这些端口在系统中的什么位置?
端口大致分为三类:
1:众所周知的端口:从0-1023,它们被绑定到一些服务。通常,这些端口的通信清楚地表明了某种服务的协议。例如,FTP服务打开端口21。
2.registrerd端口:从1024-49151,松散绑定到一些服务,也就是说很多服务绑定到这些端口,这些端口也有很多其他用途。例如,许多系统处理来自1024的动态端口。
3.动态和/或私有端口:从49512-65535,这些端口理论上不应该分配给服务。实际上,计算机通常从1024开始分配动态端口。当然也有例外。SUN的RPC端口从32768开始。
以下是常用端口列表:
港口大全
不同的端口有不同的功能。希望大家都能有所收获。
0通常用于分析操作系统。这种方法之所以有效,是因为“0”在某些系统中是无效端口,当你试图用一个普通的封闭端口连接它时,会产生不同的结果。典型扫描:使用IP地址0.0.0.0,设置ACK位并在以太网层广播。
1 tcpmux这说明有人在找SGI Irix机。Irix是实现tcpmux的主要提供者,在本系统中默认开启。Iris machine在发布时包含了几个默认的无密码账号,比如LP、Guest、UUCP、NuUCP、Demos、Tutor、Diag、EzSetup、OutofBox、4Dgifts等。许多管理员在安装后忘记删除这些帐户。于是黑客在网上搜索tcpmux,使用这些账号。
7 Echo你可以看到很多人在搜索Fraggle放大器时发送到x.x.x.0和x.x.x.255的消息。一种常见的DoS攻击是echo-loop,攻击者伪造从一台机器发送到另一台机器的UDP数据包,两台机器以最快的方式响应这些数据包。另一件事是双击在word端口建立的TCP连接。有个产品叫“共鸣全球调度”,连接DNS的这个端口,确定最近的路由。Harvest/squid缓存将从端口3130发送UDP echo:“如果缓存的source_ping on选项打开,它将向原始主机的UDP echo端口发送一个命中回复。”这将生成许多这样的数据包。
11 sysstat这是一个UNIX服务,列出了机器上所有正在运行的进程以及启动它们的原因。这就为入侵者提供了大量的信息,威胁到机器的安全,比如暴露一些已知的弱点或者账号。这类似于UNIX系统中“ps”命令的结果。再说一遍:ICMP没有端口,ICMP端口11通常是ICMP类型=11。
19 chargen这是一个只发送字符的服务。UDP版本会在收到UDP数据包后响应包含垃圾字符的数据包。当TCP连接时,它会发送包含垃圾字符的数据流,直到连接关闭。黑客可以利用IP欺骗发起DoS攻击。伪造两台chargen服务器之间的UDP数据包。因为服务器试图响应两个服务器之间的无限往返数据通信,一个chargen和一个echo会导致服务器过载。同样,fraggle DoS攻击会向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者会过载以响应这些数据。
21 ftp最常见的攻击者就是用来想办法打开“匿名”的ftp服务器。这些服务器有读写目录。黑客或破解者使用这些服务器作为节点来传输warez(私人程序)和pron。
22 ssh PcAnywhere可能会在TCP和此端口之间建立连接来查找ssh。这项服务有许多弱点。如果以特定模式配置,很多使用RSAREF库的版本都有很多漏洞。(建议在其他端口运行ssh)。还应该注意的是,ssh工具包附带了一个名为make-ssh-known-hosts的程序。它扫描整个域中的ssh主机。你有时会被使用这个程序的人无意中扫描。在另一端连接到端口5632的UDP(而不是TCP)意味着有一个搜索pcAnywhere的扫描。位交换后,5632(十六进制的0x1600)是0x0016(十进制的22)。
Telnet入侵者正在搜索远程登录UNIX的服务。在大多数情况下,入侵者会扫描该端口来查找机器上运行的操作系统。此外,利用其他技术,入侵者会找到密码。
SMTP攻击者(垃圾邮件发送者)寻找SMTP服务器来发送他们的垃圾邮件。入侵者的账户总是关闭的,他们需要拨号连接到一个高带宽的电子邮件服务器,向不同的地址发送简单的信息。SMTP服务器(尤其是sendmail)是最常用的进入系统的方式之一,因为它们必须完全暴露在互联网上,邮件的路由也很复杂(暴露+复杂=弱点)。
53 DNS黑客或破解者可能试图通过区域(TCP),欺骗DNS(UDP)或隐藏其他通信。因此,防火墙通常会过滤或记录端口53。需要注意的是,您通常会将端口53视为UDP源端口。不稳定的防火墙通常允许这种通信,并认为这是对DNS查询的回复。黑客经常使用这种方法穿透防火墙。
67 & ampBootp和DHCP UDP上的68 Bootp/DHCP:发送到广播地址255.255.255.255的大量数据经常会通过DSL和cable-modem的防火墙被看到。这些机器正在向DHCP服务器请求地址分配。黑客经常进入它们,分配一个地址,并把自己当作本地路由器来发动大量“中间人”攻击。客户端向68个端口广播请求配置(BOOTP),服务器向67个端口广播响应请求(bootpc)。此响应使用广播,因为客户端不知道可以发送的IP地址。
69 TFTP(UDP)很多服务器都是和bootp一起提供这个服务的,这样可以很容易的从系统下载启动代码。但是它们通常配置错误,并提供系统中的任何文件,如密码文件。它们也可以用于向系统写入文件。
79 finger Hacker用于获取用户信息,查询操作系统,检测已知缓冲区溢出错误,响应从自己机器到其他机器的手指扫描。
80 HTTP服务器使用的端口。
98 linuxconf这个程序提供了对linux boxen的简单管理。通过集成的HTTP服务器在端口98上提供基于Web接口的服务。它发现了许多安全问题。某些版本的setuid root信任LAN,在/tmp下创建Internet可访问的文件,LANG环境变量有缓冲区溢出。此外,因为它包含集成的服务器,所以可能存在许多典型的HTTP漏洞(缓冲区溢出、目录遍历等。).
109 POP2没有POP3出名,但是很多服务器都提供这两种服务(向后兼容)。在同一台服务器上,POP3的漏洞也存在于POP2中。
110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。至少有20个关于用户名和密码交换缓冲区溢出的弱点(这意味着黑客可以在实际登录之前进入系统)。成功登录后还有其他缓冲区溢出错误。
111 sunrpc端口映射程序rpcbind Sun RPC端口映射程序/RPCBIND .访问端口映射程序是扫描系统以查看允许哪些RPC服务的最早步骤。常见的RPC服务有:RPC.mountd、NFS、RPC.statd、RPC.csmd、RPC.ttybd、AMD等。入侵者发现了允许的RPC服务将被转移到提供该服务的特定端口测试的漏洞。请记住记录守护进程、IDS或嗅探器,您可以发现入侵者正在使用什么程序来访问,以便了解发生了什么。
113 Ident auth这是一个在许多机器上运行的协议,用于识别TCP连接的用户。使用这个标准服务,您可以获得许多机器的信息(将被黑客使用)。但是它可以作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC。通常,如果许多客户通过防火墙访问这些服务,您会看到许多对此端口的连接请求。请记住,如果您阻止此端口,客户端将会感觉到与防火墙另一侧的电子邮件服务器的连接速度很慢。许多防火墙支持在TCP连接被阻塞时将RST发送回来,以停止这种缓慢的连接。
119 NNTP新闻新闻组传输协议,承载USENET通信。当您链接到诸如news://news.hackervip.com/之类的地址时,通常会使用此端口。这个端口的连接尝试通常是人们在寻找一个USENET服务器。大多数ISP只允许他们的客户访问他们的新闻组服务器。打开新闻组服务器将允许任何人张贴/阅读、访问受限的新闻组服务器、匿名张贴或发送垃圾邮件。
135 oc-servms RPC端点映射器Microsoft在此端口上运行DCE RPC端点映射器作为其DCOM服务。这类似于UNIX 111端口的功能。使用DCOM和/或RPC的服务向机器上的端点映射器注册它们的位置。当远程客户连接到机器时,他们查询端点映射器以找到服务的位置。同样,Hacker扫描机器的这个端口,以查找诸如以下内容:Exchange Server是否正在这台机器上运行?是什么版本?此端口不仅可用于查询服务(如使用epdump),还可用于直接攻击。有一些针对此端口的DoS攻击。
137 NetBIOS名称服务nbtstat (UDP)这是防火墙管理员最常见的信息。
139 NetBIOS文件和打印共享试图通过此端口输入的连接获得NetBIOS/SMB服务。此协议用于Windows“文件和打印机共享”和SAMBA。在网上共享自己的硬盘可能是最常见的问题。大量端口从1999开始,之后逐渐减少。它在2000年再次回升。一些VBS(IE5 VisualBasic Scripting)开始将自己复制到这个端口,试图在这个端口进行复制。
143 IMAP和上面POP3的安全问题一样。很多IMAP服务器都有缓冲区溢出漏洞,在登录过程中进入。请记住:Linux蠕虫(admw0rm)将通过此端口传播,因此对此端口的许多扫描来自不知情的受感染用户。当RadHat在其Linux发行版中默认允许IMAP时,这些漏洞变得流行起来。这是自莫里斯蠕虫以来第一次广泛传播的蠕虫。此端口也用于IMAP2,但并不流行。一些报告发现,对端口0到143的一些攻击源自脚本。
SNMP (UDP)入侵者经常检测到的161端口。SNMP允许远程管理设备。所有配置和操作信息都存储在数据库中,可以通过SNMP客户端获得。许多管理员错误地配置了它们,使它们暴露在互联网上。黑客将尝试使用默认密码“public”和“private”访问系统。他们会尝试所有可能的组合。SNMP数据包可能被错误地定向到您的网络。由于配置错误,Windows机器通常使用SNMP作为HP JetDirect远程管理软件。HP对象标识符将接收SNMP数据包。新版Win98使用SNMP解析域名,你会在子网中看到这种包cable modem,DSL)来查询sysName等信息。
162 SNMP陷阱可能是由于配置错误造成的。
177 xdmcp很多黑客通过它访问X-Windows控制台,它也需要开放6000个端口。
513 rwho可能是来自使用电缆调制解调器或DSL登录的子网中的UNIX计算机的广播。这些人为黑客进入他们系统提供了非常有趣的信息。
553 CORBA IIOP (UDP)如果你使用电缆调制解调器或DSL VLAN,你会看到这个端口的广播。CORBA是一个面向对象的RPC(远程过程调用)系统。黑客将利用这些信息进入系统。
请检查600 Pcserver后门的端口1524。
有些玩script的孩子,认为自己通过修改ingreslock和pcserver文件,已经彻底打破了系统——艾伦·j·罗森塔尔。
635 mountd Linux的Mountd Bug。这是人们扫描的一个流行的Bug。这个端口的扫描大部分是基于UDP的,但是基于TCP的mountd增加了(mountd同时运行在两个端口上)。记住,mountd可以运行在任何端口上(在哪个端口上,需要在端口111做portmap查询),但是Linux默认是635端口,就像NFS一般运行在端口2049上一样。
1024很多人问这个端口是做什么的。这是动态端口的开始。很多程序不在乎用哪个端口连接网络。他们请求操作系统给他们分配“下一个空闲端口”。基于此,分配从端口1024开始。这意味着向系统请求动态端口分配的第一个程序将被分配端口1024。要验证这一点,您可以重启机器,打开Telnet,然后打开一个窗口运行“natstat -a”,您将看到Telnet被分配了端口1024。请求的程序越多,动态端口就越多。操作系统分配的端口会逐渐变大。同样,当你浏览网页时,使用“netstat”来查看它们。每个网页都需要一个新的端口。
1025,1026见1024。
1080 SOCKS是一种管道穿越防火墙的协议,允许防火墙后面的很多人通过一个IP地址访问互联网。理论上,它应该只允许内部通信到达互联网。但由于配置错误,会让防火墙外的黑客/破解者攻击穿过防火墙。或者干脆在网上回复电脑,来掩盖他们对你的直接攻击。WinGate是常见的Windows个人防火墙,经常会出现上述错误配置。加入IRC聊天室经常会看到这种情况。
1114 SQL系统本身很少扫描这个端口,但它往往是sscan脚本的一部分。
1243子7特洛伊马(TCP)
1433 MSSQL数据库服务端口
1524 ingreslock后门很多攻击脚本都会在这个端口安装一个后门外壳(尤其是那些针对Sun系统中sendmail和RPC服务的漏洞的脚本,比如statd、ttdbserver和cmsd)。如果您刚刚安装了您的防火墙,并且您看到在这个端口上的连接尝试,它可能是上述原因。您可以尝试Telnet到您机器上的这个端口,看看它是否会给您一个Shell。连接到600/pcserver也有这个问题。
2049 NFS NFS程序经常在这个端口上运行。通常情况下,你需要访问portmapper来了解这个服务运行在哪个端口上,但是大多数情况下,NFS在安装后运行在这个端口上,所以黑客/破解者可以通过关闭portmapper来直接测试这个端口。
3128 squid这是Squid HTTP代理服务器的默认端口。攻击者扫描该端口以搜索代理服务器并匿名访问互联网。您还会看到用于搜索其他代理服务器的端口:8000/8001/8080/8888。扫描该端口的另一个原因是用户正在进入聊天室。其他用户(或服务器本身)也会检查这个端口,以确定用户的机器是否支持代理。
3306 MYsql数据库服务端口
5632 pcAnywere根据您所在的位置,您将看到对此端口的多次扫描。当用户打开pcAnywere时,它会自动扫描局域网C类以找到可能的代理。骇客/骇客也会寻找开启这项服务的机器,所以您应该检查这项扫描的来源位址。一些搜索pcAnywere的扫描通常包含端口22上的UDP数据包。
6776 Sub-7神器该端口与Sub-7主端口分离,用于传输数据。例如,当控制器通过电话线控制另一台机器,而被控制的机器挂断时,您会看到这种情况。因此,当另一个人使用此IP拨入时,他们将会看到在此端口的持续连接尝试。(译者:当你看到防火墙报告这个端口的连接尝试,并不代表你已经被Sub-7控制了。)
6970 RealAudio RealAudio客户端将在6970-7170从服务器的UDP端口接收音频数据流。这是由TCP7070端口的输出控制连接设置的。
13223 PowWow PowWow是部落之声的聊天程序。它允许用户在此端口打开私人聊天连接。这个过程对于建立连接来说是非常“无礼”的。它将“驻扎”在这个TCP端口上,等待响应。这将导致类似于心跳间隔的连接尝试。如果你是拨号用户,从另一个聊天中“继承”了IP地址,就会出现这种情况:似乎有很多不同的人在测试这个端口。该协议使用“OPNG”作为其连接尝试的前四个字节。
17027导体这是一个传出连接。这是因为公司内部有人安装了有助于“adbot”的* * *享受软件。有助于* * *享受软件展示广告服务。使用这项服务的一个流行软件是Pkware。有些人试图阻止这种出站连接没有任何问题,但阻止IP地址本身会导致adbots每秒钟继续尝试连接多次,从而导致连接过载:
机器会不断尝试解析DNS name-ads.conducent.com,即IP地址为216 . 33 . 26438+00.40;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知道NetAnts用的Radiate是否也有这种现象)
27374子7特洛伊(TCP)
30100网络层特洛伊(TCP)通常,会扫描此端口以查找网络层特洛伊。
31337背孔“精英”黑客31337读作“精英”/ei 'li: t/(译者:法语,译为骨干,精华。即3=E,1=L,7=T)。如此多的后门程序在这个端口上运行。其中最著名的是背孔。曾经,这是互联网上最常见的扫描。现在它的受欢迎程度越来越低,而其他特洛伊节目却越来越受欢迎。
端口31789 Hack-a-tack上的UDP通信通常是由于“Hack-a-tack”远程访问特洛伊造成的。这个特洛伊包含一个内置的31790端口扫描器,所以任何从31789端口到317890端口的连接都意味着这个入侵已经发生。(端口31789为控制连接,端口317890为文件传输连接)。
32770~32900 RPC服务Sun Solaris的RPC服务就在这个范围内。详细来说,早期版本的Solaris(2 . 5 . 1之前)将端口映射器置于此范围内,即使低端端口被防火墙阻止,黑客/破解者也可以访问此端口。对该范围内的端口进行扫描,以查找可能受到攻击的端口映射程序或已知的RPC服务。
33434~33600 traceroute如果在此端口范围内(且仅在此范围内)看到UDP数据包,可能是由于traceroute。