電腦的端口是什么? 電腦端口是什么?
端口分為3大類
1) 公認端口(Well Known Ports):從0到1023,它們緊密綁定于一些服務(wù)。通常 這些端口的通訊明確表明了某種服 務(wù)的協(xié)議。例如:80端口實際上總是h++p通訊。
2) 注冊端口(Registered Ports):從1024到49151。它們松散地綁定于一些服 務(wù)。也就是說有許多服務(wù)綁定于這些端口,這些端口同樣用于許多其它目的。例如: 許多系統(tǒng)處理動態(tài)端口從1024左右開始。
3) 動態(tài)和/或私有端口(Dynamic and/or Private Ports):從49152到65535。 理論上,不應(yīng)為服務(wù)分配這些端口。實際上,機器通常從1024起分配動態(tài)端口。但也 有例外:SUN的RPC端口從32768開始。
本節(jié)講述通常TCP/UDP端口掃描在防火墻記錄中的信息。
記住:并不存在所謂 ICMP端口。如果你對解讀ICMP數(shù)據(jù)感興趣,請參看本文的其它部分。
0 通常用于分析* 作系統(tǒng)。這一方*能夠工作是因為在一些系統(tǒng)中“0”是無效端口,當(dāng)你試 圖使用一 種通常的閉合端口連接它時將產(chǎn)生不同的結(jié)果。一種典型的掃描:使用IP地址為 0.0.0.0,設(shè)置ACK位并在以太網(wǎng)層廣播。
1 tcpmux這顯示有人在尋找SGIIrix機 器。Irix是實現(xiàn)tcpmux的主要提供者,缺省情況下tcpmux在這種系統(tǒng)中被打開。Iris 機器在發(fā)布時含有幾個缺省的無密碼的帳戶,如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,
和4Dgifts。許多管理員安裝后忘記刪除這些帳戶。因此Hacker們在Internet上搜索 tcpmux 并利用這些帳戶。
7Echo你能看到許多人們搜索Fraggle放大器時,發(fā)送到x.x.x.0和x.x.x.255的信 息。常見的一種DoS攻擊是echo循環(huán)(echo-loop),攻擊者偽造從一個機器發(fā)送到另 一個UDP數(shù)據(jù)包,而兩個機器分別以它們最快的方式回應(yīng)這些數(shù)據(jù)包。(參見 Chargen) 另一種東西是由DoubleClick在詞端口建立的TCP連接。有一種產(chǎn)品叫做 Resonate Global Dispatch”,它與DNS的這一端口連接以確定最近的路 由。Harvest/squid cache將從3130端口發(fā)送UDPecho:“如果將cache的 source_ping on選項打開,它將對原始主機的UDP echo端口回應(yīng)一個HIT reply。”這將會產(chǎn)生許多這類數(shù)據(jù)包。
11 sysstat這是一種UNIX服務(wù),它會列出機器上所有正在運行的進程以及是什么啟動 了這些進程。這為入侵者提供了許多信息而威脅機器的安全,如暴露已知某些弱點或 帳戶的程序。這與UNIX系統(tǒng)中“ps”命令的結(jié)果相似再說一遍:ICMP沒有端口,ICMP port 11通常是ICMPtype=1119 chargen 這是一種僅僅發(fā)送字符的服務(wù)。UDP版本將 會在收到UDP包后回應(yīng)含有垃圾字符的包。TCP連
接時,會發(fā)送含有垃圾字符的數(shù)據(jù)流知道連接關(guān)閉。Hacker利用IP欺騙可以發(fā)動DoS 攻擊偽造兩 個chargen服務(wù)器之間的UDP由于服務(wù)器企圖回應(yīng)兩個服務(wù)器之間的無限 的往返數(shù)據(jù)通訊一個chargen和echo將導(dǎo)致服務(wù)器過載。同樣fraggle DoS攻擊向目標(biāo) 地址的這個端口廣播一個帶有偽造受害者IP的數(shù)據(jù)包,受害者為了回應(yīng)這些數(shù)據(jù)而過 載。
21 ftp最常見的攻擊者用于尋找打開“anonymous”的ftp服務(wù)器的方*。這些服務(wù)器 帶有可讀寫的目錄。Hackers或tackers利用這些服務(wù)器作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜索引擎分類)的節(jié)點。
22 sshPcAnywhere建立TCP和這一端口的連接可能是為了尋找ssh。這一服務(wù)有許多弱 點。如果配置成特定的模式,許多使用RSAREF庫的版本有不少漏洞。(建議在其它端 口運行ssh)還應(yīng)該注意的是ssh工具包帶有一個稱為ake-ssh-known-hosts的程序。 它會掃描整個域的ssh主機。你有時會被使用這一程序的人無意中掃描到。UDP(而不 是TCP)與另一端的5632端口相連意味著存在搜索pcAnywhere的掃描。5632 (十六進 制的0x1600)位交換后是0x0016(使進制的22)。
23 Telnet入侵者在搜索遠程登陸UNIX的服務(wù)。大多數(shù)情況下入侵者掃描這一端口是 為了找到機器運行的*作系統(tǒng)。此外使用其它技術(shù),入侵者會找到密碼。
25 smtp攻擊者(spammer)尋找SMTP服務(wù)器是為了傳遞他們的spam。入侵者的帳戶總 被關(guān)閉,他們需要撥號連接到高帶寬的e-mail服務(wù)器上,將簡單的信息傳遞到不同的 地址。SMTP服務(wù)器(尤其是sendmail)是進入系統(tǒng)的最常用方*之一,因為它們必須 完整的暴露于Internet且郵件的路由是復(fù)雜的(暴露+復(fù)雜=弱點)。
53 DNSHacker或crackers可能是試圖進行區(qū)域傳遞(TCP),欺騙DNS(UDP)或隱藏 其它通訊。因此防火墻常常過濾或記錄53端口。 需要注意的是你常會看到53端口做為 UDP源端口。不穩(wěn)定的防火墻通常允許這種通訊并假設(shè)這是對DNS查詢的回復(fù)。Hacker 常使用這種方*穿透防火墻。
67和68 Bootp和DHCPUDP上的Bootp/DHCP:通過DSL和cable-modem的防火墻常會看 見大量發(fā)送到廣播地址255.255.255.255的數(shù)據(jù)。這些機器在向DHCP服務(wù)器請求一個 地址分配。Hacker常進入它們分配一個地址把自己作為局部路由器而發(fā)起大量的“中 間人”(man-in-middle)攻擊。客戶端向68端口(bootps)廣播請求配置,服務(wù)器 向67端口(bootpc)廣播回應(yīng)請求。這種回應(yīng)使用廣播是因為客戶端還不知道可以發(fā) 送的IP地址。69 TFTP(UDP) 許多服務(wù)器與bootp一起提供這項服務(wù),便于從系統(tǒng)下載 啟動代碼。但是它們常常錯誤配置而從系統(tǒng)提供任何文件,如密碼文件。它們也可用 于向系統(tǒng)寫入文件
79 finger Hacker用于獲得用戶信息,查詢*作系統(tǒng),探測已知的緩沖區(qū)溢出錯誤, 回應(yīng)從自己機器到其它機器finger掃描。
98 linuxconf 這個程序提供linuxboxen的簡單管理。通過整合的h++p服務(wù)器在98端 口提供基于Web界面的服務(wù)。它已發(fā)現(xiàn)有許多安全問題。一些版本setuidroot,信任 局域網(wǎng),在/tmp下建立Internet可訪問的文件,LANG環(huán)境變量有緩沖區(qū)溢出。 此外 因為它包含整合的服務(wù)器,許多典型的h++p漏洞可
能存在(緩沖區(qū)溢出,歷遍目錄等)109 POP2并不象POP3那樣有名,但許多服務(wù)器同 時提供兩種服務(wù)(向后兼容)。在同一個服務(wù)器上POP3的漏洞在POP2中同樣存在。
110 POP3用于客戶端訪問服務(wù)器端的郵件服務(wù)。POP3服務(wù)有許多公認的弱點。關(guān)于用 戶名和密碼交換緩沖區(qū)溢出的弱點至少有20個(這意味著Hacker可以在真正登陸前進 入系統(tǒng))。成功登陸后還有其它緩沖區(qū)溢出錯誤。
111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。訪問portmapper是 掃描系統(tǒng)查看允許哪些RPC服務(wù)的最早的一步。常 見RPC服務(wù)有:pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發(fā)現(xiàn)了允許的RPC服務(wù)將轉(zhuǎn)向提 供 服務(wù)的特定端口測試漏洞。記住一定要記錄線路中的
daemon, IDS, 或sniffer,你可以發(fā)現(xiàn)入侵者正使用什么程序訪問以便發(fā)現(xiàn)到底發(fā)生 了什么。
113 Ident auth .這是一個許多機器上運行的協(xié)議,用于鑒別TCP連接的用戶。使用 標(biāo)準(zhǔn)的這種服務(wù)可以獲得許多機器的信息(會被Hacker利用)。但是它可作為許多服 務(wù)的記錄器,尤其是FTP, POP, IMAP, SMTP和IRC等服務(wù)。通常如果有許多客戶通過 防火墻訪問這些服務(wù),你將會看到許多這個端口的連接請求。記住,如果你阻斷這個 端口客戶端會感覺到在防火墻另一邊與e-mail服務(wù)器的緩慢連接。許多防火墻支持在 TCP連接的阻斷過程中發(fā)回T,著將回停止這一緩慢的連接。
119 NNTP news新聞組傳輸協(xié)議,承載USENET通訊。當(dāng)你鏈接到諸 如:news:p.security.firewalls/. 的地址時通常使用這個端口。這個端口的連接 企圖通常是人們在尋找USENET服務(wù)器。多數(shù)ISP限制只有他們的客戶才能訪問他們的新 聞組服務(wù)器。打開新聞組服務(wù)器將允許發(fā)/讀任何人的帖子,訪問被限制的新聞組服務(wù) 器,匿名發(fā)帖或發(fā)送spam。
135 oc-serv MS RPC end-point mapper Microsoft在這個端口運行DCE RPC end- point mapper為它的DCOM服務(wù)。這與UNIX 111端口的功能很相似。使用DCOM和/或 RPC的服務(wù)利用 機器上的end-point mapper注冊它們的位置。遠
端客戶連接到機器時,它們查詢end-point mapper找到服務(wù)的位置。同樣Hacker掃描 機器的這個端口是為了找到諸如:這個機器上運 行Exchange Server嗎?是什么版 本? 這個端口除了被用來查詢服務(wù)(如使用epdump)還可以被用于直接攻擊。有一些 DoS攻 擊直接針對這個端口。
137 NetBIOS name service nbtstat (UDP)這是防火墻管理員最常見的信息,請仔 細閱讀文章后面的NetBIOS一節(jié) 139 NetBIOS File and Print Sharing
通過這個端口進入的連接試圖獲得NetBIOS/SMB服務(wù)。這個協(xié)議被用于Windows“文件 和打印機共享”和SAMBA。在Internet上共享自己的硬盤是可能是最常見的問題。 大 量針對這一端口始于1999,后來逐漸變少。2000年又有回升。一些VBS(IE5 VisualBasicScripting)開始將它們自己拷貝到這個端口,試圖在這個端口繁殖。
143 IMAP和上面POP3的安全問題一樣,許多IMAP服務(wù)器有緩沖區(qū)溢出漏洞運行登陸過 程中進入。記住:一種Linux蠕蟲(admw0rm)會通過這個端口繁殖,因此許多這個端 口的掃描來自不知情的已被感染的用戶。當(dāng)RadHat在他們的Linux發(fā)布版本中默認允 許IMAP后,這些漏洞變得流行起來。Morris蠕蟲以后這還是第一次廣泛傳播的蠕蟲。 這一端口還被用于IMAP2,但并不流行。 已有一些報道發(fā)現(xiàn)有些0到143端口的攻擊源 于腳本。
161 SNMP(UDP)入侵者常探測的端口。SNMP允許遠程管理設(shè)備。所有配置和運行信息 都儲存在數(shù)據(jù)庫中,通過SNMP客獲得這些信息。許多管理員錯誤配置將它們暴露于 Internet。Crackers將試圖使用缺省的密碼“public”“private”訪問系統(tǒng)。他們 可能會試驗所有可能的組合。 SNMP包可能會被錯誤的指向你的網(wǎng)絡(luò)。Windows機器常 會因為錯誤配置將HP JetDirect rmote management軟件使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網(wǎng) 內(nèi)廣播(cable modem, DSL)查詢sysName和其它信
息。
162 SNMP trap 可能是由于錯誤配置
177 xdmcp 許多Hacker通過它訪問X-Windows控制臺,它同時需要打開6000端口。
513 rwho 可能是從使用cable modem或DSL登陸到的子網(wǎng)中的UNIX機器發(fā)出的廣播。 這些人為Hacker進入他們的系統(tǒng)提供了很有趣的信息
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你將會看到這個端口 的廣播。CORBA是一種面向?qū)ο蟮腞PC(remote procedure call)系統(tǒng)。Hacker會利 用這些信息進入系統(tǒng)。 600 Pcserver backdoor 請查看1524端口一些玩script的孩 子認為他們通過修改ingreslock和pcserver文件已經(jīng)完全攻破了系統(tǒng)-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數(shù)對這個端 口的掃描是基于UDP的,但基于TCP 的mountd有所增加(mountd同時運行于兩個端 口)。記住,mountd可運行于任何端口(到底在哪個端口,需要在端口111做portmap 查詢),只是Linux默認為635端口,就象NFS通常運行于2049
1024 許多人問這個 端口是干什么的。它是動態(tài)端口的開始。許多程序并不在乎用哪個端口連接網(wǎng)絡(luò),它 們請求*作系統(tǒng)為它們分配“下一個閑置端口”。基于這一點分配從端口1024開始。 這意味著第一個向系統(tǒng)請求分配動態(tài)端口的程序?qū)⒈环峙涠丝?024。為了驗證這一 點,你可以重啟機器,打開Telnet,再打開一個窗口運行“natstat -a”,你將會看 到Telnet被分配1024端口。請求的程序越多,動態(tài)端口也越多。*作系統(tǒng)分配的端口 將逐漸變大。再來一遍,當(dāng)你瀏覽Web頁時用“netstat”查看,每個Web頁需要一個 新端口。 ?ersion 0.4.1, June 20, 2000 h++p://www.robertgraham.com/ pubs/firewall-seen.html Copyright 1998-2000 by Robert Graham
(mailto:firewall-seen1@robertgraham.com.
All rights reserved. This document may only be reproduced (whole orin part) for non-commercial purposes. All reproductions must
contain this copyright notice and must not be altered, except by
permission of the author.
1025 參見1024
1026參見1024
1080 SOCKS 這一協(xié)議以管道方式穿過防火墻,允許防火墻后面的許多人通過一個IP 地址訪問Internet。理論上它應(yīng)該只
允許內(nèi)部的通信向外達到Internet。但是由于錯誤的配置,它會允許Hacker/Cracker 的位于防火墻外部的攻
擊穿過防火墻。或者簡單地回應(yīng)位于Internet上的計算機,從而掩飾他們對你的直接 攻擊。
WinGate是一種常見的Windows個人防火墻,常會發(fā)生上述的錯誤配置。在加入IRC聊 天室時常會看到這種情況。
1114 SQL 系統(tǒng)本身很少掃描這個端口,但常常是sscan腳本的一部分。
1243 Sub-7木馬(TCP)參見Subseven部分。
1524 ingreslock后門 許多攻擊腳本將安裝一個后門Sh*ll 于這個端口(尤其是那些 針對Sun系統(tǒng)中Sendmail和RPC服務(wù)漏洞的腳本,如statd,ttdbserver和cmsd)。如 果你剛剛安裝了你的防火墻就看到在這個端口上的連接企圖,很可能是上述原因。你 可以試試Telnet到你的機器上的這個端口,看看它是否會給你一個Sh*ll 。連接到 600/pcserver也存在這個問題。
2049 NFS NFS程序常運行于這個端口。通常需要訪問portmapper查詢這個服務(wù)運行于 哪個端口,但是大部分情況是安裝后NFS杏謖飧齠絲冢?acker/Cracker因而可以閉開 portmapper直接測試這個端口。
3128 squid 這是Squid h++p代理服務(wù)器的默認端口。攻擊者掃描這個端口是為了搜 尋一個代理服務(wù)器而匿名訪問Internet。你也會看到搜索其它代理服務(wù)器的端口:
000/8001/8080/8888。掃描這一端口的另一原因是:用戶正在進入聊天室。其它用戶 (或服務(wù)器本身)也會檢驗這個端口以確定用戶的機器是否支持代理。請查看5.3節(jié)。
5632 pcAnywere你會看到很多這個端口的掃描,這依賴于你所在的位置。當(dāng)用戶打開 pcAnywere時,它會自動掃描局域網(wǎng)C類網(wǎng)以尋找可能得代理(譯者:指agent而不是 proxy)。Hacker/cracker也會尋找開放這種服務(wù)的機器,所以應(yīng)該查看這種掃描的 源地址。一些搜尋pcAnywere的掃描常包含端口22的UDP數(shù)據(jù)包。參見撥號掃描。
6776 Sub-7 artifact 這個端口是從Sub-7主端口分離出來的用于傳送數(shù)據(jù)的端口。 例如當(dāng)控制者通過電話線控制另一臺機器,而被控機器掛斷時你將會看到這種情況。 因此當(dāng)另一人以此IP撥入時,他們將會看到持續(xù)的,在這個端口的連接企圖。(譯 者:即看到防火墻報告這一端口的連接企圖時,并不表示你已被Sub-7控制。)
6970 RealAudio客戶將從服務(wù)器的6970-7170的UDP端口接收音頻數(shù)據(jù)流。這是由TCP7070 端口外向控制連接設(shè)置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允許 用戶在此端口打開私人聊天的接。這一程序?qū)τ诮⑦B接非常具有“進攻性”。它 會“駐扎”在這一TCP端口等待回應(yīng)。這造成類似心跳間隔的連接企圖。如果你是一個 撥號用戶,從另一個聊天者手中“繼承”了IP地址這種情況就會發(fā)生:好象很多不同 的人在測試這一端口。這一協(xié)議使用“OPNG”作為其連接企圖的前四個字節(jié)。
17027 Conducent這是一個外向連接。這是由于公司內(nèi)部有人安裝了帶有Conducent "adbot" 的共享軟件。
Conducent "adbot"是為共享軟件顯示廣告服務(wù)的。使用這種服務(wù)的一種流行的軟件 是Pkware。有人試驗:阻斷這一外向連接不會有任何問題,但是封掉IP地址本身將會 導(dǎo)致adbots持續(xù)在每秒內(nèi)試圖連接多次而導(dǎo)致連接過載:
機器會不斷試圖解析DNS名—ads.conducent.com,即IP地址216.33.210.40 ;
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者:不 知NetAnts使用的Radiate是否也有這種現(xiàn)象)
27374 Sub-7木馬(TCP) 參見Subseven部分。
30100 NetSphere木馬(TCP) 通常這一端口的掃描是為了尋找中了NetSphere木馬。
31337 Back Orifice “eliteHacker中31337讀做“elite”/ei’li:t/(譯者:* 語,譯為中堅力量,精華。即 3=E, 1=L, 7=T)。因此許多后門程序運行于這一端 口。其中最有名的是Back Orifice。曾經(jīng)一段時間內(nèi)這是Internet上最常見的掃描。 現(xiàn)在它的流行越來越少,其它的 木馬程序越來越流行。
31789 Hack-a-tack 這一端口的UDP通訊通常是由于"Hack-a-tack"遠程訪問木馬 (RAT,Remote Access Trojan)。這種木馬包含內(nèi)置的31790端口掃描器,因此任何 31789端口到317890端口的連 接意味著已經(jīng)有這種入侵。(31789端口是控制連 接,317890端口是文件傳輸連接)
32770~32900 RPC服務(wù) Sun Solaris的RPC服務(wù)在這一范圍內(nèi)。詳細的說:早期版本 的Solaris(2.5.1之前)將 portmapper置于這一范圍內(nèi),即使低端口被防火墻封閉 仍然允許Hacker/cracker訪問這一端口。 掃描這一范圍內(nèi)的端口不是為了尋找 portmapper,就是為了尋找可被攻擊的已知的RPC服務(wù)。
33434~33600 traceroute 如果你看到這一端口范圍內(nèi)的UDP數(shù)據(jù)包(且只在此范圍 之內(nèi))則可能是由于traceroute。參見traceroute分。
41508 Inoculan早期版本的Inoculan會在子網(wǎng)內(nèi)產(chǎn)生大量的UDP通訊用于識別彼此。 參見
h++p://www.circlemud.org/~jelson/software/udpsend.html
h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留端 口,所以它們幾乎不會是源端口。但有一些例外,例如來自NAT機器的連接。 常看見 緊接著1024的端口,它們是系統(tǒng)分配給那些并不在乎使用哪個端口連接的應(yīng)用程序 的“動態(tài)端口”。 Server Client 服務(wù)描述
1-5/tcp 動態(tài) FTP 1-5端口意味著sscan腳本
20/tcp 動態(tài) FTP FTP服務(wù)器傳送文件的端口
53 動態(tài) FTP DNS從這個端口發(fā)送UDP回應(yīng)。你也可能看見源/目標(biāo)端口的TCP連 接。
123 動態(tài) S/NTP 簡單網(wǎng)絡(luò)時間協(xié)議(S/NTP)服務(wù)器運行的端口。它們也會發(fā)送 到這個端口的廣播。
27910~27961/udp 動態(tài) Quake Quake或Quake引擎驅(qū)動的游戲在這一端口運行其 服務(wù)器。因此來自這一端口范圍的UDP包或發(fā)送至這一端口范圍的UDP包通常是游戲。
61000以上 動態(tài) FTP 61000以上的端口可能來自Linux NAT服務(wù)器
端口大全(中文)
1 tcpmux TCP Port Service Multiplexer 傳輸控制協(xié)議端口服務(wù)多路開關(guān)選擇器
2 compressnet Management Utility compressnet 管理實用程序
3 compressnet Compression Process 壓縮進程
5 rje Remote Job Entry 遠程作業(yè)登錄
7 echo Echo 回顯
9 discard Discard 丟棄
11 systat Active Users 在線用戶
13 daytime Daytime 時間
17 qotd Quote of the Day 每日引用
18 msp Message Send Protocol 消息發(fā)送協(xié)議
19 chargen Character Generator 字符發(fā)生器
20 ftp-data File Transfer [Default Data] 文件傳輸協(xié)議(默認數(shù)據(jù)口)
21 ftp File Transfer [Control] 文件傳輸協(xié)議(控制)
22 ssh SSH Remote Login Protocol SSH遠程登錄協(xié)議
23 telnet Telnet 終端仿真協(xié)議
24 ? any private mail system 預(yù)留給個人用郵件系統(tǒng)
25 smtp Simple Mail Transfer 簡單郵件發(fā)送協(xié)議
27 nsw-fe NSW User System FE NSW 用戶系統(tǒng)現(xiàn)場工程師
29 msg-icp MSG ICP MSG ICP
31 msg-auth MSG Authentication MSG驗證
33 dsp Display Support Protocol 顯示支持協(xié)議
35 ? any private printer server 預(yù)留給個人打印機服務(wù)
37 time Time 時間
38 rap Route Access Protocol 路由訪問協(xié)議
39 rlp Resource Location Protocol 資源定位協(xié)議
41 graphics Graphics 圖形
42 nameserver WINS Host Name Server WINS 主機名服務(wù)
43 nicname Who Is "綽號" who is服務(wù)
44 mpm-flags MPM FLAGS Protocol MPM(消息處理模塊)標(biāo)志協(xié)議
45 mpm Message Processing Module [recv] 消息處理模塊
46 mpm-snd MPM [default send] 消息處理模塊(默認發(fā)送口)
47 ni-ftp NI FTP &
在Internet上,各主機間通過TCP/TP協(xié)議發(fā)送和接收數(shù)據(jù)報,各個數(shù)據(jù)報根據(jù)其目的主機的ip地址來進行互聯(lián)網(wǎng)絡(luò)中的路由選擇。可見,把數(shù)據(jù)報順利的傳送到目的主機是沒有問題的。問題出在哪里呢?我們知道大多數(shù)操作系統(tǒng)都支持多程序(進程)同時運行,那么目的主機應(yīng)該把接收到的數(shù)據(jù)報傳送給眾多同時運行的進程中的哪一個呢?顯然這個問題有待解決,端口機制便由此被引入進來。
本地操作系統(tǒng)會給那些有需求的進程分配協(xié)議端口(protocal port,即我們常說的端口),每個協(xié)議端口由一個正整數(shù)標(biāo)識,如:80,139,445,等等。當(dāng)目的主機接收到數(shù)據(jù)報后,將根據(jù)報文首部的目的端口號,把數(shù)據(jù)發(fā)送到相應(yīng)端口,而與此端口相對應(yīng)的那個進程將會領(lǐng)取數(shù)據(jù)并等待下一組數(shù)據(jù)的到來。說到這里,端口的概念似乎仍然抽象,那么繼續(xù)跟我來,別走開。
端口其實就是隊,操作系統(tǒng)為各個進程分配了不同的隊,數(shù)據(jù)報按照目的端口被推入相應(yīng)的隊中,等待被進程取用,在極特殊的情況下,這個隊也是有可能溢出的,不過操作系統(tǒng)允許各進程指定和調(diào)整自己的隊的大小。
不光接受數(shù)據(jù)報的進程需要開啟它自己的端口,發(fā)送數(shù)據(jù)報的進程也需要開啟端口,這樣,數(shù)據(jù)報中將會標(biāo)識有源端口,以便接受方能順利的回傳數(shù)據(jù)報到這個端口。
端口的分類:
在Internet上,按照協(xié)議類型分類,端口被分為TCP端口和UDP端口兩類,雖然他們都用正整數(shù)標(biāo)識,但這并不會引起歧義,比如TCP的80端口和UDP的80端口,因為數(shù)據(jù)報在標(biāo)明端口的同時,還將標(biāo)明端口的類型。
從端口的分配來看,端口被分為固定端口和動態(tài)端口兩大類(一些教程還將極少被用到的高端口劃分為第三類:私有端口):
固定端口(0-1023):
使用集中式管理機制,即服從一個管理機構(gòu)對端口的指派,這個機構(gòu)負責(zé)發(fā)布這些指派。由于這些端口緊綁于一些服務(wù),所以我們會經(jīng)常掃描這些端口來判斷對方是否開啟了這些服務(wù),如TCP的21(ftp),80(http),139(netbios),UDP的7(echo),69(tftp)等等一些大家熟知的端口;
動態(tài)端口(1024-49151):
這些端口并不被固定的捆綁于某一服務(wù),操作系統(tǒng)將這些端口動態(tài)的分配給各個進程,同一進程兩次分配有可能分配到不同的端口。不過一些應(yīng)用程序并不愿意使用操作系統(tǒng)分配的動態(tài)端口,他們有其自己的‘商標(biāo)性’端口,如oicq客戶端的4000端口,木馬冰河的7626端口等都是固定而出名的。
端口在入侵中的作用:
有人曾經(jīng)把服務(wù)器比作房子,而把端口比作通向不同房間(服務(wù))的門,如果不考慮細節(jié)的話,這是一個不錯的比喻。入侵者要占領(lǐng)這間房子,勢必要破門而入(物理入侵另說),那么對于入侵者來說,了解房子開了幾扇門,都是什么樣的門,門后面有什么東西就顯得至關(guān)重要。
入侵者通常會用掃描器對目標(biāo)主機的端口進行掃描,以確定哪些端口是開放的,從開放的端口,入侵者可以知道目標(biāo)主機大致提供了哪些服務(wù),進而猜測可能存在的漏洞,因此對端口的掃描可以幫助我們更好的了解目標(biāo)主機,而對于管理員,掃描本機的開放端口也是做好安全防范的第一步。
常見端口的介紹
由于本人知識有限,在這里只介紹一些淺顯的內(nèi)容。
1)21 ftp
此端口開放表示服務(wù)器提供了FTP服務(wù),入侵者通常會掃描此端口并判斷是否允許匿名登陸,如果能找到可寫目錄,還可以上傳一些黑客程序做近一步入侵。要想關(guān)閉此端口,需要關(guān)閉FTP服務(wù)。
2)23 Telnet
此端口開放表示服務(wù)器提供了遠程登陸服務(wù),如果你有管理員的用戶名和密碼,可以通過這個服務(wù)來完全控制主機(不過要先搞定NTLM身份認證),獲得一個命令行下的shell。許多入侵者喜歡開啟這個服務(wù)作為后門。要想關(guān)閉此端口,需要關(guān)閉Telnet服務(wù)。
3)25 smtp
此端口開放表示服務(wù)器提供了SMTP服務(wù),一些不支持身份驗證的服務(wù)器允許入侵者發(fā)送郵件到任何地點,SMTP服務(wù)器(尤其是sendmail)也是進入系統(tǒng)的最常用方法之一。要想關(guān)閉此端口,需要關(guān)閉SMTP服務(wù)。
4)69 TFTP(UDP)
此端口開放表示服務(wù)器提供了TFTP服務(wù),它允許從服務(wù)器下載文件,也可以寫入文件,如果管理員錯誤配置,入侵者甚至可以下載密碼文件。許多入侵者通過在自己機器運行此服務(wù)來傳文件到目標(biāo)機器,從而實現(xiàn)文件的傳輸。要想關(guān)閉此端口,需要關(guān)閉TFTP服務(wù)。
5)79 finger
用于獲得用戶信息,查詢操作系統(tǒng),探測已知的緩沖區(qū)溢出錯誤, 回應(yīng)從自己機器到其它機器finger掃描。
6)80 http
此端口開放表示服務(wù)器提供了HTTP服務(wù),可以讓訪問者瀏覽其網(wǎng)頁等,大部分針對IIS服務(wù)器的溢出攻擊都是通過這個端口的,可以說是入侵者最常攻擊的一個端口了。要想關(guān)閉此端口,需要關(guān)閉HTTP服務(wù)。
7)110 POP3
用于客戶端訪問服務(wù)器端的郵件服務(wù)。POP3服務(wù)有許多公認的弱點。關(guān)于用戶名和密碼交換緩沖區(qū)溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統(tǒng),成功登陸后還有其它緩沖區(qū)溢出錯誤。
8)TCP的139和445
許多人都很關(guān)心這兩個端口,那我就來詳細的介紹一下吧:
首先我們來了解一些基礎(chǔ)知識:
1 SMB:(Server Message Block) Windows協(xié)議族,用于文件打印共享的服務(wù);
2 NBT:(NETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口實現(xiàn)基于TCP/IP協(xié)議的NETBIOS網(wǎng)絡(luò)互聯(lián)。
3 在WindowsNT中SMB基于NBT實現(xiàn),即使用139(TCP)端口;而在Windows2000中,SMB除了基于NBT實現(xiàn),還可以直接通過445端口實現(xiàn)。
有了這些基礎(chǔ)知識,我們就可以進一步來討論訪問網(wǎng)絡(luò)共享對端口的選擇了:
對于win2000客戶端(發(fā)起端)來說:
1 如果在允許NBT的情況下連接服務(wù)器時,客戶端會同時嘗試訪問139和445端口,如果445端口有響應(yīng),那么就發(fā)送RST包給139端口斷開連接,用455端口進行會話,當(dāng)445端口無響應(yīng)時,才使用139端口,如果兩個端口都沒有響應(yīng),則會話失敗;
2 如果在禁止NBT的情況下連接服務(wù)器時,那么客戶端只會嘗試訪問445端口,如果445端口無響應(yīng),那么會話失敗。
對于win2000服務(wù)器端來說:
1 如果允許NBT, 那么UDP端口137, 138, TCP 端口 139, 445將開放(LISTENING);
2 如果禁止NBT,那么只有445端口開放。
我們建立的ipc$會話對端口的選擇同樣遵守以上原則。顯而易見,如果遠程服務(wù)器沒有監(jiān)聽139或445端口,ipc$會話是無法建立的。那么如何關(guān)閉2000上這兩個端口呢?
139端口可以通過禁止NBT來屏蔽
本地連接-TCP/IT屬性-高級-WINS-選‘禁用TCP/IT上的NETBIOS’一項
445端口可以通過修改注冊表來屏蔽
添加一個鍵值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重啟機器
9)3389 Terminal Services
此端口開放表示服務(wù)器提供了終端服務(wù),如果你獲得了管理員的用戶名和密碼,那么你可以通過這個服務(wù)在圖形界面下完全控制主機,這的確是一件令人向往的事情,但如果你得不到密碼也找不到輸入法漏洞,你會感到束手無策。要想關(guān)閉此端口,需要關(guān)閉終端服務(wù)。
端口的相關(guān)工具
1 netstat -an
的確,這并不是一個工具,但他是查看自己所開放端口的最方便方法,在cmd中輸入這個命令就可以了。如下:
C:\>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1027 *:*
UDP 127.0.0.1:1029 *:*
UDP 127.0.0.1:1030 *:*
這是我沒上網(wǎng)的時候機器所開的端口,兩個135和445是固定端口,其余幾個都是動態(tài)端口。
2 fport.exe和mport.exe
這也是兩個命令行下查看本地機器開放端口的小程序,其實與netstat -an這個命令大同小異,只不過它能夠顯示打開端口的進程,信息更多一些而已,如果你懷疑自己的奇怪端口可能是木馬,那就用他們查查吧。
3 activeport.exe(也稱aports.exe)
還是用來查看本地機器開放端口的東東,除了具有上面兩個程序的全部功能外,他還有兩個更吸引人之處:圖形界面以及可以關(guān)閉端口。這對菜鳥來說是個絕對好用的東西,推薦使用喔。
4 superscan3.0
它的大名你不會沒聽說過吧,純端口掃描類軟件中的NO.1,速度快而且可以指定掃描的端口,不多說了,絕對必備工具。
保護好自己的端口:
剛接觸網(wǎng)絡(luò)的朋友一般都對自己的端口很敏感,總怕自己的電腦開放了過多端口,更怕其中就有后門程序的端口,但由于對端口不是很熟悉,所以也沒有解決辦法,上起網(wǎng)來提心吊膽。其實保護自己的端口并不是那么難,只要做好下面幾點就行了:
1 查看:經(jīng)常用命令或軟件查看本地所開放的端口,看是否有可疑端口;
2 判斷:如果開放端口中有你不熟悉的,應(yīng)該馬上查找端口大全或木馬常見端口等資料(網(wǎng)上多的很),看看里面對你那個可疑端口的作用描述,或者通過軟件查看開啟此端口的進程來進行判斷;
3 關(guān)閉:如果真是木馬端口或者資料中沒有這個端口的描述,那么應(yīng)該關(guān)閉此端口,你可以用防火墻來屏蔽此端口,也可以用本地連接-TCP/IP-高級-選項-TCP/IP篩選,啟用篩選機制來篩選端口;
函貨15956871626: 電腦的pc端口是什么 -
蚌山區(qū)柔性: ______ 電腦端口一般是指某些服務(wù)的端口,如ftp端口21或http服務(wù)端口
函貨15956871626: 問一很菜的問題:電腦端口是什么?經(jīng)常聽說的80端口8080端口是?
蚌山區(qū)柔性: ______ 在Internet上,各主機間通過TCP/TP協(xié)議發(fā)送和接收數(shù)據(jù)報,各個數(shù)據(jù)報根據(jù)其目的... 本地操作系統(tǒng)會給那些有需求的進程分配協(xié)議端口(protocal port,即我們常說的端口...
函貨15956871626: 電腦端口是做什么的?請詳細介紹一下 -
蚌山區(qū)柔性: ______ 在上網(wǎng)的時候,我們經(jīng)常會看到“端口”這個詞,也會經(jīng)常用到端口號,比如在FTP地址后面增加的“ 21”,21就表示端口號.那么端口到底是什么意思 呢?怎樣查看端口號呢?一個端口是否成為網(wǎng)絡(luò)惡意攻擊的大門呢?,我們應(yīng)該如何面對形...
函貨15956871626: 上網(wǎng)的時候計算機的網(wǎng)絡(luò) 端口是什么意思 -
蚌山區(qū)柔性: ______ 網(wǎng)絡(luò)水晶頭插入的地方,是指網(wǎng)卡的端口.看一下電腦后面就明白了,一般有兩個指示燈,其中一個接收數(shù)據(jù)時,會閃爍.
函貨15956871626: 計算機端口是個什么意思如何解釋 -
蚌山區(qū)柔性: ______ 在開始講什么是端口之前,我們先來聊一聊什么是 port 呢?常常在網(wǎng)絡(luò)上聽說『我的主機開了多少的 port ,會不會被入侵呀!?』或者是說『開那個 port 會比較安全?又,我的服務(wù)應(yīng)該對應(yīng)什么 port 呀!?』呵呵!很神奇吧!怎么一部主機上...
函貨15956871626: 電腦的服務(wù)器地址和服務(wù)端口指的是什么?
蚌山區(qū)柔性: ______ TCP/IP協(xié)議集成到操作系統(tǒng)的內(nèi)核中,這就相當(dāng)于在操作系統(tǒng)中引入了一種新的輸入/輸出接口技術(shù),因為在TCP/IP協(xié)議中引入了一種稱之為Socket(套接字)應(yīng)用程序接口
函貨15956871626: 計算機端口是什么?
蚌山區(qū)柔性: ______ 你改下后一個計算機“端口”是英文port的義譯,可以認為是計算機與外界通訊交流的出口.按端口號可分為3大類:公認端口(Well Known Ports);注冊端口(Registered Ports);動態(tài)和/或私有端口(Dynamic and/or Private Ports)字打過去問一下
函貨15956871626: 電腦中的端口是什么意思!有什么用途?
蚌山區(qū)柔性: ______ 端口就是電腦上所有與外界相連接的接口!用途就是連接我們的鍵盤 ,鼠標(biāo),顯示器,還有等等許多設(shè)備.
函貨15956871626: 電腦的端口有什么用,怎么看自己電腦的端口
蚌山區(qū)柔性: ______ 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令: 依次點擊“開始→運行”,鍵入“cmd”并回車,打開命令提示符窗口.在命令提示符狀態(tài)下鍵入“netstat -a -n”,按下回車鍵后就可以看到以數(shù)字形式顯示的TCP和...
1) 公認端口(Well Known Ports):從0到1023,它們緊密綁定于一些服務(wù)。通常 這些端口的通訊明確表明了某種服 務(wù)的協(xié)議。例如:80端口實際上總是h++p通訊。
2) 注冊端口(Registered Ports):從1024到49151。它們松散地綁定于一些服 務(wù)。也就是說有許多服務(wù)綁定于這些端口,這些端口同樣用于許多其它目的。例如: 許多系統(tǒng)處理動態(tài)端口從1024左右開始。
3) 動態(tài)和/或私有端口(Dynamic and/or Private Ports):從49152到65535。 理論上,不應(yīng)為服務(wù)分配這些端口。實際上,機器通常從1024起分配動態(tài)端口。但也 有例外:SUN的RPC端口從32768開始。
本節(jié)講述通常TCP/UDP端口掃描在防火墻記錄中的信息。
記住:并不存在所謂 ICMP端口。如果你對解讀ICMP數(shù)據(jù)感興趣,請參看本文的其它部分。
0 通常用于分析* 作系統(tǒng)。這一方*能夠工作是因為在一些系統(tǒng)中“0”是無效端口,當(dāng)你試 圖使用一 種通常的閉合端口連接它時將產(chǎn)生不同的結(jié)果。一種典型的掃描:使用IP地址為 0.0.0.0,設(shè)置ACK位并在以太網(wǎng)層廣播。
1 tcpmux這顯示有人在尋找SGIIrix機 器。Irix是實現(xiàn)tcpmux的主要提供者,缺省情況下tcpmux在這種系統(tǒng)中被打開。Iris 機器在發(fā)布時含有幾個缺省的無密碼的帳戶,如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,
和4Dgifts。許多管理員安裝后忘記刪除這些帳戶。因此Hacker們在Internet上搜索 tcpmux 并利用這些帳戶。
7Echo你能看到許多人們搜索Fraggle放大器時,發(fā)送到x.x.x.0和x.x.x.255的信 息。常見的一種DoS攻擊是echo循環(huán)(echo-loop),攻擊者偽造從一個機器發(fā)送到另 一個UDP數(shù)據(jù)包,而兩個機器分別以它們最快的方式回應(yīng)這些數(shù)據(jù)包。(參見 Chargen) 另一種東西是由DoubleClick在詞端口建立的TCP連接。有一種產(chǎn)品叫做 Resonate Global Dispatch”,它與DNS的這一端口連接以確定最近的路 由。Harvest/squid cache將從3130端口發(fā)送UDPecho:“如果將cache的 source_ping on選項打開,它將對原始主機的UDP echo端口回應(yīng)一個HIT reply。”這將會產(chǎn)生許多這類數(shù)據(jù)包。
11 sysstat這是一種UNIX服務(wù),它會列出機器上所有正在運行的進程以及是什么啟動 了這些進程。這為入侵者提供了許多信息而威脅機器的安全,如暴露已知某些弱點或 帳戶的程序。這與UNIX系統(tǒng)中“ps”命令的結(jié)果相似再說一遍:ICMP沒有端口,ICMP port 11通常是ICMPtype=1119 chargen 這是一種僅僅發(fā)送字符的服務(wù)。UDP版本將 會在收到UDP包后回應(yīng)含有垃圾字符的包。TCP連
接時,會發(fā)送含有垃圾字符的數(shù)據(jù)流知道連接關(guān)閉。Hacker利用IP欺騙可以發(fā)動DoS 攻擊偽造兩 個chargen服務(wù)器之間的UDP由于服務(wù)器企圖回應(yīng)兩個服務(wù)器之間的無限 的往返數(shù)據(jù)通訊一個chargen和echo將導(dǎo)致服務(wù)器過載。同樣fraggle DoS攻擊向目標(biāo) 地址的這個端口廣播一個帶有偽造受害者IP的數(shù)據(jù)包,受害者為了回應(yīng)這些數(shù)據(jù)而過 載。
21 ftp最常見的攻擊者用于尋找打開“anonymous”的ftp服務(wù)器的方*。這些服務(wù)器 帶有可讀寫的目錄。Hackers或tackers利用這些服務(wù)器作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜索引擎分類)的節(jié)點。
22 sshPcAnywhere建立TCP和這一端口的連接可能是為了尋找ssh。這一服務(wù)有許多弱 點。如果配置成特定的模式,許多使用RSAREF庫的版本有不少漏洞。(建議在其它端 口運行ssh)還應(yīng)該注意的是ssh工具包帶有一個稱為ake-ssh-known-hosts的程序。 它會掃描整個域的ssh主機。你有時會被使用這一程序的人無意中掃描到。UDP(而不 是TCP)與另一端的5632端口相連意味著存在搜索pcAnywhere的掃描。5632 (十六進 制的0x1600)位交換后是0x0016(使進制的22)。
23 Telnet入侵者在搜索遠程登陸UNIX的服務(wù)。大多數(shù)情況下入侵者掃描這一端口是 為了找到機器運行的*作系統(tǒng)。此外使用其它技術(shù),入侵者會找到密碼。
25 smtp攻擊者(spammer)尋找SMTP服務(wù)器是為了傳遞他們的spam。入侵者的帳戶總 被關(guān)閉,他們需要撥號連接到高帶寬的e-mail服務(wù)器上,將簡單的信息傳遞到不同的 地址。SMTP服務(wù)器(尤其是sendmail)是進入系統(tǒng)的最常用方*之一,因為它們必須 完整的暴露于Internet且郵件的路由是復(fù)雜的(暴露+復(fù)雜=弱點)。
53 DNSHacker或crackers可能是試圖進行區(qū)域傳遞(TCP),欺騙DNS(UDP)或隱藏 其它通訊。因此防火墻常常過濾或記錄53端口。 需要注意的是你常會看到53端口做為 UDP源端口。不穩(wěn)定的防火墻通常允許這種通訊并假設(shè)這是對DNS查詢的回復(fù)。Hacker 常使用這種方*穿透防火墻。
67和68 Bootp和DHCPUDP上的Bootp/DHCP:通過DSL和cable-modem的防火墻常會看 見大量發(fā)送到廣播地址255.255.255.255的數(shù)據(jù)。這些機器在向DHCP服務(wù)器請求一個 地址分配。Hacker常進入它們分配一個地址把自己作為局部路由器而發(fā)起大量的“中 間人”(man-in-middle)攻擊。客戶端向68端口(bootps)廣播請求配置,服務(wù)器 向67端口(bootpc)廣播回應(yīng)請求。這種回應(yīng)使用廣播是因為客戶端還不知道可以發(fā) 送的IP地址。69 TFTP(UDP) 許多服務(wù)器與bootp一起提供這項服務(wù),便于從系統(tǒng)下載 啟動代碼。但是它們常常錯誤配置而從系統(tǒng)提供任何文件,如密碼文件。它們也可用 于向系統(tǒng)寫入文件
79 finger Hacker用于獲得用戶信息,查詢*作系統(tǒng),探測已知的緩沖區(qū)溢出錯誤, 回應(yīng)從自己機器到其它機器finger掃描。
98 linuxconf 這個程序提供linuxboxen的簡單管理。通過整合的h++p服務(wù)器在98端 口提供基于Web界面的服務(wù)。它已發(fā)現(xiàn)有許多安全問題。一些版本setuidroot,信任 局域網(wǎng),在/tmp下建立Internet可訪問的文件,LANG環(huán)境變量有緩沖區(qū)溢出。 此外 因為它包含整合的服務(wù)器,許多典型的h++p漏洞可
能存在(緩沖區(qū)溢出,歷遍目錄等)109 POP2并不象POP3那樣有名,但許多服務(wù)器同 時提供兩種服務(wù)(向后兼容)。在同一個服務(wù)器上POP3的漏洞在POP2中同樣存在。
110 POP3用于客戶端訪問服務(wù)器端的郵件服務(wù)。POP3服務(wù)有許多公認的弱點。關(guān)于用 戶名和密碼交換緩沖區(qū)溢出的弱點至少有20個(這意味著Hacker可以在真正登陸前進 入系統(tǒng))。成功登陸后還有其它緩沖區(qū)溢出錯誤。
111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。訪問portmapper是 掃描系統(tǒng)查看允許哪些RPC服務(wù)的最早的一步。常 見RPC服務(wù)有:pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發(fā)現(xiàn)了允許的RPC服務(wù)將轉(zhuǎn)向提 供 服務(wù)的特定端口測試漏洞。記住一定要記錄線路中的
daemon, IDS, 或sniffer,你可以發(fā)現(xiàn)入侵者正使用什么程序訪問以便發(fā)現(xiàn)到底發(fā)生 了什么。
113 Ident auth .這是一個許多機器上運行的協(xié)議,用于鑒別TCP連接的用戶。使用 標(biāo)準(zhǔn)的這種服務(wù)可以獲得許多機器的信息(會被Hacker利用)。但是它可作為許多服 務(wù)的記錄器,尤其是FTP, POP, IMAP, SMTP和IRC等服務(wù)。通常如果有許多客戶通過 防火墻訪問這些服務(wù),你將會看到許多這個端口的連接請求。記住,如果你阻斷這個 端口客戶端會感覺到在防火墻另一邊與e-mail服務(wù)器的緩慢連接。許多防火墻支持在 TCP連接的阻斷過程中發(fā)回T,著將回停止這一緩慢的連接。
119 NNTP news新聞組傳輸協(xié)議,承載USENET通訊。當(dāng)你鏈接到諸 如:news:p.security.firewalls/. 的地址時通常使用這個端口。這個端口的連接 企圖通常是人們在尋找USENET服務(wù)器。多數(shù)ISP限制只有他們的客戶才能訪問他們的新 聞組服務(wù)器。打開新聞組服務(wù)器將允許發(fā)/讀任何人的帖子,訪問被限制的新聞組服務(wù) 器,匿名發(fā)帖或發(fā)送spam。
135 oc-serv MS RPC end-point mapper Microsoft在這個端口運行DCE RPC end- point mapper為它的DCOM服務(wù)。這與UNIX 111端口的功能很相似。使用DCOM和/或 RPC的服務(wù)利用 機器上的end-point mapper注冊它們的位置。遠
端客戶連接到機器時,它們查詢end-point mapper找到服務(wù)的位置。同樣Hacker掃描 機器的這個端口是為了找到諸如:這個機器上運 行Exchange Server嗎?是什么版 本? 這個端口除了被用來查詢服務(wù)(如使用epdump)還可以被用于直接攻擊。有一些 DoS攻 擊直接針對這個端口。
137 NetBIOS name service nbtstat (UDP)這是防火墻管理員最常見的信息,請仔 細閱讀文章后面的NetBIOS一節(jié) 139 NetBIOS File and Print Sharing
通過這個端口進入的連接試圖獲得NetBIOS/SMB服務(wù)。這個協(xié)議被用于Windows“文件 和打印機共享”和SAMBA。在Internet上共享自己的硬盤是可能是最常見的問題。 大 量針對這一端口始于1999,后來逐漸變少。2000年又有回升。一些VBS(IE5 VisualBasicScripting)開始將它們自己拷貝到這個端口,試圖在這個端口繁殖。
143 IMAP和上面POP3的安全問題一樣,許多IMAP服務(wù)器有緩沖區(qū)溢出漏洞運行登陸過 程中進入。記住:一種Linux蠕蟲(admw0rm)會通過這個端口繁殖,因此許多這個端 口的掃描來自不知情的已被感染的用戶。當(dāng)RadHat在他們的Linux發(fā)布版本中默認允 許IMAP后,這些漏洞變得流行起來。Morris蠕蟲以后這還是第一次廣泛傳播的蠕蟲。 這一端口還被用于IMAP2,但并不流行。 已有一些報道發(fā)現(xiàn)有些0到143端口的攻擊源 于腳本。
161 SNMP(UDP)入侵者常探測的端口。SNMP允許遠程管理設(shè)備。所有配置和運行信息 都儲存在數(shù)據(jù)庫中,通過SNMP客獲得這些信息。許多管理員錯誤配置將它們暴露于 Internet。Crackers將試圖使用缺省的密碼“public”“private”訪問系統(tǒng)。他們 可能會試驗所有可能的組合。 SNMP包可能會被錯誤的指向你的網(wǎng)絡(luò)。Windows機器常 會因為錯誤配置將HP JetDirect rmote management軟件使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網(wǎng) 內(nèi)廣播(cable modem, DSL)查詢sysName和其它信
息。
162 SNMP trap 可能是由于錯誤配置
177 xdmcp 許多Hacker通過它訪問X-Windows控制臺,它同時需要打開6000端口。
513 rwho 可能是從使用cable modem或DSL登陸到的子網(wǎng)中的UNIX機器發(fā)出的廣播。 這些人為Hacker進入他們的系統(tǒng)提供了很有趣的信息
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你將會看到這個端口 的廣播。CORBA是一種面向?qū)ο蟮腞PC(remote procedure call)系統(tǒng)。Hacker會利 用這些信息進入系統(tǒng)。 600 Pcserver backdoor 請查看1524端口一些玩script的孩 子認為他們通過修改ingreslock和pcserver文件已經(jīng)完全攻破了系統(tǒng)-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數(shù)對這個端 口的掃描是基于UDP的,但基于TCP 的mountd有所增加(mountd同時運行于兩個端 口)。記住,mountd可運行于任何端口(到底在哪個端口,需要在端口111做portmap 查詢),只是Linux默認為635端口,就象NFS通常運行于2049
1024 許多人問這個 端口是干什么的。它是動態(tài)端口的開始。許多程序并不在乎用哪個端口連接網(wǎng)絡(luò),它 們請求*作系統(tǒng)為它們分配“下一個閑置端口”。基于這一點分配從端口1024開始。 這意味著第一個向系統(tǒng)請求分配動態(tài)端口的程序?qū)⒈环峙涠丝?024。為了驗證這一 點,你可以重啟機器,打開Telnet,再打開一個窗口運行“natstat -a”,你將會看 到Telnet被分配1024端口。請求的程序越多,動態(tài)端口也越多。*作系統(tǒng)分配的端口 將逐漸變大。再來一遍,當(dāng)你瀏覽Web頁時用“netstat”查看,每個Web頁需要一個 新端口。 ?ersion 0.4.1, June 20, 2000 h++p://www.robertgraham.com/ pubs/firewall-seen.html Copyright 1998-2000 by Robert Graham
(mailto:firewall-seen1@robertgraham.com.
All rights reserved. This document may only be reproduced (whole orin part) for non-commercial purposes. All reproductions must
contain this copyright notice and must not be altered, except by
permission of the author.
1025 參見1024
1026參見1024
1080 SOCKS 這一協(xié)議以管道方式穿過防火墻,允許防火墻后面的許多人通過一個IP 地址訪問Internet。理論上它應(yīng)該只
允許內(nèi)部的通信向外達到Internet。但是由于錯誤的配置,它會允許Hacker/Cracker 的位于防火墻外部的攻
擊穿過防火墻。或者簡單地回應(yīng)位于Internet上的計算機,從而掩飾他們對你的直接 攻擊。
WinGate是一種常見的Windows個人防火墻,常會發(fā)生上述的錯誤配置。在加入IRC聊 天室時常會看到這種情況。
1114 SQL 系統(tǒng)本身很少掃描這個端口,但常常是sscan腳本的一部分。
1243 Sub-7木馬(TCP)參見Subseven部分。
1524 ingreslock后門 許多攻擊腳本將安裝一個后門Sh*ll 于這個端口(尤其是那些 針對Sun系統(tǒng)中Sendmail和RPC服務(wù)漏洞的腳本,如statd,ttdbserver和cmsd)。如 果你剛剛安裝了你的防火墻就看到在這個端口上的連接企圖,很可能是上述原因。你 可以試試Telnet到你的機器上的這個端口,看看它是否會給你一個Sh*ll 。連接到 600/pcserver也存在這個問題。
2049 NFS NFS程序常運行于這個端口。通常需要訪問portmapper查詢這個服務(wù)運行于 哪個端口,但是大部分情況是安裝后NFS杏謖飧齠絲冢?acker/Cracker因而可以閉開 portmapper直接測試這個端口。
3128 squid 這是Squid h++p代理服務(wù)器的默認端口。攻擊者掃描這個端口是為了搜 尋一個代理服務(wù)器而匿名訪問Internet。你也會看到搜索其它代理服務(wù)器的端口:
000/8001/8080/8888。掃描這一端口的另一原因是:用戶正在進入聊天室。其它用戶 (或服務(wù)器本身)也會檢驗這個端口以確定用戶的機器是否支持代理。請查看5.3節(jié)。
5632 pcAnywere你會看到很多這個端口的掃描,這依賴于你所在的位置。當(dāng)用戶打開 pcAnywere時,它會自動掃描局域網(wǎng)C類網(wǎng)以尋找可能得代理(譯者:指agent而不是 proxy)。Hacker/cracker也會尋找開放這種服務(wù)的機器,所以應(yīng)該查看這種掃描的 源地址。一些搜尋pcAnywere的掃描常包含端口22的UDP數(shù)據(jù)包。參見撥號掃描。
6776 Sub-7 artifact 這個端口是從Sub-7主端口分離出來的用于傳送數(shù)據(jù)的端口。 例如當(dāng)控制者通過電話線控制另一臺機器,而被控機器掛斷時你將會看到這種情況。 因此當(dāng)另一人以此IP撥入時,他們將會看到持續(xù)的,在這個端口的連接企圖。(譯 者:即看到防火墻報告這一端口的連接企圖時,并不表示你已被Sub-7控制。)
6970 RealAudio客戶將從服務(wù)器的6970-7170的UDP端口接收音頻數(shù)據(jù)流。這是由TCP7070 端口外向控制連接設(shè)置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允許 用戶在此端口打開私人聊天的接。這一程序?qū)τ诮⑦B接非常具有“進攻性”。它 會“駐扎”在這一TCP端口等待回應(yīng)。這造成類似心跳間隔的連接企圖。如果你是一個 撥號用戶,從另一個聊天者手中“繼承”了IP地址這種情況就會發(fā)生:好象很多不同 的人在測試這一端口。這一協(xié)議使用“OPNG”作為其連接企圖的前四個字節(jié)。
17027 Conducent這是一個外向連接。這是由于公司內(nèi)部有人安裝了帶有Conducent "adbot" 的共享軟件。
Conducent "adbot"是為共享軟件顯示廣告服務(wù)的。使用這種服務(wù)的一種流行的軟件 是Pkware。有人試驗:阻斷這一外向連接不會有任何問題,但是封掉IP地址本身將會 導(dǎo)致adbots持續(xù)在每秒內(nèi)試圖連接多次而導(dǎo)致連接過載:
機器會不斷試圖解析DNS名—ads.conducent.com,即IP地址216.33.210.40 ;
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者:不 知NetAnts使用的Radiate是否也有這種現(xiàn)象)
27374 Sub-7木馬(TCP) 參見Subseven部分。
30100 NetSphere木馬(TCP) 通常這一端口的掃描是為了尋找中了NetSphere木馬。
31337 Back Orifice “eliteHacker中31337讀做“elite”/ei’li:t/(譯者:* 語,譯為中堅力量,精華。即 3=E, 1=L, 7=T)。因此許多后門程序運行于這一端 口。其中最有名的是Back Orifice。曾經(jīng)一段時間內(nèi)這是Internet上最常見的掃描。 現(xiàn)在它的流行越來越少,其它的 木馬程序越來越流行。
31789 Hack-a-tack 這一端口的UDP通訊通常是由于"Hack-a-tack"遠程訪問木馬 (RAT,Remote Access Trojan)。這種木馬包含內(nèi)置的31790端口掃描器,因此任何 31789端口到317890端口的連 接意味著已經(jīng)有這種入侵。(31789端口是控制連 接,317890端口是文件傳輸連接)
32770~32900 RPC服務(wù) Sun Solaris的RPC服務(wù)在這一范圍內(nèi)。詳細的說:早期版本 的Solaris(2.5.1之前)將 portmapper置于這一范圍內(nèi),即使低端口被防火墻封閉 仍然允許Hacker/cracker訪問這一端口。 掃描這一范圍內(nèi)的端口不是為了尋找 portmapper,就是為了尋找可被攻擊的已知的RPC服務(wù)。
33434~33600 traceroute 如果你看到這一端口范圍內(nèi)的UDP數(shù)據(jù)包(且只在此范圍 之內(nèi))則可能是由于traceroute。參見traceroute分。
41508 Inoculan早期版本的Inoculan會在子網(wǎng)內(nèi)產(chǎn)生大量的UDP通訊用于識別彼此。 參見
h++p://www.circlemud.org/~jelson/software/udpsend.html
h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留端 口,所以它們幾乎不會是源端口。但有一些例外,例如來自NAT機器的連接。 常看見 緊接著1024的端口,它們是系統(tǒng)分配給那些并不在乎使用哪個端口連接的應(yīng)用程序 的“動態(tài)端口”。 Server Client 服務(wù)描述
1-5/tcp 動態(tài) FTP 1-5端口意味著sscan腳本
20/tcp 動態(tài) FTP FTP服務(wù)器傳送文件的端口
53 動態(tài) FTP DNS從這個端口發(fā)送UDP回應(yīng)。你也可能看見源/目標(biāo)端口的TCP連 接。
123 動態(tài) S/NTP 簡單網(wǎng)絡(luò)時間協(xié)議(S/NTP)服務(wù)器運行的端口。它們也會發(fā)送 到這個端口的廣播。
27910~27961/udp 動態(tài) Quake Quake或Quake引擎驅(qū)動的游戲在這一端口運行其 服務(wù)器。因此來自這一端口范圍的UDP包或發(fā)送至這一端口范圍的UDP包通常是游戲。
61000以上 動態(tài) FTP 61000以上的端口可能來自Linux NAT服務(wù)器
端口大全(中文)
1 tcpmux TCP Port Service Multiplexer 傳輸控制協(xié)議端口服務(wù)多路開關(guān)選擇器
2 compressnet Management Utility compressnet 管理實用程序
3 compressnet Compression Process 壓縮進程
5 rje Remote Job Entry 遠程作業(yè)登錄
7 echo Echo 回顯
9 discard Discard 丟棄
11 systat Active Users 在線用戶
13 daytime Daytime 時間
17 qotd Quote of the Day 每日引用
18 msp Message Send Protocol 消息發(fā)送協(xié)議
19 chargen Character Generator 字符發(fā)生器
20 ftp-data File Transfer [Default Data] 文件傳輸協(xié)議(默認數(shù)據(jù)口)
21 ftp File Transfer [Control] 文件傳輸協(xié)議(控制)
22 ssh SSH Remote Login Protocol SSH遠程登錄協(xié)議
23 telnet Telnet 終端仿真協(xié)議
24 ? any private mail system 預(yù)留給個人用郵件系統(tǒng)
25 smtp Simple Mail Transfer 簡單郵件發(fā)送協(xié)議
27 nsw-fe NSW User System FE NSW 用戶系統(tǒng)現(xiàn)場工程師
29 msg-icp MSG ICP MSG ICP
31 msg-auth MSG Authentication MSG驗證
33 dsp Display Support Protocol 顯示支持協(xié)議
35 ? any private printer server 預(yù)留給個人打印機服務(wù)
37 time Time 時間
38 rap Route Access Protocol 路由訪問協(xié)議
39 rlp Resource Location Protocol 資源定位協(xié)議
41 graphics Graphics 圖形
42 nameserver WINS Host Name Server WINS 主機名服務(wù)
43 nicname Who Is "綽號" who is服務(wù)
44 mpm-flags MPM FLAGS Protocol MPM(消息處理模塊)標(biāo)志協(xié)議
45 mpm Message Processing Module [recv] 消息處理模塊
46 mpm-snd MPM [default send] 消息處理模塊(默認發(fā)送口)
47 ni-ftp NI FTP &
在Internet上,各主機間通過TCP/TP協(xié)議發(fā)送和接收數(shù)據(jù)報,各個數(shù)據(jù)報根據(jù)其目的主機的ip地址來進行互聯(lián)網(wǎng)絡(luò)中的路由選擇。可見,把數(shù)據(jù)報順利的傳送到目的主機是沒有問題的。問題出在哪里呢?我們知道大多數(shù)操作系統(tǒng)都支持多程序(進程)同時運行,那么目的主機應(yīng)該把接收到的數(shù)據(jù)報傳送給眾多同時運行的進程中的哪一個呢?顯然這個問題有待解決,端口機制便由此被引入進來。
本地操作系統(tǒng)會給那些有需求的進程分配協(xié)議端口(protocal port,即我們常說的端口),每個協(xié)議端口由一個正整數(shù)標(biāo)識,如:80,139,445,等等。當(dāng)目的主機接收到數(shù)據(jù)報后,將根據(jù)報文首部的目的端口號,把數(shù)據(jù)發(fā)送到相應(yīng)端口,而與此端口相對應(yīng)的那個進程將會領(lǐng)取數(shù)據(jù)并等待下一組數(shù)據(jù)的到來。說到這里,端口的概念似乎仍然抽象,那么繼續(xù)跟我來,別走開。
端口其實就是隊,操作系統(tǒng)為各個進程分配了不同的隊,數(shù)據(jù)報按照目的端口被推入相應(yīng)的隊中,等待被進程取用,在極特殊的情況下,這個隊也是有可能溢出的,不過操作系統(tǒng)允許各進程指定和調(diào)整自己的隊的大小。
不光接受數(shù)據(jù)報的進程需要開啟它自己的端口,發(fā)送數(shù)據(jù)報的進程也需要開啟端口,這樣,數(shù)據(jù)報中將會標(biāo)識有源端口,以便接受方能順利的回傳數(shù)據(jù)報到這個端口。
端口的分類:
在Internet上,按照協(xié)議類型分類,端口被分為TCP端口和UDP端口兩類,雖然他們都用正整數(shù)標(biāo)識,但這并不會引起歧義,比如TCP的80端口和UDP的80端口,因為數(shù)據(jù)報在標(biāo)明端口的同時,還將標(biāo)明端口的類型。
從端口的分配來看,端口被分為固定端口和動態(tài)端口兩大類(一些教程還將極少被用到的高端口劃分為第三類:私有端口):
固定端口(0-1023):
使用集中式管理機制,即服從一個管理機構(gòu)對端口的指派,這個機構(gòu)負責(zé)發(fā)布這些指派。由于這些端口緊綁于一些服務(wù),所以我們會經(jīng)常掃描這些端口來判斷對方是否開啟了這些服務(wù),如TCP的21(ftp),80(http),139(netbios),UDP的7(echo),69(tftp)等等一些大家熟知的端口;
動態(tài)端口(1024-49151):
這些端口并不被固定的捆綁于某一服務(wù),操作系統(tǒng)將這些端口動態(tài)的分配給各個進程,同一進程兩次分配有可能分配到不同的端口。不過一些應(yīng)用程序并不愿意使用操作系統(tǒng)分配的動態(tài)端口,他們有其自己的‘商標(biāo)性’端口,如oicq客戶端的4000端口,木馬冰河的7626端口等都是固定而出名的。
端口在入侵中的作用:
有人曾經(jīng)把服務(wù)器比作房子,而把端口比作通向不同房間(服務(wù))的門,如果不考慮細節(jié)的話,這是一個不錯的比喻。入侵者要占領(lǐng)這間房子,勢必要破門而入(物理入侵另說),那么對于入侵者來說,了解房子開了幾扇門,都是什么樣的門,門后面有什么東西就顯得至關(guān)重要。
入侵者通常會用掃描器對目標(biāo)主機的端口進行掃描,以確定哪些端口是開放的,從開放的端口,入侵者可以知道目標(biāo)主機大致提供了哪些服務(wù),進而猜測可能存在的漏洞,因此對端口的掃描可以幫助我們更好的了解目標(biāo)主機,而對于管理員,掃描本機的開放端口也是做好安全防范的第一步。
常見端口的介紹
由于本人知識有限,在這里只介紹一些淺顯的內(nèi)容。
1)21 ftp
此端口開放表示服務(wù)器提供了FTP服務(wù),入侵者通常會掃描此端口并判斷是否允許匿名登陸,如果能找到可寫目錄,還可以上傳一些黑客程序做近一步入侵。要想關(guān)閉此端口,需要關(guān)閉FTP服務(wù)。
2)23 Telnet
此端口開放表示服務(wù)器提供了遠程登陸服務(wù),如果你有管理員的用戶名和密碼,可以通過這個服務(wù)來完全控制主機(不過要先搞定NTLM身份認證),獲得一個命令行下的shell。許多入侵者喜歡開啟這個服務(wù)作為后門。要想關(guān)閉此端口,需要關(guān)閉Telnet服務(wù)。
3)25 smtp
此端口開放表示服務(wù)器提供了SMTP服務(wù),一些不支持身份驗證的服務(wù)器允許入侵者發(fā)送郵件到任何地點,SMTP服務(wù)器(尤其是sendmail)也是進入系統(tǒng)的最常用方法之一。要想關(guān)閉此端口,需要關(guān)閉SMTP服務(wù)。
4)69 TFTP(UDP)
此端口開放表示服務(wù)器提供了TFTP服務(wù),它允許從服務(wù)器下載文件,也可以寫入文件,如果管理員錯誤配置,入侵者甚至可以下載密碼文件。許多入侵者通過在自己機器運行此服務(wù)來傳文件到目標(biāo)機器,從而實現(xiàn)文件的傳輸。要想關(guān)閉此端口,需要關(guān)閉TFTP服務(wù)。
5)79 finger
用于獲得用戶信息,查詢操作系統(tǒng),探測已知的緩沖區(qū)溢出錯誤, 回應(yīng)從自己機器到其它機器finger掃描。
6)80 http
此端口開放表示服務(wù)器提供了HTTP服務(wù),可以讓訪問者瀏覽其網(wǎng)頁等,大部分針對IIS服務(wù)器的溢出攻擊都是通過這個端口的,可以說是入侵者最常攻擊的一個端口了。要想關(guān)閉此端口,需要關(guān)閉HTTP服務(wù)。
7)110 POP3
用于客戶端訪問服務(wù)器端的郵件服務(wù)。POP3服務(wù)有許多公認的弱點。關(guān)于用戶名和密碼交換緩沖區(qū)溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統(tǒng),成功登陸后還有其它緩沖區(qū)溢出錯誤。
8)TCP的139和445
許多人都很關(guān)心這兩個端口,那我就來詳細的介紹一下吧:
首先我們來了解一些基礎(chǔ)知識:
1 SMB:(Server Message Block) Windows協(xié)議族,用于文件打印共享的服務(wù);
2 NBT:(NETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口實現(xiàn)基于TCP/IP協(xié)議的NETBIOS網(wǎng)絡(luò)互聯(lián)。
3 在WindowsNT中SMB基于NBT實現(xiàn),即使用139(TCP)端口;而在Windows2000中,SMB除了基于NBT實現(xiàn),還可以直接通過445端口實現(xiàn)。
有了這些基礎(chǔ)知識,我們就可以進一步來討論訪問網(wǎng)絡(luò)共享對端口的選擇了:
對于win2000客戶端(發(fā)起端)來說:
1 如果在允許NBT的情況下連接服務(wù)器時,客戶端會同時嘗試訪問139和445端口,如果445端口有響應(yīng),那么就發(fā)送RST包給139端口斷開連接,用455端口進行會話,當(dāng)445端口無響應(yīng)時,才使用139端口,如果兩個端口都沒有響應(yīng),則會話失敗;
2 如果在禁止NBT的情況下連接服務(wù)器時,那么客戶端只會嘗試訪問445端口,如果445端口無響應(yīng),那么會話失敗。
對于win2000服務(wù)器端來說:
1 如果允許NBT, 那么UDP端口137, 138, TCP 端口 139, 445將開放(LISTENING);
2 如果禁止NBT,那么只有445端口開放。
我們建立的ipc$會話對端口的選擇同樣遵守以上原則。顯而易見,如果遠程服務(wù)器沒有監(jiān)聽139或445端口,ipc$會話是無法建立的。那么如何關(guān)閉2000上這兩個端口呢?
139端口可以通過禁止NBT來屏蔽
本地連接-TCP/IT屬性-高級-WINS-選‘禁用TCP/IT上的NETBIOS’一項
445端口可以通過修改注冊表來屏蔽
添加一個鍵值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重啟機器
9)3389 Terminal Services
此端口開放表示服務(wù)器提供了終端服務(wù),如果你獲得了管理員的用戶名和密碼,那么你可以通過這個服務(wù)在圖形界面下完全控制主機,這的確是一件令人向往的事情,但如果你得不到密碼也找不到輸入法漏洞,你會感到束手無策。要想關(guān)閉此端口,需要關(guān)閉終端服務(wù)。
端口的相關(guān)工具
1 netstat -an
的確,這并不是一個工具,但他是查看自己所開放端口的最方便方法,在cmd中輸入這個命令就可以了。如下:
C:\>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1027 *:*
UDP 127.0.0.1:1029 *:*
UDP 127.0.0.1:1030 *:*
這是我沒上網(wǎng)的時候機器所開的端口,兩個135和445是固定端口,其余幾個都是動態(tài)端口。
2 fport.exe和mport.exe
這也是兩個命令行下查看本地機器開放端口的小程序,其實與netstat -an這個命令大同小異,只不過它能夠顯示打開端口的進程,信息更多一些而已,如果你懷疑自己的奇怪端口可能是木馬,那就用他們查查吧。
3 activeport.exe(也稱aports.exe)
還是用來查看本地機器開放端口的東東,除了具有上面兩個程序的全部功能外,他還有兩個更吸引人之處:圖形界面以及可以關(guān)閉端口。這對菜鳥來說是個絕對好用的東西,推薦使用喔。
4 superscan3.0
它的大名你不會沒聽說過吧,純端口掃描類軟件中的NO.1,速度快而且可以指定掃描的端口,不多說了,絕對必備工具。
保護好自己的端口:
剛接觸網(wǎng)絡(luò)的朋友一般都對自己的端口很敏感,總怕自己的電腦開放了過多端口,更怕其中就有后門程序的端口,但由于對端口不是很熟悉,所以也沒有解決辦法,上起網(wǎng)來提心吊膽。其實保護自己的端口并不是那么難,只要做好下面幾點就行了:
1 查看:經(jīng)常用命令或軟件查看本地所開放的端口,看是否有可疑端口;
2 判斷:如果開放端口中有你不熟悉的,應(yīng)該馬上查找端口大全或木馬常見端口等資料(網(wǎng)上多的很),看看里面對你那個可疑端口的作用描述,或者通過軟件查看開啟此端口的進程來進行判斷;
3 關(guān)閉:如果真是木馬端口或者資料中沒有這個端口的描述,那么應(yīng)該關(guān)閉此端口,你可以用防火墻來屏蔽此端口,也可以用本地連接-TCP/IP-高級-選項-TCP/IP篩選,啟用篩選機制來篩選端口;
什么是端口啊?
我們 這里所指的端口不是指物理意義上的端口,而是特指TCP\/IP協(xié)議中的端口,是邏 輯意義上的端口。 那么TCP\/IP協(xié)議中的端口指的是什么呢?如果把IP地址比作一間房子 ,端口就是出入這間房子的門。真正的房子只有幾個門,但是一個IP地址的端口 可以有65536個之多!端口是通過端口號來標(biāo)記的,端口號只有整數(shù),范圍是...
什么是端口和串口?
端口:端口是指接口電路中的一些寄存器,這些寄存器分別用來存放數(shù)據(jù)信息、控制信息和狀態(tài)信息,相應(yīng)的端口分別稱為數(shù)據(jù)端口、控制端口和狀態(tài)端口。USB口:USB口又叫通用串行總線(英語:Universal Serial Bus,縮寫:USB)是連接計算機系統(tǒng)與外部設(shè)備的一種串口總線標(biāo)準(zhǔn),也是一種輸入輸出接口的技術(shù)規(guī)范。COM...
電腦上的網(wǎng)線插口是什么接口啊?
WWAN使用mini PCI-E端口。在新的筆記本電腦上,這個端口也可以連接到msata端口的ssd,但需要主板支持,如thinkpad x220。并非所有WWAN端口都支持MSata。舊筆記本上的mini-pcie x1接口只能支持使用無線網(wǎng)卡設(shè)備,不能支持ssd卡。如果這個筆記本電腦上有一個ssd卡接口,那就是mini-sata接口,它看起來與mini...
端口又稱為接口嗎?物理端口又是什么意思啊?
網(wǎng)絡(luò)端口 在網(wǎng)絡(luò)技術(shù)中,端口(Port)有好幾種意思。集線器、交換機、路由器的端口指的是連接其他網(wǎng)絡(luò)設(shè)備的接口,如RJ-45端口、Serial端口等。我們 這里所指的端口不是指物理意義上的端口,而是特指TCP\/IP協(xié)議中的端口,是邏輯意義上的端口。軟件端口 緩沖區(qū)。端口詳解 端口是指接口電路中的一些寄存器...
PC客戶端是手機還是電腦
PC客戶端是電腦。玩游戲可以看見PC端,軟件也PC端的,那么什么是PC呢?其實PC就是個人計算機的意思,中文名叫電腦,英文名則是PC。手機PC端是指手機接入個人電腦的接口。用來上傳、下載數(shù)據(jù)和安裝軟件。pc端是指電腦,PC端就是指可以連接到電腦主機的那個端口。而手機就是手機客戶端,通俗一點來講就是...
端口是什么?
"端口"是英文port的意譯,可以認為是設(shè)備與外界通訊交流的出口。端口可分為虛擬端口和物理端口,其中虛擬端口指計算機內(nèi)部或交換機路由器內(nèi)的端口,不可見。例如計算機中的80端口、21端口、23端口等。物理端口又稱為接口,是可見端口,計算機背板的RJ45網(wǎng)口,交換機路由器集線器等RJ45端口。電話使用RJ11插口也...
怎么看電腦串口是什么端口
1、要查看電腦上的串口COM,首先打開“控制面板”,在設(shè)備管理器選項卡中查找“端口”一項。點擊該選項旁邊的下拉箭頭,即可展開列表,查看到哪些串口被設(shè)備占用。2、在電腦桌面點擊“我的電腦”圖標(biāo),然后右鍵點擊并選擇“管理”。在打開的管理窗口中,點擊“設(shè)備管理器”,接著選擇“端口(COM和LPT)”...
電腦的端口都有哪些,分別有什么作用
Harvest\/squid cache將從3130端口發(fā)送UDP echo:“如果將cache的source_ping on選項打開,它將對原始主機的UDP echo端口回應(yīng)一個HIT reply。”這將會產(chǎn)生許多這類數(shù)據(jù)包。 11 sysstat 這是一種UNIX服務(wù),它會列出機器上所有正在運行的進程以及是什么啟動了這些進程。這為入侵者提供了許多信息而威脅機器的安全,如暴露已...
如何查詢自己電腦的IP和端口
材料\/工具:win10系統(tǒng)電腦一臺 1、在左下角的搜索框內(nèi)輸入cmd 2、接著點擊CMD命令提示符選項 3、打開程序 4、輸入ipconfig\/all并點擊回車鍵 5、操作完成后,就可以查看到電腦的ip地址和端口信息了。
如何理解馬斯克的腦機接口計劃?
現(xiàn)在,“科技狂人”馬斯克給朱令這種遭遇不可逆裝腦損傷的病人帶來了一絲康復(fù)生機。遭遇事故后肉體遭遇損傷,喪失機能,通過仍存活的大腦用腦神經(jīng)操控機械骨骼,甚至將大腦中的意識提取并轉(zhuǎn)移……目前Neuralink專注腦機接口技術(shù)((brain-machine interface))研發(fā)。腦機接口又名腦機融合感知或大腦端口,是在人...
相關(guān)評說:
蚌山區(qū)柔性: ______ 電腦端口一般是指某些服務(wù)的端口,如ftp端口21或http服務(wù)端口
蚌山區(qū)柔性: ______ 在Internet上,各主機間通過TCP/TP協(xié)議發(fā)送和接收數(shù)據(jù)報,各個數(shù)據(jù)報根據(jù)其目的... 本地操作系統(tǒng)會給那些有需求的進程分配協(xié)議端口(protocal port,即我們常說的端口...
蚌山區(qū)柔性: ______ 在上網(wǎng)的時候,我們經(jīng)常會看到“端口”這個詞,也會經(jīng)常用到端口號,比如在FTP地址后面增加的“ 21”,21就表示端口號.那么端口到底是什么意思 呢?怎樣查看端口號呢?一個端口是否成為網(wǎng)絡(luò)惡意攻擊的大門呢?,我們應(yīng)該如何面對形...
蚌山區(qū)柔性: ______ 網(wǎng)絡(luò)水晶頭插入的地方,是指網(wǎng)卡的端口.看一下電腦后面就明白了,一般有兩個指示燈,其中一個接收數(shù)據(jù)時,會閃爍.
蚌山區(qū)柔性: ______ 在開始講什么是端口之前,我們先來聊一聊什么是 port 呢?常常在網(wǎng)絡(luò)上聽說『我的主機開了多少的 port ,會不會被入侵呀!?』或者是說『開那個 port 會比較安全?又,我的服務(wù)應(yīng)該對應(yīng)什么 port 呀!?』呵呵!很神奇吧!怎么一部主機上...
蚌山區(qū)柔性: ______ TCP/IP協(xié)議集成到操作系統(tǒng)的內(nèi)核中,這就相當(dāng)于在操作系統(tǒng)中引入了一種新的輸入/輸出接口技術(shù),因為在TCP/IP協(xié)議中引入了一種稱之為Socket(套接字)應(yīng)用程序接口
蚌山區(qū)柔性: ______ 你改下后一個計算機“端口”是英文port的義譯,可以認為是計算機與外界通訊交流的出口.按端口號可分為3大類:公認端口(Well Known Ports);注冊端口(Registered Ports);動態(tài)和/或私有端口(Dynamic and/or Private Ports)字打過去問一下
蚌山區(qū)柔性: ______ 端口就是電腦上所有與外界相連接的接口!用途就是連接我們的鍵盤 ,鼠標(biāo),顯示器,還有等等許多設(shè)備.
蚌山區(qū)柔性: ______ 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令: 依次點擊“開始→運行”,鍵入“cmd”并回車,打開命令提示符窗口.在命令提示符狀態(tài)下鍵入“netstat -a -n”,按下回車鍵后就可以看到以數(shù)字形式顯示的TCP和...
