|
|
从0到33600端口详解
; ~$ Z$ w" [( @# e 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL
8 I* G; t7 z3 TModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等
3 C. N# U4 ]- }6 X。二是逻辑意义上的端口,一般是指TCP/IP协议中的 端口,端口号的范围从0到65535,比如5 J& F# D. L5 R6 X2 ^! W
用于浏览网页服务的80端口,用于FTP服务的21端口等等。这里将要介绍的就是逻辑意义上的0 x- H: J; M% D
端口。
/ Y6 `, u6 k1 M+ ~ 查看端口 - u# M- s T" X
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:( K j! ?+ F0 B; r0 T
依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状& s/ v. _+ d3 X( K5 d; _5 k
态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端* Y" ^" l: C- X5 c
口号及状态。
|: H) H5 ]! v& w5 L8 l/ t 关闭/开启端口: x; x) @' x1 x6 `. o) A# G
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认
0 \0 ]" T8 `6 y! k. q- P的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet(远程登录) 服务的23端口、FTP
, n- V' O6 w" _' c8 m3 n服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们
# G8 S- k+ E+ J4 k* Y2 u可以通过下面的方 法来关闭/开启端口。 ) y1 h! v6 B5 x( q
关闭端口
3 z! D* j# f9 s- z- j& K0 b 比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”
' y- `; ?/ \6 c6 D5 h* Y- C) w,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple
7 P/ r2 y& x8 x& a5 q- S+ T; fMail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动
* d; K8 _% k9 s: n* E) E8 k4 n类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关
% Y4 t5 [. B+ S. \3 m) J, W( w闭了对应的端口。 ) n; T# g) l3 @. k8 D ]
开启端口
1 }) r k# ^ G) W" Y 如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该/ O/ [) S3 j# m: l) C: Y
服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可# i- J% Z0 [! N* ]
。9 e7 D1 V: x& o! B
提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开- X( z* w6 B& @/ i
启端口。1 z0 ^% W! L" F) J' ]
端口分类
' B, g; P4 `/ j I" n( }( R 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
4 C+ c$ i: y" T 1. 按端口号分布划分 ( K' |" G0 ?5 T+ y- N
(1)知名端口(Well-Known Ports)
& b2 m5 t% T8 A6 k$ K$ V! Z0 V 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。7 \; `" [( p3 _+ `
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给: b- ~' i+ p; x/ ?* _
HTTP服务,135端口分配给RPC(远程过程调用)服务等等。
8 X& U- _( w$ C2 v% j' D (2)动态端口(Dynamic Ports)! i$ f2 E1 @. T4 v# J
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许
- c6 o0 M; {3 |4 a$ w) T多服务都可以使用这些端口。只要运行的程序向系统提出访问网络 的申请,那么系统就可以2 m/ k2 i0 |/ v! I
从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的( E( T9 l6 L% L3 M2 W
程序。在关闭程序进程后,就会释放所占用 的端口号。
% w/ N0 v, d) s; h) J 不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是" L2 \( E% u* m/ H7 z' ? }
8011、Netspy 3.0是7306、YAI病毒是1024等等。
. P1 T7 l0 q8 E" d. w+ _ 2. 按协议类型划分2 V/ K; x7 |; c" S$ u% J
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下* W% [" m3 E; R/ |/ F/ u
面主要介绍TCP和UDP端口:. ]8 N$ Z( I0 X, C- w
(1)TCP端口
# O! c' p, E; C2 q6 L3 w TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可
( J! s J: S- J5 W g6 r: z( m% `靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以
* j. ~7 t2 \: F% M1 ^2 v及HTTP服务的80端口等等。; A$ O! _& \ t1 H" c* D: W: O0 ?
(2)UDP端口, g; |- w3 h. a
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到1 P( R7 ]7 K* ~' u6 c- `& C
保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的
7 `/ z% F3 S& W3 H# \+ J8000和4000端口等等。
. ]6 W9 |+ k2 S& o1 v9 R! b" l 常见网络端口
9 u5 ~- R+ c' a) l% l 网络基础知识端口对照 2 n. a3 j6 r4 R- l. J
端口:0 ) q4 o5 a# C1 j# `8 @4 O
服务:Reserved
" f8 q' W- q# u* x- `说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当
& j8 p/ |) d2 k你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为
3 Y4 C. i. d: U3 ~/ @& V. |9 l0.0.0.0,设置ACK位并在以太网层广播。
/ C2 v( h u% h! f 端口:1
6 A# ]' u. D8 D. @服务:tcpmux 3 g9 Y' T C/ @3 I; d0 ~ C% d
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下+ }. o5 k8 O9 S. h3 p& D* D2 E* X
tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、. d$ w1 {: }% y9 E$ y
GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这6 q6 { J2 {. n7 p( i0 k
些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐 户。
/ O+ t' P# g6 _, y o5 e6 z 端口:7 0 w3 {$ f9 h/ V7 q7 q6 f; `5 ~ l7 W
服务:Echo " b% \" u* B1 \2 i2 Q
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
( Z0 n/ u$ J% Q5 V 端口:19 7 S% K5 |: R% O6 ~
服务:Character Generator
/ |! g7 M1 F5 n% ^说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有爱你字符的包。( a& u. X. |5 K$ O
TCP连接时会发送含有爱你字符的数据流直到连接关闭。 HACKER利用IP欺骗可以发动DoS攻击
4 P7 {1 B! L& K3 q。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一
0 v7 j3 c4 ~- e个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。 $ Y( k W; Z8 N5 d& p7 C
端口:21
9 ]* D ?2 n4 d4 Q8 d服务:FTP
$ ^9 }& W* d: t+ i% A说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous4 w% U0 B9 Q! Z1 P% b
的FTP服务器的方法。这些服务器带有可读写的目录。 木马DolyTrojan、Fore、Invisible8 p& {$ k. i" B7 s
FTP、WebEx、WinCrash和Blade Runner所开放的端口。
! [, ^. ?: s0 n1 ? 端口:22
( L/ U: I7 K: N9 g8 Z3 F服务:Ssh
8 N9 m: X* p m3 w& Z4 @0 Z" l$ Z* i说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,& N) v, A# ?( G
如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
' T, i* ], K* X4 y4 F 端口:23
1 h4 D5 @/ H/ n6 i% m# i服务:Telnet , f2 @( X [4 ~
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找
$ n1 P2 o( R1 v y7 z) A到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet: J n1 R' e5 R
Server就开放这个端口。 6 y, c9 K8 ]* M1 H( |
端口:25
O9 g) q6 @5 ?* r1 E1 |* q服务:SMTP ! @3 p1 S; ~" W9 O. Z* ^) [3 a% d
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的
, ~1 {7 A! E G2 W) ?SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递 k2 d& {0 O1 T) k7 z# U( X
到不同的地址。木马Antigen、Email PasswordSender、Haebu Coceda、ShtrilitzStealth6 _% H0 u, B `$ ^
、WinPC、WinSpy都开放这个端口。 4 e, y7 [* f! c
端口:31
* ?6 x$ e$ H% @* l( _+ V* ^( l) S0 r' s服务:MSG Authentication 1 v* F1 m: c: Z& C( J7 t8 `2 q2 N
说明:木马Master Paradise、HackersParadise开放此端口。 ; q, |, R- I! Z+ d+ s. [: N
端口:42 / G0 V6 S4 g5 O/ M& j
服务:WINS Replication " f5 u; E3 G0 t6 z( M
说明:WINS复制
! D6 M$ N6 O# p 端口:53 3 V$ |* I1 w/ |
服务:Domain Name Server(DNS) 7 M: h7 y8 [" }/ s3 [8 C
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)' f' K# w- n* o4 O6 K% L8 a j
或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
" f; r% R% y5 O" o* [' S8 q 端口:67
. E9 |# ^' B+ _" }; Y8 M服务:Bootstrap Protocol Server
) t1 O" m* g4 w5 H. m说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据
; l' n9 u& _& Y。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局8 d8 Z' f m P' a' Q) }' d s( C
部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器
; ?4 z3 Q+ k5 z" o0 z8 G4 k( i! U向67端口广播回应请 求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。, X* F* o. o; D: @
端口:69
* ]) m" B* a' p) P. M E服务:Trival File Transfer " O, A" V. @- Z+ m
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于
% }7 w3 [' x; \1 Z U5 F# }错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 . m1 W, j4 @: ~% g: N: w$ U7 ]1 h+ L0 I
端口:79 / W& N, W* V* n1 g
服务:Finger Server
2 C) Z# B4 D5 n6 p& j6 v说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己8 a) ?$ y, \+ R* ~
机器到其他机器Finger扫描。 5 N9 k j Y: a# N/ O
端口:80
$ ~: Q0 V3 M/ e9 M% D4 {服务:HTTP " r+ p8 B' b4 d$ M
说明:用于网页浏览。木马Executor开放此端口。 , C$ E. I2 \' O3 Y8 w+ b1 P
端口:99 $ H; Y8 X- `$ ?
服务:Metagram Relay * e0 Q* A. i; e
说明:后门程序ncx99开放此端口。
/ t3 a& @8 ~9 H8 q5 Q 端口:102 0 f" e E6 ~# Y$ b' n7 B) J/ i
服务:Message transfer agent(MTA)-X.400 overTCP/IP 9 C7 {# U+ x8 M" ?( Q% \
说明:消息传输代理。 ; j" Q1 N& d2 u+ P
端口:109
: y) `3 x. T0 g/ e4 f# U; U) l+ Z. [5 a1 P服务:Post Office Protocol -Version3 $ @ j1 [" H! X1 |! D" X7 ^& T
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务* b! R* X) ^ {' K' L
有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者
4 ?" ]1 C4 ]& a可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 1 m' X6 h: s1 u
端口:110 6 u4 |. ^( K; n
服务:SUN公司的RPC服务所有端口 * z1 e$ Y1 |, c1 H
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、AMD等
0 r9 _) K! z/ ]: B7 l: h 端口:113 1 J s( Q4 ^' p7 d( \ ~1 b
服务:Authentication Service
8 j- ]7 N- Q0 c说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可
" Z6 R, t7 m* B: T6 C以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其 是FTP、POP、IMAP、SMTP% J" ?% u7 O1 K- p. s! N p
和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接# x# D3 c$ p7 h, B' q I
请求。记住,如果阻断这个 端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接
0 C* H1 J3 S" m! A [. v。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 , Z1 W; q" U- M& B X
端口:119 " [) v' Q/ G+ Z& X( w, V0 b# F
服务:Network News Transfer Protocol # l2 Z8 H6 G& @
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服
# r: R$ Y6 T8 M' a8 \务器。多数ISP限制,只有他们的客户才能访问他 们的新闻组服务器。打开新闻组服务器将* w, A% c# w- ?( q2 M
允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
^4 {; y" d9 E2 v' _ 端口:135 B7 {/ Y; X0 h9 s+ x
服务:Location Service
, L8 x9 E" \. j6 B3 x说明:Microsoft在这个端口运行DCE RPCend-point mapper为它的DCOM服务。这与UNIX111
( s& m3 p# ~" o) z4 Q$ _0 J端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置' E0 h# B9 d A
。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算9 n2 R4 e: ]# O. z) d8 p
机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击
8 p$ d" l) |" `8 _( L E$ y T! Y直接针对这个端口。
0 g' w7 t* ^6 |) {6 } 端口:137、138、139
4 Q5 @# X2 u8 `+ J) B' X, D; X服务:NETBIOS Name Service
& @+ @4 J& \- A2 a7 @说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过
5 W! j) s9 L5 A% U, J3 R' h; V) J这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享
7 v, H5 T, b) f) @& |9 M和SAMBA。还有WINS Regisrtation也用它。
6 C1 E8 o" s M* ^7 Q7 d, G! E 端口:143 ( t0 q) ^8 A6 z+ L! s) B
服务:Interim Mail Access Protocol v2 5 I' m5 t& m; r
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕
" e$ K( c9 g2 ?* Y& g8 U5 P虫(admv0rm)会通过这个端口繁殖,因此许多 这个端口的扫描来自不知情的已经被感染的
$ g: o- M. N8 c+ o; \! W用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口- C, r4 K( I+ {" I9 C7 [; v9 I
还被用于 IMAP2,但并不流行。 & J& v/ {- r5 \. g/ d+ `) N6 S+ F
端口:161
- Z( a! c" a/ s, B& d* L服务:SNMP
; h. J$ l! n% \- ?说明:SNMP允许远程管理设备。所有配置和运 行信息的储存在数据库中,通过SNMP可获得这. i0 v* A4 j' U+ r
些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码3 |! q1 E" w9 ]: ?5 [
public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用0 H1 X) V E1 z u
户的网络。 & r& L7 h1 y5 ~$ Z; s% B
端口:177 6 @. Q' {* \" q; a
服务:X Display Manager Control Protocol
2 t; N; J% {* l2 E- u说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
3 ~$ N# w- L1 [3 J
) b% p1 [5 G" o0 m0 ^0 } 端口:389
( @8 ?' a7 G+ n. {! a服务:LDAP、ILS 5 [$ O! P4 u7 }: Y u
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
8 E+ N; ]. M0 v( e Y 端口:443 0 o( M% k: _6 I5 H3 J* y2 S# t
服务:Https 8 v4 B% D1 ?; a- a! q4 A
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。/ u3 \- z5 d! Y. `' X. t! X
端口:456 8 H6 K( N- E- r# ~+ T! ^
服务:[NULL]
- h. A5 d# a* ]/ O" j: [说明:木马HACKERS PARADISE开放此端口。 : d- w. f6 E8 D* g/ c
端口:513
6 f/ i6 V0 }- t1 Z服务:Login,remote login 2 R( P" M& R: [1 G- v! A9 p; f
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者
. K& F4 A- c: g# P5 ^9 D进入他们的系统提供了信息。 + u. S, Q6 K5 H, B6 ~+ M. M5 m9 K% e
端口:544 . X; p9 l; V- ?! y/ g1 ~
服务:[NULL] - b. i3 n ^( i/ x
说明:kerberos kshell 4 x; U/ z( C' k
端口:548 ( T/ [& Q) G2 H7 S. N- C
服务:Macintosh,File Services(AFP/IP) - z& t4 ^, b \5 N7 r5 G3 r
说明:Macintosh,文件服务。
2 U% q% V% ]$ F, h 端口:553
/ k" y+ B: l9 W- {, A服务:CORBA IIOP (UDP) 0 U+ h& L2 ^8 D# W3 n
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC
9 z' |7 ^* E% c O系统。入侵者可以利用这些信息进入系统。
4 | Y4 g5 c+ ^0 @$ j0 m% U 端口:555 / z: W8 v& N+ g3 @5 u4 B* n
服务:DSF
; N# H8 j3 y' N1 F* m说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 . y ?" E6 I# X7 s! L0 W
端口:568 / C- S. D2 m* |
服务:Membership DPA ' L4 \+ H+ Z7 J6 R5 m
说明:成员资格 DPA。
( G- _6 F' V1 { 端口:569
0 l8 I7 N8 M p3 K' b服务:Membership MSN 4 s/ A. I, i2 y" p
说明:成员资格 MSN。 7 i8 m# W, W0 v3 T
端口:635
* ?; w' N& X& k! b* w服务:mountd ' D1 o3 S0 o" w V2 {/ o
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的6 S* r6 q6 G1 J0 Z. C, Z$ m
,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任
* C- z+ n& q2 O/ m" B& X- C何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就
8 A3 n/ t% X9 m Q0 z像NFS通常运行于 2049端口。
3 G! L7 ~* @. ^8 [& i' B" b 端口:636
! L3 p2 O6 c1 p( j3 y3 Q2 M9 g服务:LDAP 9 s. o/ t& Y$ M0 }* K
说明:SSL(Secure Sockets layer)
% }& E" r5 k9 M4 i5 v" K 端口:666
) R% v' g5 q2 N3 w3 M服务:Doom Id Software 4 n, }) t9 c, R, v! W
说明:木马Attack FTP、Satanz Backdoor开放此端口 % n9 V* H. }/ Z! U4 l" J! D
端口:993
+ J% ], J) `8 [( f/ b服务:IMAP
* o. c& V& |5 h5 [说明:SSL(Secure Sockets layer)
# C l% ^9 c/ D 端口:1001、1011
1 S4 b8 L# ]) V1 a; I# x1 Q服务:[NULL] ; u: b8 w2 M+ y; \# H5 J
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 2 j8 P5 `, F9 A6 |
端口:1024
# a: a8 I7 v+ M% b服务:Reserved 3 Q. D# @7 n* o7 w/ @9 J
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们$ F% y5 [* c: L* I7 \7 o) o1 ]8 b
分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的
! M4 ^2 T. L" }, n会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看
: ~5 S7 k% B: R4 u. \5 M: K: U到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。 ?+ E; R) U# G. ]9 x9 _
端口:1025、1033
& E5 q3 Y6 Y' F. V2 {服务:1025:network blackjack 1033:[NULL] 7 ~0 e5 H8 W, u- X
说明:木马netspy开放这2个端口。
. w |+ x8 W: K( r* v9 r 端口:1080
3 |2 c V6 e4 A8 u( ~2 d s服务:SOCKS 8 |2 Y6 t& S* @9 d% D9 R
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET
2 M* \& f; }% \。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置,它会允许位于) R5 [' A/ L, V5 w6 q
防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这
* m# x' e# V; T种情 况。
, ?; n7 T. { r i( e 端口:1170 - F0 q- d' N, }$ L* ~3 M
服务:[NULL]
- L; L8 n& C/ c, \- S说明:木马Streaming Audio Trojan、PsyberStream Server、Voice开放此端口。 * A- v3 r6 n2 J5 r
端口:1234、1243、6711、6776
$ X& k9 Z8 l" F' C* s8 y, B0 H服务:[NULL]
" {! [+ H6 Q- _: f9 U" x" X: M$ F说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放- W$ H. Q& R, ^7 [( W1 h. y9 W0 V
1243、6711、6776端口。
W4 `+ r, l6 o. S* }. y 端口:1245 . ~' ~8 \/ Y- P# F8 T
服务:[NULL] & u, d( A2 W1 b! J) r& o C
说明:木马Vodoo开放此端口。 8 {9 g" S2 w+ V0 r+ ] p
端口:1433
: d& y! B. `1 \& z9 C. W服务:SQL
+ P$ Z0 Z2 Q J7 x: ?! M说明:Microsoft的SQL服务开放的端口。
( E) K- K. t9 g 端口:1492 8 k) W8 ?% Z- W* y/ K1 d
服务:stone-design-1 " Q+ ]# X ^; H
说明:木马FTP99CMP开放此端口。
2 _" ~# j0 B" Z' L" H4 @ 端口:1500 8 i4 d2 \0 C! A1 p
服务:RPC client fixed port session queries ) f" S/ y, T9 {+ z
说明:RPC客户固定端口会话查询- d7 I' F5 k- V; q# \: t
端口:1503
p' B3 t, O% D4 w/ _( [8 f服务:NetMeeting T.120 1 u8 t+ V0 u4 o7 V2 l# E
说明:NetMeeting T.120
* i; k! p( l. }, f 端口:1524
0 Q6 K! f& B- S y服务:ingress
( W# o6 a* F7 U- P8 @+ F说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC
& ?5 H$ D, V* J服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图,很可能是上述原因
9 S: c G4 P+ Y: B& W" f% j。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到( E% r, `4 o3 i K b
600/pcserver也存在这个问题。
, `% b$ P) I# g- D5 {- E常见网络端口(补全)
1 ]$ S' W" G& a- ^# b0 G0 Q 553 CORBA IIOP (UDP) 如果你使用cablemodem或DSL VLAN,你将会看到这个端口的广3 B: P4 e' i4 T) T$ K* G
播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进
+ K; C4 F2 u) F& ?! v4 _入系统。
# Q/ i2 ]6 L$ U! z. \2 p2 ^ 600 Pcserver backdoor 请查看1524端口。 3 Z$ O% T& _% H7 |
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
6 F1 d5 q( x) @& E4 U0 L# [% EAlan J. Rosenthal.3 v, V$ |" E/ r. M8 R) e
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口6 X, i& F* R$ s4 M
的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住,9 E+ Z$ z6 _, X' } s
mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默$ \+ A; P: y, W) G
认为635端口,就象NFS通常 运行于2049端口。1 Q7 z- V( ]( h3 B; g
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端
9 i1 ?. e3 N; z; S# ]& M口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口
% \# }1 d- m! z% t1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这
9 J! u8 V/ m+ ~) v* n/ D- ^" o; b一点,你可以重启机器,打开Telnet,再打开一个 窗口运行“natstat-a”,你将会看到5 g" y: Q1 b+ X& L X
Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变: }; O6 f- M# E9 c4 o4 g/ w
大。再来一遍,当你浏览Web页时用 “netstat”查看,每个Web页需要一个新端口。& \8 b5 h1 S% L. f& p! J
1025,1026 参见1024! x7 [/ J- g, e, z4 x
1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址: P; m/ q7 B+ S7 a+ b% q9 m! |
访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,
; i& V3 |! X' E) ^0 J它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于
' S1 u* V8 x6 dInternet上的计算机,从而掩饰 他们对你的直接攻击。WinGate是一种常见的Windows个人防
2 G2 z4 y) ~1 [3 _( t0 R1 t火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
6 ?( ^% t) S4 S! g8 ~8 [/ x/ } N 1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。; c8 i4 t% m) n6 d" S/ N
1 e5 ?( ^! x- T! A* D: S
1243 Sub-7木马(TCP) X% V$ }0 Y( C, k
1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针, I2 ?( [0 m9 m
对Sun系统中sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安
. F$ X @" |# k( {装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到
/ f T) _1 m0 C你的机器上的 这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问
( p! V5 h2 Z( J. j. |% u题。
" E: \4 {/ B" w, p 2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪
' h5 _6 b! G' C; m个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开, d! C. _3 P9 [; z6 z3 G2 G/ f
portmapper直接测试这个端口。( u' N; I) v( b# q2 `8 V
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
/ u% c, S8 j" Q1 m+ Q一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:5 p9 {5 G- `3 T4 T7 t% w0 @
8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服9 T" } R# g4 z9 J
务器本身)也会检验这个端口以确定用户的机器是 否支持代理。
# S& j! i$ b6 t, B/ f 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开
9 T Z+ k; U" b. U: K" A- }5 j- ipcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而 不是proxy)0 g- }' a- L) k# G
。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜. [: r* z- X; Q% k
寻pcAnywere的扫描常包含端 口22的UDP数据包。
' A# t4 ^% I" x5 l, P$ ^$ [6 V 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如
* k# U7 n! W5 V/ ^4 n7 D当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一* d; J( ^# x& I
人 以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报
- K+ Z! M4 a; b: n告这一端口的连接企图时,并不表示你已被Sub-7控制。)
0 {9 e9 N! K4 ^9 O1 A 6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这2 ~& Q5 Q6 }- K3 R
是由TCP7070端口外向控制连接设置的。
$ B$ p. k/ \! J! B 13223 PowWow PowWow 是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天
6 y1 j: `( @$ O# \2 x, r2 |的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应& p; @# O- }9 c* P
。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”% ? t2 B$ f/ \0 x* W7 ]. z
了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作+ B; i Z. e# D$ c6 I: d+ X
为其连接企图的前四个字节。
: y U. j$ u5 }4 U 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent" l) Z! t" ?* _8 i: s
"adbot" 的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一* \8 L- N$ x6 _! q- M; T' J
种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址 本
6 K* N" T8 {7 {1 c, F* T身将会导致adbots持续在每秒内试图连接多次而导致连接过载: 4 ^8 f1 p) L0 c
机器会不断试图解析DNS名—ads.conducent.com,即IP地 址216.33.210.40 ;
, F( Q0 {6 @% L1 V9 _2 u216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts. ?$ T$ D+ }7 _+ P
使用的Radiate是否也有这种现象)7 W" ~5 B9 o5 g! \
27374 Sub-7木马(TCP)# s- W) h, h! H) u
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。9 J3 p; ^1 R! t+ t# U
31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者:法. k- j9 `' N. m9 }( I
语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最
% l& A, h2 t% z# @9 ?* K有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来
. J" p' K; I+ ^' {1 b/ T; f9 y# G越少,其它的木马程序越来越流行。
i, [' \1 N! R* c( w 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,
) H# e& e! `! P' d2 [1 r1 @$ P2 `Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到2 q* _7 h p5 X
317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传
; e. j+ Q' [4 q( A输连接)
: P$ s5 d: [7 m6 F8 Y" s3 {8 E( g 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的
V& I! j. w" y7 wSolaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防 火墙封闭仍然允许0 A% n2 ~# `3 z+ F. G
Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了6 C' i! X$ _1 A2 ]- u. k1 W
寻找可被攻击的已知的 RPC服务。
3 H) j4 G; X, r2 L6 I; t( s 33434~33600 trAceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内& l J6 ]% }9 U: d! }$ m4 D( m# e4 L
)则可能是由于traceroute。
2 t% |" ^/ f7 Q6 w/ p. C2 m- ^ps:
D' T' L1 }2 H/ ]4 B( f5 R; T其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为: [, P1 L8 q) |3 |, L
windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出
& ~: Y# K6 h8 Q5 u/ n端口与进程的对应来。
6 S4 Y) x8 p8 H9 U% p2 b/ C |
|
发表于 2012-2-16 14:00:57
