H2 {: F
。
0 f6 y B9 m& l8 [* n 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开+ n+ F; x; m! i& m* b& x6 L
启端口。
0 g& N# m1 I+ n6 I- R0 t 端口分类
3 V8 r8 g+ J9 Z: l* v6 c9 c" _4 K: ] 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: / w0 Z# C7 i6 }
1. 按端口号分布划分 + v8 O) r3 \' w0 X* x
(1)知名端口(Well-Known Ports)$ W3 M! g' u% G; V% a5 H
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。/ l& E% F8 ?' J! b
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
: B& ? ?* u# ?* pHTTP服务,135端口分配给RPC(远程过程调用)服务等等。
- r, G' t% k5 c3 \4 O (2)动态端口(Dynamic Ports)
! J( ~2 l; F [7 ?- L/ _8 G 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许2 e6 `$ ~5 x/ O! w; R) x
多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以9 i$ @: V# W4 [$ c% m
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的
. [- z( a6 R+ F) ] _ g# c程序。在关闭程序进程后,就会释放所占用 的端口号。
" h- q. B+ [) u$ B# N5 D; c 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是! c3 U- n: ~0 v; C z7 S
8011、Netspy 3.0是7306、YAI病毒是1024等等。- d, a7 l! L- @2 s# P
2. 按协议类型划分$ T, s' j$ f" t$ P; m/ E' ~& i
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下* z) n. c7 f; L
面主要介绍TCP和UDP端口:
0 A7 h- P( k& B# f (1)TCP端口
* r8 x- a+ j7 L+ b7 P, w: X$ ] TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可* j' a: o; G- ~' x" M3 X7 M. }
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
) U; [( E, }1 b8 p( L及HTTP服务的80端口等等。! z3 |( s$ F e5 t# L( h
(2)UDP端口$ L/ g8 j! P4 V5 v3 W
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到
' {1 ~, y3 y$ h, t8 Z保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的1 F) J9 d8 ~. H. c G
8000和4000端口等等。" [& w8 }0 m! q, Z
常见网络端口" |# H- b% p3 m
网络基础知识端口对照
7 p5 A- t, G& h& ~- r 端口:0
2 O ? |, |7 ^9 {3 K服务:Reserved 7 t( H- v/ k, r3 G
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
, D- m' R3 c3 p你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为( U& c* |0 W2 n: |$ T
0.0.0.0,设置ACK位并在以太网层广播。 ( C, k6 ~! q8 Y" p% u0 n* n& E
端口:1 " Q: E% g6 g' o3 q) T
服务:tcpmux
$ T/ l3 o+ K- f/ S# M3 K. J$ P说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下5 c" \. {- Z* v& n: f* I, A" y( w
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
2 C3 J" t7 F$ T! UGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这3 y: A7 s# O7 m7 O+ z0 D0 i e+ R
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。 ( z& S+ Z7 a+ {! ~
端口:7 # }1 u9 Z* u! z8 _$ }
服务:Echo " {) ^, z/ w) ?& Z' T3 N
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 9 ^$ i# s) A* f y' \- \; P
端口:19
' M( T& B8 b3 j服务:Character Generator
+ C+ u3 k) a! P+ N% ? A说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。
5 D' F3 ? k% g% g4 x' D0 OTCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击
/ d. L$ h" k. H8 ]3 P。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
& r$ _- d" e) R6 U- A X. B/ ^个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
) v: P2 `$ F6 d+ ` 端口:21 4 L; Z/ o7 j4 }- W& ~" q$ @
服务:FTP
1 n2 F |( Z9 w3 {0 T( k说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous2 a. `" v- u5 o. _# ^$ ~( ]" o
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
, }0 i' O: K& h+ t3 GFTP、WebEx、WinCrash和Blade Runner所开放的端口。 " E7 A. h4 g$ @' o: ^
端口:22
6 } Q, L! Q9 b- M服务:Ssh * f- q$ M$ Q$ u
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,
9 \" X, } }# a3 w; @* ^如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 + E! c/ S+ n; ]2 z
端口:23
/ r" Z! _- h! [4 R$ A服务:Telnet 6 v* V, b3 K' i
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找9 B3 R5 Y+ e) \1 B8 v
到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
5 ]' d* f" M. B. H, dServer就开放这个端口。
: c% b- j; Y. O7 R. d% i) { 端口:25 & W& @0 F2 s/ p
服务:SMTP ' u' D' l9 x1 z7 C) }- T! l1 f! ~
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
& `0 h; }; E1 Z5 fSPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递
! X( K* U& W, M3 w& s到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth" K' i g: b, f+ Y, I
、WinPC、WinSpy都开放这个端口。
, i& n1 _6 N+ j8 @$ B8 X* b 端口:31 5 z- n! D) G; Z& R- i
服务:MSG Authentication : \$ s/ p8 R( g
说明:木马Master Paradise、HackersParadise开放此端口。
b+ T, @ h, c* X. s 端口:42
6 x% E) E# M+ V6 i8 v$ n服务:WINS Replication
9 n, L! g5 W! d4 B3 k说明:WINS复制 7 V0 h/ m& ^. ~) Q' o5 y
端口:53
& a9 A6 l D6 I: L服务:Domain Name Server(DNS)
+ E* S2 }$ A- T9 v7 g说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
6 R) j2 e5 z! o; k4 x或隐藏其他的通信。因此防火墙常常过滤或记录此端口。7 |! i' \& S3 T( z
端口:67
0 s2 z, `, i0 `服务:Bootstrap Protocol Server
" K4 o% E2 d0 U7 u$ T! D说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据* ^) b' }' q1 e3 e
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局4 W7 ~+ P2 \3 F. |7 e
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器+ J, [5 f9 u( k8 j: k! |- Z
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。, J" p# g# b' B* E; X
端口:69 8 S; _: o2 w6 r V; e
服务:Trival File Transfer ) A7 Y# C; N2 ^
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
/ W- {! `8 O# [# P错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 & L; A# {% U3 i; s
端口:79 : r! |9 l$ `3 ^
服务:Finger Server
1 s2 U f- F/ {# b' x说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己
, e0 O! N' c3 u) w. q机器到其他机器Finger扫描。
) q" _1 _# |% |# q" m 端口:80
2 |8 a3 _2 p/ z4 h" C1 G4 N- J服务:HTTP
: K. k( i. k1 W7 {. _) g, k说明:用于网页浏览。木马Executor开放此端口。 ( r9 A" Q1 G$ N7 u6 n
端口:99 2 y% B4 V4 h; F5 q& X
服务:Metagram Relay # r3 j1 e# X0 b( `6 i4 B5 @
说明:后门程序ncx99开放此端口。 2 z4 z2 D) r! n3 P
端口:102 ; X( @7 w9 C& ?" n: b; u6 z/ l
服务:Message transfer agent(MTA)-X.400 overTCP/IP * w- O1 {3 J( w2 R& g; c
说明:消息传输代理。 3 w3 M8 E5 z0 H: m: V
端口:109 , ^. U9 w5 v. k7 g/ l
服务:Post Office Protocol -Version3
. V" O0 ?5 `2 N. V说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
& Q3 I4 k9 g7 Q; b: M5 Z+ n0 r有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
/ v& u+ O9 F8 z5 A7 L可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
$ V1 e' D4 l. Z# K7 d 端口:110
1 E4 ?/ X/ Q S5 f9 R$ [服务:SUN公司的RPC服务所有端口
6 O% F9 ^3 } c5 V7 u* Z8 J说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等 0 M1 o+ t0 U% k; e$ Y2 B
端口:113
7 g) [4 @5 x) y& e服务:Authentication Service
2 p f+ K: D; y* u z! c! X7 e说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可) l6 ~% J3 X9 a4 X- s! p9 k B
以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP
- B; ~7 \6 e) M2 | V% {; p% A3 @和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接3 T) U2 Q9 }+ R$ b+ ?
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
3 J3 W( A3 Q6 I, E/ b。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 # K& J6 {4 {3 R+ _1 u4 N
端口:119
+ B1 Y: k; u% G0 s% s2 Z服务:Network News Transfer Protocol , I$ A7 ~* t- ?+ h
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
4 \) s* x$ }2 e4 D, D务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将
0 d$ E" C7 o4 j, E' C/ b允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 * D% {9 O+ w, \1 M1 J' V
端口:135 A/ b: ?! C. d" i& h
服务:Location Service + L. K# c# w! l& ^' }
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111- E0 x, j& [& g$ X* N% P( @# Q& t
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
5 ^; d* w0 f( q0 U。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算+ d, H0 l4 M' ^% |+ N# D/ e, P7 `9 J
机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击4 E, p, e4 O$ b' D0 p1 s4 N
直接针对这个端口。
2 X+ B( L0 Q, A3 D$ D. B0 a 端口:137、138、139 8 a: t+ ~0 D- L
服务:NETBIOS Name Service # J3 e9 O; A4 h u* k: f
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
: R0 n! F4 J, o这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
^' M6 B9 ?5 u; x! T和SAMBA。还有WINS Regisrtation也用它。 * H. J; o9 b% d( ?
端口:143 ' [9 z" y, h4 S. s
服务:Interim Mail Access Protocol v2
0 \0 `( e" W2 B9 k8 n: [说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕1 }& T2 [+ X6 G3 y5 H0 a2 H2 e
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的, I& a' ?* r' q" e E/ Y
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
, s {! R5 L9 ?& h; ^0 b4 ^还被用于 IMAP2,但并不流行。
" n3 s3 u, C, s4 B2 c6 _0 y1 g 端口:161 - X* `" j: _! ~2 z' Q
服务:SNMP
) [. R) n( ?$ v说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这* Z( G7 G9 g) X
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码( X5 N4 ^( y3 p. `& j- [! ?
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用7 {8 C. H. j `% z- S, G' ~. x6 r. G
户的网络。 c) O- X2 q. t' U% j
端口:177
% G6 _. u6 B8 @8 t D服务:X Display Manager Control Protocol
( [1 \! X* I+ l6 }$ p% O说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
& H& B' ^$ J+ P9 n6 ^1 z# |6 ?, T) x
端口:389
1 y9 y; J# `" P, @4 d服务:LDAP、ILS
* X" p' i C! z说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 , g* A4 d" L' l9 r8 L
端口:443 - i9 N5 V9 d3 C' C$ f
服务:Https % h; P* G. X! c/ Q9 ^0 e
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。& G2 e9 u( E0 E7 I% I0 b
端口:456
, x9 S/ T- u) g服务:[NULL] 4 P9 X9 t8 U9 W% r5 q1 r
说明:木马HACKERS PARADISE开放此端口。 + z2 e- R' \. L" U3 v: X( w
端口:513
: M) \& \% U5 w7 ^9 B9 r- W服务:Login,remote login 3 d/ Z5 S( U9 v/ @1 G
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
6 O, ^8 j S8 m进入他们的系统提供了信息。 1 i4 ?0 [$ m- n7 r* F
端口:544
% G M- n7 R% m7 \% i服务:[NULL]
6 Z' p! t; {& |5 T, S" b说明:kerberos kshell $ [- c+ _ d8 M/ A; r" `* S
端口:548
+ U. T4 s5 F c8 M# o/ { y服务:Macintosh,File Services(AFP/IP) 0 i* c0 n+ j9 q" Q3 W% {$ I
说明:Macintosh,文件服务。 1 x% T" o! z5 V, [3 `
端口:553
1 ?( K+ U- S, E& q4 L& r) C# c服务:CORBA IIOP (UDP) 5 U+ R" }% ^- G9 e% g
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC- s0 @+ A4 d! |+ _. v' B
系统。入侵者可以利用这些信息进入系统。
/ ^5 t3 m$ t, w' E# J* G" b' E 端口:555 " v' e9 v# t k) F$ @
服务:DSF 0 g! v1 g: {: q A# D" E' \, A! A
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 c9 j: c0 o# V+ `! s
端口:568 ; B1 Q$ z3 h( {3 U
服务:Membership DPA / A+ Y3 y! |# l2 I
说明:成员资格 DPA。 5 n! W8 S( H* N% I/ N
端口:569 1 g2 w* R4 l) ?7 v+ J
服务:Membership MSN 7 S* Q X: J7 \) P' y
说明:成员资格 MSN。
) [- e. L. h! W) Y 端口:635
+ j: y3 r" G, S l( p4 A1 a服务:mountd 6 W! y5 \) d& M/ M
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的6 }# @3 P2 Q" g1 _; r/ }- n* k
,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
7 Q9 K, V& w$ _2 R$ G何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就$ L/ } G/ e3 E, a7 S
像NFS通常运行于 2049端口。
$ B* A( C$ o5 j 端口:636 # O& l. }6 y |* K. z- |5 s
服务:LDAP
3 a8 r& J; t7 V8 Z说明:SSL(Secure Sockets layer)
" Z0 z& e$ s5 |. _4 G. h( @ 端口:666
$ `2 h$ `* R8 E& _服务:Doom Id Software Y) H( H$ h; X+ U+ ?/ T4 g$ [
说明:木马Attack FTP、Satanz Backdoor开放此端口
( X- a3 S) F- E5 J K 端口:993 4 T7 U- A' R7 D- R+ s- }' {. g
服务:IMAP
; e; u" P7 l3 w说明:SSL(Secure Sockets layer) * M1 p& j2 g; R$ B
端口:1001、1011 1 N/ ~2 P, K" f
服务:[NULL] 2 @* Z1 I( [8 ~) s+ m
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 4 N! s( M5 ^8 X5 O! l/ {- h, S
端口:1024
7 k$ f% v6 I4 d2 g/ V; S% u; M服务:Reserved
- s* a2 f J9 ]* ~! ]- J) k说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们3 ~7 [8 E. p+ Y
分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的4 r# u, ~ b( d
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看
6 H e- Z* O$ s到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
$ D# @0 ]1 o- J: b2 r& y' @& D0 X 端口:1025、1033 * T' y, {) y) p8 U
服务:1025:network blackjack 1033:[NULL]
2 m$ O1 J' A6 ]7 j" L7 m说明:木马netspy开放这2个端口。
4 t' a( ~' |( J4 k7 e' U 端口:1080
. K0 o0 D! R, W- r9 V0 r服务:SOCKS
6 _# O# k' q. A; U说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
# b# H8 _2 D3 l。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于+ | D+ ?" a0 E; |
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
, g7 @/ {' @7 u# I6 f种情 况。 . j$ G2 @; A; P9 _
端口:1170
, \' K" w3 e, Y$ z6 s1 G2 x9 s服务:[NULL] " t: [' @8 }7 H+ j6 u
说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 " |8 f! p8 D+ u& [
端口:1234、1243、6711、6776
1 V0 I# i- _; p, @% \服务:[NULL] ( _* l: J( t6 f$ \
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放6 S9 q, u/ l: j$ f6 T- P- K
1243、6711、6776端口。 & ]/ S) m% [& `6 f
端口:1245 ) z& T5 h: i: f: f
服务:[NULL]
5 _+ C3 e" K6 N, A- |; K5 K) m说明:木马Vodoo开放此端口。
2 Y, l/ q0 C1 U/ j0 |" C/ A6 \( N& b6 | 端口:1433 % S+ l; K# s- D
服务:SQL
5 F1 V, C8 n# M5 Y- v. b& i说明:Microsoft的SQL服务开放的端口。 - @5 r0 C# [/ t4 I( [
端口:1492 & s. j9 O6 ~- W; R0 m5 e- M& v
服务:stone-design-1 % N; k: x6 h; r
说明:木马FTP99CMP开放此端口。
' h& k7 r/ _7 Z5 a& M, L7 Z 端口:1500 1 S5 L3 ] U# r, U3 _
服务:RPC client fixed port session queries
6 G6 _. `5 k" [6 f8 k3 U说明:RPC客户固定端口会话查询
2 _, _6 \4 ?% ?, n' }( x. Q1 z 端口:1503 * ~2 r& \9 k: e5 U7 v( t* ~
服务:NetMeeting T.120 E/ \8 w& W% x l8 h2 H. K& _
说明:NetMeeting T.120+ @( Y; b3 r8 X
端口:1524
6 n& S% _; j# p i; F2 j3 I服务:ingress
& i; L+ H7 r& {" I( k2 v' x$ ~说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC
, P* T2 D; Q' u0 s3 w* x" X服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因. r `. `: A; Y( U5 I3 X* g
。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
6 |0 r9 E$ B. e5 T600/pcserver也存在这个问题。
; O; D- t+ ?( x7 B常见网络端口(补全)8 O" z5 S) m3 \8 k* i9 g
553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广
7 w5 f* |1 m/ x; Z播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进( C+ o: h: G# q( d q: w- b$ I
入系统。
/ \' w# F% R; r" ?/ b8 d/ y 600 Pcserver backdoor 请查看1524端口。
' V0 m$ t8 c h, X: y一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
! b$ S* R- |% g+ C4 G. o' y- tAlan J. Rosenthal.
- N; B, B( A% G* P( ^ 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口
! c1 J2 K+ U4 ]8 r+ [的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,# J; e- d& U @& P' H+ C% |6 P
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
4 e. G! T( f+ @$ I5 K# b0 ]" v认为635端口,就象NFS通常 运行于2049端口。
8 l) j }: I3 k 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
! J) n- t) Z/ n( @5 V4 c% |# E口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口
6 r2 h4 W& D/ b- W8 D* J+ ~1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这5 _* U8 {% c# y6 J
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到$ v9 u7 |/ d4 w/ a
Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变
7 i, v) q4 i) G% z2 P大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。2 e$ |" M9 f7 w
1025,1026 参见1024
9 U ]6 A/ N: {0 z$ U 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址
; q4 y1 U8 g& _0 R- J访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,: g0 N& s2 k6 e; J$ O
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于% K9 U; D: }' ?- W
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
. z5 }, x' `6 l4 @火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
7 Y/ D. j% `+ v. S; H 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。 D6 ]3 L/ m: ?% o
! z) q, j {$ Y) j$ k
1243 Sub-7木马(TCP)
( z# @9 M6 f) j6 r$ z8 J* b2 X! C# q 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针; K+ ?4 I& _% Z: P* N. z: Y5 \; v5 k
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安3 q% I4 ?: x: d4 y
装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
! F$ P- h- P$ M5 b9 T你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问0 H6 y9 X( K$ E* j# z
题。( X Y- a7 d& D8 ]! O8 ^9 ]
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
8 ?' n- Q2 D% s8 c个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开, I# e$ M5 N$ o9 i
portmapper直接测试这个端口。! @$ u3 A3 \( T
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻! t$ J( }% I% \
一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
v9 {5 Y0 ]+ w- N( S% L8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服
& i. L$ i6 O. W" P5 [4 h- G* N$ D$ Z务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
9 ^# J; N+ |) O2 R U 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
1 D& B: J& G; Q6 ]; T0 |" t! L& {* ?pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
: @. X% X' h' a* d。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜9 e* I' o2 a2 n3 u! |4 R
寻pcAnywere的扫描常包含端 口22的UDP数据包。
; r' R" M G8 M9 ] 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如: [4 Q. }5 ]2 J2 ]8 h; L
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一2 u2 i4 c% s( s
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报6 E9 X$ A" V: V7 U
告这一端口的连接企图时,并不表示你已被Sub-7控制。)1 d; }: H5 n2 K* I" E
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这- M# q6 v' h4 K" R# T
是由TCP7070端口外向控制连接设置的。2 [; Y' n1 G6 f5 V6 x
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天+ D! e# Q3 n [* K; V. Y
的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应& L9 Y0 ~* \# U* F7 u+ @
。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”: l, X* T9 x+ C8 S
了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
0 k$ P' A* J; ] n为其连接企图的前四个字节。) M: W; C/ p' f+ Z, ], R: p7 d
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
: Q C2 }9 s) B: \1 f1 \"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
9 o. X9 x$ X( |5 ]种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本
' t7 b( T; n& j1 s; e身将会导致adbots持续在每秒内试图连接多次而导致连接过载: " Z: U$ s* ` p' o6 B
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;7 j* m7 _& I$ N
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts$ h9 C8 Y4 c, [% r
使用的Radiate是否也有这种现象)8 ]# Q! A$ p* G" q2 h
27374 Sub-7木马(TCP)% c% y1 q: F7 b. q% {" A6 H% p- z: C
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。9 z3 n8 m& K' y" B
31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法
$ T8 o' u4 V6 O/ p6 N6 o2 { f语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最, j' S! N% y( k I/ x- f
有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
# `8 Q& N! y% L# u9 J* ~* ^ o越少,其它的木马程序越来越流行。
4 j, H: g" v9 ^- I2 S4 N8 o/ [" t8 v 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
. k3 O; c9 I4 G7 j9 M ~Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到# v+ k: n7 i7 }9 L: a8 y: Z4 `
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
0 F% ^# G8 V/ t5 T1 U3 K1 w9 l输连接)
/ v: `2 d y* x# c! e1 @ 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
. p9 G: u3 c! O- o \Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许; R ]" k- M E: q/ G! [* r$ J" p
Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了- n5 ] ? _/ f7 I4 P B, G
寻找可被攻击的已知的 RPC服务。( ^$ V2 }$ ? i3 d6 \) V3 S
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
% }! `% u$ k& ^0 w3 })则可能是由于traceroute。0 P$ \8 k3 h% O/ \. |2 @
ps:
" r0 I/ A1 x% {. S# V; J0 }其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
7 n6 J+ X+ D0 Z' Fwindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出7 F; M' V, S- ?8 d
端口与进程的对应来。3 N) e; a7 G) P2 j, e, o$ L2 {
|
|
发表于 2012-2-16 14:00:57
