|
|
从0到33600端口详解
9 e8 O2 M/ ]5 z 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL, c4 c. w0 h3 o& ^; ?; e) t
Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
/ s! E+ N$ g. L1 Y( \。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如% h: G. ] R' h) |. C
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的! S. k# {! u; @0 E- D
端口。 & P% C5 b% m0 t
查看端口
" g! n0 I; q& ?* U 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:# k) a h7 h) p' p( x5 J
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
/ k" d8 l* `" d. F& z9 `$ j9 @态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端' R" }6 Q! ]! G4 ~
口号及状态。
4 ]8 M) l# H9 Y! P' l+ B 关闭/开启端口
: W6 R+ H- W0 I$ M 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认
* m0 `! m. G* G1 k* J的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP+ D8 z0 [7 ?+ Y- T2 N8 ?
服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们) S- b3 {' p, |3 i8 Q7 I
可以通过下面的方 法来关闭/开启端口。 : |+ {. O# F6 v# D
关闭端口5 F. Y1 c: b2 L1 ]9 M. ?' F
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
6 }/ y1 H N9 q,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple1 U- k6 d2 O( j8 K& R0 W5 o
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动# j2 B! f. F* P& A! N6 Z
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关3 r- W8 Q; s# V- q6 B' l
闭了对应的端口。 # d9 B2 }2 C7 u& w5 P
开启端口
) K$ [) c8 x* T% ?7 n }1 j' Q 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
' V& B4 l! }) H' G+ h. D ~8 D服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
$ J+ r/ I( ?$ H$ V0 e' d5 k" w。. o. w5 F* \2 _* R& S- t1 w" Z
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开, p1 C5 N* y4 p# Y0 q" E
启端口。" t* D" [$ F1 t, X V, y% H% }' U
端口分类
2 M. ?2 b) {" B! i t; y T 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: 8 O; [/ A# x8 y
1. 按端口号分布划分 % g; M% G* e) O# E9 t) U8 B {8 P) a
(1)知名端口(Well-Known Ports)
6 Z, n$ ?' Q7 w( S5 ~$ J 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
7 \6 v4 Y3 T. o) o1 }4 L比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
/ x0 S. o5 H$ f; P H% ?6 W4 j, H* R* fHTTP服务,135端口分配给RPC(远程过程调用)服务等等。( t- U8 y' u2 x- @ F) @/ X+ W: {9 z
(2)动态端口(Dynamic Ports)/ D* X7 e: c7 v4 W8 k
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
. \9 h+ {7 y) ~5 m& A多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以
2 U2 X$ w6 d5 y Z7 q6 m从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的
: r" w2 A! q. L$ l7 ]程序。在关闭程序进程后,就会释放所占用 的端口号。
) z! o6 B3 r) f4 i' C3 { 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是7 U8 m3 P# {+ }" a# v( d( w
8011、Netspy 3.0是7306、YAI病毒是1024等等。
$ Z0 y) U3 i1 H( K/ n9 o0 H 2. 按协议类型划分' o+ x" F3 D5 b- h4 |
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下" b9 s' D* G, b( {8 }. b
面主要介绍TCP和UDP端口:# E$ n* v/ ~8 {0 s b' ~
(1)TCP端口
( b- W8 l6 T4 a3 p TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可2 f2 i1 b5 N. x
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
5 f+ K" |! p6 P7 U6 I" v及HTTP服务的80端口等等。) A' q+ v4 z- ?& _# i; A
(2)UDP端口
. U) }4 ]$ r6 E* q0 p- | UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到! L' q+ N& p" `+ k) v7 l. q9 Q, u
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
1 ]7 p; J( M9 T/ {8 S* N8000和4000端口等等。
; u7 d2 U8 @5 R+ B) E' u 常见网络端口
% w; w1 Z6 q1 A. [8 g m 网络基础知识端口对照 4 k! }1 h4 X1 v6 h( ?
端口:0 1 A8 C: x+ o1 ~, y
服务:Reserved ( k6 H1 z C9 z& Q* n
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当' _2 y. [7 `8 V4 }5 q% i2 x# T
你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为! e# T% ^ ^! f. o4 F9 w) I
0.0.0.0,设置ACK位并在以太网层广播。 * C3 S# m, W: k) B, K" F
端口:1
7 P" z" W- D+ l# z服务:tcpmux , F1 R$ n0 r% K# i+ f7 t8 j8 ?' S
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
& A; a, D) U; Ztcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、. _$ G; b5 `( V& D
GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这
8 U6 G! A/ S* e7 n些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。 : n. [) n' J4 ~' x" T
端口:7
% b% Q8 I+ `9 h+ \$ s服务:Echo # I/ n# R& n* |- `
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 8 m6 t) Y* P: ^9 ?, T) R
端口:19
$ W7 E* F8 D: q) V服务:Character Generator
0 @$ j. o! P6 S说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。
; D6 f6 Z4 y4 c: ZTCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击. b0 E' ]: r* A- o5 e
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
5 Q- U4 C( j( S, U( D0 o个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
* J* t6 q4 j: z) P; q u$ f: Z" b 端口:21
% o% X5 D: Y4 ]$ U服务:FTP
) o4 z, G; Y& D- C说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous F. F9 A$ ^$ b* M& ~- H* N
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
( p; N R3 q$ GFTP、WebEx、WinCrash和Blade Runner所开放的端口。
0 n* I* J4 x# s, D L% e 端口:22 - M% g& N) s$ G; i, b
服务:Ssh ( Y5 M$ y- V a( i- I
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点, O5 g3 g" r, [1 b/ u0 l
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
8 k4 i% j) L% p$ A ~ 端口:23 . N+ }. M Y- Z$ F. [
服务:Telnet 1 R6 I: O8 C* @* E4 r
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
- R+ w9 G- P# O7 K2 l t" c& U' h到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
) ~$ m+ O5 [: [* p& A3 Q7 [: ?Server就开放这个端口。 7 B8 j/ n- ?2 ]% [# ]
端口:25
5 y' Z( v7 @: Z2 u/ S8 Y* P- D* W' x服务:SMTP
. r, N6 D& V8 \* u说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的1 X+ L2 p% G, M! K2 J
SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递; D6 W8 D6 W6 T. b) X4 y
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
, W T2 ?) R7 D' Z+ T、WinPC、WinSpy都开放这个端口。
( e7 O6 w9 W- k8 U+ \8 |9 e 端口:31
# G7 z$ d& x2 V2 e服务:MSG Authentication
; f% W$ y/ b4 F z说明:木马Master Paradise、HackersParadise开放此端口。
1 E3 m# A7 d# M, n. M5 N 端口:42 # F2 j: y# M, w7 @- \& a4 r) h
服务:WINS Replication / e* M" x4 s, x/ |) J
说明:WINS复制
; u( w8 u" k9 O; `! z* Z) K 端口:53 p- z6 G$ ]. K: s) g6 O
服务:Domain Name Server(DNS) / W2 I- g- C" X" q/ H
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
6 @, P: l* A7 _或隐藏其他的通信。因此防火墙常常过滤或记录此端口。9 l$ j2 u5 E; y( O" o) o1 M
端口:67
! X5 m) S, v, v: `$ e; p* ?服务:Bootstrap Protocol Server . z5 y% a6 i% h. X. h1 X+ \6 b
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据/ q) q2 F" |# I/ D6 G. c& S6 L
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局
|+ }$ [4 e4 v部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器9 |' _% [! Z% O+ p" e
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。& V1 m9 }2 v* U* a) S
端口:69 O# ^6 w/ b/ v7 K7 s
服务:Trival File Transfer
0 t0 T% `8 X( w) O3 ]8 h& M. d* D说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于/ F: L! @/ w! ]
错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 & D) }# k5 Q2 v; B* k
端口:79 # m- ?0 {, ?7 r! C, B
服务:Finger Server 1 Y/ C8 M) _! H) u
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己! o6 i. ?7 L$ n7 P" d
机器到其他机器Finger扫描。 ( I4 X! b- I6 B( H2 M2 L6 Y- k
端口:80 ! O. E5 Y9 v2 U2 A8 A5 r
服务:HTTP ; K: m1 A9 S& o Q+ e" n. ~
说明:用于网页浏览。木马Executor开放此端口。 ) W. c* A! @. @2 G- J% u- e
端口:99 $ p& c( {! |4 Y, U
服务:Metagram Relay
4 Q: p2 o; p; U- |2 t+ u5 x/ {说明:后门程序ncx99开放此端口。
" p% S+ H$ T* C) ?; o; \- ~$ P0 P 端口:102 6 w' U( N! ?+ ]8 k9 B8 k/ M
服务:Message transfer agent(MTA)-X.400 overTCP/IP & g: {. h: J& d6 p
说明:消息传输代理。
0 U8 E, j* x/ B. V( j 端口:109 9 I1 ~1 e0 s1 H: k3 d
服务:Post Office Protocol -Version3
2 A' O9 h. `, B/ F说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务! S' [$ P) x6 a8 [
有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
+ X3 _; o* O3 n" q% V可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
1 |! ]. B' o% P6 X. T$ d 端口:110 ; N9 S7 g5 J% `; j7 b! U
服务:SUN公司的RPC服务所有端口 9 P7 Z/ b4 J0 g& G
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
0 F( I3 Y9 k, T& y8 Q* K 端口:113 2 z& s' ~- _1 z. x1 O9 Q' E7 f
服务:Authentication Service
; b- O2 y+ S8 P1 N2 v说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可" I0 V6 e1 ~' A) Z+ f
以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP1 }: Y# l# F* u4 e, [" U3 X/ y8 R
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接( L( G1 c, ?7 x2 w9 C1 M
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
! t( ~6 R, q* I+ ?7 V$ t。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 5 E8 q6 t" a U- L
端口:119
$ ~. X `; S; U4 Z5 } p- h# @服务:Network News Transfer Protocol
, l. m* K7 C' f6 s( ?5 w4 g* Z说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服7 ?1 e, S% K4 L$ `1 Z: ]
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将" d) m3 Q: J4 G9 \
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 % P, e( d* Y. i1 p! _% e
端口:135
) V4 v4 Y# L( @, J7 z. y# @3 Z& s: I服务:Location Service
7 ^& i! W6 S9 z" _! n说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
1 L% B* T( u7 K. a! p7 x& d端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
, d7 O9 h3 `3 }8 C O。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
$ N; U5 R+ C: M' `6 L/ r' N4 |9 s机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
) O, ?! r4 q9 s; T直接针对这个端口。
" Y, J4 b q8 O& E, {8 Z$ k1 } 端口:137、138、139 9 o6 r! x! U/ ~1 ]( N
服务:NETBIOS Name Service 0 l7 R( f% d- K* @* B
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
/ ^: N$ I' W: x这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
1 l7 m% W; q' T和SAMBA。还有WINS Regisrtation也用它。
) a+ T: M' [, t& s2 |0 z& H& c8 ^ 端口:143
7 d4 x9 Z1 U# r9 @服务:Interim Mail Access Protocol v2
7 q; _$ u' l; f( K( I5 R ]说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕7 L7 ?# w9 U- X' u
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
! K+ R" R; G5 a/ V用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
7 X, x2 |- l x/ d! N- k" d还被用于 IMAP2,但并不流行。
& j, I1 d6 ^; U, b 端口:161
* l6 J' b# ^* S. j服务:SNMP " ]$ ?; K3 H9 {0 W
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
9 t0 F5 l$ k) a些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码
; i0 R# l/ ~ o' Mpublic、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用
* n+ H$ Q+ K0 u, }" F+ A9 r户的网络。 0 k5 u' y- z: u1 W0 L: A
端口:177 1 D* j) ?& Z. |6 m9 J* Y
服务:X Display Manager Control Protocol 1 B7 J+ ? ?: u6 O; F. w$ X
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
/ H8 R- j% [: Q/ ^' L F1 G. F5 n# q: \' p4 o" X1 h9 `% J& Y$ p: t
端口:389
: D) I! Z- R$ @' v( m5 U服务:LDAP、ILS ! e) h6 f+ p7 q1 C0 C+ E$ k
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 2 q5 f# g$ l% n. L M
端口:443 $ L' I8 \3 J! o. `2 \( P4 ^
服务:Https - R6 `, T3 g- c
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。( K" z* ~/ Y" g
端口:456 + ?* L% y+ {$ e8 W6 h) N
服务:[NULL] 0 p. Z+ O6 n& R2 `9 `5 d
说明:木马HACKERS PARADISE开放此端口。 ' i' x! d5 G0 ], K
端口:513
* P" x* j. @8 q, ^% W9 C& G A服务:Login,remote login Q; D- f! i* |- v' G
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者) j1 b: k6 B( c/ c
进入他们的系统提供了信息。 & h. o. v6 ~7 D/ T0 O
端口:544 " F2 L. ^' f R& z
服务:[NULL] 2 D8 T2 g6 h5 x* v& c( u6 ^ _+ V4 i" M8 [
说明:kerberos kshell , a3 c) R- e) [6 u# K
端口:548 . I7 R4 [8 u; z k r" J
服务:Macintosh,File Services(AFP/IP) - J5 U/ L$ g! p
说明:Macintosh,文件服务。 , z# h$ d4 ~! I
端口:553 ' {/ C- [; l; c3 m; z
服务:CORBA IIOP (UDP)
- V8 w& c' m9 R说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC) a1 m) W+ H* m2 v) c1 h0 l7 R
系统。入侵者可以利用这些信息进入系统。
, m1 B: O2 u7 A: P( Z 端口:555
% l8 K! }- u0 q, C服务:DSF
7 z/ K' e, a% {# \说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 $ y1 k" ]5 W% K3 u$ L
端口:568
9 q' R; Y- C. P: E1 g服务:Membership DPA 4 Q* g9 ]$ {7 F" l+ Q
说明:成员资格 DPA。 - ^& ~( D7 f) s
端口:569
4 h9 j2 `8 D% {服务:Membership MSN
* a. Y+ b0 R3 S说明:成员资格 MSN。
3 Z8 p! \& N" V' e/ W! M( X; } 端口:635 . ]% G6 ]. E: I- w; ~
服务:mountd
* \' l$ K9 ^3 q t; L: j: Z7 V说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的" c( U! |' q1 e; G9 \, | h
,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
e( R; G6 U0 M$ Q' }0 z* R. P6 C何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就
: g# `/ {2 V6 o7 F S. h0 Q, t$ h2 M像NFS通常运行于 2049端口。
* H5 E3 ^8 g$ x ~3 | 端口:636
- b+ z& F( I) f1 M! R服务:LDAP
2 Z# [3 L) f3 Q0 h) j" ^说明:SSL(Secure Sockets layer)
+ Q; H* ^ f( B4 Z6 A/ ^3 V 端口:666
) [' q/ C8 I! n* Q* ~. h服务:Doom Id Software ) P( J( l2 p S
说明:木马Attack FTP、Satanz Backdoor开放此端口 ; n) H) j1 Z; Q
端口:993 / _/ S' H! f8 i
服务:IMAP
1 m( ?, k( @7 n) L0 a9 z说明:SSL(Secure Sockets layer)
. k5 W. `4 p4 F 端口:1001、1011
2 d- b/ N# {- x9 J8 U/ h) e服务:[NULL]
0 t; } u& \9 H% J$ p. @说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
& t5 E' B( x) K( @# c* f 端口:1024 : ~7 x- v9 h9 V; [' Z9 O/ |% e
服务:Reserved
0 S; [2 F& g4 G- Q$ A: T说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们* d& w% ^# E& w' b4 t
分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的/ ~7 S6 R* p Q
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看7 m: C. K) p! _8 {5 {
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
1 }8 ~$ _1 o7 j; m8 v; ^. l 端口:1025、1033
7 P! o- E/ m' Q8 t7 \服务:1025:network blackjack 1033:[NULL]
$ a5 z0 _/ U' G2 u: Q: T. S7 _8 u2 \说明:木马netspy开放这2个端口。 0 k1 r$ m( o: r7 ?0 }
端口:1080 " t3 t$ S) y9 i$ B
服务:SOCKS / g8 h& X+ g' @! d; I
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
' }$ [8 c: s6 ]# F( T+ W+ A) `。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于' u9 y, q7 G# ~ h' Y# ?$ q
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这6 W7 q! X7 h' G+ b
种情 况。
6 V" A9 y, i! x! `/ a 端口:1170
' r4 j1 w8 S0 h服务:[NULL] 9 @6 x- A$ c3 r
说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 . }. ` U( U2 ]/ k: E( f& F
端口:1234、1243、6711、6776 - H u! W8 u# l7 T- r& L% I/ ^
服务:[NULL] 7 r( w. m6 Z+ D* [# `
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放# b5 V6 L2 o8 C. J7 n: b1 w
1243、6711、6776端口。 3 t* C( j2 z" \
端口:1245 & ]2 z$ W2 s# b$ X3 v
服务:[NULL] ! N4 \9 z- V# l( ^
说明:木马Vodoo开放此端口。
& w% |' h* c( E2 Q" H: f$ V7 F, a) S 端口:1433
, }. L, W) ?! e* {服务:SQL 1 O* i2 ?( x" t R
说明:Microsoft的SQL服务开放的端口。 1 Q3 p3 E" [# A
端口:1492
+ }6 _, t& V+ [) y y+ k: _& u* Y服务:stone-design-1 - F' F# b7 p; @* P: U% K, L9 y
说明:木马FTP99CMP开放此端口。 ( _2 ~* p$ }2 G. M, I& a
端口:1500
. B7 @! j! E' ?9 b& v服务:RPC client fixed port session queries
- Q+ Y$ O4 D+ p- T( x8 F说明:RPC客户固定端口会话查询
( L& r8 z8 ^. v( m 端口:1503 $ C* }8 a9 @( @
服务:NetMeeting T.120 6 h% z& h9 a* F
说明:NetMeeting T.1207 G. E% A: l |3 q5 [0 h$ b9 `' x4 V
端口:1524
- @1 T" A6 z/ a: F. T/ [9 x, R/ a服务:ingress
$ a3 R) ]$ \0 X3 S; V8 g说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC) f, B! [( ?, t0 y0 y$ ]
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
, J+ G: u, s: O* V* _6 t/ C。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
; f2 ~2 K5 v7 f- `8 ]* U) t600/pcserver也存在这个问题。
y' L# ~/ ^ ^. ?! Z9 s5 N常见网络端口(补全)0 q7 p$ T9 E( N# G
553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广
( }3 ^& i) R% P8 w6 b播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进6 i4 ^ R6 j6 ?# ~2 c
入系统。0 g0 w% }6 a7 l2 C3 p
600 Pcserver backdoor 请查看1524端口。 , _0 V |: N! c, b$ m
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
9 d2 Q) u4 w" Z2 X* J& uAlan J. Rosenthal.
9 f! l5 F8 p" t+ S0 I 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口
7 U. v9 P2 H6 ]( y2 J的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
! c( V; r( m4 i% M& e: \# ~mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默/ k; b. \7 x+ i6 ^, H' d
认为635端口,就象NFS通常 运行于2049端口。' E# y7 y1 M* T: S3 p
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
( Q, f& [& o, X f. B( d1 ^口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口
9 v2 V4 J1 ~; T1 p% ?1 f1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这) P0 K! ^: K$ K' \ D; P
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
# K+ f+ k- d# D& I4 Y3 A0 D& y# mTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变
1 g1 g, P- g) y0 u* y4 X大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。
% X4 U7 M6 G0 ]4 A+ Z' r3 ? 1025,1026 参见1024, H% l, P, o: W# N5 ~' y
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址- z, q" [) A' s. m0 G9 `
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,* D4 j9 U& `9 |+ e& _
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于. _& E6 V8 M/ W6 s
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防' r. w! ~; o0 b
火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
2 j1 S# s U O0 {! y9 U 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
3 B8 g+ D7 |) N. o+ f
! {% Y8 F8 v0 M# u9 K& b0 C1243 Sub-7木马(TCP)6 d9 {% w: E9 t! H! N" |) L
1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针+ L& I0 }" Y6 J7 r) r+ P P
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安' I: k4 A! N7 d, P+ N
装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
/ t. |/ R4 _: W0 J9 U- B, g7 g你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
+ Q2 |. n4 w# ?5 s4 n题。' B+ B1 z0 x o/ E7 _
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
7 z7 d4 \2 G' @: Q7 t个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
, g" Z$ I$ q1 |) b) pportmapper直接测试这个端口。
8 C% x, I( z9 M 3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻8 ]3 V/ x9 ~4 A+ q8 C5 m% f
一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
( ~) ?% }( M8 O; p8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服
2 D, i1 {3 v# X- w+ E h务器本身)也会检验这个端口以确定用户的机器是 否支持代理。2 J3 Z( u* ?- Z. j7 ^/ V. V2 a
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
6 R/ v( z D% {7 C# {; |, NpcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
* Z/ a- x) X: Z: R。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
1 s1 _, _0 y/ k5 n寻pcAnywere的扫描常包含端 口22的UDP数据包。* F- X1 G) x, I( c! D k% N
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如
/ J2 @' U' H- i5 [当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一
/ _7 `- ?' m4 W" I人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
3 v* T# X9 n, E H2 v告这一端口的连接企图时,并不表示你已被Sub-7控制。)
# \6 v* ~* Z' I 6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这+ x s2 E3 b9 r
是由TCP7070端口外向控制连接设置的。2 A; d. ?6 r8 [- R _) [8 n
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
- h0 I$ l* ~* ^ e. s( S- J6 D$ z的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应6 p* G: t) X- c. x/ W$ c" F$ S3 f
。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
3 s) h6 |1 u6 {6 ]/ @1 [了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作5 o+ f9 X# w( I1 o7 M0 q- U
为其连接企图的前四个字节。
) A) i+ y: B, M' O$ B 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
/ `4 c) S2 k f"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
# n7 \- D5 F3 X3 n" P) h8 l& E! B. X种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本% z/ |- b0 |6 L/ ? i7 T: {
身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
5 P" Z, i9 J7 Q/ O/ a! ?机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;# f- o* j! i e- G1 \
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts9 i( Q1 f+ ]( I' ~
使用的Radiate是否也有这种现象)
& i7 P& X5 A$ t( \: L 27374 Sub-7木马(TCP)( y5 {# K1 v: V3 i
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
7 ]6 \ a x9 P8 r 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法
2 v# A4 f" f" n5 v语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最1 V3 E+ }, F* I2 H5 U
有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
5 t: S/ _ t b w越少,其它的木马程序越来越流行。' ]" S# D, Y z: J% v1 a
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
- r, b+ _) T0 p! |7 URemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到* v$ C; x; f* {" h/ Q
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
6 ~6 O# N# p8 F, t9 {( R8 a' O输连接)
9 J" ~+ \0 J0 C# r% j0 O9 e$ a+ r& q 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
' o4 D' W$ S, W) uSolaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许# B& L3 p( Z+ \- Z! [
Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
$ H G! V3 {, o' F7 T8 u( h. l寻找可被攻击的已知的 RPC服务。
$ S3 j, {. k5 I' U' o" L 33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
# T) j, f7 {3 x9 }% V)则可能是由于traceroute。: p# Z9 N$ u) O
ps:
' @6 M! d# m ]) P6 e其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为1 @- \' [: T; P& p9 R
windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出/ Z! `' b0 u: h6 _
端口与进程的对应来。
$ p: K4 A/ s0 [% H: b |
|
发表于 2012-2-16 14:00:57
