电脑互动吧

 找回密码
 注册
查看: 6948|回复: 0

从0到33600端口详解

[复制链接]
发表于 2012-2-16 14:00:57 | 显示全部楼层 |阅读模式
从0到33600端口详解( y3 a, M- v( l! ?3 O
           在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL5 s/ \. T# [9 N) [9 m& n3 }
Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
  r0 a' b! F- \" i。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如
% f  y. U0 B$ F2 D用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的) }* _2 H1 z+ S9 [& X; \0 q3 R
端口。  
" v% o8 L: o4 U0 x  查看端口  4 ^7 H. G( G6 o  n7 L* |
  在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:
  w7 V  f% l, F$ B) t0 {  依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状. D6 r* ?5 H9 s/ n# ~$ R
态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端( y3 \9 Z; O# y7 t4 L0 B3 U
口号及状态。  
9 N! }9 e$ V+ W: h: x  关闭/开启端口
6 B  p. u8 ]2 @; m7 u   在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认+ m* H( ?7 o" d
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP  \3 C+ ]0 _: O
服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
0 I* r4 }* K! O0 W; b4 f可以通过下面的方 法来关闭/开启端口。  8 |1 p3 c: y2 W) n, t: E/ q9 f1 z+ \
  关闭端口. H* c; o$ I. }& W/ O/ u( _3 V
  比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
* i$ b" d" b; u) d6 A8 g,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple& N; q- M/ l- d1 R+ B
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动
: m3 ?& p5 c. c+ Q0 G类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关0 u( c; m! x8 a# M
闭了对应的端口。  
% k! s3 u% l) Z7 O! r8 W  开启端口
* T  C. s3 k8 ?# I; D' F) q' G  如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该  ^! V/ o( e0 ?) k& s. p
服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可) w$ c* M5 l( A4 X* _
8 P( _3 x% l0 n0 t8 n1 |
  提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开# K1 B9 j& \5 F$ C
启端口。# u* c. j) n5 j% O3 n
  端口分类  ( P. L5 j8 S+ i9 m
  逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:  1 a$ r9 s: g6 S! \" Q' R
  1. 按端口号分布划分  8 H- Q4 u8 @$ |$ i
  (1)知名端口(Well-Known Ports): ?# ~' z& Z( E  [- |& T
  知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
% i. I% _( j& D" I" J8 _+ o比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给$ e4 H9 _2 x: C& v- ?
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。* g" Y  b. G* V& D+ k$ `
  (2)动态端口(Dynamic Ports)
  ~2 U$ f6 D% d7 m) s   动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
/ R" N% N* [4 o# a多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以
/ i; X7 ]: O2 P; i& ]) P1 J从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的, ], G! {: n. H) o' S0 h
程序。在关闭程序进程后,就会释放所占用 的端口号。
9 c; s- x; J$ [' b: v( A  不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是6 V+ b2 T8 O% J& }
8011、Netspy 3.0是7306、YAI病毒是1024等等。
5 E  e6 @# p3 i  2. 按协议类型划分
3 c; N$ }3 |$ e. s2 ^& Q  按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下$ e( t) J$ g$ M. l. R7 U4 i  o
面主要介绍TCP和UDP端口:
: q5 P' K/ J* N! v$ ^" U( E. u% r  (1)TCP端口. T) F5 J/ x# i: o' B3 I
  TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可( f5 M3 _$ x9 J' J! k5 i
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以- ?. U& N& y3 t3 ^0 T
及HTTP服务的80端口等等。
- g/ ]: z: X$ x  (2)UDP端口5 a. h5 |# N- j% [7 L% x) Q
  UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到
5 z6 ^2 Q( {! N& I! P$ E2 c保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的) C0 l7 M1 C7 t+ A
8000和4000端口等等。
+ {8 Q  E; b5 N$ P. g/ B* V  常见网络端口' d; w8 A* e  u. X8 b8 E
  网络基础知识端口对照  9 S. J5 f& ~) Y0 @; s
  端口:0  / i2 j. r+ K0 G
服务:Reserved  
4 X; z3 Q' k2 o2 V$ ^2 i* S说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
  U. ]0 J+ d/ U# @1 `7 z你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
- J2 j: g3 T0 B' U7 K0.0.0.0,设置ACK位并在以太网层广播。  
) r0 n! T7 U, B8 }  端口:1  + n# l/ z; o- u) i0 ?
服务:tcpmux  % b7 T7 Y4 H: x& O2 |
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
+ J# W7 S, w, D9 Ptcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、5 V+ c4 U* e" ^
GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这# a2 T. h: W5 X  E! U% A
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。  
% q# d# [) U2 V' z; I6 _7 M  端口:7  4 Q, `# M7 k- W  @9 j$ P
服务:Echo  
7 ]  ^' w( g: p5 T说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。  
- I6 f# c9 h8 B3 N- n  {# I$ |  端口:19  5 ]  i1 i7 V' b- D  ~* K5 v& h
服务:Character Generator  
1 U8 E( q% Y" J- e/ B: _6 \说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。# w. Q" o5 S% l! ?1 Q( @2 A2 ^* E
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击  d( _1 I" \$ b$ B* c: Y
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
) v# k8 l, y2 W& N# M个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。  
# _1 W  f: x' \  端口:21  
0 g/ J& H; W) S( Z0 g& s服务:FTP  4 X! u0 ]# j+ f( w8 X! W1 s. ?3 e
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous7 R, a& j: d+ |2 W/ M  o0 ]: R, x5 h
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
, U) g  k8 H0 E/ b+ B! MFTP、WebEx、WinCrash和Blade Runner所开放的端口。    l$ F/ i" W. @. ^9 K" n# a" z
  端口:22  
6 z' T' f1 M. b服务:Ssh  
* j1 r6 D4 {& m说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,
% p1 u+ X: K; s0 F' g) I如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。  
, r/ d' N7 f  p. Q. I5 G  端口:23  8 F2 M( s6 u1 N: C. X" T: Y
服务:Telnet  
$ |0 U$ _; r( D$ o/ v! B说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
) b+ B, m$ o$ j  _0 D到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
& H  k$ q5 D3 x4 |2 v  uServer就开放这个端口。  : P& N. v, X. h5 {# ~9 m& c' w
  端口:25  * x  y4 G, T% Z
服务:SMTP    S) Q4 y* Y  y. u8 a! O% }$ P$ x6 H/ O
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的" a6 F. ^. W' |! y( X) O
SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递
4 p* C. M# E7 D9 T  {% ~到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth! p+ G3 Q" S, R6 u. K3 o0 E8 h; Q
、WinPC、WinSpy都开放这个端口。  
: Q& t0 p' j6 X  端口:31  
) K- k: e/ v( R+ E$ ?8 n服务:MSG Authentication  
/ h4 J- n- {# B2 e3 k: s说明:木马Master Paradise、HackersParadise开放此端口。  
/ X' R* y1 \7 u: \( p* G$ W2 D  端口:42  
7 G- |1 v1 e# W( T服务:WINS Replication  
* ?, U% ]9 W. w* S+ W说明:WINS复制  
) e  W7 M: i6 C% ?  端口:53  ( a, w+ f) g+ \/ y5 R2 |  `
服务:Domain Name Server(DNS)  6 e! k3 A- _: ?& M, i; y4 e0 G
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
  F; y; l) j  x3 z- y; x1 a' }* w. H或隐藏其他的通信。因此防火墙常常过滤或记录此端口。; x9 _+ u; l: k: [3 O8 I9 |
  端口:67  
" g9 X5 Q. A% l; Q3 [服务:Bootstrap Protocol Server  
  L( x9 H  T1 A: P说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据* j8 Z9 x. n7 N! {3 H  J9 N+ m
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局
8 `* ?+ B, ]$ Q8 ]8 A6 X部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器! g( W6 e5 r7 [' Q/ W
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。1 O0 v2 R# }$ F4 W
  端口:69  % @. o  P" k0 i1 j
服务:Trival File Transfer  ( q& p& I8 q5 z
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于7 o. @4 I4 {7 w, C1 |
错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。  $ a% N, u5 i: M! z9 X4 S" q
  端口:79  7 j0 p. b) ]$ M
服务:Finger Server  8 y+ H0 `1 o6 m
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己5 Q0 W9 `' }! P4 n
机器到其他机器Finger扫描。  # x+ @  s% `: s/ v2 U6 M$ J9 ^
  端口:80  
+ ]2 g3 p' Y2 n' z服务:HTTP  
9 ?1 O) E6 h3 B( s4 u说明:用于网页浏览。木马Executor开放此端口。  ! {% w2 V3 @' O2 f
  端口:99  
; t0 I: e* f, t, c服务:Metagram Relay  
0 K4 b, F4 f" L$ d说明:后门程序ncx99开放此端口。  ( M# b1 [" A% ?7 c8 z
  端口:102  
: W3 ?  R1 m; x1 o7 }服务:Message transfer agent(MTA)-X.400 overTCP/IP  
% J- j2 j0 ]* J4 E; k说明:消息传输代理。  
) J( _+ d4 ?5 c' F0 Q  端口:109  ; C7 K2 H3 @; T$ Y- h
服务:Post Office Protocol -Version3  3 o& \- l0 q8 Q8 V. \! C- E1 _
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
) p" q) k; V* @9 H$ Y: b* D5 ]5 ?有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
9 W: W$ R& A3 ]可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。  
( n) k( g6 J) A5 \) \/ f  端口:110  2 e' ?. Y  p- T  c
服务:SUN公司的RPC服务所有端口  4 _+ F9 S, v7 Z2 b0 }5 I
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等  / F% E7 z% M: t! ~6 N7 f
  端口:113  ( ~3 t/ `) i6 G4 U7 k
服务:Authentication Service  + [6 ^+ Y2 }6 O
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可/ V% P5 u8 |: V+ a$ S/ Z/ B; J! `
以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP8 ?. M' E0 k* f/ o
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接
8 ]; y* |* P- a! N1 |4 I请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接! E7 E" j; @" a" S7 G5 `
。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。  
9 ?2 r& C; t' N- u0 g8 w1 N6 `1 m7 ~  端口:119    I0 v9 g1 @* |+ ]
服务:Network News Transfer Protocol  
% G! P1 i8 R0 _, E9 S/ ~说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服: i0 G! y1 P; r1 m+ W# E8 T7 D3 m. D1 n
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将* M, j5 q0 j% q" w
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。  
3 [/ w3 `+ x: ~9 n: ~2 w  端口:135  
+ h7 ~' Y, H  t3 y5 o, w9 J服务:Location Service    \* C8 N$ O+ h' U2 N0 H2 ?: ~
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX1110 U5 S  b. S0 X- h
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
: ?6 s& o& [* H/ y8 ^。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
" _2 z8 _: a3 O; ?机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
+ ?7 ^4 p- ?6 R# D6 ?! n) ]+ u直接针对这个端口。  : N) m" e/ @8 c+ V! j8 u
  端口:137、138、139  ( k. \# h5 ]! z* O8 A+ _+ N2 L7 G
服务:NETBIOS Name Service  
' y1 U+ f+ G( e" r, C" J# G说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
- z% D% N0 d% X* Y: w0 Q这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享' G) D  F$ `- I3 H, z6 H) Y% {
和SAMBA。还有WINS Regisrtation也用它。  ' b/ b5 F9 {2 \! b- M8 \
  端口:143  
) T# {' i5 y4 {7 g9 u服务:Interim Mail Access Protocol v2  
) |  W) P1 \( g% k# I& v说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕' h4 V7 _8 j  d1 f
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
8 t0 p( C. r8 E- E+ `1 {( V9 J用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口5 ~8 a( x1 U& C0 B: N
还被用于 IMAP2,但并不流行。  
" z- Z5 O; `$ W$ a3 ~+ H  端口:161  
$ K$ N/ w" h& Y; \) X' G服务:SNMP  
: M& l; T* \% t# e# g8 @说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
9 z$ z5 {0 s: D" F些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码+ F7 ?. v! K! N$ G+ ~# O1 W& R9 x! ?  o
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用9 A" b( l: T1 Y/ m! U+ r; `
户的网络。  0 H$ S2 A7 o3 n! \  E
  端口:177  / J6 Q* Z5 ~( J3 Q0 p. T
服务:X Display Manager Control Protocol  ; X+ T( I  V, z7 D( _
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。  " P8 n8 j6 p5 k/ _2 V: V% a
5 O0 K  @# U6 A3 k0 i: X  F/ E
  端口:389  # m) I% x6 o/ G0 S  N
服务:LDAP、ILS  
3 P' I1 b) ], T+ C说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。  
! D, U3 Z  d, r- ^6 S) F  端口:443  3 m# p5 h& K8 H5 M
服务:Https  4 r% t. |5 Z* G( V4 T/ e
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。' O0 s% C3 x; I4 \: K
  端口:456  ; F5 ?) J# Z+ {; ^5 R
服务:[NULL]  1 C0 y+ J! m, X0 ?" Q" s& e" U0 ]
说明:木马HACKERS PARADISE开放此端口。  
) b) {4 H* r' y/ m; a' L- G7 `  端口:513  : n$ C7 g; z& H
服务:Login,remote login  # e- q% a' K+ \: f0 E& _
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者- w& z' O! z7 l2 b- c
进入他们的系统提供了信息。  7 g% t8 |5 j' J; H0 e7 C" Q
  端口:544  
! v7 F7 L7 E/ R" Z% e服务:[NULL]  4 F* D5 ]3 o# D! E
说明:kerberos kshell  - k' M3 T5 V( P' }& l+ d+ C
  端口:548  
! q2 t0 v/ }& H1 c! c9 c5 j% _服务:Macintosh,File Services(AFP/IP)  . W1 C6 _6 l4 Y' g0 {
说明:Macintosh,文件服务。  
$ K7 M- C4 T" m8 T) y5 ^  端口:553  
* }! I( Q% }) M6 \2 W2 o服务:CORBA IIOP (UDP)    A1 W+ K# w2 T( ?$ B$ v$ C
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC7 v: S. K0 h" z1 C$ T' x& a! g. N
系统。入侵者可以利用这些信息进入系统。  
8 m' H: [( U4 h' n  端口:555  $ W  c# u0 C: o  A5 X& N
服务:DSF  * c$ U/ Q, n, s$ O
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。  & |" A% i4 |( i: u
  端口:568  
3 Q4 a2 v8 D; w服务:Membership DPA  " ?: i3 q: S% a  R
说明:成员资格 DPA。  
6 _; @1 h* s' V5 g  H# _5 S  端口:569  3 d. B8 S1 r6 r% R7 e
服务:Membership MSN  ' c- {5 [) e, _7 D, V7 J! z
说明:成员资格 MSN。  + {, ^; r) V" _* g3 v1 A% e
  端口:635  
/ h8 n* s4 S: o服务:mountd  
6 ^) I! B0 e4 I1 h& {说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的8 `0 }/ P  \1 ?" ~$ n
,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
& d, o8 W) e2 {& a何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就
3 h3 t! a. Z2 v( T- s  T8 F- a像NFS通常运行于 2049端口。  6 r* ?0 C& b2 I! [) y
  端口:636  + d+ p7 E  Q/ S0 }, s
服务:LDAP  
! g  w6 v% ]4 e7 W说明:SSL(Secure Sockets layer)  " @. z# b/ b! n" H! G' K1 t/ w
  端口:666  ) ?; M/ f4 _2 g0 u9 R& b6 E
服务:Doom Id Software  
8 {1 z9 V6 y/ _* v7 z1 f. T说明:木马Attack FTP、Satanz Backdoor开放此端口  ; m3 }, }! _# w6 D
  端口:993  $ Z8 S6 m- n' W1 u2 _6 M
服务:IMAP  / y/ y8 L! L" I. W  @7 i
说明:SSL(Secure Sockets layer)  
0 c# ~) Q! q1 {  端口:1001、1011  
' \- w9 G% ~% }% E. o, a' G9 Z6 I' L2 k服务:[NULL]  & q& {8 I6 s8 {' d3 X
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。  0 g& z/ R3 e# d' {  \, |
  端口:1024  , m$ c- t* I3 {
服务:Reserved  9 D: w4 L+ v/ Y- U1 w9 `- I
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
! ]3 b& E% O* J9 U8 V分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
& E3 |6 R; f- {  S$ H会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看/ ~+ @# `+ o1 ^9 z3 F
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
1 z) ]/ X) a' {3 ~5 }  端口:1025、1033  
. S: Y$ k3 [' F% W4 W9 I服务:1025:network blackjack 1033:[NULL]  
3 f/ L2 B6 M2 t' J" g. f: [5 Q说明:木马netspy开放这2个端口。  
6 m! F* T8 b( Q0 h  端口:1080  
, ]9 U- G, T5 B  G  W6 o! c服务:SOCKS  + V, t9 P) C6 l& z
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET' H  o: o  A) g) H+ L) D
。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于
  T% N/ M3 i( r) k( y: N0 U防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
0 {, I& i* x2 l. R种情 况。  1 c7 g0 `3 g5 G
  端口:1170  
( q( c+ Z7 v. @0 f: u+ w服务:[NULL]  
5 `; a* F. q  L7 A说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。  
6 Z9 p' @7 I% ]4 k% \0 L) Q  端口:1234、1243、6711、6776  
6 n9 t9 [  [# ]6 P. z服务:[NULL]  # W9 J! _0 o8 E  W
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放; c$ _) L5 P! q6 s$ K
1243、6711、6776端口。  5 L7 N# p" a. D( ^
  端口:1245  
4 f3 r9 c0 U2 g3 }: a8 `服务:[NULL]  ' W2 O: ]5 Q# o* S
说明:木马Vodoo开放此端口。  % M7 I% w. g8 j2 l/ i- g
  端口:1433    i* m& U3 @7 a9 ?/ j. P+ V
服务:SQL  / A; R. B1 t+ q' j) I
说明:Microsoft的SQL服务开放的端口。  5 F& }0 t% J! _* s. p
  端口:1492  
4 I( t. }" w- t3 O/ H服务:stone-design-1  
4 R" o/ t" O# H1 }0 U说明:木马FTP99CMP开放此端口。  + e* @0 Q$ o- Y/ ~6 H4 S" H* R
  端口:1500  ' l: J# h2 ]3 w1 L& }
服务:RPC client fixed port session queries  
3 v8 B. I+ W) b/ z说明:RPC客户固定端口会话查询
% v8 S0 c2 Z3 O4 Z1 x  端口:1503  : K: j0 T9 `! w- c; [& u
服务:NetMeeting T.120  4 L4 p, @* W& t) @5 G7 F2 R! u
说明:NetMeeting T.1200 G# d8 i; r3 L, R  G
  端口:1524  
& P  b6 U) g1 m8 i; w$ d服务:ingress  
/ l0 p( Y) ^/ V* H; A说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC! M) C3 Q. k- E  E1 f9 W4 g
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
2 x' o, Y2 Z; H" o6 B0 ]6 v。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到3 Z' N% B/ `3 S& N* B, O6 A
600/pcserver也存在这个问题。
+ O/ D6 x% J3 c; J3 z常见网络端口(补全)9 y5 `- b% B1 ]$ A
  553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广
# K, Q4 S0 l" ^0 A( X播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进) k4 F: p7 I- V: B0 [2 K. _
入系统。& x/ P$ c+ i% v7 M3 o
  600 Pcserver backdoor 请查看1524端口。 1 K7 h$ [, {; w6 Z' J
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
, x( ]3 _& @; Z; WAlan J. Rosenthal.
! ~# Z8 J8 w' v" {" t+ P' R   635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口! _  q, s& m. {- [" q
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,6 j& F$ H1 p0 ]1 ?+ [
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
& i( j6 ]7 w# m, S9 d9 \+ Z- o认为635端口,就象NFS通常 运行于2049端口。
) U2 t# q  }! _7 R# q: p# h+ @# e  1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端3 p' F' v+ f4 t( o2 l+ H
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口$ o' ]" v0 u5 ?# y9 X: M" u
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
  q# Z  k& z3 j" g一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
: g, G6 {, P+ Q* hTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变
6 p9 U3 U/ @+ R7 H, ]5 b8 F大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。
5 n2 n2 l+ ?3 L" N9 k0 w" g7 w0 u6 o  1025,1026 参见1024" N+ F* p, O# D' g/ G0 ^
  1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址
; m' Q& E6 I: K7 P) b访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,
" l# q0 ]: f3 ?4 P) H  a# u; u5 M它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
4 ^9 Q0 ?/ G) k6 c( G: PInternet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防% }% i% y) z7 f
火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
3 f6 [/ b1 E" H7 A4 |- T* |  1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
8 p% E1 d/ s- f- {# Y3 m1 ?; z% o, [/ n! p' u
1243 Sub-7木马(TCP): ^5 s$ |" i: G, |" R7 F
   1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针  Z" u6 f; A  A
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
& I/ W7 G1 X- P7 L: B/ ~6 D; [+ j装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到7 M6 {" E9 p4 D4 ~- E
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
% H2 u; v, Z- n! ~! L1 ~, U题。* v$ ]( p3 r" Z
  2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
! i5 x& R6 X: n! V/ b0 k- X) P个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
' d8 F! j# Q8 W, q5 ]  x2 p0 w0 Sportmapper直接测试这个端口。
5 v6 n/ M. u4 H; n9 s& y# N   3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻3 n2 [# |  M! |, |, w1 [
一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
) |- ~5 m" ?3 Y8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服
" Z2 h2 X/ y7 E/ E务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
5 \$ U' X' x' U, A. c  5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开* y; J. I: j6 ~# {
pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)7 e% b) M, s: ]4 _0 E* J
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜) h' f9 J+ n/ Y/ y/ h; \9 u
寻pcAnywere的扫描常包含端 口22的UDP数据包。
% y8 P, r" g3 G  6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如
; ?: ~- T& |, ]  @4 L4 |当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一
/ S  Q4 P) `/ j' R. l; z- m人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
" G& O" o% i% Y1 ^2 k$ h0 d2 W: d告这一端口的连接企图时,并不表示你已被Sub-7控制。)
  S6 G# |; L9 O0 [7 ^/ X& U' q! m  6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
- b+ @. x( d/ T( P6 L是由TCP7070端口外向控制连接设置的。
4 S  X8 t6 ?8 [' s, Q- v' Z   13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
# x1 P5 F3 A5 Z" _$ m' D% F6 S: j" B  P的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应! @, e; q+ C% s4 f/ }# R
。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”: D9 b5 p8 r9 h3 \7 c+ g* h
了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
9 ?9 C* F! q9 \( K, k为其连接企图的前四个字节。
; |4 l: T7 g% S4 a" j2 V5 Q7 w  17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
2 y7 _% K5 {6 Y! \1 F"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一* ?  z5 o; T6 ?; ^1 f& L4 d6 `: Y
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本
# f6 Q' Q3 E( N4 U$ \身将会导致adbots持续在每秒内试图连接多次而导致连接过载: # v5 z( K8 o, H1 _
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;
/ e+ B) ~( p: Y' ~) j- M216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts! B" v9 O0 p2 D+ N! c6 Z% E
使用的Radiate是否也有这种现象)
+ D/ f. U: ~' l8 J  27374 Sub-7木马(TCP)* F/ C6 z" U$ v; m5 j! g* A
  30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。4 O4 g% U& J# g' w! V
   31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法4 S- L2 ^4 f% N2 \3 n" E3 R
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最( I. T: S' G4 i
有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
' ~4 o' s' q; b  `越少,其它的木马程序越来越流行。$ |8 `2 ~! T# a
  31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
& L2 t! }) c! K, C# E3 rRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
8 H0 J8 c9 w* s, M% @$ z/ t317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
) V) C9 G* @9 g1 d9 }( ~% ]输连接)
* f4 a5 G% i6 b- M  32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的1 k8 H& @+ d: _* ^' Z
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
, ~: E4 z8 V& e8 e" wHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
) E% Q% f( @% g+ L寻找可被攻击的已知的 RPC服务。
7 Y- p; `! o) ]- U. u" L  33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内2 X$ O) j" a# }) b; ^
)则可能是由于traceroute。
7 j* M- [# S/ h  K
aaaa.jpg
ps:
! v+ P3 y/ u( x  g. C其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为4 o: z, B6 r8 H1 l! m% t6 `2 X9 P& o
windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出
  ]# V& P5 S1 H5 c$ K. l端口与进程的对应来。
6 z4 d/ `* l! z; M' d2 Y( x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

联系我们|手机版|小黑屋|Archiver|电脑互动吧 ( 浙ICP备13037409号 )

浙公网安备 33032402001025号

GMT+8, 2025-7-8 16:32 , Processed in 0.103744 second(s), 23 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表