|
|
从0到33600端口详解
8 [' g8 T+ D1 H$ ? 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL& W" |. \ g9 L1 @9 r
Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
; U" D$ k# P% p! X( A0 i。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如
; }1 ^) @$ j" x9 K用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的
. g4 ^: L. v8 H: P/ e- V- _端口。
; q6 \( T- u: o" s1 f) } 查看端口
. N' O: a! a3 s8 c; v8 } 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:
3 c p" D8 P8 D: f) g4 Y F 依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状1 X- ]) m0 Q* Q+ t9 {% g+ Q
态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
; \6 t$ V A9 Q& k+ z2 r* u口号及状态。
; u. ^( ^& Q ~6 E M! ] 关闭/开启端口
. p$ _8 Y6 G3 t) H2 } 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认1 X1 e; Q% g. j" u
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
! i. o; \8 W( x, {7 U服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
' `# @, U" t. G m/ }# F可以通过下面的方 法来关闭/开启端口。 3 s; @. B: T4 y+ C, q3 P5 j0 C
关闭端口
$ P1 a9 }1 n I, E 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”& f& Z; b6 c3 ~/ N6 M
,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple5 j$ f1 T. {) a& w4 D) E
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动
6 E( L B4 x9 x类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关
) r* T/ h( D, b, t' q7 H闭了对应的端口。 ! X) x9 M- R6 O- z2 Z8 |
开启端口( R/ F# X, J3 ~1 e& `) t* E
如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
6 f0 o+ x2 A0 H9 X8 V$ T- Y服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可4 U. P* ?+ S$ A+ X; {0 ~+ X1 f4 b: B
。
0 n/ r0 J! y# s; T8 c 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
: s! \) G, k3 b+ S. C% Q* z启端口。+ S, o' Y, Z! v5 Y
端口分类 ) Q/ P4 w) Q+ f. s7 ?
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
* X$ u! j. w/ h: M, f8 L 1. 按端口号分布划分 6 V+ K, u+ T0 \9 n9 ~
(1)知名端口(Well-Known Ports)" V; j0 i- j; S0 Z( z6 [/ {, e
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。, H9 [3 P: F: p$ L5 [; G
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给3 n. t# z/ O: S* h" `4 \% Q
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。
0 I/ ^7 Z1 s) y* s" U) t z- q$ X (2)动态端口(Dynamic Ports)0 g0 v8 P5 m' q5 r) R/ J. A
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许% T) C. Q* ~# g. Q# N
多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以
6 S4 p8 x6 m" Z& l' V2 x从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的
$ \8 P+ n& u; V; w) P程序。在关闭程序进程后,就会释放所占用 的端口号。/ x! h4 W3 [: U/ j4 }1 Z
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
# f# t- p0 M+ g) a4 a6 x0 s8011、Netspy 3.0是7306、YAI病毒是1024等等。0 d# v. x' J6 L' i; |
2. 按协议类型划分
! ]" _1 A2 a/ q5 M 按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下5 q2 ^- k+ a2 Y/ c8 @9 _0 o
面主要介绍TCP和UDP端口:7 G. i/ ~, [' }
(1)TCP端口
) t0 d- U% m5 P' u3 P$ P8 C' ~ TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
6 e1 w; _+ h9 u( }( @. X靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
1 K0 K# m; T+ t$ b# L# x' X及HTTP服务的80端口等等。; ?$ N: x7 R$ L G3 w3 U
(2)UDP端口; l' |8 W' u( j$ W( a& p, R
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到
) N4 l" b; v% Y& m保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的% O, f/ t2 J+ {
8000和4000端口等等。
( Y" Y0 @3 d9 _ r4 o& w d1 c 常见网络端口
$ M+ i O1 N6 F7 k3 H! @' a 网络基础知识端口对照 9 W; ?8 h2 L- v( g
端口:0 T8 X- ~3 Q9 ?8 E8 W. `- _
服务:Reserved % o+ \7 b7 y- D$ P
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
. g! I0 n) O; L# D8 O1 s# t/ c你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
4 \8 I2 W1 M5 v0 C" s' n0.0.0.0,设置ACK位并在以太网层广播。 $ |: u2 k+ x: N/ u) S' V
端口:1
x6 s! Q, f ^' {( L服务:tcpmux 6 G" [' t. ]* g2 h( x
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
" _. y8 U' Y! c* l, rtcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
* L3 F4 {; y' VGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这& w+ d- L5 g3 H
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
1 ~0 M( P8 A& |: _6 G8 J& v4 C; f' n 端口:7
% t6 R, N- l3 p服务:Echo # l1 G7 _( V0 s" k$ J8 g
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
8 g& r K% C m6 ~/ w( ^ 端口:19 ) W2 J3 j) e/ z/ x! f% N
服务:Character Generator
/ ^! v, }! O2 W% r3 L8 J/ q u说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。6 w" v3 y' X1 k( ^( [: ~
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击
3 j5 B( Z, K* w8 g, s! w3 Y, x。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
! }7 r) I! q: D6 l% o ~个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
$ g5 j4 W$ l8 p$ l! x 端口:21 ) Y& N6 j9 `2 A: {- b
服务:FTP . M6 [5 k3 H/ {4 Z- I6 s
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous3 G: W, {9 y$ k$ E6 `/ t
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible0 o4 _8 T/ [, Q5 Z: ?1 _
FTP、WebEx、WinCrash和Blade Runner所开放的端口。
* S% B. R+ m! ?/ Y0 Q* B, D 端口:22 7 W4 B" d7 \0 F- X/ O8 c0 ?
服务:Ssh 4 W. f2 T; Z3 S) C& q
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,1 }$ P4 e4 ?! n8 q$ [) U# \
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 , V% E8 ^6 K- K; {. C7 Z
端口:23
7 Z8 L$ W. Q. q服务:Telnet
9 n* J4 N1 ]: U, F# \( f7 h3 ~说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
& C, G1 T; d, `9 M2 g4 Q# d. A到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
5 X$ _+ O8 P( T: VServer就开放这个端口。
: e. c7 I% g. b h/ y 端口:25 7 b9 A& g1 h3 z2 D8 p8 X
服务:SMTP ) F- _) `+ l. F, V. e- u( Z
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
Y5 ^/ f7 y6 B5 d! pSPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递
r( t( ^ N6 `6 [0 T, l到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth6 g. B/ G7 I2 k9 M* H
、WinPC、WinSpy都开放这个端口。 : w, p8 Y6 s3 z s
端口:31 1 a9 f/ p6 ?" ?
服务:MSG Authentication : u, |( o( |2 t3 ]" I' y
说明:木马Master Paradise、HackersParadise开放此端口。 + h- T" Y% H& a
端口:42
1 g' q9 W U+ E/ J2 `* q3 i服务:WINS Replication / P- v. G7 {, m5 G
说明:WINS复制 ; P* O+ W) n2 z: m2 q- X
端口:53 ' D4 h# y K" e3 B, t: U) Z
服务:Domain Name Server(DNS)
2 U: ]8 s5 Z+ z2 h( ~4 j说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
3 @ l: O1 k8 L4 p8 N或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
, j9 R# L; h, b* b( ]: }* Y, ?& I+ i 端口:67
' q; O3 x( y. R服务:Bootstrap Protocol Server ) W7 ~1 P* Y; H' b7 X- o% q2 B6 i
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据+ j" U! o) i+ V! P
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局
4 k1 k3 t- s0 J) [7 f Y# j部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器
, f0 Z& U' R$ h/ b向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。9 B# T. T9 L1 w( N2 I% h
端口:69
& l0 H+ q4 {7 r7 ?/ f服务:Trival File Transfer 6 h' x$ J& ]& ^9 o( |
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
' u( D: v6 J. v( p- `$ E错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
{4 D8 _1 D7 t( k5 m- m# Y 端口:79
8 n" N) \. N S3 F( z8 j服务:Finger Server
* A7 a) p9 C9 y" Z" \1 O* s说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己
& k. ]8 C! ?1 v机器到其他机器Finger扫描。
& U3 ~% o$ K( D) ]# X& d4 u 端口:80 , o- f, e1 Z# E5 l s" @
服务:HTTP $ Z; K6 Y4 C5 R3 x; k s+ K
说明:用于网页浏览。木马Executor开放此端口。 # q; Q' T/ y5 r$ M
端口:99 ' e x/ ?, H, s8 T
服务:Metagram Relay
M V. G' b# Y! D$ X说明:后门程序ncx99开放此端口。 % w8 {( h7 H" O7 [: v9 s8 j
端口:102
+ b( o6 K, x/ b服务:Message transfer agent(MTA)-X.400 overTCP/IP ! L3 D2 \9 J# W0 B4 R9 a+ p
说明:消息传输代理。
. y x3 T% R) _5 [5 m1 U* P8 X 端口:109 # B4 c) V0 U5 B* n; d
服务:Post Office Protocol -Version3 * f s9 U; a; D& ~) |+ e/ {& i9 m& S
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务( h0 N9 c( h2 W/ V% i
有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者% l* X# j! G* k: Y3 ?6 ]+ `' [& T
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
! T$ p9 \' g( W 端口:110 w% @* e# D9 v, k8 O
服务:SUN公司的RPC服务所有端口 4 N5 a( M0 S9 g$ C) Y( g( A E
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
& j, T2 h9 \. [2 i! s! V4 a 端口:113 ' e- }$ h1 v( A
服务:Authentication Service
. U" M. s3 _% k8 i说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可' \% z) Q* A6 E. I
以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP
' d* l; o8 P' f! q& w8 V. I和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接4 N6 k# a# e5 ~9 J+ O+ l
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
. C! c2 p& ^9 k6 t( L% f。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
% |: ?! v) P9 S 端口:119 " R1 F" z$ g/ f1 q; p! t: Z
服务:Network News Transfer Protocol
" y, ^ B% V# ]1 l# {4 Z说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
) E+ o1 N6 g6 }8 W! `务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将2 z! R8 C* w* X _2 R
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
- p7 q- A/ |& k) i, J7 {# Z7 J 端口:135 5 G u: q) L" _
服务:Location Service ! ~# Z" Q5 X. ^: s2 U& ?1 k' K5 L
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
! S( _' Q- C8 m' W6 u端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置: q6 x0 I5 r3 e9 a4 `1 }
。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
2 P3 C; l1 p4 G1 M( i9 o. w# F机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
' ?" o8 X1 ` A" I; F4 [7 n3 k7 a直接针对这个端口。 " O7 q4 u' X. p) e2 X$ {
端口:137、138、139 9 d" K% P" u( {+ n
服务:NETBIOS Name Service
8 H4 W# V5 T* o6 M8 H7 |& u说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
6 n/ m4 j+ ]' l9 D( m% F% ~这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享* i6 |1 Y, s- F* k
和SAMBA。还有WINS Regisrtation也用它。
# M" y% C- M' K8 x$ U( R 端口:143 " W( |; O9 y) |" R
服务:Interim Mail Access Protocol v2
, Q1 Z! V' K( J( ~说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕
$ r( }, y. c& i$ K5 e虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
6 h3 u9 d7 C7 d8 V O' B2 ^/ v! h' V用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
: Z! z- D }# @$ J还被用于 IMAP2,但并不流行。 H9 F& c ^& ?" Y1 q
端口:161 ) \9 t0 z9 y7 o$ Y! w
服务:SNMP
0 N$ \/ P0 `' F! M5 I说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这4 @2 a, T# z! t' \
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码6 h9 B' k8 h9 _: ^1 ?$ I- J( L
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用% D6 D6 P* z) Z y3 D
户的网络。
) [& S/ E4 J) G 端口:177
+ C! ?8 A9 E& g3 `1 B服务:X Display Manager Control Protocol
; v) c8 [( ]5 l5 x说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 ; G7 S( @) l$ D" O" k/ C& `
+ X7 b A! Q6 h8 ]3 E* P 端口:389 , Y7 Z. |$ y! _' p( R& T
服务:LDAP、ILS
8 N0 \: O7 y/ F说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
; G! n+ ]) s+ E' s 端口:443 5 k* t7 }* K; a* K
服务:Https
- e+ t, X) E1 g7 L( o; v( u说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
" A- ^" P' j( D5 }; P- V' U 端口:456 % l7 u1 Q; |% P0 |6 A4 |+ t
服务:[NULL]
9 ~6 l/ r: b0 }! h. _* u, D( N" Z说明:木马HACKERS PARADISE开放此端口。
& E7 }; E$ e1 Q. B4 H3 a 端口:513 ! i/ J1 U# S& l. N
服务:Login,remote login
' Y( M/ [' V' h$ T1 Q% T! ~说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者9 `: q. Y8 @9 B0 ?/ R+ u
进入他们的系统提供了信息。
" Y) D( p" L+ q6 v 端口:544 u9 M7 X! ?! h1 U
服务:[NULL]
! n* M& k- f4 W8 z, Y9 j6 R8 s说明:kerberos kshell ( C* w, y* e5 ^- M+ z+ m
端口:548
0 W6 h1 A( a- x% }; F* R; m服务:Macintosh,File Services(AFP/IP)
5 G2 d) x3 | z9 f说明:Macintosh,文件服务。 3 X1 n1 n8 h- _# F. ]2 c/ ?
端口:553 9 B0 K; I: N/ |
服务:CORBA IIOP (UDP) 0 d- Q7 D- ?& v* X7 k
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
. C; V1 d6 Z. r8 Y% O2 b4 l系统。入侵者可以利用这些信息进入系统。
( _6 q0 G" K, C$ A 端口:555
8 v! ^% s5 ?- d8 n$ P" Y服务:DSF
- b, s9 j% O# \3 y" A说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
) v5 _4 J: q) u( E3 W" n1 d( e+ N2 G 端口:568 1 R9 C+ F g# w7 {5 I( |
服务:Membership DPA - t0 \2 s0 I- O( R0 W
说明:成员资格 DPA。
7 Y; s7 q2 ?2 }1 b' b2 d7 M- u; f 端口:569
7 Z. u9 V$ Z$ r e6 M/ N1 m- \服务:Membership MSN # Y0 W' B: k9 J; R$ k; P
说明:成员资格 MSN。 ' V& F( u# R' G' C
端口:635 ) Q" W) Y4 _( D& W0 S3 g* T0 A
服务:mountd
3 G$ B$ O7 C; \- S, F3 I, h D ~说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的& G, T" W: V5 \3 e* Z0 A
,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
9 H( N7 s. J" _7 C q2 l何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就
+ u: Y( F9 V# z, l像NFS通常运行于 2049端口。
. f/ J1 G) {8 J2 e/ | 端口:636 0 @' y, K+ O9 i( ]* t
服务:LDAP
5 V3 v p) r$ Y4 E$ G说明:SSL(Secure Sockets layer) 3 l- ~& L; b5 S! Y* h; ~
端口:666
( v' ^0 E2 r, ]* G! L' V5 o服务:Doom Id Software
: a( O$ ]6 o. ]% l2 m2 t说明:木马Attack FTP、Satanz Backdoor开放此端口 7 I' H1 S/ t% A2 |" e9 |- F" Z, J9 `( U
端口:993
& Y4 N) @5 g' ~9 `; h服务:IMAP 6 v6 g8 [2 f2 s! W7 _
说明:SSL(Secure Sockets layer) 0 Y i% ]5 h! ~4 U: v
端口:1001、1011
9 E; ^1 s( F0 H" |0 T% Y) R+ T服务:[NULL] 1 n7 O/ z+ Y/ H7 d( j) [% w
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 / a7 f1 q8 m7 Y; M% ^4 Q; {
端口:1024 5 l2 N6 } z. y% r
服务:Reserved $ L( d5 p7 T' ~
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
! r) d2 J* Z* [0 u# y) P% I分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的5 ?8 \1 m1 E" D ?
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看
( | Z6 `3 o9 p; c, l, W到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
8 l, ]$ v- c3 O) h i! W 端口:1025、1033
9 ]1 J4 H$ t T, z% h" X服务:1025:network blackjack 1033:[NULL]
* D- L) Z* k) M$ |/ v) w说明:木马netspy开放这2个端口。
& r& y+ ^$ k' I7 v8 y" u' N 端口:1080 7 m( G* O, P% h: } B' O
服务:SOCKS 2 U% x+ C. x. w0 v# W
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET7 i5 G2 x- U4 i4 H8 o. |& d- P
。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于2 ?/ A. m* O6 d' N" o
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这0 q {; i. K y9 @0 L. O* Y: F1 T: X
种情 况。
0 ^- T4 p6 G& ~# U3 ~1 X/ {2 Z 端口:1170 # S; f* _$ n5 e( q' v4 k8 m
服务:[NULL] ' m# k! H" L. V2 Z5 u+ U5 q: X
说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 + W, m4 ~0 o1 v( _ a2 B) Z B
端口:1234、1243、6711、6776 ; d) o# ] G9 i8 r
服务:[NULL] 2 s9 D) I6 } r, D" u
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放& z: d. _$ Y _ ?& M) B) A& [! M
1243、6711、6776端口。 K9 o6 \8 E$ i' l6 {; M1 k
端口:1245
) Q% }2 v. G' c# T服务:[NULL]
8 k0 G) r% a+ K说明:木马Vodoo开放此端口。 # J+ \. ^$ O* n g+ ?) @6 {7 t2 Q% x
端口:1433
4 z' I- `4 O' ~服务:SQL ) }, G1 J8 V( K& c1 ^- N
说明:Microsoft的SQL服务开放的端口。 . R/ _4 |7 I" Y7 f$ E
端口:1492
! I: J# N4 T T% z6 ]5 Q* w服务:stone-design-1 ! S @! K2 b: i, t* Z
说明:木马FTP99CMP开放此端口。 * c8 S1 d; z* y* _# g
端口:1500 1 @5 P7 I7 @& H8 e" a; h: K" n$ B5 b1 z
服务:RPC client fixed port session queries ! X3 K0 `$ g/ o( b g4 T) {7 @
说明:RPC客户固定端口会话查询
% i, H! a7 a: j 端口:1503 : p/ c. a( B, \& i" P7 m
服务:NetMeeting T.120
8 T& o! E* D: J: g说明:NetMeeting T.120
9 l: _7 o2 j) Y& ^" C 端口:1524
5 k4 C3 F) N9 @% a' M1 X7 E服务:ingress
; e3 ]5 u' O1 d8 e9 X8 i说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC0 c( P" G0 D* _2 d
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
; j3 d* C g7 N7 r# x2 [+ D。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
9 h# p7 A$ a% p' @600/pcserver也存在这个问题。5 G. c5 ~* c: D4 b# i: G
常见网络端口(补全)5 M" b7 z0 E& O# m: Z
553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广
! S3 R( M1 ?; J% u* k& {播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进2 ]! P5 b% ]1 w* h% G' ?
入系统。! f- W2 T3 B1 p3 S- I# ^
600 Pcserver backdoor 请查看1524端口。
# l( M1 S9 f1 Y5 B一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--0 R2 d3 C c' S
Alan J. Rosenthal.
" o1 d- p8 h0 }+ f 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口
7 N6 G2 f0 e; f# R: x T- _! B的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
: U' M7 \# p. j3 i3 K8 emountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默4 N7 O6 [9 t+ M9 o9 N, e
认为635端口,就象NFS通常 运行于2049端口。
+ S a/ @1 h$ L& T2 {1 O 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端4 N) z/ b( D' W" X+ B
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口: Y1 ^/ x' [7 B+ }& S2 U" Y0 F* X
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这7 r, Z O3 }7 y9 [
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
e" }7 K+ c* \* X* c# uTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变; n; a7 I- n1 F1 O l' W) p
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。' V9 e* ^- H5 G; k% Q
1025,1026 参见1024) O5 @8 h% j6 t% V7 j) z! M- C/ I" b
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址
5 q2 t" {/ a. ~2 x$ `7 e2 D' R访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,
$ x/ v/ M) p! O: t6 [2 I d! p它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
! G7 o U5 R$ |! B) ]( YInternet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
1 e# z/ S- a4 x火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。 o" N" }8 o4 j
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
( W& o5 R( s/ r5 i4 ?. c5 M) \4 {- k$ d1 s
1243 Sub-7木马(TCP)
) g) \* V# p/ i5 c/ n 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针
* p$ u% L8 Y0 [* [- P对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
+ D1 D7 ~$ P8 ^4 V, O6 n9 S装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到7 \$ U3 h# s$ m+ K/ N( i9 \6 W$ i
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
. k6 J% u1 O; p6 a; a题。5 G7 R9 D9 a+ L- M) y/ F# V
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪' D, R& R' J- |% i. o
个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开 a: [2 Y# l% ^$ B3 R; _0 x
portmapper直接测试这个端口。1 t6 G6 R5 o' S
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
! v( Q! n! h# V# S一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:/ L* [( X- W4 m" i; U+ T
8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服
1 C0 d& X0 h6 `/ Q2 y3 g! K务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
" {: w) `1 m; r% L 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
' _) v* C3 u% N8 r+ Q( v; ?: |pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
, _6 N O+ _. z& x: h。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
! K/ R" x6 _" p. K7 h寻pcAnywere的扫描常包含端 口22的UDP数据包。
0 ], g' F& a, I. H 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如
/ Q$ y% h" I! p+ |9 S当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一
7 i. s- u# }4 G人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报) Z7 }( F) [( a$ \2 b; h
告这一端口的连接企图时,并不表示你已被Sub-7控制。)
/ n2 l. }" X8 d4 Q 6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
7 F8 W7 s2 Z9 N是由TCP7070端口外向控制连接设置的。
$ S; X" e7 V; S- Q2 O; J% Q, ~ 13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天% I0 k; L; _+ X6 e. ?) L
的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
8 Q% D" z' [( K7 d+ E/ p( k。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”9 V0 u+ y0 ?" n
了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
]. e, B3 @- Q2 |为其连接企图的前四个字节。2 l) x% W2 B+ F( h: P
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
: s* S- z! z" r5 e/ Z7 N Z- l% ?0 Z: A"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一! \" ?+ j7 y" @4 O. I& ?" o2 N: V5 l
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本! r8 y* V$ m/ r( h) V/ ?: ^
身将会导致adbots持续在每秒内试图连接多次而导致连接过载: ! U/ O/ d# Q6 S ]" |
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;
; x2 N- }' B9 P. E% v216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts
! O- D# D% v# n; r使用的Radiate是否也有这种现象); w' D3 _/ _! R$ `: _
27374 Sub-7木马(TCP)
, R: i0 Y4 d* L4 r. {4 _& G$ ~ 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。5 |6 L( f; m ^; S5 w
31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法. D( t& b; r! w; U, P& g" T$ a
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
# T6 q6 V" H; K5 I. B3 H/ Y有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
3 E4 U3 ?% e; z4 ?7 B. {越少,其它的木马程序越来越流行。8 ]+ o) U& I" R$ V/ r: K
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
w0 A" T Q( e2 l1 q" r; _" ZRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
2 T% D* g1 U- f317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传$ ], v; L# o2 R" x
输连接)
% I+ t9 L( \( Q7 \" p8 }; j 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
b" }! B3 P: _8 ?7 r$ XSolaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许2 F( ?+ M" a7 q1 V7 v8 |1 m
Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了6 N% h. H/ H) }/ n
寻找可被攻击的已知的 RPC服务。
0 b% l) @% ?" N) R1 g! {0 P 33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
* F7 Q! P9 T' c% U)则可能是由于traceroute。4 K1 z) f* z5 i, J
ps:
9 n: S' c0 n+ J其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
7 Y. L0 r: p+ n( }; [windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出
4 ^2 i- `# x/ z# N端口与进程的对应来。
6 n2 K! n6 ` d. _1 ^ |
|
发表于 2012-2-16 14:00:57
