|
|
从0到33600端口详解0 D- U2 l7 d- N3 _
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
+ }; E/ |8 ~& W$ E4 Y+ D! VModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
4 Y4 f8 I; ]0 _6 W5 c。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如- I! X3 M. a9 H# f! I8 E
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的
# B0 p: G7 q8 h Y端口。 ) @3 u: d J0 x2 L/ P* ]
查看端口 t# ?, r* i7 @3 E% D
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:
9 d# r) X( ^, D 依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状' G5 u, B) p$ K% O6 g
态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
2 l. k! g' @. a s4 e/ H3 z9 I8 c$ p口号及状态。 6 ?/ v c' v; m/ b
关闭/开启端口
+ L) j6 O1 h7 C$ B 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认
! W4 N0 t- |2 o0 [" c的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
% K& k! R+ \: i- ?& w服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们 I7 h, l( F5 ^* Q% z+ V, b; F
可以通过下面的方 法来关闭/开启端口。
9 B4 d b0 T$ T$ p, d6 C" L 关闭端口
* K) R7 r0 q2 R, P 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
& L" Q3 r$ H# V5 U5 ~$ {,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
" x9 K P1 A& `) p1 MMail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动
( m* n0 [8 N0 h: R9 ?4 F' E类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关3 _$ u" h& H# _* L& v0 O q
闭了对应的端口。 " T0 M/ A+ @- \2 }1 n0 G
开启端口; N+ \9 H/ R7 i# l$ U, q: ^
如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
' x) }! ^# s, _8 f! s1 S服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
1 _6 [7 |- h2 y9 k2 x. }' I。( I: C/ y6 ?$ ]) X0 z
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开8 @1 R9 [2 b3 l9 r. A- J
启端口。! ^7 l) l* ^7 M6 i' }
端口分类
9 s9 |( o8 {5 k+ S' g/ x P( } 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: x5 @& p% f# ~2 H3 M7 R- ?& S
1. 按端口号分布划分
\: d* V2 j+ u* G! W: D (1)知名端口(Well-Known Ports)( Z" R8 ^$ Z! s- Z% d
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。) G. u: F! ]4 D0 M6 J, {% B' @6 ]$ g
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给3 H/ Z1 O5 y6 [, c# u9 ?
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。
' T2 q3 A. n# J (2)动态端口(Dynamic Ports)
% z5 L* }5 q9 H6 D 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
' y! J U; C2 y- b+ F3 E: ?# n多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以% y" H3 s8 r2 P/ G; A/ l6 o
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的. F% W3 ^. s* Y
程序。在关闭程序进程后,就会释放所占用 的端口号。2 O, M6 `! O: J0 y/ a( n
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是+ _8 Z4 `5 T. Y' u
8011、Netspy 3.0是7306、YAI病毒是1024等等。
" p/ {6 m/ y, O9 W# ^& X 2. 按协议类型划分% i& y' R3 H) R% Z. O3 g, A
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下; m5 z* J# g; z i
面主要介绍TCP和UDP端口:
7 o- h0 g5 C# M! O5 U (1)TCP端口. V! F7 f+ q9 I# a5 f z
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
! |" w. |7 [" H' \; X* ]靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
( V' T0 k9 m, ~8 V及HTTP服务的80端口等等。0 I# |1 V2 P' Z2 D
(2)UDP端口
: B0 {( `2 {) v6 j UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到2 w* [* M# E6 C- |
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的& ^; u" w9 B6 I
8000和4000端口等等。 v. t; j1 m/ a+ W- W
常见网络端口* G s$ O4 k8 W y5 C
网络基础知识端口对照
- J2 p# Z2 f2 h, H 端口:0
# R: d& G& W/ ~* W* P3 }4 M服务:Reserved
) A/ I, n! D; R' u说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当+ O7 l. q4 [1 t. z8 L7 `
你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
2 F* _/ y7 e$ A5 M+ O0.0.0.0,设置ACK位并在以太网层广播。 / r2 ^9 Q; a( r+ X j7 Z
端口:1 . I; l @6 |- ?7 R. U2 C- ]' H
服务:tcpmux 3 X$ s4 y9 _3 a7 R% o2 ^) _
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下. j' y& L; f& F
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、2 A1 \( T/ x1 v# d$ v( w1 v/ J9 J; ^
GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这2 C, L: g/ ?/ s
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
# W+ N, G/ g7 I# h! \$ g 端口:7 $ z7 C: F9 O- @
服务:Echo
. l4 u2 l% U0 c说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 ; P0 p( u& y3 d2 P
端口:19
B/ Y( f: @' r服务:Character Generator ! u! x( a1 O2 `3 O6 r9 d
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。# B) e6 }& c: \' X$ T
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击
" B% m5 ?, p+ l# ^& ^' S, K。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一* l7 n8 w5 b0 x: e3 v7 ]
个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 l8 ]; l7 p5 j# t; W# x
端口:21
( M; m- U7 @, n3 W: S服务:FTP
1 K- U6 e$ O) m( c2 M5 g5 n说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
$ z$ Q8 @6 H9 r6 B的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
: ~- J6 }, {4 s' ^FTP、WebEx、WinCrash和Blade Runner所开放的端口。 m/ f' R7 u, z) B4 ^# |% Y& A( b
端口:22 ( g3 [% u5 x! N7 p- X/ n3 L
服务:Ssh
5 I8 S0 N8 M3 n0 h: a6 o说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,
) W/ Q" U- i( j- G/ i1 B如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 / \0 u% Q; D, g# M l$ ~6 ]
端口:23 5 ~: x( A- d9 E1 z8 b. w* m- B4 ]( J. P
服务:Telnet ( |! _) C( G9 a. C
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
; d: _8 T( l; }+ ]( d到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet, E: e6 M9 I; l( W' p3 a/ w8 v
Server就开放这个端口。
. K- W: e* q0 r4 ^% O& | 端口:25
3 p' B& |$ H0 e9 t: m N- F服务:SMTP 4 U9 ?' y8 d% ~% m6 p6 r8 R
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
! d7 w5 |# p6 V7 }; a* B4 v0 h' }SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递
. |& \+ V* `9 f9 t1 B到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
~' Y8 ^/ F* v* x( I, r/ N、WinPC、WinSpy都开放这个端口。
% X, }' ?' l/ S* V. e+ A 端口:31 ' F I- L2 `$ N2 I& o2 E
服务:MSG Authentication
' T- A( b+ `/ R0 z说明:木马Master Paradise、HackersParadise开放此端口。 $ x' q2 @' @2 y% O
端口:42
7 d; n5 |9 s; C- }服务:WINS Replication 5 q5 E& B3 h* Y
说明:WINS复制 , `1 c* }! e' b+ u8 N' p
端口:53
) _, O& i3 D4 L! N服务:Domain Name Server(DNS)
! t/ }/ r; P$ O& K说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
$ g1 V- v5 Z4 S" ~1 n% x或隐藏其他的通信。因此防火墙常常过滤或记录此端口。+ t- m8 B9 B- ]9 ~9 m' X% y
端口:67
6 a5 i( A p/ t" B: ^$ G8 S4 i) \服务:Bootstrap Protocol Server
# Z7 E% N% i: q5 ]2 b3 A$ x说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据/ H4 O4 y, X4 v* {# E e
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局; H. c, U2 a+ ]4 w! ^* Q7 G" q$ O
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器2 h% G$ y4 b" X# f
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。: e& ~( g3 h4 f" f; a- m4 D- r
端口:69
6 s# C( f1 g1 }7 R: g4 w7 y5 P服务:Trival File Transfer 0 R3 H/ c S$ X
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
3 @5 X! d& g, i- e: f9 ^错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
% B- x$ q9 V& D" e$ _4 g( ?1 L/ r 端口:79 ) @: c. m! x4 `
服务:Finger Server - E9 e* b* I; O
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己
! [( p3 e8 ?* Y" e. u0 }/ @机器到其他机器Finger扫描。 i+ y ?$ g9 ~7 g! W
端口:80
/ {" Z) ]" p% ^, l- U. D服务:HTTP 7 ]8 n: C+ ^" J% i: F, A/ q
说明:用于网页浏览。木马Executor开放此端口。
" b1 A; u9 |- h- O1 ^/ C* c 端口:99 4 W4 e( J$ t8 D& a8 H$ v
服务:Metagram Relay
/ P; c% B0 ]0 P* ~2 ?" P说明:后门程序ncx99开放此端口。
% b$ D0 ^/ b5 L7 H9 ?" p$ Q0 l 端口:102 $ }$ N: }) X; L3 E
服务:Message transfer agent(MTA)-X.400 overTCP/IP - l' Q. z7 B4 T
说明:消息传输代理。 / ~9 S9 @9 @4 o& Q8 l
端口:109
6 R* O/ o; M1 K2 z9 }- A服务:Post Office Protocol -Version3 ! F: q% n8 Z! f. J: N8 i0 T+ U
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务3 Q& j8 Q4 R3 v" w* ?1 C
有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
' B# H2 D. U6 ~8 [( [6 K可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
. j' G0 G8 f* |! X% a. ? 端口:110 1 D+ R; O& J7 q" o4 P5 q% F1 h; v/ h
服务:SUN公司的RPC服务所有端口
# H+ X- v! X. P3 y说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
6 J, d' o5 O" I 端口:113 & n' i0 }% A$ K
服务:Authentication Service 9 B/ C$ i7 Y/ r
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
" |8 I0 z' n$ n U7 p3 K8 s P以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP) \+ l( c1 Q$ E. e' W+ h: f
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接; u# l! v# R8 D7 `5 q
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
2 Q" k9 _5 A, \* v/ m' e1 m。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
- B" ?' E9 P6 s* b 端口:119 8 I! J5 ^, r8 k6 I3 |
服务:Network News Transfer Protocol : Y" u- G+ W2 t H& Z
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服9 ]# ^7 y6 U; N
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将9 G* H& @* q% n+ G" j7 b3 [
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
4 f# X! {( j4 j+ N9 H& c 端口:135
3 a: r. f+ Z- w! z/ ~7 Q* o$ {/ D# X服务:Location Service $ |% H, y9 G+ J% ?+ D' U# p9 h
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
! D" d, T! O0 c1 G Y# B- `端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
. J: P8 n7 X P }" B+ Z0 U。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
/ {1 e) O% Y* Y' l# F6 Z机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
^$ J6 z( m0 T' l+ U直接针对这个端口。
( T7 D8 u4 V; O% J/ i 端口:137、138、139 3 f+ N( q3 A- _ [1 M
服务:NETBIOS Name Service
9 q4 e% Q: d8 E: K说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过4 {: `$ `& P7 D3 W5 L
这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享* |0 ]3 ]! I, s) t: v( Q3 _3 j7 M7 a
和SAMBA。还有WINS Regisrtation也用它。
: g: W8 C; l4 L* ~& K; ]3 I5 G 端口:143
: H" g. j; B; B- q3 M服务:Interim Mail Access Protocol v2
5 @, W4 Q* A+ h2 v$ ]说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕
: m$ c! r. G. @+ R% B" o虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的1 J3 y! D' D. d7 W% u3 \. H
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
% x' M4 D9 c' s$ h& {: z还被用于 IMAP2,但并不流行。 " u2 f2 I7 c. J7 \2 D9 [ J' e: Y
端口:161 5 T# @$ q+ F, q2 ^
服务:SNMP / [! b$ N0 S. \
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这- c4 G- R: r: t' h2 e
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码
1 I: E7 H5 V4 }1 ~* W: t. Qpublic、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用, t" z( Z, H0 H5 @0 w
户的网络。 ) U" G% ~/ A' U0 p! s1 h
端口:177
9 [& K! o$ G F6 n( b服务:X Display Manager Control Protocol
5 A- r2 J4 O! m, T) a( @说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 8 H! l7 A# Q! D& v% A' L0 Z, k( a
6 K6 @0 c; w+ ~( o2 X9 |: g1 {. M
端口:389 D7 |# ?, P; ^
服务:LDAP、ILS
) V- p% O6 H6 G1 H7 {8 z: d1 b3 d/ m说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
7 E) b; m" w6 _+ G 端口:443
" S0 G& t% a5 Y# z4 d) u" z服务:Https
. |+ a3 a5 F" Q% |. ]" j2 `4 k3 b' E9 `说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
$ i" ^ Y) q+ J h 端口:456
! X. U$ a# a6 F服务:[NULL]
' b, x U1 H5 V说明:木马HACKERS PARADISE开放此端口。
: w3 n# i/ Y7 p) ~! D" J: d 端口:513
5 Z1 c" }; v8 [8 [4 E服务:Login,remote login
, }5 |: \8 \4 D; V, G7 x说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
, ^! t4 T6 x/ R4 D# u进入他们的系统提供了信息。 / N- s% g3 W, r6 x5 f4 T; R
端口:544
% l. F$ P" ~/ J, ^服务:[NULL] , G. M. B0 R5 B. {, p' R9 D( X; p
说明:kerberos kshell ! ?7 |5 ]9 d7 {0 X& o& ?
端口:548
% O! V" @# T+ V/ E1 N服务:Macintosh,File Services(AFP/IP)
$ z3 K" b, F8 B- i' x8 E4 ]说明:Macintosh,文件服务。
8 l( h" n0 }4 ?0 R, U! e. z) X 端口:553
4 d5 W' N$ V9 u, ?; H# j服务:CORBA IIOP (UDP) 1 |) U z* s. _2 E5 s; W; u+ Y
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
- x* G/ B, a+ T; k& r2 {系统。入侵者可以利用这些信息进入系统。 / k5 P6 R5 L* V2 d9 W
端口:555 $ d2 V0 B; t' n* F7 B5 a6 y
服务:DSF - }# \4 V( {4 P6 s/ {
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 : {9 S! T g% I9 m
端口:568 ( G: H7 G1 b1 s: ?; s2 X! u1 D
服务:Membership DPA
4 L7 h8 Y" C+ N# r5 L( q说明:成员资格 DPA。 3 N' I9 I7 r8 r A+ R. ^
端口:569
& z# `! a0 e5 z: T5 ~3 e服务:Membership MSN + `& b! m8 U; }
说明:成员资格 MSN。
4 H; B8 O: O0 q4 a" k/ p5 B* n. F 端口:635
; c" m; ]& V8 o: S7 ~服务:mountd , @% C5 F- |4 c! T; b5 x8 U
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的" K% j8 s/ `- x
,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任9 z- [! G2 E5 D4 n) M. C$ t
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就2 n; t! t {9 |8 m2 m
像NFS通常运行于 2049端口。
7 {* Z q" b# ?. A2 Z 端口:636 8 l2 K5 b/ o/ s6 Z9 E4 ?
服务:LDAP
3 h6 K5 i6 l: ^: n K5 h6 [3 a说明:SSL(Secure Sockets layer)
0 q# P f: ]5 o" K 端口:666 $ G$ a5 k0 K8 Y# B1 F9 N
服务:Doom Id Software ( p2 i/ c0 E- u
说明:木马Attack FTP、Satanz Backdoor开放此端口
7 y- u# i* K2 N 端口:993 ) [( C9 ?6 e* q, }; S1 B
服务:IMAP 7 t6 I+ J! z! V% `3 w+ j
说明:SSL(Secure Sockets layer) 7 a. E! n7 u( M, S7 t G) ~
端口:1001、1011 ) C; m+ i, O% E
服务:[NULL]
7 P3 A! k0 S& d0 p* _$ [! D' ?说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
+ y- b" l6 H1 \4 [4 Q 端口:1024 & T7 E# H* W' Q% m
服务:Reserved * Q$ h5 [) L8 p. w8 S
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们: @; ^" p1 L. `0 x2 q* _, c6 |
分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
/ \; _! p! Z: R3 h会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看: P) W' `. I; e" {; y
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。' H: O6 D7 ^+ D5 o2 Z+ x2 F) n& a
端口:1025、1033 # h- f! j, ]" O3 l
服务:1025:network blackjack 1033:[NULL] / q' ]& H. Q( g7 N
说明:木马netspy开放这2个端口。 t; C6 W+ f0 b/ ?
端口:1080 9 ]2 @5 j7 B d- {# i
服务:SOCKS
: T2 R7 u! G- i4 k- Q* M说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
3 \& ?4 s8 x% P( ~。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于
* q3 [4 M) O" H$ Z防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
8 U; I3 T3 m: o1 B# y种情 况。 i6 p4 g1 V/ R" B: H5 I- N
端口:1170 / W: e' o* L8 P
服务:[NULL] % R" J9 g" ?1 ~; l9 r
说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。
7 q7 Y1 P, O" O5 }7 @4 c. B* d 端口:1234、1243、6711、6776
) r, A! N8 b4 y" k' P服务:[NULL] 4 Y+ D# _; \& W1 Y& I
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放
3 r& \ N2 L/ n6 u6 b! G1243、6711、6776端口。 0 x6 `/ S. h8 k
端口:1245 * S9 p4 Z/ d" d8 m% V1 a Z, |
服务:[NULL] % b) m' I' X$ }2 _* ^6 U
说明:木马Vodoo开放此端口。 * k7 K! h& ~6 P% J% L* S4 `
端口:1433 + ^9 ^$ l) [6 T- b& j6 `- U
服务:SQL 1 z; @3 @" s$ n9 `; X0 d
说明:Microsoft的SQL服务开放的端口。 # r/ n Q U3 B, `+ N" k
端口:1492 ) M6 e3 [& E* N6 Z- w5 q, b/ ^
服务:stone-design-1 ( a2 ~$ Y8 ^, j& d/ K0 c7 o# D
说明:木马FTP99CMP开放此端口。
~3 k+ [6 `3 l 端口:1500 # o# L2 n: R7 Q* |$ k. H [
服务:RPC client fixed port session queries / f/ L) @2 T9 p0 W5 \1 i
说明:RPC客户固定端口会话查询, t9 i$ L! @5 t0 d
端口:1503 ; j- p. n" }% V }9 y: C
服务:NetMeeting T.120 ) T/ l: U+ N* n1 D1 b
说明:NetMeeting T.120) l) K" M! f' T
端口:1524
; i0 Q+ A8 G6 m, W服务:ingress * m/ q: {9 I+ u0 ^" q, m
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC
; Y' a; g4 I3 Q8 u' R8 \服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
1 L6 T* M8 U; \( ^# B8 z/ k。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
n" ?& r; ~3 T/ ^0 m' h3 |* m600/pcserver也存在这个问题。
& j6 Q, d! H: h5 Q; e常见网络端口(补全)
9 [) V* x+ c+ l" U* R 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广7 |. i& E- n( ?5 J2 M7 L; `6 o! X2 a, Y
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进; y) ]7 o, ]: S1 l
入系统。# Y# J& n& h5 r6 d
600 Pcserver backdoor 请查看1524端口。
5 t4 H# D8 z+ |7 T& i一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
W& s4 n3 B5 G QAlan J. Rosenthal.3 H& D, h2 _. |2 @
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口
5 M, L+ N- m' r K的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
" K1 T' f) M9 C% y' H) |$ {# qmountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
# o9 A( \$ M8 y/ }: Y. E5 }认为635端口,就象NFS通常 运行于2049端口。! K; f$ w" R" H$ ]
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端- o" k2 X' u9 w' ?
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口. k* }; _. _7 ]$ @1 D# O
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
2 L' x( W, Q- [) `) S' R+ G一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
+ Z# I$ s, I5 @% ]% v! j% `3 {Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变
3 F3 G' Z4 f+ Y$ o; X' d, N4 x大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。* `2 P& c$ p8 y, L. T" R6 b' W4 K+ C
1025,1026 参见10240 X, m# T: R& `( O: z) R
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址1 r/ d; J. ~+ U) r7 m% L/ N
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,: G: j" Z# E8 i- H; i
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于0 Y c# j1 Z9 n/ @) Z; b( q/ q
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防$ N0 _) o& T! W
火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
, M/ y3 s" b2 h- h7 J2 Y) `! c 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。! ~" ^1 X( n5 U w* g
$ f3 o. J f% \$ v2 C1243 Sub-7木马(TCP), ~) w0 p) X: R4 P! Z
1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针. F, b+ ~. z0 v1 D0 f
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
; G& C4 E0 [6 l" r! J0 |装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
" p/ g; w9 q$ X* D0 N你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
5 |8 r! X. S ~0 `, n7 B题。
1 @9 o4 I; t6 h: Y& E3 a- z- M 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
- B0 e& Q. \% _; U. s' o个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开8 u1 r* T _8 M9 c' ?4 C
portmapper直接测试这个端口。2 Z. a8 E! E$ Y* w8 C4 Q6 R
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
1 H# ~% \$ D2 S8 g8 m% O一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:" {4 I; y% P, v a1 d$ S
8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服: C9 L( ~( V& H2 z0 M* o7 V* _
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。" |+ v" b" M( H( u# E; g1 L: R
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开2 F, J8 n% C7 A3 p, P9 U O; r6 D
pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)8 t- [( Q/ K3 G6 v# j$ R
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
" Z" [/ j5 d4 e9 w6 r寻pcAnywere的扫描常包含端 口22的UDP数据包。
- J3 M; }% H% q T& l 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如
2 }) S' G) z2 h+ q; }" _当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一
) b2 F" \+ _7 j$ k+ K- v人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
$ s3 {3 E0 `! w$ v. r告这一端口的连接企图时,并不表示你已被Sub-7控制。)+ l& Z: q6 O' j ?$ i
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
( ^! { N3 J. P8 I; f5 t2 s9 d& X是由TCP7070端口外向控制连接设置的。: F4 S( n( M/ t/ A
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天2 q( R6 r7 i; _# n" w- g S
的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
7 v! e4 T* e o R# m" v。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
" [% k" a( `! c# U8 ~6 ~" e了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作! b* L, g, A+ O" X3 L: S; \
为其连接企图的前四个字节。
8 q/ C5 i0 S; P- ]5 Q4 K 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
' F: u- P$ Y7 ?8 F! ]8 O1 @"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一3 B, I2 ^& n1 k0 F' _: K z
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本4 I8 K! A. s e
身将会导致adbots持续在每秒内试图连接多次而导致连接过载: ) H1 }' {) ]3 N H8 F
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;
1 a% _3 g! a f0 D% O, t% N216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts1 m [4 ]8 X( d/ z4 c
使用的Radiate是否也有这种现象)
& x9 z! e& {3 t9 u+ _: q& [' F 27374 Sub-7木马(TCP)
2 @+ o2 @9 q8 U9 X/ Y& }1 } 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
. e0 ?1 q% p" o) _9 f1 K; y 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法4 o8 r8 O% P" Z, J
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
5 ~8 _7 \3 t8 R1 ~ p有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
5 L/ T0 i0 _2 c' f* d, e, @& L! U {越少,其它的木马程序越来越流行。
7 E/ ]2 e0 [2 b6 ]- K$ p! |, C- ? 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,5 G' L9 O) ?: |5 A
Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到+ k; X/ D8 J& o5 W) T$ m- i
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传0 Z, J/ Q3 V) o! s
输连接)
7 \2 ~3 ~! W; r8 q" I) a& q 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
9 A8 n1 [9 T$ z( {, [* J; B6 |Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
6 n f c; K! K [Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
1 L4 z- D, f. v1 L) m* T寻找可被攻击的已知的 RPC服务。6 ?" [ `7 t5 H% k- X
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
. C, Z& y' A& H: x, r4 k4 p2 u: `)则可能是由于traceroute。& `- l. D2 a1 T8 o0 z6 k
ps:
$ \0 H1 a% }) |7 f, v其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
* r) |/ t! d$ Bwindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出; N- D# F" ~/ y9 Z
端口与进程的对应来。$ G1 e) B. `5 q" ]3 ?: F6 l: p
|
|
发表于 2012-2-16 14:00:57
