|
|
从0到33600端口详解3 l0 a9 M5 y: [) s
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
" ^3 y* k3 F+ j( Y# FModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
) J+ O0 y/ _' a& S. o9 d7 x。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如
+ I3 |+ g1 f9 i3 h8 r7 ?# S用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的
8 e+ k/ T5 J" t+ G. N端口。 : D! v. Z0 |7 J4 L H/ o
查看端口
( @3 M9 j, O& _, X/ y) T; R 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:0 f6 N1 m9 k2 ~& c: [+ f3 N% {
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
$ h/ `& M6 `4 b1 Q: O态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
4 L7 K7 @- C. `2 n8 Y9 y; w口号及状态。 , |% g j( q5 `9 r! ~3 @
关闭/开启端口
9 p0 _" P- A. F q 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认
- q& i g3 ^' Z的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP: \, ]1 z, V1 O# t
服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们) D5 e5 n: |$ w Y! H5 h1 @
可以通过下面的方 法来关闭/开启端口。 ' q( {% j6 ]! T- E2 {
关闭端口
& X( _- r* W% i 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”7 J, r b5 m. X- C j
,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
6 x$ @) v- a: k. A7 y+ ^Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动4 l- z( E' \3 M, H8 Y D; S8 }) {
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关
" R) Q! J! J2 V闭了对应的端口。
, z. ?( n2 x* }- P 开启端口
9 D( b, u1 ^5 Z( b4 a, g 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
1 |% C8 |( N) G服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
& d! Z6 E5 f) Y& [8 _。2 i; x+ M& r' I" K- M, K8 T
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开- z# d: ~) Q! ^0 I# z3 ?, o/ C, |
启端口。9 g+ T1 E( W# Y$ }$ u2 M
端口分类 : O* T0 f6 Z1 i
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: ! T2 L& H6 A) T; X% i
1. 按端口号分布划分
$ d2 Z% {0 l5 Z) t- h, H& V (1)知名端口(Well-Known Ports)8 z, y( o9 Y2 @ N4 w* c
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
/ T6 I1 O! @$ P; o& ` J5 Z4 I比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给5 C& f% |$ C/ q! ?( g! z! X( _
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。( W, z1 F1 {4 a2 r7 `
(2)动态端口(Dynamic Ports)! s% [% J" C; K0 i! A! @( }
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许4 c0 d1 S- \; H6 S; s$ r1 Y! Z' m' d1 ^
多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以
% L8 H4 `9 [4 s1 G从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的
& W) j* e8 @! h* w3 W8 M程序。在关闭程序进程后,就会释放所占用 的端口号。' \$ i1 e) u( f8 A! |
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是; v( Y+ \& D: C- h* F7 ^' R' r
8011、Netspy 3.0是7306、YAI病毒是1024等等。
5 r: [3 C( `6 {+ j6 y, T" F; z 2. 按协议类型划分6 P7 y2 f; `$ }) E/ L9 _* y
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下: ~4 f7 }( @+ N% V& o5 q& y
面主要介绍TCP和UDP端口:
) y- T) C* i3 [6 e# S3 R% j (1)TCP端口
& h( r8 `" D' j TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可$ j2 T" K$ O4 v2 f6 F
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
& {7 K7 j2 W5 B9 n; v及HTTP服务的80端口等等。
: o: J# X7 M! A, U' o' ~" h8 ]7 W (2)UDP端口* D! K8 |2 ~* h9 p$ p3 ~
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到+ k4 L- u! u6 W8 u( v
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的' U( c P! Z7 Z5 q
8000和4000端口等等。
! L; l w3 n; U2 u7 p) t5 u7 a 常见网络端口
; ]- k9 J& b' [0 L4 |8 C 网络基础知识端口对照
6 E' h& [3 I h" F \' S9 v 端口:0 ; A7 R$ J3 P: m
服务:Reserved
. [6 [% _5 W- {, e4 W说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当% u$ u8 G7 v4 }: o
你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为; R* w X0 ^0 M& D- W9 L0 S% R
0.0.0.0,设置ACK位并在以太网层广播。
0 f/ g" s) p; n. h7 p% Q% F 端口:1 " b- L: Q1 p! x$ Z* }: ]8 n
服务:tcpmux
1 a/ Y) ~. O' i! d# w3 ^说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下# b$ X! S/ T3 r3 S# a3 v- w
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
# b3 }. h1 O9 |2 E% x% ~0 }: CGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这" U# H2 ~0 ^% D5 G3 ]
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
/ M' [" O, G% `5 I3 {* ~* c' y! G' p 端口:7
- H x: K( T; _1 [服务:Echo : {( d' O" D3 G% t; m
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
4 k' z5 v2 x, L 端口:19
; t0 a/ h* w+ ?& r9 k6 c服务:Character Generator
. A$ b/ e% i- k, e说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。
9 e. `! ?1 x* STCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击4 v6 k5 q" Z3 q7 U8 T3 K
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一" N; E$ U- C, L5 Y2 V# H
个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
+ I V7 O/ W% z& p# p. x 端口:21
) k! u" Z( `2 ?6 X- s1 q5 h服务:FTP 9 a! M! g: ~, H, d
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous' x% p! C- Q7 t
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
5 e8 Q4 C5 e: R3 I/ rFTP、WebEx、WinCrash和Blade Runner所开放的端口。 ' ?; W( n2 ?/ ^
端口:22 z. T. R+ a" |) Z
服务:Ssh % W) U5 d" n% }& h1 W8 r
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,8 W9 c! e5 F& Q2 L" k4 s7 l
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 0 W N" \7 `& u; ?
端口:23
1 _* i4 V- J3 Y$ l* `服务:Telnet U( |2 ?% ~ g, H2 d
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找$ q, j5 |, f9 ?/ X: {* [
到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
2 N4 ]& u7 [2 @0 b) H5 y9 mServer就开放这个端口。
x$ g; {" b4 Z- a" ~ 端口:25
/ O: U0 e# o @服务:SMTP
: N5 z$ R6 `6 w! M a1 y! _( }说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
* O) H6 v f- ] U: z* JSPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递
3 n C0 `6 q; S+ R J' ?. ~到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
, q% e/ S) K0 [. U、WinPC、WinSpy都开放这个端口。
* @& l' u5 L. `! n$ }) t 端口:31
9 Z5 U8 ^0 S$ k6 R服务:MSG Authentication * U& m$ w6 Q+ y
说明:木马Master Paradise、HackersParadise开放此端口。
/ {5 S. A6 w; i7 _5 u( c0 N 端口:42 : S9 {0 Y' \6 l, t
服务:WINS Replication ( y d. S# ^0 L/ I6 E5 S2 r
说明:WINS复制 3 T' [" u; h& d# W$ n6 m. y
端口:53
5 V% ?; d8 y. P* Z服务:Domain Name Server(DNS) 0 c$ o o: ]- B8 b- F* B$ y
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
! W# }0 `# F: s6 \; L: T' r( O! M或隐藏其他的通信。因此防火墙常常过滤或记录此端口。" d" J5 s1 g* W2 O6 {" Q
端口:67 + [( W' b$ Y/ R& F( p
服务:Bootstrap Protocol Server 6 ^' m* `# p) H0 o+ N& d
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据7 h4 Z- L( A) C. V. B
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局
+ J& O4 j! I- z8 h+ J) V" O5 [8 `部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器% v+ H$ Q. \$ c' Y
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。- @1 X- `4 F0 }3 L* p. F3 [. @
端口:69
% O, O t# r) F/ ^) j服务:Trival File Transfer
# ^# {9 {$ ^" z/ B$ d" x( G说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
! {& Y' x. H4 u2 z# `错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 0 ~; V6 ?/ c" s. ^& }( Q
端口:79 - _8 k4 b3 o' L! I' M1 D
服务:Finger Server
; E I. q; I5 k6 b* w0 U/ S说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己& e( d/ n. L4 Q) y
机器到其他机器Finger扫描。
C9 x; T( Y; H# x# N 端口:80
5 U3 N6 X3 l( D H" \! I- L9 }服务:HTTP 2 n+ T8 V. _9 M6 Q6 y0 r) y' M
说明:用于网页浏览。木马Executor开放此端口。 $ z. e. _/ Z: [: {
端口:99 ! X- q) m* @; q' K7 _
服务:Metagram Relay
. A# Y O( C# J% @% L; }8 i说明:后门程序ncx99开放此端口。 8 {9 u Z' W# y8 C- z& N) o5 ]$ ]; _
端口:102 + u }" k9 K! v. d; p
服务:Message transfer agent(MTA)-X.400 overTCP/IP
: o, m8 [% A# e' N; B1 ]/ o说明:消息传输代理。
) \( {! y; d' z 端口:109
* N2 ~' t+ T* { M服务:Post Office Protocol -Version3
/ z9 F$ \$ L# _! \- t说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
& p- u8 f; l1 W1 ]# S4 K有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者3 t* D* ^/ _2 L1 j. u9 l
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
( _1 \1 ]% n6 X5 I 端口:110 ; k1 B1 e' x4 O0 L
服务:SUN公司的RPC服务所有端口
! g8 ?! j r4 L+ M. z* o- Q! x说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
4 X% ~3 F' q2 a3 n- O; x" b! i8 x 端口:113
9 `4 k7 o0 W$ R% e5 ^服务:Authentication Service / @7 x* e; G; ]9 m1 |6 x0 z7 K" u/ v3 H
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
2 T1 `2 s6 v8 h, D以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP
: R r7 \8 G; x. |; c4 o+ p和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接
, [/ {8 k; ]0 L& P请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接7 o5 E6 e$ ?1 j/ _/ e3 E2 X8 t
。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
( [0 V* n: V5 y* t: Q! a9 e9 o 端口:119
- H5 [, z' `" { d服务:Network News Transfer Protocol 2 j- `) a8 z! {6 f6 _
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服" @& S# t/ f- R& V" B6 E6 V+ y
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将
$ `* t" g0 X2 E0 t4 y, T/ X允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 * `. d! W+ O/ [# A/ g# O }
端口:135 4 @% P! L% Y2 ~7 P2 p2 k" i
服务:Location Service
- X r _- [' O4 `2 i5 \; @说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
- t" _$ A! _) {& x# e5 [) n端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
/ A; n9 b: v( N) M& o! T。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
! i7 N4 o- F2 D: f- z e机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击8 N/ V" y' S8 M5 Z8 J) s
直接针对这个端口。 , q# {) P1 S* ?# a+ R" Q! F
端口:137、138、139 % N, _! ?* [6 j/ N% l
服务:NETBIOS Name Service : \3 ], k9 |0 y
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
0 U: L8 A! e( G这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
% ^5 F% H$ i4 B% ~! U* f$ C3 G和SAMBA。还有WINS Regisrtation也用它。 * y( m A9 w3 j5 t6 r: q9 ]5 U
端口:143
$ n, R+ ]3 l/ r2 ]服务:Interim Mail Access Protocol v2 ! m- w& D3 b- E+ \, ?
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕
, F7 U- ]- n$ l) l K虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
& r6 m, N0 n1 }+ g$ P/ U7 L用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
5 W j, r- C. Q! P还被用于 IMAP2,但并不流行。
2 ]6 a+ P. l% P8 i 端口:161
6 ~9 R( G6 h* g: `6 Z服务:SNMP
5 f; M8 G+ U1 Z' _. ~# U# |7 z说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这$ C4 W, x [0 N' x7 E# A- P H/ u
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码# S, t& W3 m0 M0 l, F
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用
; F/ n+ D5 U. A6 s' L) y户的网络。
# H# b; b. c1 c( @" a3 X5 |. t) W 端口:177 7 D" W l- l Y- |$ i! ~
服务:X Display Manager Control Protocol - A( U- n0 ?, I+ E% B% Z+ P h3 {
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 5 E* e4 z8 `2 L2 Z8 { m
& ~0 Q2 d$ d( D# z
端口:389 2 \, w8 t) } ?
服务:LDAP、ILS
% B D$ ]/ g$ Q/ ]+ T# W说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
n; @1 R- \( O {' i 端口:443
0 t1 B( c0 ~* Q8 D7 a服务:Https / [0 S/ \ {( S" A+ j& M
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
" ^! r4 Z0 Y, d7 w! z. N 端口:456 N: j7 G5 q$ T
服务:[NULL] ( c' J9 c- Q( p' l0 w# N' \, l" @
说明:木马HACKERS PARADISE开放此端口。 0 m7 c" V( ]6 U3 p) h
端口:513
+ A5 h1 @: P( d' B u服务:Login,remote login ) ~" G8 I r6 J6 y1 \
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
$ H- w+ s- Z, |) E* O1 b5 P进入他们的系统提供了信息。
( l" z5 n& d% [0 L& r( y. t- I$ ] 端口:544 , @" }% }/ X ], l% j% u
服务:[NULL] . X# a3 s" D7 g! q
说明:kerberos kshell + U0 Q! {8 H5 a3 O
端口:548 / A( N' M2 L; x6 e# L7 [: x
服务:Macintosh,File Services(AFP/IP) 9 r/ e% I, B( U% O6 l# |
说明:Macintosh,文件服务。
$ ^6 Q# ^4 E" \6 n 端口:553
$ g6 {* Q" g- x- v; N, ?服务:CORBA IIOP (UDP)
( ?6 |: B0 B }( O说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
. N8 m( j }3 J( G/ ]( X3 Q# }8 P系统。入侵者可以利用这些信息进入系统。
& T3 [& q# O7 k; a' `; G" v* x 端口:555 8 W4 {5 ?' ~- j/ v3 ~
服务:DSF
9 l0 a* T0 x1 @, E说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
; g% K2 |, X3 w% T/ E) j n 端口:568
' ^+ w) v/ u8 _- g& S3 S服务:Membership DPA ) t- k4 [% `' M+ d
说明:成员资格 DPA。 6 m ~' Z& ~' X. J4 \
端口:569 9 {4 }% ^/ [7 N9 k; T
服务:Membership MSN
. D* j( e& ]" n6 F; {' A说明:成员资格 MSN。
/ t( p" I4 H6 z/ [ 端口:635
, @' H; s9 i8 p" L+ Z( ^6 ]服务:mountd 9 c% j$ ?/ F' L/ `- E! V5 }; V9 I$ N
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
4 ?; s$ S, }, W& O- w/ Y6 W,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
( Q8 L1 `1 _7 [: G w" Q何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就( o1 m3 c+ }& L& I+ f5 i/ C4 G: p
像NFS通常运行于 2049端口。 2 n3 j) e# X3 _
端口:636 9 X6 w! [, F; d$ M6 j; G5 M
服务:LDAP ' K/ y/ G$ G: r# p- N, J, ?
说明:SSL(Secure Sockets layer)
, d7 O/ M( ?! O: s8 a 端口:666 # a' c3 D9 S- d( s5 S0 f8 t
服务:Doom Id Software 8 h% d8 L d7 z8 B4 x8 `
说明:木马Attack FTP、Satanz Backdoor开放此端口 * Y9 e. R4 c# r& J- w d! q3 h
端口:993 5 r, n4 l" h- n1 G
服务:IMAP / D1 i7 K" Z9 u! p7 |
说明:SSL(Secure Sockets layer)
1 ^0 x h* T- F9 A4 k 端口:1001、1011
5 }8 k( r/ B, K$ g- k服务:[NULL] 2 v- {* n7 q) \" P2 i6 B! z
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 % V- G( t- X! Z/ T( U+ ^- B
端口:1024 - O& v6 B7 b5 W* [
服务:Reserved 7 p7 e f6 j& a% n. F% e* n* |
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们. V! u6 Q& q( I. r# Y, [
分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的0 t% U Y- k) q9 N
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看5 F3 ^3 h: N, R; Z. p" r
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
+ J6 b: N" a9 h2 C; c0 s& w: n( |; P 端口:1025、1033
" q$ V6 Z% T2 R# b) a4 n; ?' W服务:1025:network blackjack 1033:[NULL]
9 l5 p" h2 b3 ^$ {! b1 _# g$ h说明:木马netspy开放这2个端口。
) C: S: O) K2 H) d5 q7 ~9 k& O 端口:1080 ( e3 x/ T% l& N { |* b
服务:SOCKS ( @/ g5 g5 f0 e* J* e+ N
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
0 Y+ D i9 k/ G* }- r" _。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于2 |% ?1 |5 b8 ^/ H: w6 e
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
+ O. `1 u% c4 a6 A- A种情 况。 8 M; @# h! f/ j# F' n. {
端口:1170 ) X+ N) [) c! @ E3 N, D6 T
服务:[NULL]
( O* \, M L- i0 t% Y$ j4 E. ?说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。
5 K" a3 ?* p% G- t _2 | 端口:1234、1243、6711、6776 $ R/ B$ Z' W; V
服务:[NULL] 8 g$ {: x0 n7 E0 e5 a# v" u
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放* e6 `/ [1 t, |) b9 z4 |2 [
1243、6711、6776端口。 * h& m( T# t2 H. U$ M& x7 p
端口:1245
* ~1 O% i0 n1 m$ h9 W3 A+ Y服务:[NULL]
5 t5 C" Z ~2 D! `; E说明:木马Vodoo开放此端口。 2 f8 t/ Y1 n9 L7 R5 K* t4 T
端口:1433
% j1 e: B+ M: M e0 E! J8 n0 X服务:SQL ) q' v. T' f! B% u6 q* H
说明:Microsoft的SQL服务开放的端口。 2 y9 ]9 J; v) {2 h4 L
端口:1492 $ u9 S5 [# s. V, f. V
服务:stone-design-1
3 u' b" J; p5 P! W3 E h3 N& `/ i* ~说明:木马FTP99CMP开放此端口。 5 Y8 f$ J7 V2 Z( w l
端口:1500
3 ]6 V S1 ^% l. J5 k服务:RPC client fixed port session queries
# i$ u ^/ O$ K l1 t/ P说明:RPC客户固定端口会话查询3 R8 U+ `' c( k3 O
端口:1503
8 M7 x/ R/ l# v! Y7 E' R服务:NetMeeting T.120 5 H( `& O* K4 f+ A$ \
说明:NetMeeting T.120
" d5 L* I- S& h W$ o2 I T( t: I 端口:1524
' ?. Z6 n3 K ?/ G1 _服务:ingress . w7 |- R' [- m3 T
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC
) Z% ~9 a% s$ K% a% Q1 z2 X服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
: Z1 ~8 j: ?4 t: l8 ^# y0 z% h3 H。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
5 J% A$ b5 t% P1 n600/pcserver也存在这个问题。7 b T& |4 j k. g" _. z$ R' c
常见网络端口(补全)
+ p" E! g& ] v- A# W4 V. ^' {, D 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广
5 O) U' ~+ u3 |/ D) |! k播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进- L( q1 l* ~8 t
入系统。
) k* J; I4 w) s: A \0 a 600 Pcserver backdoor 请查看1524端口。 , j6 h4 _+ Q' _ l# ?+ s8 [& W$ l
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
$ Y) z. g7 | D5 c) }9 DAlan J. Rosenthal.+ [2 U4 ?$ t/ H+ W% O
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口
V/ P3 ?2 t$ v- x( P的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
, ~2 P2 u' ~) Xmountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
( H) n6 D6 |3 w4 H/ ?认为635端口,就象NFS通常 运行于2049端口。
: o- N6 v) g$ |. E0 p7 R& h% U 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端( D6 Z- E. M' V c9 i) z
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口% t. Y1 z# H" a" F' }9 l2 B* H
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这9 i9 ?# Q3 b3 l2 H
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到6 W* U& m2 i3 v7 }( _
Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变2 h2 ?$ B$ ^5 B/ A* H$ h2 @0 g- p
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。
7 Y0 M1 U& M+ w6 h. Z" [# H 1025,1026 参见10241 E. [: r. b8 d7 @+ ?: [/ O8 H8 C
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址$ f, R2 Z" E3 L8 |! Q' y
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,
6 L* b3 r/ U1 E4 S- h, x4 \它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于/ \2 F8 U9 P1 ^' r; f
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防( M" C: O* @4 r; p ^* a
火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
, z9 K6 v, p; g% J* j. N; p" V( _ 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。. h! u+ |3 V& w: \( ^% t3 d/ A
/ b) R3 B1 X! B0 M: F/ S4 A3 J
1243 Sub-7木马(TCP)
& h4 S5 s: O1 Z5 v 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针3 {- w$ _/ H$ w, b7 ^) j
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
: B8 f+ r E) c* c6 f装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
$ h6 i3 D! t) ~8 }你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
! u' E6 W1 X9 {+ ?题。
, x4 U$ [: @5 X. m& C! q/ |8 M 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
4 K2 P# t8 F2 v7 m7 V个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开) P) X( B5 Y6 \0 w8 S9 w* ^
portmapper直接测试这个端口。) B$ K( d% Q- B: C+ G- G" C7 I
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
) a2 \, T1 O$ H: K8 m一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
8 p4 [* n( ~+ D8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服& B! z/ m* x. v! Y/ _
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。 k1 V$ P/ `7 s
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
0 ?9 s! a5 a: c! Y! V9 d; epcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy) p0 Y( d3 T# G, | U/ B" ?: u0 H' d
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜8 o2 O6 O2 o) C9 r
寻pcAnywere的扫描常包含端 口22的UDP数据包。
7 ]6 b8 O; q' H) o' x 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如 {( g0 t" ?3 N W- D v }
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一
- I0 S4 ?8 w8 ], m- b* m% l人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报7 o* w: U, j+ G9 l
告这一端口的连接企图时,并不表示你已被Sub-7控制。)& V* v/ f, q9 D2 P
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
: v( m- a; O* t是由TCP7070端口外向控制连接设置的。7 J, S6 k; H& s* d
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
; h# j( o* }$ U6 q" R2 ?的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
! t, g) ^+ H! i; {& R& N3 C。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
! H( U& J5 N; N \7 Y4 `了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
& X7 Y* F& g' L' S, b% T0 m为其连接企图的前四个字节。
, L( V8 q- V2 Y# R2 |; o' p 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
5 O7 x8 C8 u0 S7 v6 }3 o$ w9 w7 o"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
$ D8 h* D3 s' t" {+ h( I种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本) p( {& g" E& O# x- o
身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
6 N+ F, R" b6 H2 o8 C* m' f机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;
: z" H+ F) p0 c9 Q* {! ~216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts9 I& A& N8 N& W- y# T& `
使用的Radiate是否也有这种现象). z9 S1 K4 {& h( G; I+ D1 Z+ Y
27374 Sub-7木马(TCP)
( R# {+ g" ]1 N9 e9 i) j" I 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
2 c0 E. P) D* ? j3 W* { 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法' F) q' x* H7 g
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最) G0 z3 ?+ Q9 i% M0 a
有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
6 E9 I5 H, U2 C6 G7 O9 ^越少,其它的木马程序越来越流行。
* L8 w! Q; O/ a* U2 T2 i5 y- S( x 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
o. v( d0 ~( Q5 a1 P9 y+ IRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到# U$ y; X) A/ m9 l. g7 x7 t1 E
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
* g/ U# E2 p* d9 s; r1 l输连接)* b. z* K2 l( Y# A
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
5 w" X5 O5 a4 v9 N# r5 W: Z0 sSolaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
5 ~9 Z$ q6 U9 l* T" W' pHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了: r# T8 W1 P" v
寻找可被攻击的已知的 RPC服务。! v. O% ^' a4 {. o/ Z4 w/ }+ Z: P
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
2 g, L1 x# b# O! }: g)则可能是由于traceroute。 e% }. P! J" M4 o
ps:
& I8 T q4 @' F$ J2 x$ z4 l7 W& ~其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为' k5 ~1 m* c. ~# x
windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出; b2 U0 Y4 l: N% y+ k" p6 V2 ^
端口与进程的对应来。
" m$ `8 k8 p; Y& Q, q, L |
|
发表于 2012-2-16 14:00:57
