|
|
从0到33600端口详解
& I+ l# c: W/ f" S2 B' @ 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL {2 `+ z0 I, g6 t0 P, j0 z; Y
Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
) B* }2 l( L( Z$ S) z。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如" K& [ w- q- e
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的/ q; U1 x7 r8 |7 x$ G) Q) j
端口。
. {! O9 J- ]0 e) s0 z2 {) k 查看端口 r2 l) N+ }) O4 ?# \, z
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:
" X4 E$ C4 |6 J$ k- ^7 w7 Q 依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状, R; t7 H0 {+ x
态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
4 I$ p9 b6 r, u. `, X" [; T5 a% N# J口号及状态。 5 M' b; o4 h6 m+ @% U
关闭/开启端口
( B4 R3 _$ _% B2 m$ D) o 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认
, ?6 A3 X( S! _4 \9 s$ C1 |1 E, p9 M3 I的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP. J: @/ K: B5 [! b- f5 _
服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
- o: {/ \+ X _可以通过下面的方 法来关闭/开启端口。 - s# c2 `, R% I* q! p
关闭端口
* G. c8 ^& ^! A ? 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
" i% j) n' N/ n8 g8 k, M" R" Z,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
* w# B5 L4 t, ^& D+ NMail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动3 x* F. z, l, Y
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关
5 g5 G2 K$ p. S3 n4 n, T4 q闭了对应的端口。
( P7 C" J1 o7 N2 _. | 开启端口
4 t2 u- h9 N; _6 f2 l 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
& U* y3 w) f+ D' T服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
" i$ R4 F ?5 G# i7 V2 X。2 _0 M! o5 w7 E& Y% K) o7 Q
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
5 b6 i% g+ S" m b( e启端口。6 h7 L5 Q$ d8 M0 _$ \
端口分类 9 C5 y! C* I7 O6 k3 k7 Y p
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: . x6 u) S- }. Y, V1 Z( L E2 d' s' G
1. 按端口号分布划分
) K; m# x" t. b4 ? z; D (1)知名端口(Well-Known Ports)& b" b' L5 i2 o& X/ j. m% Y
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
. O% {$ j: X: H比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
I7 n2 _/ Z2 Y. ~HTTP服务,135端口分配给RPC(远程过程调用)服务等等。" I% L/ H x) T: e/ m- i
(2)动态端口(Dynamic Ports)
. x I: H6 Y; T; x- I 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许4 `3 ^, P( Q. t. s3 `( S
多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以9 C) H& Z$ g; m2 a% s5 {
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的
5 g# B/ r' F/ f& s程序。在关闭程序进程后,就会释放所占用 的端口号。3 ^/ S" }: `0 N& w
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
5 B* b1 g' j v7 r" s$ X8011、Netspy 3.0是7306、YAI病毒是1024等等。
; B" l* f8 a/ ]- c 2. 按协议类型划分- J0 S" C8 b& A2 u2 j4 P2 q. n" }
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下
X& X9 g: f: l1 Q, K- n( S; {0 E3 g面主要介绍TCP和UDP端口:
" r( z: Z0 p& _7 S5 N; I (1)TCP端口
* K& i6 @* _, D$ T) m TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可( l5 y5 v& e9 U9 O9 f) @" [# e
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以- D) _1 z- P9 O3 {" ~
及HTTP服务的80端口等等。
) p' w7 E/ J* {6 A (2)UDP端口
, Z- T$ a7 F( u! `& B/ P3 F UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到. @4 R% Q, S) z6 P
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的 ?7 i! u [$ @4 I5 {* q" H
8000和4000端口等等。! m& x$ V# k4 V' Y- e
常见网络端口/ d! G9 K( }) w I: {
网络基础知识端口对照
+ t& C, v' E/ v0 T, y0 ` 端口:0
( Y5 ]6 X, K5 s* d' V4 y _6 F服务:Reserved
2 s* w5 t# D2 |7 T4 r$ W说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当3 V9 E8 T0 e t4 W, ?
你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
- I8 r7 B5 ^7 q/ _1 R) v0.0.0.0,设置ACK位并在以太网层广播。 8 f) b; o& b# h J, s* t
端口:1
0 G+ e/ n( _# j' c$ d0 U0 `服务:tcpmux . h3 r9 M& r7 A& |/ f
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
0 F0 b3 @! I6 ztcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
- i5 [5 u( e4 P. qGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这# y* M: d' O6 F3 b# i
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
) J5 m9 {) `8 k8 _" \ 端口:7 9 I5 ]3 }# b) `2 A1 S
服务:Echo $ o* W9 ^& o* J8 [) [2 m
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
! a1 T j, F4 X' _% j- O 端口:19
. f" A* A9 F2 ?' _服务:Character Generator
/ q8 N& }' s3 N说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。
& f$ s- {4 J- rTCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击
7 K; i7 w) t6 k: L。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
% l- ]4 k' O8 Q3 n z个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
4 G0 ?8 z& z) @+ r1 U 端口:21
/ C+ o+ r6 s' {" K7 Q服务:FTP
: L$ D% \9 I: l/ ]1 F* P0 e" G说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
$ f/ O" _' I) Q8 e& M的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible9 n+ j) ]* t3 i' p p. @3 W
FTP、WebEx、WinCrash和Blade Runner所开放的端口。 3 b% |( W) M3 q
端口:22 9 b+ L# ]' h! ^2 ?. z2 W
服务:Ssh
" {% y+ `9 i% K5 l2 X1 P, e0 ?说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,
9 J( G b. `" J8 A4 ^如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 i& m2 [" Z: G: p2 K9 ?2 L$ _: T
端口:23
! p+ a J N2 F& {& O( L7 ~服务:Telnet 1 Y4 \" t9 @3 a) _
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找% \$ e! m) U) F, m& r, I1 y
到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
3 R" u4 ^. n; q) zServer就开放这个端口。
8 ~$ C: I0 \* \& H$ Q$ n2 _" T 端口:25 3 K# w- n" u9 B6 n% r1 |4 r5 m% A1 F
服务:SMTP # ^% i# [- ^ G7 q- Y/ B3 t
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
$ z; P, I- t) H8 K" ]SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递# C2 J7 m9 w& K& [: Z
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
4 q0 f+ i# R, _0 r# h- M4 \、WinPC、WinSpy都开放这个端口。 . y) W/ Q1 J# ~9 A* \" j
端口:31
- j! A4 z6 o; K: M6 c服务:MSG Authentication
( T9 g7 v8 E$ ?3 J* E) j5 s2 g% e说明:木马Master Paradise、HackersParadise开放此端口。
: n/ e( @0 |! t8 Q/ P 端口:42 3 ^3 X- w# _( l, k( [
服务:WINS Replication ! F8 z+ [6 D; B3 I8 r: d2 ^
说明:WINS复制 9 {/ f% x; c% y- k% E" D4 m% x
端口:53
9 r" `. s @, @* G5 w服务:Domain Name Server(DNS)
. U5 ?$ `% u$ I6 W说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
& H) E! {$ K/ o! O2 Y或隐藏其他的通信。因此防火墙常常过滤或记录此端口。2 I$ N7 f6 ~8 Q W; W. L
端口:67
, b" t. D/ ?5 j% W B服务:Bootstrap Protocol Server , x& Y5 t6 F _# h- g; C
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据/ U" w2 f9 |4 C2 p" h
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局
0 n# V2 B5 m: `) e- G% v( ?部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器
9 ?: v8 n/ @; L% n4 @向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。" A( c0 e2 f& }1 y
端口:69
& Z( m- y5 ^; l9 W5 S- j5 X服务:Trival File Transfer
5 J; I4 x3 Q$ x; N说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于/ P. ~& D0 F' B6 {4 }
错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
: a1 z4 @* _4 r5 b5 P 端口:79
1 K2 f. @7 f4 J1 U; A服务:Finger Server : W: |$ s+ N$ O
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己
0 r* X% H; d5 _& b3 x% B# {$ v2 t+ @8 D机器到其他机器Finger扫描。
. u% H9 H) V/ e4 r5 { 端口:80
0 v9 z4 X0 \* \, v- B4 x服务:HTTP
. Y/ R1 W# }8 ^6 k' B说明:用于网页浏览。木马Executor开放此端口。 * S+ n* i1 j1 d+ n |3 ~, J
端口:99
5 N9 i9 D. N5 B: q: f! x服务:Metagram Relay ( ~" X5 D7 Q' i
说明:后门程序ncx99开放此端口。 . C3 ~! x0 Y6 S! Z% b/ Q/ y0 m
端口:102 8 T7 w4 H! W7 v; p) L ?
服务:Message transfer agent(MTA)-X.400 overTCP/IP ; ~& c9 X L7 Q* I
说明:消息传输代理。
6 {& ^! p; Z9 A X$ w$ j/ x 端口:109
4 ^ Q, \3 _5 V2 T2 X) ?服务:Post Office Protocol -Version3 " p9 R' u2 v ]1 O
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
2 q5 \$ p* q2 P3 R, a7 f* o有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者5 q9 }6 L3 ^- ^& \ [$ v$ J C' o
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
3 a9 i/ `3 m: `$ e 端口:110
1 G! L |3 i3 u! f4 S; C( m; v4 e服务:SUN公司的RPC服务所有端口 2 g. q1 Y. X5 [ E( c- t/ ~* a
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
, v6 w7 o, l2 Y7 n- O8 p# M 端口:113 5 O7 f( T( @: v9 d1 L' N
服务:Authentication Service
( w$ z7 m2 @; B# ]! N, b0 Q说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
% b8 e" Y, \& B0 [以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP
/ m8 N$ I h' h n% [和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接; l- P8 e2 v; \
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
, f3 T1 \) s3 M2 Z4 a。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 2 R2 f4 h. v9 e9 j0 e; L' m! P+ b5 h8 Y
端口:119 # S7 G% x- x. R5 r
服务:Network News Transfer Protocol
$ h, g% c v) U9 S' J说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
+ f5 v$ f; u. Y/ [% w) |务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将# y Q+ H+ ]* d+ g7 n0 q0 n
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 " I7 V( n; y$ Y4 N: Y1 K) V0 E& q! k6 v
端口:135
% Y, U9 [. t6 B6 Y, B5 b服务:Location Service
: H6 v/ h/ m- W8 I$ U: G9 j' |1 C说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111 ^+ x* e5 k$ k$ i1 ]2 k4 V" R
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
! Z) A; F3 f; `, g。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算' L. F7 _$ K- T7 j) Y! `
机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击! O$ w+ U2 _8 g& V1 ?
直接针对这个端口。
2 q! o$ W( \, a1 x( q" P) G 端口:137、138、139 + c# y5 |- K& |
服务:NETBIOS Name Service
5 m+ O3 X: t6 _6 a+ _% H3 i说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
5 p9 s4 I% { V' ]5 P8 n1 n& j这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享" R) z& M" j3 E Y( }1 h* {
和SAMBA。还有WINS Regisrtation也用它。 `% e+ V1 u$ m" _8 I
端口:143
; F2 U; p) m: C V- g9 |服务:Interim Mail Access Protocol v2 " r" ~4 |' S, \3 g
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕8 X# r4 u+ F0 p
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的 Z4 k3 {' ^2 _- g7 s- m
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口0 g( z3 Y0 I+ i8 F/ l& y! G
还被用于 IMAP2,但并不流行。
* c4 v2 ]0 D$ z: \ J& } 端口:161 ) q0 P, u) X- E" {3 g$ d. U
服务:SNMP * P/ d, P8 O8 H; q! i7 B: e
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
* L, d( \# o7 k6 q) I/ T些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码( U; F) t B( W" z7 J
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用
6 b& C" ?1 e/ D& Y. \/ m户的网络。 " V: J3 i0 Z. B$ m- M
端口:177 7 @0 [. c9 g, k5 }8 V0 j
服务:X Display Manager Control Protocol
4 f/ L4 n" C$ M% l说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
; _# B4 K/ L5 [+ q/ g/ m$ A" Z s/ q# `# W
端口:389
( u4 }: z0 U, ~# Y& u( ~ E服务:LDAP、ILS : b. S' {( G6 T8 i$ z; a
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 6 k2 ~ e- V1 \9 Q- H9 r* `
端口:443 3 S7 T% W& W; j
服务:Https
2 x: Q1 q0 o9 d% |说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
& J# R, t" f |" {3 m) ^ 端口:456 8 Y) |/ p' _6 L+ f+ a$ {
服务:[NULL]
/ X4 P& N; h) ~2 q$ B1 W8 o- s说明:木马HACKERS PARADISE开放此端口。
- C- R; a; \# B 端口:513 4 b. Z6 d8 S" ^
服务:Login,remote login
# ^0 Q& B, m7 o8 d& n3 g说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
1 F1 T& @ k! w1 P$ b( u3 r进入他们的系统提供了信息。
8 k. p( S2 m: A, a! K, c% j! R5 U; { 端口:544 8 D+ w% j! ]) x* A
服务:[NULL]
+ |, B9 W+ l6 B$ f说明:kerberos kshell
! f, B* c$ z! r. ^& x& X 端口:548 % I/ l+ u0 I1 s2 X
服务:Macintosh,File Services(AFP/IP) 9 \3 [& a; |' a$ |( F# @" M1 k
说明:Macintosh,文件服务。 9 R1 Y- A2 a( y
端口:553 " g5 _/ ?& M% c
服务:CORBA IIOP (UDP) " r( L. J2 e* Z5 f/ B5 e! p" ]
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
4 y9 r3 ?4 d5 }4 D. J$ ~系统。入侵者可以利用这些信息进入系统。 6 R: J, `7 m2 j; M0 [7 w5 g
端口:555
+ A5 y$ X2 b# s" d服务:DSF
- F X6 v% z: t) r说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 / h h# t5 K+ J: r" f
端口:568 1 X, `7 c# M h9 ]; k$ R
服务:Membership DPA ' U& y; j9 @( a# o S# E G" g" I
说明:成员资格 DPA。
. I% d8 H. ^# Y1 D/ j* m5 d, W 端口:569
0 S' j* o/ M4 y& t( M) i服务:Membership MSN $ j* \8 O5 ^/ Z9 U6 c7 T
说明:成员资格 MSN。
: W' j P I, o7 M) e 端口:635
( c0 Y! ~) Z/ v$ L4 _9 s服务:mountd : ^7 I5 y- f) ?7 s3 `3 q
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的* o! Q! r% {0 X8 w# q7 [% z
,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任' u% X, B: `- L
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就
: J0 J* [& M5 G E- v, C }像NFS通常运行于 2049端口。
/ B8 S+ @( L( I# r6 u 端口:636 2 \5 f# Q8 _, ] f* u0 _
服务:LDAP 4 `. T2 |) }. `' H
说明:SSL(Secure Sockets layer) / W5 s7 r2 f: [. @1 D; I
端口:666 / W& l) o: o* l6 m7 d
服务:Doom Id Software
: t! [2 W6 W: r: T说明:木马Attack FTP、Satanz Backdoor开放此端口
" O5 F" g' K3 E7 \* D" ` 端口:993 / Z9 }! G7 V9 I3 G' K1 V6 w5 b5 f) O
服务:IMAP
' U1 r- A- u" ^# r说明:SSL(Secure Sockets layer)
! V/ u( G# Z7 l" }9 c 端口:1001、1011
9 b/ V3 y6 e+ i( [4 C. F, a/ E; V服务:[NULL]
/ W; |4 v$ E5 n* A说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 7 r! v* z1 J, K( A
端口:1024
: b. K P$ w6 b: z P1 D/ D! p服务:Reserved
7 C# b g) V6 i% S9 z说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
/ j3 u8 }; g1 b* D/ M3 h( H0 u/ h分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
) m9 E) S2 H0 W7 E {6 A% b会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看
3 ~( L, `( X+ O4 M" U6 X1 u, \, o到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。# f/ @6 U$ k. y! a, V
端口:1025、1033
5 v! B0 u2 U& U% s服务:1025:network blackjack 1033:[NULL] $ u/ G }, r( E+ }& v' c6 p
说明:木马netspy开放这2个端口。
5 V J5 W! \+ { 端口:1080
& Z$ V) V5 B0 ]: b0 N服务:SOCKS ) q5 i9 P# {* ?$ e" f! V0 L4 d
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
* j! [2 @0 U n: m0 F5 Q' ?" }。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于2 m% q, b" |" d' m7 P9 `1 q
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
' F( A; L! [% j种情 况。 1 F2 Y/ W; n. \/ W5 `
端口:1170
9 N$ f N- f) l服务:[NULL] : L* I* s: E$ a4 w* S# n( R
说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 ' r3 [0 c( j. Z8 h1 j; i" H" o
端口:1234、1243、6711、6776
& n0 r6 s: S: g2 ^3 a# b2 _服务:[NULL] 1 x: E" E2 L* u! X
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放( X5 Z5 r( M8 ~8 T7 }* }3 @
1243、6711、6776端口。 ) B0 X# o5 z/ @. H# |0 F$ m. ^
端口:1245 - i# L1 }# [& e+ G4 L7 b) ]$ R
服务:[NULL]
; i; E* n/ _& Y说明:木马Vodoo开放此端口。 2 ^$ u0 P* X9 I. i( V! u3 W) u! e2 Q
端口:1433 + Z& q5 n f3 J4 g6 O
服务:SQL
: o, `7 t& R$ B说明:Microsoft的SQL服务开放的端口。 3 y! Y! z+ c- k
端口:1492 3 b" V: x% D6 K' i# I& ?' `# k+ Q
服务:stone-design-1
% z: U+ k9 a: _0 |9 W说明:木马FTP99CMP开放此端口。
- ?/ `2 W0 M. P' I 端口:1500
0 c& J' l! K j服务:RPC client fixed port session queries * a' t* D& p6 f6 c( E
说明:RPC客户固定端口会话查询
- W& k6 i" N1 y: H% M8 T# @2 ` 端口:1503 ; T0 d' ^$ u3 q" J; @
服务:NetMeeting T.120
1 E7 v1 U* X& [& d1 p; m说明:NetMeeting T.120$ p( L5 {) m" S' |2 d! A. r& e
端口:1524 + e/ _3 v' q% j/ b3 Z
服务:ingress
, \+ Z' Q; b5 v3 p! |/ `说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC
2 K3 b4 }/ h9 \* b; V服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
" w# \ F& c& j# ~1 j。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
1 |1 p# }4 i! B. H9 ]600/pcserver也存在这个问题。 q0 Z3 k/ Z3 j* m- G5 q7 i3 p+ j5 [
常见网络端口(补全)6 Q3 r% v+ T5 Z0 K# Y% C7 v0 p- C
553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广" |& K( |2 m0 C$ D8 R) T: u
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进0 \8 L( {- O) j; Z; }0 M" M
入系统。8 b8 e8 d& Z% x; m% G
600 Pcserver backdoor 请查看1524端口。
' C Z* J% c! l. d8 n5 }一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--3 \( i i; A1 F
Alan J. Rosenthal.
3 I8 K0 S/ ^% h 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口' K8 D* W3 A0 r5 Q6 A* U
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
; ]) j2 y, ^; ymountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
4 y" c+ L* s, i# c; v7 Q, [认为635端口,就象NFS通常 运行于2049端口。
% @0 W# E2 T& R6 _( K7 ~ 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
6 ?2 u7 P! k( W6 ?- ~口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口6 c0 k, @5 @" w, E& V4 O2 X; j
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
: S3 E: T8 E/ g( g, N& t一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
4 Y3 E b8 L4 L" U% D; t3 `: OTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变; _* t5 d& G+ T* X$ N
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。* [& s9 A+ ^1 V, Y
1025,1026 参见1024
! `1 S$ p; t0 C9 Q 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址2 @% Z6 i4 Y# Z3 k; K
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,! R* s- s' ]3 d/ T r5 J
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于6 y5 L& |6 Y4 _: ~8 }
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防4 }% q; V5 ~$ W+ a4 H1 M; a. T
火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
+ d+ u+ U! ^5 A0 l5 r 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。! C- m' d* F/ e2 f/ z
* v9 C5 r" B9 U# p0 m, Y$ e, ^1243 Sub-7木马(TCP)
1 S6 G T' Q1 g8 {1 } 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针: n3 z M0 e |5 B; M0 r- k
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
" J3 R3 l0 [+ r n装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
- u# O2 \( u! x$ I* n3 y: R你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问8 _( k: j$ s: J* P+ O- m9 [
题。& ~' k5 @0 i& I7 ]+ i$ k2 v
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪5 }) B# ^1 c' R8 p! H2 x; q, M
个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开4 t# f: N- N4 I/ H
portmapper直接测试这个端口。
, T- t9 v3 n6 A4 L- v6 \3 P 3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
. l7 Y' `* o8 B% L6 {/ d) ?6 I一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:5 d0 l! M# `; X& _6 g% o
8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服. s5 {' a- s. |( g
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
: z4 Y! ]0 x7 s; r1 I7 o; ] 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
# [: |% b" h5 apcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)# G: l. P- Y9 n7 o0 `' E- s
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
' f8 R3 r2 m# f3 d5 R$ J寻pcAnywere的扫描常包含端 口22的UDP数据包。4 r+ m3 O: m, J4 z! W
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如: T$ ^, Q# {2 u& O! r
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一, W- _# _( @# Z6 d% y3 F! x
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
; V0 M( Q! V! J" F告这一端口的连接企图时,并不表示你已被Sub-7控制。). y0 m) D: Y7 [) X; [& A- ~2 ~
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这2 E$ T7 A# \) C/ A( Q& f9 M
是由TCP7070端口外向控制连接设置的。8 |" v* g" c/ Z: \: D4 u- f5 ~
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天! Q/ ], Q f, X2 J; s1 D
的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
. I- B7 q& {4 i, H$ O/ s) U。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”# h/ G/ E' E* A8 @4 ]/ n) t
了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作" d4 X0 ^# {2 N( d- j5 w+ b
为其连接企图的前四个字节。# A- h0 H. g8 i: ]7 {; {$ E2 O
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
. i& d9 q2 f, }"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一( I0 [) H6 t9 ^7 ~# u! N$ p. I& J
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本+ L! a5 M7 y5 ~9 b9 Z( U
身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
( D2 ^! e4 O8 S& h- ]; g机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;
! r& c# ]1 R; c216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts
/ c* k" A0 ]% N/ p使用的Radiate是否也有这种现象)
/ B. ~) Z& K9 N/ D2 R 27374 Sub-7木马(TCP)5 s2 {7 H: t. d# t3 A3 U
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
6 u8 v, W7 k9 X& T* c& e0 R0 X1 q 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法4 B) f3 F. K1 ]1 g3 o: z7 k
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
7 O P. ?: Z' U, W/ h, \0 g有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来' d" ^3 }% ` |( n& d
越少,其它的木马程序越来越流行。
5 n# B, L- Z s; Y 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
5 D8 }& C K) W. l$ h- T5 yRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
4 e3 Q5 f( ]5 u. @317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传; b% _0 d, c/ K1 l
输连接)& @0 G$ m7 F$ C0 B, o
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的( g9 k$ ~$ s: y6 c# |
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
. K. f1 Z3 y4 t0 mHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了9 ?3 i& e5 s3 U! W9 i7 Y+ M+ _4 x1 T1 {
寻找可被攻击的已知的 RPC服务。
+ {- l! |) c. ^$ [7 Y9 q 33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
0 o6 I5 b, W2 ^, i! r, Q)则可能是由于traceroute。! l( o5 l+ @' S4 I
ps:+ Z, W6 L# H) A
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
; Y8 U; O( Z0 ]windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出
c& @ w5 O; i- ]5 t端口与进程的对应来。% v) J/ o A( G5 k- x9 b7 K
|
|
发表于 2012-2-16 14:00:57
