|
|
从0到33600端口详解
+ U x& I6 W p' [ 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
) z7 W) y7 |" h1 z0 yModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
! K2 v" e% n' w& F4 E。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如0 j g8 |3 a$ k& [
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的
( r7 C! [* v& B7 A; Z* x端口。 2 K" U2 z: V2 i$ p# I5 E
查看端口
S ]. T% |5 ^* z3 _2 t5 A 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令: G4 ] F( m4 o* f9 a( D$ s, `
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
$ V$ q9 }& J: b, T, n# w8 Q1 ]7 n态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端0 P, N" i$ h; \8 o( L
口号及状态。
- Z! @6 `) }% Y9 ]$ G% d' N" E$ M 关闭/开启端口1 {5 E) \1 }1 g2 B, G% M
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认2 g' n, S& u( V+ i; X& K
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
# F) @3 |+ B+ ]服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们6 H9 Q5 H3 E; W; z! V0 L( v
可以通过下面的方 法来关闭/开启端口。 * k, {# w/ `$ O7 s5 X/ y" M
关闭端口) H% q x7 k" E; v# o
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
4 B2 z# }( r* a8 d- t,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple" l. \0 ?* ?: d+ r% s& t
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动" M, ~7 e/ A% y0 j( u
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关
q$ b# S6 s2 P闭了对应的端口。 }1 z6 R3 v, p k
开启端口2 j- M$ V) B" P4 \& z% ]7 A% m* n
如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该" ^* m4 ] w; [1 J$ Z
服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
* f3 c- ]$ N0 b& w- k- l. D。. v5 E, ^: H2 N9 ^
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
: y" j( x9 i7 c! X, a l启端口。. W: Y2 O0 C2 s5 U( a5 }* }
端口分类
) r4 |$ j& P4 s. ^1 U+ @8 M 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
' {+ r: d# c# E+ q0 b4 D7 ? 1. 按端口号分布划分
; X/ F$ D* U5 t$ G7 ?/ R (1)知名端口(Well-Known Ports)- P8 z: d. v% ?* l' m
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。. R! j2 c' v. Q# x
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给
8 p1 i ~- l, L. hHTTP服务,135端口分配给RPC(远程过程调用)服务等等。$ M* }# ?6 K* @5 m
(2)动态端口(Dynamic Ports)
+ W( k6 ~7 `: L) j) \/ y& \ 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
5 q5 R( z( @& d/ h多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以
' O1 v8 @% r8 z/ p从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的
& S$ g9 U# X* K程序。在关闭程序进程后,就会释放所占用 的端口号。! _. ^; @& `5 _/ T
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
+ {- k0 N& z2 ~5 @6 C8 |. O- [8011、Netspy 3.0是7306、YAI病毒是1024等等。4 H$ [) b$ c: H+ p7 n+ g3 C
2. 按协议类型划分. ^; {6 `: A4 k: X
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下
; ]( R X4 M# `: ~# L: |面主要介绍TCP和UDP端口:" k1 b$ j5 l, ?' ?3 y. h0 d& d. b; E$ K
(1)TCP端口" o( r, Q- d7 o: ?& C, K0 w. K8 @
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
- `! l3 x! v- e7 @靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以1 w0 I( k Y% }% i) ^
及HTTP服务的80端口等等。1 r1 I9 I* [; ]4 B% ^! p* Z
(2)UDP端口+ y( v1 Q0 q2 @- z8 F7 A- z" ]' `% s
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到% H( l/ d: u( l- B% I9 ]" y. N
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的7 W5 L6 Z2 F- ~- F
8000和4000端口等等。; E1 u/ [, u. @( s$ h
常见网络端口
( u) G9 N7 p! D& L0 V3 z 网络基础知识端口对照 4 f9 O) _8 J6 e# ^4 U! m, ^/ u
端口:0
4 ^9 n/ D2 R3 V5 k服务:Reserved
$ S* y: n0 Y+ |* E: [( r! J3 M说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当5 H5 f9 }: F: ]7 q
你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为- m! o1 b1 ?- a ^! v
0.0.0.0,设置ACK位并在以太网层广播。
9 a- c) ]; M0 s7 Y8 V. T/ x( s 端口:1 2 X: r E( L0 k* e& X; J& v3 H
服务:tcpmux ( W* G3 C- R5 n! {% F" B4 j% F
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下
+ R Z' B% h( \0 ktcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
; P8 G9 e' Q: [2 i! Q' MGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这
+ {3 j M' h# B2 g7 }+ O些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。 7 d, V, D! Y$ s6 h- P2 S! n @3 t
端口:7 * y' t& q# X, q2 M
服务:Echo
0 D$ u# M2 R! ? ]6 W& g0 y6 h4 }说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 " _& L& K4 f' i
端口:19
4 k5 L+ D2 E y M1 {2 x服务:Character Generator
0 y3 N, l* n* y5 }+ E5 s8 s4 j说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。
, ?0 X0 }- N ~9 o, X1 KTCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击5 L$ R+ J% H2 l: W
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一% i8 u! s8 z5 e
个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
, C- J, n% _% o- l* j' m: ]! n1 R 端口:21 $ \0 N: D2 }2 j8 l, o
服务:FTP
8 S7 c9 e, O9 H( Z说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
2 p# V0 C3 G. }6 i的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible8 {' L3 X, f: M3 K1 q
FTP、WebEx、WinCrash和Blade Runner所开放的端口。
7 e5 X; p* r: I9 X# W: y 端口:22 1 T7 |8 R: x# n- v% r
服务:Ssh
5 Q( u& h. \7 s3 O说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,( Y9 Q, d5 A# m# t& u
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
6 ^# y1 \3 _1 g4 J5 k8 X1 ] 端口:23 9 M5 }" g: n8 G! J, A; m& b
服务:Telnet 3 z0 {8 c6 K3 r4 a: J3 p, i1 H2 X
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
6 ^0 G/ }% ?1 s到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
3 M X' j7 j9 }% E% O( C: P/ FServer就开放这个端口。
# o! R; T J; J) a: R* c, ] 端口:25
# e* G. j$ M2 w服务:SMTP # s8 Z9 \2 }6 O
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
- K: t/ X, t. h9 f5 Z# ZSPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递
- v0 t/ u _* U, m- P, X& b到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth) j# Q# d+ b; `, e" R# V
、WinPC、WinSpy都开放这个端口。 6 Y, T& Y \& G% a6 A8 y3 Y
端口:31 2 p$ k! B6 A% A+ Z4 G7 k! Y' h
服务:MSG Authentication
# h1 Z7 j& S% X, l说明:木马Master Paradise、HackersParadise开放此端口。
S% n6 V$ {) H 端口:42 2 h: m! [6 b9 }( I5 n2 `
服务:WINS Replication ! l4 v7 Y8 o7 t# V! f% H" D
说明:WINS复制 3 K! f0 T i4 i4 k
端口:53 + y5 @- m4 ~: e! t6 n6 s* W" B
服务:Domain Name Server(DNS) 4 H3 Y6 K/ a7 Q7 H
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
2 c* H' g$ R9 B* z O或隐藏其他的通信。因此防火墙常常过滤或记录此端口。6 q" l! M$ p1 Y
端口:67
- n, d1 Z& d+ L服务:Bootstrap Protocol Server 9 z% k B; C+ f7 W5 [
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据
" ^5 }, K* J7 g。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局3 n: X4 S- a# L" ~# Q5 W
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器/ F' ~4 l8 J" E6 j0 B
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。0 D0 P7 L& o/ P( E, l
端口:69
3 K, y. [! z3 R5 t" @; A服务:Trival File Transfer . ]# b3 k) ?) [# q! O' L8 \. E
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
3 V$ W0 t# G- [错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
0 a) N9 [( g" p 端口:79 2 H _0 U1 N% U) i0 S
服务:Finger Server
3 s4 \2 |* ^: E: F+ I说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己
2 e$ N$ p, L% j机器到其他机器Finger扫描。
7 b! C6 o6 ?- z% o! b 端口:80
- |& O# i9 \. u" b c7 z服务:HTTP
2 ]% W. [" z5 A& E* K说明:用于网页浏览。木马Executor开放此端口。
, x. q; X2 o+ M2 J) U0 n 端口:99 : q1 c8 l: O) _! l0 Y v% V
服务:Metagram Relay
: R& n, D9 D6 j& V4 r4 q说明:后门程序ncx99开放此端口。 9 q2 j* n7 F! |5 Y: L8 Q
端口:102
. d+ g% g5 Q/ j7 s3 u* x2 F! b服务:Message transfer agent(MTA)-X.400 overTCP/IP
/ R* ^8 x' U8 Z5 o: S; ~ P. R' j2 B说明:消息传输代理。
+ E9 V0 ?$ D. Q/ u) q8 \ 端口:109 # m5 h# S) U. E& ^
服务:Post Office Protocol -Version3 / ?$ {2 G. B) _0 u+ {4 E
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
+ @' j8 U9 V% K$ b# L有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者) }8 B5 s g. H/ g! N. P
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
7 J! n- W y! U7 Y% G* {$ f# d% } 端口:110 + ?; f# D$ C+ ^1 ? A/ `
服务:SUN公司的RPC服务所有端口 5 e: w$ @; l) Y _' c" Q' K. M
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
! a4 q( h# q, t; g# j 端口:113 ! `' p# b) N2 O. q. B8 i- X* a* q2 Z
服务:Authentication Service
) L% G' Y, A5 ~: y( R9 F& @6 w3 k说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可 d7 a' m' w: K" z+ \8 r
以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP
% X5 P0 ^; ^. g8 n/ p* ^; f! h和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接
8 S) w. w5 C, M B+ ?& v) @请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
- q( l5 t# r$ a# s. I: y。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
. C7 @; X: m1 ?: L6 ? 端口:119 ' B% f6 P. Q' p& d. |
服务:Network News Transfer Protocol
$ ]' m/ E; E3 n0 V说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
9 c1 N* K! v7 @! i# T务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将
3 B9 G, d) Z; Q! \2 H% u8 u允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 * l" N5 R% Y5 d6 l
端口:135 6 e% E& Q) X1 s9 R
服务:Location Service 5 i4 L9 r: W- \- N
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX1117 A- R9 H2 I5 h8 \
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
/ ]0 n: c7 X- C/ b& S; H。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
+ M. L/ `' J% H# h# @机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
! b$ _4 t: D. N/ V' Q: ]3 A$ D直接针对这个端口。 : `4 t' A, n4 y$ ~5 x
端口:137、138、139
- [# E$ D0 i. G7 g7 N4 v服务:NETBIOS Name Service
' X" {" ]4 w9 a# _& A2 q说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过) d- Y Z3 d4 }* m* t; V
这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
J; x( v0 A2 v! P& {( m i6 X和SAMBA。还有WINS Regisrtation也用它。
; C6 h% U( e1 k; _+ g# } 端口:143 * [- `1 k) r# A7 b g- a* x0 ]
服务:Interim Mail Access Protocol v2
9 W' z) e* Y7 n* C& o" v说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕5 x/ J; T9 p" V9 X
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的) p7 E. b5 `% o4 h/ D
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口0 l+ r4 `+ R5 e0 m
还被用于 IMAP2,但并不流行。
9 G$ {, U/ B" h8 W 端口:161 % I$ }. c1 l) ~+ t% J" {# S8 o
服务:SNMP
4 U) u8 n7 o4 P8 }# _7 T说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这' U+ q1 a( l7 w" R E% B. m& w, ^8 K
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码
& J' C/ `+ h# J1 ~( Ppublic、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用4 {( X9 W! y1 [7 n, o6 c2 t: Z; d
户的网络。
0 ^& F& z2 y7 S. r( q9 O! f 端口:177
. t5 Q5 Y0 m% D" l8 L" C' p& p服务:X Display Manager Control Protocol , G. ~6 Z) J3 m
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
, N. Z$ m* R Q4 {( }( }) Y S: ]7 Z3 k( F
端口:389 $ y, Y) m1 X* y6 V. h
服务:LDAP、ILS $ h& |1 \8 U3 N9 r# e
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
0 Z+ @) J" n! L6 h% {; \/ d+ s, ~ 端口:443
0 v3 R" c( G [$ j( L/ c服务:Https
8 C3 y- z* M9 E8 z说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。- i" S' e' k: R+ o4 ?& a2 X1 {$ r
端口:456 $ K: z f- O0 [! D z( i
服务:[NULL] 7 s4 ~0 l# \ d$ E1 S: \$ K
说明:木马HACKERS PARADISE开放此端口。 . B$ F* o' }6 W ]7 R$ j
端口:513
% Z, M$ F% ]7 g! h& B服务:Login,remote login
7 ]& I7 G) a+ y说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
9 R1 j# m! ~* [$ E- A4 a- f进入他们的系统提供了信息。
7 R+ J4 s) j, g' \/ E$ B" i7 k8 P 端口:544
# A* G) M# M2 c, {) g( u服务:[NULL] $ f5 F& }" e& n& r5 B
说明:kerberos kshell
8 K: _* O) Z+ y E) d 端口:548 - u/ e6 c3 M6 W
服务:Macintosh,File Services(AFP/IP)
+ F% d* {: @5 ?* G; B7 l说明:Macintosh,文件服务。 ! @# f& B) s; V& V( ` f7 a
端口:553 . H/ @$ n- S2 [8 a3 A' q
服务:CORBA IIOP (UDP)
* ]2 Q7 ?0 @( P' M& g- W说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
8 ?6 Q7 @$ z3 I$ ^9 {系统。入侵者可以利用这些信息进入系统。
0 h: N/ }( S: t. y1 D$ g' a 端口:555
/ t) ?7 h* _7 X服务:DSF
z" V: b' a: f6 t; z说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
) B3 q: {( `1 O# g4 m0 I1 }2 Z 端口:568 / \8 `) T! E8 t* g# |
服务:Membership DPA 5 V) Q' }' T& g. w. q
说明:成员资格 DPA。 - ^' {6 ]6 u* X8 @% m: u- a# R
端口:569 / ]2 ~8 r; f& K
服务:Membership MSN
" [9 C" R" A; ^; m3 v9 o) V说明:成员资格 MSN。
/ W" h }0 a) o$ n/ h/ k2 f/ Y+ V 端口:635 % j& I# O# B) G8 Y
服务:mountd : ]: t6 h7 c. U5 T4 N2 t" s& W% k
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的4 p% z5 J( T" y2 `% s7 e q+ e
,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任7 \: b9 w9 n [
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就
, g& y ]/ S! s0 E5 \3 X像NFS通常运行于 2049端口。
$ }: ~8 } j4 n. U+ [. c) f 端口:636
% G5 U3 Y1 c) }, A服务:LDAP E: p" {/ C6 e9 u# n: g
说明:SSL(Secure Sockets layer) 9 r# w% C5 N1 K3 k
端口:666 # t5 o- _+ ?0 l: `) h3 M
服务:Doom Id Software $ Z, q4 w) {5 W/ O$ ~2 Y* h; ~
说明:木马Attack FTP、Satanz Backdoor开放此端口
0 _. ~; x# I2 a' M# O. J G 端口:993 ; O: ~! j( m! u- N0 [0 e( X, K
服务:IMAP G! N9 g, M3 Q! Q( h3 E
说明:SSL(Secure Sockets layer)
/ I- S6 c" e: i4 C i 端口:1001、1011
5 G1 o1 E% k* U ^' ~服务:[NULL]
' L" k$ U. H$ K& R说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 2 G+ W) h" `# k- i' w8 T7 F, S
端口:1024
+ h/ J$ d1 o0 c( P服务:Reserved
0 w: Q* E! C: S: x. ^说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
! n/ V! A! ^- }分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
: y8 Z7 |/ M+ ?/ T会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看( I8 K* Y+ W* c4 M+ ?2 M Y* K0 l
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。/ ?9 f% t, H7 I1 M/ Y, ^* V
端口:1025、1033 5 [" J: m5 q9 y/ o
服务:1025:network blackjack 1033:[NULL] - F1 Y$ [) x% _) T a; Q! e5 a' B
说明:木马netspy开放这2个端口。
9 @7 j r' @$ c( i8 M( Y 端口:1080 8 _4 p" E1 \, v: A9 Q
服务:SOCKS
4 F, d' @+ }# M: B/ L5 w; _4 T说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
/ T# r! g; b4 }. i。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于9 m8 i/ n5 [, \4 y# d+ Y/ Z
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这/ b: a# [2 V$ Z& U/ `* V& o
种情 况。
8 O1 r) N" b: A! `) Y K4 i0 T: [ 端口:1170 7 Y) x' `1 v2 r8 |$ x
服务:[NULL]
1 \. g8 d- w; B3 w9 F0 J5 g# j说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。
* a" |. T/ h; z. k 端口:1234、1243、6711、6776 , }2 r0 j) ~4 \4 h+ b( u) v/ W
服务:[NULL] ' i) b% B8 h6 a( V7 G; E
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放- X* U) Y) S6 D: q/ L6 W
1243、6711、6776端口。
% X }# u" h9 h. d* r- \% } 端口:1245 , s; q$ d; X3 f% z/ o+ F' R8 m
服务:[NULL] + \) U l! \+ h; [; x; x# F
说明:木马Vodoo开放此端口。 $ I9 z( b9 A+ p% P( ]7 @
端口:1433
5 E" `, z' E7 O/ |3 T服务:SQL
7 X w3 D/ P7 B3 ^说明:Microsoft的SQL服务开放的端口。
0 R9 A2 O+ ^6 h G8 h) G7 [ 端口:1492 2 M0 e0 o% a& g( i1 w i
服务:stone-design-1 1 c7 a6 o- ]0 \0 V4 @7 ~% o
说明:木马FTP99CMP开放此端口。 ) x$ `7 v/ k. V7 ]( _
端口:1500 9 c( R4 P! Z$ \$ \( b6 O
服务:RPC client fixed port session queries . m& D8 h1 \% |, C1 H0 G' c
说明:RPC客户固定端口会话查询
# t3 L" Q1 D& k$ h 端口:1503
0 C, u3 g7 C( \. D服务:NetMeeting T.120 s9 t. z! n9 ]4 }# n2 q
说明:NetMeeting T.1202 ^& N4 T, x/ z% J" G* ?
端口:1524
9 R: T% I& \; Y9 F4 e服务:ingress 0 m: c7 Y( ?9 e2 `. i
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC- B6 a& C8 q3 ]0 E2 S
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
$ i1 y. c e7 V' A# O. u。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
$ F6 y' ~7 w- z1 I; a600/pcserver也存在这个问题。
5 q1 P' e3 n# i/ ^, E! w常见网络端口(补全)' n2 [7 p9 y7 _. Y% l3 B
553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广
8 r6 ?4 {0 O. \7 E2 p1 `/ i. u3 R0 f播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进
, a) o0 L& |# K4 x入系统。
1 L+ Z# [+ r& { 600 Pcserver backdoor 请查看1524端口。 4 h$ S' @' ]0 D) k7 R& e% R
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
% S. u, h* W& z1 @5 K2 W9 lAlan J. Rosenthal.
( k$ V* [! N) b! L 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口. |! ^3 y$ _0 u' e$ y/ u
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,; K1 _& z/ T- C! `1 ]2 ]3 u
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
+ ^, i* i0 G5 d认为635端口,就象NFS通常 运行于2049端口。
& P" q& T# `5 s1 [9 W! [+ Q 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
/ n3 ]! Q$ l/ r f& a口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口. ~/ w, D4 a8 Q
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
7 h- @" w$ T% k一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到) t) N- K, h$ m7 O+ G- _/ i- S
Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变. M4 [& v# ?( n; D
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。* r7 {+ j; ? L4 w: U
1025,1026 参见1024! C: k2 y9 ]: T9 ?1 Z
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址
" E4 ~1 o8 O, }* o d9 `5 t: T访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,$ l6 s$ e' a" h' O: |
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
7 i! |! ~. V# L1 V ^Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防; a9 O6 F. v2 d. k
火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。) b* H/ D" `& U' D" b, j; \/ e8 w- s
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。8 o* A* X C1 ~8 x
9 k( V& x2 B. G" Q1 t7 T' q' z1243 Sub-7木马(TCP)/ h% @; C- K/ j7 _0 Z& B: t5 _7 D6 Q
1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针2 W k4 J' F s6 k5 _
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安0 c" _8 ] U/ \
装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
& Z4 D7 n' n8 c% R你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
) U! x9 U t) H6 {& e# T& ]: c题。
" T' @6 n X. `7 z w3 ~6 u 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪: \. ]; @; } M5 b2 C8 g
个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开% g" e6 Z3 V8 P! M. ?4 k" |
portmapper直接测试这个端口。+ e0 A' y5 D" p0 I, @; N$ l1 T
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻* X9 F% d) m+ a2 D
一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:/ d4 d8 [8 Y$ O9 o6 P, R
8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服
3 x+ D9 Q. m7 k u务器本身)也会检验这个端口以确定用户的机器是 否支持代理。+ @: r) Z0 M0 `
5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
1 c, u: E' O0 f8 I5 xpcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)
) H5 y0 v9 {, `。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜, e/ x/ C" p* Y9 m. p* o& K6 Q
寻pcAnywere的扫描常包含端 口22的UDP数据包。8 E5 R5 f7 g' [' k0 H! W4 u
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如" k" g+ d- H u0 y0 o
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一1 u( u, y6 f$ w% r4 d
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
9 S) V( a1 r9 I5 [7 \告这一端口的连接企图时,并不表示你已被Sub-7控制。)' p9 d) i' c# z- p* N. E7 d
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这7 s" N/ q# h3 z/ x
是由TCP7070端口外向控制连接设置的。3 |7 S t0 q5 O# B7 k; @/ q7 v
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
, D$ _- U1 ~3 `, n8 D9 {" j的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
6 w( ] b& ]1 ]。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
6 P f* e* o. P9 E% O- d了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作) k; ?5 J/ ^3 U0 e
为其连接企图的前四个字节。- K" q" h" R6 E K
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
& m- [$ n* T9 q; g6 d+ D& {"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
0 `5 ~, [2 W) N- \种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本1 p$ Q9 ^6 g N8 x
身将会导致adbots持续在每秒内试图连接多次而导致连接过载: 4 j& p% i# x( b$ f; y
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;' _/ ~2 g2 }: c% }
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts" i4 z6 t% [ B* F; F& S1 o
使用的Radiate是否也有这种现象)
+ T* o" K" l- Q7 P4 e1 }3 g1 J 27374 Sub-7木马(TCP)
& T K- I& P2 C d* A; N, t* r 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。$ G+ \2 ^1 c4 O' p6 [/ p
31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法. b. U z" |, i
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
5 T* Z5 p, d* T& V4 `+ N" O有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来$ H6 V3 C, v0 Q5 |
越少,其它的木马程序越来越流行。
3 C5 i# y$ p5 c: f* H$ ] 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
. S+ n3 P$ O. K) W, N9 X6 iRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
c: ~; r1 D# v% h' z317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
7 ^4 w+ k) e! b- S输连接)0 U, z7 r) q2 s( V
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
6 D/ y' u# E: \4 k2 rSolaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
$ L# G, q! L$ }# G/ UHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
$ U( Z1 H$ G% N* }2 e* Q3 T寻找可被攻击的已知的 RPC服务。
9 t/ T6 x+ m) D7 v) o! f5 q% p 33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内1 r3 h* j; v$ R% k& A
)则可能是由于traceroute。
& T1 }6 b( i6 ]9 ^ t+ A4 c" pps:
$ P0 x8 u+ Q- ?9 `" Y& P0 R- G其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为8 X' A& G1 [. m- n7 s, }
windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出
! G- I5 ?4 s6 L/ P9 x8 a2 d端口与进程的对应来。
; D' M4 z" o6 j) l' z2 [+ t. z |
|
发表于 2012-2-16 14:00:57
