|
|
从0到33600端口详解
! e5 E# q4 u& p, K% Z" |- \( q: j5 ~ 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL- \, \2 |) C- b# Z0 s/ K% l( ?8 I
Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
2 f$ w# q$ K5 p, m& r' X7 a4 Z。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如: \, P- m! t6 d" |$ I5 e
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的
* e; d7 a! x: p* d: C7 m端口。 - E: ]9 M, u& S" S1 Q v0 \( p
查看端口 2 E: s& e- Z* M* E2 ?
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:: _$ m) Y6 q" u
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
+ |1 a! \" U& U& T% c' s态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端! B# o% S5 l8 y. `9 N8 x" D9 G
口号及状态。
7 i5 c0 x K% R1 W$ P9 L! c% A. C- g 关闭/开启端口" c- b; ]9 `5 G; f1 Q
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认. x: B5 s2 U5 g# R( M8 \: |
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP' h( q: h6 X8 n4 N) O2 ]; V
服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们( C# X' l9 s' m8 C" l7 Y! |8 k
可以通过下面的方 法来关闭/开启端口。
4 G/ B8 H7 w% Y6 b& M6 Q3 e 关闭端口
% I' ]4 H$ ^. f. @5 M- d) W 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”# I& C/ }- t! g0 H. n$ v
,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
; {. K$ P' f! `7 W4 J! mMail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动2 s$ a) h( [' c, K) J
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关% m: D; R$ @. p' J. |
闭了对应的端口。 " T2 ?; Q: w2 n0 i" C
开启端口
+ O! Y6 T; E" j1 X 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该8 I# H: q# N' v4 o2 r) d% B$ B
服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
& R1 d: f2 Z5 S2 {: U) \。" C j7 ` G+ @9 b
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开
" J5 p4 Z2 W g; Z0 t2 A启端口。
`4 i- s; }0 w1 l- X* a# J, @ 端口分类
2 c% A2 @2 r# ?% i1 ^5 u 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: _* s- [- L) A$ o
1. 按端口号分布划分 8 b8 h% {+ x* i* ? W* l1 C
(1)知名端口(Well-Known Ports)- @/ S6 x2 N# T; |' L) l. A! E" U% H
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。1 ]$ I& _/ J0 \+ W6 s+ ?, k
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给9 { _- c& |) ]! h
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。
% D1 I& P' e& I' y$ ?% Z (2)动态端口(Dynamic Ports) `/ v- ~. f4 I+ W' D& `0 ]& m
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
( ?, F% e0 B4 _多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以$ ]- M; I4 L9 W# \3 l$ y2 w* z, t
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的
# N& L& [7 [1 h5 P& x: v3 l程序。在关闭程序进程后,就会释放所占用 的端口号。1 a/ I) N" D8 h' b- k7 \% X
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
2 ]2 v6 d1 g' U$ b6 J- p8011、Netspy 3.0是7306、YAI病毒是1024等等。
' {4 q) P# e8 a: [2 Z 2. 按协议类型划分$ M3 M( z7 b* |# C0 K' m* u
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下
, u; r2 t+ O, A) N面主要介绍TCP和UDP端口:& u! ?4 R# Q- Q$ v% O1 d
(1)TCP端口
7 m/ V) Q/ R; b3 y TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
' q1 O+ B# z& p' r* Y' b7 p$ i靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以& _: @7 @- H7 k0 M( R" K
及HTTP服务的80端口等等。
9 |2 |# {' L8 H7 Y% t) p% k4 M (2)UDP端口" \0 x. P" I* d3 T; N
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到4 j; _. k' O7 u1 s, A
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
+ q+ G M) T4 O7 l: u8000和4000端口等等。/ |5 f) o* a* {4 e7 g4 B
常见网络端口
) C" v+ @9 H/ M. U9 b' N 网络基础知识端口对照
1 U3 ~6 ^ a2 e+ I# m8 |( C1 u 端口:0
' n4 B- Y/ ~: X* d4 d" }: G服务:Reserved
) y; t* T3 O* @7 x3 G( ^说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当2 C+ R- c/ S, D t z
你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
9 W$ Q; _# u( x) z: Z3 e3 w8 d0.0.0.0,设置ACK位并在以太网层广播。
6 B: r+ i6 a6 h r 端口:1
x. c3 J$ m9 o3 u+ v服务:tcpmux 3 @: D& F* u) O$ k1 y1 y; o
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下! e/ Z0 J: h- _' @, w0 b
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、
/ i& w. W: Y+ Z9 A; Z6 HGUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这, v5 O% m/ `; N" Y2 @' x7 h* N m
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
" V% P( P; @+ | 端口:7
- @: c9 S! L3 e) z i服务:Echo 9 y" S9 `1 [! |/ y( G j
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
8 U8 I- w8 I- j- C; {. ^ 端口:19
8 v. q. @1 ]! Y服务:Character Generator
5 _1 b: z- _2 g' E, U2 S说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。
! Z" B8 a# Q4 O# Z, [9 ^- v# F; WTCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击
8 M& j2 H2 ]( l: W; }- k+ _. p& k。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
8 W7 t1 j) p; h6 Y% D个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 % j/ P. K/ U1 r1 X- z
端口:21 5 ^, a/ F) A2 ^/ J' o. ~
服务:FTP
5 g, `' { T' O1 S2 C8 `* @5 `3 ]说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
) [( P2 Z4 J& D& g的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible4 `$ k) ~4 ?+ Y; y# @$ n! I& G2 D' c
FTP、WebEx、WinCrash和Blade Runner所开放的端口。
/ k" S/ e4 f, k M- x1 {/ F4 D 端口:22
7 l K2 J% U4 b8 u8 A6 ?服务:Ssh ! T, E5 A8 T' Q7 c2 w' W) A! r
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点," @! V5 |% r# ]4 U! h% _/ N: ]' B
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 8 T% c) `4 S$ r5 L o
端口:23
6 `9 _9 \; R+ o' C! q! a. n服务:Telnet 2 j+ `9 G: r& ^
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
/ r6 e8 G' Y3 f3 U, t2 n到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet7 E5 ^ g7 O# t! @" U0 D2 K, ]
Server就开放这个端口。 / E$ C5 p* M4 l1 [8 j1 K- e
端口:25
. c. G9 i f5 B服务:SMTP / M3 e3 T# O7 n0 R* ~" H' b( _
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
$ ~7 u, q: o" x4 ]$ w* bSPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递3 d& W2 l- \+ K5 l8 G
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth; E k( [7 A1 a# x' {' f8 [
、WinPC、WinSpy都开放这个端口。 6 Y3 @: z, }! m
端口:31
3 I. ~5 Q6 d5 U! s服务:MSG Authentication
0 B5 D; q; ]( b! ]# z4 G说明:木马Master Paradise、HackersParadise开放此端口。
2 W8 O1 K: t2 ?. |8 r4 Q 端口:42
3 |/ f- B9 D4 d9 I; j4 _服务:WINS Replication 2 W6 Z. Q" K2 X, W/ ]2 K6 n/ p
说明:WINS复制 5 Z# [# U. W! S M
端口:53
" s5 `$ G4 y' ^: Q# v服务:Domain Name Server(DNS)
( b% a+ |. x3 T5 ]9 H说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)
0 ^8 r6 W5 Q: E3 }. n) y C& A或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
5 ]" M3 n- S, w 端口:67
8 J4 f! z7 h; ^# b% v% H4 x服务:Bootstrap Protocol Server % s9 ~) l5 F" ?2 R7 P$ V. K
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据3 R/ [3 r( W. N6 h# G9 E
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局) [$ Q+ R. P; ]4 u; V9 A T0 e
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器
) g" j/ m' ^. ?5 W+ c( w$ j# Z向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。- d. ]) J' K6 ?. r( e. K" q, H
端口:69 2 e& Y! f) ? J0 f" ?4 |) R( ~
服务:Trival File Transfer
, f3 i; K" `9 a* l/ |说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于8 t+ b4 u' }* ^+ o+ q
错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
( N a- k" h. i. ] 端口:79
6 u0 k& d, u u服务:Finger Server
- `+ W! b: @8 @( j7 k0 ~说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己1 ^3 y5 H9 Q- ^
机器到其他机器Finger扫描。
. E2 M' N2 |! R b2 Q 端口:80 0 R2 I J4 `/ P' V
服务:HTTP ; w) ~/ K9 l* z9 r- H t
说明:用于网页浏览。木马Executor开放此端口。
% H0 D( J! U. G9 ` 端口:99 0 }9 V1 j2 v9 R! T" k* v: C
服务:Metagram Relay 8 S Y8 C3 B: H0 A/ E7 ?8 p, [! m
说明:后门程序ncx99开放此端口。
% U: e2 b* H+ j# ] 端口:102
9 d$ L4 }- E4 E. J. ~8 [/ k. }服务:Message transfer agent(MTA)-X.400 overTCP/IP
( Z0 v m# x/ `9 O说明:消息传输代理。
% h& F3 Q7 C* R 端口:109 . {8 s3 K U x) l0 k
服务:Post Office Protocol -Version3
( t: ^* G$ B3 W$ q$ J1 a. a F说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务" r2 G: ]' M7 N& Q
有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
& m. E5 d ^* C: c9 y可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
( S; M6 r. h0 m/ R4 i/ j& Y+ b3 K 端口:110 & h) M! z! E, U! F; [, q
服务:SUN公司的RPC服务所有端口 2 a/ ]. ~- P) l8 m) O
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等 1 S3 H7 ^6 r( Q
端口:113
" _, `& J: E# d# U% S0 w服务:Authentication Service # c1 d" | c) g7 _# u, I8 @9 S
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
. d9 W% e1 o/ `8 j8 Q以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP* Y) G( n6 l" n6 p; ^
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接
& _" c; z6 t4 M" X j请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接3 Q+ T$ m' [5 ^" p$ Z- P6 } j z
。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
% A9 w+ h& P% m% Z 端口:119 8 U' z5 @" `, F4 O# X- X; g# p- r$ d' U4 v
服务:Network News Transfer Protocol - j$ q4 x, v) B2 `/ E6 y+ t
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
6 g! q l/ W: T1 h' Y务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将
* W0 X1 A: v/ j! B3 ?9 m# ^允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。 ( L2 p5 P, [# j$ }0 h2 }
端口:135
6 m! _/ W' N- p9 h, E, z# K服务:Location Service
" p `- r0 y) ~8 |说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111) D6 H c% r2 m! _% T8 v2 Q
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置
0 C2 C/ S" p0 [3 U5 d% w。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
$ r( {! i$ H8 B5 J- Z, O9 K! ^9 x m+ p机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
! d& r1 c" o# ~. e' F5 G3 ~直接针对这个端口。 4 x. n, R' A0 p- [- r& ~
端口:137、138、139
+ _, C+ r3 e6 P4 {" V7 D服务:NETBIOS Name Service
' {7 Y# S5 |# ~7 ]! X2 ^% p% w说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
8 ~" h, w9 E- h& j7 I1 k Z Q这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
8 G$ k) U; V) Z3 \, }7 ^和SAMBA。还有WINS Regisrtation也用它。 " v) |; ]9 m1 Q! d1 p% x
端口:143
) D# i( }7 y+ A r; ~* g9 a8 S7 J服务:Interim Mail Access Protocol v2
- R0 _" u. M# G: y3 O说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕! A1 I; B+ m9 j# e% `
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的% i @! H2 W- A9 Q/ M4 @0 ~9 P
用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口9 ] {8 Y/ T- ]# P
还被用于 IMAP2,但并不流行。 3 s- e$ y |. S1 i- S
端口:161
. n% |+ O2 G) f9 X4 ?: {" V* i4 H# z服务:SNMP
$ e1 R2 M M2 G+ t说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这
2 Q- v7 Y5 Z9 h" k7 _9 a8 N& s些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码8 k6 n/ s: E- h1 X
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用" y" x1 l, L! y1 T& H
户的网络。
4 V2 z4 O- f, M- m 端口:177
7 ^4 N' x8 r9 }! w服务:X Display Manager Control Protocol : M5 s& T. y1 K8 r
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
E4 [! h) e" e; u! Z6 [3 `
8 y. G X+ k# O& c, c. [ 端口:389
: L: B8 o2 s) j* `) }0 p2 o' }服务:LDAP、ILS
" u4 L+ d* F! D, U% o说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 6 b$ j7 F9 n2 o# R
端口:443
) T- W+ n+ I2 ]% I服务:Https
; X( M( f7 E; \1 Z) r% s9 y说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。# E# x- |7 G: `; }
端口:456 & Q5 I+ R8 `! D6 ?+ _
服务:[NULL] * C6 K5 T7 q- g6 I
说明:木马HACKERS PARADISE开放此端口。
7 D! _! ?' ~/ U7 p% _( A! M) F 端口:513 & _$ f! {) s3 j4 A8 i
服务:Login,remote login % [* K9 C3 F% ? c+ y# w
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
! f5 Z- m$ R: V) |, g( _进入他们的系统提供了信息。 % ?* G/ h7 i' c6 ]2 X
端口:544
8 e( Q% X) z& K( a服务:[NULL] 0 j8 i8 [5 H7 h% s, p! r
说明:kerberos kshell & z$ p' c! d1 h4 _+ h: {
端口:548
! V* r. m: J) O# [$ B服务:Macintosh,File Services(AFP/IP) " F, ]$ _& R9 ?4 l. P5 y2 v+ u
说明:Macintosh,文件服务。
2 i2 ]* ]/ P6 {+ F; ]8 o! D 端口:553
5 G- X5 L- I# w6 o+ L服务:CORBA IIOP (UDP)
0 `& h) A6 b- h! [说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
' b K2 ]* f# j! ?& l, c系统。入侵者可以利用这些信息进入系统。
2 O; e+ y1 v, {1 q+ P 端口:555 4 D* [1 g7 S% T; ^ w
服务:DSF - a" o' u4 x: Q+ W
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 5 ]4 L$ C9 p7 _4 a
端口:568 " b1 F! W& r+ l. E5 k- ~
服务:Membership DPA 2 X7 c U5 j' c' |& J- n
说明:成员资格 DPA。 ' G# t1 @9 K- y; S% |- ]7 L8 G6 K
端口:569 " s! b7 M4 }* V9 F+ c; T+ `; Y7 ^
服务:Membership MSN
; R4 Q8 y6 ^. ^7 x6 ?说明:成员资格 MSN。 3 r0 o8 K8 t' D% T7 @
端口:635
1 h, ^1 k: y$ J; C服务:mountd 3 B5 N/ m6 F/ Y; q
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的
- Q1 _+ {* ?" `9 t- e. V,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
+ h; X5 d, r' P- U何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就 L( r) }- N# W( w, e
像NFS通常运行于 2049端口。 $ k5 w) q- j" t1 _4 j
端口:636
" _. G2 C2 L8 V# R服务:LDAP
9 F5 I' y0 ^- u. y( T. q5 v" K说明:SSL(Secure Sockets layer)
8 C# n/ M6 ^! B 端口:666
+ w2 H- c; s, e7 Y0 B服务:Doom Id Software / }+ p9 V' q& d. ^; s) N
说明:木马Attack FTP、Satanz Backdoor开放此端口
; [: O1 f# o( `2 G 端口:993 # o9 B6 p+ A8 q
服务:IMAP
8 |+ z; [# o4 Q9 B8 p/ p说明:SSL(Secure Sockets layer) + S, K- B1 V! @" b: D
端口:1001、1011 2 g7 T9 ]# u4 ^7 s" T3 [6 @1 Y3 Q
服务:[NULL]
! k+ P' d: y$ W8 G说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 " T+ f" [/ p$ ?1 N. l
端口:1024
# A- c/ E/ S/ t" a0 |" j" M7 Z服务:Reserved
6 t" D+ ^7 }$ a0 }6 F5 r% V! E说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们; v6 o3 [2 l. r7 O; C; X
分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的* A- R+ P6 j2 C3 M
会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看
) i7 j2 a2 r+ R0 W7 P. M0 ?& n到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
2 u- s$ q0 X$ C4 x& P 端口:1025、1033 , ^ V, W' g! c5 L) p. r& ~" H+ A& ?
服务:1025:network blackjack 1033:[NULL]
4 q, d* V2 ]* f9 Y/ N0 s说明:木马netspy开放这2个端口。 ! n9 ~: x. p7 `4 i: }
端口:1080
. F+ r) c/ V- Y! ^' P) J/ z9 |2 S服务:SOCKS 9 i7 r! @9 j4 F+ S, g
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
# r: `4 A3 _8 ^。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于, q% ]0 V) f6 c! L( m& w1 B
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这" D- Y$ B" A& u
种情 况。 9 S1 x6 F3 ?- M
端口:1170 ) \4 T# C: @6 _# m
服务:[NULL] 9 [. E( o4 g% t, W; K+ ?; n
说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。
4 X* `% Q0 t5 {" |, C$ z 端口:1234、1243、6711、6776
6 T% a3 \% Y J5 c1 A* ^, Y服务:[NULL] * k2 w; p* R( o/ n; k1 T6 V( {
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放5 J g. t& V/ [3 p
1243、6711、6776端口。 & v5 a* S, |4 f2 l
端口:1245 5 g# \, k' X) V, g7 E/ ]9 f
服务:[NULL]
0 U8 F% o! @: g3 d% p3 G. Q4 V说明:木马Vodoo开放此端口。 2 w( B& h; X: }! }" r P
端口:1433
# S) Z* P4 x# k2 `) j7 g' m服务:SQL
! x* e8 m& f1 \3 ?! G说明:Microsoft的SQL服务开放的端口。 ! V, H# i& z( [/ u
端口:1492
7 A# U4 V$ e. P1 {6 e服务:stone-design-1
. u# Z# `6 r5 J, u! a5 B. K' |说明:木马FTP99CMP开放此端口。
5 q# N# Q' ^5 g, p+ A- t! G 端口:1500
( R) |, r6 b9 Z7 e8 u+ [. S r3 G服务:RPC client fixed port session queries 4 ?0 K% a) l( y/ v. R* J. W
说明:RPC客户固定端口会话查询
/ w: E& x+ q" `" u& i) Z 端口:1503
$ ^/ N! q/ \" J服务:NetMeeting T.120 ' \+ f4 @; p; N$ h8 [1 ?2 M8 U9 r- d
说明:NetMeeting T.1201 h& M! X1 d5 V- h& v
端口:1524
/ S+ g5 f( Z; J6 ?8 V( o: g e服务:ingress : ~# [0 I4 x1 g. t0 B0 F s: B
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC' B- ^6 c/ p4 k% \0 J% d
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因" D* ?% }" [& k& @# Q' t
。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到0 m# l, a' @ }) Q/ ?
600/pcserver也存在这个问题。
. L6 M4 U; J$ c, Z5 @( u常见网络端口(补全)
8 u2 j4 ~8 |$ b$ Y' H8 H0 ~ 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广
( n3 Y0 l0 l* g* t5 h6 @播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进
; v' T" \9 W/ `, B入系统。; T! k( _2 M; H" A
600 Pcserver backdoor 请查看1524端口。 % e9 b0 C' k0 v& ]2 L: G
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
& _/ e) F4 m0 dAlan J. Rosenthal.6 a+ o" {" b4 r$ ]$ D$ q) R& H" E
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口6 s' G. [' K/ [* o1 r ~2 A
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
. N4 V5 y# a: A* U0 e9 ] Umountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
. w n/ ^ V$ @* C$ c* g认为635端口,就象NFS通常 运行于2049端口。+ e i9 X; [9 U/ f" W4 i; Q' {7 c
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端' D; p5 V# Y/ x- E) _8 T
口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口6 z2 S& e/ _2 i/ I; n
1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
" O8 p$ v& S4 n2 C6 a一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到
) `2 f9 r5 [7 Y1 a9 J, lTelnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变# I& n4 ~+ g) @' j
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。6 \, G- v' z4 d1 P0 \! j5 y
1025,1026 参见1024( o: {: _ R4 i2 M! F
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址* h2 x) E2 Z; C% ?1 K8 c1 E
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,9 _) a$ X) p3 q; w8 r$ r# r
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于7 U5 B1 ^! S/ {- a5 x) H0 k
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防% o. ], @% W9 E* }' F
火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
0 u! r$ Q3 E/ _9 s L) M l( L* z 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
; J. h. p+ \3 T6 Y$ O" R! p* l
1243 Sub-7木马(TCP)
( B5 F4 K- j: P" M 1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针
4 N6 ]9 \7 \+ ~9 {3 k对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安( }0 _; Q# }; H2 I* w9 e( Z, t/ r8 {
装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到, A Z$ \( w J; ?2 q/ P( f: Q
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
/ J+ h5 C# A: [1 g! D题。4 W: N# l( B& W' S* M5 D& h
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪) K# E" R4 t$ N+ [, N! C
个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开- s4 @2 }" w& ]- a% d
portmapper直接测试这个端口。6 T5 c8 ?" D5 h! f& ?, E
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
; z+ l( o2 V2 X5 ^一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:# H" ~: L0 Z' M$ T* t5 ]+ _
8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服0 h9 B) n; [( ]. a& x- g' P
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
/ t* b- K2 _0 b1 D5 L 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开4 I3 o2 ^; q5 f( P8 P' M5 _
pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy); F5 p8 L2 z* ?# d/ U' }+ x
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜; L. y0 i1 U& g5 B- \, l
寻pcAnywere的扫描常包含端 口22的UDP数据包。
( A+ V5 s- r7 H' T, o 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如
2 p+ q* _8 ?% {4 _$ I% Y8 d当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一) t3 @" X% L) Y2 a6 k
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
: W/ K( }, b: M告这一端口的连接企图时,并不表示你已被Sub-7控制。)
X2 L8 _! f5 F4 S 6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这7 J H2 B5 T1 ~4 X
是由TCP7070端口外向控制连接设置的。
! V2 s3 @3 J2 F+ I: h 13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
$ C4 m4 ]/ e; ~的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应
# }, r$ m% y; j2 _9 L3 A。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”
8 h* R' y k; `/ O/ \. T: `了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作
R# C" G5 g* c- G2 S& c为其连接企图的前四个字节。9 a, P W. _) T& I
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent
+ `4 w7 H) I' M) _"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一7 k% a! n5 T/ w; h8 {
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本; ~7 [0 y4 v* \( Q* K5 L+ ?
身将会导致adbots持续在每秒内试图连接多次而导致连接过载: - H& r5 j D' P) E' o; B, @# \
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;
/ d1 e7 w' o6 ?- @216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts1 U ~1 Q/ o5 @9 \4 O/ s1 C
使用的Radiate是否也有这种现象)5 s% ^8 C4 F& _& O* k7 h9 K
27374 Sub-7木马(TCP)
( G" r: ]! n5 R4 S3 e 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
; E. R6 [5 y G2 B0 m* ^ 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法! G4 z, b1 n8 T. y( f* J
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最, ?$ N9 E0 j, M# h
有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
6 m) j4 S" |, w' W% `9 t' q* I3 e越少,其它的木马程序越来越流行。
4 O f/ G& o7 F( e5 s$ F6 C2 L 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
W7 v& w+ e2 b5 q# A) c8 L% J( X8 IRemote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到; ]. [9 e8 }) a/ b
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传7 U& _; @: n, A. M
输连接) d- s) K& D! e8 {8 S8 i+ Y
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的9 J9 w- m/ h4 ]* o, U/ W
Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许
; ?- N# t0 J, S/ C5 V$ iHacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了+ ?6 d8 d" Q$ w% ]) ?
寻找可被攻击的已知的 RPC服务。; G: ]4 m k+ S" l7 y, w1 l
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内7 `3 d1 d2 t8 t) ~
)则可能是由于traceroute。& @ K. F8 D/ b
ps:
( o' I$ T# ]2 Q" [其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
9 c ]- {7 G& Nwindows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出3 i j6 P! ?& Y( D- M4 w
端口与进程的对应来。. x5 R# C! Y- _0 D
|
|
发表于 2012-2-16 14:00:57
