|
|
从0到33600端口详解; @' P/ j. S* k. \* d: U
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
. B0 f# L5 r# d' \4 mModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
) R# k7 m6 `& m& |* K。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如3 v. f1 d1 k: \0 P1 ~9 S
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的4 n) x- d. M* U
端口。
3 X9 p; I F1 V; U9 ^4 v1 S 查看端口 8 s6 t+ A; \6 e* s: d# I @- N
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:7 g1 @) b5 C* \
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状- E: ?2 h! \4 D4 {0 ~& s
态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端% @% D3 a4 m/ p4 U5 M
口号及状态。 1 y- _; ~( g- i
关闭/开启端口- T7 Q3 O) U; S7 b
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认, `- C8 G2 H# e4 ^0 J! f. }9 T
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
3 g% D3 V; ]4 x, [& U服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
3 f6 c4 F$ h1 t( d5 N1 f可以通过下面的方 法来关闭/开启端口。 8 {4 L4 U5 k; H+ l. d
关闭端口2 e: L) a# d q9 e% t5 Y
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”* g* F. m: t/ f; k& Y
,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
# S" ` {: ?* i2 j6 yMail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动
- R% [# a& W/ H0 R/ Q类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关
% |! [6 Z& O. w, M$ d' f闭了对应的端口。 3 F# J) o/ ], ^
开启端口
; l9 T$ E3 [7 ^% `$ J5 |7 f 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该: S" p5 k" m5 x6 ^% |
服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
T; T: q ?) Y- m5 q/ G。
" ?4 u* J/ r3 g) a9 @8 s& [+ R 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开: W8 _" R9 m0 |- M/ M/ K* A
启端口。
; W/ z1 s2 x. ^. c. f4 Y 端口分类
" c" n: @6 P0 D0 C1 A; \2 Q2 Q7 Y 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: ( H7 G( I8 f1 A: a q* p
1. 按端口号分布划分 ; R7 m5 W6 |5 F% J6 c% \; ^' ?# e
(1)知名端口(Well-Known Ports)1 G) Z' r F f1 p- \2 O
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。" Y) @, f" e2 G
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
) v" v% ?2 h5 gHTTP服务,135端口分配给RPC(远程过程调用)服务等等。$ ?( u ^9 `( ]; D+ a I
(2)动态端口(Dynamic Ports)
7 F* O" F# d- J9 b, T) f( A 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
0 F7 _& H9 H& r多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以, w5 ]: r0 E4 @4 z8 w5 D% o
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的6 @1 r$ s/ [, @) w
程序。在关闭程序进程后,就会释放所占用 的端口号。
1 J7 ~, I; W8 e0 j& Z6 E% I2 q4 w 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是7 J- t" L. \; Z" H @. e3 H% I
8011、Netspy 3.0是7306、YAI病毒是1024等等。, R3 {- v7 Q$ Y, z1 @
2. 按协议类型划分
+ i) M" ~* I O6 p1 ~ 按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下
. E5 s. f3 ?" S+ O T面主要介绍TCP和UDP端口:7 ?% g6 ~& P- t6 T
(1)TCP端口6 R5 I9 a4 h4 h/ G4 f; M# y$ t
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
. H( O) f5 j( \, i( Q% o靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
9 P$ ^' v( X j" I- A6 K" B及HTTP服务的80端口等等。$ T3 F0 I3 _# Z$ Q
(2)UDP端口
6 H b9 A7 }6 T3 @8 @: {5 D2 O$ O UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到
5 R: }; T5 W4 h, |9 }) n保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
! G2 U; ~' Q5 I8000和4000端口等等。) ^, f& H5 r# E) ~- l
常见网络端口
; t( g0 Z5 R" h 网络基础知识端口对照 7 U2 ?- \6 O1 g) Z+ W
端口:0
7 }4 b% R" O2 r: K! Y; N& O服务:Reserved ! d' z( |% w o- G
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
! l* d( A% L0 L0 `% l0 H你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为& J! f: y; M6 x4 ?! n8 V! b5 I, f4 g5 c
0.0.0.0,设置ACK位并在以太网层广播。
% ~% P, {7 A+ z7 r( Q, M 端口:1 6 S, o7 g" u2 \6 M3 S N0 T' n( a
服务:tcpmux
. J# {; |# W4 s9 V' s( a说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下2 q2 E! x9 V1 C8 t
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
3 b6 D5 A5 }1 s) J9 rGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这
4 t) Q8 t- v K& L, z些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。 + k" E: Z+ t7 q: t. W
端口:7 ( |" d+ ?' ~( L$ ^. ?
服务:Echo
4 |! f* Q9 N r说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
5 u4 [ ] Q6 x* e# i3 j# ~ 端口:19 " }7 y! ~8 P' e: R7 K% z
服务:Character Generator # i/ }1 K+ D, N& k! j+ P
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。
# p& P @7 D6 C6 [8 Y' CTCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击
7 ?' D( L" ]5 A5 j。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
6 Q Y* G) B7 F7 s3 Y' B/ J4 J个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 ; P& U, z6 s* `$ f) _. h3 e
端口:21
: y* v2 c9 a0 m7 G: _# E. t* k服务:FTP
2 e/ a5 ~# P$ K, l w说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
* }2 ]& K8 |" [) D7 C的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
* H' O0 j2 @9 K/ M! @6 jFTP、WebEx、WinCrash和Blade Runner所开放的端口。
( ^. a5 H$ R( ^2 J5 q" K 端口:22 + D: c8 r' J/ X3 V% ?
服务:Ssh % G, b) F% q; ]5 Z- O3 f S
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,% R4 L$ M' ~, F3 C3 D7 f: G. `' w; R
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
5 J5 s/ x) r$ H 端口:23 : j' s9 Z/ f y7 U# s
服务:Telnet
) a) Z+ Z% @/ n. T说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找+ z) _" G) C- I4 c
到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
5 w1 f2 M' @* d c# N" p! t2 a* \Server就开放这个端口。
. L( s" b' P0 T5 _( k 端口:25
! R7 X( J* @0 K& O. D服务:SMTP $ G6 o) r& t x
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的6 N: \6 y' ]3 {% \
SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递
! `. ~! Z: n% B( ~到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
8 b6 Q( o3 z6 D2 i5 h3 r( ~& G$ u、WinPC、WinSpy都开放这个端口。 6 Q1 w" c/ d/ i' g3 @) ?
端口:31 ! A }. R$ p5 V4 \ o4 |
服务:MSG Authentication ; D, e$ l5 f5 a- Z3 p" I5 E
说明:木马Master Paradise、HackersParadise开放此端口。 & ?& n" v% g$ Y- }1 V& R! R% t
端口:42 ( d" X( g1 E$ n$ J
服务:WINS Replication - Y( V6 S5 o. d) M9 C
说明:WINS复制 + i! }. b3 u9 ?8 Z# q
端口:53
; x+ O( B% D6 F t; h1 u2 N服务:Domain Name Server(DNS)
m% N( g2 `2 }说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)5 ?$ k8 }: z+ N+ Z4 _
或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
$ L) Q, V: ~7 M. L, r 端口:67 . C% d% ?. k. W) {" L* e( E; [( j [" T
服务:Bootstrap Protocol Server k: e: x- p* V3 D! Z0 a/ _
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据 I8 S8 Z. U0 x1 j; t! @, @6 {1 Y; r& [
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局/ ~; d3 K3 ?- _" T# r% w+ t
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器' ~1 r* q6 f! X R# R/ s
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。4 ]( ^! `2 S, y8 ?
端口:69 / n1 S, s/ R, b' W! G: _
服务:Trival File Transfer
3 }0 o) K3 J3 T( C说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
8 @: \) Z' s7 P7 H8 j. o( T错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 : E. Z/ Q7 X) t* N+ q$ h
端口:79 * |: h6 l! r1 [" _$ X$ x* I
服务:Finger Server
9 d+ ? u! V6 G- G说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己4 k& ?5 w% Y k0 \/ s4 |1 D
机器到其他机器Finger扫描。
; e: Q) \ a0 m2 i 端口:80 . ?/ k) U9 R; \3 H. j3 f+ O9 p' _
服务:HTTP
. A( N D9 u9 x6 D, A说明:用于网页浏览。木马Executor开放此端口。
+ m i% [ g- ^& f% P# F" V' b$ D7 o 端口:99 . s% u" D( H: R
服务:Metagram Relay 9 S/ ?9 Q( @% h4 w8 v
说明:后门程序ncx99开放此端口。
2 n; [9 n+ G7 b! ? 端口:102
K6 g7 J, A* b) e$ A服务:Message transfer agent(MTA)-X.400 overTCP/IP
- I( Z2 a- x0 E& r( k7 j; A5 C" }" ~说明:消息传输代理。 ; X' e2 T: v! q; L
端口:109
" q: w- N6 O, o' r! C3 l服务:Post Office Protocol -Version3
0 x' V6 s2 H( e! l4 @, T+ ?8 z& R7 v说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
# C# P( r) F/ k7 @% S有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者: i/ n& W" ^2 F0 ]9 ^6 l3 v: Y4 J) {
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
7 i2 s2 E9 }* A5 \$ w 端口:110
& G; l! \; m. O* W服务:SUN公司的RPC服务所有端口
' j2 F0 F' Y, ]说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
' i6 ^. r- L6 q" D 端口:113
+ _! u; c A5 V4 q/ o1 b. v服务:Authentication Service
- |- h+ v T, E8 t, P说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
5 ~ L9 R+ h8 c6 U以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP# s9 s3 w* ]7 Z+ |) r7 u' { G
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接
* ?6 G. v/ q( F/ r3 D9 o* d9 _请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
. {' [/ @% T3 k% i。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
! T5 {5 k) P/ M$ n 端口:119 7 B' u; V. z) B% T, h
服务:Network News Transfer Protocol
) Z. W$ U) w) u5 b7 [% f说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服1 c7 I, ^. U1 d8 m/ ]2 j1 L
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将1 r/ I' q [* l. I' t
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 & ?8 K0 {9 ~: @+ ^/ q) t; b- n: M
端口:135 $ x; v/ T4 ^, X3 w3 P% S
服务:Location Service
+ L$ O( q+ j( ?" M5 [# _+ G/ h说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111. m* U. f; J8 c) A, p" Q) u
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置* u, M3 w" ^$ X3 h: |) Y: K3 J& {8 U
。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
5 D2 o4 t- H; L7 l# j/ \机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击4 d7 M5 X+ [9 H) S: a V. a
直接针对这个端口。
' u2 s: Q) F, T3 L' C- V! G% Y 端口:137、138、139 ( D" }; |7 g3 r9 N& C8 W6 {$ I# a. @
服务:NETBIOS Name Service 6 L: v* G& c1 L; a! y7 A
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
$ d" a2 z6 q: d* E; v8 w这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享 A$ t0 F/ f) c! d1 b
和SAMBA。还有WINS Regisrtation也用它。 # X; B; u! p' @. ? C! M# |7 ?! \' `8 t
端口:143 ' }3 x) b6 u( {4 z- w
服务:Interim Mail Access Protocol v2
1 X! I3 x9 U% r$ @3 f说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕, N* I* \- G& ^
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的, F# K) p( ~+ R3 c( V
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口: e, s( m4 l( }* B4 w
还被用于 IMAP2,但并不流行。
) ^( |- e7 C6 E 端口:161 ' u. m0 a# x% \
服务:SNMP # k+ l& T+ G0 q6 v( I- [
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
$ C% ^" h) T, X9 B' g些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码5 O1 P; u% E1 D1 h N* P/ E4 i
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用/ l0 |# B+ `& }2 `# O; E
户的网络。 * U4 i1 L7 n/ V* {' `0 K5 s
端口:177
1 v z! ] z4 r服务:X Display Manager Control Protocol / C/ l7 k6 b" h8 ]$ g$ b
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 7 Y; ?/ c0 `' u* z y3 i; H b
3 u: b& I" s: _. y- u/ H2 T
端口:389 * _7 w7 H/ L/ J! v' `7 [: r
服务:LDAP、ILS " F9 z& h( `0 W9 H! _0 W7 [4 u
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 ( d% j& u+ ^% i5 D1 Y. K
端口:443 0 j2 M5 m2 S" D4 \. V0 r: z+ ]
服务:Https
' e+ ?1 W6 D0 J; L9 C0 N4 p说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
& A3 T3 H' Y( D6 P. r 端口:456
0 T3 i9 _+ ~3 E服务:[NULL]
9 v5 ^, F3 D/ j+ a6 E& A+ h说明:木马HACKERS PARADISE开放此端口。
. q; z3 N E/ B5 W! t& z 端口:513 4 ~) D' w) h/ n. r
服务:Login,remote login p' d7 ?7 R4 p4 ^+ l7 S5 ]
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
7 X8 {7 a1 p9 ^; F! c进入他们的系统提供了信息。
: x9 Q$ g7 T$ n3 c- t 端口:544 / V1 I3 [0 v1 w6 `
服务:[NULL]
9 m* m9 _5 M" u% _& ~. f9 a8 p说明:kerberos kshell
& E1 g7 V. H$ o. h. S+ G 端口:548 6 I% B8 f' ?" f! M' y( O) s
服务:Macintosh,File Services(AFP/IP)
, D2 x# E- X% U说明:Macintosh,文件服务。 8 Y! z3 N+ V7 Y' a; ~: f
端口:553
$ W1 N1 v+ `* I3 \6 ^$ M5 ]服务:CORBA IIOP (UDP)
; q' n. A/ ]/ [" f \说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC7 {# b% U, y8 Q# W3 \
系统。入侵者可以利用这些信息进入系统。 7 U! E- E1 y( d" q
端口:555
: A/ u# m5 M( C$ W服务:DSF ; o# s" I9 q$ l; J7 {
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 % e' L9 U2 O. D5 E% `$ b) _
端口:568 1 W+ D. e+ y, H. P
服务:Membership DPA " t0 N# {, u1 W% o, x# L# w
说明:成员资格 DPA。
6 |3 I! K; g! @+ } 端口:569
( b* k6 z0 T2 Z- Y) \, b! o( C6 i服务:Membership MSN
& G$ I2 q) g2 G说明:成员资格 MSN。
9 [7 n r6 ?+ }) X: T) a 端口:635 ! O) i W U6 z$ J2 Z _
服务:mountd
( u5 p9 v1 f3 k1 B说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
, } O6 M) M% {! H1 @& ^,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
6 J4 |8 I+ L& N$ x7 Y# ?何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就
" J" g5 J! F+ I$ i% o& C像NFS通常运行于 2049端口。 2 U5 a1 s; |! C) ~, \& I
端口:636 + f' w6 S' r' e) Z5 o6 t, M
服务:LDAP
! z$ i) r+ F: D- e+ q' d, z说明:SSL(Secure Sockets layer)
1 g2 w: D4 M$ G5 T0 m* B/ L) C* B 端口:666
; {" \- O! `# g' H# L服务:Doom Id Software / k0 x% F, g O4 V) q
说明:木马Attack FTP、Satanz Backdoor开放此端口
9 [" q2 c! z m+ T 端口:993
+ t$ {- K& j3 l. m1 ~. x服务:IMAP * h3 t. J& l$ O9 S
说明:SSL(Secure Sockets layer) 7 b5 K( A0 X3 N$ o6 \
端口:1001、1011 . G/ d$ l s" o
服务:[NULL]
6 M5 R* y) V5 Z5 R/ `% x0 x8 p说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
: l/ P' H' J3 S 端口:1024 & w* Y9 n. F+ o, N0 h
服务:Reserved
% t8 Z9 x0 q5 g& z+ g" a& c说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
. E- \# x8 Z5 g) L2 @# U分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的2 h- N% `5 K m( G) X
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看% `8 n$ } w& G) x( ~) R
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。 @: w7 I$ D p
端口:1025、1033 ' k- e" F7 l. s9 D
服务:1025:network blackjack 1033:[NULL]
) g& I& }, [( O. a# |说明:木马netspy开放这2个端口。 6 B, v' J9 L7 F6 b: ~
端口:1080
6 e- u( O" s' ~$ {3 {9 k服务:SOCKS # ~4 R7 {. Y4 E& Q8 Y0 D
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET j0 `$ O$ J/ S6 l
。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于
# {5 h) B/ Y/ e2 i& J- E防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
; R6 s# \" c! c* y$ [" |+ h种情 况。
2 N5 m3 S. G9 O5 r. a s, N0 `; C 端口:1170
6 r! p' X+ y: |# x服务:[NULL] - Y9 \1 l: Z2 M; G2 l- y
说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 2 r b+ E1 V: r/ {
端口:1234、1243、6711、6776
) u6 M. }% Z# Y! X4 E l服务:[NULL] 4 N/ b1 u% s9 X3 G. P2 Z* i
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放$ l9 p- u% j1 U: |7 m
1243、6711、6776端口。 4 E* V, e$ \" ]- C
端口:1245
9 M- {7 s- j }2 u* `% |, l* B( }服务:[NULL]
+ c q& s. q* @4 T7 r6 y7 ^2 d说明:木马Vodoo开放此端口。
|8 a, j( y9 M0 H4 g2 N' k( I 端口:1433
1 m& | d6 R( G" x' J1 m服务:SQL ; j, V- G, |& n6 Z' h
说明:Microsoft的SQL服务开放的端口。 0 p2 \* C. y) q* `. C
端口:1492
) |/ r8 P8 R! k8 Y2 F服务:stone-design-1 % C' q( ~0 d* A L7 ~3 K/ n
说明:木马FTP99CMP开放此端口。
+ b) @6 g. k! A# \" V" Y1 R8 \ 端口:1500 % g4 _4 W1 J; k- d# h p4 Z2 s
服务:RPC client fixed port session queries 4 `4 r/ b* u- R5 v
说明:RPC客户固定端口会话查询
. Q7 E7 j: r' n5 ^ 端口:1503
( ^* _! v; I1 K! `) z+ g: ^" X% a服务:NetMeeting T.120
. o! T$ `, }1 u) C$ C' M/ U说明:NetMeeting T.120& U% L( D# L' g' w! r! h! w
端口:1524
5 X0 T" l9 W( T4 b7 i) w服务:ingress + J% q9 b; B: q. ?
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC% K/ |: Z% A! F9 d% O" L. U7 Y
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因2 u; f. F- M. t1 l# M
。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到( e1 M" V9 u: \( R q7 J& Q
600/pcserver也存在这个问题。5 c0 r1 @; G8 ^5 a9 ?1 ?+ K
常见网络端口(补全)
) u0 V5 F; ?/ K0 H 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广4 C, L4 t* H$ i9 j
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进
. [ ~" Q' I' Q) R入系统。; ]3 B1 o- `" _4 _! [
600 Pcserver backdoor 请查看1524端口。 # {$ a6 Q- H) s r
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
4 w* B5 ~0 [. H) Q( \/ m5 MAlan J. Rosenthal.! s8 t0 T5 I. w2 J8 i0 o# k
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口7 ? @0 |5 [" f/ x* y1 l9 d
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,$ _( g6 j. ?* e* x) Y- T! i1 B
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默- G5 K, v3 K) Y1 G# v
认为635端口,就象NFS通常 运行于2049端口。9 D4 u- Z7 f' m: }
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端9 z: |1 i9 ]: f; L
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口- ~1 u' _& o: ^, w$ V
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这% T2 j. d% ]+ [% E
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
: Z t) p* e# J" y6 XTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变. P# ?- y6 S8 ]
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。. l3 }+ x6 @- n5 L* B, l+ |! V
1025,1026 参见1024/ H" ~$ \1 T4 K
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址5 s1 }4 X- z: v0 d
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,
# C3 i3 T. M# g4 [, Z它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
! ^3 \8 `: w5 O9 j% K) zInternet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
# h" I: `; I+ r! {5 G; `& `" g火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。& @9 `2 [ O* I+ z. {+ a, e/ D
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。, H/ N# W ]4 q3 e O
7 |# V: h. t0 ~9 o; x1243 Sub-7木马(TCP)
8 S e$ W5 f* @% \9 ?( q6 j 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针1 C/ O) U H2 g7 c8 s/ M8 c
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
$ G' P6 d& o% }0 T* T3 K. E装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到) }3 \+ j( L, Z' @4 L
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
* R1 ]9 X0 [9 l: \题。0 z7 |! o# ^& }5 B z% c0 |
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪% x9 Y8 Y9 n! O, s
个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
' t {* T- O/ k4 h+ q; oportmapper直接测试这个端口。6 P7 Y! b* v& [
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻" N5 M1 }. }% S! k, k
一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:# b/ w$ X/ D( e- V
8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服
. h9 v2 w/ S7 Y5 q1 d/ t* z务器本身)也会检验这个端口以确定用户的机器是 否支持代理。( D1 B8 f% i/ j7 J6 ?, ^; J) r
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开& l) u! T" ^3 X! d
pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
/ z" r% q+ v. I) o, M。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜, V9 ^& z# t, m" u! `4 g5 v: R, `, z
寻pcAnywere的扫描常包含端 口22的UDP数据包。
* s @ ~% w- b6 l5 I$ e3 M9 c 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如4 e( a$ |6 x" i9 i, h% Q
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一- K/ b Y3 U2 q: ?+ m! c; O
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
! L8 r& O' V3 `* y) ?告这一端口的连接企图时,并不表示你已被Sub-7控制。)7 N) ?5 K$ e, P$ ?& H& T$ ~
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
( u& c) V: ^6 E+ t是由TCP7070端口外向控制连接设置的。! @$ o/ D& e' ]' b) @7 f# @0 x6 X
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天7 t/ F: P3 E' f- ~& c7 B
的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
5 N' y! d) |$ _6 @. f J。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
, ?3 [+ v" J4 E0 r了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作7 G5 {4 L( z. a: C
为其连接企图的前四个字节。4 t* W' R/ v& Q0 B! g5 F
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent* f9 ]2 ~9 x/ ^) r! o6 v
"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一" r4 [) M" w; @0 C7 N
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本( j, v; e2 ~! v# f) M
身将会导致adbots持续在每秒内试图连接多次而导致连接过载: ( |: z9 B" _2 H* m& F! W
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ; t0 f+ z; o' | H
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts F0 V* S1 a& E9 a9 J" S! n1 N
使用的Radiate是否也有这种现象)7 N: P+ Z) {; h. J1 p P
27374 Sub-7木马(TCP)+ i( I) U" n# f4 G
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
, L' d2 z/ C; A 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法
% n/ t; l- e c; t语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
) T8 c0 k- w2 v: N. G( }有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来% o e" L! |) M6 K1 Z+ `
越少,其它的木马程序越来越流行。4 m7 T6 E: P; f& V. J9 C
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
# }6 m3 C4 l6 a! P/ X' o: ORemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到' \/ X7 X/ ~5 z7 f2 Z- k
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
" O0 W% c" F9 V' j1 E' i输连接)
& w1 O% n, P' J& S: l, h" J 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的2 x! a6 j; A" U, L7 ?7 p
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
}! s' M# P4 u4 W$ @0 Q( tHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了, Q5 b3 m' I; ^; m1 w' O6 q/ I4 v
寻找可被攻击的已知的 RPC服务。1 s2 y L2 |1 `& H; S
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内1 z. h; s! K5 C. z( f {0 ~& |
)则可能是由于traceroute。
0 H0 J: ]' f5 `& d+ Xps:; w1 x( w$ u: X9 y+ n0 z6 K
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
" k% b9 G, ]- ?0 Z7 s& Dwindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出. K! L) j, \( E% V- m6 _
端口与进程的对应来。& X6 c6 e1 Y6 d( S/ w
|
|
发表于 2012-2-16 14:00:57
