|
|
从0到33600端口详解2 M+ s2 Y% F3 w2 s
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
2 V d' \. Q" Z+ g& Z6 x7 W2 Q% ~$ NModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
$ @* y1 A! a* ^8 b9 S$ s。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如) x1 u. Q# C% R$ ~
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的1 z Z# t) Z3 P4 [% k
端口。 2 H" u J' |/ K4 s
查看端口
8 S2 N/ }/ r. r1 k; \# t& G- N6 F 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:) n7 ^( b* O& g+ ]1 Q) K5 E
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
* Z# a7 }) N2 p/ {9 |$ w态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
$ h! e- P5 f+ P3 O口号及状态。
( h4 y" V' T- R4 P 关闭/开启端口
. m# Q5 p# I/ O( C/ V/ g6 @3 [& ], y# @; ` 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认' f }7 N: p/ y
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP6 t5 H3 y+ {2 L6 p3 l* W5 \' c
服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们8 [5 ]' }- c+ ?% P3 e q
可以通过下面的方 法来关闭/开启端口。
2 B/ _# ^9 C( b& s8 [( }! l, A1 R 关闭端口
; J0 ?3 o0 c2 ?" \! m/ } 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”+ z) x$ w# R& ~( G6 y9 x, F
,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple8 W/ w' G* h: r: B+ I
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动
! H4 S* y7 B, h1 s. } ^% x类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关
0 {0 r: A, g+ t b ~" u; C8 b闭了对应的端口。
- ^4 T) s- {# t; k: ~7 I5 E 开启端口& p0 L0 U6 [+ I
如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该9 N1 W8 {7 f7 l; h: p7 V$ }3 k/ ~
服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
7 T( Y& i) n- P3 [* q. a: V。
+ O4 y) t) u& T' X6 v 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开6 q& h6 x& f+ s* n
启端口。
( l' G4 M: z) n 端口分类
* ?# o. ]' _6 s. k! } 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: " x6 `# t$ J$ L) Y& N/ ]% `
1. 按端口号分布划分 7 C9 k/ f/ j4 h7 Q
(1)知名端口(Well-Known Ports)) D/ ?0 v7 @2 C$ ]
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
. j/ j* @7 W3 m. j比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给8 d5 z' M$ `7 T4 p; L5 M
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。2 k0 p6 \5 v9 S9 M$ Q
(2)动态端口(Dynamic Ports)- G1 |% N7 ~" F% Y! U. U/ X
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
* L# ?& r( I9 ]: L, u/ b' D4 z" p多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以
8 c( o3 v1 L, {6 L# W+ Q从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的 y2 k* r7 W1 |) Y- [
程序。在关闭程序进程后,就会释放所占用 的端口号。, f2 J. a+ A' t0 I. u
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
3 I/ ?& ^. B0 X- {1 ~ V9 b8011、Netspy 3.0是7306、YAI病毒是1024等等。
. ]) R2 L' D4 B 2. 按协议类型划分- c3 ~/ a$ @) L/ m. M. ^
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下
' Y; [# u* g3 f/ P" |面主要介绍TCP和UDP端口:
- z/ d. }0 T* h( y" {4 S& V (1)TCP端口" ]# \6 ?" E9 r, p4 [
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
) V6 W- W1 O8 |9 b8 M9 D靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以/ m V% q" `$ I }( Y$ ?/ I: z6 Y) _
及HTTP服务的80端口等等。
: f' k) c" |0 f9 n7 f: U (2)UDP端口7 Y% S3 R) I- ?) \- |
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到( A/ D. p0 U4 m) f2 v
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的5 ^( J0 T7 f1 _6 e
8000和4000端口等等。
/ k! r7 J! b9 g2 ~ 常见网络端口! L5 S) _# p( x
网络基础知识端口对照
5 j2 q) l1 E9 K2 @4 n: H: y 端口:0
3 n2 X9 y9 k" Y O4 J( o7 d服务:Reserved 1 Y4 [) w1 O. S- M
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
& Z; D$ ?0 a1 L' O( ]" S你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为* @, S5 d. N1 ?. j' j5 V& H7 I
0.0.0.0,设置ACK位并在以太网层广播。
/ _# C x% t8 W- l- t: i$ X 端口:1
' a. X) ?4 V9 ]5 c3 \服务:tcpmux ( r( `) Z+ q. u. o$ l* s$ p
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下! m5 c( J$ K# A8 n {, f1 i' _ m" T, d
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
, b1 P) M" N9 a, qGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这
% R) K$ I$ H, f9 v, J些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
3 X5 B! F6 J; ?; ?# P- e/ } 端口:7 ! }$ x1 d7 f, n/ j+ g
服务:Echo $ N |6 H0 I0 R8 {( r ]
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
6 r7 T- a# |# D6 r3 o' L 端口:19 ( x. B5 ]4 Q' X) Q' I) d. z+ ]
服务:Character Generator 3 I7 I5 \ E6 E$ ?3 y# s c
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。% l' }& ?6 i/ Z1 ]
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击. U. D4 a9 E* X' c0 b" b! ~$ H& |
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一$ E1 U, n' A, R! w
个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
4 {+ |2 Q, U& n/ {# G) K1 } 端口:21
( ? |2 S. B# }- Z9 L, r服务:FTP
j* j. e) Q& z7 k: m说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
6 D! @9 H7 \1 q8 S, u的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
* D+ w1 [7 a/ \8 E) Y, OFTP、WebEx、WinCrash和Blade Runner所开放的端口。 8 E' f* S8 j9 h: R& s9 z
端口:22
1 i9 x" P$ @2 F* Q1 k- z( t服务:Ssh . b& A ^0 I: H- _8 w# q# ~* }
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,
& n4 I g A' W如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 * e& x( g( w' q, g
端口:23
1 a* b1 \6 w. Y: D" ~服务:Telnet 7 F2 T- G+ h1 n' ]
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
- h4 V# D2 a, _6 L+ L* Y U到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet- j: y* L& y. V: Y
Server就开放这个端口。
5 v' l) ?- b! y" t' p 端口:25 4 ^1 {$ C) k" y
服务:SMTP
/ i+ G0 R) S& K6 a0 v5 u. i说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
2 B9 G" C D& \, _0 r! Q, o$ _' `SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递- Y8 {2 u7 u# J# |# r% I
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
% Y# U' b' q! ?/ I j, M) b、WinPC、WinSpy都开放这个端口。 7 }) u0 g8 z7 w* s* p4 w# J
端口:31 1 c7 l" @, `- G$ _
服务:MSG Authentication " \3 h8 e5 |1 A, T. [
说明:木马Master Paradise、HackersParadise开放此端口。
$ W4 x' X1 h+ q( K2 {) q: x 端口:42
' C& D8 W# M k2 T5 j服务:WINS Replication 6 m2 j3 ^4 R) S( S( S
说明:WINS复制
' l9 b% t- ~( D, u b5 M# X) c 端口:53 6 {0 a: L( [% e0 H
服务:Domain Name Server(DNS) , p: ?9 j) O1 h. u0 y
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)* E( C# y+ S; q5 f+ k7 U% k) M1 Y
或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
% i* y+ @6 r |3 b8 B: R* ^ 端口:67 , v( T5 V4 _+ b" m: Z
服务:Bootstrap Protocol Server
- | n! R5 e( U) S, J- H说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据
6 d8 Z8 u$ \) G* g# w。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局
& v4 d# z) ]% H4 S部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器
! H! m3 [8 P' r2 r向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
. y- `9 |4 {/ X- ?( B2 ?+ s" O+ a 端口:69 5 b2 E& {, j( R7 ]* y/ L) J4 j/ T
服务:Trival File Transfer
H3 X. Q3 I( @; O2 E说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
# A" T6 h6 R, H错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
6 [$ C2 }; r( ^2 p 端口:79 6 {* w4 z, _* e7 l) C# s
服务:Finger Server
5 P3 n' t; N( s说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己, E+ J% M/ k. |+ _6 ?8 J7 w2 H
机器到其他机器Finger扫描。 ' n- \0 S. H% ~0 J9 z
端口:80
' H# F6 L; o" A+ ^1 {+ E, W' M* \服务:HTTP + c B. g& t3 Z! t; f
说明:用于网页浏览。木马Executor开放此端口。 3 H- U# t" Z6 d8 w- I" D
端口:99 7 p# j( |4 j& r9 H
服务:Metagram Relay . Y2 \' w8 n: d6 {
说明:后门程序ncx99开放此端口。
! z# i% f+ l7 J z' a' t) m* R9 y% ] 端口:102 ' r" ^9 a" X# ]7 I; {" q" G- N
服务:Message transfer agent(MTA)-X.400 overTCP/IP
- R$ Z7 Z1 ~/ h7 v/ W说明:消息传输代理。
: F' q: b; ~ n9 B( w 端口:109
# o2 ~ O3 t' `3 e$ j服务:Post Office Protocol -Version3 : T. |. M( Y' r! i
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务& d' x/ Y: ^7 `: U8 [
有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者6 {7 c; R$ p7 F `1 y$ H' \7 c
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
# `9 V6 ~/ C8 G1 a R 端口:110 $ j; q) t& {" t- h1 S& q
服务:SUN公司的RPC服务所有端口 1 N' s8 J) @3 I7 P3 v9 Z
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
8 y" x. j) J- w( C; ]/ N 端口:113 ( I! Q, _, g% t* \/ v# G7 A
服务:Authentication Service ' \; r3 b; [9 h
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
; N8 O% ^! d4 u; _4 M& o6 `7 x以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP
4 j; K! x& A- @: j* ~和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接0 Y5 Y4 Y; [8 b0 X
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
. [& x" g' e) G$ w" B' B I。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 $ ~9 o G, I) a
端口:119
1 d9 l1 B4 x2 z3 a/ K+ l; p* p服务:Network News Transfer Protocol - Q# B+ x0 d1 N L1 o9 l1 @
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
3 c5 x; D. s* q- a( k" X8 X务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将+ M/ @$ a/ I. f) M
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 ( Y6 b" F ]& i) x
端口:135
5 a) ?) I4 [. v5 y C8 D5 I3 U服务:Location Service
9 K9 a6 W/ e3 |9 U' ^说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111, b2 g! o. x8 Y
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置$ h t+ ~5 O, z' Z2 d( I
。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
; l6 J& u" i" {% ]2 G: l4 ]机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击( P/ D! g! p' M; v O+ N
直接针对这个端口。
: T" X: n7 c9 P9 L 端口:137、138、139
/ z1 G7 i8 f4 i, v8 N& ^& @: G服务:NETBIOS Name Service
" a. k. U0 w- s; \说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
6 i. y1 s) {& a这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
+ C! G) B1 P! P/ v- ]1 g和SAMBA。还有WINS Regisrtation也用它。 5 n7 o( ^' P* b- @
端口:143 - r7 |0 \! ^. _# e8 A5 J
服务:Interim Mail Access Protocol v2 6 N( N0 W) D7 z; a& d& A' s8 y& F
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕
8 l9 Z' k8 P! V# e- K% Q. a虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的9 r c6 O3 v: U f
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
( S) [4 V$ c0 W6 _/ ^还被用于 IMAP2,但并不流行。
A* h5 }/ P& U9 Q- \ 端口:161
`% Z! }0 i+ a服务:SNMP : K, c/ Q! G( q. B [' F7 D% r
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
# t5 Q4 {8 N1 S8 L& S0 ~) O9 Z些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码
6 [, s0 V0 z8 r* X$ ppublic、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用/ \ a0 a+ u( h7 o1 w6 _
户的网络。 0 l$ T* A0 t7 Q4 _+ H' c, `
端口:177 ' y$ M( t$ A( x/ ]8 E/ Y5 I( T
服务:X Display Manager Control Protocol
7 z2 Z! D, B6 q) c% L7 @说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 9 H2 k: L& }/ L8 ^2 m# y$ j3 X
9 g. c/ L. l: e 端口:389
8 i; h. F5 A( B6 h! M7 m+ ?' X服务:LDAP、ILS 5 ^2 j- \! c- ^9 z
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
! B, P$ O2 R3 o 端口:443 ( ]9 E7 O# k* _# ^# @# Y
服务:Https * E4 I, g# v2 q# l
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
, F: p. b8 x4 P; g 端口:456
" h- W6 e' v, i/ i7 d服务:[NULL] 7 [) e- o" X* l! i& o5 t& G1 f5 B
说明:木马HACKERS PARADISE开放此端口。 : m9 e: n* n) ?. O; H
端口:513 ' T% A4 p5 L+ ` y( E" g
服务:Login,remote login
! \* h/ Z& K7 v3 Q4 q# E' z* ^说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者, J; V0 O& H8 y2 l
进入他们的系统提供了信息。 * g1 s3 l, Y* y
端口:544
7 }5 a# I; n H; D; O服务:[NULL] , y9 x7 S& }) O$ P/ f
说明:kerberos kshell 5 {4 f! I6 ?) W- J$ T; T/ |
端口:548
8 Z1 ]6 ^# W) N7 n- |' y5 F7 f服务:Macintosh,File Services(AFP/IP)
0 t5 T) ?# U( ^4 N8 N& F说明:Macintosh,文件服务。 - P% ?# N; P& X5 J% W' q
端口:553 4 U, \; H" a i, p+ V
服务:CORBA IIOP (UDP)
% r2 W% E8 R' Q, `说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC& \9 Y) M. U( c9 O, s) _8 Y+ M* t
系统。入侵者可以利用这些信息进入系统。 W+ b; g8 ^# s: {' Q; u
端口:555 ! `# z# l- x! M+ N
服务:DSF
1 B- [/ r8 f& ^说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 9 s. f( v" n. E
端口:568
9 ^" o2 x; U! M服务:Membership DPA
- F* s+ J, F: A4 x Z说明:成员资格 DPA。 - ?5 E$ ?; R0 m% S
端口:569
& O' W( V- T# O服务:Membership MSN
9 q9 B) x' t8 i0 L$ b/ k说明:成员资格 MSN。
5 |2 y$ X" C+ f 端口:635 # w1 K. |( l( x2 D6 r
服务:mountd * d! G4 i ]3 H' _7 O1 G3 N
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
- O) Z4 J+ K* h& X, m,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任! |) Z/ Y* y, M+ r# Q
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就
$ v! f& Q9 _: B+ Q* d9 S; f; ]8 T像NFS通常运行于 2049端口。 , T/ d% @8 \2 z6 a* s
端口:636
0 Z+ B+ C+ G; B0 d- ~$ u服务:LDAP : d" m3 N2 E3 T
说明:SSL(Secure Sockets layer) 6 L# ~( A/ Q+ f. {5 b2 C/ i' ~
端口:666
1 f* ^. ?, d$ g r4 P服务:Doom Id Software ( G8 p' h- Z& \7 k: O: e( Q0 `0 ~
说明:木马Attack FTP、Satanz Backdoor开放此端口
' Z l# n) u5 \' b# C 端口:993 2 w# ?* ^0 A) ?# o- e8 l! b" I) M
服务:IMAP ?6 F7 Z H: b
说明:SSL(Secure Sockets layer) 5 \1 J6 b# |) ^& j
端口:1001、1011
3 L' U9 ~- v# i o& Z- {" |6 p服务:[NULL]
( X3 p7 [# S8 T6 @8 r说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 3 ]9 f/ S6 i% R, f. F; K4 I, s8 P
端口:1024
) C+ j/ ]* G* E5 r9 N服务:Reserved / ]+ S y, b& b- C+ {
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们0 H5 R- C% q5 u$ M' @2 i. V
分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的1 b5 G' [8 x, i) i: X7 X! M+ m7 A! T
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看
* |5 x6 [2 U x到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
3 \' m( c, h" a9 B4 G 端口:1025、1033
9 U( O$ G" @# H$ h3 j/ o# ~6 t0 C% f服务:1025:network blackjack 1033:[NULL]
+ D# k* R" Y! [* S6 D" L% I. c说明:木马netspy开放这2个端口。
# G6 @, L9 X- ` 端口:1080
/ Q+ t! b& n3 U: n- y9 a o4 @% b2 k服务:SOCKS
4 [" q" G# t8 P6 z) z# q说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET" `+ q0 A* }' \, [) q
。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于% T v8 X3 r! a
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
, x$ U, k+ i/ [- C种情 况。
) {9 v4 t4 S5 d 端口:1170
* L3 f' L/ Y3 r9 O/ ^, C. \服务:[NULL]
, S! p7 ^' a; O, N. A6 z; t说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。
; k; L4 m$ V2 h: E/ [) P0 V, o 端口:1234、1243、6711、6776
3 x4 P) t! g& B服务:[NULL] : r/ J6 [+ C0 ~$ U) m1 D5 b2 L
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放2 |% @2 i8 x+ F" D3 W
1243、6711、6776端口。
5 e8 U2 G- S" `7 t 端口:1245
, l# G( \9 H9 [/ R2 T6 c& e u服务:[NULL] ( |( t/ e! z! M- ^
说明:木马Vodoo开放此端口。
9 Y$ m, @" m E' B& l- ]2 J- x; o 端口:1433
+ F; ^9 o2 h7 K" `服务:SQL
7 M$ w4 a% }$ }: K; N, |说明:Microsoft的SQL服务开放的端口。 : {0 P& d' U7 ~! Z
端口:1492 3 F0 A4 ]0 X4 B- ]
服务:stone-design-1 6 G! d+ R; f4 W, M6 W
说明:木马FTP99CMP开放此端口。 9 C" Y' J5 n7 x$ r/ [3 v6 i4 w
端口:1500
: z8 b* J5 x8 L# ~服务:RPC client fixed port session queries ' j$ D1 y0 |6 }
说明:RPC客户固定端口会话查询) ]8 ?0 R3 A" m! s+ k: L
端口:1503 * U- p' d. ^, z: {7 n
服务:NetMeeting T.120 # d* J" t8 r6 e5 o$ E% b8 Q- D$ F: Q
说明:NetMeeting T.120
; k, Z! Q$ }. e1 M( J5 c+ o! _; N 端口:1524
/ z3 Y! E. A1 j/ a' W, _2 ]; I服务:ingress ) T1 e3 Q7 }& _1 _4 j$ q
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC* z$ M1 P5 N) n T
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因% |1 {9 \2 n* q' K
。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
; m7 o; |7 \# I' w0 Q& m6 y600/pcserver也存在这个问题。
. o* H$ G. |3 e: Z+ L. B' c常见网络端口(补全)/ k; @2 g8 X a2 a& B9 V0 Y. o
553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广$ b- D8 O! f5 X" t/ ^) D9 R! s2 Z2 X
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进2 C* o. T9 u7 g8 \
入系统。7 T1 m* \# U3 E1 S
600 Pcserver backdoor 请查看1524端口。 ) h: _* g* s) e0 n' \
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--! E; e4 k% b1 u0 j
Alan J. Rosenthal.' f8 y% {( m' | p
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口7 j* d" l, T4 X# S- ?" X
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,8 z4 k+ g) F/ [! n
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
e( K9 ^6 D7 {: w4 N {2 N认为635端口,就象NFS通常 运行于2049端口。4 j9 |7 w# w$ }% j+ S+ U ^, V
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
3 x7 `# C- m. L9 F2 A3 ?) G口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口- T% i& Z" Z+ y6 s) i7 e* k
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这+ O* H$ W e. ]% i# j# a
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
, G% D# L' P% q* h; S) N: @( V* VTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变" T% r* s: d6 X; |
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。; g! W2 d2 n5 Y! P1 f6 X& }
1025,1026 参见1024
( s6 g- j% h6 ^# ^( K3 O8 }4 r' r* I 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址* a7 a5 D; H2 Q9 N/ m. z8 x( r
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,* W' e' F0 \( J/ Q2 T
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于9 n4 w# [" Q$ c n3 }0 }7 Q
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
) C4 ?' \% U" s8 R火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。' {: J( k0 W8 `3 J6 q0 Y& m8 E
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
# k3 P. j' ]' O5 y2 v# O
1 C9 z3 \7 `* A1243 Sub-7木马(TCP)
2 I0 p8 n K3 S2 G: Y/ P$ D2 m 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针* _# X( D* C; M( z/ Z
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
# {( w0 u, Q4 J. k$ g: A5 d装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
4 |' J) q0 y3 K/ h+ y你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问+ l" N& s1 L" }! f/ ]( c
题。
& t8 U5 Y$ n) _' T o 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪! p9 k5 K1 v2 ?, `8 Z0 o
个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开, q6 ]- O5 t/ a' X: ]6 \
portmapper直接测试这个端口。) |$ R+ A8 W* F* v+ `
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
2 s/ P" I" o7 {1 B( c3 d一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
5 t$ u! Q" m2 r3 s9 ^5 y8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服" j2 ]( {) K k K9 O" _) Y* I
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
4 K& F0 H& V' P4 x 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开+ X+ Y1 J9 y, o2 z8 j8 S) U
pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy) d* y( t: B& v( a1 {+ ?) n$ ]
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
& @5 o) |3 l; q `0 j寻pcAnywere的扫描常包含端 口22的UDP数据包。* u( h. {* S, N2 T2 ]( u- Z
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如% |% R# D) S H
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一2 w+ R9 M. [2 y6 r5 U4 Y6 Y
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
, q. P' h% Y1 S3 J告这一端口的连接企图时,并不表示你已被Sub-7控制。)
2 E, f3 V& T ]$ M2 t 6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
( z1 q# I1 S" a {/ I是由TCP7070端口外向控制连接设置的。7 y' { F$ f& ~2 k
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
) U& E$ u; k6 B* Z的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应1 I5 E5 ^0 J/ e
。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
# y5 f$ H0 m; r7 K; z+ L了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
' u U4 D& F* p5 r9 r# B# ?为其连接企图的前四个字节。0 @* i9 q4 k% G* b
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent* X; y1 p3 O# ^8 C# X! s& i6 A
"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
+ [( y- a; y; u9 \& [+ i3 X& G种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本4 `$ r9 V! ]5 ^. Q
身将会导致adbots持续在每秒内试图连接多次而导致连接过载: 9 B# P9 \2 q2 y! ?
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;
. S5 o5 `% u5 Q7 L6 W6 B+ \216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts9 _5 y$ x* [& k
使用的Radiate是否也有这种现象)
+ i- C# U. Z6 }5 g 27374 Sub-7木马(TCP)
% [+ F' G% ~ _, D( \! t 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。5 T9 X; H4 r1 Z7 v6 v
31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法
! B v8 ?& M+ h% a. b5 j: }/ S语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最& r' |5 S8 @; o6 p* P
有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
4 Q3 D; l5 |3 V& P+ m! F越少,其它的木马程序越来越流行。
0 _8 u9 J; M5 n' N 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
0 a. x3 v9 V6 t1 tRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到& H: K6 V4 o* D
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
" C9 [$ }4 r5 g3 E9 }4 g& x+ e输连接)9 n) w, N7 C2 d+ n
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
; `: f$ Q+ j, V0 TSolaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许' A8 _7 R: _+ y; R8 T
Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
, C6 D+ `0 y/ q寻找可被攻击的已知的 RPC服务。
" o9 `& U3 Y6 q# H1 ] 33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
6 q: _8 }0 U9 X" a& y)则可能是由于traceroute。9 [: @# J0 P6 k* z
ps:7 h- i1 J I0 Q
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
& B5 V$ a% G% W/ Lwindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出
0 e0 r" E; g/ x' j3 M1 a' C端口与进程的对应来。$ L# r' v: F( K$ c9 y9 A. R
|
|
发表于 2012-2-16 14:00:57
