电脑端口基础知识

端口可分为3大类：

1）公认端口（Well Known Ports）：从0到1023，它们慎密绑定于一些服务。通常这些端口的通讯明确表明晰某种服务的协议。例如：80端口实际上总是HTTP通讯。

2）注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处置动态端口从1024左右最先。

3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机械通常从1024起分配动态端口。但也有破例：SUN的RPC端口从32768最先。

本节讲述通常TCP/UDP端口扫描在防火墙纪录中的信息。记着：并不存在所谓ICMP端口。若是你对解读ICMP数据感兴趣，请参看本文的其它部门。

0 通常用于剖析操作系统。这一方式能够事情是由于在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口毗邻它时将发生差别的效果。一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

1 tcpmux 这显示有人在寻找SGI Irix机械。Irix是实现tcpmux的主要提供者，缺省情形下tcpmux在这种系统中被打开。Iris机械在公布时含有几个缺省的无密码的帐户，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多治理员安装后遗忘删除这些帐户。因此Hacker们在Internet上搜索tcpmux并行使这些帐户。

7 Echo 你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。

常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机械发送到另一个机械的UDP数据包，而两个机械划分以它们最快的方式回应这些数据包。（参见Chargen）

另一种器械是由DoubleClick在词端口确立的TCP毗邻。有一种产物叫做“Resonate Global Dispatch”，它与DNS的这一端口毗邻以确定最近的路由。

Harvest/squid cache将从3130端口发送UDP echo：“若是将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会发生许多这类数据包。

11 sysstat 这是一种UNIX服务，它会列出机械上所有正在运行的历程以及是什么启动了这些历程。这为入侵者提供了许多信息而威胁机械的平安，如露出已知某些弱点或帐户的程序。这与UNIX系统中“ps”下令的效果相似

再说一遍：ICMP没有端口，ICMP port 11通常是ICMP type=11

19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP毗邻时，会发送含有垃圾字符的数据流知道毗邻关闭。Hacker行使IP诱骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器贪图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目的地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方式。这些服务器带有可读写的目录。Hackers或Crackers 行使这些服务器作为传送warez (私有程序) 和pr0n(有意拼错词而制止被搜索引擎分类)的节点。

22 ssh PcAnywhere确立TCP和这一端口的毗邻可能是为了寻找ssh。这一服务有许多弱点。若是设置成特定的模式，许多使用RSAREF库的版本有不少破绽。（建议在其它端口运行ssh）

还应该注重的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。

UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632（十六进制的0x1600）位交流后是0x0016（使进制的22）。

23 Telnet 入侵者在搜索远程上岸UNIX的服务。大多数情形下入侵者扫描这一端口是为了找到机械运行的操作系统。此外使用其它手艺，入侵者会找到密码。

25 smtp 攻击者（spammer）寻找SMTP服务器是为了通报他们的spam。入侵者的帐户总被关闭，他们需要拨号毗邻到高带宽的e-mail服务器上，将简朴的信息通报到差别的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方式之一，由于它们必须完整的露出于Internet且邮件的路由是庞大的（露出+庞大=弱点）。

53 DNS Hacker或crackers可能是试图举行区域通报（TCP），诱骗DNS（UDP）或隐藏其它通讯。因此防火墙经常过滤或纪录53端口。

需要注重的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方式穿透防火墙。

67和68 Bootp和DHCP UDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会瞥见大量发送到广播地址255.255.255.255的数据。这些机械在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而提议大量的“中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求设置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是由于客户端还不知道可以发送的IP地址。

69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。然则它们经常错误设置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件。

79 finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机械到其它机械finger扫描。

98 linuxconf 这个程序提供linux boxen的简朴治理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多平安问题。一些版本setuid root，信托局域网，在/tmp下确立Internet可接见的文件，LANG环境变量有缓冲区溢出。此外由于它包罗整合的服务器，许多典型的HTTP破绽可能存在（缓冲区溢出，历遍目录等）

109 POP2 并不象POP3那样著名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的破绽在POP2中同样存在。

110 POP3 用于客户端接见服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交流缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正上岸前进入系统）。乐成上岸后另有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。接见portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有：rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试破绽。

记着一定要纪录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序接见以便发现到底发生了什么。

113 Ident auth 这是一个许多机械上运行的协议，用于判别TCP毗邻的用户。使用尺度的这种服务可以获得许多机械的信息（会被Hacker行使）。然则它可作为许多服务的纪录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常若是有许多客户通过防火墙接见这些服务，你将会看到许多这个端口的毗邻请求。记着，若是你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢毗邻。许多防火墙支持在TCP毗邻的阻断过程中发回RST，着将回住手这一缓慢的毗邻。

119 NNTP news 新闻组传输协议，承载USENET通讯。当你链接到诸如：news://comp.security.firewalls/. 的地址时通常使用这个端口。这个端口的毗邻贪图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才气接见他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，接见被限制的新闻组服务器，匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功效很相似。使用DCOM和/或RPC的服务行使机械上的end-point mapper注册它们的位置。远端客户毗邻到机械时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机械的这个端口是为了找到诸如：这个机械上运行Exchange Server吗？是什么版本？

这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。

137 NetBIOS name service nbtstat (UDP) 这是防火墙治理员最常见的信息，请仔细阅读文章后面的NetBIOS一节

139 NetBIOS　File and Print Sharing 通过这个端口进入的毗邻试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。

大量针对这一端口始于1999，厥后逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasic Scripting）最先将它们自己拷贝到这个端口，试图在这个端口滋生。

143 IMAP 和上面POP3的平安问题一样，许多IMAP服务器有缓冲区溢出破绽运行上岸过程中进入。记着：一种Linux蠕虫（admw0rm）会通过这个端口滋生，因此许多这个端口的扫描来自不知情的已被熏染的用户。当RadHat在他们的Linux公布版本中默认允许IMAP后，这些破绽变得盛行起来。Morris蠕虫以后这照样第一次广泛传播的蠕虫。

这一端口还被用于IMAP2，但并不盛行。

已有一些报道发现有些0到143端口的攻击源于剧本。

161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程治理装备。所有设置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多治理员错误设置将它们露出于Internet。Crackers将试图使用缺省的密码“public”“private”接见系统。他们可能会试验所有可能的组合。

SNMP包可能会被错误的指向你的网络。Windows机械常会由于错误设置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP剖析域名，你会瞥见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。

162 SNMP trap 可能是由于错误设置

177 xdmcp 许多Hacker通过它接见X-Windows控制台，它同时需要打开6000端口。

513 rwho 可能是从使用cable modem或DSL上岸到的子网中的UNIX机械发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。

553 CORBA IIOP (UDP) 若是你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会行使这些信息进入系统。

600 Pcserver backdoor 请查看1524端口

一些玩script的孩子以为他们通过修改ingreslock和pcserver文件已经完全攻破了系统– Alan J. Rosenthal.

635 mountd Linux的mountd Bug。这是人们扫描的一个盛行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP的mountd有所增加（mountd同时运行于两个端口）。记着，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默以为635端口，就象NFS通常运行于2049端口。

1024 许多人问这个端口是干什么的。它是动态端口的最先。许多程序并不在乎用哪个端口毗邻网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024最先。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机械，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新端口。

?ersion 0.4.1, June 20, 2000

seo属于什么行业，seo的主要工作内容介绍

http://www.robertgraham.com/pubs/firewall-seen.html

in part) for non-commercial purposes. All reproductions must

contain this copyright notice and must not be altered, except by

permission of the author.

1025 参见1024

1026 参见1024

1080 SOCKS

这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址接见Internet。理论上它应该只允许内部的通讯向外到达Internet。然则由于错误的设置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简朴地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows小我私家防火墙，常会发生上述的错误设置。在加入IRC谈天室时常会看到这种情形。

1114 SQL

系统自己很少扫描这个端口，但经常是sscan剧本的一部门。

1243 Sub-7木马（TCP）

1524 ingreslock后门

许多攻击剧本将安装一个后门Sh*ll 于这个端口（尤其是那些针对Sun系统中Sendmail和RPC服务破绽的剧本，如statd, ttdbserver和cmsd）。若是你刚刚安装了你的防火墙就看到在这个端口上的毗邻贪图，很可能是上述缘故原由。你可以试试Telnet到你的机械上的这个端口，看看它是否会给你一个Sh*ll 。毗邻到600/pcserver也存在这个问题。

2049 NFS

NFS程序常运行于这个端口。通常需要接见portmapper查询这个服务运行于哪个端口，然则大部门情形是安装后NFS 杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。

3128 squid

这是Squid HTTP署理服务器的默认端口。攻击者扫描这个端口是为了征采一个署理服务器而匿名接见Internet。你也会看到搜索其它署理服务器的端口：8000/8001/8080/8888。扫描这一端口的另一缘故原由是：用户正在进入谈天室。其它用户（或服务器自己）也会磨练这个端口以确定用户的机械是否支持署理。请查看5.3节。

5632 pcAnywere

你会看到许多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得署理（译者：指agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机械，以是应该查看这种扫描的源地址。一些征采pcAnywere的扫描常包罗端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact

这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机械，而被控机械挂断时你将会看到这种情形。因此当另一人以此IP拨入时，他们将会看到连续的，在这个端口的毗邻贪图。（译者：即看到防火墙讲述这一端口的毗邻贪图时，并不示意你已被Sub-7控制。）

6970 RealAudio

RealAudio客户将从服务器的6970-7170的UDP端口吸收音频数据流。这是由TCP7070端口外向控制毗邻设置的。

13223 PowWow

PowWow 是Tribal Voice的谈天程序。它允许用户在此端口打开私人谈天的毗邻。这一程序对于确立毗邻异常具有“进攻性”。它会“驻扎”在这一TCP端口守候回应。这造成类似心跳距离的毗邻贪图。若是你是一个拨号用户，从另一个谈天者手中“继续”了IP地址这种情形就会发生：好象许多差别的人在测试这一端口。这一协议使用“OPNG”作为其毗邻贪图的前四个字节。

17027 Conducent

这是一个外向毗邻。这是由于公司内部有人安装了带有Conducent “adbot” 的共享软件。Conducent “adbot”是为共享软件显示广告服务的。使用这种服务的一种盛行的软件是Pkware。有人试验：阻断这一外向毗邻不会有任何问题，然则封掉IP地址自己将会导致adbots连续在每秒内试图毗邻多次而导致毗邻过载：

机械会不停试图剖析DNS名─ads.conducent.com，即IP地址216.33.210.40 ；216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使用的Radiate是否也有这种征象）

27374 Sub-7木马(TCP)

30100 NetSphere木马(TCP)

通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “elite”

Hacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精髓。即3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口。其中最著名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的盛行越来越少，其它的木马程序越来越盛行。

31789 Hack-a-tack

这一端口的UDP通讯通常是由于”Hack-a-tack”远程接见木马（RAT, Remote Access Trojan）。这种木马包罗内置的31790端口扫描器，因此任何31789端口到317890端口的毗邻意味着已经有这种入侵。（31789端口是控制毗邻，317890端口是文件传输毗邻）

32770~32900 RPC服务

Sun Solaris的RPC服务在这一局限内。详细的说：早期版本的Solaris（2.5.1之前）将portmapper置于这一局限内，纵然低端口被防火墙封锁仍然允许Hacker/cracker接见这一端口。扫描这一局限内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。

33434~33600 traceroute

若是你看到这一端口局限内的UDP数据包（且只在此局限之内）则可能是由于traceroute。参见traceroute部门。

41508 Inoculan

早期版本的Inoculan会在子网内发生大量的UDP通讯用于识别相互。