|
|
从0到33600端口详解
$ E6 M* c8 s& q" e) ~2 o 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL; N) r4 P, @6 V2 M4 `
Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等+ R- t- a. |) ]) l1 q9 ~! L
。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如
8 W/ C) v# @' r2 s9 I. {. j: b% j用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的6 _& l: d5 J. s! r. C
端口。
, i0 ]. N, M5 \% N 查看端口
& M# U3 M! [2 u8 B 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:5 Q$ |6 A7 y5 w f4 e
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
c1 [5 ~& p$ P态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端$ g7 s' D3 p5 B2 J7 t9 c
口号及状态。
4 E" Y. ^2 G, V8 \) W5 g5 w 关闭/开启端口8 d {$ g( r2 {0 ?* F
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认
1 x# W5 a, e; J. v( Y ?1 K% C: [3 L的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
' \2 Z' D8 {8 {4 \$ [, D2 Z @服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
G( J9 s# w d& ^ z# T可以通过下面的方 法来关闭/开启端口。 1 I$ D* J5 {, P* k
关闭端口" d* V9 i: p( u! C2 u
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
) [; D; \, T' b, g,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple8 I( y4 {6 G' I3 g: y; i$ q9 J4 p
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动
* ?/ ], E% y; h+ q$ Q8 R7 b类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关- q; a% E" J; h; ^1 I
闭了对应的端口。 * w8 a2 y: p# u. L" x
开启端口
3 A9 b9 l: p- A1 m 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该8 B) M9 j% m7 C$ T1 f q$ j, h
服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
7 w$ _* _) B' H! f6 |1 G。! J: A7 _+ y9 F, L7 [6 \4 B# ?$ d
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
! `6 ^2 W( r: _( ~, e启端口。* R8 R$ W* {+ O- @
端口分类 7 b# |, p/ B# v
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: ' c7 h9 S7 `* g4 [' i8 V
1. 按端口号分布划分
, w9 u8 R4 W. C) i7 y (1)知名端口(Well-Known Ports)3 q. L6 g5 ?) P. l g. l! J
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
: n" c- y6 L8 [( Z' ^比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给7 W; d. y. ]* A5 J3 J( s
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。5 F) d! Y4 o# P
(2)动态端口(Dynamic Ports)
& W3 h+ i- T' d5 ]# S. D( A 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许$ b2 o$ w) t' Z e! E) j! F4 [
多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以3 l; X) ^6 S! t$ B4 e3 }
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的 D5 ?9 u. h1 f! D4 X
程序。在关闭程序进程后,就会释放所占用 的端口号。+ L' t. j5 j Y
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
0 @9 i0 ^( e" L8011、Netspy 3.0是7306、YAI病毒是1024等等。
( g4 h, K0 F! y 2. 按协议类型划分( `$ s- o! q4 T3 ?! L! U
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下; E# z* e1 k) z5 `3 e
面主要介绍TCP和UDP端口:9 t8 n5 H4 B. c9 E0 L
(1)TCP端口& }8 ?9 V* r+ i0 W! G4 i
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可% M4 f" D2 h0 {0 U0 |7 M, y
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
' ^' r: [8 [! B及HTTP服务的80端口等等。
$ z$ R2 c5 m# L/ w (2)UDP端口
! z z2 m; M/ a. C3 \: B: w' W& a$ I UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到
5 D' M X# c4 _0 b' R3 d4 s8 s保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的( e2 j2 Z* ^% A3 {! s. x+ i; I7 D, _
8000和4000端口等等。" M+ U5 v7 k/ ^8 x7 X( M
常见网络端口8 b8 x, d0 {: S2 m% c
网络基础知识端口对照
8 G% ]! A& R- n2 t, i+ ? X 端口:0
; [/ d$ y9 S U; D& d/ T服务:Reserved 2 J( E* X1 p& i* T
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当; u: }$ k& @2 X
你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
2 ^; | Y. q! D. d, V+ U0.0.0.0,设置ACK位并在以太网层广播。 2 S/ y8 S4 O( _( E p( x B
端口:1 3 V) d( O6 `6 e( ]* y! \! t- |
服务:tcpmux
. m: L9 b2 B! r+ ^# x( [# Z说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
6 K; r; @# L" S7 Otcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
; B% J9 k& s4 X) I3 O, k+ w( U+ g4 _8 sGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这# c A# n, h: ^, }3 I
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。 . L. a. v1 I* K1 H5 e
端口:7 0 o7 Q2 m# w0 i8 ^- _2 ~
服务:Echo
0 p/ w% l2 C% E7 q! F5 C说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 : l% A. Y5 \1 d
端口:19 ( |9 ^. P$ P" t- o
服务:Character Generator
1 V/ y1 P; P$ _5 _3 S4 { C说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。/ F3 u$ g+ l. d& R8 R
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击1 m5 Y$ ^2 Y3 c: h$ p! n7 V
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
# [. @% X$ C" z! K. z6 m个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
; I: ~; C/ ]& v' C3 ~1 T 端口:21 % T3 p/ S ]5 I0 z# Y2 p
服务:FTP 5 f# R+ k% T+ i: e6 f) |
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous+ I( x9 A0 _; y2 G3 K
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible: W {# _. O, _* }
FTP、WebEx、WinCrash和Blade Runner所开放的端口。 ( u% L& f @# o. }7 p$ P
端口:22
# e2 m; B7 p4 v6 i+ S& H3 _2 D$ Z服务:Ssh
4 v* a' m' f8 E; V# o+ C说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,
O7 R+ Q# T8 |4 @. ]如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 , F" M% r" ]3 t. u: R( `
端口:23 ! s5 n" L% }' f# {5 {
服务:Telnet
: u# U( `( `6 c6 i6 F说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
1 p1 l/ a; ^7 x/ a到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
5 @/ g3 C+ F: N5 c/ y& CServer就开放这个端口。 % z+ o s$ R2 B# v
端口:25 7 {. I' q U7 v' s/ U; I; k
服务:SMTP
/ [' W D# O8 j0 V" _说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
4 Z) ~ ?3 {5 y. ~: F2 FSPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递
* ]0 n6 |( b1 T! ?& P+ V. I/ F到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
+ l9 c: H8 Z; K、WinPC、WinSpy都开放这个端口。
; {+ H7 T1 w/ H- n, G6 m) a6 s# U 端口:31 - u! c4 D+ h" X+ b; e! f7 H6 i6 Q
服务:MSG Authentication
" e9 u" j, D& y2 h) u4 p7 |2 c说明:木马Master Paradise、HackersParadise开放此端口。 ! Z) V6 J# z+ J! N
端口:42 4 I5 J6 ?3 n8 d; i0 s6 k
服务:WINS Replication % Z. t9 O' [: _3 f, O @) [' N
说明:WINS复制
$ [7 p: s2 d$ s 端口:53
% \- n4 f5 ]- @, _; w* J服务:Domain Name Server(DNS)
/ h. M& D: H: d说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
( y" o4 N$ d( @/ o3 N z" P或隐藏其他的通信。因此防火墙常常过滤或记录此端口。+ x6 B2 p1 N, Y
端口:67 * L# q1 B, q4 }2 c
服务:Bootstrap Protocol Server 5 ~! n$ J" ]1 Z V6 p
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据
, _& J6 f5 r. h( b。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局( O V ]; ~9 y6 {' z/ G
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器7 B1 W5 \- l$ x3 o. k8 r4 K/ a* U
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
5 V% Y8 p G* V 端口:69
/ V2 \0 r! G R1 \4 _+ n- {: x服务:Trival File Transfer
" B7 X& [# {% x0 f. E$ P说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于) m- l% M7 r; m) @" L! Z; W$ l
错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 5 g6 X5 ?$ K+ f# h5 ]
端口:79
' z3 I3 h4 p- I* D+ d* x8 y D6 |3 s服务:Finger Server % n% H' r* H0 c0 |7 |
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己$ e1 Z! \3 L+ p2 {
机器到其他机器Finger扫描。 5 B1 w6 S* C: Y
端口:80
1 J# h# U' N" q$ { R服务:HTTP $ k6 M" @! }9 E1 k% h$ d( o
说明:用于网页浏览。木马Executor开放此端口。 ( c9 l& Y: b( N
端口:99
- v6 K8 i8 p6 X% I. ?服务:Metagram Relay
3 c% J9 u* I0 Z& y/ G说明:后门程序ncx99开放此端口。
7 c; l: S; l( K5 b* ^& O 端口:102 ) E% P. p8 ~& Z3 m; [" x" G
服务:Message transfer agent(MTA)-X.400 overTCP/IP + z) l$ t( w: s$ P2 k
说明:消息传输代理。 5 W- E5 h, |/ ?6 x, R* V
端口:109
r) d' q0 z/ j i$ _# m- J! k, Z服务:Post Office Protocol -Version3
0 Q, a. U8 r- I0 w( C6 K说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
0 `" J# D9 W8 Y8 X C. O# @; V7 I6 K有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者! \* S( y0 o6 S. B W, ?0 R
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
/ j$ C) L* [7 j2 l 端口:110 1 y+ s( X8 `3 b
服务:SUN公司的RPC服务所有端口
" D+ M; N* q( F+ [: m* f1 a说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
2 S& a% x# J; E0 ^ 端口:113
3 |: ` e7 J0 _, i' o服务:Authentication Service
8 s$ g( r, k6 F; _" Q Z说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
, w+ l: z K; k5 V# i以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP
; g' [' q% w0 @# H1 B和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接$ Z' |/ w ^" D a4 W
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
: z# h$ p2 G, G- N) i。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 & t3 _4 d W( L
端口:119 3 M( }, W& R( a) ]' i) ?, u
服务:Network News Transfer Protocol
y( M4 w. ?4 |6 S1 D. e说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
+ D( Z- o# g. c务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将
1 B: Y9 y9 n( m0 x5 f" I! e" W允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
, D( N% _ ~3 ]2 S6 Q. P3 r% [ 端口:135 % H# L$ f3 y1 Z& k% r
服务:Location Service
; ~( V, g; O+ e$ _/ ^( }说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX1116 ?' k0 \! z8 v& T) o }3 V! H! G. g4 j
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置0 m! i% L4 _7 a
。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
/ I- k, N7 }' G9 }机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
2 q' R3 i9 f0 U0 r7 `直接针对这个端口。
; M6 H, W& M% s) V( g 端口:137、138、139
" d2 `3 v# e* Q r. x服务:NETBIOS Name Service $ T z, v4 _9 Q& ]. H
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
" c2 J; l) E" |! }" l% n7 |. a7 c Q这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享8 h( V0 ?# J& h8 {. P
和SAMBA。还有WINS Regisrtation也用它。 ! m; y& ~0 a, p5 Y) O- ~( v" i
端口:143 3 W( B+ a N% s$ q/ m/ P
服务:Interim Mail Access Protocol v2
! Y0 _, G" \& I c1 e说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕; E; U+ \: f6 u4 H5 C8 u; z& P
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的' n! \! w- E8 q8 s
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口: V9 c2 f. l% z: M6 h
还被用于 IMAP2,但并不流行。 4 \1 ^ n8 [( U: K
端口:161
1 |3 s& j/ ~ X% G( K& g. r服务:SNMP ( M5 f$ u H2 }. a( G7 Q% u
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
$ P2 C+ U; W$ U) _& i! Z些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码
$ o# n' X( \5 [ G) c( p! {5 rpublic、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用" _9 U+ v/ q' k( J4 P: m' X
户的网络。
- F0 C% Y/ l3 w W/ d8 R 端口:177
+ _+ @9 ]0 n1 h+ G/ w6 _4 w ]服务:X Display Manager Control Protocol
) k0 g0 C4 F) R' R说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 + @4 R: b) Y( a3 G
+ v+ i8 w. e5 C% N9 W3 B
端口:389 6 D* h* k) k- A: _6 f
服务:LDAP、ILS
3 ] f. v6 d6 x' h说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
. Q s8 E/ k- c4 K 端口:443 / b0 z# T# _& c
服务:Https
) `& j% v# n. T i( |说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
( c# o- `8 s, e 端口:456 % g; N! d) h; R* K
服务:[NULL]
7 F) T3 j- h `说明:木马HACKERS PARADISE开放此端口。
9 @0 w$ T7 O8 [& i @( \ 端口:513
, p! u4 U0 @" e( @& v4 \服务:Login,remote login ( A# e! e* `5 l0 F/ J. F$ O
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者$ v, [/ k6 N1 |1 P; e& [
进入他们的系统提供了信息。
1 e9 H* d" K9 n 端口:544 5 c2 ], V3 H' u7 C8 S7 A1 l* i5 O# n
服务:[NULL]
( `" F1 q8 n; h1 p8 v2 O* ~: t说明:kerberos kshell
. L8 Q G% K; e: q 端口:548
8 y" ^3 H% |- `" x) f服务:Macintosh,File Services(AFP/IP)
. H! z" m4 N m说明:Macintosh,文件服务。
3 U/ I, K- [5 J# ? q* j" e: p 端口:553 [1 t$ d# N! Y- ?" [; L
服务:CORBA IIOP (UDP)
1 F% x5 F% k* L$ c: b4 q7 X说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
9 b/ D* R6 m6 A* w7 b系统。入侵者可以利用这些信息进入系统。 ( ?, W2 k3 O% E: ]$ T
端口:555 ' f; V* r* e& w" s+ ^3 }0 \: I
服务:DSF # Q2 M8 c7 L; ~/ J3 q; a
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 . t" Q+ ^2 H+ d' n/ o: W7 @
端口:568 , U C7 z3 S1 G3 s9 x+ U, T' ^9 G' e
服务:Membership DPA , V3 H& s5 } H" v3 x
说明:成员资格 DPA。
! p5 K2 B* V: l; U- N5 Y 端口:569 ) f; d! `1 ]* r3 y$ ?8 m7 r
服务:Membership MSN
) }4 Z @2 L* y+ k说明:成员资格 MSN。
' C0 @( ]6 A" x 端口:635
# U( w: v7 C) @8 P4 `3 r服务:mountd 1 T9 q& e* {8 v
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
5 g$ a# q# P% O) J/ u; ~,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任1 a& {$ P1 C4 p
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就
$ _% T# M8 T% A# n像NFS通常运行于 2049端口。 4 }: `* ?; ?, b) h* Z+ ?. a
端口:636
' c D0 U _, Z. h5 h( k服务:LDAP
! v' c2 U. a) D& T9 O' Z( x5 J$ N说明:SSL(Secure Sockets layer) + @# C+ [) K3 M" j0 B# q n
端口:666 7 y" q# k, x) S+ V" D; n, Q( f
服务:Doom Id Software $ X. s/ d/ l) G0 z: `
说明:木马Attack FTP、Satanz Backdoor开放此端口 4 x2 v/ Y! ^) [' ~* f
端口:993 ( v6 t4 _% x J. T
服务:IMAP " @& r7 k! a6 s, f- \& o
说明:SSL(Secure Sockets layer) - I6 g4 |# |- j
端口:1001、1011 * B- y; w$ d6 ^1 }( W
服务:[NULL]
" ?& ^+ z2 t7 J说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 G% o; t6 Z" @4 _: x
端口:1024
/ L& e6 P& U) ]2 d( v服务:Reserved ; Z4 e! X" R+ X+ L0 I
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
5 e6 o R9 P' f: G% D) Y" S分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的* W. P/ `7 x' J
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看
! B& B5 Q3 m2 d" C到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。% ]! K: p: I5 a% W
端口:1025、1033
& x9 d2 L+ I( t. F服务:1025:network blackjack 1033:[NULL]
/ z& O* ~4 i1 X. X, x$ L+ ^说明:木马netspy开放这2个端口。 0 M) M4 X& C% V8 g
端口:1080
/ I! d7 _! m3 G6 C! ]服务:SOCKS " a0 S. t7 Z# A) W- U) h
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
: y2 R2 N/ s1 B8 C& B。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于- u2 f5 e: j% H9 f0 M$ ^- z( ^2 p
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这1 ?* d5 h& H% S A$ h% ^( Z0 f& U
种情 况。
7 [" {0 R$ F9 I- ^ 端口:1170 1 F: o! ]2 ?: i) Z
服务:[NULL] & b1 h% j$ C3 G. U4 t0 ]3 }
说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 . Z' I( f6 L$ u' C
端口:1234、1243、6711、6776
9 k$ r2 L& ~, K( _$ [4 I5 u服务:[NULL]
1 w S! Z7 o" f" F0 J' b2 `" L说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放
+ o" q/ W% R! Q. j( ^1243、6711、6776端口。 ; `6 J/ b' S/ x: R2 |0 z
端口:1245 ! h( ^% u% A' i3 D. S
服务:[NULL] 3 m6 d$ S7 Q9 @9 ^4 j
说明:木马Vodoo开放此端口。
* F1 t' U1 I; J2 K6 P 端口:1433
9 w0 S9 S" `0 G; k7 Q4 C服务:SQL 2 @8 ^# y+ M2 V2 d9 O+ N9 Y
说明:Microsoft的SQL服务开放的端口。
0 ~9 R1 |4 V7 D! ~ 端口:1492
9 `) E2 i9 N# ?% a ~) O服务:stone-design-1
3 C: @1 `- U) S/ p) O说明:木马FTP99CMP开放此端口。
, @% {' h6 s, o9 D: g" o3 p 端口:1500
$ m% B" r" U* M& @服务:RPC client fixed port session queries
* {/ l/ ^+ G. k: v0 B; ?, \说明:RPC客户固定端口会话查询
8 a: M0 a, E7 @: F. `% }+ I1 n2 E 端口:1503 , `: K3 \' h9 m P
服务:NetMeeting T.120 1 F7 r: d) S: Q% [
说明:NetMeeting T.120' s7 ` l) s {- ~: e: }
端口:1524
% s( H6 V$ h; \服务:ingress
# |+ k' X1 U4 k1 b9 P8 s# O说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC
2 H. I5 d6 U f服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
1 ?9 I" F+ Q5 C。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到# K8 v3 f; n* e8 k6 z
600/pcserver也存在这个问题。
[! Y" V( u% e% W ^9 Y& G1 m2 v; i$ \常见网络端口(补全)' r9 M" b$ A/ R; E: V
553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广
0 |- k4 C) d0 q& E% Q& r5 b播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进
! I6 }8 i$ {+ s% a- R入系统。% Q7 b, m1 Z3 Y" w( U, E
600 Pcserver backdoor 请查看1524端口。 0 o9 T, t! [) s7 f- T) d+ h
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--& c) a/ M) g4 B
Alan J. Rosenthal.
* c( R- c' _1 a5 ~/ |2 D: m 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口
1 e4 J. S9 @2 a4 S/ C( X的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,3 P" F3 K; r- @: H! W
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
- |3 g9 m) W3 X) y认为635端口,就象NFS通常 运行于2049端口。9 w( j/ L# | u* `! |5 N+ }2 i+ B6 }
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
2 ?) H: v; I4 @4 F4 ]口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口5 O |* t2 z6 n' |4 e( D( h2 Q+ m
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这+ R/ D" x7 s M
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
, V' ^! I: V+ K' tTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变0 B" ]7 W R& N) E3 T1 Z# ^+ I8 O
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。; M5 O- n. ^$ }& z( Y( A# A! D
1025,1026 参见1024
9 [: t2 o, D0 m. ~; i 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址4 h2 \0 u$ G/ {0 f1 } `) s$ ^
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,! ~+ x4 T8 k; ?
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于9 w2 y3 a l" `" Q1 {; L5 ]
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防) d; S2 O. L# I A6 k. O
火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
! b9 }% t% I! `+ y( L 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。8 v! P Y' V1 Q* o
6 q4 W0 W ~' q( ^& y
1243 Sub-7木马(TCP)0 e) u9 I6 o) r. w+ Z, p
1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针
1 |! ^0 E* y' r. V0 l, W; k" Y对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
: ~0 H8 N2 [1 a& O装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
! W) \; S& q' ~$ f! A你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问2 O) \2 r9 e0 ~* G; _# U% j2 a& j
题。
0 [0 c+ n$ R/ N9 R: V; \4 A 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪1 @4 Q3 M3 E5 B3 x
个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开* _6 W+ Q/ G( l/ ~
portmapper直接测试这个端口。1 L& X( `8 ]6 m- I! z
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
. [4 [2 c4 w, ?4 R( W% |一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
; i+ }6 k4 {+ S2 D8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服
" \% `2 z, x7 j3 e4 T务器本身)也会检验这个端口以确定用户的机器是 否支持代理。; h* D7 S$ R- y' D& {# f
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开# J) h/ x* |: L9 A
pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)3 i L6 m/ i. X% W2 x) X, s: S
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜 O8 @5 x2 r9 f* U8 n
寻pcAnywere的扫描常包含端 口22的UDP数据包。
1 J) r% T& Z7 n O 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如/ t3 o$ Z$ v, n& y# h h$ A' L( m1 |
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一- Q# ?, `. Z% U2 H
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
) Q6 N1 Z, r* ^" s告这一端口的连接企图时,并不表示你已被Sub-7控制。)" ^" W; s& H: \
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
+ r% I2 s/ `& {/ `9 H: ^; D& L5 F是由TCP7070端口外向控制连接设置的。
+ F, a. u1 }8 r" D7 U. w, a* e 13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
/ G) l' c2 ]9 ?, D1 o的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应. i0 N6 j5 T* L' d. r8 f2 N
。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
4 @9 t3 o! a7 n- i0 E了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
" c" p/ o" b# `为其连接企图的前四个字节。/ [& |6 G9 }: n$ x6 B! p
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
: b' E2 E9 s. s- }"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
* Q' F/ q- x+ P& {; u% R种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本
& |6 G, k8 K' Z c# W [: p! q身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
?6 k& d6 R9 G+ {4 C机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;, ^* G2 I7 t0 m% ?
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts
* U5 Q& F3 u+ l6 l, O( {使用的Radiate是否也有这种现象)7 u. w& [# o9 Q) j
27374 Sub-7木马(TCP)( |: h- {" w; p% i+ F
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
2 a. h1 o; l3 h' g6 T1 c 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法* N7 H. K& t; H& E
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
# O* x, V0 _0 J有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来. e0 q0 s, `4 v2 V1 h# c
越少,其它的木马程序越来越流行。
- `2 k2 D/ }- l( k; r 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
0 {7 [' y+ ^( d2 F5 _Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
1 ?2 t7 L8 \2 B/ \317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
* i) D* |, ? U- v, s输连接)4 u" c( H& D. Q& m7 S
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
+ X4 r5 n4 n. l4 P2 {/ t/ CSolaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
3 A* S! }. }% d5 T1 W$ |* \- i( rHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
# p/ {0 {( D: k寻找可被攻击的已知的 RPC服务。
" q( ^" O( U9 P1 ^ 33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内* M9 ?% O3 |! h0 ?% i
)则可能是由于traceroute。- V3 E5 |& |' ~& d2 K; |8 f
ps:
% u( w: k' b, l! e其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
# k# v7 P/ q$ a, Y; V; Mwindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出
, W4 b8 H0 ~3 N& }- n4 M; h* ^端口与进程的对应来。
4 k. J* u- k) K1 L9 h( U# b$ \: _ |
|
发表于 2012-2-16 14:00:57
