|
|
从0到33600端口详解
7 Y7 b7 n" h( M9 G 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL2 i' }/ q% L& v4 d- O* `+ u) ?3 M
Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等9 B. Z3 m$ z H3 P' `( Z; V
。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如3 g+ X, \- y7 U% g* h
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的
! F! f, z p- J端口。
+ \* p; m& j2 [4 H0 _5 t; g 查看端口
5 C% q8 C1 [5 ^3 ~ 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:
, p* W! w, b7 T4 V* m4 ? 依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状% m7 `+ n: L4 p- x
态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
$ a" x4 j4 C' A) L4 r+ {口号及状态。 2 a* x5 J) }( I) F3 y
关闭/开启端口
# ]6 x6 J) ~- `# N1 ~% Y7 B- x 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认
O+ M8 ^" ^8 M5 i的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
0 i. m$ A) R( T7 p( y- ] Y服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
% t: _/ d. V9 Q& K+ i可以通过下面的方 法来关闭/开启端口。
8 ]- J+ y, U8 ^ 关闭端口* {+ W& T/ m7 a
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
1 R) H* b9 ^; V: ~ n* m: a# i |6 H,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple- ~8 O! B4 u, X1 r K. X' Z' N/ m
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动
X7 ^5 n$ _( {$ V6 c `' n0 _* e类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关; d5 j1 S& G" u- T0 \
闭了对应的端口。
3 D+ |5 C* B/ [/ N$ `; n8 C 开启端口( H6 k6 V. n4 u+ T8 @
如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
2 t% h" ?' f+ j0 y3 X服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
) \) H p# m2 v; v。
8 A9 P4 L$ K% ^* X% W 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
' N( H0 z- F" n* ?4 _9 @启端口。
) N% h- H; L0 k0 r3 |/ c3 ~. n 端口分类
$ v- M! `% g7 Q 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
; ?# n) x2 m5 r0 O; c* d7 f 1. 按端口号分布划分 , [4 y& O4 |, M& {1 {( {( I4 C0 _
(1)知名端口(Well-Known Ports)
6 }+ [& w2 d- j& j$ q4 ?, f 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。1 s) D+ a+ V! K7 b; v
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给9 i; J1 c1 P" c: \7 d; z) n) K* k
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。8 k2 ^8 M( s5 w
(2)动态端口(Dynamic Ports)
4 Q' P1 h9 U1 t4 A, V$ m 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
! {) V" } W# y1 L3 V8 Y8 y多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以9 ^" S% @/ |. u& |2 i
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的; ]4 x9 L2 j" B3 H
程序。在关闭程序进程后,就会释放所占用 的端口号。8 R5 D% x G+ p9 p
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是4 m6 O2 F" p7 M) n0 M( s# J
8011、Netspy 3.0是7306、YAI病毒是1024等等。9 ~% X' d" e) M: u) K
2. 按协议类型划分4 ]' O9 l4 r, w6 h
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下: Y E- U% T3 `& Y r8 T, Z. Y
面主要介绍TCP和UDP端口:
; y; Z# Y4 s; B* B7 l" i# e0 Y7 B (1)TCP端口
i" H/ ~( \$ X3 m$ H TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
$ h7 H* t' a7 {/ Y: O0 `靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
- q- I$ ? g& b1 q及HTTP服务的80端口等等。; A6 F3 r0 M! \1 o# V
(2)UDP端口/ J1 G8 X* E& \8 I$ I& j! j% o
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到
c: ^) U8 F" l保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
' `( Z; x; z- M1 |$ X8000和4000端口等等。
" ^% F" X) e O1 ~& O- O 常见网络端口
! C {2 \$ E2 ?4 z 网络基础知识端口对照 : h& V5 W* A( t
端口:0
+ t( Y, V: [! i0 f" F$ H T服务:Reserved
% v/ O& u! H& c- W9 i9 a说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
; S% H6 g8 \% R* X你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为9 |2 J% X9 _' n: M6 G2 A" Z
0.0.0.0,设置ACK位并在以太网层广播。
8 R0 F9 J+ r, F! h5 y$ ]# q* i 端口:1 . j* Q) B1 ]4 E9 E* `2 J! H
服务:tcpmux
3 o5 q! F8 a: h( ?% D! t9 K4 c说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下# _9 T' g0 l. @# x1 h/ v6 Q
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
2 c: Y, F' v( {, ~$ f! A! FGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这' ^' N5 g; \- T9 Y8 o, ^
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。 ' |: C/ L# P( o0 D J
端口:7
9 }$ Y: n, Q9 U9 E' K" [9 d. O服务:Echo 9 G- F1 w9 N+ q8 {9 I
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。 ; u: H- T, E, H7 o
端口:19 0 G$ Y) M1 O6 b5 t, R& c4 X/ V
服务:Character Generator
, i% m) u4 V' d& a) q m说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。
/ ~5 r. C$ U& c3 MTCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击
% b. T- y0 e2 \3 _" I。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
) u5 ~6 G* H/ X/ }5 Y6 v; J: C个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 ' N5 n# A8 f" v
端口:21
1 u5 a/ w j4 j9 X1 \服务:FTP
- l- ?( V; u& L# r6 B# g说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous3 e/ i- o; g! e) s2 }
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
5 m* V# t2 |+ }" r3 S1 AFTP、WebEx、WinCrash和Blade Runner所开放的端口。 : S! _3 G* g3 P5 V
端口:22 e2 v: q( D" V' n
服务:Ssh 0 L; P8 R. Z" S8 h9 \
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,/ J/ x. L: S- ` A3 T. b; i
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
4 W3 y2 W8 P" {! }- `7 i 端口:23
. Y7 q5 {. C0 A) h- Q5 ]" K8 b服务:Telnet ; h! S4 E" M8 P7 \/ m# @
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找4 p. m5 i0 m# O s7 T
到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet, V4 b8 Q! |8 `5 M
Server就开放这个端口。 Q2 [& |3 k% X6 ~9 p$ y8 S# t
端口:25
: t u5 B8 c) x0 g: B" l服务:SMTP 6 }/ Y8 I9 P9 P+ U; |" a' M
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的! F& [! t% m4 u' r8 j8 v
SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递
" ?, J$ g) \2 q% P到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
/ h. s) J5 r% H1 `/ w" U、WinPC、WinSpy都开放这个端口。
( Z7 F: J/ P6 ?2 R 端口:31
- ^6 ?" p% x% r ?+ e1 k- z服务:MSG Authentication # ~5 s- s/ [# v4 \: w
说明:木马Master Paradise、HackersParadise开放此端口。 ) U9 F, t4 L7 e; ~+ f8 X
端口:42 , E! f. o* q# H; p2 Q- q/ I, d
服务:WINS Replication
6 ?; C( Y+ r+ ~& l6 r- l, d说明:WINS复制
1 G, m8 n& U) ^" ?8 R1 b. \5 N 端口:53
# j5 P! k& {' N; J' G/ @服务:Domain Name Server(DNS)
5 k4 W! S) P8 \说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)& h! `& y9 L9 u1 l1 E* v, c
或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
9 z5 R: b: C8 F% }" B 端口:67 ) a% Y% W/ J! S D
服务:Bootstrap Protocol Server
- f$ r* n- N7 t$ g2 ^5 p! U! S说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据; J$ |) p2 m. j% |& @# \
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局2 b2 R8 ]* Z2 v
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器: Q3 J% y1 ?. N, @" j# M
向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。% b5 p+ s* J+ ]
端口:69 ( |: i% P" O( ~7 Z; n
服务:Trival File Transfer
" @/ U1 e- C, D! x- l说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
/ |. e6 B5 G4 M# V. b错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 , K! }# s2 p0 B. M8 @% c
端口:79 - W0 ^' F; g6 Z f% G: a* L
服务:Finger Server
- Q) E$ W. x" a/ ]" V说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己( _$ W8 I6 o6 a7 U h
机器到其他机器Finger扫描。 8 g7 @' M9 v, u; s
端口:80
* c7 w! Q+ @2 P" N& C: R8 X2 q3 D8 W6 N服务:HTTP
8 s/ M8 o/ a _1 ~3 U说明:用于网页浏览。木马Executor开放此端口。 6 w$ ^ N6 m0 Z8 O* E3 ^
端口:99 % g# {* P( T8 K# f& a# ^! ]0 K
服务:Metagram Relay $ f, {) x1 N( L# x- O- [
说明:后门程序ncx99开放此端口。
9 ]4 [) Q( K! }- [* J+ D 端口:102
c) Z3 k6 P% r% t+ \服务:Message transfer agent(MTA)-X.400 overTCP/IP
# `! O" z1 t5 y1 [- N" L$ H9 d说明:消息传输代理。 : N6 s- ?2 s7 Q+ Q
端口:109 4 J8 m. Q2 o& V$ s4 \
服务:Post Office Protocol -Version3
1 N0 M4 {5 ]4 \$ Z2 E说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
8 W9 N# e7 u" H5 n有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者& @: n' s% \; K% z8 \
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 9 C$ K* y& O. F# Q
端口:110 " J; ]+ `: n: q* l3 Y) h x7 [+ {
服务:SUN公司的RPC服务所有端口 & f! [* P7 B: u# T, e! G
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
: P/ _4 E& {# O% i* J 端口:113 3 r! a, v. w0 P. U/ f* R1 T- e
服务:Authentication Service ' U# n# I9 ]1 n' C
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
3 W* d% \) B+ e. H# ~以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP2 [$ t; V, E8 A
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接' w) V# T- _( z, n" x4 Q0 t
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
6 Y, ^3 ^$ E9 z7 }8 \% r# E。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 " G# R3 ?! z4 ~6 J z
端口:119
# V3 b* b, x# c服务:Network News Transfer Protocol
1 I" |3 F6 _2 A+ u0 a9 q9 D' m说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服. Z7 S) R+ @; { o
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将) I8 D0 c/ z' e' E
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 # S, R0 e% ?2 C1 b
端口:135
% P, M- a% c8 T4 U' _6 O服务:Location Service # j' a- b' R6 D& t, L: j+ i- q# c
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX1117 u# a% I5 Z/ j; P& {1 ~8 o
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
$ v. X" j, E% w% ]$ W8 ]; u。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
* a$ D' u8 A- A) b机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
5 ]8 j/ j7 x C: ~# }直接针对这个端口。
$ G& u1 ^- I4 @" V/ F9 U4 J3 M8 O 端口:137、138、139 ' X* X6 L* A! a6 t* a* _
服务:NETBIOS Name Service . I; P A! i$ i* V7 H- ^9 G( d
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
( R& a9 T$ l: @: A& U6 N这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
" H7 M7 d1 c7 x6 k! H+ D和SAMBA。还有WINS Regisrtation也用它。
/ P! |4 Y2 f9 u2 x4 H; } 端口:143 ' `" v' z L! r, k2 Q
服务:Interim Mail Access Protocol v2
8 |4 }4 `3 u' ]说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕
1 A- J% Q2 _& r5 [- M' Q$ B g) Q虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的) F$ F5 U2 q6 K: Y6 U( c
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
% j( s% ?' c: L: D& P/ ], P还被用于 IMAP2,但并不流行。 / K) u0 r- F) M! @
端口:161 2 Z: T3 g0 h" C1 v5 [
服务:SNMP
5 r7 f" a, \% Y, L# T {6 S+ }说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这( a; f0 H0 B$ k3 X
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码
1 v# C5 M4 J4 h6 G+ N5 N4 N4 Rpublic、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用0 |$ h" ^/ }- B I
户的网络。 & k: F1 ~- E* s$ x2 t' E
端口:177
# A2 K/ H# B8 R* f/ Q7 Q+ t' g服务:X Display Manager Control Protocol
* u$ _8 O8 k! Y1 T4 }& d) x3 ~说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
, m& F: ~8 h; ]7 {# A. G; y
# x) d) @0 c0 N# G' V- n6 v 端口:389
2 o: Y1 W- i% Z0 p' D8 g' ?服务:LDAP、ILS
- P6 i4 i/ g7 p8 d5 x说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 . D& u' _" ~, H+ s- G& p( i
端口:443
; U% `* t8 I7 p+ q9 |/ L服务:Https 1 V6 x2 P, [! ~: K) t
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。4 A: l1 `' r0 s
端口:456
& X+ L8 M! `2 X2 @" j1 ]服务:[NULL]
( N+ k( }& q$ E+ l% Y, W说明:木马HACKERS PARADISE开放此端口。 / \* R, k! c! `, }. U/ O! ]+ Y& K
端口:513 $ S8 a9 |9 ]* T5 a4 ]$ [: R- ]) m
服务:Login,remote login
: { `5 _1 _1 O- h4 X: v: g说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者- o" Z! S2 z4 S' }; y
进入他们的系统提供了信息。 - j) m2 w; t9 w/ R6 Y& }6 A; \6 i
端口:544 0 |7 P9 I' F2 E) }3 Q6 p
服务:[NULL]
( |& O& [5 k* h3 I7 `3 h说明:kerberos kshell
7 i% C( g; |" y3 r: `6 e, |$ u6 T9 J6 @ 端口:548 , N# B. C! j/ s9 p4 \2 K }: l/ _4 p
服务:Macintosh,File Services(AFP/IP) % i& b& D# F. Z6 r" A
说明:Macintosh,文件服务。
2 Y8 ^9 w ]: A* T& w; S. J 端口:553
! z/ m/ m9 m- O5 q3 {" `服务:CORBA IIOP (UDP) # x; N& n+ W5 o
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
z) h, g' y2 [, y4 [+ M5 I系统。入侵者可以利用这些信息进入系统。
- m9 N5 a% ]" H 端口:555 ; m& S& g! o. k& C3 _, w0 N( }6 F
服务:DSF ; g% L% t( n( s, T7 D
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 . X* J# n7 ^: P$ ~* p) m: |
端口:568
3 ?& u8 _' |1 m& T5 @1 q6 ^服务:Membership DPA
! q/ o+ K* H- @; E说明:成员资格 DPA。
1 T s T% [1 ?1 Y. V, J4 K7 q 端口:569 . \' w2 X8 c, `; M* u! h
服务:Membership MSN
8 @# _, [! n; `" L' y2 S- g说明:成员资格 MSN。
6 t. k* E* V/ \$ e5 U) ?9 q2 l 端口:635 0 Y- O' e$ M/ w* q& o9 A! t! R/ N
服务:mountd
3 X1 X0 w/ \) [3 x! ]: N' F说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的3 T; G2 k+ a- } S
,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任5 e; d: ]0 ]) z0 ^# L" r- O1 O% V
何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就, ^: o( M# u5 c M7 t; ?
像NFS通常运行于 2049端口。 1 i+ V+ Y: z' u0 ]: J
端口:636 + Z$ r* {0 d# Z4 ]' B
服务:LDAP % `; q/ G) u) y. L$ m
说明:SSL(Secure Sockets layer)
: P6 S5 b! m6 b5 f, [% L 端口:666
$ ~. V* r. [% Q) k9 h服务:Doom Id Software m# @ A- H& B$ E+ n& ]0 _
说明:木马Attack FTP、Satanz Backdoor开放此端口 6 g4 b# l/ z9 c% j
端口:993
_1 D0 K. _0 Z9 r服务:IMAP * l5 L! k2 u7 g" |% w7 Y% |
说明:SSL(Secure Sockets layer)
, t: O; G) ~2 Y- e 端口:1001、1011 ( [4 g9 U7 j$ B; I% D) |
服务:[NULL] $ t7 a# n4 p. i2 [
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
) o6 F, m, w f7 J8 v+ [3 i$ q 端口:1024 . \7 u2 G- u2 v u2 Z6 {
服务:Reserved 0 Q3 z3 W" c) b/ C
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们2 I" F. g( P' i
分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的/ y9 H$ q/ r' q: e9 Q) [# y. ~
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看, f9 P. L/ l0 j& @5 a. u* g; W
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。$ O' s. p' k l2 I5 y g3 t
端口:1025、1033 % j- B/ c* x( l4 D" c4 c% n* C0 e
服务:1025:network blackjack 1033:[NULL] ' Z0 H4 r2 |7 A! c& \9 }9 |/ g1 B' n
说明:木马netspy开放这2个端口。
. b" N( X* }) b9 [" r1 r1 l 端口:1080 / y2 G/ J4 @# {6 n: J+ K9 ~! u
服务:SOCKS
$ }" \0 I0 A& ^! _8 e5 M2 G+ A' I说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET: S! }& U% ^2 V' P" ~
。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于1 O7 B6 E* D8 b+ z3 P" A* X
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
, }7 z; y4 }4 j种情 况。
' ^, I7 H7 R! R: ~3 p 端口:1170 6 Z& z: e0 e7 I. N: n+ p/ m
服务:[NULL]
% ?1 f* R3 f4 A2 K6 E$ P- s$ y说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 5 e+ m' Q! }" G; y, `5 _
端口:1234、1243、6711、6776 & }4 B6 Q, I" y: K l
服务:[NULL] 1 H1 S+ T0 k/ Z! D/ B2 c I
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放4 N1 s( p& w. x% z/ N- a& |$ A& y7 w
1243、6711、6776端口。 ; V8 l% j5 s$ E5 x
端口:1245 5 \6 \( P* L- K
服务:[NULL] ; K; R& ]( W& c$ W) o2 l
说明:木马Vodoo开放此端口。 , ]& _- D; ?6 i2 c
端口:1433
, n, n, v+ j& x3 U2 x! J: V, H! {3 A服务:SQL
- r8 n, j9 S! P0 n1 n9 c说明:Microsoft的SQL服务开放的端口。 8 @; ~9 k$ U( E4 `/ H/ R/ i4 q
端口:1492 . ]4 @ s- P( |& |. w
服务:stone-design-1
$ n( r8 `4 y5 m& D* ]; o说明:木马FTP99CMP开放此端口。 - Q& o( e j' J8 j
端口:1500 . y( t4 g& W- E% W' ^
服务:RPC client fixed port session queries 9 a4 l; w- f4 h4 [
说明:RPC客户固定端口会话查询' Q1 m* e+ g1 s3 X, f; F
端口:1503
6 _# V/ X; p: D( Z服务:NetMeeting T.120
' d" {2 v& ^9 ^4 l. d0 b说明:NetMeeting T.120* A2 f& Q% {0 Z# f
端口:1524 3 e% @ {: h& Y4 ]
服务:ingress # y) ` y0 O8 h4 ?: Y/ x0 j
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC
1 e9 G4 b8 u' H7 ~+ B服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因# L$ X7 y0 u3 M; ?9 V
。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到# J+ o* ^3 e( S- @$ ~
600/pcserver也存在这个问题。
2 r0 |( f4 s' N" b' p9 [6 v常见网络端口(补全): @/ X7 x; r" \- g
553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广
0 n% S H, D# _! t% E8 K播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进) o+ \1 F; v+ H# q3 ^" i, }* [: z
入系统。
\7 i7 s- g9 I1 l% ?" W/ a9 x# i8 L) K 600 Pcserver backdoor 请查看1524端口。 ( ?2 P( N6 g E) M) x0 V* }
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--+ ^8 f2 j7 p D# d8 ]0 @
Alan J. Rosenthal.7 X/ M( C" f- `7 S
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口
. m- G1 |/ h& A& j3 w- C2 S1 o' u. \4 G的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,. L! W& D8 g" z% ^9 l) m, D( H
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默/ R# X2 \& c; c6 u R1 `
认为635端口,就象NFS通常 运行于2049端口。: n- w( |8 d' U3 e9 I, A* U
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端: q y' R. C) n
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口! z7 |, l- _+ T5 }% ^* H1 ?4 y
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
! _% b1 n7 r5 d4 ` F一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到! L' L0 D& ?1 D$ ~
Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变
$ J# @6 y0 I$ q4 [; {/ ]大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。- i# N; X3 M+ U7 A; n1 b# v3 E
1025,1026 参见1024
- P5 c. P1 e" m, Y 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址- Z+ Z+ ~9 b: C+ q8 E2 ?. L" T! }
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,. [# }! g; X( r! f4 Q4 r/ S
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
# t$ B/ ]. ^, |4 b- ]) W( l& V' rInternet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防6 b/ J2 G" i: N3 Q/ }' W
火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
3 V+ G" {7 N- w+ l 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。. W6 e2 w% `* p7 c, w, P
0 t h& [. a" E
1243 Sub-7木马(TCP)( l0 \2 {5 [3 B) f3 |
1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针; O2 A! F/ A9 I# Y$ h8 d
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
e: M8 ]& E% P% ?2 f6 w装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
: V! U9 q3 ^, v7 J你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问" m* v, K, H+ M) z) y; E: `7 _6 Y1 z
题。
/ B. ]7 k( e7 i ]; C! Y$ h 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
- ]" _4 O3 G6 b& S+ o, v个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
% C/ W' s. c/ C% ?4 a" l' q3 @portmapper直接测试这个端口。
. o; W5 g0 b i0 }: ~7 t3 s 3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
( f2 v5 @5 S/ w1 A一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
+ m) ^" M7 C5 O9 u8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服# I% X4 b/ I- o v/ e6 K' M9 P
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
5 c" e& U/ g6 A/ @, N 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
8 A. K; P" U' Y8 U7 ~pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)" W; U5 M7 ] Y
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜( w6 I* E; J" s9 e7 d! ?. F! m
寻pcAnywere的扫描常包含端 口22的UDP数据包。
! l( M j* a# L( T 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如( \: L5 }1 y) c3 \9 M0 d+ Q& @/ A
当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一
1 ^) y1 B! q: R/ A人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报0 }! {( W2 V/ g/ S! ~5 {8 e
告这一端口的连接企图时,并不表示你已被Sub-7控制。)3 `2 a4 d# X4 I2 W4 ?" {9 \) @) h
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这0 X/ q; A4 W4 o I# F1 `5 W2 ^ c
是由TCP7070端口外向控制连接设置的。# J0 |! m- n' K8 N. [" r/ m$ v* k
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天: }( e- u8 a' u
的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
5 g( f, ]# a+ u' t; s。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
: Q1 X1 y- W1 {' Q了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
4 h" f1 ~% ]/ a' m! S* T3 }为其连接企图的前四个字节。' ^& k/ B( k" ^$ Z' c- S) C6 i4 e
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
8 [- y: q* v7 F K"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
2 z/ y( w+ V+ U! i; p9 i种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本1 j& P, a4 R1 X
身将会导致adbots持续在每秒内试图连接多次而导致连接过载: , F# b* G$ R* @
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;# |, d6 n% k' a
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts, `: Q+ ~. U+ f+ M' T, _" L
使用的Radiate是否也有这种现象)4 z5 [3 K* k+ O6 V
27374 Sub-7木马(TCP)% \ z& ]+ w, m/ Y9 G# h: h
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
! [5 ]2 w; H, M( d. p9 h 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法
0 ^: i$ @% f8 e: x语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
) y0 v8 w. `* G3 b% }有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来( D; K+ E, m, V0 `4 H$ E- i
越少,其它的木马程序越来越流行。* ^' h0 S0 H/ Q9 n
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
. X( g4 a. [$ K" IRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到
6 n2 d9 j3 y% |1 M! }317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
) c+ k7 v. @' | M+ P输连接)
; L; A H Q1 J, L* S( k } 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
7 u. o; r' S' [8 n. PSolaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
`; `6 o3 y8 [# ^3 T# uHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了/ L3 c0 Q' B0 q' ?: K V# d
寻找可被攻击的已知的 RPC服务。
. ?5 k3 Z7 U6 G l 33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
: p% U2 `3 I, [+ p. Y \) M7 b)则可能是由于traceroute。) B! C. C! B: V# w) | B; \6 }7 v' S
ps:% A* L% z; T6 X2 K' ] }" d# _
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为1 Y8 E3 F6 E; h6 R6 ~
windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出4 I4 V1 _6 {; w! b, r
端口与进程的对应来。
) l' o ?5 @" W5 k- j: ~; ?5 h6 u1 l |
|
发表于 2012-2-16 14:00:57
