按端口號(hào)可分為3大類:
(1)公認(rèn)端口(Well Known
Ports):從0到1023,它們緊密綁定(binding)于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的協(xié)議。例如:80端口實(shí)際上總是HTTP通訊。
(2)注冊(cè)端口(Registered
Ports):從1024到49151。它們松散地綁定于一些服務(wù)。也就是說(shuō)有許多服務(wù)綁定于這些端口,這些端口同樣用于許多其它目的。例如:許多系統(tǒng)處理動(dòng)態(tài)端口從1024左右開始。
(3)動(dòng)態(tài)和/或私有端口(Dynamic and/or Private
Ports):從49152到65535。理論上,不應(yīng)為服務(wù)分配這些端口。實(shí)際上,機(jī)器通常從1024起分配動(dòng)態(tài)端口。但也有例外:SUN的RPC端口從32768開始。
0
通常用于分析操作系統(tǒng)。這一方法能夠工作是因?yàn)樵谝恍┫到y(tǒng)中“0”是無(wú)效端口,當(dāng)你試圖使用一種通常的閉合端口連接它時(shí)將產(chǎn)生不同的結(jié)果。一種典型的掃描:使用IP地址為0.0.0.0,設(shè)置ACK位并在以太網(wǎng)層廣播。
1 tcpmux TCP Port Service Multiplexer 傳輸控制協(xié)議端口服務(wù)多路開關(guān)選擇器
2 compressnet Management Utility compressnet 管理實(shí)用程序
3 compressnet Compression Process 壓縮進(jìn)程
5 rje Remote Job Entry 遠(yuǎn)程作業(yè)登錄
7 echo Echo 回顯
9 discard Discard 丟棄
11 systat Active Users 在線用戶
13 daytime Daytime 時(shí)間
17 qotd Quote of the Day 每日引用
18 msp Message Send Protocol 消息發(fā)送協(xié)議
19 chargen Character Generator 字符發(fā)生器
20 ftp-data File Transfer[Default Data] 文件傳輸協(xié)議(默認(rèn)數(shù)據(jù)口)
21 ftp File Transfer[Control] 文件傳輸協(xié)議(控制)
22 ssh SSH Remote Login Protocol SSH遠(yuǎn)程登錄協(xié)議
23 telnet Telnet 終端仿真協(xié)議
24 any private mail system 預(yù)留給個(gè)人用郵件系統(tǒng)
25 smtp Simple Mail Transfer 簡(jiǎn)單郵件發(fā)送協(xié)議
27 nsw-fe NSW User System FE NSW 用戶系統(tǒng)現(xiàn)場(chǎng)工程師
29 msg-icp MSG ICP MSG ICP
31 msg-auth MSG Authentication MSG驗(yàn)證
33 dsp Display Support Protocol 顯示支持協(xié)議
35 any private printer server 預(yù)留給個(gè)人打印機(jī)服務(wù)
37 time Time 時(shí)間
38 rap Route Access Protocol 路由訪問(wèn)協(xié)議
39 rlp Resource Location Protocol 資源定位協(xié)議
41 graphics Graphics 圖形
42 nameserver WINS Host Name Server WINS 主機(jī)名服務(wù)
43 nicname Who Is “綽號(hào)” who is服務(wù)
44 mpm-flags MPM FLAGS Protocol MPM(消息處理模塊)標(biāo)志協(xié)議
45 mpm Message Processing Module [recv] 消息處理模塊
46 mpm-snd MPM [default send] 消息處理模塊(默認(rèn)發(fā)送口)
47 ni-ftp NI FTP NI FTP
48 auditd Digital Audit Daemon 數(shù)碼音頻后臺(tái)服務(wù)
49 tacacs Login Host Protocol (TACACS) TACACS登錄主機(jī)協(xié)議
50 re-mail-ck Remote Mail Checking Protocol 遠(yuǎn)程郵件檢查協(xié)議[未結(jié)束]
51 la-maint IMP Logical Address Maintenance IMP(接口信息處理機(jī))邏輯地址維護(hù)
52 xns-time XNS Time Protocol 施樂(lè)網(wǎng)絡(luò)服務(wù)系統(tǒng)時(shí)間協(xié)議
53 domain Domain Name Server 域名服務(wù)器
54 xns-ch XNS Clearinghouse 施樂(lè)網(wǎng)絡(luò)服務(wù)系統(tǒng)票據(jù)交換
55 isi-gl ISI Graphics Language ISI圖形語(yǔ)言
56 xns-auth XNS Authentication 施樂(lè)網(wǎng)絡(luò)服務(wù)系統(tǒng)驗(yàn)證
57 any private terminal access 預(yù)留個(gè)人用終端訪問(wèn)
58 xns-mail XNS Mail 施樂(lè)網(wǎng)絡(luò)服務(wù)系統(tǒng)郵件
59 any private file service 預(yù)留個(gè)人文件服務(wù)
60 Unassigned 未定義
61 ni-mail NI MAIL NI郵件
62 acas ACA Services 異步通訊適配器服務(wù)
63 whois+ whois+ WHOIS+
64 covia Communications Integrator (CI) 通訊接口
65 tacacs-ds TACACS-Database Service TACACS數(shù)據(jù)庫(kù)服務(wù)
66 sql*net Oracle SQL*NET Oracle SQL*NET
67 bootps Bootstrap Protocol Server 引導(dǎo)程序協(xié)議服務(wù)端
68 bootpc Bootstrap Protocol Client 引導(dǎo)程序協(xié)議客戶端
69 tftp Trivial File Transfer 小型文件傳輸協(xié)議
70 gopher Gopher 信息檢索協(xié)議
71 netrjs-1 Remote Job Service 遠(yuǎn)程作業(yè)服務(wù)
72 netrjs-2 Remote Job Service 遠(yuǎn)程作業(yè)服務(wù)
73 netrjs-3 Remote Job Service 遠(yuǎn)程作業(yè)服務(wù)
74 netrjs-4 Remote Job Service 遠(yuǎn)程作業(yè)服務(wù)
75 any private dial out service 預(yù)留給個(gè)人撥出服務(wù)
76 deos Distributed External Object Store 分布式外部對(duì)象存儲(chǔ)
77 any private RJE service 預(yù)留給個(gè)人遠(yuǎn)程作業(yè)輸入服務(wù)
78 vettcp vettcp 修正TCP
79 finger Finger 查詢遠(yuǎn)程主機(jī)在線用戶等信息
80 http World Wide Web HTTP 全球信息網(wǎng)超文本傳輸協(xié)議
81 hosts2-ns HOSTS2 Name Server HOST2名稱服務(wù)
82 xfer XFER Utility 傳輸實(shí)用程序
83 mit-ml-dev MIT ML Device 模塊化智能終端ML設(shè)備
84 ctf Common Trace Facility 公用追蹤設(shè)備
85 mit-ml-dev MIT ML Device 模塊化智能終端ML設(shè)備
86 mfcobol Micro Focus Cobol Micro Focus Cobol編程語(yǔ)言
87 any private terminal link 預(yù)留給個(gè)人終端連接
88 kerberos Kerberos Kerberros安全認(rèn)證系統(tǒng)
89 su-mit-tg SU/MIT Telnet Gateway SU/MIT終端仿真網(wǎng)關(guān)
90 dnsix DNSIX Securit Attribute Token Map DNSIX
安全屬性標(biāo)記圖
91 mit-dov MIT Dover Spooler MIT Dover假脫機(jī)
92 npp Network Printing Protocol 網(wǎng)絡(luò)打印協(xié)議
93 dcp Device Control Protocol 設(shè)備控制協(xié)議
94 objcall Tivoli Object Dispatcher Tivoli對(duì)象調(diào)度
95 supdup SUPDUP
96 dixie DIXIE Protocol Specification DIXIE協(xié)議規(guī)范
97 swift-rvf(Swift Remote Virtural File Protocol)快速遠(yuǎn)程虛擬文件協(xié)議
98 tacnews TAC News TAC新聞協(xié)議
99 metagram Metagram Relay
100 newacct [unauthorized use]
101=NIC Host Name Server
102=ISO-TSAP
103=Genesis Point-to-Point Trans Net
104=ACR-NEMA Digital Imag. & Comm. 300
105=Mailbox Name Nameserver
106=3COM-TSMUX3com-tsmux
107=Remote Telnet Service
108=SNA Gateway Access Server
109=Post Office Protocol – Version 2
110=Post Office Protocol – Version 3
111=SUN RPC
112=McIDAS Data Transmission Protocol
113=Authentication Service
114=Audio News Multicast
115=Simple File Transfer Protocol
116=ANSA REX Notify
117=UUCP Path Service
118=SQL Servicessqlserv
119=Network News Transfer Protocol
120=CFDPTKTcfdptkt
121=Encore Expedited Remote Pro.Call
122=SMAKYNETsmakynet
123=Network Time Protocol
124=ANSA REX Trader
125=Locus PC-Interface Net Map Ser
126=Unisys Unitary Login
127=Locus PC-Interface Conn Server
128=GSS X License Verification
129=Password Generator Protocol
130=cisco FNATIVE
131=cisco TNATIVE
132=cisco SYSMAINT
133=Statistics Service
134=INGRES-NET Service
135=Location Service
136=PROFILE Naming System
137=NETBIOS Name Service
138=NETBIOS Datagram Service
139=NETBIOS Session Service
140=EMFIS Data Service
141=EMFIS Control Service
142=Britton-Lee IDM
143=Interim Mail Access Protocol v2
144=NewSnews
145=UAAC Protocoluaac
146=ISO-IP0iso-tp0
147=ISO-IPiso-ip
148=CRONUS-SUPPORT
149=AED 512 Emulation Service
150=SQL-NETsql-net
151=HEMShems
152=Background File Transfer Program
153=SGMPsgmp
154=NETSCnetsc-prod
155=NETSCnetsc-dev
156=SQL Service
157=KNET/VM Command/Message Protocol
158=PCMail Serverpcmail-srv
159=NSS-Routingnss-routing
160=SGMP-TRAPSsgmp-traps
161=SNMP
162=SNMP TRAP
163=CMIP/TCP Manager
164=CMIP/TCP Agent
165=Xeroxxns-courier
166=Sirius Systems
167=NAMPnamp
168=RSVDrsvd
169=Send
170=Network PostScript
170=Network PostScript
171=Network Innovations Multiplex
172=Network Innovations CL/1
173=Xyplexxyplex-mux
174=MAILQ
175=VMNET
176=GENRAD-MUXgenrad-mux
177=X Display Manager Control Protocol
178=NextStep Window Server
179=Border Gateway Protocol
180=Intergraphris
181=Unifyunify
182=Unisys Audit SITP
183=OCBinderocbinder
184=OCServerocserver
185=Remote-KIS
186=KIS Protocolkis
187=Application Communication Interface
188=Plus Five s MUMPS
189=Queued File Transport
189=Queued File Transport
190=Gateway Access Control Protocol
190=Gateway Access Control Protocol
191=Prospero Directory Service
191=Prospero Directory Service
192=OSU Network Monitoring System
193=srmp, Spider Remote Monitoring Protocol
194=irc, Internet Relay Chat Protocl
195=DNSIX Network Level Module Audit
196=DNSIX Session Mgt Module Audit Redir
197=Directory Location Service
198=Directory Location Service Monitor
199=SMUX
200=IBM System Resource Controller
201=at-rtmp AppleTalk Routing Maintenance
202=at-nbp AppleTalk Name Binding
203=at-3 AppleTalk Unused
204=AppleTalk Echo
205=AppleTalk Unused
206=AppleTalk Zone Information
207=AppleTalk Unused
208=AppleTalk Unused
209=Trivial Authenticated Mail Protocol
210=ANSI Z39.50z39.50
211=Texas Instruments 914C/G Terminal
212=ATEXSSTRanet
213=IPX
214=VM PWSCSvmpwscs
215=Insignia Solutions
216=Access Technology License Server
217=dBASE Unix
218=Netix Message Posting Protocol
219=Unisys ARPsuarps
220=Interactive Mail Access Protocol v3
221=Berkeley rlogind with SPX auth
222=Berkeley rshd with SPX auth
223=Certificate Distribution Center
224=Reserved (224-241)
241=Reserved (224-241)
242=Unassigned#
243=Survey Measurement
244=Unassigned#
245=LINKlink
246=Display Systems Protocol
247-255 Reserved
256-343 Unassigned
#p#副標(biāo)題#e#
344=Prospero Data Access Protocol345=Perf Analysis Workbench
346=Zebra serverzserv
347=Fatmen Serverfatserv
348=Cabletron Management Protocol
349-370 Unassigned
371=Clearcaseclearcase
372=Unix Listservulistserv
373=Legent Corporation
374=Legent Corporation
375=Hasslehassle
376=Amiga Envoy Network Inquiry Proto
377=NEC Corporation
378=NEC Corporation
379=TIA/EIA/IS-99 modem client
380=TIA/EIA/IS-99 modem server
381=hp performance data collector
382=hp performance data managed node
383=hp performance data alarm manager
384=A Remote Network Server System
385=IBM Application
386=ASA Message Router Object Def.
387=Appletalk Update-Based Routing Pro.
388=Unidata LDM Version 4
389=Lightweight Directory Access Protocol
390=UISuis
391=SynOptics SNMP Relay Port
392=SynOptics Port Broker Port
393=Data Interpretation System
394=EMBL Nucleic Data Transfer
395=NETscout Control Protocol
396=Novell Netware over IP
397=Multi Protocol Trans. Net.
398=Kryptolankryptolan
399=Unassigned#
400=Workstation Solutions
401=Uninterruptible Power Supply
402=Genie Protocol
403=decapdecap
404=ncednced
405=ncldncld
406=Interactive Mail Support Protocol
407=Timbuktutimbuktu
408=Prospero Resource Manager Sys. Man.
409=Prospero Resource Manager Node Man.
410=DECLadebug Remote Debug Protocol
411=Remote MT Protocol
412=Trap Convention Port
413=SMSPsmsp
414=InfoSeekinfoseek
415=BNetbnet
416=Silverplattersilverplatter
417=Onmuxonmux
418=Hyper-Ghyper-g
419=Arielariel1
420=SMPTEsmpte
421=Arielariel2
422=Arielariel3
423=IBM Operations Planning and Control Start
424=IBM Operations Planning and Control Track
425=ICADicad-el
426=smartsdpsmartsdp
427=Server Location
429=OCS_AMU
430=UTMPSDutmpsd
431=UTMPCDutmpcd
432=IASDiasd
433=NNSPnnsp
434=MobileIP-Agent
435=MobilIP-MN
436=DNA-CMLdna-cml
437=comscmcomscm
439=dasp, Thomas Obermair
440=sgcpsgcp
441=decvms-sysmgtdecvms-sysmgt
442=cvc_hostdcvc_hostd
443=https
444=Simple Network Paging Protocol
445=Microsoft-DS
446=DDM-RDBddm-rdb
447=DDM-RFMddm-dfm
448=DDM-BYTEddm-byte
449=AS Server Mapper
450=TServertserver
512=exec, Remote process execution
513=login, remote login
514=cmd, exec with auto auth.
514=syslog
515=Printer spooler
516=Unassigned
517=talk
519=unixtime
520=extended file name server
521=Unassigned
522=Unassigned
523=Unassigned
524=Unassigned
526=newdate
530=rpc courier
531=chatconference
532=readnewsnetnews
533=for emergency broadcasts
539=Apertus Technologies Load Determination
540=uucp
541=uucp-rlogin
542=Unassigned
543=klogin
544=kshell
545=Unassigned
546=Unassigned
547=Unassigned
548=Unassigned
549=Unassigned
550=new-who
551=Unassigned
552=Unassigned
553=Unassigned
554=Unassigned
555=dsf
556=remotefs
557-559=rmonitor
560=rmonitord
561=dmonitor
562=chcmd
563=Unassigned
564=plan 9 file service
565=whoami
566-569 Unassigned
570=demonmeter
571=udemonmeter
572-599 Unassigned ipc server
600=Sun IPC server
607=nqs
606=Cray Unified Resource Manager
608=Sender-Initiated/Unsolicited File Transfer
609=npmp-trapnpmp-trap
610=npmp-localnpmp-local
611=npmp-guinpmp-gui
634=ginadginad
666=Doom Id Software
704=errlog copy/server daemon
709=EntrustManager
729=IBM NetView DM/6000 Server/Client
730=IBM NetView DM/6000 send/tcp
731=IBM NetView DM/6000 receive/tcp
741=netGWnetgw
742=Network based Rev. Cont. Sys.
744=Flexible License Manager
747=Fujitsu Device Control
748=Russell Info Sci Calendar Manager
749=kerberos administration
751=pump
752=qrh
754=send
758=nlogin
759=con
760=ns
762=quotad
763=cycleserv
765=webster
767=phonephonebook
769=vid
771=rtip
772=cycleserv2
774=acmaint_dbd
775=acmaint_transd
780=wpgs
786=Concertconcert
800=mdbs_daemon
996=Central Point Software
997=maitrd
999=puprouter
1023=Reserved
1024=Reserved
1025=network blackjack
1030=BBN IAD
1031=BBN IAD
1032=BBN IAD
1067=Installation Bootstrap Proto. Serv.
1068=Installation Bootstrap Proto. Cli.
1080=SOCKS
1083=Anasoft License Manager
1084=Anasoft License Manager
1155=Network File Access
1222=SNI R&D network
1248=hermes
1346=Alta Analytics License Manager
1347=multi media conferencing
1347=multi media conferencing
1348=multi media conferencing
1349=Registration Network Protocol
1350=Registration Network Protocol
1351=Digital Tool Works (MIT)
1352=/Lotus Notelotusnote
1353=Relief Consulting
1354=RightBrain Software
1355=Intuitive Edge
1356=CuillaMartin Company
1357=Electronic PegBoard
1358=CONNLCLIconnlcli
1359=FTSRVftsrv
1360=MIMERmimer
1361=LinX
1362=TimeFliestimeflies
1363=Network DataMover Requester
1364=Network DataMover Server
1365=Network Software Associates
1366=Novell NetWare Comm Service Platform
1367=DCSdcs
1368=ScreenCastscreencast
1369=GlobalView to Unix Shell
1370=Unix Shell to GlobalView
1371=Fujitsu Config Protocol
1372=Fujitsu Config Protocol
1373=Chromagrafxchromagrafx
1374=EPI Software Systems
1375=Bytexbytex
1376=IBM Person to Person Software
1377=Cichlid License Manager
1378=Elan License Manager
1379=Integrity Solutions
1380=Telesis Network License Manager
1381=Apple Network License Manager
1382=udt_os
1383=GW Hannaway Network License Manager
1384=Objective Solutions License Manager
1385=Atex Publishing License Manager
1386=CheckSum License Manager
1387=Computer Aided Design Software Inc LM
1388=Objective Solutions DataBase Cache
1389=Document Manager
1390=Storage Controller
1391=Storage Access Server
1392=Print Managericlpv-pm
1393=Network Log Server
1394=Network Log Client
1395=PC Workstation Manager software
1396=DVL Active Mail
1397=Audio Active Mail
1398=Video Active Mail
1399=Cadkey License Manager
1400=Cadkey Tablet Daemon
1401=Goldleaf License Manager
1402=Prospero Resource Manager
1403=Prospero Resource Manager
1404=Infinite Graphics License Manager
1405=IBM Remote Execution Starter
1406=NetLabs License Manager
1407=DBSA License Manager
1408=Sophia License Manager
1409=Here License Manager
1410=HiQ License Manager
1411=AudioFileaf
1412=InnoSysinnosys
1413=Innosys-ACLinnosys-acl
1414=IBM MQSeriesibm-mqseries
1415=DBStardbstar
1416=Novell LU6.2novell-lu6.2
1417=Timbuktu Service 1 Port
1417=Timbuktu Service 1 Port
1418=Timbuktu Service 2 Port
1419=Timbuktu Service 3 Port
1420=Timbuktu Service 4 Port
1421=Gandalf License Manager
1422=Autodesk License Manager
1423=Essbase Arbor Software
1424=Hybrid Encryption Protocol
1425=Zion Software License Manager
1426=Satellite-data Acquisition System 1
1427=mloadd monitoring tool
1428=Informatik License Manager
1429=Hypercom NMSnms
1430=Hypercom TPDUtpdu
1431=Reverse Gosip Transport
1432=Blueberry Software License Manager
1433=Microsoft-SQL-Server
1434=Microsoft-SQL-Monitor
1435=IBM CISCibm-cics
1436=Satellite-data Acquisition System 2
1437=Tabulatabula
1438=Eicon Security Agent/Server
1439=Eicon X25/SNA Gateway
1440=Eicon Service Location Protocol
1441=Cadis License Management
1442=Cadis License Management
1443=Integrated Engineering Software
1444=Marcam License Management
1445=Proxima License Manager
1446=Optical Research Associates License Manager
1447=Applied Parallel Research LM
1448=OpenConnect License Manager
1449=PEportpeport
#p#副標(biāo)題#e#
1450=Tandem Distributed Workbench Facility
1451=IBM Information Management
1452=GTE Government Systems License Man
1453=Genie License Manager
1454=interHDL License Manager
1454=interHDL License Manager
1455=ESL License Manager
1456=DCAdca
1457=Valisys License Manager
1458=Nichols Research Corp.
1459=Proshare Notebook Application
1460=Proshare Notebook Application
1461=IBM Wireless LAN
1462=World License Manager
1463=Nucleusnucleus
1464=MSL License Manager
1465=Pipes Platform
1466=Ocean Software License Manager
1467=CSDMBASEcsdmbase
1468=CSDMcsdm
1469=Active Analysis Limited License Manager
1470=Universal Analytics
1471=csdmbasecsdmbase
1472=csdmcsdm
1473=OpenMathopenmath
1474=Telefindertelefinder
1475=Taligent License Manager
1476=clvm-cfgclvm-cfg
1477=ms-sna-server
1478=ms-sna-base
1479=dberegisterdberegister
1480=PacerForumpacerforum
1481=AIRSairs
1482=Miteksys License Manager
1483=AFS License Manager
1484=Confluent License Manager
1485=LANSourcelansource
1486=nms_topo_serv
1487=LocalInfoSrvr
1488=DocStordocstor
1489=dmdocbrokerdmdocbroker
1490=insitu-confinsitu-conf
1491=anynetgateway
1492=stone-design-1
1493=netmap_lmnetmap_lm
1494=icaica
1495=cvccvc
1496=liberty-lmliberty-lm
1497=rfx-lmrfx-lm
1498=Watcom-SQLwatcom-sql
1499=Federico Heinz Consultora
1500=VLSI License Manager
1501=Satellite-data Acquisition System 3
1502=Shivashivadiscovery
1503=Databeamimtc-mcs
1504=EVB Software Engineering License Manager
1505=Funk Software, Inc.
1524=ingres
1525=oracle
1525=Prospero Directory Service non-priv
1526=Prospero Data Access Prot non-priv
1527=oracletlisrv
1529=oraclecoauthor
1600=issd
1651=proshare conf audio
1652=proshare conf video
1653=proshare conf data
1654=proshare conf request
1655=proshare conf notify
1661=netview-aix-1netview-aix-1
1662=netview-aix-2netview-aix-2
1663=netview-aix-3netview-aix-3
1664=netview-aix-4netview-aix-4
1665=netview-aix-5netview-aix-5
1666=netview-aix-6netview-aix-6
1986=cisco license management
1987=cisco RSRB Priority 1 port
1988=cisco RSRB Priority 2 port
1989=cisco RSRB Priority 3 port
1989=MHSnet systemmshnet
1990=cisco STUN Priority 1 port
1991=cisco STUN Priority 2 port
1992=cisco STUN Priority 3 port
1992=IPsendmsgipsendmsg
1993=cisco SNMP TCP port
1994=cisco serial tunnel port
1995=cisco perf port
1996=cisco Remote SRB port
1997=cisco Gateway Discovery Protocol
1998=cisco X.25 service (XOT)
1999=cisco identification port
2009=whosockami
2010=pipe_server
2011=raid
2012=raid-ac
2013=rad-am
2015=raid-cs
2016=bootserver
2017=terminaldb
2018=rellpack
2019=about
2019=xinupageserver
2020=xinupageserver
2021=xinuexpansion1
2021=down
2022=xinuexpansion2
2023=xinuexpansion3
2023=xinuexpansion4
2024=xinuexpansion4
2025=xribs
2026=scrabble
2027=shadowserver
2028=submitserver
2039=device2
2032=blackboard
2033=glogger
2034=scoremgr
2035=imsldoc
2038=objectmanager
2040=lam
2041=interbase
2042=isis
2043=isis-bcast
2044=primsl
2045=cdfunc
2047=dls
2048=dls-monitor
2065=Data Link Switch Read Port Number
2067=Data Link Switch Write Port Number
2201=Advanced Training System Program
2500=Resource Tracking system server
2501=Resource Tracking system client
2564=HP 3000 NS/VT block mode telnet
2784=world wide web – development
3049=ccmail
3264=ccmail, cc:mail/lotus
3333=dec-notes
3984=MAPPER network node manager
3985=MAPPER TCP/IP server
3986=MAPPER workstation server
3421=Bull Apprise portmapper
3900=Unidata UDT OS
4132=NUTS Daemonnuts_dem
4133=NUTS Bootp Server
4343=UNICALL
4444=KRB524
4672=remote file access server
5002=radio free ethernet
5010=TelepathStarttelelpathstart
5011=TelepathAttack
5050=multimedia conference control tool
5145=rmonitor_secure
5190=aol, America-Online
5300=HA cluster heartbeat
5301=hacl-gs # HA cluster general services
5302=HA cluster configuration
5303=hacl-probe HA cluster probing
5305=hacl-test
6000-6063=x11 X Window System
6111=sub-process HP SoftBench Sub-Process Control
6141/=meta-corp Meta Corporation License Manager
6142=aspentec-lm Aspen Technology License Manager
6143=watershed-lm Watershed License Manager
6144=statsci1-lm StatSci License Manager – 1
6145=statsci2-lm StatSci License Manager – 2
6146=lonewolf-lm Lone Wolf Systems License Manager
6147=montage-lm Montage License Manager
7000=afs3-fileserver file server itself
7001=afs3-callback callbacks to cache managers
7002=afs3-prserver users & groups database
7003=afs3-vlserver volume location database
7004=afs3-kaserver AFS/Kerberos authentication service
7005=afs3-volser volume managment server
7006=afs3-errors error interpretation service
7007=afs3-bos basic overseer process
7008=afs3-update server-to-server updater
7009=afs3-rmtsys remote cache manager service
7010=ups-online onlinet uninterruptable power supplies
7100=X Font Service
7200=FODMS FLIP
7626=冰河
8010=Wingate
8181=IMail
9535=man
45576=E代時(shí)光專業(yè)代理端口
下面解釋的更具體,也算是補(bǔ)充。
0
通常用于分析操作系統(tǒng)。這一方法能夠工作是因?yàn)樵谝恍┫到y(tǒng)中“0”是無(wú)效端口,當(dāng)你試圖使用一種通常的閉合端口連接它時(shí)將產(chǎn)生不同的結(jié)果。一種典型的掃描:使用IP地址為0.0.0.0,設(shè)置ACK位并在以太網(wǎng)層廣播。
1 tcpmux 這顯示有人在尋找SGI
Irix機(jī)器。Irix是實(shí)現(xiàn)tcpmux的主要提供者,缺省情況下tcpmux在這種系統(tǒng)中被打開。Iris機(jī)器在發(fā)布時(shí)含有幾個(gè)缺省的無(wú)密碼的帳戶,如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox和4Dgifts。許多管理員安裝后忘記刪除這些帳戶。因此Hacker們?cè)贗nternet上搜索tcpmux并利用這些帳戶。
7 Echo
你能看到許多人們搜索Fraggle放大器時(shí),發(fā)送到x.x.x.0和x.x.x.255的信息。常見的一種DoS攻擊是echo循環(huán)(echo-loop),攻擊者偽造從一個(gè)機(jī)器發(fā)送到另一個(gè)機(jī)器的UDP數(shù)據(jù)包,而兩個(gè)機(jī)器分別以它們最快的方式回應(yīng)這些數(shù)據(jù)包。另一種東西是由DoubleClick在詞端口建立的TCP連接。有一種產(chǎn)品叫做“Resonate Global Dispatch”,它與DNS的這一端口連接以確定最近的路由。Harvest/squid cache將從3130端口發(fā)送UDP echo:“如果將cache的source_ping on選項(xiàng)打開,它將對(duì)原始主機(jī)的UDP echo端口回應(yīng)一個(gè)HIT reply。”這將會(huì)產(chǎn)生許多這類數(shù)據(jù)包。
11 sysstat
這是一種UNIX服務(wù),它會(huì)列出機(jī)器上所有正在運(yùn)行的進(jìn)程以及是什么啟動(dòng)了這些進(jìn)程。這為入侵者提供了許多信息而威脅機(jī)器的安全,如暴露已知某些弱點(diǎn)或帳戶的程序。這與UNIX系統(tǒng)中“ps”命令的結(jié)果相似。再說(shuō)一遍:ICMP沒(méi)有端口,ICMP port 11通常是ICMP type=11。
19 chargen
這是一種僅僅發(fā)送字符的服務(wù)。UDP版本將會(huì)在收到UDP包后回應(yīng)含有垃圾字符的包。TCP連接時(shí),會(huì)發(fā)送含有垃圾字符的數(shù)據(jù)流知道連接關(guān)閉。Hacker利用IP欺騙可以發(fā)動(dòng)DoS攻擊。偽造兩個(gè)chargen服務(wù)器之間的UDP包。由于服務(wù)器企圖回應(yīng)兩個(gè)服務(wù)器之間的無(wú)限的往返數(shù)據(jù)通訊一個(gè)chargen和echo將導(dǎo)致服務(wù)器過(guò)載。同樣fraggle DoS攻擊向目標(biāo)地址的這個(gè)端口廣播一個(gè)帶有偽造受害者IP的數(shù)據(jù)包,受害者為了回應(yīng)這些數(shù)據(jù)而過(guò)載。
21 ftp
最常見的攻擊者用于尋找打開“anonymous”的ftp服務(wù)器的方法。這些服務(wù)器帶有可讀寫的目錄。Hackers或Crackers
利用這些服務(wù)器作為傳送warez (私有程序) 和pr0n(故意拼錯(cuò)詞而避免被搜索引擎分類)的節(jié)點(diǎn)。
22 ssh PcAnywhere
建立TCP和這一端口的連接可能是為了尋找ssh。這一服務(wù)有許多弱點(diǎn)。如果配置成特定的模式,許多使用RSAREF庫(kù)的版本有不少漏洞。(建議在其它端口運(yùn)行ssh)。還應(yīng)該注意的是ssh工具包帶有一個(gè)稱為make-ssh-known-hosts的程序。它會(huì)掃描整個(gè)域的ssh主機(jī)。你有時(shí)會(huì)被使用這一程序的人無(wú)意中掃描到。UDP(而不是TCP)與另一端的5632端口相連意味著存在搜索pcAnywhere的掃描。5632(十六進(jìn)制的0x1600)位交換后是0x0016(使進(jìn)制的22)。
23 Telnet
入侵者在搜索遠(yuǎn)程登陸UNIX的服務(wù)。大多數(shù)情況下入侵者掃描這一端口是為了找到機(jī)器運(yùn)行的操作系統(tǒng)。此外使用其它技術(shù),入侵者會(huì)找到密碼。
25 smtp
攻擊者(spammer)尋找SMTP服務(wù)器是為了傳遞他們的spam。入侵者的帳戶總被關(guān)閉,他們需要撥號(hào)連接到高帶寬的e-mail服務(wù)器上,將簡(jiǎn)單的信息傳遞到不同的地址。SMTP服務(wù)器(尤其是sendmail)是進(jìn)入系統(tǒng)的最常用方法之一,因?yàn)樗鼈儽仨毻暾谋┞队贗nternet且郵件的路由是復(fù)雜的(暴露+復(fù)雜=弱點(diǎn))。
53 DNS
Hacker或crackers可能是試圖進(jìn)行區(qū)域傳遞(TCP),欺騙DNS(UDP)或隱藏其它通訊。因此防火墻常常過(guò)濾或記錄53端口。需要注意的是你常會(huì)看到53端口做為UDP源端口。不穩(wěn)定的防火墻通常允許這種通訊并假設(shè)這是對(duì)DNS查詢的回復(fù)。Hacker常使用這種方法穿透防火墻。
67&68 Bootp和DHCP
UDP上的Bootp/DHCP:通過(guò)DSL和cable-modem的防火墻常會(huì)看見大量發(fā)送到廣播地址255.255.255.255的數(shù)據(jù)。這些機(jī)器在向DHCP服務(wù)器請(qǐng)求一個(gè)地址分配。Hacker常進(jìn)入它們分配一個(gè)地址把自己作為局部路由器而發(fā)起大量的“中間人”(man-in-middle)攻擊。客戶端向68端口(bootps)廣播請(qǐng)求配置,服務(wù)器向67端口(bootpc)廣播回應(yīng)請(qǐng)求。這種回應(yīng)使用廣播是因?yàn)榭蛻舳诉€不知道可以發(fā)送的IP地址。
69 TFTP(UDP)
許多服務(wù)器與bootp一起提供這項(xiàng)服務(wù),便于從系統(tǒng)下載啟動(dòng)代碼。但是它們常常錯(cuò)誤配置而從系統(tǒng)提供任何文件,如密碼文件。它們也可用于向系統(tǒng)寫入文件。
79 finger Hacker用于獲得用戶信息,查詢操作系統(tǒng),探測(cè)已知的緩沖區(qū)溢出錯(cuò)誤,回應(yīng)從自己機(jī)器到其它機(jī)器finger掃描。
80 web站點(diǎn)默認(rèn)80為服務(wù)端口,采用tcp或udp協(xié)議。
98 linuxconf 這個(gè)程序提供linux
boxen的簡(jiǎn)單管理。通過(guò)整合的HTTP服務(wù)器在98端口提供基于Web界面的服務(wù)。它已發(fā)現(xiàn)有許多安全問(wèn)題。一些版本setuid root,信任局域網(wǎng),在/tmp下建立Internet可訪問(wèn)的文件,LANG環(huán)境變量有緩沖區(qū)溢出。此外因?yàn)樗系姆?wù)器,許多典型的HTTP漏洞可能存在(緩沖區(qū)溢出,歷遍目錄等)
109 POP2 并不象POP3那樣有名,但許多服務(wù)器同時(shí)提供兩種服務(wù)(向后兼容)。在同一個(gè)服務(wù)器上POP3的漏洞在POP2中同樣存在。
110 POP3
用于客戶端訪問(wèn)服務(wù)器端的郵件服務(wù)。POP3服務(wù)有許多公認(rèn)的弱點(diǎn)。關(guān)于用戶名和密碼交換緩沖區(qū)溢出的弱點(diǎn)至少有20個(gè)(這意味著Hacker可以在真正登陸前進(jìn)入系統(tǒng))。成功登陸后還有其它緩沖區(qū)溢出錯(cuò)誤。
111 sunrpc portmap rpcbind Sun RPC
PortMapper/RPCBIND。訪問(wèn)portmapper是掃描系統(tǒng)查看允許哪些RPC服務(wù)的最早的一步。常見RPC服務(wù)有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd,amd等。入侵者發(fā)現(xiàn)了允許的RPC服務(wù)將轉(zhuǎn)向提供服務(wù)的特定端口測(cè)試漏洞。記住一定要記錄線路中的daemon, IDS或sniffer,你可以發(fā)現(xiàn)入侵者正使用什么程序訪問(wèn)以便發(fā)現(xiàn)到底發(fā)生了什么。
113 Ident auth
這是一個(gè)許多機(jī)器上運(yùn)行的協(xié)議,用于鑒別TCP連接的用戶。使用標(biāo)準(zhǔn)的這種服務(wù)可以獲得許多機(jī)器的信息(會(huì)被Hacker利用)。但是它可作為許多服務(wù)的記錄器,尤其是FTP, POP, IMAP,SMTP和IRC等服務(wù)。通常如果有許多客戶通過(guò)防火墻訪問(wèn)這些服務(wù),你將會(huì)看到許多這個(gè)端口的連接請(qǐng)求。記住,如果你阻斷這個(gè)端口客戶端會(huì)感覺(jué)到在防火墻另一邊與e-mail服務(wù)器的緩慢連接。許多防火墻支持在TCP連接的阻斷過(guò)程中發(fā)回RST,著將回停止這一緩慢的連接。
119 NNTP news
新聞組傳輸協(xié)議,承載USENET通訊。當(dāng)你鏈接到諸如:news://comp.security.firewalls/.的地址時(shí)通常使用這個(gè)端口。這個(gè)端口的連接企圖通常是人們?cè)趯ふ襏SENET服務(wù)器。多數(shù)ISP限制只有他們的客戶才能訪問(wèn)他們的新聞組服務(wù)器。打開新聞組服務(wù)器將允許發(fā)/讀任何人的帖子,訪問(wèn)被限制的新聞組服務(wù)器,匿名發(fā)帖或發(fā)送spam。
135 oc-serv MS RPC end-point mapper Microsoft在這個(gè)端口運(yùn)行DCE RPC end-point mapper為它的DCOM服務(wù)。這與UNIX 111端口的功能很相似。使用DCOM和/或RPC的服務(wù)利用機(jī)器上的end-point mapper注冊(cè)它們的位置。遠(yuǎn)端客戶連接到機(jī)器時(shí),它們查詢end-point mapper找到服務(wù)的位置。同樣Hacker掃描機(jī)器的這個(gè)端口是為了找到諸如:這個(gè)機(jī)器上運(yùn)行Exchange Server嗎?是什么版本?這個(gè)端口除了被用來(lái)查詢服務(wù)(如使用epdump)還可以被用于直接攻擊。有一些DoS攻擊直接針對(duì)這個(gè)端口。
137 NetBIOS name service nbtstat (UDP) 這是防火墻管理員最常見的信息。
139 NetBIOS File and Print Sharing
通過(guò)這個(gè)端口進(jìn)入的連接試圖獲得NetBIOS/SMB服務(wù)。這個(gè)協(xié)議被用于Windows“文件和打印機(jī)共享”和SAMBA。在Internet上共享自己的硬盤是可能是最常見的問(wèn)題。大量針對(duì)這一端口始于1999,后來(lái)逐漸變少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)開始將它們自己拷貝到這個(gè)端口,試圖在這個(gè)端口繁殖。
143 IMAP
和上面POP3的安全問(wèn)題一樣,許多IMAP服務(wù)器有緩沖區(qū)溢出漏洞運(yùn)行登陸過(guò)程中進(jìn)入。記住:一種Linux蠕蟲(admw0rm)會(huì)通過(guò)這個(gè)端口繁殖,因此許多這個(gè)端口的掃描來(lái)自不知情的已被感染的用戶。當(dāng)RadHat在他們的Linux發(fā)布版本中默認(rèn)允許IMAP后,這些漏洞變得流行起來(lái)。Morris蠕蟲以后這還是第一次廣泛傳播的蠕蟲。這一端口還被用于IMAP2,但并不流行。已有一些報(bào)道發(fā)現(xiàn)有些0到143端口的攻擊源于腳本。
161 SNMP(UDP)
入侵者常探測(cè)的端口。SNMP允許遠(yuǎn)程管理設(shè)備。所有配置和運(yùn)行信息都儲(chǔ)存在數(shù)據(jù)庫(kù)中,通過(guò)SNMP客獲得這些信息。許多管理員錯(cuò)誤配置將它們暴露于Internet。Crackers將試圖使用缺省的密碼“public”“private”訪問(wèn)系統(tǒng)。他們可能會(huì)試驗(yàn)所有可能的組合。SNMP包可能會(huì)被錯(cuò)誤的指向你的網(wǎng)絡(luò)。Windows機(jī)器常會(huì)因?yàn)殄e(cuò)誤配置將HP JetDirect remote management軟件使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會(huì)看見這種包在子網(wǎng)內(nèi)廣播(cable modem, DSL)查詢sysName和其它信息。
162 SNMP trap 可能是由于錯(cuò)誤配置
177 xdmcp 許多Hacker通過(guò)它訪問(wèn)X-Windows控制臺(tái), 它同時(shí)需要打開6000端口。
513 rwho 可能是從使用cable
modem或DSL登陸到的子網(wǎng)中的UNIX機(jī)器發(fā)出的廣播。這些人為Hacker進(jìn)入他們的系統(tǒng)提供了很有趣的信息。
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你將會(huì)看到這個(gè)端口的廣播。CORBA是一種面向?qū)ο蟮腞PC(remote procedure call)系統(tǒng)。Hacker會(huì)利用這些信息進(jìn)入系統(tǒng)。
600 Pcserver backdoor 請(qǐng)查看1524端口。
一些玩script的孩子認(rèn)為他們通過(guò)修改ingreslock和pcserver文件已經(jīng)完全攻破了系統(tǒng)– Alan J. Rosenthal.
635 mountd Linux的mountd Bug。這是人們掃描的一個(gè)流行的Bug。大多數(shù)對(duì)這個(gè)端口的掃描是基于UDP的,但基于TCP的mountd有所增加(mountd同時(shí)運(yùn)行于兩個(gè)端口)。記住,mountd可運(yùn)行于任何端口(到底在哪個(gè)端口,需要在端口111做portmap查詢),只是Linux默認(rèn)為635端口,就象NFS通常運(yùn)行于2049端口。
1024
許多人問(wèn)這個(gè)端口是干什么的。它是動(dòng)態(tài)端口的開始。許多程序并不在乎用哪個(gè)端口連接網(wǎng)絡(luò),它們請(qǐng)求操作系統(tǒng)為它們分配“下一個(gè)閑置端口”。基于這一點(diǎn)分配從端口1024開始。這意味著第一個(gè)向系統(tǒng)請(qǐng)求分配動(dòng)態(tài)端口的程序?qū)⒈环峙涠丝?024。為了驗(yàn)證這一點(diǎn),你可以重啟機(jī)器,打開Telnet,再打開一個(gè)窗口運(yùn)行“netstat -a”,你將會(huì)看到Telnet被分配1024端口。請(qǐng)求的程序越多,動(dòng)態(tài)端口也越多。操作系統(tǒng)分配的端口將逐漸變大。再來(lái)一遍,當(dāng)你瀏覽Web頁(yè)時(shí)用“netstat”查看,每個(gè)Web頁(yè)需要一個(gè)新端口。
1025,1026 參見1024
#p#副標(biāo)題#e#
1080 SOCKS
這一協(xié)議以管道方式穿過(guò)防火墻,允許防火墻后面的許多人通過(guò)一個(gè)IP地址訪問(wèn)Internet。理論上它應(yīng)該只允許內(nèi)部的通信向外達(dá)到Internet。但是由于錯(cuò)誤的配置,它會(huì)允許Hacker/Cracker的位于防火墻外部的攻擊穿過(guò)防火墻。或者簡(jiǎn)單地回應(yīng)位于Internet上的計(jì)算機(jī),從而掩飾他們對(duì)你的直接攻擊。WinGate是一種常見的Windows個(gè)人防火墻,常會(huì)發(fā)生上述的錯(cuò)誤配置。在加入IRC聊天室時(shí)常會(huì)看到這種情況。
1114 SQL 系統(tǒng)本身很少掃描這個(gè)端口,但常常是sscan腳本的一部分。
1243 Sub-7木馬(TCP)
1524 ingreslock
后門許多攻擊腳本將安裝一個(gè)后門Shell于這個(gè)端口(尤其是那些針對(duì)Sun系統(tǒng)中sendmail和RPC服務(wù)漏洞的腳本,如statd, ttdbserver和cmsd)。如果你剛剛安裝了你的防火墻就看到在這個(gè)端口上的連接企圖,很可能是上述原因。你可以試試Telnet到你的機(jī)器上的這個(gè)端口,看看它是否會(huì)給你一個(gè)Shell。連接到600/pcserver也存在這個(gè)問(wèn)題。
2049 NFS
NFS程序常運(yùn)行于這個(gè)端口。通常需要訪問(wèn)portmapper查詢這個(gè)服務(wù)運(yùn)行于哪個(gè)端口,但是大部分情況是安裝后NFS運(yùn)行于這個(gè)端口,Hacker/Cracker因而可以閉開portmapper直接測(cè)試這個(gè)端口。
3128 squid 這是Squid
HTTP代理服務(wù)器的默認(rèn)端口。攻擊者掃描這個(gè)端口是為了搜尋一個(gè)代理服務(wù)器而匿名訪問(wèn)Internet。你也會(huì)看到搜索其它代理服務(wù)器的端口:8000/8001/8080/8888。掃描這一端口的另一原因是:用戶正在進(jìn)入聊天室。其它用戶(或服務(wù)器本身)也會(huì)檢驗(yàn)這個(gè)端口以確定用戶的機(jī)器是否支持代理。
5632 pcAnywere
你會(huì)看到很多這個(gè)端口的掃描,這依賴于你所在的位置。當(dāng)用戶打開pcAnywere時(shí),它會(huì)自動(dòng)掃描局域網(wǎng)C類網(wǎng)以尋找可能得代理(譯者:指agent而不是proxy)。Hacker/cracker也會(huì)尋找開放這種服務(wù)的機(jī)器,所以應(yīng)該查看這種掃描的源地址。一些搜尋pcAnywere的掃描常包含端口22的UDP數(shù)據(jù)包。
6776 Sub-7 artifact
這個(gè)端口是從Sub-7主端口分離出來(lái)的用于傳送數(shù)據(jù)的端口。例如當(dāng)控制者通過(guò)電話線控制另一臺(tái)機(jī)器,而被控機(jī)器掛斷時(shí)你將會(huì)看到這種情況。因此當(dāng)另一人以此IP撥入時(shí),他們將會(huì)看到持續(xù)的,在這個(gè)端口的連接企圖。(譯者:即看到防火墻報(bào)告這一端口的連接企圖時(shí),并不表示你已被Sub-7控制。)
6970 RealAudio
RealAudio客戶將從服務(wù)器的6970-7170的UDP端口接收音頻數(shù)據(jù)流。這是由TCP7070端口外向控制連接設(shè)置的。
13223 PowWow PowWow 是Tribal Voice的聊天程序。它允許用戶在此端口打開私人聊天的連接。這一程序?qū)τ诮⑦B接非常具有“進(jìn)攻性”。它會(huì)“駐扎”在這一TCP端口等待回應(yīng)。這造成類似心跳間隔的連接企圖。如果你是一個(gè)撥號(hào)用戶,從另一個(gè)聊天者手中“繼承”了IP地址這種情況就會(huì)發(fā)生:好象很多不同的人在測(cè)試這一端口。這一協(xié)議使用“OPNG”作為其連接企圖的前四個(gè)字節(jié)。
17027 Conducent 這是一個(gè)外向連接。這是由于公司內(nèi)部有人安裝了帶有Conducent “adbot” 的共享軟件。Conducent “adbot”是為共享軟件顯示廣告服務(wù)的。使用這種服務(wù)的一種流行的軟件是Pkware。有人試驗(yàn):阻斷這一外向連接不會(huì)有任何問(wèn)題,但是封掉IP地址本身將會(huì)導(dǎo)致adbots持續(xù)在每秒內(nèi)試圖連接多次而導(dǎo)致連接過(guò)載:
機(jī)器會(huì)不斷試圖解析DNS名―ads.conducent.com,即IP地址216.33.210.40 ;216.33.199.77;216.33.199.80;216.33.199.81;216.33.210.41。(譯者:不知NetAnts使用的Radiate是否也有這種現(xiàn)象)
27374 Sub-7木馬(TCP)
30100 NetSphere木馬(TCP) 通常這一端口的掃描是為了尋找中了NetSphere木馬。
31337 Back Orifice “elite” Hacker中31337讀做“elite”/ei’li:t/(譯者:法語(yǔ),譯為中堅(jiān)力量,精華。即3=E, 1=L, 7=T)。因此許多后門程序運(yùn)行于這一端口。其中最有名的是Back Orifice。曾經(jīng)一段時(shí)間內(nèi)這是Internet上最常見的掃描。現(xiàn)在它的流行越來(lái)越少,其它的木馬程序越來(lái)越流行。
31789 Hack-a-tack 這一端口的UDP通訊通常是由于”Hack-a-tack”遠(yuǎn)程訪問(wèn)木馬(RAT, Remote Access Trojan)。這種木馬包含內(nèi)置的31790端口掃描器,因此任何31789端口到317890端口的連接意味著已經(jīng)有這種入侵。(31789端口是控制連接,317890端口是文件傳輸連接)
32770~32900 RPC服務(wù) Sun Solaris的RPC服務(wù)在這一范圍內(nèi)。詳細(xì)的說(shuō):早期版本的Solaris(2.5.1之前)將portmapper置于這一范圍內(nèi),即使低端口被防火墻封閉仍然允許Hacker/cracker訪問(wèn)這一端口。掃描這一范圍內(nèi)的端口不是為了尋找portmapper,就是為了尋找可被攻擊的已知的RPC服務(wù)。
33434~33600 traceroute
如果你看到這一端口范圍內(nèi)的UDP數(shù)據(jù)包(且只在此范圍之內(nèi))則可能是由于traceroute
入侵電腦端口查詢
端口:0
服務(wù):Reserved
說(shuō)明:通常用于分析操作系統(tǒng)。這一方法能夠工作是因?yàn)樵谝恍┫到y(tǒng)中“0”是無(wú)效端口,當(dāng)你試圖使用通常的閉合端口連接它時(shí)將產(chǎn)生不同的結(jié)果。一種典型的掃描,使用IP地址為0.0.0.0,設(shè)置ACK位并在以太網(wǎng)層廣播。
端口:1
服務(wù):tcpmux
說(shuō)明:這顯示有人在尋找SGI Irix機(jī)器。Irix是實(shí)現(xiàn)tcpmux的主要提供者,默認(rèn)情況下tcpmux在這種系統(tǒng)中被打開。Irix機(jī)器在發(fā)布是含有幾個(gè)默認(rèn)的無(wú)密碼的帳戶,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。許多管理員在安裝后忘記刪除這些帳戶。因此HACKER在INTERNET上搜索tcpmux并利用這些帳戶。
端口:7
服務(wù):Echo
說(shuō)明:能看到許多人搜索Fraggle放大器時(shí),發(fā)送到X.X.X.0和X.X.X.255的信息。
端口:19
服務(wù):Character Generator
說(shuō)明:這是一種僅僅發(fā)送字符的服務(wù)。UDP版本將會(huì)在收到UDP包后回應(yīng)含有垃圾字符的包。TCP連接時(shí)會(huì)發(fā)送含有垃圾字符的數(shù)據(jù)流直到連接關(guān)閉。HACKER利用IP欺騙可以發(fā)動(dòng)DoS攻擊。偽造兩個(gè)chargen服務(wù)器之間的UDP包。同樣Fraggle DoS攻擊向目標(biāo)地址的這個(gè)端口廣播一個(gè)帶有偽造受害者IP的數(shù)據(jù)包,受害者為了回應(yīng)這些數(shù)據(jù)而過(guò)載。
端口:21
服務(wù):FTP
說(shuō)明:FTP服務(wù)器所開放的端口,用于上傳、下載。最常見的攻擊者用于尋找打開anonymous的FTP服務(wù)器的方法。這些服務(wù)器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。
端口:22
服務(wù):Ssh
說(shuō)明:PcAnywhere建立的TCP和這一端口的連接可能是為了尋找ssh。這一服務(wù)有許多弱點(diǎn),如果配置成特定的模式,許多使用RSAREF庫(kù)的版本就會(huì)有不少的漏洞存在。
端口:23
服務(wù):Telnet
說(shuō)明:遠(yuǎn)程登錄,入侵者在搜索遠(yuǎn)程登錄UNIX的服務(wù)。大多數(shù)情況下掃描這一端口是為了找到機(jī)器運(yùn)行的操作系統(tǒng)。還有使用其他技術(shù),入侵者也會(huì)找到密碼。木馬Tiny Telnet Server就開放這個(gè)端口。
端口:25
服務(wù):SMTP
說(shuō)明:SMTP服務(wù)器所開放的端口,用于發(fā)送郵件。入侵者尋找SMTP服務(wù)器是為了傳遞他們的SPAM。入侵者的帳戶被關(guān)閉,他們需要連接到高帶寬的E-MAIL服務(wù)器上,將簡(jiǎn)單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個(gè)端口。
端口:31
服務(wù):MSG Authentication
說(shuō)明:木馬Master Paradise、Hackers Paradise開放此端口。
端口:42
服務(wù):WINS Replication
說(shuō)明:WINS復(fù)制
端口:53
服務(wù):Domain Name Server(DNS)
說(shuō)明:DNS服務(wù)器所開放的端口,入侵者可能是試圖進(jìn)行區(qū)域傳遞(TCP),欺騙DNS(UDP)或隱藏其他的通信。因此防火墻常常過(guò)濾或記錄此端口。
端口:67
服務(wù):Bootstrap Protocol Server
說(shuō)明:通過(guò)DSL和Cable modem的防火墻常會(huì)看見大量發(fā)送到廣播地址255.255.255.255的數(shù)據(jù)。這些機(jī)器在向DHCP服務(wù)器請(qǐng)求一個(gè)地址。HACKER常進(jìn)入它們,分配一個(gè)地址把自己作為局部路由器而發(fā)起大量中間人(man-in-middle)攻擊。客戶端向68端口廣播請(qǐng)求配置,服務(wù)器向67端口廣播回應(yīng)請(qǐng)求。這種回應(yīng)使用廣播是因?yàn)榭蛻舳诉€不知道可以發(fā)送的IP地址。
端口:69
服務(wù):Trival File Transfer
說(shuō)明:許多服務(wù)器與bootp一起提供這項(xiàng)服務(wù),便于從系統(tǒng)下載啟動(dòng)代碼。但是它們常常由于錯(cuò)誤配置而使入侵者能從系統(tǒng)中竊取任何 文件。它們也可用于系統(tǒng)寫入文件。
端口:79
服務(wù):Finger Server
說(shuō)明:入侵者用于獲得用戶信息,查詢操作系統(tǒng),探測(cè)已知的緩沖區(qū)溢出錯(cuò)誤,回應(yīng)從自己機(jī)器到其他機(jī)器Finger掃描。
端口:80
服務(wù):HTTP
說(shuō)明:用于網(wǎng)頁(yè)瀏覽。木馬Executor開放此端口。
端口:99
服務(wù):Metagram Relay
說(shuō)明:后門程序ncx99開放此端口。
端口:102
服務(wù):Message transfer agent(MTA)-X.400 over TCP/IP
說(shuō)明:消息傳輸代理。
端口:109
服務(wù):Post Office Protocol -Version3
說(shuō)明:POP3服務(wù)器開放此端口,用于接收郵件,客戶端訪問(wèn)服務(wù)器端的郵件服務(wù)。POP3服務(wù)有許多公認(rèn)的弱點(diǎn)。關(guān)于用戶名和密碼交 換緩沖區(qū)溢出的弱點(diǎn)至少有20個(gè),這意味著入侵者可以在真正登陸前進(jìn)入系統(tǒng)。成功登陸后還有其他緩沖區(qū)溢出錯(cuò)誤。
端口:110
服務(wù):SUN公司的RPC服務(wù)所有端口
說(shuō)明:常見RPC服務(wù)有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:113
服務(wù):Authentication Service
說(shuō)明:這是一個(gè)許多計(jì)算機(jī)上運(yùn)行的協(xié)議,用于鑒別TCP連接的用戶。使用標(biāo)準(zhǔn)的這種服務(wù)可以獲得許多計(jì)算機(jī)的信息。但是它可作為許多服務(wù)的記錄器,尤其是FTP、POP、IMAP、SMTP和IRC等服務(wù)。通常如果有許多客戶通過(guò)防火墻訪問(wèn)這些服務(wù),將會(huì)看到許多這個(gè)端口的連接請(qǐng)求。記住,如果阻斷這個(gè)端口客戶端會(huì)感覺(jué)到在防火墻另一邊與E-MAIL服務(wù)器的緩慢連接。許多防火墻支持TCP連接的阻斷過(guò)程中發(fā)回RST。這將會(huì)停止緩慢的連接。
端口:119
服務(wù):Network News Transfer Protocol
說(shuō)明:NEWS新聞組傳輸協(xié)議,承載USENET通信。這個(gè)端口的連接通常是人們?cè)趯ふ襏SENET服務(wù)器。多數(shù)ISP限制,只有他們的客戶才能訪問(wèn)他們的新聞組服務(wù)器。打開新聞組服務(wù)器將允許發(fā)/讀任何人的帖子,訪問(wèn)被限制的新聞組服務(wù)器,匿名發(fā)帖或發(fā)送SPAM。
端口:135
服務(wù):Location Service
說(shuō)明:Microsoft在這個(gè)端口運(yùn)行DCE RPC end-point mapper為它的DCOM服務(wù)。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務(wù)利用計(jì)算機(jī)上的end-point mapper注冊(cè)它們的位置。遠(yuǎn)端客戶連接到計(jì)算機(jī)時(shí),它們查找end-point mapper找到服務(wù)的位置。HACKER掃描計(jì)算機(jī)的這個(gè)端口是為了找到這個(gè)計(jì)算機(jī)上運(yùn)行Exchange Server嗎?什么版本?還有些DOS攻擊直接針對(duì)這個(gè)端口。
端口:137、138、139
服務(wù):NETBIOS Name Service
說(shuō)明:其中137、138是UDP端口,當(dāng)通過(guò)網(wǎng)上鄰居傳輸文件時(shí)用這個(gè)端口。而139端口:通過(guò)這個(gè)端口進(jìn)入的連接試圖獲得NetBIOS/SMB服務(wù)。這個(gè)協(xié)議被用于windows文件和打印機(jī)共享和SAMBA。還有WINS Regisrtation也用它。
端口:143
服務(wù):Interim Mail Access Protocol v2
說(shuō)明:和POP3的安全問(wèn)題一樣,許多IMAP服務(wù)器存在有緩沖區(qū)溢出漏洞。記住:一種LINUX蠕蟲(admv0rm)會(huì)通過(guò)這個(gè)端口繁殖,因此許多這個(gè)端口的掃描來(lái)自不知情的已經(jīng)被感染的用戶。當(dāng)REDHAT在他們的LINUX發(fā)布版本中默認(rèn)允許IMAP后,這些漏洞變的很流行。這一端口還被用于IMAP2,但并不流行。
端口:161
服務(wù):SNMP
說(shuō)明:SNMP允許遠(yuǎn)程管理設(shè)備。所有配置和運(yùn)行信息的儲(chǔ)存在數(shù)據(jù)庫(kù)中,通過(guò)SNMP可獲得這些信息。許多管理員的錯(cuò)誤配置將被暴露在Internet。Cackers將試圖使用默認(rèn)的密碼public、private訪問(wèn)系統(tǒng)。他們可能會(huì)試驗(yàn)所有可能的組合。SNMP包可能會(huì)被錯(cuò)誤的指向用戶的網(wǎng)絡(luò)。
端口:177
服務(wù):X Display Manager Control Protocol
說(shuō)明:許多入侵者通過(guò)它訪問(wèn)X-windows操作臺(tái),它同時(shí)需要打開6000端口。
端口:389
服務(wù):LDAP、ILS
說(shuō)明:輕型目錄訪問(wèn)協(xié)議和NetMeeting Internet Locator Server共用這一端口。
端口:443
服務(wù):Https
說(shuō)明:網(wǎng)頁(yè)瀏覽端口,能提供加密和通過(guò)安全端口傳輸?shù)牧硪环NHTTP。
端口:456
服務(wù):[NULL]
說(shuō)明:木馬HACKERS PARADISE開放此端口。
端口:513
服務(wù):Login,remote login
說(shuō)明:是從使用cable modem或DSL登陸到子網(wǎng)中的UNIX計(jì)算機(jī)發(fā)出的廣播。這些人為入侵者進(jìn)入他們的系統(tǒng)提供了信息。
端口:544
服務(wù):[NULL]
說(shuō)明:kerberos kshell
端口:548
服務(wù):Macintosh,File Services(AFP/IP)
說(shuō)明:Macintosh,文件服務(wù)。
端口:553
服務(wù):CORBA IIOP (UDP)
說(shuō)明:使用cable modem、DSL或VLAN將會(huì)看到這個(gè)端口的廣播。CORBA是一種面向?qū)ο蟮腞PC系統(tǒng)。入侵者可以利用這些信息進(jìn)入系統(tǒng)。
端口:555
服務(wù):DSF
說(shuō)明:木馬PhAse1.0、Stealth Spy、IniKiller開放此端口。
端口:568
服務(wù):Membership DPA
說(shuō)明:成員資格 DPA。
端口:569
服務(wù):Membership MSN
說(shuō)明:成員資格 MSN。
端口:635
服務(wù):mountd
說(shuō)明:Linux的mountd Bug。這是掃描的一個(gè)流行BUG。大多數(shù)對(duì)這個(gè)端口的掃描是基于UDP的,但是基于TCP的mountd有所增加(mountd同時(shí)運(yùn)行于兩個(gè)端口)。記住mountd可運(yùn)行于任何端口(到底是哪個(gè)端口,需要在端口111做portmap查詢),只是Linux默認(rèn)端口是635,就像NFS通常運(yùn)行于2049端口。
端口:636
服務(wù):LDAP
說(shuō)明:SSL(Secure Sockets layer)
端口:666
服務(wù):Doom Id Software
說(shuō)明:木馬Attack FTP、Satanz Backdoor開放此端口
端口:993
服務(wù):IMAP
說(shuō)明:SSL(Secure Sockets layer)
端口:1001、1011
服務(wù):[NULL]
說(shuō)明:木馬Silencer、WebEx開放1001端口。木馬Doly Trojan開放1011端口。
端口:1024
服務(wù):Reserved
說(shuō)明:它是動(dòng)態(tài)端口的開始,許多程序并不在乎用哪個(gè)端口連接網(wǎng)絡(luò),它們請(qǐng)求系統(tǒng)為它們分配下一個(gè)閑置端口。基于這一點(diǎn)分配從端口1024開始。這就是說(shuō)第一個(gè)向系統(tǒng)發(fā)出請(qǐng)求的會(huì)分配到1024端口。你可以重啟機(jī)器,打開Telnet,再打開一個(gè)窗口運(yùn)行natstat -a 將會(huì)看到Telnet被分配1024端口。還有SQL session也用此端口和5000端口。
端口:1025、1033
服務(wù):1025:network blackjack 1033:[NULL]
說(shuō)明:木馬netspy開放這2個(gè)端口。
端口:1080
服務(wù):SOCKS
說(shuō)明:這一協(xié)議以通道方式穿過(guò)防火墻,允許防火墻后面的人通過(guò)一個(gè)IP地址訪問(wèn)INTERNET。理論上它應(yīng)該只允許內(nèi)部的通信向外到達(dá)INTERNET。但是由于錯(cuò)誤的配置,它會(huì)允許位于防火墻外部的攻擊穿過(guò)防火墻。WinGate常會(huì)發(fā)生這種錯(cuò)誤,在加入IRC聊天室時(shí)常會(huì)看到這種情況。
端口:1170
服務(wù):[NULL]
說(shuō)明:木馬Streaming Audio Trojan、Psyber Stream Server、Voice開放此端口。
端口:1234、1243、6711、6776
服務(wù):[NULL]
說(shuō)明:木馬SubSeven2.0、Ultors Trojan開放1234、6776端口。木馬SubSeven1.0/1.9開放1243、6711、6776端口。
端口:1245
服務(wù):[NULL]
說(shuō)明:木馬Vodoo開放此端口。
端口:1433
服務(wù):SQL
說(shuō)明:Microsoft的SQL服務(wù)開放的端口。
端口:1492
服務(wù):stone-design-1
說(shuō)明:木馬FTP99CMP開放此端口。
端口:1500
服務(wù):RPC client fixed port session queries
說(shuō)明:RPC客戶固定端口會(huì)話查詢
端口:1503
服務(wù):NetMeeting T.120
說(shuō)明:NetMeeting T.120
端口:1524
服務(wù):ingress
說(shuō)明:許多攻擊腳本將安裝一個(gè)后門SHELL于這個(gè)端口,尤其是針對(duì)SUN系統(tǒng)中Sendmail和RPC服務(wù)漏洞的腳本。如果剛安裝了防火墻就看到在這個(gè)端口上的連接企圖,很可能是上述原因。可以試試Telnet到用戶的計(jì)算機(jī)上的這個(gè)端口,看看它是否會(huì)給你一個(gè)SHELL。連接到600/pcserver也存在這個(gè)問(wèn)題。
端口:1600
服務(wù):issd
說(shuō)明:木馬Shivka-Burka開放此端口。
端口:1720
服務(wù):NetMeeting
說(shuō)明:NetMeeting H.233 call Setup。
端口:1731
服務(wù):NetMeeting Audio Call Control
說(shuō)明:NetMeeting音頻調(diào)用控制。
端口:1807
服務(wù):[NULL]
說(shuō)明:木馬SpySender開放此端口。
端口:1981
服務(wù):[NULL]
說(shuō)明:木馬ShockRave開放此端口。
端口:1999
服務(wù):cisco identification port
說(shuō)明:木馬BackDoor開放此端口。
#p#副標(biāo)題#e#
端口:2000
服務(wù):[NULL]
說(shuō)明:木馬GirlFriend 1.3、Millenium 1.0開放此端口。
端口:2001
服務(wù):[NULL]
說(shuō)明:木馬Millenium 1.0、Trojan Cow開放此端口。
端口:2023
服務(wù):xinuexpansion 4
說(shuō)明:木馬Pass Ripper開放此端口。
端口:2049
服務(wù):NFS
說(shuō)明:NFS程序常運(yùn)行于這個(gè)端口。通常需要訪問(wèn)Portmapper查詢這個(gè)服務(wù)運(yùn)行于哪個(gè)端口。
端口:2115
服務(wù):[NULL]
說(shuō)明:木馬Bugs開放此端口。
端口:2140、3150
服務(wù):[NULL]
說(shuō)明:木馬Deep Throat 1.0/3.0開放此端口。
端口:2500
服務(wù):RPC client using a fixed port session replication
說(shuō)明:應(yīng)用固定端口會(huì)話復(fù)制的RPC客戶
端口:2583
服務(wù):[NULL]
說(shuō)明:木馬Wincrash 2.0開放此端口。
端口:2801
服務(wù):[NULL]
說(shuō)明:木馬Phineas Phucker開放此端口。
端口:3024、4092
服務(wù):[NULL]
說(shuō)明:木馬WinCrash開放此端口。
端口:3128
服務(wù):squid
說(shuō)明:這是squid HTTP代理服務(wù)器的默認(rèn)端口。攻擊者掃描這個(gè)端口是為了搜尋一個(gè)代理服務(wù)器而匿名訪問(wèn)Internet。也會(huì)看到搜索其他代理服務(wù)器的端口8000、8001、8080、8888。掃描這個(gè)端口的另一個(gè)原因是用戶正在進(jìn)入聊天室。其他用戶也會(huì)檢驗(yàn)這個(gè)端口以確定用戶的機(jī)器是否支持代理。
端口:3129
服務(wù):[NULL]
說(shuō)明:木馬Master Paradise開放此端口。
端口:3150
服務(wù):[NULL]
說(shuō)明:木馬The Invasor開放此端口。
端口:3210、4321
服務(wù):[NULL]
說(shuō)明:木馬SchoolBus開放此端口
端口:3333
服務(wù):dec-notes
說(shuō)明:木馬Prosiak開放此端口
端口:3389
服務(wù):超級(jí)終端
說(shuō)明:WINDOWS 2000終端開放此端口。
端口:3700
服務(wù):[NULL]
說(shuō)明:木馬Portal of Doom開放此端口
端口:3996、4060
服務(wù):[NULL]
說(shuō)明:木馬RemoteAnything開放此端口
端口:4000
服務(wù):QQ客戶端
說(shuō)明:騰訊QQ客戶端開放此端口。
端口:4092
服務(wù):[NULL]
說(shuō)明:木馬WinCrash開放此端口。
端口:4590
服務(wù):[NULL]
說(shuō)明:木馬ICQTrojan開放此端口。
端口:5000、5001、5321、50505
服務(wù):[NULL]
說(shuō)明:木馬blazer5開放5000端口。木馬Sockets de Troie開放5000、5001、5321、50505端口。
端口:5400、5401、5402
服務(wù):[NULL]
說(shuō)明:木馬Blade Runner開放此端口。
端口:5550
服務(wù):[NULL]
說(shuō)明:木馬xtcp開放此端口。
端口:5569
服務(wù):[NULL]
說(shuō)明:木馬Robo-Hack開放此端口。
端口:5632
服務(wù):pcAnywere
說(shuō)明:有時(shí)會(huì)看到很多這個(gè)端口的掃描,這依賴于用戶所在的位置。當(dāng)用戶打開pcAnywere時(shí),它會(huì)自動(dòng)掃描局域網(wǎng)C類網(wǎng)以尋找可能的代理(這里的代理是指agent而不是proxy)。入侵者也會(huì)尋找開放這種服務(wù)的計(jì)算機(jī)。,所以應(yīng)該查看這種掃描的源地址。一些搜尋pcAnywere的掃描包常含端口22的UDP數(shù)據(jù)包。
端口:5742
服務(wù):[NULL]
說(shuō)明:木馬WinCrash1.03開放此端口。
端口:6267
服務(wù):[NULL]
說(shuō)明:木馬廣外女生開放此端口。
端口:6400
服務(wù):[NULL]
說(shuō)明:木馬The tHing開放此端口。
端口:6670、6671
服務(wù):[NULL]
說(shuō)明:木馬Deep Throat開放6670端口。而Deep Throat 3.0開放6671端口。
端口:6883
服務(wù):[NULL]
說(shuō)明:木馬DeltaSource開放此端口。
端口:6969
服務(wù):[NULL]
說(shuō)明:木馬Gatecrasher、Priority開放此端口。
端口:6970
服務(wù):RealAudio
說(shuō)明:RealAudio客戶將從服務(wù)器的6970-7170的UDP端口接收音頻數(shù)據(jù)流。這是由TCP-7070端口外向控制連接設(shè)置的。
端口:7000
服務(wù):[NULL]
說(shuō)明:木馬Remote Grab開放此端口。
端口:7300、7301、7306、7307、7308
服務(wù):[NULL]
說(shuō)明:木馬NetMonitor開放此端口。另外NetSpy1.0也開放7306端口。
端口:7323
服務(wù):[NULL]
說(shuō)明:Sygate服務(wù)器端。
端口:7626
服務(wù):[NULL]
說(shuō)明:木馬Giscier開放此端口。
端口:7789
服務(wù):[NULL]
說(shuō)明:木馬ICKiller開放此端口。
端口:8000
服務(wù):OICQ
說(shuō)明:騰訊QQ服務(wù)器端開放此端口。
端口:8010
服務(wù):Wingate
說(shuō)明:Wingate代理開放此端口。
端口:8080
服務(wù):代理端口
說(shuō)明:WWW代理開放此端口。
端口:9400、9401、9402
服務(wù):[NULL]
說(shuō)明:木馬Incommand 1.0開放此端口。
端口:9872、9873、9874、9875、10067、10167
服務(wù):[NULL]
說(shuō)明:木馬Portal of Doom開放此端口。
端口:9989
服務(wù):[NULL]
說(shuō)明:木馬iNi-Killer開放此端口。
端口:11000
服務(wù):[NULL]
說(shuō)明:木馬SennaSpy開放此端口。
端口:11223
服務(wù):[NULL]
說(shuō)明:木馬Progenic trojan開放此端口。
端口:12076、61466
服務(wù):[NULL]
說(shuō)明:木馬Telecommando開放此端口。
page]
端口:12223
服務(wù):[NULL]
說(shuō)明:木馬Hack’99 KeyLogger開放此端口。
端口:12345、12346
服務(wù):[NULL]
說(shuō)明:木馬NetBus1.60/1.70、GabanBus開放此端口。
端口:12361
服務(wù):[NULL]
說(shuō)明:木馬Whack-a-mole開放此端口。
端口:13223
服務(wù):PowWow
說(shuō)明:PowWow是Tribal Voice的聊天程序。它允許用戶在此端口打開私人聊天的連接。這一程序?qū)τ诮⑦B接非常具有攻擊性。它會(huì)駐扎在這個(gè)TCP端口等回應(yīng)。造成類似心跳間隔的連接請(qǐng)求。如果一個(gè)撥號(hào)用戶從另一個(gè)聊天者手中繼承了IP地址就會(huì)發(fā)生好象有很多不同的人在測(cè)試這個(gè)端口的情況。這一協(xié)議使用OPNG作為其連接請(qǐng)求的前4個(gè)字節(jié)。
端口:16969
服務(wù):[NULL]
說(shuō)明:木馬Priority開放此端口。
端口:17027
服務(wù):Conducent
說(shuō)明:這是一個(gè)外向連接。這是由于公司內(nèi)部有人安裝了帶有Conducent”adbot”的共享軟件。Conducent”adbot”是為共享軟件顯示廣告服務(wù)的。使用這種服務(wù)的一種流行的軟件是Pkware。
端口:19191
服務(wù):[NULL]
說(shuō)明:木馬藍(lán)色火焰開放此端口。
端口:20000、20001
服務(wù):[NULL]
說(shuō)明:木馬Millennium開放此端口。
端口:20034
服務(wù):[NULL]
說(shuō)明:木馬NetBus Pro開放此端口。
端口:21554
服務(wù):[NULL]
說(shuō)明:木馬GirlFriend開放此端口。
端口:22222
服務(wù):[NULL]
說(shuō)明:木馬Prosiak開放此端口。
端口:23456
服務(wù):[NULL]
說(shuō)明:木馬Evil FTP、Ugly FTP開放此端口。
端口:26274、47262
服務(wù):[NULL]
說(shuō)明:木馬Delta開放此端口。
端口:27374
服務(wù):[NULL]
說(shuō)明:木馬Subseven 2.1開放此端口。
端口:30100
服務(wù):[NULL]
說(shuō)明:木馬NetSphere開放此端口。
端口:30303
服務(wù):[NULL]
說(shuō)明:木馬Socket23開放此端口。
端口:30999
服務(wù):[NULL]
說(shuō)明:木馬Kuang開放此端口。
端口:31337、31338
服務(wù):[NULL]
說(shuō)明:木馬BO(Back Orifice)開放此端口。另外木馬DeepBO也開放31338端口。
端口:31339
服務(wù):[NULL]
說(shuō)明:木馬NetSpy DK開放此端口。
端口:31666
服務(wù):[NULL]
說(shuō)明:木馬BOWhack開放此端口。
端口:33333
服務(wù):[NULL]
說(shuō)明:木馬Prosiak開放此端口。
端口:34324
服務(wù):[NULL]
說(shuō)明:木馬Tiny Telnet Server、BigGluck、TN開放此端口。
端口:40412
服務(wù):[NULL]
說(shuō)明:木馬The Spy開放此端口。
端口:40421、40422、40423、40426、
服務(wù):[NULL]
說(shuō)明:木馬Masters Paradise開放此端口。
端口:43210、54321
服務(wù):[NULL]
說(shuō)明:木馬SchoolBus 1.0/2.0開放此端口。
端口:44445
服務(wù):[NULL]
說(shuō)明:木馬Happypig開放此端口。
端口:50766
服務(wù):[NULL]
說(shuō)明:木馬Fore開放此端口。
端口:53001
服務(wù):[NULL]
說(shuō)明:木馬Remote Windows Shutdown開放此端口。
端口:65000
服務(wù):[NULL]
說(shuō)明:木馬Devil 1.03開放此端口。
#p#副標(biāo)題#e#
端口:88說(shuō)明:Kerberos krb5。另外TCP的88端口也是這個(gè)用途。
端口:137
說(shuō)明:SQL Named Pipes encryption over other protocols name lookup(其他協(xié)議名稱查找上的SQL命名管道加密技術(shù))和SQL RPC encryption over other protocols name lookup(其他協(xié)議名稱查找上的SQL RPC加密技術(shù))和Wins NetBT name service(WINS NetBT名稱服務(wù))和Wins Proxy都用這個(gè)端口。
端口:161
說(shuō)明:Simple Network Management Protocol(SMTP)(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)。
端口:162
說(shuō)明:SNMP Trap(SNMP陷阱)
端口:445
說(shuō)明:Common Internet File System(CIFS)(公共Internet文件系統(tǒng))
端口:464
說(shuō)明:Kerberos kpasswd(v5)。另外TCP的464端口也是這個(gè)用途。
端口:500
說(shuō)明:Internet Key Exchange(IKE)(Internet密鑰交換)
端口:1645、1812
說(shuō)明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù))
端口:1646、1813
說(shuō)明:RADIUS accounting(Routing and Remote Access)(RADIUS記帳(路由和遠(yuǎn)程訪問(wèn)))
端口:1701
說(shuō)明:Layer Two Tunneling Protocol(L2TP)(第2層隧道協(xié)議)
端口:1801、3527
說(shuō)明:Microsoft Message Queue Server(Microsoft消息隊(duì)列服務(wù)器)。還有TCP的135、1801、2101、2103、2105也是同樣的用途。
端口:2504
說(shuō)明:Network Load Balancing(網(wǎng)絡(luò)平衡負(fù)荷)
常見命令和端口列表
網(wǎng)絡(luò)基礎(chǔ)知識(shí)!端口對(duì)照,常用命令! 常用端口對(duì)照表!
端口:0 服務(wù):Reserved 說(shuō)明:通常用于分析操作系統(tǒng)。這一方法能夠工作是因?yàn)樵谝恍┫到y(tǒng)中“0”是無(wú)效端口,當(dāng)你試圖使用通常的閉合端口連接它時(shí)將產(chǎn)生不同的結(jié)果。一種典型的掃描,使用IP地址為0.0.0.0,設(shè)置ACK位并在以太網(wǎng)層廣播。
端口:1 服務(wù):tcpmux 說(shuō)明:這顯示有人在尋找SGI Irix機(jī)器。Irix是實(shí)現(xiàn)tcpmux的主要提供者,默認(rèn)情況下tcpmux在這種系統(tǒng)中被打開。Irix機(jī)器在發(fā)布是含有幾個(gè)默認(rèn)的無(wú)密碼的帳戶,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。許多管理員在安裝后忘記刪除這些帳戶。因此HACKER在INTERNET上搜索tcpmux并利用這些帳戶。
端口:7 服務(wù):Echo 說(shuō)明:能看到許多人搜索Fraggle放大器時(shí),發(fā)送到X.X.X.0和X.X.X.255的信息。
端口:19 服務(wù):Character Generator 說(shuō)明:這是一種僅僅發(fā)送字符的服務(wù)。UDP版本將會(huì)在收到UDP包后回應(yīng)含有垃圾字符的包。TCP連接時(shí)會(huì)發(fā)送含有垃圾字符的數(shù)據(jù)流直到連接關(guān)閉。HACKER利用IP欺騙可以發(fā)動(dòng)DoS攻擊。偽造兩個(gè)chargen服務(wù)器之間的UDP包。同樣Fraggle DoS攻擊向目標(biāo)地址的這個(gè)端口廣播一個(gè)帶有偽造受害者IP的數(shù)據(jù)包,受害者為了回應(yīng)這些數(shù)據(jù)而過(guò)載。
端口:21 服務(wù):FTP 說(shuō)明:FTP服務(wù)器所開放的端口,用于上傳、下載。最常見的攻擊者用于尋找打開anonymous的FTP服務(wù)器的方法。這些服務(wù)器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。
端口:22 服務(wù):Ssh 說(shuō)明:PcAnywhere建立的TCP和這一端口的連接可能是為了尋找ssh。這一服務(wù)有許多弱點(diǎn),如果配置成特定的模式,許多使用RSAREF庫(kù)的版本就會(huì)有不少的漏洞存在。
端口:23 服務(wù):Telnet 說(shuō)明:遠(yuǎn)程登錄,入侵者在搜索遠(yuǎn)程登錄UNIX的服務(wù)。大多數(shù)情況下掃描這一端口是為了找到機(jī)器運(yùn)行的操作系統(tǒng)。還有使用其他技術(shù),入侵者也會(huì)找到密碼。木馬Tiny Telnet Server就開放這個(gè)端口。
端口:25 服務(wù):SMTP 說(shuō)明:SMTP服務(wù)器所開放的端口,用于發(fā)送郵件。入侵者尋找SMTP服務(wù)器是為了傳遞他們的SPAM。入侵者的帳戶被關(guān)閉,他們需要連接到高帶寬的E-MAIL服務(wù)器上,將簡(jiǎn)單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個(gè)端口。
端口:31 服務(wù):MSG Authentication 說(shuō)明:木馬Master Paradise、Hackers Paradise開放此端口。 端口:42 服務(wù):WINS Replication 說(shuō)明:WINS復(fù)制
端口:53 服務(wù):Domain Name Server(DNS) 說(shuō)明:DNS服務(wù)器所開放的端口,入侵者可能是試圖進(jìn)行區(qū)域傳遞(TCP),欺騙DNS(UDP)或隱藏其他的通信。因此防火墻常常過(guò)濾或記錄此端口。
端口:67 服務(wù):Bootstrap Protocol Server 說(shuō)明:通過(guò)DSL和Cable modem的防火墻常會(huì)看見大量發(fā)送到廣播地址255.255.255.255的數(shù)據(jù)。這些機(jī)器在向DHCP服務(wù)器請(qǐng)求一個(gè)地址。HACKER常進(jìn)入它們,分配一個(gè)地址把自己作為局部路由器而發(fā)起大量中間人(man-in-middle)攻擊。客戶端向68端口廣播請(qǐng)求配置,服務(wù)器向67端口廣播回應(yīng)請(qǐng)求。這種回應(yīng)使用廣播是因?yàn)榭蛻舳诉€不知道可以發(fā)送的IP地址。
端口:69 服務(wù):Trival File Transfer 說(shuō)明:許多服務(wù)器與bootp一起提供這項(xiàng)服務(wù),便于從系統(tǒng)下載啟動(dòng)代碼。但是它們常常由于錯(cuò)誤配置而使入侵者能從系統(tǒng)中竊取任何 文件。它們也可用于系統(tǒng)寫入文件。
端口:79 服務(wù):Finger Server 說(shuō)明:入侵者用于獲得用戶信息,查詢操作系統(tǒng),探測(cè)已知的緩沖區(qū)溢出錯(cuò)誤,回應(yīng)從自己機(jī)器到其他機(jī)器Finger掃描。
端口:80 服務(wù):HTTP 說(shuō)明:用于網(wǎng)頁(yè)瀏覽。木馬Executor開放此端口。
端口:99 服務(wù):metagram Relay 說(shuō)明:后門程序ncx99開放此端口。
端口:102 服務(wù):Message transfer agent(MTA)-X.400 over TCP/IP 說(shuō)明:消息傳輸代理。
端口:109 服務(wù):Post Office Protocol -Version3 說(shuō)明:POP3服務(wù)器開放此端口,用于接收郵件,客戶端訪問(wèn)服務(wù)器端的郵件服務(wù)。POP3服務(wù)有許多公認(rèn)的弱點(diǎn)。關(guān)于用戶名和密碼交 換緩沖區(qū)溢出的弱點(diǎn)至少有20個(gè),這意味著入侵者可以在真正登陸前進(jìn)入系統(tǒng)。成功登陸后還有其他緩沖區(qū)溢出錯(cuò)誤。
端口:110 服務(wù):SUN公司的RPC服務(wù)所有端口 說(shuō)明:常見RPC服務(wù)有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:113 服務(wù):Authentication Service 說(shuō)明:這是一個(gè)許多計(jì)算機(jī)上運(yùn)行的協(xié)議,用于鑒別TCP連接的用戶。使用標(biāo)準(zhǔn)的這種服務(wù)可以獲得許多計(jì)算機(jī)的信息。但是它可作為許多服務(wù)的記錄器,尤其是FTP、POP、IMAP、SMTP和IRC等服務(wù)。通常如果有許多客戶通過(guò)防火墻訪問(wèn)這些服務(wù),將會(huì)看到許多這個(gè)端口的連接請(qǐng)求。記住,如果阻斷這個(gè)端口客戶端會(huì)感覺(jué)到在防火墻另一邊與E-MAIL服務(wù)器的緩慢連接。許多防火墻支持TCP連接的阻斷過(guò)程中發(fā)回RST。這將會(huì)停止緩慢的連接。
端口:119 服務(wù):Network News Transfer Protocol 說(shuō)明:NEWS新聞組傳輸協(xié)議,承載USENET通信。這個(gè)端口的連接通常是人們?cè)趯ふ襏SENET服務(wù)器。多數(shù)ISP限制,只有他們的客戶才能訪問(wèn)他們的新聞組服務(wù)器。打開新聞組服務(wù)器將允許發(fā)/讀任何人的帖子,訪問(wèn)被限制的新聞組服務(wù)器,匿名發(fā)帖或發(fā)送SPAM。
端口:135 服務(wù):Location Service 說(shuō)明:Microsoft在這個(gè)端口運(yùn)行DCE RPC end-point mapper為它的DCOM服務(wù)。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務(wù)利用計(jì)算機(jī)上的end-point mapper注冊(cè)它們的位置。遠(yuǎn)端客戶連接到計(jì)算機(jī)時(shí),它們查找end-point mapper找到服務(wù)的位置。HACKER掃描計(jì)算機(jī)的這個(gè)端口是為了找到這個(gè)計(jì)算機(jī)上運(yùn)行Exchange Server嗎?什么版本?還有些DOS攻擊直接針對(duì)這個(gè)端口。
端口:137、138、139 服務(wù):NETBIOS Name Service 說(shuō)明:其中137、138是UDP端口,當(dāng)通過(guò)網(wǎng)上鄰居傳輸文件時(shí)用這個(gè)端口。而139端口:通過(guò)這個(gè)端口進(jìn)入的連接試圖獲得NetBIOS/SMB服務(wù)。這個(gè)協(xié)議被用于windows文件和打印機(jī)共享和SAMBA。還有WINS Regisrtation也用它。
端口:143 服務(wù):Interim Mail Access Protocol v2 說(shuō)明:和POP3的安全問(wèn)題一樣,許多IMAP服務(wù)器存在有緩沖區(qū)溢出漏洞。記住:一種LINUX蠕蟲(admv0rm)會(huì)通過(guò)這個(gè)端口繁殖,因此許多這個(gè)端口的掃描來(lái)自不知情的已經(jīng)被感染的用戶。當(dāng)REDHAT在他們的LINUX發(fā)布版本中默認(rèn)允許IMAP后,這些漏洞變的很流行。這一端口還被用于IMAP2,但并不流行。
端口:161 服務(wù):SNMP 說(shuō)明:SNMP允許遠(yuǎn)程管理設(shè)備。所有配置和運(yùn)行信息的儲(chǔ)存在數(shù)據(jù)庫(kù)中,通過(guò)SNMP可獲得這些信息。許多管理員的錯(cuò)誤配置將被暴露在Internet。Cackers將試圖使用默認(rèn)的密碼public、private訪問(wèn)系統(tǒng)。他們可能會(huì)試驗(yàn)所有可能的組合。SNMP包可能會(huì)被錯(cuò)誤的指向用戶的網(wǎng)絡(luò)。
端口:177 服務(wù):X Display Manager Control Protocol 說(shuō)明:許多入侵者通過(guò)它訪問(wèn)X-windows操作臺(tái),它同時(shí)需要打開6000端口。
端口:389 服務(wù):LDAP、ILS 說(shuō)明:輕型目錄訪問(wèn)協(xié)議和NetMeeting Internet Locator Server共用這一端口。
端口:443 服務(wù):Https 說(shuō)明:網(wǎng)頁(yè)瀏覽端口,能提供加密和通過(guò)安全端口傳輸?shù)牧硪环NHTTP。
端口:456 服務(wù):[NULL] 說(shuō)明:木馬HACKERS PARADISE開放此端口。
端口:513 服務(wù):Login,remote login 說(shuō)明:是從使用cable modem或DSL登陸到子網(wǎng)中的UNIX計(jì)算機(jī)發(fā)出的廣播。這些人為入侵者進(jìn)入他們的系統(tǒng)提供了信息。 端口:544 服務(wù):[NULL] 說(shuō)明:kerberos kshell
端口:548 服務(wù):Macintosh,File Services(AFP/IP) 說(shuō)明:Macintosh,文件服務(wù)。
端口:553 服務(wù):CORBA IIOP (UDP) 說(shuō)明:使用cable modem、DSL或VLAN將會(huì)看到這個(gè)端口的廣播。CORBA是一種面向?qū)ο蟮腞PC系統(tǒng)。入侵者可以利用這些信息進(jìn)入系統(tǒng)。 端口:555 服務(wù):DSF 說(shuō)明:木馬PhAse1.0、Stealth Spy、IniKiller開放此端口。
端口:568 服務(wù):Membership DPA 說(shuō)明:成員資格 DPA。
端口:569 服務(wù):Membership MSN 說(shuō)明:成員資格 MSN。
端口:635 服務(wù):mountd 說(shuō)明:Linux的mountd Bug。這是掃描的一個(gè)流行BUG。大多數(shù)對(duì)這個(gè)端口的掃描是基于UDP的,但是基于TCP的mountd有所增加(mountd同時(shí)運(yùn)行于兩個(gè)端口)。記住mountd可運(yùn)行于任何端口(到底是哪個(gè)端口,需要在端口111做portmap查詢),只是Linux默認(rèn)端口是635,就像NFS通常運(yùn)行于2049端口。
端口:636 服務(wù):LDAP 說(shuō)明:SSL(Secure Sockets layer)
端口:666 服務(wù):Doom Id Software 說(shuō)明:木馬Attack FTP、Satanz Backdoor開放此端口
端口:993 服務(wù):IMAP 說(shuō)明:SSL(Secure Sockets layer) 端口:1001、1011 服務(wù):[NULL] 說(shuō)明:木馬Silencer、WebEx開放1001端口。木馬Doly Trojan開放1011端口。
端口:1024 服務(wù):Reserved 說(shuō)明:它是動(dòng)態(tài)端口的開始,許多程序并不在乎用哪個(gè)端口連接網(wǎng)絡(luò),它們請(qǐng)求系統(tǒng)為它們分配下一個(gè)閑置端口。基于這一點(diǎn)分配從端口1024開始。這就是說(shuō)第一個(gè)向系統(tǒng)發(fā)出請(qǐng)求的會(huì)分配到1024端口。你可以重啟機(jī)器,打開Telnet,再打開一個(gè)窗口運(yùn)行natstat -a 將會(huì)看到Telnet被分配1024端口。還有SQL session也用此端口和5000端口。
端口:1025、1033 服務(wù):1025:network blackjack 1033:[NULL] 說(shuō)明:木馬netspy開放這2個(gè)端口。
端口:1080 服務(wù):SOCKS 說(shuō)明:這一協(xié)議以通道方式穿過(guò)防火墻,允許防火墻后面的人通過(guò)一個(gè)IP地址訪問(wèn)INTERNET。理論上它應(yīng)該只允許內(nèi)部的通信向外到達(dá)INTERNET。但是由于錯(cuò)誤的配置,它會(huì)允許位于防火墻外部的攻擊穿過(guò)防火墻。WinGate常會(huì)發(fā)生這種錯(cuò)誤,在加入IRC聊天室時(shí)常會(huì)看到這種情況。
端口:1170 服務(wù):[NULL] 說(shuō)明:木馬Streaming Audio Trojan、Psyber Stream Server、Voice開放此端口。
端口:1234、1243、6711、6776 服務(wù):[NULL] 說(shuō)明:木馬SubSeven2.0、Ultors Trojan開放1234、6776端口。木馬SubSeven1.0/1.9開放1243、6711、6776端口。
端口:1245 服務(wù):[NULL] 說(shuō)明:木馬Vodoo開放此端口。
端口:1433 服務(wù):SQL 說(shuō)明:Microsoft的SQL服務(wù)開放的端口。
端口:1492 服務(wù):stone-design-1 說(shuō)明:木馬FTP99CMP開放此端口。
端口:1500 服務(wù):RPC client fixed port session queries 說(shuō)明:RPC客戶固定端口會(huì)話查詢
端口:1503 服務(wù):NetMeeting T.120 說(shuō)明:NetMeeting T.120
端口:1524 服務(wù):ingress 說(shuō)明:許多攻擊腳本將安裝一個(gè)后門SHELL于這個(gè)端口,尤其是針對(duì)SUN系統(tǒng)中Sendmail和RPC服務(wù)漏洞的腳本。如果剛安裝了防火墻就看到在這個(gè)端口上的連接企圖,很可能是上述原因。可以試試Telnet到用戶的計(jì)算機(jī)上的這個(gè)端口,看看它是否會(huì)給你一個(gè)SHELL。連接到600/pcserver也存在這個(gè)問(wèn)題。
端口:1600 服務(wù):issd 說(shuō)明:木馬Shivka-Burka開放此端口。
端口:1720 服務(wù):NetMeeting 說(shuō)明:NetMeeting H.233 call Setup。
端口:1731 服務(wù):NetMeeting Audio Call Control 說(shuō)明:NetMeeting音頻調(diào)用控制。
端口:1807 服務(wù):[NULL] 說(shuō)明:木馬SpySender開放此端口。
