电 脑 端 口 基 础 知 识

端口可划分为3类别：

1） 认可端口（Well Known Ports）：从0到1023，他们密切关联于一些服务。通常这种端口的通信确立说明了某类服务的协议书。例如：80端口事实上一直HTTP通信。

2） 申请注册端口（Registered Ports）：从1024到49151。他们松散地关联于一些服务。换句话说有很多服务关联于这种端口，这些端口一样用以很多其他目地。例如：很多系统软件解决动态性端口从1024上下逐渐。

3） 动态性和/或私有化端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应是服务分派这种端口。事实上，机器通常从1024起分派动态性端口。但也是有除外：SUN的RPC端口从32768逐渐。

这节叙述通常TCP/UDP端口扫描仪在服务器防火墙纪录中的信息。记牢：并不会有所说ICMP端口。假如你对讲解ICMP数据信息有兴趣，请参考文中的其他一部分。

0 通常用以剖析电脑操作系统。这一方式可以工作中是由于在一些系统软件中“0”是失效端口，如果你尝试应用一种通常的合闭端口联接它时将造成差异的结论。一种非常典型的扫描仪：应用IP地址为0.0.0.0，设定ACK位并在以太网接口层广播节目。

1 tcpmux 这表明有些人在找寻SGI Irix机器。Irix是完成tcpmux的首要服务提供者，缺省状况下tcpmux在这个体系中被开启。Iris机器在推送时带有好多个缺省的无登陆密码的账号，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。很多管理人员组装后忘掉删掉这种账号。因而Hacker们在Internet上检索tcpmux并运用这种账号。

7 Echo 你能见到很多大家检索Fraggle放大仪时，发送至x.x.x.0和x.x.x.255的信息。

普遍的一种DoS进攻是echo循环系统（echo-loop），网络攻击仿冒从一个机器发送至另一个机器的UDP数据，而2个机器各自以他们更快的方法回复这种数据。（参照Chargen）

另一种物品是由DoubleClick在词端口创建的TCP联接。有一种商品叫做“Resonate Global Dispatch”，它与DNS的这一端口联接以明确近期的路由器。

Harvest/squid cache将从3130端口推送UDP echo：“假如将cache的source_ping on选择项开启，它将对初始服务器的UDP echo端口回复一个HIT reply。”这可能出现很多这类数据。

11 sysstat 这也是一种UNIX服务，它会列举机器上全部已经运作的进度及其是啥运行了这种过程。这为侵略者给予了很多信息而危害机器的安全性，如曝露已经知道一些缺点或账号的程序流程。这与UNIX系统软件中“ps”指令的结论类似

再说一遍：ICMP并没有端口，ICMP port 11通常是ICMP type=11

19 chargen 这也是一种只是推送标识符的服务。UDP版本号可能在接到UDP包后回复带有废弃物标识符的包。TCP联接时，会推送带有废弃物标识符的数据流分析了解联接关掉。Hacker运用IP蒙骗可以启动DoS进攻。仿冒两个chargen服务器两者之间的UDP包。因为服务器妄图回复2个服务器两者之间的无尽的来回数据通信一个chargen和echo将造成服务器负载。一样fraggle DoS进攻向总体目标地点的这一端口广播节目一个含有仿冒受害人IP的数据，受害人为了更好地回复这种数据信息而负载。

21 ftp 最多见的网络攻击用以找寻开启“anonymous”的ftp服务器的方式。这种服务器含有可写入的文件目录。Hackers或Crackers 运用这种服务器做为传递warez (私有化程序流程) 和pr0n(故意拼写错误词而防止被搜索引擎分类)的连接点。

22 ssh PcAnywhere创建TCP和这一端口的联接可能是因为找寻ssh。这一服务有很多缺点。假如配备成特定的方式，很多应用RSAREF库的新版本有许多系统漏洞。（提议在其他端口运作ssh）

还应当特别注意的是ssh工具包含有一个称之为make-ssh-known-hosts的程序流程。它会扫描仪全部域的ssh服务器。你偶尔会被应用这一程序流程的人不经意中扫描仪到。

UDP（而不是TCP）与另一端的5632端口相接代表着存有检索pcAnywhere的扫描仪。5632（十六进制的0x1600）位互换后是0x0016（使进制的22）。

23 Telnet 侵略者在检索远程登陆UNIX的服务。大部分情形下侵略者扫描仪这一端口是因为寻找机器运作的电脑操作系统。除此之外应用其他技术性，侵略者会寻找登陆密码。

25 smtp 网络攻击（spammer）找寻SMTP服务器是因为传送她们的spam。侵略者的账号总被关掉，她们必须宽带连接到带宽测试的e-mail服务器上，将简洁的信息传送到不一样的详细地址。SMTP服务器（尤其是sendmail）是进到操作系统的最常见方式 之一，由于他们务必详细的曝露于Internet且电子邮件的路由器是繁杂的（曝露 繁杂=缺点）。

53 DNS Hacker或crackers可能是尝试开展地区传送（TCP），蒙骗DNS（UDP）或掩藏其他通信。因而服务器防火墙经常过虑或纪录53端口。

必须留意的就是你经常见到53端口作为UDP源端口。不稳定的服务器防火墙通常容许这类通信并假定这也是对DNS查看的回应。Hacker常应用这些方式透过服务器防火墙。

67和68 Bootp和DHCP UDP上的Bootp/DHCP：根据DSL和cable-modem的服务器防火墙经常看到很多发送至广播地址255.255.255.255的数据信息。这种机器在向DHCP服务器要求一个详细地址分派。Hacker常进到他们分派一个详细地址把自己做为部分无线路由器而进行很多的“中介人”（man-in-middle）进攻。手机客户端向68端口（bootps）广播节目要求配备，服务器向67端口（bootpc）广播节目回复要求。这类回复应用广播节目是由于手机客户端还不知道可以推送的IP地址。

69 TFTP(UDP) 很多服务器与bootp一起给予此项服务，有利于从系统软件运行编码。可是他们经常不正确配备而从系统软件给予一切文档，如密码文件。他们也可用以向系统软件载入文档。

79 finger Hacker用以得到客户信息，查看电脑操作系统，检测已经知道的跨站脚本攻击不正确，回复从自身机器到其他机器finger扫描仪。

98 linuxconf 这一程序流程给予linux boxen的简易管理方法。根据融合的HTTP服务器在98端口给予根据Web页面的服务。它已发觉有很多安全隐患。一些版本号setuid root，信赖局域网络，在/tmp下创建Internet可浏览的文档，LANG系统变量有跨站脚本攻击。除此之外因为它包括融合的服务器，很多典型性的HTTP系统漏洞很有可能存有（跨站脚本攻击，历遍文件目录等）

109 POP2 并不像POP3那般知名，但很多服务器与此同时给予二种服务（向后兼容）。在同一个服务器上POP3的系统漏洞在POP2中一样存有。

110 POP3 用以手机客户端浏览服务器端电子邮件服务。POP3服务有很多认可的缺点。有关账户密码互换跨站脚本攻击的缺点最少有20个（这代表着Hacker可以在真真正正登录前进到系统软件）。取得成功登录后再有其他跨站脚本攻击不正确。

111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。浏览portmapper是扫描仪系统软件查询容许什么RPC服务的最开始的一步。普遍RPC服务有：rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。侵略者发觉了容许的RPC服务将转为给予服务的特殊端口检测系统漏洞。

记牢一定要纪录路线中的daemon, IDS, 或sniffer，你能发觉侵略者正应用哪些程序流程浏览便于发觉究竟发生什么事。

113 Ident auth 这是一个很多机器上运转的协议书，用以辨别TCP联接的客户。应用规范的这类服务可以得到很多机器的信息（会被Hacker运用）。可是它可当作很多服务的监控软件，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有很多用户根据服务器防火墙浏览这种服务，你就会见到很多这一端口的接入要求。记牢，假如你阻隔这一端口手机客户端会感受到在服务器防火墙另一边与e-mail服务器的迟缓联接。很多服务器防火墙适用在TCP联接的阻隔全过程中送回RST，着将回终止这一迟缓的联接。

119 NNTP news 新闻组传输协议，承重USENET通信。如果你连接到例如：news://comp.security.firewalls/. 的详细地址时通常应用这一端口。这个端口的联接妄图通常是大家在找寻USENET服务器。大部分ISP限定仅有她们的顾客才可以浏览它们的新闻组服务器。开启新闻组服务器将容许发/读所有人的贴子，浏览被局限的新闻组服务器，密名发贴或推送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运作DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功用很类似。应用DCOM和/或RPC的服务运用机器上的end-point mapper申请注册他们的部位。远侧顾客联接到机器时，他们查看end-point mapper寻找服务的部位。一样Hacker扫描仪机器的这一端口是因为寻找例如：这一机器上运作Exchange Server吗？是啥版本号？

这一端口除开被用于查看服务（如应用epdump）还能够被用以立即进攻。有一些DoS攻击立即对于这一端口。

137 NetBIOS name service nbtstat (UDP) 这也是服务器防火墙管理人员最多见的信息，请认真阅读文章内容后边的NetBIOS一节

139 NetBIOS　File and Print Sharing 根据这一端口进到的联接尝试得到NetBIOS/SMB服务。这一协议书被用以Windows“文档和打印机共享”和SAMBA。在Internet上共享资源自身的电脑硬盘是可能是最多见的问题。

很多对于这一端口起源于1999，之后慢慢减少。2000年又有回暖。一些VBS（IE5 VisualBasic Scripting）逐渐将他们自身拷到这一端口，尝试在这个端口繁育。

143 IMAP 和上边POP3的安全隐患一样，很多IMAP服务器有跨站脚本攻击系统漏洞运作登录全过程中进到。记牢：一种Linux蜘蛛（admw0rm）会经过这一端口繁育，因而很多这一端口的扫描仪来源于不知道的已被感染的客户。当RadHat在许多人的Linux公布版本号中默认设置容许IMAP后，这种系统漏洞越来越兴起。Morris蜘蛛之后这也是第一次不断发展的蜘蛛。

这一端口还被用以IMAP2，但并不时兴。

已经有一些报导发觉有一些0到143端口的进攻来源于脚本制作。

161 SNMP(UDP) 侵略者常检测的端口。SNMP容许远程管理机器设备。全部配备和运作信息都存储在数据库系统中，根据SNMP客得到这种信息。很多管理人员不正确配备将他们曝露于Internet。Crackers将尝试使用缺省的登陆密码“public”“private”浏览系统。她们也许会实验全部有可能的组成。

SNMP包很有可能会被错误的偏向你的互联网。Windows设备经常由于错误配备将HP JetDirect remote management软件应用SNMP。HP OBJECT IDENTIFIER将接到SNMP包。新版本的Win98应用SNMP域名解析，你能看到这类包在子网内广播（cable modem, DSL）查看sysName和其他信息。

162 SNMP trap 可能是因为错误配备

177 xdmcp 很多Hacker根据它浏览X-Windows控制面板，它与此同时必须开启6000端口。

513 rwho 很有可能是以应用cable modem或DSL登录到的子网中的UNIX设备产生的广播。这种人为因素Hacker进到她们的系统给予了很趣味的信息。

553 CORBA IIOP (UDP) 假如你应用cable modem或DSL VLAN，你就会见到这一端口的广播。CORBA是一种面向对象编程的RPC（remote procedure call）系统。Hacker会使用这种信息进到系统。

600 Pcserver backdoor 请查询1524端口

一些玩script的小孩觉得它们根据改动ingreslock和pcserver文件已经彻底攻克了系统– Alan J. Rosenthal.

635 mountd Linux的mountd Bug。这也是大家扫描仪的一个受欢迎的Bug。大多数对这一端口的扫描仪是根据UDP的，但基于TCP的mountd有所增加（mountd与此同时运作于2个端口）。记牢，mountd可运作于一切端口（究竟在哪个端口，必须在端口111做portmap查看），仅仅Linux默认设置为635端口，就象NFS通常运作于2049端口。

1024 很多人问这一端口是做什么的。它是动态性端口的逐渐。很多程序流程并不在意用哪个端口网络连接，他们要求实际操作系统为他们分派“下一个闲置不用端口”。根据这一点分派从端口1024逐渐。这代表着第一个向系统要求分派动态性端口的应用程序将被分派端口1024。为了更好地认证这一点，你能重新启动设备，开启Telnet，再打开一个对话框运作“natstat -a”，你就会见到Telnet被分派1024端口。要求的程序流程越多，动态性端口也越大。实际操作系统分派的端口将慢慢增大。再来一遍，如果你访问Web页时要“netstat”查询，每一个Web页必须一个新端口。

?ersion 0.4.1, June 20, 2000

Copyright 1998-2000 by Robert Graham (mailtfirewall-seen1@robertgraham.com.

All rights reserved. This document may only be reproduced (whole or

in part) for non-commercial purposes. All reproductions must

contain this copyright notice and must not be altered, except by

permission of the author.

1025 参照1024

1026 参见1024

1080 SOCKS

这一协议书以管路方法越过服务器防火墙，容许服务器防火墙后边的很多人根据一个IP地址浏览Internet。理论上它应当只容许内部结构的通讯向外做到Internet。可是因为错误的配备，它会容许Hacker/Cracker的坐落于服务器防火墙外界的进攻越过服务器防火墙。或是简易地回复坐落于Internet上的电子计算机，进而掩盖她们对你的立即进攻。WinGate是一种常用的Windows个人防火墙，经常产生以上的错误配备。在添加IRC在线聊天室常常会见到这样的事情。

1114 SQL

系统自身非常少扫描仪这一端口，但经常是sscan脚本制作的一部分。

1243 Sub-7木马病毒（TCP）

1524 ingreslock侧门

很多进攻脚本制作将组装一个侧门Sh*ll 于这一端口（尤其是这些对于Sun系统中Sendmail和RPC服务项目系统漏洞的脚本制作，如statd, ttdbserver和cmsd）。假如你刚组装了你的服务器防火墙就见到在这个端口上的联接妄图，很可能是以上缘故。你能试一下Telnet到你的设备上的这一端口，看一下它能否会让你一个Sh*ll 。联接到600/pcserver也存有这个问题。

2049 NFS

NFS程序流程常运作于这一端口。通常必须浏览portmapper查看这一服务项目运作于哪个端口，可是大多数情形是组装后NFS 杏谡飧龆丝冢?acker/Cracker因此可以闭开portmapper立即检测这一端口。

3128 squid

这也是Squid HTTP服务器代理的默认设置端口。网络攻击扫描仪这一端口是为了更好地寻找一个服务器代理而密名浏览Internet。你也会见到检索其他服务器代理的端口：8000/8001/8080/8888。扫描仪这一端口的另一因素是：客户正在进入在线聊天室。其他客户（或网络服务器自身）也会检测这一端口以明确客户的设备是不是适用代理商。请查询5.3节。

5632 pcAnywere

你能见到许多这一端口的扫描仪，这取决于你所属的部位。当客户开启pcAnywere时，它会自行扫描仪局域网络C类网以找寻很有可能得代理商（译员：指agent而不是proxy）。Hacker/cracker也会找寻对外开放这类业务的设备，因此应当查询这类扫描仪的服务器ip。一些寻找pcAnywere的扫描仪常包括端口22的UDP数据。参照拔号扫描仪。

6776 Sub-7 artifact

这一端口是以Sub-7主端口提取出来的用以传送数据的端口。例如当操纵者根据网络线操纵另一台设备，而被测设备挂掉时你就会见到这样的事情。因而当另一人为此IP拨时尚，她们可能见到连续的，在这个端口的联接妄图。（译员：即见到服务器防火墙汇报这一端口的联接妄图时，并不表明你已被Sub-7操纵。）

6970 RealAudio

RealAudio顾客将从服务器的6970-7170的UDP端口接受声频数据流分析。这也是由TCP7070端口性格外向操纵连接设置的。

13223 PowWow

PowWow 是Tribal Voice的闲聊程序流程。它容许客户在这里端口开启个人闲聊的联接。这一程序流程针对创建联接十分具备“主动进攻”。它会“驻守”在这里一TCP端口等候回复。这导致相近心率间距的联接妄图。如果你是一个拔号客户，从另一个闲聊者手上“承继”了IP地址这样的事情便会产生：好像许多不一样的人们在检测这一端口。这一协议书应用“OPNG”做为其联接妄图的前四个字节数。

17027 Conducent

这是一个性格外向联接。这也是因为公司内部结构有些人组装了含有Conducent “adbot” 的共享app。Conducent “adbot”是为共享软件表明广告业务的。应用这类业务的一种时兴的手机软件是Pkware。有些人实验：阻隔这一性格外向联接不容易有任何的问题，可是禁掉IP地址自身可能造成adbots不断在每秒钟内尝试联接多次而造成联接负载：

设备会持续尝试分析DNS名─ads.conducent.com，即IP地址216.33.210.40 ；216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译员：不知道NetAnts应用的Radiate是不是也是有这种情况）

27374 Sub-7木马病毒(TCP)

30100 NetSphere木马(TCP)

通常这一端口的扫描仪是因为找寻中了NetSphere木马病毒。

31337 Back Orifice “elite”

Hacker中31337读做“elite”/ei’li:t/（译员：法文，译为骨干力量，精粹。即3=E, 1=L, 7=T）。因而很多木马程序运作于这一端口。在其中最出名的是Back Orifice。以前一段时间内这也是Internet上最多见的扫描仪。如今它的时兴越来越低，其他的恶意代码愈来愈时兴。

31789 Hack-a-tack

这一端口的UDP通信通常是因为”Hack-a-tack”远程连接木马病毒（RAT, Remote Access Trojan）。这类木马病毒包括内嵌的31790端口扫码器，因而一切31789端口到317890端口的联接代表着已经有这类侵入。（31789端口是操纵联接，317890端口是文件传送联接）

32770~32900 RPC服务项目

Sun Solaris的RPC服务在这里一范畴内。详尽的说：初期版本升级的Solaris（2.5.1以前）将portmapper放置这一范畴内，即使低端口被服务器防火墙封闭式依然容许Hacker/cracker浏览这一端口。扫描仪这一范畴内的端口并不是为了更好地找寻portmapper，便是为了能找寻可受到攻击的已经知道的RPC服务项目。

33434~33600 traceroute

假如你见到这一端口范畴内的UDP数据（且只在这里范围内）则可能是因为traceroute。参照traceroute一部分。

41508 Inoculan

初期版本升级的Inoculan会在子网内形成很多的UDP通信用以鉴别彼此之间。

(二） 下边的这种源端口代表着哪些？

端口1~1024是保存端口，因此他们几乎不容易是源端口。但有一些除外，例如来源于NAT设备的联接。参照1.9。

常看到随后1024的端口，他们是系统分派给这些并不在意应用哪个端口联接的手机应用程序的“动态性端口”。

Server Client 服务项目 叙述

1-5/tcp 动态性 FTP 1-5端口代表着sscan脚本制作

20/tcp 动态性 FTP FTP服务器传递文档的端口

53 动态性 FTP DNS从这一端口推送UDP回复。你也很有可能看到源/总体目标端口的TCP联接。

123 动态性 S/NTP 简单网络时长协议书（S/NTP）网络服务器运作的端口。他们也会发送至这一端口的广播。

27910~27961/udp 动态性 Quake Quake或Quake模块推动的手机游戏在这里一端口运作其网络服务器。因而来源于这一端口范畴的UDP包或转发给这一端口范畴的UDP包通常是游戏。

61000以上 动态性 FTP 61000以上的端口很有可能来源于Linux NAT网络服务器（IP Masquerade）