|
|
从0到33600端口详解. _; M4 h" [3 f" P8 O
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL1 T! c/ G' r Z7 A- ?
Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等+ S4 |) c9 K' c5 D
。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如
. b- J! M0 F' ^% ^' E2 \用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的" w5 Y: y: P& d/ e) w5 L
端口。
' s2 o1 }3 z. X7 u! \! h7 a2 B1 z L 查看端口 . L# }9 M/ R# R) Y. z/ C! m
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:3 X, n( k/ h+ ]2 S4 i% X; a! [
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状( i7 I0 u) r6 ]: l* x5 l/ x8 p
态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端4 n& m$ m8 n6 v9 A
口号及状态。 ' e( t, A. X- Q' ^+ X' R' c: W
关闭/开启端口$ ~! c- x4 K% e) l( b& }
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认. ^* O. r G6 J& w
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP1 z) _/ k+ H" D A4 ?; B
服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们8 @7 l* A0 \( Y5 j* i$ T
可以通过下面的方 法来关闭/开启端口。 # j" e8 L7 e. b
关闭端口
5 X- r* y- x! x5 D4 V4 f 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
7 @" Q8 B" g& Q7 |5 ~0 {,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
& a, }$ j4 E; B$ h- ?& Y: _! VMail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动* w# N2 }3 Y( D( z% n! E
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关0 X% C1 J4 w# b
闭了对应的端口。
8 u! u/ p* B: P; a- q3 @1 \+ w4 h 开启端口, H8 G- f- o8 t+ e
如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
\& _) B1 A% X; v/ G# g: T2 Z服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可. b) N5 R- U. B) o+ U" u6 e
。
% V. }# `' ?8 z- q0 X& O 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
' k+ M1 |5 T6 X" ?" Z1 S/ T8 Y9 `启端口。
, s9 B, C$ O/ ` 端口分类 4 G# N0 c8 Q w
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: ; W# \! g* ?4 T# F4 D4 R& `9 n
1. 按端口号分布划分
' F8 \; Q( g+ q% q4 P$ _; H$ Y& D& u (1)知名端口(Well-Known Ports)% N8 m% X. `6 n4 \
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。2 y+ w# G) d3 n0 B( ` E s$ j: b
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
% @9 N2 ^1 N( b0 j5 T1 ?* [+ BHTTP服务,135端口分配给RPC(远程过程调用)服务等等。( z- Y" G/ C) c1 i" i- s9 H, Q6 s
(2)动态端口(Dynamic Ports)% @3 i; I* [) ?% @3 k0 v6 J- r
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许! E. b7 R3 ^8 X7 m& ]. B
多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以- _# q: R8 ~7 c6 w
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的
* F5 D* v8 s( ]3 i) Y- o程序。在关闭程序进程后,就会释放所占用 的端口号。
6 ~2 c: X- n# H7 [- W- X6 N 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
7 N/ t* d9 e- X* \& z% X) I8011、Netspy 3.0是7306、YAI病毒是1024等等。
* N: y6 M. ?* i 2. 按协议类型划分4 K+ K( Q' f% }
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下% I9 T! ]+ h# k2 ]2 K
面主要介绍TCP和UDP端口:
' ^# x' Y2 y9 s (1)TCP端口# r# C; H6 g, [, A; e$ ~
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可/ u2 W4 t! |1 G- h, o' h! `4 n
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以7 O4 n( }& e- s( ]
及HTTP服务的80端口等等。* ^+ k6 V0 h5 q2 Z
(2)UDP端口
% k x# s! G% @* G5 T UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到; N1 O: [! I- Q* B7 t' |6 J
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
& Y/ P# F, W/ Z4 m' ^( Q7 R, `8000和4000端口等等。" D4 z5 C0 x4 l0 i* M; ~4 ]! Z
常见网络端口
$ S- O6 W/ E( S$ m$ H7 Q 网络基础知识端口对照
0 d) u# c" Z( `% k+ V% A0 v' ? 端口:0 ( I' M) i. a1 A+ ]5 B7 m: F. _
服务:Reserved
3 p1 ]4 n9 e* V& B9 c% ?说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当! H" q t: Q5 G0 P; @1 } P
你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
$ z) C* O$ B) P8 L0 l! J0.0.0.0,设置ACK位并在以太网层广播。
/ F: x" b7 \ D) V1 p 端口:1
% R2 h$ I# ]' y$ u9 H* ~服务:tcpmux
; Z6 {# j; F, k% P$ {8 e- U( _" z说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下+ p. g2 E0 W$ L) t8 i- L
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、. r0 Q$ D! i* o
GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这
% l8 T. ^$ N9 b( ]: `3 f+ U2 a些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。 ' d3 S; I9 F2 {0 u2 l; o7 i+ U
端口:7 " _6 _; f6 P0 J( `
服务:Echo
- a7 \" E: p8 {: u1 ]; u说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 9 g. N8 c9 M7 m% h$ X: F6 m0 W0 j( ^
端口:19 ! o( ~+ |# }2 T/ [
服务:Character Generator " E0 s6 K: d7 N& T2 C# A
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。
; G8 w) Q- {1 g# OTCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击: n9 S7 c) j# ^* j4 b8 V
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一* s; P& B0 N9 Y T/ K7 q
个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
3 T6 M9 i- j+ h: a) Z 端口:21
) M! J/ t% t/ m# a7 l0 P$ L7 _! R7 U服务:FTP 3 A0 L {$ V S
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous6 R; V: j# G' j+ l9 R6 ^1 O
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible: X6 b! D+ {' j
FTP、WebEx、WinCrash和Blade Runner所开放的端口。 " L& {, N: D! u) l; d
端口:22
; W* e/ C5 O6 d, K服务:Ssh
) o4 B+ I, O8 t3 A0 u$ J$ ~6 P0 s* H& K说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,8 r3 C4 t. N) i& {: l" D
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
6 s, p' h7 ^5 J! M 端口:23 % b4 b( d7 X6 F7 R. A" m
服务:Telnet ' ]' Q7 c( ^2 {2 c! T2 r# O
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找7 Z, ~7 M/ V: `7 O% s$ I" R( D4 `8 W
到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
0 E9 W: `8 |- P/ uServer就开放这个端口。 2 Q9 Q( g3 M$ r3 b0 O. A8 c4 v
端口:25 6 U4 l/ H( G! I7 i% s
服务:SMTP
: m% k) D S: F) q) H& U/ ~说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的) I/ K% ` M; \
SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递
( s e8 X" e( q4 @: z% i到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth0 J. p9 M4 j) z& I4 g+ ?2 S
、WinPC、WinSpy都开放这个端口。 2 T! G f$ @& O. o- \$ K, R
端口:31
- [* K9 l \* l8 o服务:MSG Authentication 1 o0 q5 E2 C% {
说明:木马Master Paradise、HackersParadise开放此端口。 ! q/ W3 E; c! u. M3 w$ M- e" t7 y
端口:42
: W. Q* w4 V- q. q: g8 I服务:WINS Replication " l" S3 C' E) g1 v- |
说明:WINS复制 & S/ B8 N$ D5 D1 s4 E
端口:53 2 E! m6 p' d. j+ a( s6 n
服务:Domain Name Server(DNS) 9 Z8 U0 t, F& }# [
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
( i" T: t% i& d或隐藏其他的通信。因此防火墙常常过滤或记录此端口。& F: M+ f3 X( t8 q% H; z8 I* O
端口:67
" m5 b$ x% q2 j) G" r6 s服务:Bootstrap Protocol Server
4 A% m% y5 M$ d说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据
6 B2 p" h7 i: t _3 Z2 Q; @$ A0 U。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局& }" H9 K) T. R3 {7 e1 V* e% I
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器; w: ], S& C' Z; _: J" C4 l
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。+ K0 y; K' G% j/ d4 L
端口:69 2 p1 d9 L h; V" m |* R
服务:Trival File Transfer
+ H- L& o3 N1 J, t: I; \* S说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于4 b+ s |9 h T% ~
错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
; C# w& E. k" b 端口:79
- Z6 t( Z) Z- p服务:Finger Server
. N. }& _' e4 {' l说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己
% A8 S L5 t L, r机器到其他机器Finger扫描。 2 G3 S& }& I3 F( {( J
端口:80
3 V+ L, H3 J. H# P服务:HTTP
' ]8 \) k( |5 ], h4 |9 I说明:用于网页浏览。木马Executor开放此端口。 ! n) N- X8 k9 r2 F5 s8 g
端口:99 1 s) R8 S- I# n/ s2 _1 i
服务:Metagram Relay
* ~( U: }' I- `) X/ {3 j7 ?说明:后门程序ncx99开放此端口。 : v T' ^1 b, `% `' U
端口:102
+ T5 T* p; ?6 e5 R服务:Message transfer agent(MTA)-X.400 overTCP/IP
4 V! s5 u& U# X说明:消息传输代理。 7 h) e7 }/ f+ G7 ]! C
端口:109 # p7 R$ `5 B) E7 T
服务:Post Office Protocol -Version3
6 H( c; q4 T6 q说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务" ~6 p. T0 q/ h- u% u' ~+ y6 G3 f
有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
) d: e7 K, p- {5 p8 T3 s6 S可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
2 S* {7 n% i- y8 y; l 端口:110 ' t$ C1 ^1 |3 ?% R x+ m
服务:SUN公司的RPC服务所有端口
}* C F5 I, ~5 i b3 F说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等 % j G3 R( k; r& S* Z J6 d+ m
端口:113
" n- c9 G) M+ z7 o$ s服务:Authentication Service
% e$ F" x z6 D- j7 f' a! T说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
* x9 r) k/ P$ Y8 M( Y) Y以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP
2 r3 r p- j" D8 ^1 I! L和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接
8 M, p( y$ v5 Q1 u( R/ c7 ?请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
; s7 d/ S' V+ c。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 1 Y1 @: x. P7 m
端口:119
( M+ m9 C: E# z" @3 b服务:Network News Transfer Protocol 6 W/ C; h6 c3 a* ^# r! e1 b; P6 C
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服' f2 j1 L$ `- b2 F! _
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将" T. \4 V* B) u3 N- C0 w) l" A
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
: P6 [ l9 Q* k4 P5 f 端口:135
( q! L( c* N. E4 C* Y7 F服务:Location Service 4 p+ o/ p g2 g
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX1113 x/ T2 }7 H- [+ z6 i
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
" _" e# }& l) K6 `。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算% k4 h5 m* u2 z. K0 a
机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击, z) [; [: O3 r9 u; @3 D- V) J+ Y
直接针对这个端口。 ! j. M0 x* t/ A7 [
端口:137、138、139 ; S9 o6 c- j& X1 |+ D
服务:NETBIOS Name Service ( o! @, h. N7 d4 N3 M9 m: c1 l4 X
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过8 S" z- d' t* `6 z
这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
* O& K+ }+ y9 Y) u4 T和SAMBA。还有WINS Regisrtation也用它。
: y) N& N3 @4 t- n 端口:143 . h, s$ u& ^8 w [% W8 T1 R! m# d
服务:Interim Mail Access Protocol v2 9 _! |2 S5 c! i2 J) d# n# k
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕: E4 g7 t" `! {* `
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的7 p( T; }. A5 u- f
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口* w8 X$ A' Y/ b& f6 [
还被用于 IMAP2,但并不流行。
4 d* r" G/ T, y# ?6 {% q 端口:161
% q& e9 ?6 O$ d- O& B. s服务:SNMP
, q1 b/ P6 k1 n0 A说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
: b, I; ~4 _% h些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码
' E' E4 u3 p2 f zpublic、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用
S U' f; r! z) A& h户的网络。
# Y( O S; |) }; v 端口:177 5 G6 `0 t2 E$ y2 |' _- }3 A; y
服务:X Display Manager Control Protocol
. R7 F$ B. y+ [. E说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 1 w' W$ @6 |) w6 `
" ~! ]1 d( j; a4 p4 }; ]: b8 e
端口:389 $ y8 h& P8 c) U9 G5 ]7 t
服务:LDAP、ILS
, Q$ A" s" L0 b! x! I- N8 F说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
4 V# b& p5 }% a- G: ^ 端口:443
3 V' x# Y$ l1 L服务:Https & |; I: ]7 L4 U. \& N* k+ K
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。 X9 [1 w: Q" n5 U: K5 D$ Q8 F! Q9 \' e
端口:456
: y( I: J6 p, z6 k d7 k( G+ ]服务:[NULL] 9 ~/ S- u+ C! @( V$ D. V
说明:木马HACKERS PARADISE开放此端口。
# Y7 B4 J& e8 t1 J* U0 @+ X 端口:513 7 W7 V M4 z- t
服务:Login,remote login
- t. R0 a \- J& S& i说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
0 F+ P" D/ ^8 y/ N进入他们的系统提供了信息。 1 v9 B; h5 C% z% n% m3 F7 t9 R' U
端口:544
% M* J8 |' v8 h/ d. [服务:[NULL]
! t i$ g$ j" l% R4 b9 e4 |) Q1 B! E说明:kerberos kshell
' N5 p! ?4 |& s/ Y% i 端口:548 * E8 R1 |, l+ ^+ i% [
服务:Macintosh,File Services(AFP/IP)
% b5 `+ T$ P! a3 }! {/ [! c说明:Macintosh,文件服务。
( T, s6 m/ S. m 端口:553 ; X- \) c" k8 ?3 M" D0 p9 |/ T
服务:CORBA IIOP (UDP)
% g1 U( }0 ^" s+ W2 J, t说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC$ E( M; Z- g8 f4 ]
系统。入侵者可以利用这些信息进入系统。
. X, S2 t; l, n3 B; g7 [+ H& p* H; G 端口:555 - U% F. m9 s$ h. G8 f
服务:DSF
; z0 Q9 a- y7 l C9 r. F说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
3 O5 X9 _( K _! ? O; ^ 端口:568
?* `0 t7 w# B8 _服务:Membership DPA ! P' m4 B" ]3 `; {% v# c
说明:成员资格 DPA。 % X) ?& S& f4 j; X
端口:569
0 g7 b1 r( f& F/ t6 o服务:Membership MSN
% _6 h, e1 a9 T( A/ t$ X8 b说明:成员资格 MSN。 5 s0 a/ w) x) ]2 o( k
端口:635 ( G4 \7 ^; i! u) z0 \
服务:mountd # C1 \' U+ ]' ]1 F) ^7 q
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
3 I- |+ p, z% h/ c! ~; A6 V,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任6 Y8 r( A. j- D/ b+ x+ r y
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就
+ Q' `9 q* d) f- J像NFS通常运行于 2049端口。 + [ o, M7 ]# L6 F( m
端口:636 \0 U# b6 }$ ]% n5 k; Y, |- o
服务:LDAP " p0 N1 }1 b( z+ F5 @" W/ y
说明:SSL(Secure Sockets layer) ! G6 j5 g1 L" U
端口:666 ( L) v2 h( E: u4 L( W5 V [
服务:Doom Id Software
9 p& F# x! d" m5 r" o, w7 ^! k说明:木马Attack FTP、Satanz Backdoor开放此端口 * V* n( b! L" v6 _
端口:993
E2 Y" S/ f8 A" V, ]8 T: i服务:IMAP \4 W4 U' \ v, V9 p
说明:SSL(Secure Sockets layer)
+ j2 z b2 g) A0 o: \% Z+ W) P 端口:1001、1011 % e3 B0 f5 g( |
服务:[NULL] 7 f7 X5 T! @0 q& N" ~1 J; ?
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 . b& _ q$ o" S3 @' g
端口:1024
0 X/ h% Y! A% d% H服务:Reserved
6 h7 G# F" M; T8 G. m i) f) V说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们9 | t# l: S! w3 o1 R8 Z
分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
! z, L& e7 l' k2 b9 @会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看6 g/ N5 N' l" m+ @( M
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
2 y. B7 ]7 k; z5 {; r 端口:1025、1033 ' |) A* V3 V1 B! ^
服务:1025:network blackjack 1033:[NULL] 4 |+ k6 z+ S7 m- P9 D
说明:木马netspy开放这2个端口。 9 L2 t. p8 B2 T% R6 d
端口:1080 5 S$ X6 o+ T0 U, `" @
服务:SOCKS
8 g, S8 X! F( B* G& |& Y说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
. e! r$ W: y' U; e) Z7 l6 f。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于6 l; ^2 l+ z3 _% d5 n
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
9 V$ z- n) A j. r7 A! Z3 S种情 况。 1 q7 ~2 m$ `6 M- j c% a" J
端口:1170
' C# p' C% r/ }0 @7 k服务:[NULL]
+ f+ h2 a& O1 T说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 * ?4 V4 i/ d: t5 m0 g" U
端口:1234、1243、6711、6776
! \ j: c X5 e( i5 U+ u服务:[NULL]
3 H, U9 M* g; Y4 Y说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放
! s9 S% m* B6 d4 D1243、6711、6776端口。
# t9 O+ Y" W2 M# [$ F/ Q 端口:1245 1 K4 g z5 S1 z2 h
服务:[NULL]
5 R* m/ s+ g! E8 {3 @1 e- Q说明:木马Vodoo开放此端口。
5 m% W" a, Y; m* l7 S: {' ~0 E6 t$ n 端口:1433 7 d) V- P9 J. p* G% k
服务:SQL - l8 O7 `, j" q: i9 ?5 n
说明:Microsoft的SQL服务开放的端口。
9 W1 g/ x5 N$ I% j: P 端口:1492 - F: D# R+ O/ s- `' b
服务:stone-design-1
2 b4 Y5 V6 z" z* J8 P1 t8 e说明:木马FTP99CMP开放此端口。 2 Z3 s7 o6 C) y. @) a# {9 j$ t
端口:1500
4 l* g! P% J: X服务:RPC client fixed port session queries 4 M1 p# L' \4 m& e! R& Y2 B
说明:RPC客户固定端口会话查询! y- `# c4 ~0 C: c `' @
端口:1503 & ?6 h( q4 y* P! @, G
服务:NetMeeting T.120
7 D4 i% C" g+ t. l5 [说明:NetMeeting T.120) |% d. k: ?9 O& b$ C: [
端口:1524
/ _% n2 h3 C. J9 B1 L8 Z2 N7 y% f) Y服务:ingress
- t. G) {* Q1 _( w2 I( g1 @# L' y说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC/ v% j, Y% v. |/ `( @4 g( `, F
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因) [5 |" O8 F: Y0 X/ z" u. s0 i% S, j
。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
r9 F$ s. O2 }) K( v8 I600/pcserver也存在这个问题。6 ] D, }; D' ^- ^# X% i: T* n
常见网络端口(补全)
' V5 p3 }4 j( L% n: ]% @( y, J 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广( C. W' ]1 v, i
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进% s' C3 q1 O* T# U8 n4 b5 S
入系统。9 U/ i& b$ R- S/ E8 i
600 Pcserver backdoor 请查看1524端口。
, U/ `! K. g6 W/ t一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
! G& m8 F4 ]3 B1 TAlan J. Rosenthal.
3 d) U/ [: y1 V/ T, r$ \ 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口5 k0 ?) ^9 J8 N1 h6 S
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,9 P E, n4 ~) r2 g6 E( g
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
8 h! e' @. l3 e% n1 x认为635端口,就象NFS通常 运行于2049端口。
4 a/ ^5 V o f. |7 O7 h. } 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端% g/ H0 D! R2 g4 y9 }
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口
* ^5 x7 y* h1 W" _- U7 P1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这: a* Z8 y4 I& o, { c
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到& k% E6 {) u% d8 p+ X$ e% s
Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变; h" n% D; h+ e' F$ I
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。% B$ J" s2 K% f9 e, a2 M8 f* R
1025,1026 参见1024
) Z1 z. ?( T/ ?" v) q) k: `1 z 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址
/ F$ t3 q' K1 |/ l* L; B* E访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,- Z$ c5 s: x7 O3 ]* q. \- Q) W/ H
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
- {) b; z+ u @& H; G1 U* RInternet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
' b3 X; l* d, |9 x: J! C7 {$ Y火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。- @ c q* o! D" q# E
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。( [1 K2 u( l' ?" s) j
7 c, h [1 x% J. R7 K6 ?# [/ y: o1243 Sub-7木马(TCP)
% {5 z+ X2 D o& L8 r9 ?" n8 D 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针
0 }! |; [- N! U对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
/ h$ a1 n, _. i4 _0 K装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到$ ^' I3 X! z7 ^* D$ e7 g0 ?
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
, Z( B" J2 N$ c- a7 {" |题。9 J4 B' R( k% _6 [7 {* C
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
7 t7 {2 Q J- I5 M! T# p个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开4 O9 S) g' g9 c% r1 w! e' r: `
portmapper直接测试这个端口。
' h# a K9 b9 V4 M 3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻 ^* \0 y% @* V% Z; R7 A
一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
1 H% l4 G9 l3 c0 c7 ^3 M8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服+ w G' S# B: g% y
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。' Z/ c9 F9 D9 M# \/ R
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
9 c8 N0 e' ?5 x1 R# i# h) LpcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
5 J' [# S& X8 u% G2 [。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜" q7 s* G# W/ g
寻pcAnywere的扫描常包含端 口22的UDP数据包。
/ e& }: ~2 S1 B; \1 d3 q ]" G- Z( J 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如2 x" i, V- d5 k, \0 G( j
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一* T P0 x5 ^/ H0 K9 Y x, G
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报( ?2 a9 [1 M, T9 d4 a
告这一端口的连接企图时,并不表示你已被Sub-7控制。)+ P% b' o" P! {
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
3 `/ e) H; Z! F8 @. ~) ~, `/ E4 E/ |是由TCP7070端口外向控制连接设置的。
) B1 I r4 \! n1 Y, Z 13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天% D! H& |2 S0 ]# \! H
的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应; F+ l7 `. E- B5 J% B* A
。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
- K6 t) O8 j& k* I, D了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作2 @2 d0 D% K- L; L/ R. h- @
为其连接企图的前四个字节。
0 x: ?0 v: @9 J/ w4 y/ U+ |) y4 ] 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
) D9 @& M; U* p* s, V( }"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一& H2 _3 }. b. O! E/ Y
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本
+ ?# O0 @% {+ @身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
2 [1 Y6 q% H1 [, k1 u机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;; O( I) _' ?1 a! f2 A+ D) n/ x. I2 v
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts- N* }4 u& y! N! [* Q$ X" E
使用的Radiate是否也有这种现象)
) ~8 x Y# I& _1 }) g V 27374 Sub-7木马(TCP)
7 R7 `/ \: v/ K) ^/ V* P 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
! H* y3 C- t3 q 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法
# ] y/ w8 [- m% n; @0 K语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最$ F% X+ D# E" T5 I' y7 I% w U
有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
e# p6 F/ e" X) D+ s越少,其它的木马程序越来越流行。- Y* z8 T9 d$ o6 E3 k* [; l! f: k0 ^
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
9 ^ C' U D( L$ h0 SRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到/ Q% i S- {, _" m K& \
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
8 W8 b- |" l' X+ n! S4 r! o输连接)
4 S# K1 K9 J2 A& T( [% y8 k 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
- \- z5 b$ X FSolaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许& f2 o0 m2 o; D- _
Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了) j6 @6 s& o6 q- i! z/ B0 [
寻找可被攻击的已知的 RPC服务。
' b8 N- O0 J# f7 T8 M" ?( C 33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
& C6 ?7 e3 ^: N# t+ a8 t5 k)则可能是由于traceroute。
0 ^* m3 b/ i/ ^: A+ p6 ]ps:) z* i* u: |" b) S
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为$ l$ r' N9 Q' k& m3 ~
windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出
" W w% m& ]/ }端口与进程的对应来。0 ]; H# d9 L3 o* ?
|
|
发表于 2012-2-16 14:00:57
