1)知名端口:從0到1023,與壹些服務緊密綁定。通常,這些端口之間的通信清楚地表明某種服務協議。比如80口其實壹直都是h++p通訊。
2)註冊端口:從1024到49151。它們松散地綁定到壹些服務。換句話說,有許多服務綁定到這些端口,並且這些端口還用於許多其他目的。例如,許多系統處理大約1024的動態端口。
3)動態和/或專用端口:從49152到65535。理論上,這些端口不應該分配給服務。實際上,機器通常從1024分配動態端口。但是也有例外:SUN的RPC端口從32768開始。
本節描述防火墻記錄中TCP/UDP端口掃描的信息。
記住:沒有ICMP端口這種東西。如果您對解釋ICMP數據感興趣,請參考本文的其他部分。
0通常用於分析系統。這個方之所以能起作用,是因為“0”在某些系統中是無效端口,當妳試圖用壹個普通的封閉端口連接它時,會產生不同的結果。典型掃描:使用IP地址0.0.0.0,設置ACK位並在以太網層廣播。
1 tcpmux這說明有人在找SGIIrix機。Irix是實現tcpmux的主要提供者,在本系統中默認開啟。Iris machine在發布時包含了幾個默認的無密碼賬號,如LP、Guest、UUCP、NuUCP、Demos、Tutor、Diag、EzSetup、OutofBox、
和4d禮品。許多管理員在安裝後忘記刪除這些帳戶。於是黑客在網上搜索tcpmux,使用這些賬號。
7Echo妳可以看到很多人在搜索Fraggle功放時發送到x.x.x.0和x.x.x.255的消息。壹種常見的DoS攻擊是echo-loop,攻擊者偽造從壹臺機器發送到另壹臺機器的UDP數據包,兩臺機器以最快的方式響應這些數據包。(見Chargen)另壹件事是雙擊在word端口建立的TCP連接。有個產品叫共鳴全球調度,和DNS的這個端口連接,確定最近的路由。Harvest/squid緩存將從端口3130發送UDPecho:“如果打開了緩存的source_ping on選項,它將向原始主機的UDP echo端口發送壹個命中回復。”這將生成許多這樣的數據包。
11 sysstat這是壹個UNIX服務,列出了機器上所有正在運行的進程以及啟動它們的原因。這就為入侵者提供了大量的信息,威脅到機器的安全,比如暴露壹些已知的弱點或者賬號。這類似於UNIX系統中“ps”命令的結果。再說壹遍:ICMP沒有端口,ICMP端口11通常是ICMP類型= 1119收費。這是壹個只發送字符的服務。UDP版本會在收到UDP數據包後響應包含垃圾字符的數據包。TCP公司
連接後,包含垃圾字符的數據流將被發送,直到連接關閉。黑客可以利用IP欺騙發起DoS攻擊,在兩臺chargen服務器之間偽造UDP。因為服務器試圖響應兩個服務器之間的無限往返數據通信,所以壹個chargen和壹個echo會使服務器過載。同樣,fraggle DoS攻擊會向目標地址的這個端口廣播壹個帶有偽造受害者IP的數據包,受害者會使其過載以響應這些數據。
21 ftp最常見的攻擊者就是用來尋找打開“匿名者”的ftp服務器的方法。這些服務器有讀寫目錄。黑客或攻擊者利用這些服務器作為節點來傳輸warez(專有程序)和pr0n(故意拼錯單詞以避免被搜索引擎分類)。
22 sshPcAnywhere可能會在TCP和此端口之間建立連接來查找ssh。這項服務有許多弱點。如果以特定模式配置,很多使用RSAREF庫的版本都有很多漏洞。(建議在其他端口上運行ssh)還應該註意,ssh工具包附帶了壹個名為ake-ssh-known-hosts的程序。它掃描整個域中的ssh主機。妳有時會被使用這個程序的人無意中掃描。另壹端連接到端口5632的UDP(不是TCP)表示有掃描搜索pcAnywhere。位交換後,5632(十六進制的0x1600)是0x0016(十進制的22)。
Telnet入侵者正在搜索遠程登錄UNIX的服務。在大多數情況下,入侵者掃描該端口是為了找到機器的操作系統。此外,利用其他技術,入侵者會找到密碼。
SMTP攻擊者(垃圾郵件制造者)尋找SMTP服務器來傳遞他們的垃圾郵件。入侵者的賬戶總是關閉的,他們需要撥號連接到壹個高帶寬的電子郵件服務器,向不同的地址發送簡單的信息。SMTP服務器(尤其是sendmail)是最常用的進入系統的壹方,因為它們必須完全暴露在互聯網中,並且郵件的路由很復雜(暴露+復雜=弱點)。
53 DNSHacker或黑客可能試圖通過區域(TCP),欺騙DNS(UDP)或隱藏其他通信。因此,防火墻通常會過濾或記錄端口53。需要註意的是,您通常會將端口53視為UDP源端口。不穩定的防火墻通常允許這種通信,並認為這是對DNS查詢的回復。黑客經常使用這種方法穿透防火墻。
67和68上的Bootp/DHCP Bootp和DHCPUDP:發送到廣播地址255.255.255.255的大量數據經常可以通過DSL和cable-modem的防火墻看到。這些機器正在向DHCP服務器請求地址分配。黑客經常進入它們,分配壹個地址,並把自己當作本地路由器來發動大量“中間人”攻擊。客戶端向68個端口廣播請求配置(BOOTP),服務器向67個端口廣播響應請求(bootpc)。因為客戶端不知道可以發送的IP地址,所以會廣播此響應。69 TFTP(UDP)很多服務器都是和bootp壹起提供這個服務的,這樣可以很容易的從系統下載啟動代碼。但是它們通常配置錯誤,並提供系統中的任何文件,如密碼文件。它們也可以用於向系統寫入文件。
79 finger Hacker用於獲取用戶信息,查詢操作系統,檢測已知緩沖區溢出錯誤,響應從自己機器到其他機器的手指掃描。
98 linuxconf這個程序提供了對linuxboxen的簡單管理。集成的h++p服務器在98個端口提供基於Web接口的服務。它發現了許多安全問題。某些版本的setuidroot信任LAN,在/tmp下創建Internet可訪問的文件,LANG環境變量有緩沖區溢出。此外,因為它包含整合的服務器,許多典型的h++p漏洞可以
可以存在(緩沖區溢出、目錄遍歷等。)109 POP2沒有POP3出名,但是很多服務器同時提供兩種服務(向後兼容)。在同壹臺服務器上,POP3的漏洞也存在於POP2中。
110 POP3用於客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關於用用戶名和密碼交換緩沖區溢出至少有20個弱點(這意味著黑客可以在實際登錄之前進入系統)。成功登錄後還有其他緩沖區溢出錯誤。
111 Sun RPC portmap RPC bind Sun RPC portmapper/RPC bind .訪問端口映射程序是掃描系統以查看允許哪些RPC服務的最早步驟。常見的RPC服務包括:PC。NFS蒙特。statd,RPC。csmd,RPC。ttybd,AMD等。入侵者發現了壹個特定的端口測試漏洞,其中允許的RPC服務將被轉移到提供的服務。記得記錄下
守護進程,入侵檢測系統,或嗅探器,妳可以找出什麽程序入侵者正在使用訪問,以找出發生了什麽。
113身份驗證。這是壹種在許多機器上運行的協議,用於對TCP連接的用戶進行身份驗證。使用這個標準服務,您可以獲得許多機器的信息(將被黑客使用)。但它可以作為許多服務的記錄器,尤其是FTP、POP、IMAP、SMTP和IRC。通常,如果許多客戶通過防火墻訪問這些服務,您會看到許多對此端口的連接請求。請記住,如果您阻止此端口,客戶端將會感覺到與防火墻另壹側的電子郵件服務器的連接速度很慢。很多防火墻都支持在TCP連接的阻塞過程中發回T,企圖阻止這種緩慢的連接。
119 NNTP新聞新聞組傳輸協議,承載USENET通信。當您鏈接到news:p.security.firewalls/等地址時,通常會使用此端口。這個端口的連接嘗試通常是人們在尋找壹個USENET服務器。大多數ISP只允許他們的客戶訪問他們新的新聞組服務器。打開新聞組服務器將允許任何人張貼/閱讀、訪問受限的新聞組服務器、匿名張貼或發送垃圾郵件。
135 oc-servms RPC端點映射器Microsoft在此端口上運行DCE RPC端點映射器作為其DCOM服務。這類似於UNIX 111端口的功能。使用DCOM和/或RPC的服務向機器上的端點映射器註冊它們的位置。遙遠
當最終客戶連接到機器時,他們會查詢端點映射器找到服務的位置。同樣,Hacker掃描機器的這個端口,以查找諸如以下內容:Exchange Server是否正在這臺機器上運行?是什麽版本?此端口不僅可用於查詢服務(如使用epdump),還可用於直接攻擊。有壹些針對此端口的DoS攻擊。
137 NetBIOS名稱服務nbtstat (UDP)這是防火墻管理員最常見的信息。請仔細閱讀文章後面的NetBIOS部分139 NetBIOS文件和打印分享。
通過此端口進入的連接嘗試獲取NetBIOS/SMB服務。此協議用於Windows“文件和打印機共享”和SAMBA。在網上共享自己的硬盤可能是最常見的問題。該端口的大量目標從1999開始,然後逐漸減少。它在2000年再次回升。壹些VBS(IE5 VisualBasicScripting)開始將自己復制到這個端口,試圖在這個端口進行繁殖。
143 IMAP和上面POP3的安全問題壹樣。很多IMAP服務器都有緩沖區溢出漏洞,在登錄過程中進入。請記住:Linux蠕蟲(admw0rm)將通過此端口傳播,因此對此端口的許多掃描來自不知情的受感染用戶。當RadHat在其Linux發行版中默認允許IMAP時,這些漏洞變得流行起來。這是自莫裏斯蠕蟲以來第壹次廣泛傳播的蠕蟲。此端口也用於IMAP2,但並不流行。壹些報告發現,對端口0到143的壹些攻擊源自腳本。
SNMP (UDP)入侵者經常檢測到的161端口。SNMP允許遠程管理設備。所有配置和操作信息都存儲在數據庫中,可以通過SNMP客戶端獲得。許多管理員錯誤地配置了它們,使它們暴露在互聯網上。黑客將嘗試使用默認密碼“public”和“private”訪問系統。他們會嘗試所有可能的組合。SNMP數據包可能被錯誤地定向到您的網絡。由於配置錯誤,Windows機器通常使用SNMP作為HP JetDirect遠程管理軟件。HP對象標識符將接收SNMP數據包。新版Win98使用SNMP解析域名,妳會看到這個包是cablemodem (DSL)在子網內查詢sysName等字母。
休息。
162 SNMP陷阱可能是由於配置錯誤造成的。
177 xdmcp很多黑客通過它訪問X-Windows控制臺,它也需要開放6000個端口。
513 rwho可能是來自使用電纜調制解調器或DSL登錄的子網中的UNIX計算機的廣播。這些人為黑客提供了有趣的信息來訪問他們的系統。
553 CORBA IIOP (UDP)如果妳使用電纜調制解調器或DSL VLAN,妳會看到這個端口的廣播。CORBA是壹個面向對象的RPC(遠程過程調用)系統。黑客將利用這些信息進入系統。600 Pcserver後門,請檢查端口1524。有些玩script的孩子,認為自己通過修改ingreslock和pcserver文件,已經徹底打破了系統——艾倫·j·羅森塔爾。
635 mountd Linux的Mountd Bug。這是人們掃描的壹個流行的Bug。這個端口的掃描大部分是基於UDP的,但是基於TCP的mountd增加了(mountd同時運行在兩個端口上)。記住,mountd可以在任何端口上運行(在哪個端口上,需要在端口111進行portmap查詢),但是Linux默認端口是635,就像NFS壹般在2049運行壹樣。
1024很多人問這個端口是做什麽的。這是動態端口的開始。很多程序不在乎用哪個端口連接網絡。他們請求操作系統給他們分配“下壹個空閑端口”。基於此,分配從端口1024開始。這意味著向系統請求動態端口分配的第壹個程序將被分配端口1024。要驗證這壹點,您可以重啟機器,打開Telnet,然後打開壹個窗口運行“natstat -a”,您將看到Telnet被分配了端口1024。請求的程序越多,動態端口就越多。*系統分配的端口會逐漸變大。同樣,當妳瀏覽網頁時,使用“netstat”來查看它們。每個網頁都需要壹個新的端口。?版本0.4.1,2000年6月20日h++ p://www . robertgraham . com/pubs/firewall-seen . html版權1998-2000作者:Robert Graham
(mailto:firewall-seen1@robertgraham.com。
版權所有本文檔只能復制(全部或部分)用於非商業目的。所有復制品必須
包含本版權聲明,不得修改,除非
作者的許可。
1025見1024。
1026見1024。
1080 SOCKS是壹種管道穿越防火墻的協議,允許防火墻後面的很多人通過壹個IP地址訪問互聯網。理論上,它應該只
允許內部通信到達互聯網。但是,由於錯誤的配置,它將允許黑客/破解者在防火墻之外進行攻擊
穿過防火墻。或者幹脆在網上回復電腦,來掩蓋他們對妳的直接攻擊。
WinGate是常見的Windows個人防火墻,經常會出現上述錯誤配置。加入IRC聊天室經常會看到這種情況。
1114 SQL系統本身很少掃描這個端口,但它往往是sscan腳本的壹部分。
1243 Sub-7特洛伊(TCP)請參見第七小節。
1524 ingreslock後門很多攻擊腳本都會在這個端口安裝壹個後門Sh*ll(尤其是那些針對Sun系統中Sendmail和RPC服務的漏洞的腳本,比如statd、ttdbserver和cmsd)。如果您剛剛安裝了您的防火墻,並且您看到在這個端口上的連接嘗試,它可能是上述原因。您可以嘗試Telnet到您機器上的這個端口,看看它是否會給出壹個Sh*ll。連接到600/pcserver也有這個問題。
2049 NFS NFS程序經常在這個端口上運行。通常情況下,您需要訪問端口映射器,以找出該服務正在哪個端口上運行,但大多數情況下,安裝後,NFS將失敗。因此,Acker/Cracker可以關閉端口映射器並直接測試該端口。
3128 squid這是Squid h++p代理服務器的默認端口。攻擊者掃描該端口以搜索代理服務器並匿名訪問互聯網。您還會看到用於搜索其他代理服務器的端口:
000/8001/8080/8888。掃描該端口的另壹個原因是用戶正在進入聊天室。其他用戶(或服務器本身)也會檢查這個端口,以確定用戶的機器是否支持代理。請參考第5.3節。
5632 pcAnywere根據您所在的位置,您將看到對此端口的多次掃描。當用戶打開pcAnywere時,它會自動掃描局域網C類以找到可能的代理。駭客/駭客也會尋找開啟這項服務的機器,所以您應該檢查這項掃描的來源位址。壹些搜索pcAnywere的掃描通常包含端口22上的UDP數據包。請參見撥號掃描。
6776 Sub-7神器該端口與Sub-7主端口分離,用於傳輸數據。例如,當控制器通過電話線控制另壹臺機器,而被控制的機器掛斷時,您會看到這種情況。因此,當另壹個人使用此IP撥入時,他們將會看到在此端口的持續連接嘗試。(譯者:即使妳看到防火墻報告這個端口的連接嘗試,也不代表妳已經被Sub-7控制了。)
6970 RealAudio客戶端將在6970-7170從服務器的UDP端口接收音頻數據流。這是TCP7070端口的傳出控制連接設置。13223 PowWow PowWow是部落之聲的聊天程序。它允許用戶在此端口打開私人聊天連接。這個過程對於建立連接來說是非常“無禮”的。它將“駐紮”在這個TCP端口上,等待響應。這將導致類似於心跳間隔的連接嘗試。如果妳是撥號用戶,從另壹個聊天中“繼承”了IP地址,就會出現這種情況:似乎有很多不同的人在測試這個端口。該協議使用“OPNG”作為其連接嘗試的前四個字節。
17027導體這是壹個傳出連接。這是因為公司內部有人安裝了有助於“adbot”的* * *享受軟件。
有助於* * *享受軟件展示廣告服務。使用這項服務的壹個流行軟件是Pkware。有些人試圖阻止這種出站連接沒有任何問題,但阻止IP地址本身會導致adbots每秒鐘繼續嘗試連接多次,從而導致連接過載:
機器會不斷嘗試解析DNS name-ads.conducent.com,即IP地址為216 . 33 . 26438+00.40;
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者:不知道NetAnts用的Radiate是否也有這種現象)
27374子7特洛伊(TCP)請參見第七小節。
30100網絡層特洛伊(TCP)通常,會掃描此端口以查找網絡層特洛伊。
31337背孔口“精英黑客”31337讀作“精英”/ei 'li: t/(譯者:*語,譯為骨幹,精華。即3=E,1=L,7=T)。如此多的後門程序在這個端口上運行。其中最著名的是背孔。曾經,這是互聯網上最常見的掃描。現在它的受歡迎程度越來越低,而其他特洛伊節目卻越來越受歡迎。
端口31789 Hack-a-tack上的UDP通信通常是由於“Hack-a-tack”遠程訪問特洛伊造成的。這個特洛伊包含壹個內置的31790端口掃描器,所以任何從31789端口到317890端口的連接都意味著這個入侵已經發生。(端口31789為控制連接,端口317890為文件傳輸連接)。
32770~32900 RPC服務Sun Solaris的RPC服務就在這個範圍內。詳細來說,早期版本的Solaris(2 . 5 . 1之前)將端口映射器置於此範圍內,即使低端端口被防火墻阻止,黑客/破解者也可以訪問此端口。對該範圍內的端口進行掃描,以查找可能受到攻擊的端口映射程序或已知的RPC服務。
33434~33600 traceroute如果在此端口範圍內(且僅在此範圍內)看到UDP數據包,可能是由於traceroute。請參見traceroute。
41508 Inoculan的早期版本會在子網中產生大量的UDP通信來識別對方。看見
h++ p://www . circle mud . org/~ jelson/software/UDP send . html
h++ P://www . CCD . bnl . gov/NSS/tips/inoculan/index . html端口1~1024是保留端口,所以幾乎不是源端口。也有壹些例外,比如來自NAT機器的連接。我們經常看到端口後面是1024,這是系統分配給應用程序的“動態端口”,這些應用程序不關心要連接哪個端口。服務器客戶端服務描述
1-5/tcp動態FTP 1-5端口表示sscan腳本。
20/tcp動態FTP FTP服務器傳輸文件端口。
動態FTP DNS從該端口發送UDP響應。您還可以看到源/目的端口的TCP連接。
123運行動態S/NTP簡單網絡時間協議(S/NTP)服務器的端口。他們還會向該端口發送廣播。
27910~27961/udp動態雷神之錘(Quake)雷神之錘或雷神之錘引擎驅動的遊戲在此端口運行其服務器。所以來自這個端口範圍的UDP包或者發送到這個端口範圍的UDP包通常都是遊戲。
61000動態FTP 61000以上的端口可能來自Linux NAT服務器。
港口大全(中文)
1 tcpmux TCP端口服務復用器傳輸控制協議端口服務復用器
2壓縮機管理實用程序壓縮機管理實用程序
3壓縮網絡壓縮過程壓縮過程
5 rje遠程作業輸入遠程作業登錄
7回聲回聲回聲
9丟棄丟棄丟棄
11 Systat活躍用戶在線用戶
13白天白天
17每日引用
18 msp消息發送協議消息發送協議
19字符生成器字符生成器
20 FTP-數據文件傳輸[默認數據]文件傳輸協議(默認數據端口)
21 FTP文件傳輸[控制]文件傳輸協議(控制)
22 ssh遠程登錄協議ssh遠程登錄協議
終端模擬協議
24 ?任何私人郵件系統都是為個人郵件系統保留的。
25 smtp簡單郵件傳輸簡單郵件傳遞協議
27 nsw-fe NSW用戶系統fe NSW用戶系統現場工程師
29消息-icp消息icp消息ICP消息
31消息-驗證消息驗證
33 dsp顯示支持協議
35 ?任何專用打印機服務器都是為個人打印機服務保留的。
37時間時間
38 rap路由訪問協議路由訪問協議
39 rlp資源定位協議
41圖形圖形圖形
42名稱服務器wins主機名服務器wins主機名服務
43 nicname誰是“昵稱”誰是服務
44 mpm-flags mpm FLAGS協議MPM(消息處理模塊)
45 MPM消息處理模塊[recv]消息處理模塊
46 MPM-SNMP[默認發送]報文處理模塊(默認發送端口)
47ni-FTP NI FTP & amp;