端口概念
在網絡技術中
端口(Port)大致有兩種意思
一是物理意義上的端口
比如
ADSL
Modem
集線器
交換機
路由器用於連接其他網絡設備的接口
如RJ
端口
SC端口等等
二是邏輯意義上的端口
一般是指TCP/IP協議中的端口
端口號的范圍從
到
比如用於浏覽網頁服務的
端口
用於FTP服務的
端口等等
我們這裡將要介紹的就是邏輯意義上的端口
查看端口
在Windows
/XP/Server
中要查看端口
可以使用Netstat命令
依次點擊
開始→運行
鍵入
cmd
並回車
打開命令提示符窗口
在命令提示符狀態下鍵入
netstat
a
n
按下回車鍵後就可以看到以數字形式顯示的TCP和UDP連接的端口號及狀態
關閉/開啟端口
在介紹各種端口的作用前
這裡先介紹一下在Windows中如何關閉/打開端口
因為默認的情況下
有很多不安全的或沒有什麼用的端口是開啟的
比如Telnet服務的
端口
FTP服務的
端口
SMTP服務的
端口
RPC服務的
端口等等
為了保證系統的安全性
我們可以通過下面的方法來關閉/開啟端口
關閉端口
比如在Windows
/XP中關閉SMTP服務的
端口
可以這樣做
首先打開
控制面板
雙擊
管理工具
再雙擊
服務
接著在打開的服務窗口中找到並雙擊
Simple
Mail Transfer Protocol
(SMTP)
服務
單擊
停止
按鈕來停止該服務
然後在
啟動類型
中選擇
已禁用
最後單擊
確定
按鈕即可
這樣
關閉了SMTP服務就相當於關閉了對應的端口
開啟端口
如果要開啟該端口只要先在
啟動類型
選擇
自動
單擊
確定
按鈕
再打開該服務
在
服務狀態
中單擊
啟動
按鈕即可啟用該端口
最後
單擊
確定
按鈕即可
提示
在Windows
中沒有
服務
選項
你可以使用防火牆的規則設置功能來關閉/開啟端口
端口分類
邏輯意義上的端口有多種分類標准
下面將介紹兩種常見的分類
按端口號分布劃分
(
)知名端口(Well
Known Ports)
知名端口即眾所周知的端口號
范圍從
到
這些端口號一般固定分配給一些服務
比如
端口分配給FTP服務
端口分配給SMTP(簡單郵件傳輸協議)服務
端口分配給HTTP服務
端口分配給RPC(遠程過程調用)服務等等
(
)動態端口(Dynamic Ports)
動態端口的范圍從
到
這些端口號一般不固定分配給某個服務
也就是說許多服務都可以使用這些端口
只要運行的程序向系統提出訪問網絡的申請
那麼系統就可以從這些端口號中分配一個供該程序使用
比如
端口就是分配給第一個向系統發出申請的程序
在關閉程序進程後
就會釋放所占用的端口號
不過
動態端口也常常被病毒木馬程序所利用
如冰河默認連接端口是
WAY
是
Netspy
是
YAI病毒是
等等
按協議類型劃分
按協議類型劃分
可以分為TCP
UDP
IP和ICMP(Internet控制消息協議)等端口
下面主要介紹TCP和UDP端口
(
)TCP端口
TCP端口
即傳輸控制協議端口
需要在客戶端和服務器之間建立連接
這樣可以提供可靠的數據傳輸
常見的包括FTP服務的
端口
Telnet服務的
端口
SMTP服務的
端口
以及HTTP服務的
端口等等
(
)UDP端口
UDP端口
即用戶數據包協議端口
無需在客戶端和服務器之間建立連接
安全性得不到保障
常見的有DNS服務的
端口
SNMP(簡單網絡管理協議)服務的
端口
QQ使用的
和
端口等等
常見網絡端口
網絡基礎知識!端口對照
端口
服務
Reserved
說明
通常用於分析操作系統
這一方法能夠工作是因為在一些系統中
是無效端口
當你試圖使用通常的閉合端口連接它時將產生不同的結果
一種典型的掃描
使用IP地址為
設置ACK位並在以太網層廣播
端口
服務
tcpmux
說明
這顯示有人在尋找SGI
Irix機器
Irix是實現tcpmux的主要提供者
默認情況下tcpmux在這種系統中被打開
Irix機器在發布是含有幾個默認的無密碼的帳戶
如
IP
GUEST
UUCP
NUUCP
DEMOS
TUTOR
DIAG
OUTOFBOX等
許多管理員在安裝後忘記刪除這些帳戶
因此HACKER在INTERNET上搜索tcpmux並利用這些帳戶
端口
服務
Echo
說明
能看到許多人搜索Fraggle放大器時
發送到X
X
X
和X
X
X
的信息
端口
服務
Character Generator
說明
這是一種僅僅發送字符的服務
UDP版本將會在收到UDP包後回應含有垃圾字符的包
TCP連接時會發送含有垃圾字符的數據流直到連接關閉
HACKER利用IP欺騙可以發動DoS攻擊
偽造兩個chargen服務器之間的UDP包
同樣Fraggle
DoS攻擊向目標地址的這個端口廣播一個帶有偽造受害者IP的數據包
受害者為了回應這些數據而過載
端口
服務
FTP
說明
FTP服務器所開放的端口
用於上傳
下載
最常見的攻擊者用於尋找打開anonymous的FTP服務器的方法
這些服務器帶有可讀寫的目錄
木馬Doly
Trojan
Fore
Invisible FTP
WebEx
WinCrash和Blade Runner所開放的端口
端口
服務
Ssh
說明
PcAnywhere建立的TCP和這一端口的連接可能是為了尋找ssh
這一服務有許多弱點
如果配置成特定的模式
許多使用RSAREF庫的版本就會有不少的漏洞存在
端口
服務
Telnet
說明
遠程登錄
入侵者在搜索遠程登錄UNIX的服務
大多數情況下掃描這一端口是為了找到機器運行的操作系統
還有使用其他技術
入侵者也會找到密碼
木馬Tiny
Telnet Server就開放這個端口
端口
服務
SMTP
說明
SMTP服務器所開放的端口
用於發送郵件
入侵者尋找SMTP服務器是為了傳遞他們的SPAM
入侵者的帳戶被關閉
他們需要連接到高帶寬的E-MAIL服務器上
將簡單的信息傳遞到不同的地址
木馬Antigen
Email
Password Sender
Haebu Coceda
Shtrilitz Stealth
WinPC
WinSpy都開放這個端口
端口
服務
MSG Authentication
說明
木馬Master Paradise
Hackers Paradise開放此端口
端口
服務
WINS Replication
說明
WINS復制
端口
服務
域名 Name Server(域)
說明
域服務器所開放的端口
入侵者可能是試圖進行區域傳遞(TCP)
欺騙域(UDP)或隱藏其他的通信
因此防火牆常常過濾或記錄此端口
端口
服務
Bootstrap Protocol Server
說明
通過DSL和Cable
modem的防火牆常會看見大量發送到廣播地址
的數據
這些機器在向DHCP服務器請求一個地址
HACKER常進入它們
分配一個地址把自己作為局部路由器而發起大量中間人(man-in-middle)攻擊
客戶端向
端口廣播請求配置
服務器向
端口廣播回應請求
這種回應使用廣播是因為客戶端還不知道可以發送的IP地址
端口
服務
Trival File Transfer
說明
許多服務器與bootp一起提供這項服務
便於從系統下載啟動代碼
但是它們常常由於錯誤配置而使入侵者能從系統中竊取任何
文件
它們也可用於系統寫入文件
端口
服務
Finger Server
說明
入侵者用於獲得用戶信息
查詢操作系統
探測已知的緩沖區溢出錯誤
回應從自己機器到其他機器Finger掃描
端口
服務
HTTP
說明
用於網頁浏覽
木馬Executor開放此端口
端口
服務
Metagram Relay
說明
後門程序ncx
開放此端口
端口
服務
Message transfer agent(MTA)-X
over TCP/IP
說明
消息傳輸代理
端口
服務
Post Office Protocol -Version
說明
POP
服務器開放此端口
用於接收郵件
客戶端訪問服務器端的郵件服務
POP
服務有許多公認的弱點
關於用戶名和密碼交
換緩沖區溢出的弱點至少有
個
這意味著入侵者可以在真正登陸前進入系統
成功登陸後還有其他緩沖區溢出錯誤
端口
服務
SUN公司的RPC服務所有端口
說明
常見RPC服務有rpc
mountd
NFS
rpc
statd
rpc
csmd
ybd
amd等
端口
服務
Authentication Service
說明
這是一個許多計算機上運行的協議
用於鑒別TCP連接的用戶
使用標准的這種服務可以獲得許多計算機的信息
但是它可作為許多服務的記錄器
尤其是FTP
POP
IMAP
SMTP和IRC等服務
通常如果有許多客戶通過防火牆訪問這些服務
將會看到許多這個端口的連接請求
記住
如果阻斷這個端口客戶端會感覺到在防火牆另一邊與E-MAIL服務器的緩慢連接
許多防火牆支持TCP連接的阻斷過程中發回RST
這將會停止緩慢的連接
端口
服務
Network News Transfer Protocol
說明
NEWS新聞組傳輸協議
承載USENET通信
這個端口的連接通常是人們在尋找USENET服務器
多數ISP限制
只有他們的客戶才能訪問他們的新聞組服務器
打開新聞組服務器將允許發/讀任何人的帖子
訪問被限制的新聞組服務器
匿名發帖或發送SPAM
端口
服務
本地 Service
說明
Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務
這與UNIX
端口的功能很相似
使用DCOM和RPC的服務利用計算機上的end-point
mapper注冊它們的位置
遠端客戶連接到計算機時
它們查找end-point
mapper找到服務的位置
HACKER掃描計算機的這個端口是為了找到這個計算機上運行Exchange
Server嗎?什麼版本?還有些DOS攻擊直接針對這個端口
端口
服務
NETBIOS Name Service
說明
其中
是UDP端口
當通過網上鄰居傳輸文件時用這個端口
而
端口
通過這個端口進入的連接試圖獲得NetBIOS/SMB服務
這個協議被用於windows文件和打印機共享和SAMBA
還有WINS
Regisrtation也用它
端口
服務
Interim Mail Access Protocol v
說明
和POP
的安全問題一樣
許多IMAP服務器存在有緩沖區溢出漏洞
記住
一種LINUX蠕蟲(admv
rm)會通過這個端口繁殖
因此許多這個端口的掃描來自不知情的已經被感染的用戶
當REDHAT在他們的LINUX發布版本中默認允許IMAP後
這些漏洞變的很流行
這一端口還被用於IMAP
但並不流行
端口
服務
SNMP
說明
SNMP允許遠程管理設備
所有配置和運行信息的儲存在數據庫中
通過SNMP可獲得這些信息
許多管理員的錯誤配置將被暴露在Internet
Cackers將試圖使用默認的密碼public
private訪問系統
他們可能會試驗所有可能的組合
SNMP包可能會被錯誤的指向用戶的網絡
端口
服務
X Display Manager Control Protocol
說明
許多入侵者通過它訪問X-windows操作台
它同時需要打開
端口
端口
服務
LDAP
ILS
說明
輕型目錄訪問協議和NetMeeting Internet Locator Server共用這一端口
端口
服務
Https
說明
網頁浏覽端口
能提供加密和通過安全端口傳輸的另一種HTTP
端口
服務
【NULL】
說明
木馬HACKERS PARADISE開放此端口
端口
服務
Login
remote login
說明
是從使用cable modem或DSL登陸到子網中的UNIX計算機發出的廣播
這些人為入侵者進入他們的系統提供了信息
端口
服務
【NULL】
說明
kerberos kshell
端口
服務
Macintosh
File Services(AFP/IP)
說明
Macintosh
文件服務
端口
服務
CORBA IIOP (UDP)
說明
使用cable
modem
DSL或VLAN將會看到這個端口的廣播
CORBA是一種面向對象的RPC系統
入侵者可以利用這些信息進入系統
端口
服務
DSF
說明
木馬PhAse
Stealth Spy
IniKiller開放此端口
端口
服務
Membership DPA
說明
成員資格 DPA
端口
服務
Membership MSN
說明
成員資格 MSN
端口
服務
mountd
說明
Linux的mountd
Bug
這是掃描的一個流行BUG
大多數對這個端口的掃描是基於UDP的
但是基於TCP的mountd有所增加(mountd同時運行於兩個端口)
記住mountd可運行於任何端口(到底是哪個端口
需要在端口
做portmap查詢)
只是Linux默認端口是
就像NFS通常運行於
端口
端口
服務
LDAP
說明
SSL(Secure Sockets layer)
端口
服務
Doom Id Software
說明
木馬Attack FTP
Satanz Backdoor開放此端口
端口
服務
IMAP
說明
SSL(Secure Sockets layer)
端口
服務
【NULL】
說明
木馬Silencer
WebEx開放
端口
木馬Doly Trojan開放
端口
端口
服務
Reserved
說明
它是動態端口的開始
許多程序並不在乎用哪個端口連接網絡
它們請求系統為它們分配下一個閒置端口
基於這一點分配從端口
開始
這就是說第一個向系統發出請求的會分配到
端口
你可以重啟機器
打開Telnet
再打開一個窗口運行natstat
-a 將會看到Telnet被分配
端口
還有SQL session也用此端口和
端口
端口
服務
network blackjack
【NULL】
說明
木馬netspy開放這
個端口
端口
服務
SOCKS
說明
這一協議以通道方式穿過防火牆
允許防火牆後面的人通過一個IP地址訪問INTERNET
理論上它應該只允許內部的通信向外到達INTERNET
但是由於錯誤的配置
它會允許位於防火牆外部的攻擊穿過防火牆
WinGate常會發生這種錯誤
在加入IRC聊天室時常會看到這種情況
端口
服務
【NULL】
說明
木馬Streaming Audio Trojan
Psyber Stream Server
Voice開放此端口
端口
服務
【NULL】
說明
木馬SubSeven
Ultors
Trojan開放
端口
木馬SubSeven
/
開放
端口
端口
服務
【NULL】
說明
木馬Vodoo開放此端口
端口
服務
SQL
說明
Microsoft的SQL服務開放的端口
端口
服務
stone-design-
說明
木馬FTP
CMP開放此端口
端口
服務
RPC client fixed port session queries
說明
RPC客戶固定端口會話查詢
端口
服務
NetMeeting T
說明
NetMeeting T
端口
服務
ingress
說明
許多攻擊腳本將安裝一個後門SHELL於這個端口
尤其是針對SUN系統中Sendmail和RPC服務漏洞的腳本
如果剛安裝了防火牆就看到在這個端口上的連接企圖
很可能是上述原因
可以試試Telnet到用戶的計算機上的這個端口
看看它是否會給你一個SHELL
連接到
/pcserver也存在這個問題
端口
服務
issd
說明
木馬Shivka-Burka開放此端口
端口
服務
NetMeeting
說明
NetMeeting H
call Setup
端口
服務
NetMeeting Audio Call Control
說明
NetMeeting音頻調用控制
端口
服務
【NULL】
說明
木馬SpySender開放此端口
端口
服務
【NULL】
說明
木馬ShockRave開放此端口
端口
服務
cisco identification port
說明
木馬BackDoor開放此端口
端口
服務
【NULL】
說明
木馬GirlFriend
Millenium
開放此端口
端口
服務
【NULL】
說明
木馬Millenium
Trojan Cow開放此端口
端口
服務
xinuexpansion
說明
木馬Pass Ripper開放此端口
端口
服務
NFS
說明
NFS程序常運行於這個端口
通常需要訪問Portmapper查詢這個服務運行於哪個端口
端口
服務
【NULL】
說明
木馬Bugs開放此端口
端口
服務
【NULL】
說明
木馬Deep Throat
/
開放此端口
端口
服務
RPC client using a fixed port session replication
說明
應用固定端口會話復制的RPC客戶
端口
服務
【NULL】
說明
木馬Wincrash
開放此端口
端口
服務
【NULL】
說明
木馬Phineas Phucker開放此端口
端口
服務
【NULL】
說明
木馬WinCrash開放此端口
端口
服務
squid
說明
這是squid
HTTP代理服務器的默認端口
攻擊者掃描這個端口是為了搜尋一個代理服務器而匿名訪問Internet
也會看到搜索其他代理服務器的端口
發發發
掃描這個端口的另一個原因是用戶正在進入聊天室
其他用戶也會檢驗這個端口以確定用戶的機器是否支持代理
端口
服務
【NULL】
說明
木馬Master Paradise開放此端口
端口
服務
【NULL】
說明
木馬The Invasor開放此端口
端口
服務
【NULL】
說明
木馬SchoolBus開放此端口
端口
服務
dec-notes
說明
木馬Prosiak開放此端口
端口
服務
超級終端
說明
WINDOWS
終端開放此端口
端口
服務
【NULL】
說明
木馬Portal of Doom開放此端口
端口
服務
【NULL】
說明
木馬RemoteAnything開放此端口
端口
服務
QQ客戶端
說明
騰訊QQ客戶端開放此端口
端口
服務
【NULL】
說明
木馬WinCrash開放此端口
端口
服務
【NULL】
說明
木馬ICQTrojan開放此端口
端口
服務
【NULL】
說明
木馬blazer
開放
端口
木馬Sockets de Troie開放
端口
端口
服務
【NULL】
說明
木馬Blade Runner開放此端口
端口
服務
【NULL】
說明
木馬xtcp開放此端口
端口
服務
【NULL】
說明
木馬Robo-Hack開放此端口
端口
服務
pcAnywere
說明
有時會看到很多這個端口的掃描
這依賴於用戶所在的位置
當用戶打開pcAnywere時
它會自動掃描局域網C類網以尋找可能的代理(這裡的代理是指agent而不是proxy)
入侵者也會尋找開放這種服務的計算機
所以應該查看這種掃描的源地址
一些搜尋pcAnywere的掃描包常含端口
的UDP數據包
端口
服務
【NULL】
說明
木馬WinCrash
開放此端口
端口
服務
【NULL】
說明
木馬廣外女生開放此端口
端口
服務
【NULL】
說明
木馬The tHing開放此端口
端口
服務
【NULL】
說明
木馬Deep Throat開放
端口
而Deep Throat
開放
端口
端口
服務
【NULL】
說明
木馬DeltaSource開放此端口
端口
服務
【NULL】
說明
木馬Gatecrasher
Priority開放此端口
端口
服務
RealAudio
說明
RealAudio客戶將從服務器的
-
的UDP端口接收音頻數據流
這是由TCP-
端口外向控制連接設置的
端口
服務
【NULL】
說明
木馬Remote Grab開放此端口
端口
服務
【NULL】
說明
木馬NetMonitor開放此端口
另外NetSpy
也開放
端口
端口
服務
【NULL】
說明
Sygate服務器端
端口
服務
【NULL】
說明
木馬Giscier開放此端口
端口
服務
【NULL】
說明
木馬ICKiller開放此端口
端口
服務
OICQ
說明
騰訊QQ服務器端開放此端口
端口
服務
Wingate
說明
Wingate代理開放此端口
端口
服務
代理端口
說明
WWW代理開放此端口
端口
服務
【NULL】
說明
木馬Incommand
開放此端口
端口
服務
【NULL】
說明
木馬Portal of Doom開放此端口
端口
服務
【NULL】
說明
木馬iNi-Killer開放此端口
端口
服務
【NULL】
說明
木馬SennaSpy開放此端口
端口
服務
【NULL】
說明
木馬Progenic trojan開放此端口
端口
服務
【NULL】
說明
木馬Telecommando開放此端口
端口
服務
【NULL】
說明
木馬Hack
KeyLogger開放此端口
端口
服務
【NULL】
說明
木馬NetBus
/
GabanBus開放此端口
端口
服務
【NULL】
說明
木馬Whack-a-mole開放此端口
端口
服務
PowWow
說明
PowWow是Tribal
Voice的聊天程序
它允許用戶在此端口打開私人聊天的連接
這一程序對於建立連接非常具有攻擊性
它會駐扎在這個TCP端口等回應
造成類似心跳間隔的連接請求
如果一個撥號用戶從另一個聊天者手中繼承了IP地址就會發生好象有很多不同的人在測試這個端口的情況
這一協議使用OPNG作為其連接請求的前
個字節
端口
服務
【NULL】
說明
木馬Priority開放此端口
端口
服務
Conducent
說明
這是一個外向連接
這是由於公司內部有人安裝了帶有Conducent
adbot
的共享軟件
Conducent
adbot
是為共享軟件顯示廣告服務的
使用這種服務的一種流行的軟件是Pkware
端口
服務
【NULL】
說明
木馬藍色火焰開放此端口
端口
服務
【NULL】
說明
木馬Millennium開放此端口
端口
服務
【NULL】
說明
木馬NetBus Pro開放此端口
端口
服務
【NULL】
說明
木馬GirlFriend開放此端口
端口
服務
【NULL】
說明
木馬Prosiak開放此端口
端口
服務
【NULL】
說明
木馬Evil FTP
Ugly FTP開放此端口
端口
服務
【NULL】
說明
木馬Delta開放此端口
端口
服務
【NULL】
說明
木馬Subseven
開放此端口
端口
服務
【NULL】
說明
木馬NetSphere開放此端口
端口
服務
【NULL】
說明
木馬Socket
開放此端口
端口
服務
【NULL】
說明
木馬Kuang開放此端口
端口
服務
【NULL】
說明
木馬BO(Back Orifice)開放此端口
另外木馬DeepBO也開放
端口
端口
服務
【NULL】
說明
木馬NetSpy DK開放此端口
端口
服務
【NULL】
說明
木馬BOWhack開放此端口
端口
服務
【NULL】
說明
木馬Prosiak開放此端口
端口
服務
【NULL】
說明
木馬Tiny Telnet Server
BigGluck
TN開放此端口
端口
服務
【NULL】
說明
木馬The Spy開放此端口
端口
服務
【NULL】
說明
木馬Masters Paradise開放此端口
端口
服務
【NULL】
說明
木馬SchoolBus
/
開放此端口
端口
服務
【NULL】
說明
木馬Happypig開放此端口
端口
服務
【NULL】
說明
木馬Fore開放此端口
端口
服務
【NULL】
說明
木馬Remote Windows Shutdown開放此端口
端口
服務
【NULL】
說明
木馬Devil
開放此端口
端口
說明
Kerberos krb
另外TCP的
端口也是這個用途
端口
說明
SQL Named Pipes encryption over other protocols name
lookup(其他協議名稱查找上的SQL命名管道加密技術)和SQL RPC encryption over other
protocols name lookup(其他協議名稱查找上的SQL RPC加密技術)和Wins NetBT name
service(WINS NetBT名稱服務)和Wins Proxy都用這個端口
端口
說明
Simple Network Management Protocol(SMTP)(簡單網絡管理協議)
端口
說明
SNMP Trap(SNMP陷阱)
端口
說明
Common Internet File System(CIFS)(公共Internet文件系統)
端口
說明
Kerberos kpasswd(v
)
另外TCP的
端口也是這個用途
端口
說明
Internet Key Exchange(IKE)(Internet密鑰交換)
端口
說明
Remot Authentication Dial-In User
Service(RADIUS)authentication(Routing and Remote Access)(遠程認證撥號用戶服務)
端口
說明
RADIUS accounting(Routing and Remote Access)(RADIUS記帳(路由和遠程訪問))
端口
說明
Layer Two Tunneling Protocol(L
TP)(第
層隧道協議)
端口
說明
Microsoft Message Queue
Server(Microsoft消息隊列服務器)
還有TCP的
也是同樣的用途
端口
說明
Network Load Balancing(網絡平衡負荷)
通常用於分析操作系統
這一方法能夠工作是因為在一些系統中
是無效端口
當你試圖使用一種通常的閉合端口
連接它時將產生不同的結果
一種典型的掃描
使用IP地址為
設置ACK位並在以太網層廣播
From:http://tw.wingwit.com/Article/Network/201311/29998.html
