|
|
从0到33600端口详解
3 e: i+ h6 W* h$ ~ y 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
" r/ r+ Q* Y4 DModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
2 x( q7 }/ @; g; s7 U。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如
/ r/ V( L9 I$ L% s用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的
5 I( R. W" M; P) E7 w端口。
_' L/ J4 t k( m! P: w 查看端口
; }- }. E" g, |* N 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:# o. {- p0 R" w. ]
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状9 }8 X: C8 G2 I" B! z5 V
态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
) K3 Y# H: \+ M! Y+ k口号及状态。 ; L. P9 L1 K4 c0 W1 w+ c" B+ {. |
关闭/开启端口, F$ J4 P% Z! {, ?9 n
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认
' u2 [6 U* Q* A1 l) V的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP. q. v' |( {) t6 h
服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
) I# H" I$ _( K+ n% \; Q2 o5 p2 I可以通过下面的方 法来关闭/开启端口。
9 _& |5 H% b2 }) | 关闭端口
( |# Q$ _$ k ` 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”, ~; K1 o5 U! v5 T
,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
; M6 b# y' e/ \8 g0 c' A* P* vMail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动
8 I9 e5 e! S0 f. P( Z/ w M类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关: U% b% Z5 I/ `' _: X, n
闭了对应的端口。 " I1 S5 f5 L9 N# {( d4 y8 T
开启端口
9 K: c+ k" p4 w3 M+ ^ 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
+ M5 U3 X( @1 h: }0 A9 V服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
- Z* b7 {: ^" {9 [, A4 c/ J, ?+ f。6 g) G* G6 s2 x- ^' c/ i
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开% C5 l: ^9 y/ t1 Q; p
启端口。
w$ Z& E$ I. { 端口分类 * c9 m: s/ L P5 e- n( d. U6 X& X4 n
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
+ Q2 K! g) Q: P# @" d' D 1. 按端口号分布划分 , A2 f: N9 l# ?" F$ ]
(1)知名端口(Well-Known Ports)5 Y F W8 m& r# x' M
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
2 h4 T }6 D/ F- ^1 X比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
- y/ N) O: k" W; kHTTP服务,135端口分配给RPC(远程过程调用)服务等等。
# |; |4 ?" i6 _5 ~ (2)动态端口(Dynamic Ports)+ g5 D* s1 f% [+ t5 F
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
& K2 i4 o" |' j$ p/ s多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以/ k W3 t8 X5 Y L; k& q
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的7 K6 L" t, F& ~( I
程序。在关闭程序进程后,就会释放所占用 的端口号。
. T8 u3 l' T# m x' z$ q! K 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
8 H1 D' n6 I( X6 n4 j8011、Netspy 3.0是7306、YAI病毒是1024等等。
% @6 B7 v9 M& o6 B, Z 2. 按协议类型划分
0 T8 f) T9 B$ q2 J3 y# ]0 b' y 按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下+ @. H) j1 ~0 r" N0 F0 G
面主要介绍TCP和UDP端口:; G* ^- n. t' M3 c* A
(1)TCP端口 p9 M0 t1 n: R& A, Y; x# x' J: Y/ H- p1 z
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
% ^! L4 q: x& r. ], h6 V$ ?- t靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
- \8 t! M E+ b S1 n及HTTP服务的80端口等等。
! W& V+ w" E7 Q7 t" A/ y) r (2)UDP端口( C& j( |# Q& P
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到
' A# z6 \, h0 y/ E7 _8 [保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的- N3 \ G" b5 x( ?; f- |4 F
8000和4000端口等等。4 e' D, i, P" t& D% y4 A! f4 ?
常见网络端口
9 h5 \7 q# z( Y$ a$ y 网络基础知识端口对照
8 R& f7 p) L5 D5 P R8 W! P 端口:0
7 T3 N% L' i8 {服务:Reserved & q% K% F7 y+ V( I0 Q8 i$ `
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
2 ^( b5 ?$ g+ D# p+ X8 O% z( z$ D你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
4 c1 l5 C- u( n+ ?7 s0.0.0.0,设置ACK位并在以太网层广播。
& j/ ]1 v/ [& z' z# o5 A& o 端口:1 ! ?+ W/ V' X2 W; H
服务:tcpmux
6 K% o( d; ]+ L, ^8 v9 `( l说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下: ^8 M7 Q+ l$ n/ ~: a0 j j
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
+ F3 N1 b/ }0 k8 C0 J! ?3 ^GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这
' h9 Y1 U% C- z! D8 g q, J些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。 - {$ _- {5 c/ R% b# ~$ K
端口:7
* l( @+ j- f. O& `8 [0 @服务:Echo
8 s5 ?; y0 L- d5 E说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
! b) V. s* e' K2 ~ 端口:19
- J6 c4 e' v3 F/ Q! I" O; F4 S8 A服务:Character Generator 0 B* ]& j7 [0 O
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。& r" c) S# I+ C
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击' M( `& q. t, K# C/ X( E
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一5 n1 ]) d$ M( \, y7 w) [% G& q5 m* k
个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
' P0 l' Q; w7 N 端口:21
0 e; n. g0 V" s; H: w* [服务:FTP * k3 ]# N% l3 T# S. d
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
u; h$ E T; i: d% D5 E. y) O的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible; F1 w3 a+ k) M. }
FTP、WebEx、WinCrash和Blade Runner所开放的端口。
+ Q0 r0 t7 A+ K 端口:22 1 w9 ]2 q9 r7 a# R4 I( [
服务:Ssh
% `, i% t# @% e说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,) H5 T3 b( k5 ]5 g M8 {
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 % K0 Q& U( w' \- p: T% W
端口:23 / j* K1 ]/ W2 _3 E! L& _
服务:Telnet 6 j5 o' s% {4 t A! [ |
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
+ G3 L; ?) L9 L' ~# p7 O到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
' N# k+ W1 j: S0 A6 P2 DServer就开放这个端口。
3 o/ m3 k& G+ p3 D! y: X- f 端口:25 $ f) f o9 K4 x; Q1 P: `
服务:SMTP
0 Q" ?6 D N2 |5 U0 f1 g% b说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
2 E- j% y$ U1 G! w, I) tSPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递" [, I% y' V7 w8 \$ e; f
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
, B& @1 T2 J9 K! x6 O( f、WinPC、WinSpy都开放这个端口。 ; \% D5 @3 N+ r9 F$ e
端口:31 # B2 i- W2 a' n5 V# D' [
服务:MSG Authentication / h# t3 ^! e5 N7 c6 b; r
说明:木马Master Paradise、HackersParadise开放此端口。
}% R% P0 F* U; h 端口:42 % x! I2 {! G; q0 d
服务:WINS Replication
% k0 d$ A9 K$ k/ k说明:WINS复制
; [ t i! E& f" [3 z) `0 H 端口:53 " Y- R- ?, ?% G* c) J
服务:Domain Name Server(DNS)
+ ^4 ]- Y& Y9 k1 f u: }2 F说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)1 J5 o+ D$ S) j6 I" D* n& w6 ?
或隐藏其他的通信。因此防火墙常常过滤或记录此端口。" G8 K3 \! E5 I3 p ?0 C6 N
端口:67 . E8 Q/ X+ n& I6 `& n
服务:Bootstrap Protocol Server + _9 f) m0 n+ J% P1 P. m; b+ [
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据6 f' p, A/ \- t# Y' r# ]
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局7 m6 P+ `8 _8 ] X+ `* y6 Y
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器1 R- W/ }% h$ A" V. k
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
1 a/ r) C5 b0 ]: M# ~& m0 D! H 端口:69 : z' c4 M, p6 [$ A1 Y
服务:Trival File Transfer " `" `% z( \! J2 O
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于. K b: ?7 T- s+ z7 @8 s* n3 x2 R2 U
错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
0 w% Y0 i" ^4 T2 n8 P 端口:79
0 E( Y/ D y. K服务:Finger Server / F' h' L; h. }
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己
7 y i9 j0 X2 M2 m/ [0 Z$ N) I机器到其他机器Finger扫描。 , O8 R+ w& ?' ~# g, w
端口:80
: A# z z3 u* _! Q. P+ B服务:HTTP * k4 m, I% J: n" ?! @+ o4 `
说明:用于网页浏览。木马Executor开放此端口。 3 F- D8 e% f5 w0 s
端口:99 ) L, f: [+ m6 J; J8 `4 i- o( ~/ S% _
服务:Metagram Relay
8 E/ c$ `$ E9 G3 ]# O$ C# M/ w说明:后门程序ncx99开放此端口。 % F9 |4 K/ @. ?+ y( n! Q
端口:102
0 O- x4 l9 s- H* ?* d! |' ?服务:Message transfer agent(MTA)-X.400 overTCP/IP & l& |6 A/ T: J
说明:消息传输代理。 ; ?' d% Y p/ N7 H8 _1 c9 q
端口:109 / Q$ d3 S7 P: X1 I
服务:Post Office Protocol -Version3
2 C7 _* F5 m) J- y& V说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
) i( D( T7 E/ @有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
4 h7 A# E2 o2 o1 z可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 9 _$ n: Y: G6 y( S l# C
端口:110
3 U6 }1 G ?4 w3 ^3 J& W服务:SUN公司的RPC服务所有端口
, s# N$ s. }" e) n ?+ M8 P' h9 h5 L说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
1 e9 P( m: `- h5 G c7 ` 端口:113
- D: U$ W& o! U: I服务:Authentication Service - t( @5 F' U4 M2 u: F j
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
) o$ v$ x& b1 ]) K以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP1 n) N- O3 Y) G3 {% q; I+ \2 R: n
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接6 S5 {+ h( Y: \/ J" Q0 {- w o
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
- `+ O" ~' ~% ^! {9 [1 R8 j, ?) Q。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
+ J8 P5 Z- _' X8 G) G! ] 端口:119
$ t- {6 }, l2 K( b( T* x9 \服务:Network News Transfer Protocol
$ Q! I! {8 i: F) V; ]( h说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服+ C* v+ ?' g% J0 C P
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将
6 ]. r3 [* d( b允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
9 s/ v0 E8 G* J 端口:135 3 D" O0 x n9 a5 U
服务:Location Service
" a5 x: z7 |2 c% ^" b说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
" F6 \) ^9 _( f! g: Q' h [4 E端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
3 S* C- W$ _# O0 w, E9 A+ [。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
2 D0 R% t6 g8 \, w8 z, }机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击7 t) d; [* p) i* }
直接针对这个端口。
: F+ d, S1 ]% d/ z! c8 }- J- T 端口:137、138、139 & \7 h& ]% G" J% ^" ]! l
服务:NETBIOS Name Service
: p2 Y# _) ?% |" l说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过- ?9 G5 Y, `: R8 o$ w. x
这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享# P2 H6 y x4 j* N& G7 M' c# M
和SAMBA。还有WINS Regisrtation也用它。 ! V$ s5 F T1 u7 F5 \& Z
端口:143
' v; N, X- t* x- T- c服务:Interim Mail Access Protocol v2 7 b/ E# E3 k* @/ [
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕0 y! ?9 h+ K% o+ t- H( o
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
# u2 ~0 N6 _4 c. L2 r用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
6 S" D1 Y+ \' t还被用于 IMAP2,但并不流行。
; D0 a4 i- p9 b' T4 [4 ] 端口:161 - v3 V. u# f d2 }! C6 Y
服务:SNMP ; d+ K, U! i4 T0 p
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这% }: m' i* s/ [( U
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码
( b& Z- @6 }& X, npublic、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用* ?% A5 g" E+ y. `& B+ n* @" n* X
户的网络。 4 n& P: [5 w& N0 T: G* I; T2 Z: |
端口:177 i) K3 k E& Y) d3 A# I
服务:X Display Manager Control Protocol - w1 y A1 s) L; Q9 A$ w+ u
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
3 R& x8 s( C0 n( `' S- {
$ Y" c4 N9 n) k' x4 y- V 端口:389
2 `. p. D7 A/ X3 z3 ?服务:LDAP、ILS
* r5 f0 Z, ?9 ?- ^% _% e$ O4 I! h说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 : ?# v+ ~: T/ G2 M8 b, i
端口:443 3 l1 E8 A; G8 f2 z% M" F" O0 w; X
服务:Https
& z: h% y# f4 q' h, `' A说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
6 w M1 N$ S# s 端口:456 0 v2 h: N9 H+ k5 B6 {# f
服务:[NULL]
& o3 @) a, d7 o2 N9 G说明:木马HACKERS PARADISE开放此端口。
( z- f k3 f# F 端口:513
$ R3 p, z+ \6 f$ ^& \1 G服务:Login,remote login 7 m- e* y7 f5 P" r6 B
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
% O% z! {5 Z% ~进入他们的系统提供了信息。
+ F2 S3 F% ]: o( ]0 i 端口:544
; T y- u& a- Z0 B1 _- O: w# T7 n服务:[NULL] ! g3 x. s# }* Z) z
说明:kerberos kshell
% C! }8 E5 c2 g% V, J: ]5 G! Z% R, F 端口:548 7 N8 S" n+ g5 G0 J/ K
服务:Macintosh,File Services(AFP/IP)
# J+ q- `; @1 r8 J8 E! l说明:Macintosh,文件服务。 4 ^1 `5 `3 S, t0 d
端口:553
9 X* M; ~2 I) a$ e( r7 |服务:CORBA IIOP (UDP)
2 ^: w% |' p7 b说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC5 Q' g" {% J! P! b0 ?, I
系统。入侵者可以利用这些信息进入系统。
2 w0 V5 t. y9 a0 j' ~/ `* [7 Y 端口:555 6 ?9 G0 R! y! e. B* W' b, _
服务:DSF . c4 L9 i" b2 b0 K, u; _5 j
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
- y! Y8 p$ a! E' R, R 端口:568
& r2 r0 m" d) {5 A- j" t服务:Membership DPA 4 f2 a! x, w. b6 z& `
说明:成员资格 DPA。 2 H4 h( H" l8 J9 y2 M# N
端口:569
2 _4 Q5 P% z7 \9 x服务:Membership MSN
. D, S# Y& A+ u% T: j说明:成员资格 MSN。
! |* g6 Z4 a8 B 端口:635
* w) a! v# w0 w0 t5 X服务:mountd
5 Q3 l7 h$ F1 Z% [4 \% }说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
, n/ u" F9 |5 ?+ M8 a% ],但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
1 o0 V/ q, }$ ~! i+ L; X) Q/ i何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就9 d! Y/ {) i: v
像NFS通常运行于 2049端口。 : H, B F" k; L' f1 E
端口:636 ( ]: Q% B4 B1 ~) k/ I
服务:LDAP $ i8 \; U: v0 ]& y" u$ w& J
说明:SSL(Secure Sockets layer)
6 v/ q, T4 p- y( C( g x8 O 端口:666 1 I& x: s/ ^, C! n- s
服务:Doom Id Software * @' ^8 u' r8 Y% @
说明:木马Attack FTP、Satanz Backdoor开放此端口
! i( T5 D* d* \ 端口:993 5 z4 k+ S( B& I1 O3 h
服务:IMAP & d* b3 W: X; x1 v" v! C
说明:SSL(Secure Sockets layer) 3 k$ ^9 Y+ R( q: a8 S6 @
端口:1001、1011
# x2 @$ ~0 G% H; ?9 p服务:[NULL]
* `. ]' Q& N$ v% l# p% t说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 5 V( p9 W+ b$ I# u) C$ ^* l
端口:1024 : g4 i: S: V, J1 K$ w
服务:Reserved 0 h) `. i8 `- F( h2 Z' X
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
9 \3 I# M* u+ c: M7 V: w分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的. Y3 ~" y, z) S k4 {
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看
2 v0 l8 L- a- Y2 T$ Q* F0 S# j到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。- y/ R2 _, l) e. i+ a
端口:1025、1033 + o0 h# }7 B; H5 I1 ~
服务:1025:network blackjack 1033:[NULL] # M+ A D4 V, T, j: O3 v
说明:木马netspy开放这2个端口。
4 F+ r1 W( A9 B& \; a2 x 端口:1080
, z+ J) P" s: a& i服务:SOCKS
& k* N9 {/ C& m& }# d2 Y说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
/ W! Q' E- [* w5 Q$ T。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于/ `' G/ @$ ] ]/ I3 t; @* o! T3 I1 o
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
4 [* k0 X) U6 _" b种情 况。
. n4 Z5 [. j9 z 端口:1170
0 H9 U% O9 i8 E! z6 M服务:[NULL] 0 w- w* z) _# Q
说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 % x) K7 }& h4 x2 `. p4 y
端口:1234、1243、6711、6776 1 a5 ~2 x8 J+ O' s0 G8 Q
服务:[NULL] 2 C# O" s& c0 {
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放
- B$ ^. w: u! f4 r3 g3 Y7 L# `8 q I1243、6711、6776端口。 9 Y7 t% \: i. J# x" E! d' x
端口:1245
: E' F5 ~2 J1 x4 X4 I服务:[NULL] , O+ P% J F8 J' l! L
说明:木马Vodoo开放此端口。 2 @6 _% [" Q7 R3 d8 q/ N0 A
端口:1433
+ z# q: H! t' ~服务:SQL
4 Q; S- G1 y, ^ ~+ l* j" q; h( P+ t说明:Microsoft的SQL服务开放的端口。
$ {# t1 Z) i0 O( Q3 k2 Q0 ]) i 端口:1492
( r/ p. Z, Q7 j+ i% c2 ?+ ?8 w服务:stone-design-1 5 X" o( W! c* U( o* \
说明:木马FTP99CMP开放此端口。
4 Y: f( H7 ~7 v6 ?: k( z/ i 端口:1500 : B/ g7 _- V; l8 [9 o( O
服务:RPC client fixed port session queries
5 a9 h/ {4 f1 ~+ Q- ~* r5 u6 T说明:RPC客户固定端口会话查询
9 w: w) _+ b8 ?# z! t; X 端口:1503
( v% ~4 G1 I5 p3 X! t服务:NetMeeting T.120 ; d& g l+ Z" K9 f8 Z1 b
说明:NetMeeting T.120# q0 k% ]. |7 i, V
端口:1524 : d5 G( r/ W8 g8 H z: F
服务:ingress
' e1 `& q- a8 n4 Y+ b说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC- J$ p6 g2 `; {, D, A$ b- j
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
) T) N" n) M9 @。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到 H" B: d3 {# K$ |) S: l
600/pcserver也存在这个问题。/ j, u9 k9 d: K6 I( s
常见网络端口(补全)
4 D6 `+ D A+ f7 h! K1 Z. W 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广
; Q; N9 W. M4 D: j4 Q播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进0 m; _3 x1 x7 L% A; t6 k
入系统。
. u$ O3 d! i/ B$ y) z# m& B) A6 f* u 600 Pcserver backdoor 请查看1524端口。
3 t: y$ q- e/ r. h+ S! r一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--- I. z& |) x. g# M# k5 P
Alan J. Rosenthal.( E- \; V, ~0 y' @
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口
: W" B J( W+ E* F% \的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
1 `. i q P3 mmountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默, w+ ]& Q) p& v1 p7 y
认为635端口,就象NFS通常 运行于2049端口。
/ @% E; ~2 l( s' q( E8 d4 e 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端) H d) k3 {* B% ~" Q) Y2 ]/ h. s
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口9 [; e( J4 g) T3 a
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这9 K( O- u7 T) e9 X! ?
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
5 ]+ ?& W2 k, h8 ETelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变
% X5 }6 j3 m6 J) @& I$ }大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。+ `" [& m) m3 n# Z% s
1025,1026 参见1024
2 ]( r+ }1 W9 \ 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址' }. S' o2 E& f; D$ H; l+ a. y1 t1 U
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,( j/ x6 w2 _: \5 d5 b9 ^
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
4 v' ? m2 A3 E9 x0 X9 kInternet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
( s6 f4 @8 f* k1 Q/ F- j火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
( A; n3 ~+ R. P4 s; C3 k 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
' Y7 C- b$ z/ J5 S3 E& F2 E& n9 i0 R
1243 Sub-7木马(TCP)
/ ?$ I5 _* l, `2 l4 c 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针* b: W0 N) ^( P! W6 V! q
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
- h/ S. d. c8 x& d装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到9 B5 l+ k; ]- B0 z& [. |
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问1 G% S a( b- u* w. f; p
题。
6 x1 p( `5 Z+ p% | 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪9 i! j8 U( i' x6 B
个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开% ?! `* B/ o! `8 b
portmapper直接测试这个端口。
2 b' |! i4 z4 V, _ 3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻& o# }/ o6 ?) Y5 \; o. q
一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:2 f4 l7 i5 s0 n) r k2 o
8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服
, ^3 H/ N9 w5 i; S务器本身)也会检验这个端口以确定用户的机器是 否支持代理。$ b" }/ l( y; j+ H. K
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
4 n- w- ~$ Y p3 P: ^. B5 JpcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
5 t% ^9 P0 M( B9 ~1 ^5 I9 D。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜1 _4 B! B4 D, n; A
寻pcAnywere的扫描常包含端 口22的UDP数据包。4 p9 o2 f: R# v: o; L5 A0 {
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如# Z. T5 Z9 w. ~' Z- L
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一( a. o+ p, r7 }) j$ o
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
n1 w) q/ r* n2 z, u6 _告这一端口的连接企图时,并不表示你已被Sub-7控制。)
2 z+ J2 o+ @: ^, M( D3 d* K' | 6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
0 s4 Y" @% S" ?. t6 o O9 @" K是由TCP7070端口外向控制连接设置的。% x; J( {0 O4 e: V0 V
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
7 d5 `" o8 _9 C& R的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
" N& J7 G1 ~3 e i。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”1 E% p, E' w7 ]
了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
+ i# @1 w0 ]0 C为其连接企图的前四个字节。
5 a) a1 z- O9 [3 k. i8 f2 g# m 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent% C4 d8 w+ M0 P. N9 g
"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一$ b4 [2 {) S$ M1 O. `
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本
; }! E! W1 S. F: g+ _! _身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
; }# M6 F- F; p0 S/ ?3 e" x机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;
7 w) n( H+ Y6 L216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts/ K2 w$ v. A& b5 K$ n
使用的Radiate是否也有这种现象)2 c1 [4 L# z1 ]
27374 Sub-7木马(TCP)# `* z% K) v6 J: `& g5 g
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。+ A6 b6 E2 ?8 a% K; x' L
31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法
" J3 h: ?; u& y1 x3 X K9 V# g语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
6 A; g w( r# p/ T有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
" n6 K3 Q$ p7 a& j' T' B越少,其它的木马程序越来越流行。
0 U# p+ o0 o' p n3 a3 I 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,6 l6 }2 w9 c' T
Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
' O3 I, o6 d. m* P317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传* c% |6 {$ i# |0 c( d
输连接)
0 j# `2 r; N) n2 ^0 I% c% ? 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的# n: E2 |4 G, `5 N2 q! G% x9 N1 ?
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
|6 [; f! g1 z) }9 F) n" J0 DHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了' a; I" M+ U( }& {/ K! z) {
寻找可被攻击的已知的 RPC服务。+ O( w }, W4 u# H& d1 l% ?
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
6 J4 _+ r9 j' I3 I* W5 v) U)则可能是由于traceroute。
* r' j! g- n0 I' T8 e" J5 v, @/ Fps:; L) a0 F# y- Y2 x" O
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为- v# @) s) A& M" Y% g' Y
windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出
9 x. }# t; }, J5 N! i$ }端口与进程的对应来。3 m6 R/ ]2 ~/ \* @/ R6 o0 O/ I1 S8 X
|
|
发表于 2012-2-16 14:00:57
