在網絡技術中,port(Port)大致有兩種意思:一是物理意義上的port,比方,ADSL Modem、集線器、交換機、路由器用於連接其它網絡設備的接口,如RJ-45port、SCport等等。二是邏輯意義上的port,通常是指TCP/IP協議中的 port,port號的范圍從0到65535,比方用於瀏覽網頁服務。
查看port
在windows 2000/XP/Server 2003中要查看port,能夠使用Netstat命令:
依次點擊“開始→執行”,鍵入“cmd”並回車,打開命令提示符窗體。在命令提示符狀態下鍵入“netstat -an”,按下回車鍵后就能夠看到以數字形式顯示的TCP和UDP連接的port號及狀態。
在“執行”對話框中鍵入“cmd”,回車后打開命令提示符窗體。在命令提示符狀態下鍵入“netstat -a -n”,回車后就能夠顯示TCP和UDP連接的port號及狀態(如圖1)。當中,Active Connections是指當前本機活動連接,Proto是指連接使用的協議名稱,Local Address是本地計算機的 IP 地址和連接正在使用的port號,Foreign Address是連接該port的遠程計算機的 IP 地址和port號,State則是表明TCP 連接的狀態。
小提示:(1)LISTENING狀態:表示該port是開放的,處於偵聽狀態,等待連接,但還沒有被連接。(2)ESTABLISHED狀態:表示已經建立了連接,兩台機器正在通信中。(3)TIME_WAIT狀態:表示計算機以前與外部建立過連接,但如今已經結束了。
關閉/開啟port
在介紹各種port的作用前,這里先介紹一下在windows中怎樣關閉/打開port,由於默認的情況下,有非常多不安全的或沒有什么用的port是開啟的,比方Telnet服務的23port、ftp服務的21port、SMTP服務的25port、RPC服務的135port等等。為了保證系統的安全性,我們能夠通過以下的方 法來關閉/開啟port。
關閉port
比方在windows 2000/XP中關閉SMTP服務的25port,能夠這樣做:首先打開“控制面板”,雙擊“管理工具”,再雙擊“服務”。接着在打開的服務窗體中找到並雙擊 “Simple Mail Transfer Protocol (SMTP)”服務,單擊“停止”button來停止該服務,然后在“啟動類型”中選擇“已禁用”,最后單擊“確定”button就可以。這樣,關閉了SMTP服務,就相當於關閉了相應的port。
開啟port
假設要開啟該port僅僅要先在“啟動類型”選擇“自己主動”,單擊“確定”button,再打開該服務,在“服務狀態”中單擊“啟動”button就可以啟用該port,最后,單擊“確定”button就可以。
提示:在windows 98中沒有“服務”選項,你能夠使用防火牆的規則設置功能來關閉/開啟port。
port分類
邏輯意義上的port有多種分類標准,以下將介紹兩種常見的分類:
1. 按port號分布划分
(1)知名port(Well-Known Ports)
知名port即眾所周知的port號,范圍從0到1023,這些port號一般固定分配給一些服務。比方21port分配給ftp服務,25port分配給SMTP(簡單郵件傳輸協議)服務,80port分配給HTTP服務,135port分配給RPC(遠程過程調用)服務等等。
(2)動態port(Dynamic Ports)
動態port的范圍從1024到65535,這些port號一般不固定分配給某個服務,也就是說很多服務都能夠使用這些port。僅僅要執行的程序向系統提出訪問網絡 的申請,那么系統就能夠從這些port號中分配一個供該程序使用。比方1024port就是分配給第一個向系統發出申請的程序。在關閉程序進程后,就會釋放所占用 的port號。
只是,動態port也經常被病毒木馬程序所利用,如冰河默認連接port是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。
2. 按協議類型划分
按協議類型划分,能夠分為TCP、UDP、IP和ICMP(Internet控制消息協議)等port。以下主要介紹TCP和UDPport:
(1)TCPport
TCPport,即傳輸控制協議port,須要在client和server之間建立連接,這樣能夠提供可靠的傳輸數據。常見的包含ftp服務的21port,Telnet服務的23port,SMTP服務的25port,以及HTTP服務的80port等等。
(2)UDPport
UDPport,即用戶數據包協議port,無需在client和server之間建立連接,安全性得不到保障。常見的有DNS服務的53port,SNMP(簡單網絡管理協議)服務的161port,QQ使用的8000和4000port等等。
一 、port大全
port:0
服務:Reserved
說明:通經常使用於分析操作系統。這一方法可以工作是由於在一些系統中“0”是無效port,當你試圖使用通常的閉合port連接它時將產生不同的結果。一種典型的掃描,使用IP地址為0.0.0.0,設置ACK位並在以太網層廣播。
port:1
服務:tcpmux
說明:這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者,默認情況下tcpmux在這樣的系統中被打開。Irix機器在公布是含有幾個默認的無password的帳戶,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。很多管理員在安裝后忘記刪除這些帳戶。因此HACKER在INTERNET上搜索tcpmux並利用這些帳戶。
port:7
服務:Echo
說明:能看到很多人搜索Fraggle放大器時,發送到X.X.X.0和X.X.X.255的信息。
port:19
服務:Character Generator
說明:這是一種只發送字符的服務。UDP版本號將會在收到UDP包后回應含有垃圾字符的包。TCP連接時會發送含有垃圾字符的數據流直到連接關閉。HACKER利用IP欺騙能夠發動DoS攻擊。偽造兩個chargenserver之間的UDP包。相同Fraggle DoS攻擊向目標地址的這個port廣播一個帶有偽造受害者IP的數據包,受害者為了回應這些數據而過載。
port:21
服務:FTP
說明:FTPserver所開放的port,用於上傳、下載。最常見的攻擊者用於尋找打開anonymous的FTPserver的方法。這些server帶有可讀寫的文件夾。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的port。
port:22
服務:Ssh
說明:PcAnywhere建立的TCP和這一port的連接可能是為了尋找ssh。這一服務有很多弱點,假設配置成特定的模式,很多使用RSAREF庫的版本號就會有不少的漏洞存在。
port:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一port是為了找到機器執行的操作系統。還有使用其它技術,入侵者也會找到password。木馬Tiny Telnet Server就開放這個port。
port:25
服務:SMTP
說明:SMTPserver所開放的port,用於發送郵件。入侵者尋找SMTPserver是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們須要連接到高帶寬的E-MAILserver上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個port。
port:31
服務:MSG Authentication
說明:木馬Master Paradise、Hackers Paradise開放此port。
port:42
服務:WINS Replication
說明:WINS復制
port:53
服務:Domain Name Server(DNS)
說明:DNSserver所開放的port,入侵者可能是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏其它的通信。因此_blank">防火牆經常過濾或記錄此port。
port:67
服務:Bootstrap Protocol Server
說明:通過DSL和Cable modem的_blank">防火牆常會看見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCPserver請求一個地址。 HACKER常進入它們,分配一個地址把自己作為局部路由器而發起大量中間人(man-in-middle)攻擊。client向68port廣播請求配置,server向67port廣播回應請求。這樣的回應使用廣播是由於client還不知道能夠發送的IP地址。
port:69
服務:Trival File Transfer
說明:很多server與bootp一起提供這項服務,便於從系統下載啟動代碼。可是它們經常因為錯誤配置而使入侵者能從系統中竊取不論什么 文件。它們也可用於系統寫入文件。
port:79
服務:Finger Server
說明:入侵者用於獲得用戶信息,查詢操作系統,探測已知的緩沖區溢出錯誤,回應從自己機器到其它機器Finger掃描。
port:80
服務:HTTP
說明:用於網頁瀏覽。木馬Executor開放此port。
port:99
服務:Metagram Relay
說明:后門程序ncx99開放此port。
port:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
port:109
服務:Post Office Protocol -Version3
說明:POP3server開放此port,用於接收郵件,client訪問server端的郵件服務。POP3服務有很多公認的弱點。關於username和password交 換緩沖區溢出的弱點至少有20個,這意味着入侵者能夠在真正登陸前進入系統。成功登陸后還有其它緩沖區溢出錯誤。
port:110
服務:SUN公司的RPC服務全部port
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
port:113
服務:Authentication Service
說明:這是一個很多計算機上執行的協議,用於鑒別TCP連接的用戶。使用標准的這樣的服務能夠獲得很多計算機的信息。可是它可作為很多服務的記錄器,尤其是FTP、POP、IMAP、SMTP和IRC等服務。通常假設有很多客戶通過_blank">防火牆訪問這些服務,將會看到很多這個port的連接請求。記住,假設阻斷這個portclient會感覺到在_blank">防火牆還有一邊與E-MAILserver的緩慢連接。很多_blank">防火牆支持TCP連接的阻斷過程中發回RST。這將會停止緩慢的連接。
port:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個port的連接一般是人們在尋找USENETserver。多數ISP限制,僅僅有他們的客戶才干訪問他們的新聞組server。打開新聞組server將同意發/讀不論什么人的帖子,訪問被限制的新聞組server,匿名發帖或發送SPAM。
port:135
服務:Location Service
說明:Microsoft在這個port執行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111port的功能非常類似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個port是為了找到這個計算機上執行Exchange Server嗎?什么版本號?還有些DOS攻擊直接針對這個port。
port:137、138、139
服務:NETBIOS Name Service
說明:當中137、138是UDPport,當通過網上鄰居傳輸文件時用這個port。而139port:通過這個port進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於windows文件和打印機共享和SAMBA。還有WINS Regisrtation也用它。
port:143
服務:Interim Mail Access Protocol v2
說明:和POP3的安全問題一樣,很多IMAPserver存在有緩沖區溢出漏洞。記住:一種LINUX蠕蟲(admv0rm)會通過這個port生殖,因此很多這個port的掃描來自不知情的已經被感染的用戶。當REDHAT在他們的LINUX公布版本號中默認同意IMAP后,這些漏洞變的非常流行。這一port還被用於IMAP2,但並不流行。
port:161
服務:SNMP
說明:SNMP同意遠程管理設備。全部配置和執行信息的儲存在數據庫中,通過SNMP可獲得這些信息。很多管理員的錯誤配置將被暴露在 Internet。Cackers將試圖使用默認的passwordpublic、private訪問系統。他們可能會試驗全部可能的組合。SNMP包可能會被錯誤的指向用戶的網絡。
port:177
服務:X Display Manager Control Protocol
說明:很多入侵者通過它訪問X-windows操作台,它同一時候須要打開6000port。
port:389
服務:LDAP、ILS
說明:輕型文件夾訪問協議和NetMeeting Internet Locator Server共用這一port。
port:443
服務:Https
說明:網頁瀏覽port,能提供加密和通過安全port傳輸的還有一種HTTP。
port:456
服務:[NULL]
說明:木馬HACKERS PARADISE開放此port。
port:513
服務:Login,remote login
說明:是從使用cable modem或DSL登陸到子網中的UNIX計算機發出的廣播。這些人為入侵者進入他們的系統提供了信息。
port:544
服務:[NULL]
說明:kerberos kshell
port:548
服務:Macintosh,File Services(AFP/IP)
說明:Macintosh,文件服務。
port:553
服務:CORBA IIOP (UDP)
說明:使用cable modem、DSL或VLAN將會看到這個port的廣播。CORBA是一種面向對象的RPC系統。入侵者能夠利用這些信息進入系統。
port:555
服務:DSF
說明:木馬PhAse1.0、Stealth Spy、IniKiller開放此port。
port:568
服務:Membership DPA
說明:成員資格 DPA。
port:569
服務:Membership MSN
說明:成員資格 MSN。
port:635
服務:mountd
說明:Linux的mountd Bug。這是掃描的一個流行BUG。大多數對這個port的掃描是基於UDP的,可是基於TCP的mountd有所添加(mountd同一時候執行於兩個port)。記住mountd可執行於不論什么port(究竟是哪個port,須要在port111做portmap查詢),僅僅是Linux默認port是635,就像NFS通常執行於 2049port。
port:636
服務:LDAP
說明:SSL(Secure Sockets layer)
port:666
服務:Doom Id Software
說明:木馬Attack FTP、Satanz Backdoor開放此port
port:993
服務:IMAP
說明:SSL(Secure Sockets layer)
port:1001、1011
服務:[NULL]
說明:木馬Silencer、WebEx開放1001port。木馬Doly Trojan開放1011port。
port:1024
服務:Reserved
說明:它是動態port的開始,很多程序並不在乎用哪個port連接網絡,它們請求系統為它們分配下一個閑置port。基於這一點分配從port1024開始。這就是說第一個向系統發出請求的會分配到1024port。你能夠重新啟動機器,打開Telnet,再打開一個窗體執行natstat -a 將會看到Telnet被分配1024port。還有SQL session也用此port和5000port。
port:1025、1033
服務:1025:network blackjack 1033:[NULL]
說明:木馬netspy開放這2個port。
port:1080
服務:SOCKS
說明:這一協議以通道方式穿過_blank">防火牆,同意_blank">防火牆后面的人通過一個IP地址訪問INTERNET。理論上它應該僅僅同意內部的通信向外到達INTERNET。可是因為錯誤的配置,它會同意位於_blank">防火牆外部的攻擊穿過 _blank">防火牆。WinGate常會發生這樣的錯誤,在增加IRC聊天室時常會看到這樣的情況。
port:1170
服務:[NULL]
說明:木馬Streaming Audio Trojan、Psyber Stream Server、Voice開放此port。
port:1234、1243、6711、6776
服務:[NULL]
說明:木馬SubSeven2.0、Ultors Trojan開放1234、6776port。木馬SubSeven1.0/1.9開放1243、6711、6776port。
port:1245
服務:[NULL]
說明:木馬Vodoo開放此port。
port:1433
服務:SQL
說明:Microsoft的SQL服務開放的port。
port:1492
服務:stone-design-1
說明:木馬FTP99CMP開放此port。
port:1500
服務:RPC client fixed port session queries
說明:RPC客戶固定port會話查詢
port:1503
服務:NetMeeting T.120
說明:NetMeeting T.120
port:1524
服務:ingress
說明:很多攻擊腳本將安裝一個后門SHELL於這個port,尤其是針對SUN系統中Sendmail和RPC服務漏洞的腳本。假設剛安裝了 _blank">防火牆就看到在這個port上的連接企圖,非常可能是上述原因。能夠試試Telnet到用戶的計算機上的這個port,看看它是否會給你一個 SHELL。連接到600/pcserver也存在這個問題。
port:1600
服務:issd
說明:木馬Shivka-Burka開放此port。
port:1720
服務:NetMeeting
說明:NetMeeting H.233 call Setup。
port:1731
服務:NetMeeting Audio Call Control
說明:NetMeeting音頻調用控制。
port:1807
服務:[NULL]
說明:木馬SpySender開放此port。
port:1981
服務:[NULL]
說明:木馬ShockRave開放此port。
port:1999
服務:cisco identification port
說明:木馬BackDoor開放此port。
port:2000
服務:[NULL]
說明:木馬GirlFriend 1.3、Millenium 1.0開放此port。
port:2001
服務:[NULL]
說明:木馬Millenium 1.0、Trojan Cow開放此port。
port:2023
服務:xinuexpansion 4
說明:木馬Pass Ripper開放此port。
port:2049
服務:NFS
說明:NFS程序常執行於這個port。通常須要訪問Portmapper查詢這個服務執行於哪個port。
port:2115
服務:[NULL]
說明:木馬Bugs開放此port。
port:2140、3150
服務:[NULL]
說明:木馬Deep Throat 1.0/3.0開放此port。
port:2500
服務:RPC client using a fixed port session replication
說明:應用固定port會話復制的RPC客戶
port:2583
服務:[NULL]
說明:木馬Wincrash 2.0開放此port。
port:2801
服務:[NULL]
說明:木馬Phineas Phucker開放此port。
port:3024、4092
服務:[NULL]
說明:木馬WinCrash開放此port。
port:3128
服務:squid
說明:這是squid HTTP代理server的默認port。攻擊者掃描這個port是為了搜尋一個代理server而匿名訪問Internet。也會看到搜索其它代理server的port8000、 8001、8080、8888。掃描這個port的還有一個原因是用戶正在進入聊天室。其它用戶也會檢驗這個port以確定用戶的機器是否支持代理。
port:3129
服務:[NULL]
說明:木馬Master Paradise開放此port。
port:3150
服務:[NULL]
說明:木馬The Invasor開放此port。
port:3210、4321
服務:[NULL]
說明:木馬SchoolBus開放此port
port:3333
服務:dec-notes
說明:木馬Prosiak開放此port
port:3389
服務:超級終端
說明:WINDOWS 2000終端開放此port。
port:3700
服務:[NULL]
說明:木馬Portal of Doom開放此port
port:3996、4060
服務:[NULL]
說明:木馬RemoteAnything開放此port
port:4000
服務:QQclient
說明:騰訊QQclient開放此port。
port:4092
服務:[NULL]
說明:木馬WinCrash開放此port。
port:4590
服務:[NULL]
說明:木馬ICQTrojan開放此port。
port:5000、5001、5321、50505
服務:[NULL]
說明:木馬blazer5開放5000port。木馬Sockets de Troie開放5000、5001、5321、50505port。
port:5400、5401、5402
服務:[NULL]
說明:木馬Blade Runner開放此port。
port:5550
服務:[NULL]
說明:木馬xtcp開放此port。
port:5569
服務:[NULL]
說明:木馬Robo-Hack開放此port。
port:5632
服務:pcAnywere
說明:有時會看到非常多這個port的掃描,這依賴於用戶所在的位置。當用戶打開pcAnywere時,它會自己主動掃描局域網C類網以尋找可能的代理(這里的代理是指agent而不是proxy)。入侵者也會尋找開放這樣的服務的計算機。,所以應該查看這樣的掃描的源地址。一些搜尋pcAnywere的掃描包常含port22的UDP數據包。
port:5742
服務:[NULL]
說明:木馬WinCrash1.03開放此port。
port:6267
服務:[NULL]
說明:木馬廣外女生開放此port。
port:6400
服務:[NULL]
說明:木馬The tHing開放此port。
port:6670、6671
服務:[NULL]
說明:木馬Deep Throat開放6670port。而Deep Throat 3.0開放6671port。
port:6883
服務:[NULL]
說明:木馬DeltaSource開放此port。
port:6969
服務:[NULL]
說明:木馬Gatecrasher、Priority開放此port。
port:6970
服務:RealAudio
說明:RealAudio客戶將從server的6970-7170的UDPport接收音頻數據流。這是由TCP-7070port外向控制連接設置的。
port:7000
服務:[NULL]
說明:木馬Remote Grab開放此port。
port:7300、7301、7306、7307、7308
服務:[NULL]
說明:木馬NetMonitor開放此port。另外NetSpy1.0也開放7306port。
port:7323
服務:[NULL]
說明:Sygateserver端。
port:7626
服務:[NULL]
說明:木馬Giscier開放此port。
port:7789
服務:[NULL]
說明:木馬ICKiller開放此port。
port:8000
服務:OICQ
說明:騰訊QQserver端開放此port。
port:8010
服務:Wingate
說明:Wingate代理開放此port。
port:8080
服務:代理port
說明:WWW代理開放此port。
port:9400、9401、9402
服務:[NULL]
說明:木馬Incommand 1.0開放此port。
port:9872、9873、9874、9875、10067、10167
服務:[NULL]
說明:木馬Portal of Doom開放此port。
port:9989
服務:[NULL]
說明:木馬iNi-Killer開放此port。
port:11000
服務:[NULL]
說明:木馬SennaSpy開放此port。
port:11223
服務:[NULL]
說明:木馬Progenic trojan開放此port。
port:12076、61466
服務:[NULL]
說明:木馬Telecommando開放此port。
port:12223
服務:[NULL]
說明:木馬Hack'99 KeyLogger開放此port。
port:12345、12346
服務:[NULL]
說明:木馬NetBus1.60/1.70、GabanBus開放此port。
port:12361
服務:[NULL]
說明:木馬Whack-a-mole開放此port。
port:13223
服務:PowWow
說明:PowWow是Tribal Voice的聊天程序。它同意用戶在此port打開私人聊天的連接。這一程序對於建立連接非常具有攻擊性。它會駐扎在這個TCPport等回應。造成相似心跳間隔的連接請求。假設一個撥號用戶從還有一個聊天者手中繼承了IP地址就會發生好象有非常多不同的人在測試這個port的情況。這一協議使用OPNG作為其連接請求的前4個字節。
port:16969
服務:[NULL]
說明:木馬Priority開放此port。
port:17027
服務:Conducent
說明:這是一個外向連接。這是因為公司內部有人安裝了帶有Conducent"adbot"的共享軟件。Conducent"adbot"是為共享軟件顯示廣告服務的。使用這樣的服務的一種流行的軟件是Pkware。
port:19191
服務:[NULL]
說明:木馬藍色火焰開放此port。
port:20000、20001
服務:[NULL]
說明:木馬Millennium開放此port。
port:20034
服務:[NULL]
說明:木馬NetBus Pro開放此port。
port:21554
服務:[NULL]
說明:木馬GirlFriend開放此port。
port:22222
服務:[NULL]
說明:木馬Prosiak開放此port。
port:23456
服務:[NULL]
說明:木馬Evil FTP、Ugly FTP開放此port。
port:26274、47262
服務:[NULL]
說明:木馬Delta開放此port。
port:27374
服務:[NULL]
說明:木馬Subseven 2.1開放此port。
port:30100
服務:[NULL]
說明:木馬NetSphere開放此port。
port:30303
服務:[NULL]
說明:木馬Socket23開放此port。
port:30999
服務:[NULL]
說明:木馬Kuang開放此port。
port:31337、31338
服務:[NULL]
說明:木馬BO(Back Orifice)開放此port。另外木馬DeepBO也開放31338port。
port:31339
服務:[NULL]
說明:木馬NetSpy DK開放此port。
port:31666
服務:[NULL]
說明:木馬BOWhack開放此port。
port:33333
服務:[NULL]
說明:木馬Prosiak開放此port。
port:34324
服務:[NULL]
說明:木馬Tiny Telnet Server、BigGluck、TN開放此port。
port:40412
服務:[NULL]
說明:木馬The Spy開放此port。
port:40421、40422、40423、40426、
服務:[NULL]
說明:木馬Masters Paradise開放此port。
port:43210、54321
服務:[NULL]
說明:木馬SchoolBus 1.0/2.0開放此port。
port:44445
服務:[NULL]
說明:木馬Happypig開放此port。
port:50766
服務:[NULL]
說明:木馬Fore開放此port。
port:53001
服務:[NULL]
說明:木馬Remote Windows Shutdown開放此port。
port:65000
服務:[NULL]
說明:木馬Devil 1.03開放此port。
P>以下是:系統經常使用的port
7 TCP Echo 簡單 TCP/IP 服務
7 UDP Echo 簡單 TCP/IP 服務
9 TCP Discard 簡單 TCP/IP 服務
9 UDP Discard 簡單 TCP/IP 服務
13 TCP Daytime 簡單 TCP/IP 服務
13 UDP Daytime 簡單 TCP/IP 服務
17 TCP Quotd 簡單 TCP/IP 服務
17 UDP Quotd 簡單 TCP/IP 服務
19 TCP Chargen 簡單 TCP/IP 服務
19 UDP Chargen 簡單 TCP/IP 服務
20 TCP FTP 默認數據 FTP 公布服務
21 TCP FTP 控制 FTP 公布服務
21 TCP FTP 控制 應用層網關服務
23 TCP Telnet Telnet
25 TCP SMTP 簡單郵件傳輸協議
25 UDP SMTP 簡單郵件傳輸協議
25 TCP SMTP Exchange Server
25 UDP SMTP Exchange Server
42 TCP WINS 復制 Windows Internet 名稱服務
42 UDP WINS 復制 Windows Internet 名稱服務
53 TCP DNS DNS server
53 UDP DNS DNS server
53 TCP DNS Internet 連接_blank">防火牆/Internet 連接共享
53 UDP DNS Internet 連接_blank">防火牆/Internet 連接共享
67 UDP DHCP server DHCP server
67 UDP DHCP server Internet 連接_blank">防火牆/Internet 連接共享
69 UDP TFTP 普通 FTP 后台程序服務
80 TCP HTTP Windows 媒體服務
80 TCP HTTP 萬維網公布服務
80 TCP HTTP SharePoint Portal Server
88 TCP Kerberos Kerberos 密鑰分發中心
88 UDP Kerberos Kerberos 密鑰分發中心
102 TCP X.400 Microsoft Exchange MTA 堆棧
110 TCP POP3 Microsoft POP3 服務
110 TCP POP3 Exchange Server
119 TCP NNTP 網絡新聞傳輸協議
123 UDP NTP Windows Time
123 UDP SNTP Windows Time
135 TCP RPC 消息隊列
135 TCP RPC 遠程過程調用
135 TCP RPC Exchange Server
137 TCP NetBIOS 名稱解析 計算機瀏覽器
137 UDP NetBIOS 名稱解析 計算機瀏覽器
137 TCP NetBIOS 名稱解析 Server
137 UDP NetBIOS 名稱解析 Server
137 TCP NetBIOS 名稱解析 Windows Internet 名稱服務
137 UDP NetBIOS 名稱解析 Windows Internet 名稱服務
137 TCP NetBIOS 名稱解析 Net Logon
137 UDP NetBIOS 名稱解析 Net Logon
137 TCP NetBIOS 名稱解析 Systems Management Server 2.0
137 UDP NetBIOS 名稱解析 Systems Management Server 2.0
138 UDP NetBIOS 數據報服務 計算機瀏覽器
138 UDP NetBIOS 數據報服務 信使
138 UDP NetBIOS 數據報服務 server
138 UDP NetBIOS 數據報服務 Net Logon
138 UDP NetBIOS 數據報服務 分布式文件系統
138 UDP NetBIOS 數據報服務 Systems Management Server 2.0
138 UDP NetBIOS 數據報服務 許可證記錄服務
139 TCP NetBIOS 會話服務 計算機瀏覽器
139 TCP NetBIOS 會話服務 傳真服務
139 TCP NetBIOS 會話服務 性能日志和警報
139 TCP NetBIOS 會話服務 后台打印程序
139 TCP NetBIOS 會話服務 server
139 TCP NetBIOS 會話服務 Net Logon
139 TCP NetBIOS 會話服務 遠程過程調用定位器
139 TCP NetBIOS 會話服務 分布式文件系統
139 TCP NetBIOS 會話服務 Systems Management Server 2.0
139 TCP NetBIOS 會話服務 許可證記錄服務
143 TCP IMAP Exchange Server
161 UDP SNMP SNMP 服務
162 UDP SNMP 陷阱出站 SNMP 陷阱服務
389 TCP LDAP server 本地安全機構
389 UDP LDAP server 本地安全機構
389 TCP LDAP server 分布式文件系統
389 UDP LDAP server 分布式文件系統
443 TCP HTTPS HTTP SSL
443 TCP HTTPS 萬維網公布服務
443 TCP HTTPS SharePoint Portal Server
445 TCP SMB 傳真服務
445 UDP SMB 傳真服務
445 TCP SMB 后台打印程序
445 UDP SMB 后台打印程序
445 TCP SMB server
445 UDP SMB server
445 TCP SMB 遠程過程調用定位器
445 UDP SMB 遠程過程調用定位器
445 TCP SMB 分布式文件系統
445 UDP SMB 分布式文件系統
445 TCP SMB 許可證記錄服務
445 UDP SMB 許可證記錄服務
500 UDP IPSec ISAKMP IPSec 服務
515 TCP LPD TCP/IP 打印server
548 TCP Macintosh 文件server Macintosh 文件server
554 TCP RTSP Windows 媒體服務
563 TCP NNTP over SSL 網絡新聞傳輸協議
593 TCP RPC over HTTP 遠程過程調用
593 TCP RPC over HTTP Exchange Server
636 TCP LDAP SSL 本地安全機構
636 UDP LDAP SSL 本地安全機構
993 TCP IMAP over SSL Exchange Server
995 TCP POP3 over SSL Exchange Server
1270 TCP MOM-Encrypted Microsoft Operations Manager 2000
1433 TCP SQL over TCP Microsoft SQL Server
1433 TCP SQL over TCP MSSQL$UDDI
1434 UDP SQL Probe Microsoft SQL Server
1434 UDP SQL Probe MSSQL$UDDI
1645 UDP 舊式 RADIUS Internet 身份驗證服務
1646 UDP 舊式 RADIUS Internet 身份驗證服務
1701 UDP L2TP 路由和遠程訪問
1723 TCP PPTP 路由和遠程訪問
1755 TCP MMS Windows 媒體服務
1755 UDP MMS Windows 媒體服務
1801 TCP MSMQ 消息隊列
1801 UDP MSMQ 消息隊列
1812 UDP RADIUS 身份驗證 Internet 身份驗證服務
1813 UDP RADIUS 計帳 Internet 身份驗證服務
1900 UDP SSDP SSDP 發現服務
2101 TCP MSMQ-DC 消息隊列
2103 TCP MSMQ-RPC 消息隊列
2105 TCP MSMQ-RPC 消息隊列
2107 TCP MSMQ-Mgmt 消息隊列
2393 TCP OLAP Services 7.0 SQL Server:下層 OLAP client支持
2394 TCP OLAP Services 7.0 SQL Server:下層 OLAP client支持
2460 UDP MS Theater Windows 媒體服務
2535 UDP MADCAP DHCP server
2701 TCP SMS 遠程控制(控件) SMS 遠程控制代理
2701 UDP SMS 遠程控制(控件) SMS 遠程控制代理
2702 TCP SMS 遠程控制(數據) SMS 遠程控制代理
2702 UDP SMS 遠程控制(數據) SMS 遠程控制代理
2703 TCP SMS 遠程聊天 SMS 遠程控制代理
2703 UPD SMS 遠程聊天 SMS 遠程控制代理
2704 TCP SMS 遠程文件傳輸 SMS 遠程控制代理
2704 UDP SMS 遠程文件傳輸 SMS 遠程控制代理
2725 TCP SQL 分析服務 SQL 分析server
2869 TCP UPNP 通用即插即用設備主機
2869 TCP SSDP 事件通知 SSDP 發現服務
3268 TCP 全局編錄server 本地安全機構
3269 TCP 全局編錄server 本地安全機構
3343 UDP 集群服務 集群服務
3389 TCP 終端服務 NetMeeting 遠程桌面共享
3389 TCP 終端服務 終端服務
3527 UDP MSMQ-Ping 消息隊列
4011 UDP BINL 遠程安裝
4500 UDP NAT-T 路由和遠程訪問
5000 TCP SSDP 舊事件通知 SSDP 發現服務
5004 UDP RTP Windows 媒體服務
5005 UDP RTCP Windows 媒體服務
42424 TCP ASP.Net 會話狀態 ASP.NET 狀態服務
51515 TCP MOM-Clear Microsoft Operations Manager 2000
二、 關閉port
限制port防非法入侵[分享]
一般來說,我們採用一些功能強大的反黑軟件和防火牆來保證我們的系統安全,本文擬用一種簡易的辦法——通過限制port來幫助大家防止非法入侵。
非法入侵的方式
簡單說來,非法入侵的方式可粗略分為4種:
1、掃描port,通過已知的系統Bug攻入主機。
2、種植木馬,利用木馬開辟的后門進入主機。
3、採用數據溢出的手段,迫使主機提供后門進入主機。
4、利用某些軟件設計的漏洞,直接或間接控制主機。
非法入侵的主要方式是前兩種,尤其是利用一些流行的黑客工具,通過第一種方式攻擊主機的情況最多、也最普遍;而對后兩種方式來說,僅僅有一些手段高超的黑客才利用,波及面並不廣泛,並且僅僅要這兩種問題一出現,軟件服務商非常快就會提供補丁,及時修復系統。
因此,假設能限制前兩種非法入侵方式,就能有效防止利用黑客工具的非法入侵。並且前兩種非法入侵方式有一個共同點,就是通過port進入主機。
port就像一所房子(server)的幾個門一樣,不同的門通向不同的房間(server提供的不同服務)。我們經常使用的FTP默認port為21,而WWW網頁一般默認port是80。可是有些馬虎的網絡管理員經常打開一些easy被侵入的port服務,比方139等;另一些木馬程序,比方冰河、BO、廣外等都是自己主動開辟一個您不察覺的port。那么,僅僅要我們把自己用不到的port所有封鎖起來,不就杜絕了這兩種非法入侵嗎?
限制port的方法
對於個人用戶來說,您能夠限制所有的port,由於您根本不必讓您的機器對外提供不論什么服務;而對於對外提供網絡服務的server,我們需把必須利用的port(比方WWWport80、FTPport21、郵件服務port25、110等)開放,其它的port則所有關閉。
這里,對於採用Windows 2000或者Windows XP的用戶來說,不須要安裝不論什么其它軟件,能夠利用“TCP/IP篩選”功能限制server的port。詳細設置例如以下:
1、右鍵點擊“網上鄰居”,選擇“屬性”,然后雙擊“本地連接”(假設是撥號上網用戶,選擇“我的連接”圖標),彈出“本地連接狀態”對話框。
2、點擊[屬性]button,彈出“本地連接 屬性”,選擇“此連接使用下列項目”中的“Internet協議(TCP/IP)”,然后點擊[屬性]button。
3、在彈出的“Internet協議(TCP/IP)”對話框中點擊[高級]button。在彈出的“高級TCP/IP 設置”中,選擇“選項”標簽,選中“TCP/IP篩選”,然后點擊[屬性]button。
4、在彈出的“TCP/IP篩選”對話框里選擇“啟用TCP/IP篩選”的復選框,然后把左邊“TCPport”上的“僅僅同意”選上。
這樣,您就能夠來自己加入或刪除您的TCP或UDP或IP的各種port了。
加入或者刪除完成,又一次啟動機器以后,您的server就被保護起來了。
最后,提醒個人用戶,假設您僅僅上網瀏覽的話,能夠不加入不論什么port。可是要利用一些網絡聯絡工具,比方OICQ的話,就要把“4000”這個port打開,同理,假設發現某個經常使用的網絡工具不能起作用的時候,請搞清它在您主機所開的port,然后在“TCP /IP“里把此port打開。
Part I. 組策略法
第一步,點擊開始,執行,gpedit.msc,雙擊打開本地安全策略,選中IP安全策略,在本地計算機,在右邊窗格的空白位置右擊鼠標,在彈出的快捷菜單里選擇創建IP安全策略,這樣彈出一個向導。在向導中點擊下一步button,為新的安全策略命名(不又一次命名也能夠,下面都以未又一次命名的為例);再按下一步,顯示安全通信請求畫面,在畫面上把激活默認對應規則左邊的鈎取消,點擊完畢button就創建了一個新的IP安全策略。
第二步,右擊該IP安全策略,在屬性對話框中,把使用加入向導左邊的鈎取消,然后單擊加入button加入新的規則,隨后彈出新規則屬性對話框。在對話框中點擊加入button,彈出IP篩選器列表窗體;在列表中,相同把使用加入向導左邊的鈎取消掉,然后再點擊右邊的加入button加入新的篩選器。
第三步,進入了篩選器屬性對話框,首先看到的是尋址,源地址選不論什么IP地址,目標地址選我的IP地址;點擊協議選項卡,在選擇協議類型的下拉列表中選擇TCP,然后在到此port下的文本框中輸入135,點擊確定button,這樣就加入了一個屏蔽TCP135(RPC)port的篩選器,它能夠防止外界通過 135port連上你的電腦。點擊確定后回到篩選器列表的對話框,能夠看到已經加入了一條策略。反復以上步驟繼續加入TCP137、 139、445、593 port和UDP135、139、445 port,也可繼續加入TCP1025、2745、3127、6129、3389 port的屏蔽策略為它們建立對應的篩選器。最后點擊確定button。
第四步,在新規則屬性對話框中,選擇新IP 篩選器列表,然后點擊其左邊的圓圈上加一個點,表示已經激活,接着點擊篩選器操作選項卡,在篩選器操作選項卡中,也把使用加入向導左邊的鈎取消,點擊加入button,加入阻止操作;在新篩選器操作屬性的安全措施選項卡中,選擇阻止,然后點擊確定。
第五步、進入了新規則屬性對話框,點擊新篩選器操作,其左邊的圓圈會加了一個點,表示已經激活,點擊關閉button,關閉對話框;最后回到新IP安全策略屬性對話框,在新的IP篩選器列表左邊打鈎,按確定button關閉對話框。回到本地安全策略窗體,用鼠標右擊新加入的IP安全策略,選擇指派。
又一次啟動后,電腦中上述網絡port就被關閉了,病毒和黑客再也不能連上這些port,從而保護了我們的電腦。(有的用戶管理員的password為空,是不好的,這會讓人有機可乘。另win9X與win2000/xp內核不一樣,設置也不一樣。)
Part II.改動系統方法
winxp查找本地執行了哪些網絡服務,命令
netstat -an
netstat -ano
查看本地特定port連接情況
netstat -anp tcp | find ":1367"
1.關閉TCPport25、80、443(SMTP服務,HTTP服務和IIS管理服務(win2000服務相關))
關閉IIS Admin 服務就可以!下面服務將隨之關閉!
相關服務(World Wide Web Publishing Service ;Simple Mail Transport Protocol (SMTP))
防止IIS服務再次隨系統又一次啟動的最簡單辦法是移除IIS組件,在控制面板中選加入/刪除
命令:
net stop iisadmin
2.關閉win2000 server並列事務服務!(Distributed Transaction Coordinator service)
並列事務服務在Windows 2000 server上默認安裝和啟動並打開了TCPport3372和一個大於1023的port
命令
net stop msdtc
3.關閉Windows XP的服務(TCP 5000,UDP 123、500和1900port):
IPsec services (PolicyAgent)
SSDP Discovery Service (SSDPSRV)
Windows Time (W32Time)
命令:
net stop policyagent
net stop ssdpsrv
net stop w32time
4.關閉137、138、139port
NetBT使用了UDP 137、138和TCP
139port。
要關閉這些port,必須在全部網絡適配器(Adapter)上禁用NetBT協議。
方法:
本地連接屬性->Internet協議 (TCP/IP)->屬性->高級->WINS,禁用TCP/IP上的NetBIOS
用來解析NetBIOS名字的lmhosts服務,也能夠停止並禁用
命令:
net stop lmhosts
5.關閉TCP 445port
能夠有兩種方法:
第一. 禁用NetBT驅動
第二. 改動注冊表以禁用TCP上的CIFS
-[ 禁用 NetBT 驅動 ]-
全然在系統中禁用SMB的方法,就是同一時候禁用SMBclient(workstation服務)和服務端(server服務)。
首先要禁用這兩個服務(以及全部依賴它們並執行着的服務)。
win2000命令:
net stop rdr
net stop srv
winxp命令:
sc config netbt start= disabled
然后,必須在注冊表中改動:
Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT
Value: Start
Type: DWORD value (REG_DWORD)
Content: 4
-[ 不禁用NetBT,僅僅禁用SMB ]-
有時,你可能想保留NetBT,但不用它傳輸SMB,而用TCP 445。
這樣的情況下,你能夠例如以下設置注冊表
Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBTParameters
Value: SmbDeviceEnabled
Type: DWORD value (REG_DWORD)
Content: 0 (to disable)
6.關閉135port(防沖擊波病毒)
135port主要用於使用RPC(Remote Procedure Call,遠程過程調用)協議並提供DCOM(分布式組件對象模型)服務。
命令:
dcomcnfg
組件服務->計算機->我的電腦->屬性->默認屬性-刪除在此計算機上啟用分布式COM
默認協議->刪除面向連接的TCP/IP
7.Windows XP的緩存DNS服務
dnscache服務UDPport是1026
按以下設置后,每次DNS請求使用不同的UDPport!
Key: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Dnscache/Parameters
Value: MaxCachedSockets
Type: REG_DWORD
Content: 0
作者:http://www.hsc.fr/ressources/breves/min_srv_res_win.en.html.en
cmd腳本參考:
ECHO OFF
rem 關閉TCPport25、80、443(SMTP服務,HTTP服務和IIS管理服務(win2000服務相關))
net stop iisadmin
rem 並列事務服務!(Distributed Transaction Coordinator service)port1025或3372
net stop msdtc
rem 關閉Windows XP的服務(TCP 5000,UDP 123、500和1900port):
rem IPsec services (PolicyAgent)
rem SSDP Discovery Service (SSDPSRV)
rem Windows Time (W32Time)
net stop policyagent
net stop ssdpsrv
net stop w32time
rem Windows XP的緩存DNS服務
reg add HKLM/SYSTEM/CurrentControlSet/Services/Dnscache/Parameters /v MaxCachedSockets /t REG_DWORD /d 0 /f
rem 關閉TCP 445port
rem win2000命令:
rem net stop rdr
rem net stop srv
rem winxp命令:
sc config netbt start= disabled
reg add HKLM/SYSTEM/CurrentControlSet/Services/NetBT /v Start /t REG_DWORD /d 4 /f
cls
echo "關閉135port(防沖擊波病毒)"
echo "組件服務->計算機->我的電腦->屬性->默認屬性-刪除在此計算機上啟用分布式COM"
echo "默認協議->刪除面向連接的TCP/IP"
rem winxp命令:
start /w dcomcnfg
pause
cls
echo "關閉137、138、139port"
rem NetBIOS名字的lmhosts服務
net stop lmhosts
cls
echo "手動操作關閉137、138、139port"
echo "本地連接屬性->Internet協議 (TCP/IP)->屬性->高級->WINS,禁用TCP/IP上的NetBIOS"
start /w ncpa.cpl
pause
pause
rem *******************************************
rem 其他腳本參考
rem echo 開始封殺135,445port...
rem reg add HKLM/SOFTWARE/Microsoft/Ole /v EnableDCOM /d N /f
rem reg add HKLM/SOFTWARE/Microsoft/Rpc /v "DCOM Protocols" /t REG_MULTI_SZ /d rem ncacn_spx/0ncacn_nb_nb/0ncacn_nb_ipx/0 /f
rem sc config MSDTC start= DISABLED
rem reg add HKLM/SYSTEM/CurrentControlSet/Services/NetBT/Parameters /v SMBDeviceEnabled /t rem REG_DWORD /d 0 /f
rem echo 封殺135,445port結束!
rem *******************************************
我們之所以可以借助於一根小小的網線“周游”世界,是由於計算機網絡“port”合理地將我們的請求發送到了該去的地方。計算機上這一扇扇敞開的“門”(port)既能讓各種正常的網絡通信暢通無阻,同一時候也會被木馬、病毒所利用,這就是為什么計算機已經安裝了殺毒軟件和防火牆,但還是頻頻受到來自網絡和病毒的攻擊。實病毒特別是一些木馬正是從這些看不見的“口”中長驅而入,安家落戶的。那么,要防毒,首先就要看好計算機的port,謹防病從“口”入 。
掃描,讓危急port無處遁形
方法一:在命令行下查看本機開放的port
Windows 中為我們提供了查看本機port開放情況的命令行工具“netstat”,利用netstat命令我們能夠查看本機開放了哪些port,都是誰開的?眼下本機的port處於什么狀態,是等待連接還是已經連接,假設是已經連接,那就要特別注意看連接是正常連接還是非正常連接,從中能夠發現木馬行蹤。
方法二:利用port分析大師掃描本機開放的port
在命令提示符窗體查看本機port,有一定的局限性,找到的可疑port也不一定就是病毒或木馬留下的后門,假設不進行深入分析妄加推斷,可能會冤枉了“好人”。假設不假思索封閉該port,非常可能會影響網絡的使用。在這里向電腦新手推薦使用port分析大師(下載地址:http://www.onlinedown.net/soft/46625.htm)。下載安裝完成,啟動port分析大師,在“本機IP”文本框中會自己主動偵測出本機的IP,我們僅僅需在“起始port”、“結束port”文本框中輸入欲掃描的port段就可以。為全面檢查本機安全狀況,建議大家將port段設置為“0—65535”。設置完成,單擊“開始分析”button就可以(如圖2)。掃描結束后,我們還能夠單擊“屏蔽危急port”button將危急port屏蔽掉。另外,很多黑客攻擊通常都是利用系統漏洞,通過特定的port進行的,因此,給系統打上補丁能夠最大限度地降低自己被網絡攻擊的幾率。單擊“系統補丁下載”button,能夠連接到微軟安全中心進行最新補丁的更新。
哪些port最危急
作為普通用戶,我們一般只用到21、25、80、110等為數不多的port,比如,我們建立FTP網站用的是21號port,瀏覽網頁用的是80號port,收發郵件用的是110號port,QQ用的是4000號port。假設把計算機比作一間大房子 ,port就是出入這間房子的門。一台計算機的網絡port有65536個,port是通過port號來標記的,port號唯獨整數,范圍是從0 到65535。那些實用的port通常不大於1024(QQ例外,使用UDP 4000port進行通信)。而病毒、木馬和間諜軟件等惡意程序往往會使用大於1024port的高端port進行傳播、攻擊,比如鼎鼎大名的冰河使用的監聽port是7626,Back Orifice 2000使用的則是54320等等。惡意程序使用的高端port號通常比較隱蔽,用戶一般非常難發現。
關門、禁用高危port
准確找出病毒或木馬使用的可疑port后,首先要利用進程管理器結束這個惡意進程,然后馬上升級病毒庫和個人網絡防火牆,查殺系統中存在的病毒和木馬。當然,為了保險起見,我們還應當禁用這些高危急port。在這里我們能夠借助於微軟自己的小工具ipseccmd.exe,比如我們要關閉木馬BackDoor默認服務port,則輸入命令:“ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1999" -f *+0:1999:TCP -n BLOCK -x”。
小提示:Windows XP用ipseccmd命令,該命令位於安裝光盤的SUPPORT/TOOLS/SUPP-ORT.CAB壓縮包中,用戶僅僅需找到 ipseccmd文件將其釋放到系統安裝文件夾的System32文件夾中就可以使用。而Windows 2000下用ipsecpol,位於Windows 2000 Resource Kit中,還須要帶上ipsecutil.dll和text2pol.dll這兩個文件才干使用;Windows 2003下用IPSEC命令。
對於普通用戶來說,要找全木馬經常使用的高危port並非一件easy的事,只是,劍客技術聯盟的防黑高手們已經為我們量身定做了“有害port自己主動關閉器”(下載地址:http://www.xpblue.com/down/10511.html)。完成下載,解壓后我們會得到一個批處理文件,其利用的正是ipseccmd.exe命令。如今我們僅僅需輕輕雙擊一下,就可以免疫全部的高危port,實屬一勞永逸之舉。