端口對應服務的相應漏洞 端口入侵 端口漏洞 爆破 未授權訪問 遠程代碼執行 Java反序列 webshell 弱口令 認證繞過 緩沖區溢出注入攻擊 Shift后門 TNS注入攻擊
| 端口號 | 服務 | 說明 |
|---|---|---|
| 0 | Reserve | 通常用於分析操作系統。這一方法能夠工作是因為在一些系統中“0”是無效端口, 當你試圖使用通常的閉合端口連接它時將產生不同的結果。一種典型的掃描, 使用IP地址為0.0.0.0,設置ACK位並在以太網層廣播。 |
| 1 | tcpmux | 這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者,默認情況下tcpmux在這種系統中被打開。 Irix機器在發布是含有幾個默認的無密碼的帳戶,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。 許多管理員在安裝后忘記刪除這些帳戶。因此HACKER在INTERNET上搜索tcpmux並利用這些帳戶。 |
| 7 | Echo | 能看到許多人搜索Fraggle放大器時,發送到X.X.X.0和X.X.X.255的信息。 |
| 19 | Character Generator | 這是一種僅僅發送字符的服務。UDP版本將會在收到UDP包后回應含有垃圾字符的包。 TCP連接時會發送含有垃圾字符的數據流直到連接關閉。HACKER利用IP欺騙可以發動DoS攻擊。偽造兩個chargen服務器之間的UDP包。 同樣Fraggle DoS攻擊向目標地址的這個端口廣播一個帶有偽造受害者IP的數據包,受害者為了回應這些數據而過載。 |
| 21/22/69 | ftp/tftp:文件傳輸協議 | 爆破嗅探 溢出;后門 |
| 22 | ssh:遠程連接 | 爆破OpenSSH;28個退格 |
| 23 | telnet:遠程連接 | 爆破嗅探 遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一端口是為了找到機器運行的操作系統。 還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。 |
| 25 | smtp:郵件服務 | 郵件偽造 入侵者尋找SMTP服務器是為了傳遞他們的SPAM。入侵者的帳戶被關閉, 他們需要連接到高帶寬的E-MAIL服務器上,將簡單的信息傳遞到不同的地址。 木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。 |
| 31 | MSG Authentication | 木馬Master Paradise、Hackers Paradise開放此端口。 |
| 42 | WINS Replication | WINS復制 |
| 53 | Domain Name Server(DNS) | DNS服務器所開放的端口, 入侵者可能是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏其他的通信。因此防火牆常常過濾或記錄此端口。 |
| 67/68 | Bootstrap Protocol Server | 通過DSL和Cable modem的防火牆常會看見大量發送到廣播地址255.255.255.255的數據。 這些機器在向DHCP服務器請求一個地址。HACKER常進入它們,分配一個地址把自己作為局部路由器而發起大量中間人(man-in-middle)攻擊。 客戶端向68端口廣播請求配置,服務器向67端口廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的IP地址。 |
| 69 | Trival File Transfer | 許多服務器與bootp一起提供這項服務,便於從系統下載啟動代碼。但是它們常常由於錯誤配置而使入侵者能從系統中竊取任何 文件。 它們也可用於系統寫入文件。 |
| 79 | Finger Server | 入侵者用於獲得用戶信息,查詢操作系統,探測已知的緩沖區溢出錯誤,回應從自己機器到其他機器Finger掃描。 |
| 80 | HTTP | 用於網頁瀏覽。木馬Executor開放此端口。 |
| 88 | Kerberos krb5。另外TCP的88端口也是這個用途。 | |
| 99 | Metagram Relay | 后門程序ncx99開放此端口。 |
| 102 | Message transfer agent(MTA)-X.400 over TCP/IP | 消息傳輸代理。 |
| 109 | Post Office Protocol -Version3 | POP3服務器開放此端口,用於接收郵件,客戶端訪問服務器端的郵件服務。 POP3服務有許多公認的弱點。關於用戶名和密碼交 換緩沖區溢出的弱點至少有20個, 這意味着入侵者可以在真正登陸前進入系統。成功登陸后還有其他緩沖區溢出錯誤。 |
| 110 | SUN公司的RPC服務所有端口 | 爆破 常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等 |
| 113 | Authentication Service | 這是一個許多計算機上運行的協議,用於鑒別TCP連接的用戶。使用標准的這種服務可以獲得許多計算機的信息。 但是它可作為許多服務的記錄器,尤其是FTP、POP、IMAP、SMTP和IRC等服務 通常如果有許多客戶通過防火牆訪問這些服務,將會看到許多這個端口的連接請求。 記住,如果阻斷這個端口客戶端會感覺到在防火牆另一邊與E-MAIL服務器的緩慢連接。 許多防火牆支持TCP連接的阻斷過程中發回RST。這將會停止緩慢的連接。 |
| 119 | Network News Transfer Protocol | NEWS新聞組傳輸協議,承載USENET通信。這個端口的連接通常是人們在尋找USENET服務器。 多數ISP限制,只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子, 訪問被限制的新聞組服務器,匿名發帖或發送SPAM。 |
| 135 | Location Service | Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。 這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。 遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。 HACKER掃描計算機的這個端口是為了找到這個計算機上運行Exchange Server嗎? 什么版本?還有些DOS攻擊直接針對這個端口。 |
| 137 | SQL Named Pipes encryption over other protocols name lookup(其他協議名稱查找上的SQL命名管道加密技術)和SQL RPC encryption over other protocols name lookup(其他協議名稱查找上的SQL RPC加密技術)和Wins NetBT name service(WINS NetBT名稱服務)和Wins Proxy都用這個端口。 | |
| 137、138、139 | NETBIOS Name Service | 其中137、138是UDP端口,當通過網上鄰居傳輸文件時用這個端口。 而139端口:爆破未授權訪問 遠程代碼執行 通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。 這個協議被用於windows文件和打印機共享和SAMBA。還有WINS Regisrtation也用它。 |
| 143 | Interim Mail Access Protocol v2 | 爆破 和POP3的安全問題一樣,許多IMAP服務器存在有緩沖區溢出漏洞。 記住:一種LINUX蠕蟲(admv0rm)會通過這個端口繁殖,因此許多這個端口的掃描來自不知情的已經被感染的用戶。 當REDHAT在他們的LINUX發布版本中默認允許IMAP后,這些漏洞變的很流行。這一端口還被用於IMAP2,但並不流行。 |
| 161 | SNMP | 爆破 SNMP允許遠程管理設備。所有配置和運行信息的儲存在數據庫中,通過SNMP可獲得這些信息。 許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。 他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網絡。 |
| 162 | SNMP Trap(SNMP陷阱) | |
| 177 | X Display Manager Control Protocol | 許多入侵者通過它訪問X-windows操作台,它同時需要打開6000端口。 |
| 389 | LDAP、ILS | 注入攻擊未授權訪問 輕型目錄訪問協議和NetMeeting Internet Locator Server共用這一端口。 |
| 443 | Https | 網頁瀏覽端口,能提供加密和通過安全端口傳輸的另一種HTTP。 |
| 445 | Common Internet File System(CIFS)(公共Internet文件系統) | |
| 456 | [NULL] | 木馬HACKERS PARADISE開放此端口。 |
| 464 | Kerberos kpasswd(v5)。另外TCP的464端口也是這個用途。 | |
| 500 | Internet Key Exchange(IKE)(Internet密鑰交換) | |
| 513 | Login,remote login | 直接使用rlogin 是從使用cable modem或DSL登陸到子網中的UNIX計算機發出的廣播。這些人為入侵者進入他們的系統提供了信息。 |
| 544 | [NULL] | kerberos kshell |
| 548 | Macintosh,File Services(AFP/IP) | Macintosh,文件服務。 |
| 553 | CORBA IIOP (UDP) | 使用cable modem、DSL或VLAN將會看到這個端口的廣播。CORBA是一種面向對象的RPC系統。入侵者可以利用這些信息進入系統。 |
| 555 | DSF | 木馬PhAse1.0、Stealth Spy、IniKiller開放此端口。 |
| 568 | Membership DPA | 成員資格 DPA。 |
| 569 | Membership MSN | 成員資格 MSN。 |
| 635 | mountd | Linux的mountd Bug。這是掃描的一個流行BUG。大多數對這個端口的掃描是基於UDP的, 但是基於TCP的mountd有所增加(mountd同時運行於兩個端口)。 記住mountd可運行於任何端口(到底是哪個端口,需要在端口111做portmap查詢) 只是Linux默認端口是635,就像NFS通常運行於2049端口。 |
| 636 | LDAP | SSL(Secure Sockets layer) |
| 666 | Doom Id Software | 木馬Attack FTP、Satanz Backdoor開放此端口 |
| 873 | rsync | 未授權訪問 |
| 993 | IMAP | SSL(Secure Sockets layer) |
| 1001、1011 | [NULL] | 木馬Silencer、WebEx開放1001端口。木馬Doly Trojan開放1011端口。 |
| 1024 | Reserved | 它是動態端口的開始,許多程序並不在乎用哪個端口連接網絡,它們請求系統為它們分配下一個閑置端口。 基於這一點分配從端口1024開始。這就是說第一個向系統發出請求的會分配到1024端口。你可以重啟機器,打開Telnet ,再打開一個窗口運行natstat -a 將會看到Telnet被分配1024端口。還有SQL session也用此端口和5000端口。 |
| 1025、1033 | 1025:network blackjack 1033:[NULL] | 木馬netspy開放這2個端口。 |
| 1080 | SOCKS | 這一協議以通道方式穿過防火牆,允許防火牆后面的人通過一個IP地址訪問INTERNET。 理論上它應該只允許內部的通信向外到達INTERNET。但是由於錯誤的配置,它會允許位於防火牆外部的攻擊穿過防火牆。 WinGate常會發生這種錯誤,在加入IRC聊天室時常會看到這種情況。 |
| 1170 | [NULL] | 木馬Streaming Audio Trojan、Psyber Stream Server、Voice開放此端口。 |
| 1234、1243、6711、6776 | [NULL] | 木馬SubSeven2.0、Ultors Trojan開放1234、6776端口。木馬SubSeven1.0/1.9開放1243、6711、6776端口。 |
| 1245 | [NULL] | 木馬Vodoo開放此端口。 |
| 1352 | lotus | 爆破:弱口令信息泄漏:源代碼 |
| 1433 | SQL | 爆破:使用系統用戶登錄注入攻擊 Microsoft的SQL服務開放的端口。 |
| 1492 | stone-design-1 | 木馬FTP99CMP開放此端口。 |
| 1500 | RPC client fixed port session queries | RPC客戶固定端口會話查詢 |
| 1503 | NetMeeting T.120 | NetMeeting T.120 |
| 1521 | oracle | 爆破:TNS注入攻擊 |
| 1524 | ingress | 許多攻擊腳本將安裝一個后門SHELL於這個端口,尤其是針對SUN系統中Sendmail和RPC服務漏洞的腳本。 如果剛安裝了防火牆就看到在這個端口上的連接企圖,很可能是上述原因。可以試試Telnet到用戶的計算機上的這個端口,看看它是否會給你一個SHELL。連接到600/pcserver也存在這個問題。 |
| 1600 | issd | 木馬Shivka-Burka開放此端口。 |
| 1645、1812 | Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(遠程認證撥號用戶服務) | |
| 1646、1813 | RADIUS accounting(Routing and Remote Access)(RADIUS記帳(路由和遠程訪問)) | |
| 1701 | Layer Two Tunneling Protocol(L2TP)(第2層隧道協議) | |
| 1720 | NetMeeting | NetMeeting H.233 call Setup。 |
| 1731 | NetMeeting Audio Call Control | NetMeeting音頻調用控制。 |
| 1801、3527 | Microsoft Message Queue Server(Microsoft消息隊列服務器)。還有TCP的135、1801、2101、2103、2105也是同樣的用途。 | |
| 1807 | [NULL] | 木馬SpySender開放此端口。 |
| 1981 | [NULL] | 木馬ShockRave開放此端口。 |
| 1999 | cisco identification port | 木馬BackDoor開放此端口。 |
| 2000 | [NULL] | 木馬GirlFriend 1.3、Millenium 1.0開放此端口。 |
| 2001 | [NULL] | 木馬Millenium 1.0、Trojan Cow開放此端口。 |
| 2023 | xinuexpansion 4 | 木馬Pass Ripper開放此端口。 |
| 2049 | NFS | NFS程序常運行於這個端口。通常需要訪問Portmapper查詢這個服務運行於哪個端口。 |
| 2115 | [NULL] | 木馬Bugs開放此端口。 |
| 2140、3150 | [NULL] | 木馬Deep Throat 1.0/3.0開放此端口。 |
| 2181 | zookeeper | 未授權訪問 |
| 2500 | RPC client using a fixed port session replication | 應用固定端口會話復制的RPC客戶 |
| 2504 | Network Load Balancing(網絡平衡負荷) | |
| 2583 | [NULL] | 木馬Wincrash 2.0開放此端口。 |
| 2801 | [NULL] | 木馬Phineas Phucker開放此端口。 |
| 3024、4092 | [NULL] | 木馬WinCrash開放此端口。 |
| 3128 | squid | 這是squid HTTP代理服務器的默認端口。攻擊者掃描這個端口是為了搜尋一個代理服務器而匿名訪問Internet。也會看到搜索其他代理服務器的端口8000、8001、8080、8888。掃描這個端口的另一個原因是用戶正在進入聊天室。其他用戶也會檢驗這個端口以確定用戶的機器是否支持代理。 |
| 3129 | [NULL] | 木馬Master Paradise開放此端口。 |
| 3150 | [NULL] | 木馬The Invasor開放此端口。 |
| 3210、4321 | [NULL] | 木馬SchoolBus開放此端口 |
| 3306 | mysql | 爆破拒絕服務 注入 |
| 3333 | dec-notes | 木馬Prosiak開放此端口 |
| 3389 | 超級終端 | WINDOWS 2000終端開放此端口。 |
| 3700 | [NULL] | 木馬Portal of Doom開放此端口 |
| 3996、4060 | [NULL] | 木馬RemoteAnything開放此端口 |
| 4000 | QQ客戶端 | 騰訊QQ客戶端開放此端口。 |
| 4092 | [NULL] | 木馬WinCrash開放此端口。 |
| 4590 | [NULL] | 木馬ICQTrojan開放此端口。 |
| 4848 | glassfish | 爆破:控制台弱口令認證繞過 |
| 5000、5001、5321、50505 | [NULL] | 木馬blazer5開放5000端口。木馬Sockets de Troie開放5000、5001、5321、50505端口。 |
| 5400、5401、5402 | [NULL] | 木馬Blade Runner開放此端口。 |
| 5432 | postgresql | 緩沖區溢出注入攻擊 爆破:弱口令 |
| 5550 | [NULL] | 木馬xtcp開放此端口。 |
| 5569 | [NULL] | 木馬Robo-Hack開放此端口。 |
| 5632 | pcAnywere | 有時會看到很多這個端口的掃描,這依賴於用戶所在的位置。當用戶打開pcAnywere時,它會自動掃描局域網C類網以尋找可能的代理(這里的代理是指agent而不是proxy)。入侵者也會尋找開放這種服務的計算機。,所以應該查看這種掃描的源地址。一些搜尋pcAnywere的掃描包常含端口22的UDP數據包。 |
| 5742 | [NULL] | 木馬WinCrash1.03開放此端口。 |
| 5900 | vnc | 爆破:弱口令認證繞過 |
| 6267 | [NULL] | 木馬廣外女生開放此端口。 |
| 6379 | redis | 授權訪問爆破:弱口令 |
| 6400 | [NULL] | 木馬The tHing開放此端口。 |
| 6670、6671 | [NULL] | 木馬Deep Throat開放6670端口。而Deep Throat 3.0開放6671端口。 |
| 6883 | [NULL] | 木馬DeltaSource開放此端口。 |
| 6969 | [NULL] | 木馬Gatecrasher、Priority開放此端口。 |
| 6970 | RealAudio | RealAudio客戶將從服務器的6970-7170的UDP端口接收音頻數據流。這是由TCP-7070端口外向控制連接設置的。 |
| 7000 | [NULL] | 木馬Remote Grab開放此端口。 |
| 7001 | weblogic | Java反序列化控制台弱口令 控制台部署webshell |
| 7300、7301、7306、7307、7308 | [NULL] | 木馬NetMonitor開放此端口。另外NetSpy1.0也開放7306端口。 |
| 7323 | [NULL] | Sygate服務器端。 |
| 7626 | [NULL] | 木馬Giscier開放此端口。 |
| 7789 | [NULL] | 木馬ICKiller開放此端口。 |
| 8000 | OICQ | 騰訊QQ服務器端開放此端口。 |
| 8010 | Wingate | Wingate代理開放此端口。 |
| 8080 | 代理端口 | WWW代理開放此端口。 |
| 8069 | zabbix | 遠程命令執行 |
| 9090 | websphere控制台 | 爆破:控制台弱口令Java反序列 |
| 9200/9300 | elasticsearch | 遠程代碼執行 |
| 9400、9401、9402 | [NULL] | 木馬Incommand 1.0開放此端口。 |
| 9872、9873、9874、9875、10067、10167 | [NULL] | 木馬Portal of Doom開放此端口。 |
| 9989 | [NULL] | 木馬iNi-Killer開放此端口。 |
| 11000 | [NULL] | 木馬SennaSpy開放此端口。 |
| 11211 | memcacache | 未授權訪問 |
| 11223 | [NULL] | 木馬Progenic trojan開放此端口。 |
| 12076、61466 | [NULL] | 木馬Telecommando開放此端口。 |
| 12223 | [NULL] | 木馬Hack'99 KeyLogger開放此端口。 |
| 12345、12346 | [NULL] | 木馬NetBus1.60/1.70、GabanBus開放此端口。 |
| 12361 | [NULL] | 木馬Whack-a-mole開放此端口。 |
| 13223 | PowWow | PowWow是Tribal Voice的聊天程序。它允許用戶在此端口打開私人聊天的連接。這一程序對於建立連接非常具有攻擊性。它會駐扎在這個TCP端口等回應。造成類似心跳間隔的連接請求。如果一個撥號用戶從另一個聊天者手中繼承了IP地址就會發生好象有很多不同的人在測試這個端口的情況。這一協議使用OPNG作為其連接請求的前4個字節。 |
| 16969 | [NULL] | 木馬Priority開放此端口。 |
| 17027 | Conducent | 這是一個外向連接。這是由於公司內部有人安裝了帶有Conducent"adbot"的共享軟件。Conducent"adbot"是為共享軟件顯示廣告服務的。使用這種服務的一種流行的軟件是Pkware。 |
| 19191 | [NULL] | 木馬藍色火焰開放此端口。 |
| 20000、20001 | [NULL] | 木馬Millennium開放此端口。 |
| 20034 | [NULL] | 木馬NetBus Pro開放此端口。 |
| 21554 | [NULL] | 木馬GirlFriend開放此端口。 |
| 22222 | [NULL] | 木馬Prosiak開放此端口。 |
| 23456 | [NULL] | 木馬Evil FTP、Ugly FTP開放此端口。 |
| 26274、47262 | [NULL] | 木馬Delta開放此端口。 |
| 27017 | mongodb | 爆破未授權訪問 |
| 27374 | [NULL] | 木馬Subseven 2.1開放此端口。 |
| 30100 | [NULL] | 木馬NetSphere開放此端口。 |
| 30303 | [NULL] | 木馬Socket23開放此端口。 |
| 30999 | [NULL] | 木馬Kuang開放此端口。 |
| 31337、31338 | [NULL] | 木馬BO(Back Orifice)開放此端口。另外木馬DeepBO也開放31338端口。 |
| 31339 | [NULL] | 木馬NetSpy DK開放此端口。 |
| 31666 | [NULL] | 木馬BOWhack開放此端口。 |
| 33333 | [NULL] | 木馬Prosiak開放此端口。 |
| 34324 | [NULL] | 木馬Tiny Telnet Server、BigGluck、TN開放此端口。 |
| 40412 | [NULL] | 木馬The Spy開放此端口。 |
| 40421、40422、40423、40426、 | [NULL] | 木馬Masters Paradise開放此端口。 |
| 43210、54321 | [NULL] | 木馬SchoolBus 1.0/2.0開放此端口。 |
| 44445 | [NULL] | 木馬Happypig開放此端口。 |
| 50766 | [NULL] | 木馬Fore開放此端口。 |
| 53001 | [NULL] | 木馬Remote Windows Shutdown開放此端口。 |
| 65000 | [NULL] | 木馬Devil 1.03開放此端口。 |
TCP 2=Death
TCP 7=Echo
TCP 12=Bomber
TCP 20=FTP Data
TCP 21=Back Construction,Blade Runner,Doly Trojan,Fore,FTP trojan,Invisible FTP,Larva, WebEx,WinCrash
TCP 23=Telnet, Tiny Telnet Server (= TTS)
TCP 25=SMTP, Ajan, Antigen, Email Password Sender, Happy 99, Kuang2,ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy,Haebu Coceda
TCP 31=Agent 31, Hackers Paradise, Masters Paradise
TCP 41=DeepThroat
TCP 43=WHOIS
TCP 48=DRAT
TCP 50=DRAT
TCP 53=DNS,Bonk (DOS Exploit)
TCP 58=DMSetup
TCP 59=DMSetup
TCP 70=Gopher
TCP 79=Firehotcker, Finger
TCP 80=Http服務器, Executor, RingZero
TCP 81=Chubo
TCP 99=Hidden Port
TCP 110=Pop3服務器, ProMail
TCP 113=Kazimas, Auther Idnet
TCP 118=Infector 1.4.2
TCP 119=Nntp, Happy 99
TCP 121=JammerKiller, Bo jammerkillah
TCP 123=Net Controller
TCP 133=Infector 1.x
//TCP 137=NetBios-NS
//TCP 138=NetBios-DGN
//TCP 139=NetBios-SSN
TCP 143=IMAP
TCP 146=FC Infector,Infector
TCP 161=Snmp
TCP 162=Snmp-Trap
TCP 170=A-Trojan
TCP 194=Irc
TCP 256=Nirvana
TCP 315=The Invasor
TCP 420=Breach
TCP 421=TCP Wrappers
TCP 456=Hackers paradise,FuseSpark
TCP 531=Rasmin
TCP 555=Ini-Killer,Phase Zero,Stealth Spy
TCP 605=SecretService
TCP 606=Noknok8
TCP 661=Noknok8
TCP 666=Attack FTP,Satanz Backdoor,Back Construction,Dark Connection
Inside 1.2
TCP 667=Noknok7.2
TCP 668=Noknok6
TCP 692=GayOL
TCP 777=AIM Spy
TCP 808=RemoteControl,WinHole
TCP 815=Everyone Darling
TCP 911=Dark Shadow
TCP 999=DeepThroat
TCP 1000=Der Spaeher
TCP 1001=Silencer,WebEx,Der Spaeher
TCP 1003=BackDoor
TCP 1010=Doly
TCP 1011=Doly
TCP 1012=Doly
TCP 1015=Doly
TCP 1020=Vampire
TCP 1024=NetSpy.698(YAI)
//TCP 1025=NetSpy.698
//TCP 1033=Netspy
//TCP 1042=Bla
//TCP 1045=Rasmin
//TCP 1047=GateCrasher
//TCP 1050=MiniCommand
TCP 1080=Wingate
//TCP 1090=Xtreme, VDOLive
//TCP 1095=Rat
//TCP 1097=Rat
//TCP 1098=Rat
//TCP 1099=Rat
//TCP 1170=Psyber Stream Server,Streaming Audio trojan,Voice
//TCP 1200=NoBackO
//TCP 1201=NoBackO
//TCP 1207=Softwar
//TCP 1212=Nirvana,Visul Killer
//TCP 1234=Ultors
//TCP 1243=BackDoor-G, SubSeven, SubSeven Apocalypse
//TCP 1245=VooDoo Doll
//TCP 1269=Mavericks Matrix
//TCP 1313=Nirvana
//TCP 1349=BioNet
//TCP 1441=Remote Storm
//TCP 1492=FTP99CMP(BackOriffice.FTP)
//TCP 1509=Psyber Streaming Server
//TCP 1600=Shivka-Burka
//TCP 1703=Exloiter 1.1
//TCP 1807=SpySender
//TCP 1966=Fake FTP 2000
//TCP 1976=Custom port
//TCP 1981=Shockrave
//TCP 1999=BackDoor, TransScout
//TCP 2000=Der Spaeher,INsane Network
//TCP 2001=Transmisson scout
//TCP 2002=Transmisson scout
//TCP 2003=Transmisson scout
//TCP 2004=Transmisson scout
//TCP 2005=TTransmisson scout
//TCP 2023=Ripper,Pass Ripper,Hack City Ripper Pro
//TCP 2115=Bugs
//TCP 2121=Nirvana
//TCP 2140=Deep Throat, The Invasor
//TCP 2155=Nirvana
//TCP 2208=RuX
//TCP 2255=Illusion Mailer
//TCP 2283=HVL Rat5
//TCP 2300=PC Explorer
//TCP 2311=Studio54
//TCP 2565=Striker
//TCP 2583=WinCrash
//TCP 2600=Digital RootBeer
//TCP 2716=Prayer Trojan
//TCP 2801=Phineas Phucker
//TCP 2989=Rat
//TCP 3024=WinCrash trojan
//TCP 3128=RingZero
//TCP 3129=Masters Paradise
//TCP 3150=Deep Throat, The Invasor
//TCP 3210=SchoolBus
//TCP 3456=Terror
//TCP 3459=Eclipse 2000
//TCP 3700=Portal of Doom
//TCP 3791=Eclypse
//TCP 3801=Eclypse
TCP 4000=騰訊OICQ客戶端
TCP 4092=WinCrash
TCP 4242=VHM
TCP 4321=BoBo
TCP 4444=Prosiak,Swift remote
TCP 4567=File Nail
TCP 4590=ICQTrojan
TCP 4950=ICQTrojan
TCP 5000=WindowsXP服務器,Blazer 5,Bubbel,Back Door Setup,Sockets de Troie
TCP 5001=Back Door Setup, Sockets de Troie
TCP 5011=One of the Last Trojans (OOTLT)
TCP 5031=Firehotcker,Metropolitan,NetMetro
TCP 5032=Metropolitan
TCP 5190=ICQ Query
TCP 5321=Firehotcker
TCP 5333=Backage Trojan Box 3
TCP 5343=WCrat
TCP 5400=Blade Runner, BackConstruction1.2
TCP 5401=Blade Runner,Back Construction
TCP 5402=Blade Runner,Back Construction
TCP 5471=WinCrash
TCP 5521=Illusion Mailer
TCP 5550=Xtcp,INsane Network
TCP 5555=ServeMe
TCP 5556=BO Facil
TCP 5557=BO Facil
TCP 5569=Robo-Hack
TCP 5598=BackDoor 2.03
TCP 5631=PCAnyWhere data
TCP 5637=PC Crasher
TCP 5638=PC Crasher
TCP 5698=BackDoor
TCP 5714=Wincrash3
TCP 5741=WinCrash3
TCP 5742=WinCrash
TCP 5881=Y3K RAT
TCP 5882=Y3K RAT
TCP 5888=Y3K RAT
TCP 5889=Y3K RAT
TCP 6000=Backdoor.AB
TCP 6006=Noknok8
TCP 6272=SecretService
TCP 6267=廣外女生
TCP 6400=Backdoor.AB,The Thing
TCP 6500=Devil 1.03
TCP 6661=Teman
TCP 6666=TCPshell.c
TCP 6667=NT Remote Control
TCP 6669=Vampyre
TCP 6670=DeepThroat
TCP 6711=SubSeven
TCP 6712=SubSeven1.x
TCP 6713=SubSeven
TCP 6723=Mstream
TCP 6767=NT Remote Control
TCP 6771=DeepThroat
TCP 6776=BackDoor-G,SubSeven,2000 Cracks
TCP 6789=Doly Trojan
TCP 6838=Mstream
TCP 6883=DeltaSource
TCP 6912=Shit Heep
TCP 6939=Indoctrination
TCP 6969=GateCrasher, Priority, IRC 3
TCP 6970=GateCrasher
TCP 7000=Remote Grab,NetMonitor,SubSeven1.x
TCP 7001=Freak88
TCP 7201=NetMonitor
TCP 7215=BackDoor-G, SubSeven
TCP 7001=Freak88,Freak2k
TCP 7300=NetMonitor
TCP 7301=NetMonitor
TCP 7306=NetMonitor
TCP 7307=NetMonitor, ProcSpy
TCP 7308=NetMonitor, X Spy
TCP 7323=Sygate服務器端
TCP 7424=Host Control
TCP 7597=Qaz
TCP 7609=Snid X2
TCP 7626=冰河
TCP 7777=The Thing
TCP 7789=Back Door Setup, ICQKiller
TCP 7983=Mstream
TCP 8000=XDMA, 騰訊OICQ服務器端
TCP 8010=Logfile
TCP 8080=WWW 代理,Ring Zero,Chubo
TCP 8787=BackOfrice 2000
TCP 8897=Hack Office,Armageddon
TCP 8989=Recon
TCP 9000=Netministrator
TCP 9325=Mstream
TCP 9400=InCommand
TCP 9401=InCommand
TCP 9402=InCommand
TCP 9872=Portal of Doom
TCP 9873=Portal of Doom
TCP 9874=Portal of Doom
TCP 9875=Portal of Doom
TCP 9876=Cyber Attacker
TCP 9878=TransScout
TCP 9989=Ini-Killer
TCP 9999=Prayer Trojan
TCP 10067=Portal of Doom
TCP 10084=Syphillis
TCP 10085=Syphillis
TCP 10086=Syphillis
TCP 10101=BrainSpy
TCP 10167=Portal Of Doom
TCP 10520=Acid Shivers
TCP 10607=Coma trojan
TCP 10666=Ambush
TCP 11000=Senna Spy
TCP 11050=Host Control
TCP 11051=Host Control
TCP 11223=Progenic,Hack '99KeyLogger
TCP 11831=TROJ_LATINUS.SVR
TCP 12076=Gjamer, MSH.104b
TCP 12223=Hack?9 KeyLogger
TCP 12345=GabanBus, NetBus, Pie Bill Gates, X-bill
TCP 12346=GabanBus, NetBus, X-bill
TCP 12349=BioNet
TCP 12361=Whack-a-mole
TCP 12362=Whack-a-mole
TCP 12378=W32/Gibe@MM
TCP 12456=NetBus
TCP 12623=DUN Control
TCP 12624=Buttman
TCP 12631=WhackJob, WhackJob.NB1.7
TCP 12701=Eclipse2000
TCP 12754=Mstream
TCP 13000=Senna Spy
TCP 13010=Hacker Brazil
TCP 13013=Psychward
TCP 13700=Kuang2 The Virus
TCP 14456=Solero
TCP 14500=PC Invader
TCP 14501=PC Invader
TCP 14502=PC Invader
TCP 14503=PC Invader
TCP 15000=NetDaemon 1.0
TCP 15092=Host Control
TCP 15104=Mstream
TCP 16484=Mosucker
TCP 16660=Stacheldraht (DDoS)
TCP 16772=ICQ Revenge
TCP 16969=Priority
TCP 17166=Mosaic
TCP 17300=Kuang2 The Virus
TCP 17490=CrazyNet
TCP 17500=CrazyNet
TCP 17569=Infector 1.4.x + 1.6.x
TCP 17777=Nephron
TCP 18753=Shaft (DDoS)
TCP 19864=ICQ Revenge
TCP 20000=Millennium II (GrilFriend)
TCP 20001=Millennium II (GrilFriend)
TCP 20002=AcidkoR
TCP 20034=NetBus 2 Pro
TCP 20203=Logged,Chupacabra
TCP 20331=Bla
TCP 20432=Shaft (DDoS)
TCP 21544=Schwindler 1.82,GirlFriend
TCP 21554=Schwindler 1.82,GirlFriend,Exloiter 1.0.1.2
TCP 22222=Prosiak,RuX Uploader 2.0
TCP 22784=Backdoor.Intruzzo
TCP 23432=Asylum 0.1.3
TCP 23456=Evil FTP, Ugly FTP, WhackJob
TCP 23476=Donald Dick
TCP 23477=Donald Dick
TCP 23777=INet Spy
TCP 26274=Delta
TCP 26681=Spy Voice
TCP 27374=Sub Seven 2.0+
TCP 27444=Tribal Flood Network,Trinoo
TCP 27665=Tribal Flood Network,Trinoo
TCP 29431=Hack Attack
TCP 29432=Hack Attack
TCP 29104=Host Control
TCP 29559=TROJ_LATINUS.SVR
TCP 29891=The Unexplained
TCP 30001=Terr0r32
TCP 30003=Death,Lamers Death
TCP 30029=AOL trojan
TCP 30100=NetSphere 1.27a,NetSphere 1.31
TCP 30101=NetSphere 1.31,NetSphere 1.27a
TCP 30102=NetSphere 1.27a,NetSphere 1.31
TCP 30103=NetSphere 1.31
TCP NetSphere Final
TCP 30303=Sockets de Troie
TCP 30947=Intruse
TCP 30999=Kuang2
TCP 21335=Tribal Flood Network,Trinoo
TCP 31336=Bo Whack
TCP 31337=Baron Night,BO client,BO2,Bo Facil,BackFire,Back
Orifice,DeepBO,Freak2k,NetSpy
TCP 31338=NetSpy,Back Orifice,DeepBO
TCP 31339=NetSpy DK
TCP 31554=Schwindler
TCP 31666=BOWhack
TCP 31778=Hack Attack
TCP 31785=Hack Attack
TCP 31787=Hack Attack
TCP 31789=Hack Attack
TCP 31791=Hack Attack
TCP 31792=Hack Attack
TCP 32100=PeanutBrittle
TCP 32418=Acid Battery
TCP 33333=Prosiak,Blakharaz 1.0
TCP 33577=Son Of Psychward
TCP 33777=Son Of Psychward
TCP 33911=Spirit 2001a
TCP 34324=BigGluck,TN,Tiny Telnet Server
TCP 34555=Trin00 (Windows) (DDoS)
TCP 35555=Trin00 (Windows) (DDoS)
TCP 37651=YAT
TCP 40412=The Spy
TCP 40421=Agent 40421,Masters Paradise.96
TCP 40422=Masters Paradise
TCP 40423=Masters Paradise.97
TCP 40425=Masters Paradise
TCP 40426=Masters Paradise 3.x
TCP 41666=Remote Boot
TCP 43210=Schoolbus 1.6/2.0
TCP 44444=Delta Source
TCP 47252=Prosiak
TCP 47262=Delta
TCP 47878=BirdSpy2
TCP 49301=Online Keylogger
TCP 50505=Sockets de Troie
TCP 50766=Fore, Schwindler
TCP 51966=CafeIni
TCP 53001=Remote Windows Shutdown
TCP 53217=Acid Battery 2000
TCP 54283=Back Door-G, Sub7
TCP 54320=Back Orifice 2000,Sheep
TCP 54321=School Bus .69-1.11,Sheep, BO2K
TCP 57341=NetRaider
TCP 58339=ButtFunnel
TCP 60000=Deep Throat
TCP 60068=Xzip 6000068
TCP 60411=Connection
TCP 60606=TROJ_BCKDOR.G2.A
TCP 61466=Telecommando
TCP 61603=Bunker-kill
TCP 63485=Bunker-kill
TCP 65000=Devil, DDoS
TCP 65432=Th3tr41t0r, The Traitor
TCP 65530=TROJ_WINMITE.10
TCP 65535=RC
TCP 69123=ShitHeep
TCP 88798=Armageddon,Hack Office
UDP 1349=BO dll
UDP 2989=RAT
UDP 3801=Eclypse
UDP 10067=Portal of Doom
UDP 10167=Portal of Doom
UDP 12378=W32/Gibe@MM
UDP 22784=Backdoor.Intruzzo
UDP 26274=Delta Source
UDP 29891=The Unexplained
UDP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice,
DeepBO
UDP 31338=Back Orifice, NetSpy DK, DeepBO
UDP 31789=Hack aTack
UDP 31791=Hack aTack
UDP 47262=Delta Source
UDP 54321=Back Orifice 2000