|
|
从0到33600端口详解- X( a4 P y) I2 p) f
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
/ r4 A) t0 W* ]) m mModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
w. F9 H6 C P3 F5 f4 m: g( M。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如
: o1 i& z' s3 ?4 {% q用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的
* g0 Y& R" f3 o# Y- b端口。 , ~/ v& H8 Z, B( ~, a6 F4 p
查看端口 % q2 p3 V5 D+ i) P0 X6 V
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:6 k: z8 N; F' O" v! p! b
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
) x' H: f1 \4 g8 g/ e1 d6 L! L态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
* w6 I8 B% R! i$ c; Z口号及状态。 : K9 d' Y' O4 V# t) u' {
关闭/开启端口) k. r% ^' s& B& w
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认4 V/ h' w7 J" |* j7 w/ r
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP% L8 \# D: t! c# a' ~
服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们" G1 e5 c# t) i: c) i2 V
可以通过下面的方 法来关闭/开启端口。
8 i* Q9 n5 x; X1 j$ _: [ 关闭端口
- x+ b# s) v, Y# x0 _) W9 P* | 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
* j8 b, R- b: u2 K: _,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple4 {( [8 R8 t! m' I; J; \0 e5 s
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动- H4 R4 t/ Y' ]5 L, o
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关, J: C8 w% `2 Y7 |$ c9 Z* t
闭了对应的端口。
# c% b3 q: O: s3 ^ 开启端口
2 C }* m( I9 S- Z( ^9 @, G. t7 K 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该2 {1 n! M5 J. A. H: u2 V6 L
服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
/ s' `: h- s; [1 y& J; \! j f。9 E B* l4 {9 q6 K6 M Y i
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
! X. t- \. v7 Q% e9 |4 z启端口。
z# ^- [/ b0 x* X4 L0 v 端口分类 ( H9 h) Y/ M3 z P. z. {
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: 0 _. r. w8 l6 f3 p
1. 按端口号分布划分
8 z# ^. A- y; \- V' \ (1)知名端口(Well-Known Ports)8 c/ O# L: Z7 n0 F- ]
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
, j* @1 n; A( o. p' e比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
, l2 O( q: `6 O9 {! }6 l, [HTTP服务,135端口分配给RPC(远程过程调用)服务等等。( S) z, x0 }+ A) G
(2)动态端口(Dynamic Ports)7 `6 h; N1 A @; A
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许$ h L5 i3 J D$ e* z( `% z
多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以
6 n Z7 W, V3 S% X, q. h0 E9 Q从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的7 g2 k, z% C, S: H' [5 S
程序。在关闭程序进程后,就会释放所占用 的端口号。4 ^ ~( Y, z) K+ {: l. [4 m. U1 `8 W
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是 R; V2 \9 k$ x* |4 t- ~/ V
8011、Netspy 3.0是7306、YAI病毒是1024等等。
|5 M) Q& D6 Y3 j 2. 按协议类型划分( _# x4 q: @- Z1 S4 M/ r' k# @
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下
. j% N) R4 {1 y( {" ?面主要介绍TCP和UDP端口:9 T( h- F' M1 f5 O: R* k
(1)TCP端口# Y& Y- g3 o+ N I
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
( ?/ q$ K6 u% T; _- P靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以6 n! i; ~+ r( B; i
及HTTP服务的80端口等等。
( Q3 R* W1 f. Z0 W+ K (2)UDP端口" W% ?5 S6 b( F& u1 Q
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到 Y/ E5 r/ H. e! j4 f6 [. X. T
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
$ x" ^8 p/ x9 L& v: x! N8000和4000端口等等。
6 }9 V7 U; `; O$ z) m. d 常见网络端口5 y5 U& Z' s; I8 \8 G' p
网络基础知识端口对照 + [7 [5 ~7 ^' k: ]0 v% B
端口:0 . p7 d, X% N4 ^& O4 t: F2 ]( H
服务:Reserved
) _2 d. }! ]" ^+ S, U% o说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
6 g8 Y' y2 {. z6 ?: c5 S你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为8 N7 [: @2 R g0 `) L
0.0.0.0,设置ACK位并在以太网层广播。
& ]% ~% U8 u4 P1 }/ q 端口:1
9 n% `9 O F7 z9 B/ \. H- i服务:tcpmux
$ C. ?; E& t" Y* ~# H, J3 P' r说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
: L2 T" p0 ]+ }tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
1 h$ V/ w$ d! l( ]; A4 FGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这
; B; K3 i9 c- e! p/ E1 W' f些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。 $ p8 l/ x- e2 S
端口:7 : O9 {6 J! j% m! t3 `
服务:Echo
[1 ]$ K5 \5 \5 E4 A8 b说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
1 {9 ]+ I" t+ T- g 端口:19
6 u3 j+ B5 `) [$ }% e7 C9 w服务:Character Generator 7 M4 q2 f! b, n2 O t
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。9 ]1 r6 Z& Y7 f
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击: c; |5 H4 Y/ ]6 y
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
' h& s4 B# e& C ^# L个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
, ^% m7 v: s; F. M; v8 P* o 端口:21 . A3 J$ A+ k+ r$ @9 E
服务:FTP 9 S7 q) j2 n& d. I% M' X8 R
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous7 s8 U2 c3 p& m
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible5 m- N$ B& {9 s9 P, ]; c
FTP、WebEx、WinCrash和Blade Runner所开放的端口。
5 }2 B p( I( c3 E* [7 g 端口:22 8 ]8 }% p' D" O+ `
服务:Ssh
, y1 @" i& f7 p: v" h说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,
6 r1 T9 l# j* ^" }' e% H如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
2 }, i' v8 I5 l4 A 端口:23 - ?& z' s0 s N2 R' s
服务:Telnet ; {* t3 H8 [) U" |- J/ J
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找1 y |: N# I4 W& |6 \8 |
到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet" c1 c; \" P: \7 O4 R8 S
Server就开放这个端口。
/ a; n7 x/ T& o+ x4 @ 端口:25 % X+ V! H3 A' G: M8 ^2 E n
服务:SMTP
7 H0 R3 ~. j" S( h7 ^说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的9 K, ~" @) J3 i& q/ {
SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递
# ~' r5 M* C1 j" N3 N4 O到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth' {" L2 |& w, B2 ]+ Z A) O
、WinPC、WinSpy都开放这个端口。 0 d& m) X- P) y, J: e$ M8 f2 B
端口:31 5 [* q7 \( [5 {
服务:MSG Authentication
0 W+ y4 T4 H- l, s4 t1 S说明:木马Master Paradise、HackersParadise开放此端口。 1 i: V- m! p& J
端口:42 / O+ H9 ^! I9 q) x$ y2 d
服务:WINS Replication 6 ^2 u- R& d9 e4 p) }2 W
说明:WINS复制 ) l9 ^# G6 [) l% O( L2 G( p: ?
端口:53
; l$ L, C2 {# c/ K服务:Domain Name Server(DNS)
0 t6 y2 g7 _! v# n2 n说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP) j4 W& d* }- _$ J- s
或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
1 Y3 v* y t: {8 R 端口:67
( p% W& w8 C/ G' o0 ]3 V( I6 r) n服务:Bootstrap Protocol Server $ L& l3 s& r, X# a4 Y
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据
+ C1 u$ \& Y* y+ p。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局+ v* `6 Z$ z' a8 P" s
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器( C3 X, j7 g- t5 D h( U& _) d5 E
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
6 d* j* u2 H. H2 | 端口:69
- h) ~& Z# B# H4 h服务:Trival File Transfer
* t q( z. ~; P! N, d说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于- E) m! _, k( ^4 Q4 V9 o4 P
错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
M7 U1 p, m8 G3 A; K/ R2 { 端口:79 : |, l: s7 l, L9 G6 u
服务:Finger Server
3 L5 U( Z& [/ z说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己- C. [4 t7 [, D; ~( u( ^
机器到其他机器Finger扫描。
5 d& ]7 v! c# a) ^/ l+ B% ^ 端口:80
- p' a" [) O7 K6 l* {- v e服务:HTTP $ c! n6 n# \, l: y
说明:用于网页浏览。木马Executor开放此端口。 5 ^, Y3 l: x2 G! y
端口:99
& Y {( Y: e: p7 ?服务:Metagram Relay
+ i F8 q5 m3 n说明:后门程序ncx99开放此端口。
' {& {7 |: I; K, F4 w 端口:102
3 t' o4 {) T) n服务:Message transfer agent(MTA)-X.400 overTCP/IP
4 L. r+ i. h1 R1 D说明:消息传输代理。 " Z; ]" I! o$ r6 y% f
端口:109
% t' `0 w: ^3 ~' x! E7 C# B5 v服务:Post Office Protocol -Version3
: R& Z1 [3 v* K8 B说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
% i4 [# z2 h, M1 ~& J. f% @( {& P' p有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
3 ?( a$ J8 ~* v) _6 d b- R可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
6 I4 V- ]5 m* E" r4 V1 ` 端口:110 9 r+ E9 K. M# @7 m7 N
服务:SUN公司的RPC服务所有端口
1 h9 p, C3 m8 }. A% D4 ^说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
3 b) l, F8 t# H7 h: k 端口:113 8 L! W# | y2 M9 {: I+ t% V
服务:Authentication Service ' `4 D/ d6 q+ k
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可; N7 S1 V/ O9 K
以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP5 a+ H7 a7 N% p& H
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接
- \' Q( H. b1 z# E8 D) Q2 N* V9 X请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接; N4 g% }2 u$ E* ^# u
。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 3 M, t! w6 V. ?2 l" L( ]+ g# [
端口:119 & T. E4 l I L2 i6 W* b2 T5 ?" @
服务:Network News Transfer Protocol
+ b4 n( l, Y6 ]说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服3 H- S3 ~8 L6 w6 y
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将
% I9 u' _ a9 ~1 E$ f ^允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 , O, K3 U; A' F& D5 t8 L. B7 M! F9 t
端口:135
3 e4 k: m' a/ `7 k. C$ y: {+ a4 |2 v服务:Location Service
, r. h( |) S* w9 l说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111. K7 Y+ ~3 }5 w( v5 C% n
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置! M- v5 r: o6 u0 V3 Y2 k* s2 \6 e4 L
。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算; Q/ @! M9 k) Q; M: j0 Q* d
机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击4 K4 b2 D# E4 t* c4 L0 A' c
直接针对这个端口。 0 W$ I- D" C( A% n
端口:137、138、139
; ?' x( z- @$ e, x2 w/ ^9 D$ i0 x服务:NETBIOS Name Service ' `+ f, j6 c6 e- z4 [. O
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
3 N$ P; a: N) d& p这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享; e: [( j0 M- l2 U/ ?
和SAMBA。还有WINS Regisrtation也用它。
8 \( u" w2 t, q+ F' G7 F F 端口:143 6 ~$ H9 H& l$ `' O9 ~* Q
服务:Interim Mail Access Protocol v2
7 q, D% L1 H) e8 z$ n9 y说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕' J3 w [7 c7 a- Z0 G
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
- E" f& d" b$ D6 I7 P+ w用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口" z1 ^7 f% t( T% q
还被用于 IMAP2,但并不流行。 " p4 ~: U: N) d2 E( z: U6 z
端口:161
8 B# O, q% \5 r, Z7 V' e" k服务:SNMP
4 e* c$ h0 `9 _" u, H$ e7 Q说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这+ I# O7 Z/ A7 _0 q+ s
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码5 N$ {6 Q, F% A+ _& _/ a
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用
; R9 J2 ]7 Y# P" X4 \$ a户的网络。 8 F. g/ _. s! |- S' S8 ]. q# w
端口:177
( V. N" |! q, c# G服务:X Display Manager Control Protocol
3 p1 O D7 L$ `) {# u说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 : V; d+ g) E* E9 ~! Q2 Y; r9 }5 S
6 S. q* u) Q/ }7 L3 E# Z 端口:389 8 J3 d/ b$ u6 W
服务:LDAP、ILS
. l' o2 N. M B0 c5 {说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
% A" V5 J u& {/ ~' s+ v1 s: B! ~+ N 端口:443 4 b' ^( N d% N9 _6 ~
服务:Https
8 s8 U/ f* ?/ v+ R' `说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。9 E- d7 j, v. Z+ t
端口:456
' o2 ~+ s ]3 Y* V; x服务:[NULL]
8 C2 \0 M; Z6 O1 S. v4 c) K) d _说明:木马HACKERS PARADISE开放此端口。
- J; R4 L3 u# O! B J 端口:513
6 x! H: Z' {, o0 l服务:Login,remote login 0 ?6 }7 h8 t- x% [
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
4 T" D4 A) H6 S进入他们的系统提供了信息。 . ~: U& d1 j; {
端口:544 0 M. R" Z2 x s m% S( ~
服务:[NULL]
6 L0 m- \2 Z/ P8 `! v+ S说明:kerberos kshell 3 o( i' ?0 _8 B T
端口:548
, Y# j1 e* Q: b服务:Macintosh,File Services(AFP/IP)
+ I; A! |. |0 q& L" P# b) o3 U说明:Macintosh,文件服务。 7 ^; Y) C1 z3 b" \2 }
端口:553 * b) _8 L( j: a! |6 _, c/ ^ l
服务:CORBA IIOP (UDP) : m6 \, H. b& W. {9 b" ~6 p; w
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
0 T9 J& G: t! h4 D/ k: {" f系统。入侵者可以利用这些信息进入系统。
?) u5 j- s" ^$ z0 p' @ 端口:555
0 h1 U; h6 _6 s) P3 T' o! B: g服务:DSF 0 b( _ U( ]* K; Y: ?+ R
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
$ R0 ]5 Z5 Y9 P( v8 W 端口:568
9 g; ~2 i, Y7 r% d5 g服务:Membership DPA * m+ D2 O6 L7 q
说明:成员资格 DPA。
. Q( |$ Z: F4 P% u( Y- c0 O 端口:569
3 A! ]8 a- a: f: {9 [- Q. A服务:Membership MSN 2 V. e3 X6 P. i; M U* T
说明:成员资格 MSN。 : R. U( H' K7 ^ L6 s H
端口:635 " V% L# ?0 G8 W2 A; X# R
服务:mountd
3 l( n5 U. z, G. V7 N7 ^说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
^5 q5 D5 P9 t, M4 k* \,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任3 }, ~3 F, A' R) t+ G
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就0 A8 N+ C, J$ |; e
像NFS通常运行于 2049端口。
( l) [/ M0 s d$ k, W9 O 端口:636
8 |+ P+ A1 }5 _7 J/ ]' O3 ^服务:LDAP 7 N1 D% }, k6 a
说明:SSL(Secure Sockets layer) 1 {6 Z7 o1 h8 H: U
端口:666 : T7 ]/ U. q: @* C. n( z) P
服务:Doom Id Software " r# S6 o1 _/ C+ Z1 G
说明:木马Attack FTP、Satanz Backdoor开放此端口
/ R; G) X5 S1 L$ U+ H 端口:993 % q; m5 B# c6 Q( P& C
服务:IMAP ! D% V/ R/ T' ~7 p
说明:SSL(Secure Sockets layer) 3 p5 v! M% }/ G! j* l
端口:1001、1011 5 u7 K4 A+ t/ C9 m5 }8 A5 B6 K* n
服务:[NULL] + I8 N/ R# v& W- v
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
2 G! }2 a9 P% U3 c- ]- h% \: F 端口:1024 ) y2 ^4 M. G/ m7 S9 w
服务:Reserved
( E" O) Y# z% n, T& h5 G说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
$ e8 L0 q! Y3 `; l. M分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的7 Q3 L* o* Y8 t' \1 @9 A+ l( E7 H
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看1 A, F- K7 R! p! v
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
- h) y) m% u! X7 F( ? 端口:1025、1033 + O+ j& Q- h. D
服务:1025:network blackjack 1033:[NULL] ; w3 d/ p2 ~" S* N8 x$ _
说明:木马netspy开放这2个端口。 6 n: E- V- c+ p' M9 G5 [
端口:1080 * t4 l: ~) B6 z5 K4 l
服务:SOCKS G& W' n4 U' j, [6 F
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET: Z" Z! A9 `8 }, s7 L, g: j
。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于 a6 q0 ~# w+ ~/ c: N* W' D, p F- K7 E
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
8 B# Z6 Y! u" Y3 j% ?2 s! ^种情 况。 ! t5 V2 a" l- T- @
端口:1170
* p* M0 }# b& j) ~. s2 w0 F1 n服务:[NULL] 6 d- U$ |/ h5 @) F4 a5 {9 {
说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。
3 I. z% k( f& D* u$ Z! n, M 端口:1234、1243、6711、6776 * q9 d' ~; B8 \: u" c" e& o
服务:[NULL]
, o/ H! \$ [1 m+ ~说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放
: W' Y3 ]! \4 C) P, G$ f1243、6711、6776端口。 " v- H/ X3 o5 G* a1 X; r: E
端口:1245 2 b% p* |3 W% a* c$ C
服务:[NULL]
2 X% s, p* q2 L2 P说明:木马Vodoo开放此端口。
. n: v3 Q- m6 b0 U+ @) M* E% p 端口:1433 4 A( E! a, M" J0 v* h; A( U V4 t
服务:SQL 4 d" r, F `! ]. G3 O
说明:Microsoft的SQL服务开放的端口。
( E; u' x. g8 V; O: ]4 ~% q) x 端口:1492
5 y0 P3 y$ q! a% Y% E7 k0 j! e服务:stone-design-1 ( p8 |$ p2 }4 K. z$ v" V4 p) K' q
说明:木马FTP99CMP开放此端口。 : P2 b% O$ {0 P' Q) u
端口:1500
( j* z) U( _: H$ j- _ j3 G" e) X服务:RPC client fixed port session queries j0 x/ r/ F$ {: s, J0 O) S, k
说明:RPC客户固定端口会话查询! K( G4 }- ~ ~) b ?& I
端口:1503 ) }$ {+ q5 p8 b: D& \! d1 \; V
服务:NetMeeting T.120 * p9 d2 p! V0 V& f* l
说明:NetMeeting T.1206 I. t& y" b! f1 y( r: f
端口:1524
' Z$ `1 _3 ~) E2 j+ G( `服务:ingress . K! j: G! {/ |# }$ Z
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC0 Y* Z) k6 u( K1 A
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
8 A. f k/ }" X: E3 Q) y。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到6 l! g; M+ y$ I7 w
600/pcserver也存在这个问题。
5 M- T+ b. n& `. h常见网络端口(补全)0 d5 K% p" N8 }
553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广5 ?( j' x- z$ k8 G/ I
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进
' ]3 L8 Y7 C. G/ }入系统。
/ k* A$ Z3 n/ G! F 600 Pcserver backdoor 请查看1524端口。 0 R4 ^* f4 c( M- g* i
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
' y' {- @5 ?5 a( RAlan J. Rosenthal.
+ y5 o/ J: p7 h4 X 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口7 ]( }/ b8 K* n/ B% K( w% O `
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
6 ^" k6 K5 c7 a8 Imountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
1 j) ^) j: l5 E% L, b认为635端口,就象NFS通常 运行于2049端口。) k4 _$ o; e2 m: F( X) @
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端7 ^7 @" v r* G5 D. n* G
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口
+ y) Y$ G! m4 V g3 T' K3 z1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这& G- V5 @: f0 g1 Q9 g
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到& F% l! I) A, h
Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变0 o- ~ D7 \' m& D6 B6 V' t+ I
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。7 x/ D' T6 |' p7 w) H& U, O
1025,1026 参见1024
) ^& w5 ?- q3 ^; |5 r, [8 O/ I8 v' L 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址
& p& H% `; K) D+ W$ j访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,4 f1 s1 p1 {5 q, S- D% ^
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于5 z: M9 W6 q) x
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
# H \' P' ~6 g% x) R$ v火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。 ^; E2 L6 P* T5 P) k( i$ \
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
1 t6 o* c8 W2 T; z, r# O* q* n- ]5 E( y9 v' v. g( p# W
1243 Sub-7木马(TCP)$ F5 w/ q: E' _; {# ?
1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针( K! `1 l' s7 F! ]* p% }& A. n+ q
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
, u' ~0 s1 S2 m3 T5 G4 Q @装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到 J" u. t3 w5 A/ M; V
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
& J3 \3 _ n ^0 @ [/ [题。3 o Q& q; z/ G8 B4 |" D
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪4 h! s1 O. p" H* s9 `2 P) ~ j
个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
% s' _7 O. A1 |, N! w* [5 _portmapper直接测试这个端口。0 I) y8 r! j/ _$ b, i' B4 \, [
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻+ ]% L K8 X% C7 T; \% Y9 Y4 ^
一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
: a2 \' T! f' V! h6 @) _8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服
. R5 h3 L% O5 y% V E务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
# R0 k+ U6 S* }9 o# i 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
$ h: o: u- ]0 l7 V. `7 t; `/ [pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)9 q& w! S: F( h5 l! @; `- M
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
6 B0 ^. }4 Z d; Z寻pcAnywere的扫描常包含端 口22的UDP数据包。! m# P# G- O6 @% @0 Z( ?; x
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如/ D- K; f/ z ]: Q% H& w/ j( Z& O
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一0 e3 F, [+ Z* p* q) ]( \
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
3 V M$ a% {5 o告这一端口的连接企图时,并不表示你已被Sub-7控制。)0 Z0 e' R: B0 F9 d2 i+ L# q
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
8 x/ f) K; r7 _9 {是由TCP7070端口外向控制连接设置的。
S8 S% l' K# f! Y. | 13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
+ S' \5 F7 A- {& a/ s* }的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应& S! V9 q, `- l8 ~
。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”3 ^. l3 L2 ^* J" y. H4 f8 [0 c" `) }
了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
6 Z4 s# U, G( b8 Y! w* P为其连接企图的前四个字节。
0 Z' S' @) S% a) g! R# }; m4 V 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent, ~+ O0 K' z! n7 d. V
"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
" ?; r! }) I9 M4 @& ~; j& T种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本: B. D. n& k$ X" e2 @
身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
7 `& U. f( I+ s {. ^, A" d机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;5 I+ A4 j5 j& `7 F0 ]
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts2 w: U& [' U, V2 M$ s- h* d
使用的Radiate是否也有这种现象); Y: l- l2 i" n! F/ l
27374 Sub-7木马(TCP)
C. v. I# l, l 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。: B: r' c+ l& a
31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法( B3 x) ^3 d' M3 p" U6 G3 o: L# a
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
* u! n, P- z7 c7 y: `$ z; i& Z有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来( R- I6 P$ G0 ]- b
越少,其它的木马程序越来越流行。4 J8 K1 H9 E( i
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
4 L, n; u( Q1 S4 n5 L7 i' kRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
+ v5 W2 d+ N O! U" \2 L317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
D% l$ x2 c; P5 a输连接), |( j9 ^6 n& T7 N/ j3 G7 j
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
; |( W+ b3 u+ P+ _- g! v& ISolaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
1 @: F6 e( X+ XHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了5 V& O1 a( G$ ~- i# C* A
寻找可被攻击的已知的 RPC服务。; y+ N' E7 U @4 Y( N l
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
" B- \$ V9 `% o9 j5 g# @)则可能是由于traceroute。2 J+ h. D) a$ \2 X5 h9 [+ p
ps:
/ U% p% h) p. i3 a; n# w其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
' r4 c6 w! {1 `$ }# Owindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出( ?4 q& i9 I F( G$ |" }* X
端口与进程的对应来。
* \8 k$ p5 q# _1 @2 ] |
|
发表于 2012-2-16 14:00:57
