|
(一)
有過一些黑客攻擊方面知識的讀者都會知道,,其實那些所謂的黑客并不是像人們想象那樣從天而降,,而是實實在在從您的計算機"大門"中自由出入。計算機的"大門"就是我們平常所說的"端口",,它包括計算機的物理端口,,如計算機的串口、并口,、輸入/輸出設備以及適配器接口等(這些端口都是可見的),,但更多的是不可見的軟件端口,在本文中所介紹的都是指"軟件端口",,但為了說明方便,,仍統(tǒng)稱為"端口"。本文僅就端口的基礎知識進行介紹,,
一,、端口簡介
隨著計算機網(wǎng)絡技術的發(fā)展,原來物理上的接口(如鍵盤,、鼠標,、網(wǎng)卡、顯示卡等輸入/輸出接口)已不能滿足網(wǎng)絡通信的要求,,TCP/IP協(xié)議作為網(wǎng)絡通信的標準協(xié)議就解決了這個通信難題,。TCP/IP協(xié)議集成到操作系統(tǒng)的內(nèi)核中,這就相當于在操作系統(tǒng)中引入了一種新的輸入/輸出接口技術,,因為在TCP/IP協(xié)議中引入了一種稱之為"Socket(套接字)"應用程序接口,。有了這樣一種接口技術,一臺計算機就可以通過軟件的方式與任何一臺具有Socket接口的計算機進行通信,。端口在計算機編程上也就是"Socket接口",。
有了這些端口后,這些端口又是如何工作呢?例如一臺服務器為什么可以同時是Web服務器,,也可以是FTP服務器,,還可以是郵件服務器等等呢?其中一個很重要的原因是各種服務采用不同的端口分別提供不同的服務,,比如:通常TCP/IP協(xié)議規(guī)定Web采用80號端口,,F(xiàn)TP采用21號端口等,而郵件服務器是采用25號端口,。這樣,,通過不同端口,計算機就可以與外界進行互不干擾的通信,。
據(jù)專家們分析,,服務器端口數(shù)最大可以有65535個,但是實際上常用的端口才幾十個,,由此可以看出未定義的端口相當多,。這是那么多黑客程序都可以采用某種方法,定義出一個特殊的端口來達到入侵的目的的原因所在,。為了定義出這個端口,,就要依*某種程序在計算機啟動之前自動加載到內(nèi)存,強行控制計算機打開那個特殊的端口,。這個程序就是"后門"程序,,這些后門程序就是常說的木馬程序。簡單的說,,這些木馬程序在入侵前是先通過某種手段在一臺個人計算機中植入一個程序,,打開某個(些)特定的端口,俗稱"后門"(BackDoor),,使這臺計算機變成一臺開放性極高(用戶擁有極高權限)的FTP服務器,,然后從后門就可以達到侵入的目的。
二,、端口的分類
端口的分類根據(jù)其參考對象不同有不同劃分方法,如果從端口的性質(zhì)來分,,通??梢苑譃橐韵氯悾?
(1)公認端口(Well Known Ports):這類端口也常稱之為"常用端口",。這類端口的端口號從0到1024,,它們緊密綁定于一些特定的服務。通常這些端口的通信明確表明了某種服務的協(xié)議,,這種端口是不可再重新定義它的作用對象,。例如:80端口實際上總是HTTP通信所使用的,而23號端口則是Telnet服務專用的。這些端口通常不會像木馬這樣的黑客程序利用,。為了使大家對這些常用端口多一些認識,,在本章后面將詳細把這些端口所對面應的服務進行列表,供各位理解和參考,。
?。?) 注冊端口(Registered Ports):端口號從1025到49151。它們松散地綁定于一些服務,。也是說有許多服務綁定于這些端口,,這些端口同樣用于許多其他目的。這些端口多數(shù)沒有明確的定義服務對象,,不同程序可根據(jù)實際需要自己定義,,如后面要介紹的遠程控制軟件和木馬程序中都會有這些端口的定義的。記住這些常見的程序端口在木馬程序的防護和查殺上是非常有必要的,。常見木馬所使用的端口在后面將有詳細的列表,。
(3) 動態(tài)和/或私有端口(Dynamic and/or Private Ports):端口號從49152到65535,。理論上,,不應把常用服務分配在這些端口上。實際上,,有些較為特殊的程序,,特別是一些木馬程序就非常喜歡用這些端口,因為這些端口常常不被引起注意,,容易隱蔽,。
如果根據(jù)所提供的服務方式的不同,端口又可分為"TCP協(xié)議端口"和"UDP協(xié)議端口"兩種,。因為計算機之間相互通信一般采用這兩種通信協(xié)議,。前面所介紹的"連接方式"是一種直接與接收方進行的連接,發(fā)送信息以后,,可以確認信息是否到達,,這種方式大多采用TCP協(xié)議;另一種是不是直接與接收方進行連接,,只管把信息放在網(wǎng)上發(fā)出去,,而不管信息是否到達,也就是前面所介紹的"無連接方式",。這種方式大多采用UDP協(xié)議,,IP協(xié)議也是一種無連接方式。對應使用以上這兩種通信協(xié)議的服務所提供的端口,,也就分為"TCP協(xié)議端口"和"UDP協(xié)議端口",。
使用TCP協(xié)議的常見端口主要有以下幾種:
?。?) FTP:定義了文件傳輸協(xié)議,使用21端口,。常說某某計算機開了FTP服務便是啟動了文件傳輸服務,。下載文件,上傳主頁,,都要用到FTP服務,。
(2) Telnet:它是一種用于遠程登陸的端口,,用戶可以以自己的身份遠程連接到計算機上,,通過這種端口可以提供一種基于DOS模式下的通信服務。如以前的BBS是純字符界面的,,支持BBS的服務器將23端口打開,,對外提供服務。
?。?) SMTP:定義了簡單郵件傳送協(xié)議,,現(xiàn)在很多郵件服務器都用的是這個協(xié)議,用于發(fā)送郵件,。如常見的免費郵件服務中用的就是這個郵件服務端口,,所以在電子郵件設置中常看到有這么SMTP端口設置這個欄,,服務器開放的是25號端口,。
(4) POP3:它是和SMTP對應,,POP3用于接收郵件,。通常情況下,POP3協(xié)議所用的是110端口,。也是說,,只要你有相應的使用POP3協(xié)議的程序(例如Foxmail或Outlook),就可以不以Web方式登陸進郵箱界面,,直接用郵件程序就可以收到郵件(如是163郵箱就沒有必要先進入網(wǎng)易網(wǎng)站,,再進入自己的郵箱來收信)。
使用UDP協(xié)議端口常見的有:
?。?) HTTP:這是大家用得最多的協(xié)議,,它就是常說的"超文本傳輸協(xié)議"。上網(wǎng)瀏覽網(wǎng)頁時,,就得在提供網(wǎng)頁資源的計算機上打開80號端口以提供服務。常說"WWW服務",、"Web服務器"用的就是這個端口,。
?。?) DNS:用于域名解析服務,這種服務在Windows NT系統(tǒng)中用得最多的,。因特網(wǎng)上的每一臺計算機都有一個網(wǎng)絡地址與之對應,,這個地址是常說的IP地址,它以純數(shù)字+"."的形式表示,。然而這卻不便記憶,,于是出現(xiàn)了域名,訪問計算機的時候只需要知道域名,,域名和IP地址之間的變換由DNS服務器來完成,。DNS用的是53號端口。
?。?) SNMP:簡單網(wǎng)絡管理協(xié)議,,使用161號端口,是用來管理網(wǎng)絡設備的,。由于網(wǎng)絡設備很多,,無連接的服務就體現(xiàn)出其優(yōu)勢。
?。?) OICQ:OICQ程序既接受服務,,又提供服務,這樣兩個聊天的人才是平等的,。OICQ用的是無連接的協(xié)議,,也是說它用的是UDP協(xié)議。OICQ服務器是使用8000號端口,,偵聽是否有信息到來,,客戶端使用4000號端口,向外發(fā)送信息,。如果上述兩個端口正在使用(有很多人同時和幾個好友聊天),,就順序往上加。
在計算機的6萬多個端口,,通常把端口號為1024以內(nèi)的稱之為常用端口,,這些常用端口所對應的服務通常情況下是固定的。表1所列的都是服務器默認的端口,,不允許改變,,一般通信過程都主要用到這些端口。
服務類型 默認端口 服務類型 默認端口
Echo 7 Daytime 13
FTP 21 Telnet 23
SMTP 25 Time 37
Whois 43 DNS 53
Gopher 70 Finger 79
WWW 80 POP3 110
NNTP 119 IRC 194
另外代理服務器常用以下端口:
?。?). HTTP協(xié)議代理服務器常用端口號:80/8080/3128/8081/9080
?。?). SOCKS代理協(xié)議服務器常用端口號:1080
(3). FTP協(xié)議代理服務器常用端口號:21
?。?). Telnet協(xié)議代理服務器常用端口:23
三,、端口在黑客中的應用
像木馬之類的黑客程序,,就是通過對端口的入侵來實現(xiàn)其目的的。在端口的利用上,,黑客程序通常有兩種方式,,那就是"端口偵聽"和"端口掃描"。
"端口偵聽"與"端口掃描"是黑客攻擊和防護中經(jīng)常要用到的兩種端口技術,,在黑客攻擊中利用它們可以準確地尋找攻擊的目標,,獲取有用信息,在個人及網(wǎng)絡防護方面通過這種端口技術的應用可以及時發(fā)現(xiàn)黑客的攻擊及一些安全漏洞,。下面首先簡單介紹一下這兩種端口技術的異同,。
"端口偵聽"是利用某種程序對目標計算機的端口進行監(jiān)視,查看目標計算機上有哪能些端口是空閑,、可以利用的,。通過偵聽還可以捕獲別人有用的信息,這主要是用在黑客軟件中,,但對于個人來說也是非常有用的,,可以用偵聽程序來保護自己的計算機,在自己計算機的選定端口進行監(jiān)視,,這樣可以發(fā)現(xiàn)并攔截一些黑客的攻擊,。也可以偵聽別人計算機的指定端口,看是否空閑,,以便入侵,。
"端口掃描"(port scanning)是通過連接到目標系統(tǒng)的TCP協(xié)議或UDP協(xié)議端口,來確定什么服務正在運行,,然后獲取相應的用戶信息?,F(xiàn)在有許多人把"端口偵聽"與"端口掃描"混為一談,根本分不清什么樣的情況下要用偵聽技術,,什么樣的情況下要用掃描技術,。不過,現(xiàn)在的這類軟件也似乎對這兩種技術有點模糊了,,有的干脆把兩個功能都集成在一塊,。
"端口偵聽"與"端口掃描"有相似之處,也有區(qū)別的地方,,相似的地方是都可以對目標計算機進行監(jiān)視,,區(qū)別的地方是"端口偵聽"屬于一種被動的過程,等待別人的連接的出現(xiàn),,通過對方的連接才能偵聽到需要的信息,。在個人應用中,如果在設置了當偵聽到有異常連接立即向用戶報告這個功能時,,就可以有效地偵聽黑客的連接企圖,,及時把駐留在本機上的木馬程序清除掉,。這個偵聽程序一般是安裝在目標計算機上。用在黑客中的"端口偵聽"通常是黑客程序駐留在服務器端等待服務器端在進行正?;顒訒r捕獲黑客需要的信息,然后通過UDP協(xié)議無連接方式發(fā)出去,。而"端口掃描"則是一種主動過程,,它是主動對目標計算機的選定端口進行掃描,實時地發(fā)現(xiàn)所選定端口的所有活動(特別是對一些網(wǎng)上活動),。掃描程序一般是安裝在客戶端,,但是它與服務器端的連接也主要是通過無連接方式的UDP協(xié)議連接進行。
在網(wǎng)絡中,,當信息進行傳播的時候,,可以利用工具,將網(wǎng)絡接口設置在偵聽的模式,,便可將網(wǎng)絡中正在傳播的信息截獲或者捕獲到,,從而進行攻擊。端口偵聽在網(wǎng)絡中的任何一個位置模式下都可實施進行,,而黑客一般都是利用端口偵聽來截取用戶口令,。
四、端口偵聽原理
以太網(wǎng)(Ethernet)協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有計算機,。在包頭中包括有應該接收數(shù)據(jù)包的計算機的正確地址,,因為只有與數(shù)據(jù)包中目標地址一致的那臺計算機才能接收到信息包。但是當計算機工作在偵聽模式下,,不管數(shù)據(jù)包中的目標物理地址是什么,,計算機都將可以接收到。當同一網(wǎng)絡中的兩臺計算機通信的時候,,源計算機將寫有目的計算機地址的數(shù)據(jù)包直接發(fā)向目的計算機,,或者當網(wǎng)絡中的一臺計算機同外界的計算機通信時,源計算機將寫有目的計算機IP地址的數(shù)據(jù)包發(fā)向網(wǎng)關,。但這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去,,要發(fā)送的數(shù)據(jù)包必須從TCP/IP協(xié)議的IP協(xié)議層交給網(wǎng)絡接口--數(shù)據(jù)鏈路層。網(wǎng)絡接口不會識別IP地址的,,在網(wǎng)絡接口中,,由IP協(xié)議層來的帶有IP地址的數(shù)據(jù)包又增加了一部分以太網(wǎng)的幀頭信息。在幀頭中,,有兩個域分別為只有網(wǎng)絡接口才能識別的源計算機和目的計算機的物理地址,,這是一個48位的地址,這個48位的地址是與IP地址相對應的,。換句話說,,一個IP地址也會對應一個物理地址,。對于作為網(wǎng)關的計算機,由于它連接了多個網(wǎng)絡,,它也就同時具備有很多個IP地址,,在每個網(wǎng)絡中它都有一個。而發(fā)向網(wǎng)絡外的幀中繼攜帶的是網(wǎng)關的物理地址,。
以太網(wǎng)中填寫了物理地址的幀從網(wǎng)絡端口中(或者從網(wǎng)關端口中)發(fā)送出去,,傳送到物理的線路上。如果局域網(wǎng)是由一條粗同軸電纜或細同軸電纜連接成的,,那么數(shù)字信號在電纜上傳輸信號就能夠到達線路上的每一臺計算機,。再當使用集線器的時候,發(fā)送出去的信號到達集線器,,由集線器再發(fā)向連接在集線器上的每一條線路,。這樣在物理線路上傳輸?shù)臄?shù)字信號也就能到達連接在集線器上的每個計算機了。當數(shù)字信號到達一臺計算機的網(wǎng)絡接口時,,正常狀態(tài)下網(wǎng)絡接口對讀入數(shù)據(jù)幀進行檢查,,如數(shù)據(jù)幀中攜帶的物理地址是自己的或者物理地址是廣播地址,那么就會將數(shù)據(jù)幀交給IP協(xié)議層軟件,。對于每個到達網(wǎng)絡接口的數(shù)據(jù)幀都要進行這個過程的,。但是當計算機工作在偵聽模式下,所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理,。
當連接在同一條電纜或集線器上的計算機被邏輯地分為幾個子網(wǎng)的時候,,那么要是有一臺計算機處于偵聽模式,它可以接收到發(fā)向與自己不在同一個子網(wǎng)(使用了不同的掩碼,、IP地址和網(wǎng)關)的計算機的數(shù)據(jù)包,,在同一個物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健?
在UNIX系統(tǒng)上,當擁有超級權限的用戶要想使自己所控制的計算機進入偵聽模式,,只需要向Interface(網(wǎng)絡接口)發(fā)送I/O控制命令,,就可以使計算機設置成偵聽模式了。而在Windows 9x的系統(tǒng)中則不論用戶是否有權限都將可以通過直接運行偵聽工具就可以實現(xiàn),。
在端口處于偵聽時,,常常要保存大量的信息(也包含很多的垃圾信息),并將對收集的信息進行大量的整理,,這樣就會使正在偵聽的計算機對其他用戶的請求響應變的很慢,。同時偵聽程序在運行的時候需要消耗大量的處理器時間,如果在這時就詳細的分析包中的內(nèi)容,,許多包就會來不及接收而被漏走,。所以偵聽程序很多時候就會將偵聽得到的包存放在文件中等待以后分析。分析偵聽到的數(shù)據(jù)包是很頭疼的事情,因為網(wǎng)絡中的數(shù)據(jù)包都非常之復雜,。兩臺計算機之間連續(xù)發(fā)送和接收數(shù)據(jù)包,,在偵聽到的結果中必然會加一些別的計算機交互的數(shù)據(jù)包。偵聽程序將同一TCP協(xié)議會話的包整理到一起就相當不容易,,如果還期望將用戶詳細信息整理出來就需要根據(jù)協(xié)議對包進行大量的分析,。
現(xiàn)在網(wǎng)絡中所使用的協(xié)議都是較早前設計的,許多協(xié)議的實現(xiàn)都是基于一種非常友好的,,通信的雙方充分信任的基礎,。在通常的網(wǎng)絡環(huán)境之下,用戶的信息包括口令都是以明文的方式在網(wǎng)上傳輸?shù)?,因此進行端口偵聽從而獲得用戶信息并不是一件難點事情,只要掌握有初步的TCP/IP協(xié)議知識就可以輕松的偵聽到想要的信息的,。
五,、端口掃描原理
"端口掃描"通常指用同一信息對目標計算機的所有所需掃描的端口進行發(fā)送,然后根據(jù)返回端口狀態(tài)來分析目標計算機的端口是否打開、是否可用。"端口掃描"行為的一個重要特征是:在短時期內(nèi)有很多來自相同的信源地址傳向不同的目的地端口的包,。
對于用端口掃描進行攻擊的人來說,,攻擊者總是可以做到在獲得掃描結果的同時,使自己很難被發(fā)現(xiàn)或者說很難被逆向跟蹤,。為了隱藏攻擊,攻擊者可以慢慢地進行掃描。除非目標系統(tǒng)通常閑著(這樣對一個沒有l(wèi)isten端口的數(shù)據(jù)包都會引起管理員的注意),,有很大時間間隔的端口掃描是很難被識別的。隱藏源地址的方法是發(fā)送大量的欺騙性的端口掃描包(1000個),,其中只有一個是從真正的源地址來的,。這樣,即使全部包(1000)都被察覺,,被記錄下來,,也沒有人知道哪個是真正的信源地址。能發(fā)現(xiàn)的僅僅是"曾經(jīng)被掃描過",。也正因為這樣那些黑客們才樂此不彼地繼續(xù)大量使用這種端口掃描技術來達到他們獲取目標計算機信息,、并進行惡意攻擊。
通常進行端口掃描的工具目前主要采用的是端口掃描軟件,,也通稱之為"端口掃描器",,端口掃描可以為提供三個用途:
(1)識別目標系統(tǒng)上正在運行的TCP協(xié)議和UDP協(xié)議服務,。
?。?)識別目標系統(tǒng)的操作系統(tǒng)類型(Windows 9x, Windows NT,或UNIX,等),。
?。?)識別某個應用程序或某個特定服務的版本號。
端口掃描器是一種自動檢測遠程或本地計算機安全性弱點的程序,,通過使用掃描器你可不留痕跡的發(fā)現(xiàn)遠程服務器的各種TCP協(xié)議端口的分配及提供的服務,,還可以得知它們所使用的軟件版本!這就能讓間接的了解到遠程計算機所存在的安全問題,。
端口掃描器通過選用遠程TCP/IP協(xié)議不同的端口的服務,,記錄目標計算機端口給予的回答的方法,可以搜集到很多關于目標計算機的各種有用信息(比如:是否有端口在偵聽,?是否允許匿名登陸,?是否有可寫的FTP目錄,是否能用TELNET等,。
端口掃描器并不是一個直接攻擊網(wǎng)絡漏洞的程序,,它僅僅能幫助發(fā)現(xiàn)目標機的某些內(nèi)在的弱點。一個好的掃描器還能對它得到的數(shù)據(jù)進行分析,,幫助查找目標計算機的漏洞,。但它不會提供一個系統(tǒng)的詳細步驟。
端口掃描器在掃描過程中主要具有以下三個方面的能力:
?。?) 發(fā)現(xiàn)一個計算機或網(wǎng)絡的能力,;
(2) 一旦發(fā)現(xiàn)一臺計算機,,就有發(fā)現(xiàn)目標計算機正在運行什么服務的能力,;
(3) 通過測試目標計算機上的這些服務,,發(fā)現(xiàn)存在的漏洞的能力,。
編寫掃描器程序必須要很多TCP/IP協(xié)議程序編寫和C,Perl和或SHELL語言的知識,。需要一些Socket編程的背景,,一種在開發(fā)客戶/服務應用程序的方法。
五,、常用端口
在計算機的6萬多個端口,,通常把端口號為1024以內(nèi)的稱之為常用端口,這些常用端口所對應的服務通常情況下是固定的,,所以了解這些常用端口在一定程序上是非常必要的,,下表2列出了計算機的常用端口所對應的服務(注:在這列表中各項"="前面的數(shù)字為端口號,"="后面的為相應端口服務,。),。
| 1=tcpmux(TCP協(xié)議 Port Service Multiplexer) |
| 2=compressnet=Management Utility |
| 3=compressnet=Compression Process |
| 5=rje(Remote Job Entry) |
| 7=echo=Echo |
| 9=discard |
| 11=systat,Active Users |
| 13=daytime |
| 17=qotd(Quote of the Day) |
| 18=msp(Message Send Protocol) |
| 19=Character Generator |
| 20=FTP-data(File Transfer [Default Data]) |
| 21=FTP(File Transfer [Control]) |
| 22=ssh |
| 23=telnet |
| 24=private mail system |
| 25=smtp(Simple Mail Transfer) |
| 27=nsw-fe(NSW User System FE) |
| 29=msg-icp |
| 31=msg-auth |
| 33=Display Support Protocol |
| 35=private printer server |
| 37=time |
| 38=rap(Route Access Protocol) |
| 39=rlp(Resource Location Protocol) |
| 41=graphics |
| 42=nameserver(WINS Host Name Server) |
| 43=nicname(Who Is) |
| 44=mpm-flags(MPM FLAGS Protocol) |
| 45=mpm(Message Processing Module [recv]) |
| 46=mpm-snd(MPM [default send]) |
| 47=ni-ftp |
| 48=Digital Audit Daemon |
| 49=tacacs(Login Host Protocol (TACACS)) |
| 50=re-mail-ck(Remote Mail Checking Protocol) |
| 51=la-maint(IMP Logical Address Maintenance) |
| 52=xns-time(XNS Time Protocol) |
| 53=Domain Name Server |
| 54=xns-ch(XNS Clearinghouse) |
| 55=isi-gl(ISI Graphics Language) |
| 56=xns-auth(XNS Authentication) |
| 57= private terminal access |
| 58=xns-mail(XNS Mail) |
| 59=private file service |
| 61=ni-mail(NI MAIL) |
| 62=acas(ACA Services) |
| 63=whois+whois+ |
| 64=covia(Communications Integrator (CI)) |
| 65=tacacs-ds(TACACS-Database Service) |
| 66=sql*net(Oracle SQL*NET) |
| 67=bootps(Bootstrap Protocol Server) |
| 68=bootpc(Bootstrap Protocol Client) |
| 69=tftp(Trivial File Transfer) |
| 70=gopher |
| 71=netrjs-1,Remote Job Service |
| 72=netrjs-2,Remote Job Service |
| 73=netrjs-3,Remote Job Service |
| 74=netrjs-4,Remote Job Service |
| 75=private dial out service |
| 76=deos(Distributed External Object Store) |
| 77=private RJE service |
| 78=vettcp |
| 79=finger |
| 80=http(World Wide Web HTTP) |
| 81=hosts2-ns(HOSTS2 Name Server) |
| 82=xfer(XFER Utility) |
| 83=mit-ml-dev(MIT ML Device) |
| 84=ctf(Common Trace Facility) |
| 85=mit-ml-dev(MIT ML Device) |
| 86=mfcobol(Micro Focus Cobol) |
| 87= private terminal link |
| 88=kerberos |
| 89=su-mit-tg(SU/MIT Telnet Gateway) |
| 90=dnsix(DNSIX Securit Attribute Token Map) |
| 91=mit-dov(MIT Dover Spooler) |
| 92=npp(Network Printing Protocol) |
| 93=dcp(Device Control Protocol) |
| 94=objcall(Tivoli Object Dispatcher) |
| 95=supdup |
| 96=dixie(DIXIE Protocol Specification) |
| 97=swift-rvf(Swift Remote Virtural File Protocol) |
| 98=tacnews |
| 99=metagram,Metagram Relay |
| 100=newacct,[unauthorized use] |
| 101=hostname,NIC Host Name Server |
| 102=iso-tsap(ISO-TSAP Class 0) |
| 103=gppitnp(Genesis Point-to-Point Trans Net) |
| 104=acr-nema(ACR-NEMA Digital Imag. & Comm. 300) |
| 105=Mailbox Name Nameserver |
| 106=3com-tsmux(3COM-TSMUX) |
| 107=rtelnet(Remote Telnet Service) |
| 108=snagas(SNA Gateway Access Server) |
| 109=pop2(Post Office Protocol - Version 2) |
| 110=pop3(Post Office Protocol - Version 3) |
| 111=sunrpc(SUN Remote Procedure Call) |
| 112=mcidas(McIDAS Data Transmission Protocol) |
| 113=auth(Authentication Service) |
| 114=audionews(Audio News Multicast) |
| 115=sftp(Simple File Transfer Protocol) |
| 116=ansanotify(ANSA REX Notify) |
| 117=uucp-path(UUCP Path Service) |
| 118=sqlserv |
| 119=nntp(Network News Transfer Protocol) |
| 120=cfdptkt |
| 121=erpc(Encore Expedited Remote Pro.Call) |
| 122=smakynet |
| 123=ntp(Network Time Protocol) |
| 124=ansatrader(ANSA REX Trader) |
| 125=locus-map(Locus PC-Interface Net Map Ser) |
| 126=unitary(Unisys Unitary Login) |
| 127=locus-con(Locus PC-Interface Conn Server) |
| 128=gss-xlicen(GSS X License Verification) |
| 129=pwdgen(Password Generator Protocol) |
| 130=cisco-fna(cisco FNATIVE) |
| 131=cisco-tna(cisco TNATIVE) |
| 132=cisco-sys(cisco SYSMAINT) |
| 133=statsrv(Statistics Service) |
| 134=ingres-net(INGRES-NET Service) |
| 135=epmap(DCE endpoint resolution) |
| 136=profile(PROFILE Naming System) |
| 137=netbios-ns(NETBIOS Name Service) |
| 138=netbios-dgm(NETBIOS Datagram Service) |
| 139=netbios-ssn(NETBIOS Session Service) |
| 140=emfis-data(EMFIS Data Service) |
| 141=emfis-cntl(EMFIS Control Service) |
| 142=bl-idm(Britton-Lee IDM) |
| 143=imap(Internet Message Access Protocol) |
| 144=news |
| 145=uaac(UAAC Protocol) |
| 146=iso-tp0 |
| 147=iso-ip |
| 148=jargon |
| 149=aed-512(AED 512 Emulation Service) |
| 150=sql-net |
| 151=hems |
| 152=bftp(Background File Transfer Program) |
| 153=sgmp |
| 154=netsc-prod,NETSC |
| 155=netsc-dev,NETSC |
| 156=sqlsrv(SQL Service) |
| 157=knet-cmp(KNET/VM Command/Message Protocol) |
| 158=pcmail-srv |
| 159=nss-routing |
| 160=sgmp-traps |
| 161=snmp |
| 162=snmptrap |
| 163=cmip-man |
| 164=cmip-agent |
| 165=xns-courier(Xerox) |
| 166=s-net(Sirius Systems) |
| 167=namp |
| 168=rsvd |
| 169=send |
| 170=print-srv(Network PostScript) |
| 171=multiplex(Network Innovations Multiplex) |
| 172=cl/1(Network Innovations CL/1) |
| 173=xyplex-mux(Xyplex) |
| 174=mailq |
| 175=vmnet |
| 176=genrad-mux |
| 177=xdmcp(X Display Manager Control Protocol) |
| 178=nextstep(NextStep Window Server) |
| 179=bgp(Border Gateway Protocol) |
| 180=ris(Intergraph) |
| 181=unify |
| 182=audit(Unisys Audit SITP) |
| 183=ocbinder |
| 184=ocserve |
| 185=remote-kis |
| 186=kis(KIS Protocol) |
| 187=aci(Application Communication Interface) |
| 188=mumps(Plus Five‘s MUMPS) |
| 189=qft(Queued File Transport) |
| 190=gacp(Gateway Access Control Protocol) |
| 191=prospero(Prospero Directory Service) |
| 192=osu-nms(OSU Network Monitoring System) |
| 193=srmp(Spider Remote Monitoring Protocol) |
| 194=irc(Internet Relay Chat Protocol) |
| 195=dn6-nlm-aud(DNSIX Network Level Module Audit) |
| 196=dn6-smm-red(DNSIX Session Mgt Module Audit Redir) |
| 197=dls(Directory Location Service) |
| 198=dls-mon(Directory Location Service Monitor) |
| 199=smux |
| 200=src(IBM System Resource Controller) |
| 201=at-rtmp(AppleTalk Routing Maintenance) |
| 202=at-nbp(AppleTalk Name Binding) |
| 203=at-3(AppleTalk Unused) |
| 204=at-echo(AppleTalk Echo) |
| 205=at-5(AppleTalk Unused) |
| 206=at-zis(AppleTalk Zone Information) |
| 207=at-7(AppleTalk Unused) |
| 208=at-8(AppleTalk Unused) |
| 209=qmtp(The Quick Mail Transfer Protocol) |
| 210=z39.50(ANSI Z39.50) |
| 211=914c/g(Texas Instruments 914C/G Terminal) |
| 212=anet(ATEXSSTR) |
| 213=ipx |
| 214=vmpwscs |
| 215=softpc(Insignia Solutions) |
| 216=CAIlic(Computer Associates Int‘l License Server) |
| 217=dbase(dBASE Unix) |
| 218=mpp(Netix Message Posting Protocol) |
| 219=uarps(Unisys ARPs) |
| 220=imap3(Interactive Mail Access Protocol v3) |
| 221=fln-spx(Berkeley rlogind with SPX auth) |
| 222=rsh-spx(Berkeley rshd with SPX auth) |
| 223=cdc(Certificate Distribution Center) |
| 242=direct |
| 243=sur-meas(Survey Measurement) |
| 244=dayna |
| 245=link |
| 246=dsp3270(Display Systems Protocol) |
| 256=rap |
| 257=set(Secure Electronic Transaction) |
| 258=yak-chat(Yak Winsock Personal Chat) |
| 259=esro-gen(Efficient Short Remote Operations) |
| 260=openport |
| 261=naming-iiop-ssl(IIOP Naming Service (SSL)) |
| 262=arcisdms |
| 263=hdap |
| 280=http-mgmt |
| 281=personal-link |
| 282=cableport-ax |
| 309=entrusttime |
| 344=pdap(Prospero Data Access Protocol) |
| 345=pawserv(Perf Analysis Workbench) |
| 346=zserv(Zebra server) |
| 347=fatserv(Fatmen Server) |
| 348=csi-sgwp(Cabletron Management Protocol) |
| 349=mftp |
| 350=matip-type-a |
| 351=matip-type-b |
| 371=clearcase |
| 372=ulistproc(ListProcessor) |
| 373=legent-1(Legent Corporation) |
| 374=legent-2(Legent Corporation) |
| 375=hassle |
| 376=nip(Amiga Envoy Network Inquiry Proto) |
| 377=tnETOS(NEC Corporation) |
| 378=dsETOS(NEC Corporation) |
| 379=is99c(TIA/EIA/IS-99 modem client) |
| 380=is99s(TIA/EIA/IS-99 modem server) |
| 381=hp-collector(hp performance data collector) |
| 382=hp-managed-node(hp performance data managed node) |
| 383=hp-alarm-mgr(hp performance data alarm manager) |
| 384=arns(A Remote Network Server System) |
| 385=ibm-app(IBM Application) |
| 386=asa(ASA Message Router Object Def.) |
| 387=aurp(Appletalk Update-Based Routing Pro.) |
| 388=unidata-ldm(Unidata LDM Version 4) |
| 389=ldap(Lightweight Directory Access Protocol) |
| 390=uis |
| 391=synotics-relay(SynOptics SNMP Relay Port) |
| 392=synotics-broker(SynOptics Port Broker Port) |
| 393=dis(Data Interpretation System) |
| 394=embl-ndt(EMBL Nucleic Data Transfer) |
| 395=netcp(NETscout Control Protocol) |
| 396=netware-ip(Novell Netware over IP協(xié)議) |
| 397=mptn(Multi Protocol Trans. Net.) |
| 398=kryptolan |
| 399=iso-tsap-c2(ISO Transport Class 2 Non-Control over TCP協(xié)議) |
| 400=work-sol(Workstation Solutions) |
| 401=ups(Uninterruptible Power Supply) |
| 402=genie(Genie Protocol) |
| 403=decap |
| 404=nced |
| 405=ncld |
| 406=imsp(Interactive Mail Support Protocol) |
| 407=timbuktu |
| 408=prm-sm(Prospero Resource Manager Sys. Man.) |
| 409=prm-nm(Prospero Resource Manager Node Man.) |
| 410=decladebug(DECLadebug Remote Debug Protocol) |
| 411=rmt(Remote MT Protocol) |
| 412=synoptics-trap(Trap Convention Port) |
| 413=smsp |
| 414=infoseek |
| 415=bnet |
| 416=silverplatter |
| 417=onmux |
| 418=hyper-g |
| 419=ariel1 |
| 420=smpte |
| 421=ariel2 |
| 422=ariel3 |
| 423=opc-job-start(IBM Operations Planning and Control Start) |
| 424=opc-job-track(IBM Operations Planning and Control Track) |
| 425=icad-el(ICAD) |
| 426=smartsdp |
| 427=svrloc(Server Location) |
| 428=ocs_cmu |
| 429=ocs_amu |
| 430=utmpsd |
| 431=utmpcd |
| 432=iasd |
| 433=nnsp |
| 434=mobileip-agent |
| 435=mobilip-mn |
| 436=dna-cml |
| 437=comscm |
| 438=dsfgw |
| 439=dasp(dasp Thomas Obermair) |
| 440=sgcp |
| 441=decvms-sysmgt |
| 442=cvc_hostd |
| 443=https(https Mcom) |
| 444=snpp(Simple Network Paging Protocol) |
| 445=microsoft-ds |
| 446=ddm-rdb |
| 447=ddm-dfm |
| 448=ddm-byte |
| 449=as-servermap |
| 450=tserver |
| 451=sfs-smp-net(Cray Network Semaphore server) |
| 452=sfs-config(Cray SFS config server) |
| 453=creativeserver |
| 454=contentserver |
| 455=creativepartnr |
| 456=macon-tcp |
| 457=scohelp |
| 458=appleqtc(apple quick time) |
| 459=ampr-rcmd |
| 460=skronk |
| 461=datasurfsrv |
| 462=datasurfsrvsec |
| 463=alpes |
| 464=kpasswd |
| 465=ssmtp |
| 466=digital-vrc |
| 467=mylex-mapd |
| 468=photuris |
| 469=rcp(Radio Control Protocol) |
| 470=scx-proxy |
| 471=mondex |
| 472=ljk-login |
| 473=hybrid-pop |
| 474=tn-tl-w1 |
| 475=tcpnethaspsrv |
| 476=tn-tl-fd1 |
| 477=ss7ns |
| 478=spsc |
| 479=iafserver |
| 480=iafdbase |
| 481=ph(Ph service) |
| 482=bgs-nsi |
| 483=ulpnet |
| 484=integra-sme(Integra Software Management Environment) |
| 485=powerburst(Air Soft Power Burst) |
| 486=avian |
| 487=saft |
| 488=gss-http |
| 489=nest-protocol |
| 490=micom-pfs |
| 491=go-login |
| 492=ticf-1(Transport Independent Convergence for FNA) |
| 493=ticf-2(Transport Independent Convergence for FNA) |
| 494=pov-ray |
| 495=intecourier |
| 496=pim-rp-disc |
| 497=dantz |
| 498=siam |
| 499=iso-ill(ISO ILL Protocol) |
| 500=isakmp |
| 501=stmf |
| 502=asa-appl-proto |
| 503=intrinsa |
| 504=citadel |
| 505=mailbox-lm |
| 506=ohimsrv |
| 507=crs |
| 508=xvttp |
| 509=snare |
| 510=fcp(FirstClass Protocol) |
| 511=mynet(mynet-as) |
| 512=exec(remote process execution) |
| 513=login(remote login a la telnet) |
| 514=shell,cmd |
| 515=printer,spooler |
| 516=videotex |
| 517=talk(like tenex link) |
| 518=ntalk |
| 519=utime(unixtime) |
| 520=efs(extended file name server) |
| 521=ripng |
| 522=ulp |
| 523=ibm-db2 |
| 524=ncp |
| 525=timed(timeserver) |
| 526=tempo(newdate) |
| 527=stx(Stock IXChange) |
| 528=custix(Customer IXChange) |
| 529=irc-serv |
| 530=courier,rpc |
| 531=conference,chat |
| 532=netnews |
| 533=netwall(for emergency broadcasts) |
| 534=mm-admin(MegaMedia Admin) |
| 535=iiop |
| 536=opalis-rdv |
| 537=nmsp(Networked Media Streaming Protocol) |
| 538=gdomap |
| 539=apertus-ldp(Apertus Technologies Load Determination) |
| 540=uucp |
| 541=uucp-rlogin |
| 542=commerce |
| 543=klogin |
| 544=kshell,krcmd |
| 545=appleqtcsrvr |
| 546=dhcpv6-client |
| 547=dhcpv6-server |
| 548=afpovertcp(AFP over TCP協(xié)議) |
| 549=idfp |
| 550=new-rwho |
| 551=cybercash |
| 552=deviceshare |
| 553=pirp |
| 554=rtsp(Real Time Stream Control Protocol) |
| 555=dsf |
| 556=remotefs(rfs server) |
| 557=openvms-sysipc |
| 558=sdnskmp |
| 559=teedtap |
| 560=rmonitor |
| 561=monitor,? |
| 562=chshell,chcmd |
| 563=snews |
| 564=9pfs(plan 9 file service) |
| 565=whoami |
| 566=streettalk |
| 567=banyan-rpc |
| 568=ms-shuttle(microsoft shuttle) |
| 569=ms-rome(microsoft rome) |
| 570=meter,demon |
| 571=meter,udemon |
| 572=sonar |
| 573=banyan-vip |
| 574=ftp-agent(FTP Software Agent System) |
| 575=vemmi |
| 576=ipcd |
| 577=vnas |
| 578=ipdd |
| 579=decbsrv |
| 580=sntp-heartbeat=SNTP HEARTBEAT |
| 581=bdp(Bundle Discovery Protocol) |
| 600=ipcserver(Sun IP協(xié)議C server) |
| 606=urm(Cray Unified Resource Manager) |
| 607=nqs |
| 608=nsift-uft(Sender-Initiated/Unsolicited File Transfer) |
| 609=npmp-trap |
| 610=npmp-local |
| 611=npmp-gui |
| 612=hmmp-ind(HMMP Indication) |
| 613=hmmp-op(HMMP Operation) |
| 614=sshell(SSLshell) |
| 615=sco-inetmgr(Internet Configuration Manager) |
| 616=sco-sysmgr(SCO System Administration Server) |
| 617=sco-dtmgr(SCO Desktop Administration Server) |
| 618=dei-icda |
| 619=digital-evm |
| 620=sco-websrvrmgr(SCO WebServer Manager) |
| 633=servstat(Service Status update (Sterling Software)) |
| 634=ginad |
| 635=rlzdbase |
| 636=ssl-ldap |
| 637=lanserver |
| 666=mdqs |
| 667=disclose(campaign contribution disclosures - SDR Technologies) |
| 668=mecomm |
| 669=meregister |
| 670=vacdsm-sws |
| 671=vacdsm-app |
| 672=vpps-qua |
| 673=cimplex |
| 674=acap |
| 704=elcsd(errlog copy/server daemon) |
| 705=agentx |
| 709=entrust-kmsh(Entrust Key Management Service Handler) |
| 710=entrust-ash(Entrust Administration Service Handler) |
| 729=netviewdm1(IBM NetView DM/6000 Server/Client) |
| 730=netviewdm2(IBM NetView DM/6000 send) |
| 731=netviewdm3(IBM NetView DM/6000 receive) |
| 741=netgw |
| 742=netrcs(Network based Rev. Cont. Sys.) |
| 744=flexlm(Flexible License Manager) |
| 747=fujitsu-dev(Fujitsu Device Control) |
| 748=ris-cm(Russell Info Sci Calendar Manager) |
| 749=kerberos-adm(kerberos administration) |
| 750=rfile |
| 751=pump |
| 752=qrh |
| 753=rrh |
| 754=tell,send |
| 758=nlogin |
| 759=con |
| 760=ns |
| 761=rxe |
| 762=quotad |
| 763=cycleserv |
| 764=omserv |
| 765=webster |
| 767=phonebook,phone |
| 769=vid |
| 770=cadlock |
| 771=rtip |
| 772=cycleserv2 |
| 773=submit |
| 774=rpasswd |
| 775=entomb |
| 776=wpages |
| 780=wpgs |
| 786=concert |
| 800=mdbs_daemon |
| 801=device |
| 886=iclcnet-locate(ICL coNETion locate server) |
| 887=iclcnet_svinfo(ICL coNETion server info) |
| 888=accessbuilder |
| 911=xact-backup |
| 991=nas(Netnews Administration System) |
| 995=spop3(SSL based POP3) |
| 996=vsinet |
| 997=maitrd |
| 998=busboy |
| 999=garcon |
| 1000=cadlock |
| 1023=Reserved(保留) |
| 1024=Reserved(保留 ) |
| 1435=ibm-cics |
七、常見木馬使用的端口
木馬程序通常都是通過特定的端口對目標計算機進行攻擊的,所以了解一些常見木馬程序所用的計算機端口,,對于防范木馬黑客程序的攻擊非常有用,,下表3列出了當前常見的一些木馬程序所使用的端口。
國產(chǎn)常見木馬使用端口:
| 19191=藍色火焰 |
| 2000=黑洞2000 |
| 2001=黑洞2001 |
| 23444=網(wǎng)絡公牛,,netbull |
| 23445=網(wǎng)絡公牛,,netbull |
| 27374=Sub Seven 2.0+,77,,東方魔眼 |
| 31338=Back Orifice |
| 31338=DeepBO |
| 31339=NetSpy DK |
| 31666=BOWhack |
| 34324= BigGluck |
| 40412 =The Spy |
| 40421= Masters Paradise |
| 40422= Masters Paradise 1.x |
| 40423= Masters Paradise 2.x |
| 40426= Masters Paradise 3.x |
| 50505 =Sockets de Troie |
| 50766 =Fore |
| 6267=廣外女生 |
| 7306=網(wǎng)絡精靈3.0,,netspy3.0 |
| 7626=冰河 |
| 8011=wry,賴小子,,火鳳凰 |
| 8102=網(wǎng)絡神偷 | 國外常見木馬使用端口:
| 1001 =WebEx |
| 1001= Silencer |
| 1001= Silencer |
| 1001= Silencer |
| 1001= WebEx |
| 10067 =Portal of Doom 4.x |
| 1011= Doly Trojan |
| 1011= Doly Trojan |
| 10167= Portal of Doom 5.x |
| 1033 =Netspy |
| 11000 =Senna Spy |
| 11000 =Senna Spy Trojans |
| 11223 = Progenic Trojan |
| 11223= Progenic trojan |
| 1170 =Psyber Stream Server |
| 1170 =Streaming Audio Trojan |
| 12076 =Gjamer |
| 121 =BO jammerkillahV |
| 12223 = Hack?99 KeyLogger |
| 12223= Hack?99 KeyLogger |
| 1234= Ultors Trojan |
| 12346 =NetBus 1.x |
| 12361 =Whack-a-mole |
| 12362 =Whack-a-mole 1.x |
| 1243 =SubSeven |
| 1245 = Vodoo |
| 1245 =VooDoo Doll |
| 1245= GabanBus |
| 1245= NetBus |
| 1492 =FTP99CMP |
| 1492= FTP99CMP |
| 1509 =Psyber Streaming Server |
| 1600 =Shivka-Burka |
| 1600= Shiva Burka |
| 16969 =Priority |
| 16969= Priotrity |
| 1807= SpySender |
| 1981 = ShockRave |
| 1981= Shockrave |
| 1999 =BackDoor |
| 1999 =Backdoor |
| 20000= Millenium |
| 20001 =Millennium |
| 2001 = TrojanCow |
| 2001= Trojan Cow |
| 20034 = NetBus Pro |
| 20034= NetBus 2 Pro |
| 2023 =Pass Ripper |
| 2023= Ripper |
| 2115= Bugs |
| 2140 =Deep Throat |
| 2140= The Invasor |
| 21544=GirlFriend |
| 21554 =GirlFriend |
| 22222= Prosiak 0.47 |
| 22222=Prosiak |
| 23456 = UglyFtp |
| 23456= Ugly FTP |
| 23456= WhackJob |
| 23456=Evil FTP |
| 2565 = Striker |
| 2583 = Wincrash2 |
| 26274= Delta |
| 2801 =Phineas |
| 2801= Phineas Phucker |
| 30100= NetSphere |
| 30129 =Masters Paradise |
| 30303 =Socket23 |
| 30999= Kuang |
| 31337 =Back Orifice |
| 31339 =NetSpy DK |
| 33333=Prosiak |
| 34324= BigGluck= |
| 34324= Tiny Telnet Server |
| 3700= Portal of Doom |
| 40412 = TheSpy |
| 40423= Master Paradise |
| 4092 =WinCrash |
| 456 =Hackers Paradise |
| 4590 =ICQTrojan |
| 4950 = IcqTrojan |
| 4950= IcqTrojen |
| 5000 =Sockets de Troie |
| 5001 =Sockets de Troie 1.x |
| 50766 =Fore= Schwindler |
| 53001 = Remote Windows Shutdown |
| 53001 = Remote Windows Shutdown |
| 53001 =Remote Windows Shutdown |
| 5321 = Firehotcker |
| 5321= Firehotcker |
| 5400 = Blade Runner |
| 5400 =Blade Runner |
| 5401= Blade Runner 1.x |
| 5402 =Blade Runner 2.x |
| 555= Phase0 |
| 555= Stealth Spy |
| 5569 =Robo-Hack |
| 5569= RoboHack |
| 5742 = Wincrash |
| 61466 =Telecommando |
| 61466= Telecommando |
| 6400= The tHing |
| 65000 =Devil |
| 65000= Devil 1.03 |
| 666 =Attack FTP |
| 666 =Satanz Backdoor |
| 6670 =DeepThroat |
| 6771= DeepThroat |
| 6939 =Indoctrination |
| 6969 =Gatecrasher |
| 6969 =Priority |
| 6969= GateCrasher |
| 7000= Remote Grab |
| 7300 =NetMonitor |
| 7301= NetMonitor 1.x |
| 7306 =NetMonitor 2.x |
| 7306= NetMonitor |
| 7307= NetMonitor 3.x |
| 7308 =NetMonitor 4.x |
| 7789 =ICQKiller |
| 7789= ICKiller |
| 9872 = Portal Of Doom |
| 9872 =Portal of Doom |
| 9873 =Portal of Doom 1.x |
| 9874 =Portal of Doom 2.x |
| 9875 =Portal of Doom 3.x |
| 9875=Portal of Doom |
| 9989 = InIkiller |
| 9989 =iNi-Killer |
| 9989= iNi-Killer |
七,、常見端口詳解及部分攻擊策略
端口可分為3大類:
1) 公認端口(Well Known Ports):從0到1023,它們緊密綁定于一些服務,。通常這些端口的通訊明確表明了某種服 務的協(xié)議,。例如:80端口實際上總是HTTP通訊。
2) 注冊端口(Registered Ports):從1024到49151,。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口,,這些端口同樣用于許多其它目的,。例如:許多系統(tǒng)處理動態(tài)端口從1024左右開始。
3) 動態(tài)和/或私有端口(Dynamic and/or Private Ports):從49152到65535,。理論上,,不應為服務分配這些端口。實際上,,機器通常從1024起分配動態(tài)端口,。但也有例外:SUN的RPC端口從32768開始。
端口1~1024是保留端口,,所以它們幾乎不會是源端口,。但有一些例外,例如來自NAT機器的連接,。 ??匆娋o接著1024的端口,它們是系統(tǒng)分配給那些并不在乎使用哪個端口連接的應用程序的“動態(tài)端口”,。 Server Client 服務描述
1-5/tcp 動態(tài) FTP 1-5端口意味著sscan腳本
20/tcp 動態(tài) FTP FTP服務器傳送文件的端口
53 動態(tài) FTP DNS從這個端口發(fā)送UDP回應,。你也可能看見源/目標端口的TCP連接。
123 動態(tài) S/NTP 簡單網(wǎng)絡時間協(xié)議(S/NTP)服務器運行的端口,。它們也會發(fā)送到這個端口的廣播,。
27910~27961/udp 動態(tài) Quake Quake或Quake引擎驅動的游戲在這一端口運行其服務器。因此來自這一端口范圍的UDP包或發(fā)送至這一端口范圍的UDP包通常是游戲。
61000以上 動態(tài) FTP 61000以上的端口可能來自Linux NAT服務器(IP Masquerade)
- 0 通常用于分析操作系統(tǒng),。這一方法能夠工作是因為在一些系統(tǒng)中“0”是無效端口,,當你試圖使用一種通常的閉合端口連接它時將產(chǎn)生不同的結果。一種典型的掃描:使用IP地址為0.0.0.0,,設置ACK位并在以太網(wǎng)層廣播,。
- 1 tcpmux 這顯示有人在尋找SGI Irix機器。Irix是實現(xiàn)tcpmux的主要提供者,,缺省情況下tcpmux在這種系統(tǒng)中被打開,。Iris機器在發(fā)布時含有幾個缺省的無密碼的帳戶,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4 Dgifts,。許多管理員安裝后忘記刪除這些帳戶,。因此Hacker們在Internet上搜索tcpmux并利用這些帳戶。
- 7 Echo 你能看到許多人們搜索Fraggle放大器時,,發(fā)送到x.x.x.0和x.x.x.255的信息,。
常見的一種DoS攻擊是echo循環(huán)(echo-loop),攻擊者偽造從一個機器發(fā)送到另一個機器的UDP數(shù)據(jù)包,,而兩個機器分別以它們最快的方式回應這些數(shù)據(jù)包,。(參見Chargen)
另一種東西是由DoubleClick在詞端口建立的TCP連接。有一種產(chǎn)品叫做“Resonate Global Dispatch”,,它與DNS的這一端口連接以確定最近的路由,。
Harvest/squid cache將從3130端口發(fā)送UDP echo:“如果將cache的source_ping on選項打開,它將對原始主機的UDP echo 端口回應一個HIT reply,。”這將會產(chǎn)生許多這類數(shù)據(jù)包,。
- 11 sysstat 這是一種UNIX服務,它會列出機器上所有正在運行的進程以及是什么啟動了這些進程,。這為入侵者提供了許多信息而威脅機器的安全,,如暴露已知某些弱點或帳戶的程序。這與UNIX系統(tǒng)中“ps”命令的結果相似,。再說一遍:ICMP沒有端口,,ICMP port 11通常是ICMP type=11
- 19 chargen 這是一種僅僅發(fā)送字符的服務。UDP版本將會在收到UDP包后回應含有垃圾字符的包,。TCP連接時,,會發(fā)送含有垃圾字符的數(shù)據(jù)流知道連接關閉。Hacker利用IP欺騙可以發(fā)動DoS攻擊,。偽造兩個chargen服務器之間的UDP包,。由于服務器企圖回應兩個服務器之間的無限的往返數(shù)據(jù)通訊一個chargen和echo將導致服務器過載。同樣fraggle DoS攻擊向目標地址的這個端口廣播一個帶有偽造受害者IP的數(shù)據(jù)包,,受害者為了回應這些數(shù)據(jù)而過載,。
- 21 ftp 最常見的攻擊者用于尋找打開“anonymous”的ftp服務器的方法,。這些服務器帶有可讀寫的目錄。Hackers或Crackers 利用這些服務器作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜索引擎分類)的節(jié)點,。
- 22 ssh PcAnywhere建立TCP和這一端口的連接可能是為了尋找ssh,。這一服務有許多弱點。如果配置成特定的模式,,許多使用RSAREF庫的版本有不少漏洞,。(建議在其它端口運行ssh)
還應該注意的是ssh工具包帶有一個稱為make-ssh-known-hosts的程序。它會掃描整個域的ssh主機,。你有時會被使用這一程序的人無意中掃描到,。
UDP(而不是TCP)與另一端的5632端口相連意味著存在搜索pcAnywhere的掃描。5632(十六進制的0x1600)位交換后是0x0016 (使進制的22),。
- 23 Telnet 入侵者在搜索遠程登陸UNIX的服務,。大多數(shù)情況下入侵者掃描這一端口是為了找到機器運行的操作系統(tǒng)。此外使用其它技術,,入侵者會找到密碼,。
- 25 smtp 攻擊者(spammer)尋找SMTP服務器是為了傳遞他們的spam。入侵者的帳戶總被關閉,,他們需要撥號連接到高帶寬的e-mail服務器上,,將簡單的信息傳遞到不同的地址。SMTP服務器(尤其是sendmail)是進入系統(tǒng)的最常用方法之一,,因為它們必須完整的暴露于Internet且郵件的路由是復雜的(暴露+復雜=弱點),。
- 53 DNS Hacker或crackers可能是試圖進行區(qū)域傳遞(TCP),欺騙DNS(UDP)或隱藏其它通訊,。因此防火墻常常過濾或記錄53端口。
需要注意的是你常會看到53端口做為UDP源端口,。不穩(wěn)定的防火墻通常允許這種通訊并假設這是對DNS查詢的回復,。Hacker常使用這種方法穿透防火墻。
- 67和68 Bootp和DHCP UDP上的Bootp/DHCP:通過DSL和cable-modem的防火墻常會看見大量發(fā)送到廣播地址255.255.255.255的數(shù)據(jù),。這些機器在向DHCP服務器請求一個地址分配,。Hacker常進入它們分配一個地址把自己作為局部路由器而發(fā)起大量的“中間人”(man-in-middle)攻擊??蛻舳讼?8端口(bootps)廣播請求配置,,服務器向67端口(bootpc)廣播回應請求。
這種回應使用廣播是因為客戶端還不知道可以發(fā)送的IP地址,。
- 69 TFTP(UDP) 許多服務器與bootp一起提供這項服務,,便于從系統(tǒng)下載啟動代碼。但是它們常常錯誤配置而從系統(tǒng)提供任何文件,,如密碼文件,。它們也可用于向系統(tǒng)寫入文件,。
- 79 finger Hacker用于獲得用戶信息,查詢操作系統(tǒng),,探測已知的緩沖區(qū)溢出錯誤,,回應從自己機器到其它機器finger掃描。
- 98 linuxconf 這個程序提供linux boxen的簡單管理,。通過整合的HTTP服務器在98端口提供基于Web界面的服務,。它已發(fā)現(xiàn)有許多安全問題。一些版本setuid root,,信任局域網(wǎng),,在/tmp下建立Internet可訪問的文件,LANG環(huán)境變量有緩沖區(qū)溢出,。此外因為它包含整合的服務器,,許多典型的HTTP漏洞可能存在(緩沖區(qū)溢出,歷遍目錄等)
- 109 POP2 并不象POP3那樣有名,,但許多服務器同時提供兩種服務(向后兼容),。在同一個服務器上POP3的漏洞在POP2中同樣存在。
- 110 POP3 用于客戶端訪問服務器端的郵件服務,。POP3服務有許多公認的弱點,。關于用戶名和密碼交換緩沖區(qū)溢出的弱點至少有20個(這意味著Hacker可以在真正登陸前進入系統(tǒng))。成功登陸后還有其它緩沖區(qū)溢出錯誤,。
- 111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND,。訪問portmapper是掃描系統(tǒng)查看允許哪些RPC服務的最早的一步。
常見RPC服務有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等,。入侵者發(fā)現(xiàn)了允許的RPC服務將轉向提供服務的特定端口測試漏洞,。
記住一定要記錄線路中的daemon, IDS, 或sniffer,你可以發(fā)現(xiàn)入侵者正使用什么程序訪問以便發(fā)現(xiàn)到底發(fā)生了什么,。
- 113 Ident auth 這是一個許多機器上運行的協(xié)議,,用于鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多機器的信息(會被Hacker利用),。但是它可作為許多服務的記錄器,,尤其是FTP, POP, IMAP, SMTP和IRC等服務。通常如果有許多客戶通過防火墻訪問這些服務,,你將會看到許多這個端口的連接請求,。記住,如果你阻斷這個端口客戶端會感覺到在防火墻另一邊與e-mail服務器的緩慢連接,。許多防火墻支持在TCP連接的阻斷過程中發(fā)回RST,,著將回停止這一緩慢的連接。
- 119 NNTP news 新聞組傳輸協(xié)議,,承載USENET通訊,。當你鏈接到諸如:news://comp.security.firewalls/. 的地址
時通常使用這個端口,。這個端口的連接企圖通常是人們在尋找USENET服務器。多數(shù)ISP限制只有他們的客戶才能訪問他們的新聞組服務器,。打開新聞組服務器將允許發(fā)/讀任何人的帖子,,訪問被限制的新聞組服務器,匿名發(fā)帖或發(fā)送spam,。
- 135 oc-serv MS RPC end-point mapper Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務,。這與UNIX 111端口的功能很相似。使用DCOM和/或RPC的服務利用機器上的end-point mapper注冊它們的位置,。遠端客戶連接到機器時,,它們查詢end-point mapper找到服務的位置。同樣Hacker掃描機器的這個端口是為了找到諸如:這個機器上運行Exchange Server嗎,?是什么版本,?
這個端口除了被用來查詢服務(如使用epdump)還可以被用于直接攻擊。有一些DoS攻擊直接針對這個端口,。
- 137 NetBIOS name service nbtstat (UDP) 這是防火墻管理員最常見的信息,,請仔細閱讀文章后面的NetBIOS一節(jié)
- 139 NetBIOS
File and Print Sharing 通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協(xié)議被用于Windows“文件和打印機共享”和SAMBA,。在Internet上共享自己的硬盤是可能是最常見的問題,。
大量針對這一端口始于1999,后來逐漸變少,。2000年又有回升,。一些VBS(IE5 VisualBasic s cripting)開始將它們自己拷貝到這個端口,試圖在這個端口繁殖,。
143 IMAP 和上面POP3的安全問題一樣,,許多IMAP服務器有緩沖區(qū)溢出漏洞運行登陸過程中進入。記?。阂环NLinux蠕蟲(admw0rm)會通過這個端口繁殖,,因此許多這個端口的掃描來自不知情的已被感染的用戶。當RadHat在他們的Linux發(fā)布版本中默認允許IMAP 后,,這些漏洞變得流行起來,。Morris蠕蟲以后這還是第一次廣泛傳播的蠕蟲,。
這一端口還被用于IMAP2,,但并不流行。
已有一些報道發(fā)現(xiàn)有些0到143端口的攻擊源于腳本,。
- 161 SNMP(UDP) 入侵者常探測的端口,。SNMP允許遠程管理設備。所有配置和運行信息都儲存在數(shù)據(jù)庫中,,通過SNMP客獲得這些信息,。許多管理員錯誤配置將它們暴露于Internet,。Crackers將試圖使用缺省的密碼“public”“private”訪問系統(tǒng)。他們可能會試驗所有可能的組合,。
SNMP包可能會被錯誤的指向你的網(wǎng)絡,。Windows機器常會因為錯誤配置將HP JetDirect remote management軟件使用SNMP。
HP OBJECT IDENTIFIER將收到SNMP包,。新版的Win98使用SNMP解析域名,,你會看見這種包在子網(wǎng)內(nèi)廣播(cable modem, DSL)查詢sysName和其它信息。
- 162 SNMP trap 可能是由于錯誤配置
- 177 xdmcp 許多Hacker通過它訪問X-Windows控制臺,,它同時需要打開6000端口,。
- 513 rwho 可能是從使用cable modem或DSL登陸到的子網(wǎng)中的UNIX機器發(fā)出的廣播。這些人為Hacker進入他們的系統(tǒng)提供了很有趣的信息,。
- 553 CORBA
IIOP (UDP) 如果你使用cable modem或DSL VLAN,,你將會看到這個端口的廣播。CORBA是一種面向對象的RPC(remote procedure call)系統(tǒng),。Hacker會利用這些信息進入系統(tǒng),。
- 600 Pcserver backdoor 請查看1524端口一些玩s cript的孩子認為他們通過修改ingreslock和pcserver文件已經(jīng)完全攻破了系統(tǒng)-- Alan J. Rosenthal.
- 635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug,。大多數(shù)對這個端口的掃描是基于UDP的,,但基于TCP的mountd有所增加(mountd同時運行于兩個端口)。記住,,mountd可運行于任何端口(到底在哪個端口,,需要在端口111做portmap查詢),只是Linux默認為635端口,,就象NFS通常運行于2049端口,。
- 1024 許多人問這個端口是干什么的。它是動態(tài)端口的開始,。許多程序并不在乎用哪個端口連接網(wǎng)絡,,它們請求操作系統(tǒng)為它們分配“下一個閑置端口”?;谶@一點分配從端口1024開始,。這意味著第一個向系統(tǒng)請求分配動態(tài)端口的程序將被分配端口1024。為了驗證這一點,,你可以重啟機器,,打開Telnet,再打開一個窗口運行“natstat -a”,,你將會看到Telnet被分配1024端口,。請求的程序越多,動態(tài)端口也越多,。操作系統(tǒng)分配的端口將逐漸變大,。再來一遍,,當你瀏覽Web頁時用“netstat” 查看,每個Web頁需要一個新端口,。
- 1025 參見1024
- 1026 參見1024
- 1080 SOCKS
這一協(xié)議以管道方式穿過防火墻,,允許防火墻后面的許多人通過一個IP地址訪問Internet。理論上它應該只允許內(nèi)部的通信向外達到Internet,。但是由于錯誤的配置,,它會允許Hacker/Cracker的位于防火墻外部的攻擊穿過防火墻?;蛘吆唵蔚鼗貞挥贗nternet上的計算機,,從而掩飾他們對你的直接攻擊。WinGate是一種常見的Windows個人防火墻,,常會發(fā)生上述的錯誤配置,。在加入IRC聊天室時常會看到這種情況。
- 1114 SQL
系統(tǒng)本身很少掃描這個端口,,但常常是sscan腳本的一部分,。
- 1243 Sub-7木馬(TCP)
參見Subseven部分。
- 1524 ingreslock后門
許多攻擊腳本將安裝一個后門Shell于這個端口(尤其是那些針對Sun系統(tǒng)中Sendmail和RPC服務漏洞的腳本,,如statd, ttdbserver和cmsd),。如果你剛剛安裝了你的防火墻就看到在這個端口上的連接企圖,很可能是上述原因,。你可以試試Telnet到你的機器上的這個端口,,看看它是否會給你一個Shell。連接到600/pcserver也存在這個問題,。
- 2049 NFS
NFS程序常運行于這個端口,。通常需要訪問portmapper查詢這個服務運行于哪個端口,但是大部分情況是安裝后NFS運行于這個端口,,Hacker/Cracker因而可以閉開portmapper直接測試這個端口,。
- 3128 squid
這是Squid HTTP代理服務器的默認端口。攻擊者掃描這個端口是為了搜尋一個代理服務器而匿名訪問Internet,。你也會看到搜索其它代理服務器的端口:8000/8001/8080/8888,。掃描這一端口的另一原因是:用戶正在進入聊天室。其它用戶(或服務器本身)也會檢驗這個端口以確定用戶的機器是否支持代理,。請查看5.3節(jié),。
- 5632 pcAnywere
你會看到很多這個端口的掃描,這依賴于你所在的位置,。當用戶打開pcAnywere時,,它會自動掃描局域網(wǎng)C類網(wǎng)以尋找可能得代理(譯者:指agent而不是proxy),。Hacker/cracker也會尋找開放這種服務的機器,,所以應該查看這種掃描的源地址,。
一些搜尋pcAnywere的掃描常包含端口22的UDP數(shù)據(jù)包。參見撥號掃描,。
- 6776 Sub-7 artifact
這個端口是從Sub-7主端口分離出來的用于傳送數(shù)據(jù)的端口,。例如當控制者通過電話線控制另一臺機器,而被控機器掛斷時你將會看到這種情況,。因此當另一人以此IP撥入時,,他們將會看到持續(xù)的,在這個端口的連接企圖,。(譯者:即看到防火墻報告這一端口的連接企圖時,,并不表示你已被Sub-7控制。)
- 6970 RealAudio
RealAudio客戶將從服務器的6970-7170的UDP端口接收音頻數(shù)據(jù)流,。這是由TCP7070端口外向控制連接設置的,。
- 13223 PowWow
PowWow 是Tribal Voice的聊天程序。它允許用戶在此端口打開私人聊天的連接,。這一程序對于建立連接非常具有“進攻性”,。
它會“駐扎”在這一TCP端口等待回應。這造成類似心跳間隔的連接企圖,。如果你是一個撥號用戶,,從另一個聊天者手中“繼承”了IP地址這種情況就會發(fā)生:好象很多不同的人在測試這一端口。這一協(xié)議使用“OPNG”作為其連接企圖的前四個字節(jié),。
- 17027 Conducent
這是一個外向連接,。這是由于公司內(nèi)部有人安裝了帶有Conducent "adbot" 的共享軟件。Conducent "adbot"是為共享軟件顯示廣告服務的,。使用這種服務的一種流行的軟件是Pkware,。有人試驗:阻斷這一外向連接不會有任何問題,但是封掉IP地址本身將會導致adbots持續(xù)在每秒內(nèi)試圖連接多次而導致連接過載:機器會不斷試圖解析DNS名—ads.conducent.com,,即IP地址216.33.210.40 ,;216.33.199.77 ;216.33.199.80 ,;216.33.199.81,;216.33.210.41。(譯者:不知NetAnts使用的Radiate是否也有這種現(xiàn)象)
- 27374 Sub-7木馬(TCP)
參見Subseven部分,。
- 30100 NetSphere木馬(TCP)
通常這一端口的掃描是為了尋找中了NetSphere木馬,。
- 31337 Back Orifice “elite”
Hacker中31337讀做“elite”/ei’li:t/(譯者:法語,譯為中堅力量,,精華,。即3=E, 1=L, 7=T)。因此許多后門程序運行于這一端口。其中最有名的是Back Orifice,。曾經(jīng)一段時間內(nèi)這是Internet上最常見的掃描?,F(xiàn)在它的流行越來越少,其它的木馬程序越來越流行,。
- 31789 Hack-a-tack
這一端口的UDP通訊通常是由于"Hack-a-tack"遠程訪問木馬(RAT, Remote Access Trojan),。這種木馬包含內(nèi)置的31790 端口掃描器,因此任何31789端口到317890端口的連接意味著已經(jīng)有這種入侵,。(31789端口是控制連接,,317890端口是文件傳輸連接)
- 32770~32900 RPC服務
Sun Solaris的RPC服務在這一范圍內(nèi)。詳細的說:早期版本的Solaris(2.5.1之前)將portmapper置于這一范圍內(nèi),,即使低端口被防火墻封閉仍然允許Hacker/cracker訪問這一端口,。掃描這一范圍內(nèi)的端口不是為了尋找portmapper,就是為了尋找可被攻擊的已知的RPC服務,。
- 33434~33600 traceroute
如果你看到這一端口范圍內(nèi)的UDP數(shù)據(jù)包(且只在此范圍之內(nèi))則可能是由于traceroute,。參見traceroute部分。
- 41508 Inoculan
早期版本的Inoculan會在子網(wǎng)內(nèi)產(chǎn)生大量的UDP通訊用于識別彼此
|
