|
|
从0到33600端口详解
- B! W8 ?! N& N5 I. k 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
! `. c/ w& W! o/ y# ZModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等; g' @0 Q; p. _( w) M X
。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如% o: c( O$ T0 i$ O
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的
{% j( U$ E# p; j7 {: X端口。 # }. t9 b+ h/ U9 `, a- a! y
查看端口
7 ?6 O) ]/ Q i7 ]2 {$ ^3 x4 S 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:. g1 X1 t; Z& Q
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状
( N% v% P( Z2 R5 v; a态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端
8 F- L( F- m [. |) q% x7 J) Z- ]口号及状态。
( G) V$ i" R' x# i8 D7 n( [ 关闭/开启端口
" ~ S+ Z& l0 L7 U) y* E! ~9 t" H 在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认! G. c5 b/ L+ @, p
的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
1 l* P1 p2 S9 g( [9 l7 l1 @/ M服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
- C `5 G7 Q5 u' r8 n3 O* M可以通过下面的方 法来关闭/开启端口。 - {, X1 P/ ]3 S" m4 Q7 l
关闭端口! I! a7 ]5 Q% Y- O' G- J
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
, y8 L# B$ p; E) Y( y1 V,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple( j \( R2 G6 G
Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动4 F- m# z; @. E+ j0 R. G e
类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关/ i- K) a! F* I. |
闭了对应的端口。
8 [4 g+ t+ T% r! Y5 K8 _9 s4 W) e 开启端口+ z" n( m" g/ T
如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该
3 c5 m3 E6 l9 ~" i- y1 y服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可
L+ q) b) o8 s! `& G。
% t k( I: ]. V: B 提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开' V' C5 U% O5 K: f; P6 |% I
启端口。) v6 K: ?2 ? J5 A+ W& s3 g; x/ H
端口分类
7 ~; h% [5 a2 [1 q" p2 f 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
! r% v& m) Y4 L" P9 z2 G 1. 按端口号分布划分
# l$ F0 e* ~8 |- B A" h (1)知名端口(Well-Known Ports)( p: A6 p6 |( H
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。1 L: d! |3 g K! c
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给1 l1 {3 Q! \8 b0 p8 \% j
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。
& D& ^+ p2 }" F6 z9 W$ r5 P (2)动态端口(Dynamic Ports)0 N& |7 D& j: F2 ~' M; [% U
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许3 w8 Y- q. Z+ R( ]! ^: N- B7 ]
多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以
; Y4 r/ l) G0 f4 G" b, i( r从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的2 S5 [+ n! W% O3 H) v5 ?/ {$ N# s1 q5 N
程序。在关闭程序进程后,就会释放所占用 的端口号。
; R' i4 [1 Q5 ` 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
7 y/ o$ D1 @$ Y; t8011、Netspy 3.0是7306、YAI病毒是1024等等。( w8 O, m6 a6 n' x1 b
2. 按协议类型划分2 s9 T2 y" b; }! U& `0 K
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下* ^6 ]* r6 b# Z4 v) ^* p
面主要介绍TCP和UDP端口:- f( U9 M0 X3 V0 ?
(1)TCP端口% Q* Y# d5 _: @( L
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可 c; Y9 X/ F5 R% |: e& ~4 e; h
靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
5 Y$ c. G- m4 T* X: Y及HTTP服务的80端口等等。! J- x" w( v" D$ x# c
(2)UDP端口
0 [3 o- ~* W% X* v' ~9 Q UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到( h- N% [+ x5 }1 H; m
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的6 Q. \" Y" x( d
8000和4000端口等等。
4 R4 n6 A5 c* S4 x' `: u 常见网络端口
1 y6 b2 v y+ Y5 {7 Z% K 网络基础知识端口对照 . @) M) u/ x9 R& {6 [; ?2 j
端口:0 9 R# Y2 U2 A+ {& E" _) I, h
服务:Reserved + ~! Y" {# y4 ]5 W
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
. M4 F* B2 y' Z& |5 Y你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
- K" u y; i( i) {' f ^3 S2 O0.0.0.0,设置ACK位并在以太网层广播。 ) T, m8 Q; k# A
端口:1
$ ~1 f+ ^5 A, r. \+ a: R5 J3 R服务:tcpmux
+ d3 n) U; `/ N' }5 {说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下2 t7 e5 I8 u1 V! c0 M5 {
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、) Y! t+ G* f2 ^' \# M5 y, w
GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这
, p8 k' l8 Z0 b1 t些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。 5 L6 | D3 J5 l5 |: i
端口:7
4 Z( x; z S. O( ^1 r0 D8 x8 V服务:Echo
6 O1 ?0 ^0 d5 O: Y% y4 E说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
! O: I3 B! m% m6 i& g$ }* X2 E 端口:19
( v$ [6 o& u5 P) ] C服务:Character Generator - |6 `' P% m# a) I% n$ p
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。% ~1 h* ?. D ?
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击) R6 |( p( V3 W, C7 q+ F) j
。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一! k* G; t# \4 \' X, d
个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
) L7 C& L" @7 D& s, f 端口:21 % N r6 @5 B* w# n
服务:FTP
1 _8 t6 E/ D$ N# [3 n( t9 o* n, @% F, @说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous
& @2 ~/ ?) k! }* V" M的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible
$ }( C) t. T7 n$ v% }FTP、WebEx、WinCrash和Blade Runner所开放的端口。 - E' Q: [2 ^9 Z0 F* U; L, G2 d& M
端口:22 + Z9 o+ [3 F1 _5 [) {
服务:Ssh
: p, }" I6 q. G! G说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,$ H) L7 y! H" k/ ^) N
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。 # z0 O4 S* s7 s, x% Z
端口:23 & j4 \3 f) b. H
服务:Telnet
. s4 d7 i9 k4 z说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找& G3 F& F% H: \ S6 K
到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet
3 \ M, o& {- N/ H& U0 v) ^5 \! KServer就开放这个端口。 9 d, p1 U2 L$ G# L, N4 ?$ n
端口:25
+ P0 I' z% Q* c$ I |" d [服务:SMTP
0 n$ M5 U1 o1 |2 t- I, t$ E说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
' J4 Q0 ~1 t$ h( |SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递- _- b d) |1 x' Q
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth
7 h& W. R# N ~6 j3 W、WinPC、WinSpy都开放这个端口。
1 N: d& S/ ?, I. `7 ?7 ?" x( f9 ~% I 端口:31
; ]$ N% Z8 z) f服务:MSG Authentication ; p s7 A2 `; x2 S
说明:木马Master Paradise、HackersParadise开放此端口。 3 Q6 w( f% d. X1 Q; B4 N* c
端口:42 5 C9 M; h7 P1 }, F* V7 R6 U
服务:WINS Replication
; Y3 X* ]% C3 q% I" x) C4 D- N说明:WINS复制
* F. H. t2 F% e- K) e+ G 端口:53
& k5 M8 e8 ^! o Y' l3 b5 k# ?服务:Domain Name Server(DNS) - ]' z, v3 z# O( k5 Y
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)5 L: j# ?$ l0 n5 V; @7 c
或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
' |; r# L$ X! r4 Z 端口:67
& Y8 x4 Z! c# V; z8 N服务:Bootstrap Protocol Server
% U* M, S5 Z, [说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据' l7 y* s4 T! }7 K: Q. n2 K* X8 R
。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局
6 l9 w w$ ?: E+ w部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器
( D1 p |: R' W6 R: s- W向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。8 q: |: D. c& V( C9 U/ `; G
端口:69 % W" m7 g3 }3 h% K2 V- q$ d
服务:Trival File Transfer ) a: }8 G, p/ I: P- o& W
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
$ ~! t9 @7 p! u% V+ [错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
1 G1 C" y8 D1 i1 q( x 端口:79
* R+ o5 S" o0 X0 a1 C+ K9 r# h服务:Finger Server 1 {' {' b9 J% B! ]( s4 z4 p8 z
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己9 V- R( ~7 E& @9 P$ F
机器到其他机器Finger扫描。
7 `+ M H5 A; V- T0 | 端口:80 7 A, Z. _/ e4 ^. Y+ Z
服务:HTTP 2 G; m# [6 g# k6 E: c( i
说明:用于网页浏览。木马Executor开放此端口。
; k" b! W0 w; C( p 端口:99
4 v. }2 a8 e1 r# f. Z/ W& V服务:Metagram Relay
) d2 b, ^% P" g3 D+ o# V) M8 e说明:后门程序ncx99开放此端口。
' N- ] T# R. z 端口:102
8 N: L+ L9 p7 c. B3 x, a+ w2 ?服务:Message transfer agent(MTA)-X.400 overTCP/IP ) b& \; a. `6 y Q
说明:消息传输代理。 % S, m* U- @( E1 G! h% A& l
端口:109
6 j6 c( X5 l4 H* b$ K, [. ~7 c服务:Post Office Protocol -Version3 / k9 B1 n" i) n$ }8 [9 k9 ~; j5 \. q* `. ^
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务
( R3 K) k5 F; a2 @8 \有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者1 J' r& S2 s3 `$ @* B' Q
可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
$ ~1 Q) P" u* [4 a4 }' J$ _9 Y 端口:110 - \* X `; e+ X) \0 r
服务:SUN公司的RPC服务所有端口
0 A J) } H' L, @说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
* Q& M7 P9 V' {2 b4 r7 L2 N 端口:113
% i: t2 I% a2 L. p服务:Authentication Service
7 g3 A) g- q% {* X% O说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可! {/ X" ^* S9 X$ d0 p6 Z& ?
以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP/ \2 A% K' d' p7 F. o' ~' x
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接
5 L& v+ e+ v( _ Q; p请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
& w& L+ P8 P1 _; U% p9 U。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 5 T: {" m$ w |2 l
端口:119 / C) u1 Z/ z. y T7 s) {" [4 Q
服务:Network News Transfer Protocol ! J) r$ O, E5 p; u; |) b
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服. C0 n: M: U" S& {( F% h* H5 ~4 l
务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将
) N& T& {) }$ U, w' L允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
( K. H. _8 Z: S- S; D2 w 端口:135 `: h. R9 {4 U H
服务:Location Service 4 X0 |8 q Z2 i$ M; V
说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX1116 t1 S0 t0 ^3 c# I1 C
端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置 `/ F3 _, |) ]+ Q
。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算
: H. N0 G" r1 p机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
% C6 }# @" [1 _; @! q直接针对这个端口。 - h# T1 P# y' K
端口:137、138、139 $ K" o! ]/ j3 B$ O d
服务:NETBIOS Name Service " k" D1 @4 P! l1 P3 ^! P
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过" n X: y N0 b. [+ b% M3 F7 P0 \
这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
! r q* g6 U: a( C3 W和SAMBA。还有WINS Regisrtation也用它。 0 c* S B" I9 F# |# |6 r5 d5 b
端口:143 5 g8 X! J% ~- ~# V- j$ m( f
服务:Interim Mail Access Protocol v2
4 @2 L+ u$ B4 j. k说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕6 ~( h$ K1 D3 i) N/ X& e
虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
& P. x% k; R% F用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口
: [" z: R* D* z. v还被用于 IMAP2,但并不流行。
* v6 b8 g4 u$ | 端口:161
& V; V8 L ^# ]2 p# P服务:SNMP 8 A6 R4 }$ U" s7 g- ^
说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这- u7 m& e, V+ y2 ^" k
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码
7 f2 q: {! ^1 c( C D* Jpublic、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用
4 T/ T4 ]5 j8 E' M1 m( g n* m户的网络。
4 I; U' \' V9 U: V" ~ 端口:177 X: Q: S( d7 h
服务:X Display Manager Control Protocol
2 Z$ \3 ?3 y {说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 * ?( A5 m6 f& r- |2 G6 Q
$ `6 u, @4 l7 p" S* K
端口:389
8 A/ i4 s' m7 Y" S& w( h服务:LDAP、ILS
- F" v: [7 C2 G( e说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 ) c! V; Q' v2 b
端口:443
/ a% c( S) X1 b! @. V6 L服务:Https
8 y1 H" d' z1 t$ n V说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。* e B9 S; U* E! L) ?4 o; q7 R) z
端口:456 + E3 ^3 s* Q7 i. H# T n
服务:[NULL] $ Z0 }5 P: Y- P
说明:木马HACKERS PARADISE开放此端口。 0 E) W, x2 O" A4 a3 b$ E
端口:513 - l+ R$ f$ E2 e3 s" e/ Q1 [
服务:Login,remote login
, D2 J0 M+ ~! }: s: T" h说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
/ O6 H; J. g4 B3 E进入他们的系统提供了信息。 ) Y3 }$ c7 U. u; Q D1 F* L6 y P
端口:544
# D: Z- s* D: [服务:[NULL] . a7 w: x+ X V, l! g9 K ~) `, {
说明:kerberos kshell ' ~7 E4 K a' f4 |, h& Y) @
端口:548
8 R) W+ s4 p7 f7 p4 G' R: r服务:Macintosh,File Services(AFP/IP) 3 R) c8 e' ~* v0 ]; | z9 P% X
说明:Macintosh,文件服务。 / l& U3 Y: E' A; I9 [
端口:553 8 Y0 k$ [$ S: n. ^
服务:CORBA IIOP (UDP) ; E7 {3 o6 y) D1 d
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC# `, Z3 k. A, E+ ^
系统。入侵者可以利用这些信息进入系统。
. X) `; l7 A, J- _" T6 r 端口:555 1 C- ?5 U$ q5 I# G
服务:DSF
% l: ^) z- u- |6 {. T$ {/ p说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
) a3 h- n8 I: ]0 G% k 端口:568 7 E+ i" I% l2 }$ G; W/ r8 H" L, p. i b
服务:Membership DPA " ^% X& M6 G( {
说明:成员资格 DPA。
/ Q! V4 d2 M$ k( G# u+ K2 o; X 端口:569
: \! k; n$ A* u/ k服务:Membership MSN
, k" p1 k! P7 x% c) q. `0 ?说明:成员资格 MSN。 & C h- L( m+ `6 i) o6 }# B" h3 _9 @
端口:635 2 b& m5 N: A- E3 u( ^9 T6 V
服务:mountd
0 ^- F9 K, E8 ]( y4 q' U% @6 o% A说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的; W5 } ~! ]3 u |" M- V
,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
" y F0 K7 G* W! Z7 N# T% Q4 S何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就' `5 v, t7 U2 @+ B" f
像NFS通常运行于 2049端口。
+ c- ]2 M( h" q2 z3 o7 ^ 端口:636 5 i' X3 t2 t3 E+ M2 K
服务:LDAP ) j; v$ e# G$ O; W# p3 W
说明:SSL(Secure Sockets layer) : g% A6 y9 j; [1 n" X! g, V8 Y7 C
端口:666
i! }! o# y; X% E- v$ S2 q$ V服务:Doom Id Software
( ^0 J: M! D" b2 [说明:木马Attack FTP、Satanz Backdoor开放此端口
7 ?7 w3 r7 u/ r' w% t! s, D0 x 端口:993 - M# B; j5 ^3 F
服务:IMAP " m9 w* [$ W0 ~1 t* {, c5 ^
说明:SSL(Secure Sockets layer) 0 g; v6 m" o0 `! `
端口:1001、1011
+ n/ i6 ] F& P8 E服务:[NULL]
2 Z: P4 @, n d说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 : e2 j# t$ f2 B) _
端口:1024 # x8 Y4 Z! I/ ^0 e( S
服务:Reserved ( g+ [+ E8 C0 h7 t" S( D9 a1 b6 r
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们
# d- z. p5 a3 e分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
! Z6 C1 H. \' b% v) s3 G会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看$ Q, j* b4 n; W9 `, Z; k" _# L
到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
8 s7 w7 s; H- `+ P( W* X 端口:1025、1033
9 w3 L) s2 u$ N Y服务:1025:network blackjack 1033:[NULL] 3 k3 q8 o2 [! `/ n$ \
说明:木马netspy开放这2个端口。
8 m9 a# _: A. w) D 端口:1080
7 i+ E5 T- m% a! B- W服务:SOCKS 2 O. ^0 u5 t2 T: s
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET+ z% h) T) P! `! n7 w; ~; h
。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于) m7 _) {9 r% U, [/ k6 T
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
! @3 g8 K+ S4 T3 g种情 况。 5 d$ P; m' I X' N. \
端口:1170
3 O" T. z7 i7 j: O# r6 Y4 T: D服务:[NULL]
4 c( A" K$ q" N( W4 r说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 ) b& S" {. U$ S
端口:1234、1243、6711、6776
6 d7 a$ `/ y% }服务:[NULL]
, Q/ s$ n) @6 A% N说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放% r" p# ^6 m1 |& C' F, P5 s6 ?! ^
1243、6711、6776端口。 ) z& e+ X3 }8 S6 n
端口:1245
! x+ V: q) d. b+ a5 w服务:[NULL]
6 w! h# e w* L+ y2 v% [& u说明:木马Vodoo开放此端口。 5 ~* |- J o7 C& L4 b3 _
端口:1433
0 i4 x, J) Z- L8 o" ?( f服务:SQL
6 W+ s# p9 I) Q+ P' m0 ~2 T' [说明:Microsoft的SQL服务开放的端口。
( ]8 {9 t5 s o7 Y 端口:1492 - ~. [2 b+ C# Z* f4 u
服务:stone-design-1
- v% G. S; m H1 n说明:木马FTP99CMP开放此端口。
2 L8 J) l2 m' {. O% f 端口:1500
4 q: g1 k" U" i- w. r# S5 `服务:RPC client fixed port session queries * X+ ^, ^3 o0 O: C
说明:RPC客户固定端口会话查询
! p8 n* a+ R% {+ y) D: n4 F E8 f 端口:1503 & Z& f. O$ V1 {2 j9 C
服务:NetMeeting T.120
/ x! S* _- @; f说明:NetMeeting T.120$ q) @! Z# H( Z, j- G! C
端口:1524
6 [1 B3 h! h6 r' a: [4 M- U# Z服务:ingress ' M4 B7 j2 [1 o+ j% n
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC) ]# q* U- S2 `6 w* h8 m
服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
$ ~& n( V, W2 ]1 J3 Q; ~。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到
! _: { P; D% m- q9 x( R) J9 _600/pcserver也存在这个问题。) t7 Z7 w" j; `- v
常见网络端口(补全)
0 \# `: p8 r! ]7 b' @, \" ^! w/ k; d 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广5 k& i# H6 i$ d. h4 ^0 ]! R
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进8 M. N$ a. ]3 S) @6 m9 p& _: @- v
入系统。
5 A K2 w! Q* l 600 Pcserver backdoor 请查看1524端口。
" {7 p4 M; U& q; k1 M4 N( T y一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
, Z/ w, _+ a! L' `- }Alan J. Rosenthal.
, V6 d/ U( ?! a4 O 635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口 }+ \3 I/ x2 Q! y$ ^2 q% R2 m( V
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,
5 N1 a% y8 T9 l5 B% d( T Nmountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默
' x7 C1 i& F. y6 l4 {/ w认为635端口,就象NFS通常 运行于2049端口。
% O$ F* ]$ b0 X) K4 D% } 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
0 G+ a( m" i4 \' X7 w/ t7 O) o y口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口
, I" z: O% T3 D6 R7 L% q/ M1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这% g8 ]+ {3 |# }! t" w
一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到6 O v4 u/ }( }! K
Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变) ^- Y8 D8 g0 }9 C7 K8 l3 H
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。
# r# E& b) _7 c9 Q' x 1025,1026 参见1024
, T: ]5 ?' ?: q/ f2 { 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址
- [$ ]& N9 f7 [. O+ [! ]访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,% L& {2 O4 R3 v" W; [
它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于+ N Z: S+ l5 t; g. G; n9 u8 a
Internet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
0 E! {0 o2 x6 w V/ m火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。( b6 s& x! A+ G
1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。* ~8 M3 \* y0 @) v) T$ o. E- z
2 \ t2 g/ O$ r; u: ^
1243 Sub-7木马(TCP)) ?* c3 M' `, j* ?- J* D, h5 T
1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针1 S/ }6 y' v' }% q" _: P0 G7 _/ E
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
! f) G* g4 |: K装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到' i4 H! e0 V: z) l
你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
: f" L- P* f- Q. `题。/ X7 A0 E( H3 e. F; @8 n) I6 V
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪/ P. ^$ v4 e" c' \# s) Z9 n+ E
个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开
& C$ L% g* c1 @2 Xportmapper直接测试这个端口。
% L8 c5 S" n3 W2 F) p5 |. k 3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
5 U8 r; G0 _: ~ K0 C/ l一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
% j. c c) C( F1 }7 Q; i8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服! K( B9 L+ b& L
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
* }$ O& D# S9 T 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开5 @: F! i* ?+ e. s# M
pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)% S; g. p5 X5 j! `4 D7 D0 [8 }9 k
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜
3 `2 |% t& `" z% y3 n" K寻pcAnywere的扫描常包含端 口22的UDP数据包。- w8 t" c, G C6 i
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如
1 m# R5 @+ t3 q' y0 G0 l$ U当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一: y; ]( D4 U! S, s9 W/ @
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
) y+ a+ e5 j' z7 I4 x' Z! L x; B告这一端口的连接企图时,并不表示你已被Sub-7控制。)1 d6 ^2 H' f: H* g
6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这
0 b2 _/ j8 `/ X& n% x9 ~8 f/ Y3 Z是由TCP7070端口外向控制连接设置的。# N! T- i6 k0 X$ _: X5 R
13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天9 t! x: Y- p4 O# K$ `$ {) h
的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应) }. Z' O6 N7 y$ f- D+ g. U
。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”) u5 u" E$ [" O" [
了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作9 T0 p# ^* N( H5 z u# L- _/ ?
为其连接企图的前四个字节。 g, ~6 V% y6 r/ s
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent; g3 |+ b, z$ @2 b" \
"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一
+ J# Q4 y+ ~( U种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本4 b: x0 t& i3 j7 j' p+ k
身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
3 L" l$ G# V8 ?3 E) }机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;1 x. q% j/ |2 ~- K" V6 c
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts2 ?0 F+ X8 G$ P ]1 O9 D* y! X
使用的Radiate是否也有这种现象)9 I) p* _/ P) W" P0 m
27374 Sub-7木马(TCP)) b/ G, I8 P8 g; S
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
% X7 J! l( }) r, Y 31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法
" ~0 U- a/ K" N" _" N语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
/ q3 t# j: ~/ z$ i有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
" Q7 w% u6 [6 g6 l6 N越少,其它的木马程序越来越流行。, `$ y( h" U8 D- E9 V+ X3 f- A' g) z
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,5 T5 j" Q6 f% X& R
Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到# E2 B, _$ @# f* a" T
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传2 Y6 n9 `7 B2 e
输连接)
1 G- w" I8 S/ W X: \$ W 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
) F a" Z( Y- K# T% x6 wSolaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许5 j8 q! p" _' o6 G- T! X
Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
2 |9 {" X+ z- t! d. x寻找可被攻击的已知的 RPC服务。 g" o7 F0 r- J( x7 ]" u0 l7 ?! k
33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内
/ l& X" l' L3 \( }6 N. X) M8 H f)则可能是由于traceroute。: ^. k; I6 X f; d: |, T
ps:) p: G, J7 h6 w5 ?2 z
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
% y9 l, _+ I. U4 r- D' \% ^windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出* o) [& P2 g/ r% \6 ?" G
端口与进程的对应来。
: k( y4 u- I5 V0 M) f |
|
发表于 2012-2-16 14:00:57
