按端口號可分為3大類:
(1)公認端口(Well Known Ports):從0到1023,它們緊密綁定(binding)於一些服務。通常這些端口的通訊明確表明了某種服務的協議。例如:80端口實際上總是HTTP通訊。
(2)注冊端口(Registered Ports):從1024到49151。它們松散地綁定於一些服務。也就是說有許多服務綁定於這些端口,這些端口同樣用於許多其它目的。例如:許多系統處理動態端口從1024左右開始。
(3)動態和/或私有端口(Dynamic and/or Private Ports):從49152到65535。理論上,不應為服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也有例外:SUN的RPC端口從32768開始。
0 通常用於分析操作系統。這一方法能夠工作是因為在一些系統中“0”是無效端口,當你試圖使用一種通常的閉合端口連接它時將產生不同的結果。一種典型的掃描:使用IP地址為0.0.0.0,設置ACK位並在以太網層廣播。
下面解釋的更具體,也算是補充。
0 通常用於分析操作系統。這一方法能夠工作是因為在一些系統中“0”是無效端口,當你試圖使用一種通常的閉合端口連接它時將產生不同的結果。一種典型的掃描:使用IP地址為0.0.0.0,設置ACK位並在以太網層廣播。
1 tcpmux 這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者,缺省情況下tcpmux在這種系統中被打開。Iris機器在發布時含有幾個缺省的無密碼的帳戶,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。許多管理員安裝后忘記刪除這些帳戶。因此Hacker們在Internet上搜索tcpmux並利用這些帳戶。
7 Echo 你能看到許多人們搜索Fraggle放大器時,發送到x.x.x.0和x.x.x.255的信息。常見的一種DoS攻擊是echo循環(echo-loop),攻擊者偽造從一個機器發送到另一個機器的UDP數據包,而兩個機器分別以它們最快的方式回應這些數據包。另一種東西是由DoubleClick在詞端口建立的TCP連接。有一種產品叫做“Resonate Global Dispatch”,它與DNS的這一端口連接以確定最近的路由。Harvest/squid cache將從3130端口發送UDP echo:“如果將cache的source_ping on選項打開,它將對原始主機的UDP echo端口回應一個HIT reply。”這將會產生許多這類數據包。
11 sysstat 這是一種UNIX服務,它會列出機器上所有正在運行的進程以及是什么啟動了這些進程。這為入侵者提供了許多信息而威脅機器的安全,如暴露已知某些弱點或帳戶的程序。這與UNIX系統中“ps”命令的結果相似。再說一遍:ICMP沒有端口,ICMP port 11通常是ICMP type=11。
19 chargen 這是一種僅僅發送字符的服務。UDP版本將會在收到UDP包后回應含有垃圾字符的包。TCP連接時,會發送含有垃圾字符的數據流知道連接關閉。Hacker利用IP欺騙可以發動DoS攻擊。偽造兩個chargen服務器之間的UDP包。由於服務器企圖回應兩個服務器之間的無限的往返數據通訊一個chargen和echo將導致服務器過載。同樣fraggle DoS攻擊向目標地址的這個端口廣播一個帶有偽造受害者IP的數據包,受害者為了回應這些數據而過載。
21 ftp 最常見的攻擊者用於尋找打開“anonymous”的ftp服務器的方法。這些服務器帶有可讀寫的目錄。Hackers或Crackers 利用這些服務器作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜索引擎分類)的節點。
22 ssh PcAnywhere 建立TCP和這一端口的連接可能是為了尋找ssh。這一服務有許多弱點。如果配置成特定的模式,許多使用RSAREF庫的版本有不少漏洞。(建議在其它端口運行ssh)。還應該注意的是ssh工具包帶有一個稱為make-ssh-known-hosts的程序。它會掃描整個域的ssh主機。你有時會被使用這一程序的人無意中掃描到。UDP(而不是TCP)與另一端的5632端口相連意味着存在搜索pcAnywhere的掃描。5632(十六進制的0x1600)位交換后是0x0016(使進制的22)。
23 Telnet 入侵者在搜索遠程登陸UNIX的服務。大多數情況下入侵者掃描這一端口是為了找到機器運行的操作系統。此外使用其它技術,入侵者會找到密碼。
25 smtp 攻擊者(spammer)尋找SMTP服務器是為了傳遞他們的spam。入侵者的帳戶總被關閉,他們需要撥號連接到高帶寬的e-mail服務器上,將簡單的信息傳遞到不同的地址。SMTP服務器(尤其是sendmail)是進入系統的最常用方法之一,因為它們必須完整的暴露於Internet且郵件的路由是復雜的(暴露+復雜=弱點)。
53 DNS Hacker或crackers可能是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏其它通訊。因此防火牆常常過濾或記錄53端口。需要注意的是你常會看到53端口做為UDP源端口。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回復。Hacker常使用這種方法穿透防火牆。
67&68 Bootp和DHCP UDP上的Bootp/DHCP:通過DSL和cable-modem的防火牆常會看見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP服務器請求一個地址分配。Hacker常進入它們分配一個地址把自己作為局部路由器而發起大量的“中間人”(man-in-middle)攻擊。客戶端向68端口(bootps)廣播請求配置,服務器向67端口(bootpc)廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的IP地址。
69 TFTP(UDP) 許多服務器與bootp一起提供這項服務,便於從系統下載啟動代碼。但是它們常常錯誤配置而從系統提供任何文件,如密碼文件。它們也可用於向系統寫入文件。
79 finger Hacker用於獲得用戶信息,查詢操作系統,探測已知的緩沖區溢出錯誤,回應從自己機器到其它機器finger掃描。
80 web站點默認80為服務端口,采用tcp或udp協議。
98 linuxconf 這個程序提供linux boxen的簡單管理。通過整合的HTTP服務器在98端口提供基於Web界面的服務。它已發現有許多安全問題。一些版本setuid root,信任局域網,在/tmp下建立Internet可訪問的文件,LANG環境變量有緩沖區溢出。此外因為它包含整合的服務器,許多典型的HTTP漏洞可能存在(緩沖區溢出,歷遍目錄等)
109 POP2 並不象POP3那樣有名,但許多服務器同時提供兩種服務(向后兼容)。在同一個服務器上POP3的漏洞在POP2中同樣存在。
110 POP3 用於客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交換緩沖區溢出的弱點至少有20個(這意味着Hacker可以在真正登陸前進入系統)。成功登陸后還有其它緩沖區溢出錯誤。
111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。訪問portmapper是掃描系統查看允許哪些RPC服務的最早的一步。常見RPC服務有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提供服務的特定端口測試漏洞。記住一定要記錄線路中的daemon, IDS, 或sniffer,你可以發現入侵者正使用什么程序訪問以便發現到底發生了什么。
113 Ident auth 這是一個許多機器上運行的協議,用於鑒別TCP連接的用戶。使用標准的這種服務可以獲得許多機器的信息(會被Hacker利用)。但是它可作為許多服務的記錄器,尤其是FTP, POP, IMAP, SMTP和IRC等服務。通常如果有許多客戶通過防火牆訪問這些服務,你將會看到許多這個端口的連接請求。記住,如果你阻斷這個端口客戶端會感覺到在防火牆另一邊與e-mail服務器的緩慢連接。許多防火牆支持在TCP連接的阻斷過程中發回RST,着將回停止這一緩慢的連接。
119 NNTP news 新聞組傳輸協議,承載USENET通訊。當你鏈接到諸如:news://comp.security.firewalls/. 的地址時通常使用這個端口。這個端口的連接企圖通常是人們在尋找USENET服務器。多數ISP限制只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務器,匿名發帖或發送spam。
135 oc-serv MS RPC end-point mapper Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和/或RPC的服務利用機器上的end-point mapper注冊它們的位置。遠端客戶連接到機器時,它們查詢end-point mapper找到服務的位置。同樣Hacker掃描機器的這個端口是為了找到諸如:這個機器上運行Exchange Server嗎?是什么版本?這個端口除了被用來查詢服務(如使用epdump)還可以被用於直接攻擊。有一些DoS攻擊直接針對這個端口。
137 NetBIOS name service nbtstat (UDP) 這是防火牆管理員最常見的信息。
139 NetBIOS File and Print Sharing 通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於Windows“文件和打印機共享”和SAMBA。在Internet上共享自己的硬盤是可能是最常見的問題。大量針對這一端口始於1999,后來逐漸變少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)開始將它們自己拷貝到這個端口,試圖在這個端口繁殖。
143 IMAP 和上面POP3的安全問題一樣,許多IMAP服務器有緩沖區溢出漏洞運行登陸過程中進入。記住:一種Linux蠕蟲(admw0rm)會通過這個端口繁殖,因此許多這個端口的掃描來自不知情的已被感染的用戶。當RadHat在他們的Linux發布版本中默認允許IMAP后,這些漏洞變得流行起來。Morris蠕蟲以后這還是第一次廣泛傳播的蠕蟲。這一端口還被用於IMAP2,但並不流行。已有一些報道發現有些0到143端口的攻擊源於腳本。
161 SNMP(UDP) 入侵者常探測的端口。SNMP允許遠程管理設備。所有配置和運行信息都儲存在數據庫中,通過SNMP客獲得這些信息。許多管理員錯誤配置將它們暴露於Internet。Crackers將試圖使用缺省的密碼“public”“private”訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向你的網絡。Windows機器常會因為錯誤配置將HP JetDirect remote management軟件使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網內廣播(cable modem, DSL)查詢sysName和其它信息。
162 SNMP trap 可能是由於錯誤配置
177 xdmcp 許多Hacker通過它訪問X-Windows控制台, 它同時需要打開6000端口。
513 rwho 可能是從使用cable modem或DSL登陸到的子網中的UNIX機器發出的廣播。這些人為Hacker進入他們的系統提供了很有趣的信息。
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你將會看到這個端口的廣播。CORBA是一種面向對象的RPC(remote procedure call)系統。Hacker會利用這些信息進入系統。
600 Pcserver backdoor 請查看1524端口。
一些玩script的孩子認為他們通過修改ingreslock和pcserver文件已經完全攻破了系統-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數對這個端口的掃描是基於UDP的,但基於TCP的mountd有所增加(mountd同時運行於兩個端口)。記住,mountd可運行於任何端口(到底在哪個端口,需要在端口111做portmap查詢),只是Linux默認為635端口,就象NFS通常運行於2049端口。
1024 許多人問這個端口是干什么的。它是動態端口的開始。許多程序並不在乎用哪個端口連接網絡,它們請求操作系統為它們分配“下一個閑置端口”。基於這一點分配從端口1024開始。這意味着第一個向系統請求分配動態端口的程序將被分配端口1024。為了驗證這一點,你可以重啟機器,打開Telnet,再打開一個窗口運行“natstat -a”,你將會看到Telnet被分配1024端口。請求的程序越多,動態端口也越多。操作系統分配的端口將逐漸變大。再來一遍,當你瀏覽Web頁時用“netstat”查看,每個Web頁需要一個新端口。
1025,1026 參見1024
1080 SOCKS 這一協議以管道方式穿過防火牆,允許防火牆后面的許多人通過一個IP地址訪問Internet。理論上它應該只允許內部的通信向外達到Internet。但是由於錯誤的配置,它會允許Hacker/Cracker的位於防火牆外部的攻擊穿過防火牆。或者簡單地回應位於Internet上的計算機,從而掩飾他們對你的直接攻擊。WinGate是一種常見的Windows個人防火牆,常會發生上述的錯誤配置。在加入IRC聊天室時常會看到這種情況。
1114 SQL 系統本身很少掃描這個端口,但常常是sscan腳本的一部分。
1243 Sub-7木馬(TCP)
1524 ingreslock 后門許多攻擊腳本將安裝一個后門Shell於這個端口(尤其是那些針對Sun系統中sendmail和RPC服務漏洞的腳本,如statd, ttdbserver和cmsd)。如果你剛剛安裝了你的防火牆就看到在這個端口上的連接企圖,很可能是上述原因。你可以試試Telnet到你的機器上的這個端口,看看它是否會給你一個Shell。連接到600/pcserver也存在這個問題。
2049 NFS NFS程序常運行於這個端口。通常需要訪問portmapper查詢這個服務運行於哪個端口,但是大部分情況是安裝后NFS運行於這個端口,Hacker/Cracker因而可以閉開portmapper直接測試這個端口。
3128 squid 這是Squid HTTP代理服務器的默認端口。攻擊者掃描這個端口是為了搜尋一個代理服務器而匿名訪問Internet。你也會看到搜索其它代理服務器的端口:8000/8001/8080/8888。掃描這一端口的另一原因是:用戶正在進入聊天室。其它用戶(或服務器本身)也會檢驗這個端口以確定用戶的機器是否支持代理。
5632 pcAnywere 你會看到很多這個端口的掃描,這依賴於你所在的位置。當用戶打開pcAnywere時,它會自動掃描局域網C類網以尋找可能得代理(譯者:指agent而不是proxy)。Hacker/cracker也會尋找開放這種服務的機器,所以應該查看這種掃描的源地址。一些搜尋pcAnywere的掃描常包含端口22的UDP數據包。
6776 Sub-7 artifact 這個端口是從Sub-7主端口分離出來的用於傳送數據的端口。例如當控制者通過電話線控制另一台機器,而被控機器掛斷時你將會看到這種情況。因此當另一人以此IP撥入時,他們將會看到持續的,在這個端口的連接企圖。(譯者:即看到防火牆報告這一端口的連接企圖時,並不表示你已被Sub-7控制。)
6970 RealAudio RealAudio客戶將從服務器的6970-7170的UDP端口接收音頻數據流。這是由TCP7070端口外向控制連接設置的。
13223 PowWow PowWow 是Tribal Voice的聊天程序。它允許用戶在此端口打開私人聊天的連接。這一程序對於建立連接非常具有“進攻性”。它會“駐扎”在這一TCP端口等待回應。這造成類似心跳間隔的連接企圖。如果你是一個撥號用戶,從另一個聊天者手中“繼承”了IP地址這種情況就會發生:好象很多不同的人在測試這一端口。這一協議使用“OPNG”作為其連接企圖的前四個字節。
17027 Conducent 這是一個外向連接。這是由於公司內部有人安裝了帶有Conducent "adbot" 的共享軟件。Conducent "adbot"是為共享軟件顯示廣告服務的。使用這種服務的一種流行的軟件是Pkware。有人試驗:阻斷這一外向連接不會有任何問題,但是封掉IP地址本身將會導致adbots持續在每秒內試圖連接多次而導致連接過載:
機器會不斷試圖解析DNS名—ads.conducent.com,即IP地址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者:不知NetAnts使用的Radiate是否也有這種現象)
27374 Sub-7木馬(TCP)
30100 NetSphere木馬(TCP) 通常這一端口的掃描是為了尋找中了NetSphere木馬。
31337 Back Orifice “elite” Hacker中31337讀做“elite”/ei’li:t/(譯者:法語,譯為中堅力量,精華。即3=E, 1=L, 7=T)。因此許多后門程序運行於這一端口。其中最有名的是Back Orifice。曾經一段時間內這是Internet上最常見的掃描。現在它的流行越來越少,其它的木馬程序越來越流行。
31789 Hack-a-tack 這一端口的UDP通訊通常是由於"Hack-a-tack"遠程訪問木馬(RAT, Remote Access Trojan)。這種木馬包含內置的31790端口掃描器,因此任何31789端口到317890端口的連接意味着已經有這種入侵。(31789端口是控制連接,317890端口是文件傳輸連接)
32770~32900 RPC服務 Sun Solaris的RPC服務在這一范圍內。詳細的說:早期版本的Solaris(2.5.1之前)將portmapper置於這一范圍內,即使低端口被防火牆封閉仍然允許Hacker/cracker訪問這一端口。掃描這一范圍內的端口不是為了尋找portmapper,就是為了尋找可被攻擊的已知的RPC服務。
33434~33600 traceroute 如果你看到這一端口范圍內的UDP數據包(且只在此范圍之內)則可能是由於traceroute。
Win2000下關閉無用端口
作者:不詳 [來源:天天安全網整理]
關於win2000下關閉無用端口的方法,我在以前的貼子和我昨天寫的共享文件夾安全中都提到過。
在這里我作為我寫的安全知識基礎二供大家參考:
每一項服務都對應相應的端口,比如眾如周知的WWW服務的端口是80,smtp是25,ftp是21,win2000安裝中默認的都是這些服務開啟的。對於個人用戶來說確實沒有必要,關掉端口也就是關閉無用的服務。
“控制面板”的“管理工具”中的“服務”中來配置。
關閉139口聽方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協議(TCP/IP)”屬性,進入“高級TCP/IP設置”“WINS設置”里面有一項“禁用TCP/IP的NETBIOS”,打勾就關閉了139端口。
對於個人用戶來說,可以在各項服務屬性設置中設為“禁用”,以免下次重啟服務也重新啟動,端口也開放了。
關閉NetBIOS漏洞
發現機器被人改動,作為管理員的我氣壞了。經過仔細研究,終於找出了關閉NetBIOS協議解決辦法。
1.解開文件和打印機共享綁定
鼠標右擊桌面上[網絡鄰居]→[屬性]→[本地連接]→[屬性],去掉“Microsoft網絡的文件和打印機共享”前面的勾,解開文件和打印機共享綁定。這樣就會禁止所有從139和445端口來的請求,別人也就看不到本機的共享了。
2.利用TCP/IP篩選
鼠標右擊桌面上[網絡鄰居]→[屬性]→[本地連接]→[屬性],打開“本地連接屬性”對話框。選擇[Internet協議(TCP/IP)]→[屬性]→[高級]→[選項],在列表中單擊選中“TCP/IP篩選”選項。單擊[屬性]按鈕,選擇“只允許”,再單擊[添加]按鈕,填入除了139和445之外要用到的端口。這樣別人使用掃描器對139和445兩個端口進行掃描時,將不會有任何回應。
3.使用IPSec安全策略阻止對端口139和445的訪問
選擇[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地機器],在這里定義一條阻止任何IP地址從TCP139和TCP445端口訪問IP地址的IPSec安全策略規則,這樣別人使用掃描器掃描時,本機的139和445兩個端口也不會給予任何回應。
4.停止Server服務
選擇[我的電腦]→[控制面板]→[管理工具]→[服務],進入服務管理器,關閉Server服務。這樣雖然不會關閉端口,但可以中止本機對其他機器的服務,當然也就中止了對其他機器的共享。但是關閉了該服務會導致很多相關的服務無法啟動,如機器中如果有IIS服務,則不能采用這種方法。
5.使用防火牆防范攻擊
在防火牆中也可以設置阻止其他機器使用本機共享。如在“天網個人防火牆”中,選擇一條空規則,設置數據包方向為“接收”,對方IP地址選“任何地址”,協議設定為“TCP”,本地端口設置為“139到139”,對方端口設置為“0到0”,設置標志位為“SYN”,動作設置為“攔截”,最后單擊[確定]按鈕,並在“自定義IP規則”列表中勾選此規則即可啟動攔截139端口攻擊了。
(2)注冊端口(Registered Ports):從1024到49151。它們松散地綁定於一些服務。也就是說有許多服務綁定於這些端口,這些端口同樣用於許多其它目的。例如:許多系統處理動態端口從1024左右開始。
(3)動態和/或私有端口(Dynamic and/or Private Ports):從49152到65535。理論上,不應為服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也有例外:SUN的RPC端口從32768開始。
0 通常用於分析操作系統。這一方法能夠工作是因為在一些系統中“0”是無效端口,當你試圖使用一種通常的閉合端口連接它時將產生不同的結果。一種典型的掃描:使用IP地址為0.0.0.0,設置ACK位並在以太網層廣播。
1 tcpmux TCP Port Service Multiplexer 傳輸控制協議端口服務多路開關選擇器
2 compressnet Management Utility compressnet 管理實用程序
3 compressnet Compression Process 壓縮進程
5 rje Remote Job Entry 遠程作業登錄
7 echo Echo 回顯
9 discard Discard 丟棄
11 systat Active Users 在線用戶
13 daytime Daytime 時間
17 qotd Quote of the Day 每日引用
18 msp Message Send Protocol 消息發送協議
19 chargen Character Generator 字符發生器
20 ftp-data File Transfer[Default Data] 文件傳輸協議(默認數據口)
21 ftp File Transfer[Control] 文件傳輸協議(控制)
22 ssh SSH Remote Login Protocol SSH遠程登錄協議
23 telnet Telnet 終端仿真協議
24 any private mail system 預留給個人用郵件系統
25 smtp Simple Mail Transfer 簡單郵件發送協議
27 nsw-fe NSW User System FE NSW 用戶系統現場工程師
29 msg-icp MSG ICP MSG ICP
31 msg-auth MSG Authentication MSG驗證
33 dsp Display Support Protocol 顯示支持協議
35 any private printer server 預留給個人打印機服務
37 time Time 時間
38 rap Route Access Protocol 路由訪問協議
39 rlp Resource Location Protocol 資源定位協議
41 graphics Graphics 圖形
42 nameserver WINS Host Name Server WINS 主機名服務
43 nicname Who Is "綽號" who is服務
44 mpm-flags MPM FLAGS Protocol MPM(消息處理模塊)標志協議
45 mpm Message Processing Module [recv] 消息處理模塊
46 mpm-snd MPM [default send] 消息處理模塊(默認發送口)
47 ni-ftp NI FTP NI FTP
48 auditd Digital Audit Daemon 數碼音頻后台服務
49 tacacs Login Host Protocol (TACACS) TACACS登錄主機協議50 re-mail-ck Remote Mail Checking Protocol 遠程郵件檢查協議[未結束]
51 la-maint IMP Logical Address Maintenance IMP(接口信息處理機)邏輯地址維護
52 xns-time XNS Time Protocol 施樂網絡服務系統時間協議
53 domain Domain Name Server 域名服務器
54 xns-ch XNS Clearinghouse 施樂網絡服務系統票據交換 55 isi-gl ISI Graphics Language ISI圖形語言
56 xns-auth XNS Authentication 施樂網絡服務系統驗證
57 ? any private terminal access 預留個人用終端訪問
58 xns-mail XNS Mail 施樂網絡服務系統郵件
59 any private file service 預留個人文件服務
60 Unassigned 未定義
61 ni-mail NI MAIL NI郵件?
62 acas ACA Services 異步通訊適配器服務
63 whois+ whois+ WHOIS+
64 covia Communications Integrator (CI) 通訊接口
65 tacacs-ds TACACS-Database Service TACACS數據庫服務
66 sql*net Oracle SQL*NET Oracle SQL*NET
67 bootps Bootstrap Protocol Server 引導程序協議服務端
68 bootpc Bootstrap Protocol Client 引導程序協議客戶端
69 tftp Trivial File Transfer 小型文件傳輸協議
70 gopher Gopher 信息檢索協議
71 netrjs-1 Remote Job Service 遠程作業服務
72 netrjs-2 Remote Job Service 遠程作業服務
73 netrjs-3 Remote Job Service 遠程作業服務
74 netrjs-4 Remote Job Service 遠程作業服務
75 any private dial out service 預留給個人撥出服務
76 deos Distributed External Object Store 分布式外部對象存儲
77 any private RJE service 預留給個人遠程作業輸入服務
78 vettcp vettcp 修正TCP?
79 finger Finger 查詢遠程主機在線用戶等信息
80 http World Wide Web HTTP 全球信息網超文本傳輸協議 81 hosts2-ns HOSTS2 Name Server HOST2名稱服務
82 xfer XFER Utility 傳輸實用程序
83 mit-ml-dev MIT ML Device 模塊化智能終端ML設備
84 ctf Common Trace Facility 公用追蹤設備
85 mit-ml-dev MIT ML Device 模塊化智能終端ML設備
86 mfcobol Micro Focus Cobol Micro Focus Cobol編程語言
87 any private terminal link 預留給個人終端連接
88 kerberos Kerberos Kerberros安全認證系統
89 su-mit-tg SU/MIT Telnet Gateway SU/MIT終端仿真網關
90 dnsix DNSIX Securit Attribute Token Map DNSIX 安全屬性標記圖91 mit-dov MIT Dover Spooler MIT Dover假脫機
92 npp Network Printing Protocol 網絡打印協議
93 dcp Device Control Protocol 設備控制協議
94 objcall Tivoli Object Dispatcher Tivoli對象調度
95 supdup SUPDUP
96 dixie DIXIE Protocol Specification DIXIE協議規范
97 swift-rvf(Swift Remote Virtural File Protocol)快速遠程虛擬文件協議98 tacnews TAC News TAC新聞協議
99 metagram Metagram Relay
100 newacct [unauthorized use]
101=NIC Host Name Server
102=ISO-TSAP
103=Genesis Point-to-Point Trans Net
104=ACR-NEMA Digital Imag. & Comm. 300
105=Mailbox Name Nameserver
106=3COM-TSMUX3com-tsmux
107=Remote Telnet Service
108=SNA Gateway Access Server
109=Post Office Protocol - Version 2
110=Post Office Protocol - Version 3
111=SUN RPC
112=McIDAS Data Transmission Protocol
113=Authentication Service
114=Audio News Multicast
115=Simple File Transfer Protocol
116=ANSA REX Notify
117=UUCP Path Service
118=SQL Servicessqlserv
119=Network News Transfer Protocol
120=CFDPTKTcfdptkt
121=Encore Expedited Remote Pro.Call
122=SMAKYNETsmakynet
123=Network Time Protocol
124=ANSA REX Trader
125=Locus PC-Interface Net Map Ser
126=Unisys Unitary Login
127=Locus PC-Interface Conn Server
128=GSS X License Verification
129=Password Generator Protocol
130=cisco FNATIVE
131=cisco TNATIVE
132=cisco SYSMAINT
133=Statistics Service
134=INGRES-NET Service
135=Location Service
136=PROFILE Naming System
137=NETBIOS Name Service
138=NETBIOS Datagram Service
139=NETBIOS Session Service
140=EMFIS Data Service
141=EMFIS Control Service
142=Britton-Lee IDM
143=Interim Mail Access Protocol v2
144=NewSnews
145=UAAC Protocoluaac
146=ISO-IP0iso-tp0
147=ISO-IPiso-ip
148=CRONUS-SUPPORT
149=AED 512 Emulation Service
150=SQL-NETsql-net
151=HEMShems
152=Background File Transfer Program
153=SGMPsgmp
154=NETSCnetsc-prod
155=NETSCnetsc-dev
156=SQL Service
157=KNET/VM Command/Message Protocol
158=PCMail Serverpcmail-srv
159=NSS-Routingnss-routing
160=SGMP-TRAPSsgmp-traps
161=SNMP
162=SNMP TRAP
163=CMIP/TCP Manager
164=CMIP/TCP Agent
165=Xeroxxns-courier
166=Sirius Systems
167=NAMPnamp
168=RSVDrsvd
169=Send
170=Network PostScript
170=Network PostScript
171=Network Innovations Multiplex
172=Network Innovations CL/1
173=Xyplexxyplex-mux
174=MAILQ
175=VMNET
176=GENRAD-MUXgenrad-mux
177=X Display Manager Control Protocol
178=NextStep Window Server
179=Border Gateway Protocol
180=Intergraphris
181=Unifyunify
182=Unisys Audit SITP
183=OCBinderocbinder
184=OCServerocserver
185=Remote-KIS
186=KIS Protocolkis
187=Application Communication Interface
188=Plus Five's MUMPS
189=Queued File Transport
189=Queued File Transport
190=Gateway Access Control Protocol
190=Gateway Access Control Protocol
191=Prospero Directory Service
191=Prospero Directory Service
192=OSU Network Monitoring System
193=srmp, Spider Remote Monitoring Protocol
194=irc, Internet Relay Chat Protocl
195=DNSIX Network Level Module Audit
196=DNSIX Session Mgt Module Audit Redir
197=Directory Location Service
198=Directory Location Service Monitor
199=SMUX
200=IBM System Resource Controller
201=at-rtmp AppleTalk Routing Maintenance
202=at-nbp AppleTalk Name Binding
203=at-3 AppleTalk Unused
204=AppleTalk Echo
205=AppleTalk Unused
206=AppleTalk Zone Information
207=AppleTalk Unused
208=AppleTalk Unused
209=Trivial Authenticated Mail Protocol
210=ANSI Z39.50z39.50
211=Texas Instruments 914C/G Terminal
212=ATEXSSTRanet
213=IPX
214=VM PWSCSvmpwscs
215=Insignia Solutions
216=Access Technology License Server
217=dBASE Unix
218=Netix Message Posting Protocol
219=Unisys ARPsuarps
220=Interactive Mail Access Protocol v3
221=Berkeley rlogind with SPX auth
222=Berkeley rshd with SPX auth
223=Certificate Distribution Center
224=Reserved (224-241)
241=Reserved (224-241)
242=Unassigned#
243=Survey Measurement
244=Unassigned#
245=LINKlink
246=Display Systems Protocol
247-255 Reserved
256-343 Unassigned
344=Prospero Data Access Protocol
345=Perf Analysis Workbench
346=Zebra serverzserv
347=Fatmen Serverfatserv
348=Cabletron Management Protocol
349-370 Unassigned
371=Clearcaseclearcase
372=Unix Listservulistserv
373=Legent Corporation
374=Legent Corporation
375=Hasslehassle
376=Amiga Envoy Network Inquiry Proto
377=NEC Corporation
378=NEC Corporation
379=TIA/EIA/IS-99 modem client
380=TIA/EIA/IS-99 modem server
381=hp performance data collector
382=hp performance data managed node
383=hp performance data alarm manager
384=A Remote Network Server System
385=IBM Application
386=ASA Message Router Object Def.
387=Appletalk Update-Based Routing Pro.
388=Unidata LDM Version 4
389=Lightweight Directory Access Protocol
390=UISuis
391=SynOptics SNMP Relay Port
392=SynOptics Port Broker Port
393=Data Interpretation System
394=EMBL Nucleic Data Transfer
395=NETscout Control Protocol
396=Novell Netware over IP
397=Multi Protocol Trans. Net.
398=Kryptolankryptolan
399=Unassigned#
400=Workstation Solutions
401=Uninterruptible Power Supply
402=Genie Protocol
403=decapdecap
404=ncednced
405=ncldncld
406=Interactive Mail Support Protocol
407=Timbuktutimbuktu
408=Prospero Resource Manager Sys. Man.
409=Prospero Resource Manager Node Man.
410=DECLadebug Remote Debug Protocol
411=Remote MT Protocol
412=Trap Convention Port
413=SMSPsmsp
414=InfoSeekinfoseek
415=BNetbnet
416=Silverplattersilverplatter
417=Onmuxonmux
418=Hyper-Ghyper-g
419=Arielariel1
420=SMPTEsmpte
421=Arielariel2
422=Arielariel3
423=IBM Operations Planning and Control Start
424=IBM Operations Planning and Control Track
425=ICADicad-el
426=smartsdpsmartsdp
427=Server Location
429=OCS_AMU
430=UTMPSDutmpsd
431=UTMPCDutmpcd
432=IASDiasd
433=NNSPnnsp
434=MobileIP-Agent
435=MobilIP-MN
436=DNA-CMLdna-cml
437=comscmcomscm
439=dasp, Thomas Obermair
440=sgcpsgcp
441=decvms-sysmgtdecvms-sysmgt
442=cvc_hostdcvc_hostd
443=https
444=Simple Network Paging Protocol
445=Microsoft-DS
446=DDM-RDBddm-rdb
447=DDM-RFMddm-dfm
448=DDM-BYTEddm-byte
449=AS Server Mapper
450=TServertserver
512=exec, Remote process execution
513=login, remote login
514=cmd, exec with auto auth.
514=syslog
515=Printer spooler
516=Unassigned
517=talk
519=unixtime
520=extended file name server
521=Unassigned
522=Unassigned
523=Unassigned
524=Unassigned
526=newdate
530=rpc courier
531=chatconference
532=readnewsnetnews
533=for emergency broadcasts
539=Apertus Technologies Load Determination
540=uucp
541=uucp-rlogin
542=Unassigned
543=klogin
544=kshell
545=Unassigned
546=Unassigned
547=Unassigned
548=Unassigned
549=Unassigned
550=new-who
551=Unassigned
552=Unassigned
553=Unassigned
554=Unassigned
555=dsf
556=remotefs
557-559=rmonitor
560=rmonitord
561=dmonitor
562=chcmd
563=Unassigned
564=plan 9 file service
565=whoami
566-569 Unassigned
570=demonmeter
571=udemonmeter
572-599 Unassigned ipc server
600=Sun IPC server
607=nqs
606=Cray Unified Resource Manager
608=Sender-Initiated/Unsolicited File Transfer
609=npmp-trapnpmp-trap
610=npmp-localnpmp-local
611=npmp-guinpmp-gui
634=ginadginad
666=Doom Id Software
704=errlog copy/server daemon
709=EntrustManager
729=IBM NetView DM/6000 Server/Client
730=IBM NetView DM/6000 send/tcp
731=IBM NetView DM/6000 receive/tcp
741=netGWnetgw
742=Network based Rev. Cont. Sys.
744=Flexible License Manager
747=Fujitsu Device Control
748=Russell Info Sci Calendar Manager
749=kerberos administration
751=pump
752=qrh
754=send
758=nlogin
759=con
760=ns
762=quotad
763=cycleserv
765=webster
767=phonephonebook
769=vid
771=rtip
772=cycleserv2
774=acmaint_dbd
775=acmaint_transd
780=wpgs
786=Concertconcert
800=mdbs_daemon
996=Central Point Software
997=maitrd
999=puprouter
1023=Reserved
1024=Reserved
1025=network blackjack
1030=BBN IAD
1031=BBN IAD
1032=BBN IAD
1067=Installation Bootstrap Proto. Serv.
1068=Installation Bootstrap Proto. Cli.
1080=SOCKS
1083=Anasoft License Manager
1084=Anasoft License Manager
1155=Network File Access
1222=SNI R&D network
1248=hermes
1346=Alta Analytics License Manager
1347=multi media conferencing
1347=multi media conferencing
1348=multi media conferencing
1349=Registration Network Protocol
1350=Registration Network Protocol
1351=Digital Tool Works (MIT)
1352=/Lotus Notelotusnote
1353=Relief Consulting
1354=RightBrain Software
1355=Intuitive Edge
1356=CuillaMartin Company
1357=Electronic PegBoard
1358=CONNLCLIconnlcli
1359=FTSRVftsrv
1360=MIMERmimer
1361=LinX
1362=TimeFliestimeflies
1363=Network DataMover Requester
1364=Network DataMover Server
1365=Network Software Associates
1366=Novell NetWare Comm Service Platform
1367=DCSdcs
1368=ScreenCastscreencast
1369=GlobalView to Unix Shell
1370=Unix Shell to GlobalView
1371=Fujitsu Config Protocol
1372=Fujitsu Config Protocol
1373=Chromagrafxchromagrafx
1374=EPI Software Systems
1375=Bytexbytex
1376=IBM Person to Person Software
1377=Cichlid License Manager
1378=Elan License Manager
1379=Integrity Solutions
1380=Telesis Network License Manager
1381=Apple Network License Manager
1382=udt_os
1383=GW Hannaway Network License Manager
1384=Objective Solutions License Manager
1385=Atex Publishing License Manager
1386=CheckSum License Manager
1387=Computer Aided Design Software Inc LM
1388=Objective Solutions DataBase Cache
1389=Document Manager
1390=Storage Controller
1391=Storage Access Server
1392=Print Managericlpv-pm
1393=Network Log Server
1394=Network Log Client
1395=PC Workstation Manager software
1396=DVL Active Mail
1397=Audio Active Mail
1398=Video Active Mail
1399=Cadkey License Manager
1400=Cadkey Tablet Daemon
1401=Goldleaf License Manager
1402=Prospero Resource Manager
1403=Prospero Resource Manager
1404=Infinite Graphics License Manager
1405=IBM Remote Execution Starter
1406=NetLabs License Manager
1407=DBSA License Manager
1408=Sophia License Manager
1409=Here License Manager
1410=HiQ License Manager
1411=AudioFileaf
1412=InnoSysinnosys
1413=Innosys-ACLinnosys-acl
1414=IBM MQSeriesibm-mqseries
1415=DBStardbstar
1416=Novell LU6.2novell-lu6.2
1417=Timbuktu Service 1 Port
1417=Timbuktu Service 1 Port
1418=Timbuktu Service 2 Port
1419=Timbuktu Service 3 Port
1420=Timbuktu Service 4 Port
1421=Gandalf License Manager
1422=Autodesk License Manager
1423=Essbase Arbor Software
1424=Hybrid Encryption Protocol
1425=Zion Software License Manager
1426=Satellite-data Acquisition System 1
1427=mloadd monitoring tool
1428=Informatik License Manager
1429=Hypercom NMSnms
1430=Hypercom TPDUtpdu
1431=Reverse Gosip Transport
1432=Blueberry Software License Manager
1433=Microsoft-SQL-Server
1434=Microsoft-SQL-Monitor
1435=IBM CISCibm-cics
1436=Satellite-data Acquisition System 2
1437=Tabulatabula
1438=Eicon Security Agent/Server
1439=Eicon X25/SNA Gateway
1440=Eicon Service Location Protocol
1441=Cadis License Management
1442=Cadis License Management
1443=Integrated Engineering Software
1444=Marcam License Management
1445=Proxima License Manager
1446=Optical Research Associates License Manager
1447=Applied Parallel Research LM
1448=OpenConnect License Manager
1449=PEportpeport
1450=Tandem Distributed Workbench Facility
1451=IBM Information Management
1452=GTE Government Systems License Man
1453=Genie License Manager
1454=interHDL License Manager
1454=interHDL License Manager
1455=ESL License Manager
1456=DCAdca
1457=Valisys License Manager
1458=Nichols Research Corp.
1459=Proshare Notebook Application
1460=Proshare Notebook Application
1461=IBM Wireless LAN
1462=World License Manager
1463=Nucleusnucleus
1464=MSL License Manager
1465=Pipes Platform
1466=Ocean Software License Manager
1467=CSDMBASEcsdmbase
1468=CSDMcsdm
1469=Active Analysis Limited License Manager
1470=Universal Analytics
1471=csdmbasecsdmbase
1472=csdmcsdm
1473=OpenMathopenmath
1474=Telefindertelefinder
1475=Taligent License Manager
1476=clvm-cfgclvm-cfg
1477=ms-sna-server
1478=ms-sna-base
1479=dberegisterdberegister
1480=PacerForumpacerforum
1481=AIRSairs
1482=Miteksys License Manager
1483=AFS License Manager
1484=Confluent License Manager
1485=LANSourcelansource
1486=nms_topo_serv
1487=LocalInfoSrvr
1488=DocStordocstor
1489=dmdocbrokerdmdocbroker
1490=insitu-confinsitu-conf
1491=anynetgateway
1492=stone-design-1
1493=netmap_lmnetmap_lm
1494=icaica
1495=cvccvc
1496=liberty-lmliberty-lm
1497=rfx-lmrfx-lm
1498=Watcom-SQLwatcom-sql
1499=Federico Heinz Consultora
1500=VLSI License Manager
1501=Satellite-data Acquisition System 3
1502=Shivashivadiscovery
1503=Databeamimtc-mcs
1504=EVB Software Engineering License Manager
1505=Funk Software, Inc.
1524=ingres
1525=oracle
1525=Prospero Directory Service non-priv
1526=Prospero Data Access Prot non-priv
1527=oracletlisrv
1529=oraclecoauthor
1600=issd
1651=proshare conf audio
1652=proshare conf video
1653=proshare conf data
1654=proshare conf request
1655=proshare conf notify
1661=netview-aix-1netview-aix-1
1662=netview-aix-2netview-aix-2
1663=netview-aix-3netview-aix-3
1664=netview-aix-4netview-aix-4
1665=netview-aix-5netview-aix-5
1666=netview-aix-6netview-aix-6
1986=cisco license management
1987=cisco RSRB Priority 1 port
1988=cisco RSRB Priority 2 port
1989=cisco RSRB Priority 3 port
1989=MHSnet systemmshnet
1990=cisco STUN Priority 1 port
1991=cisco STUN Priority 2 port
1992=cisco STUN Priority 3 port
1992=IPsendmsgipsendmsg
1993=cisco SNMP TCP port
1994=cisco serial tunnel port
1995=cisco perf port
1996=cisco Remote SRB port
1997=cisco Gateway Discovery Protocol
1998=cisco X.25 service (XOT)
1999=cisco identification port
2009=whosockami
2010=pipe_server
2011=raid
2012=raid-ac
2013=rad-am
2015=raid-cs
2016=bootserver
2017=terminaldb
2018=rellpack
2019=about
2019=xinupageserver
2020=xinupageserver
2021=xinuexpansion1
2021=down
2022=xinuexpansion2
2023=xinuexpansion3
2023=xinuexpansion4
2024=xinuexpansion4
2025=xribs
2026=scrabble
2027=shadowserver
2028=submitserver
2039=device2
2032=blackboard
2033=glogger
2034=scoremgr
2035=imsldoc
2038=objectmanager
2040=lam
2041=interbase
2042=isis
2043=isis-bcast
2044=primsl
2045=cdfunc
2047=dls
2048=dls-monitor
2065=Data Link Switch Read Port Number
2067=Data Link Switch Write Port Number
2201=Advanced Training System Program
2500=Resource Tracking system server
2501=Resource Tracking system client
2564=HP 3000 NS/VT block mode telnet
2784=world wide web - development
3049=ccmail
3264=ccmail, cc:mail/lotus
3333=dec-notes
3984=MAPPER network node manager
3985=MAPPER TCP/IP server
3986=MAPPER workstation server
3421=Bull Apprise portmapper
3900=Unidata UDT OS
4132=NUTS Daemonnuts_dem
4133=NUTS Bootp Server
4343=UNICALL
4444=KRB524
4672=remote file access server
5002=radio free ethernet
5010=TelepathStarttelelpathstart
5011=TelepathAttack
5050=multimedia conference control tool
5145=rmonitor_secure
5190=aol, America-Online
5300=HA cluster heartbeat
5301=hacl-gs # HA cluster general services
5302=HA cluster configuration
5303=hacl-probe HA cluster probing
5305=hacl-test
6000-6063=x11 X Window System
6111=sub-process HP SoftBench Sub-Process Control
6141/=meta-corp Meta Corporation License Manager
6142=aspentec-lm Aspen Technology License Manager
6143=watershed-lm Watershed License Manager
6144=statsci1-lm StatSci License Manager - 1
6145=statsci2-lm StatSci License Manager - 2
6146=lonewolf-lm Lone Wolf Systems License Manager
6147=montage-lm Montage License Manager
7000=afs3-fileserver file server itself
7001=afs3-callback callbacks to cache managers
7002=afs3-prserver users & groups database
7003=afs3-vlserver volume location database
7004=afs3-kaserver AFS/Kerberos authentication service
7005=afs3-volser volume managment server
7006=afs3-errors error interpretation service
7007=afs3-bos basic overseer process
7008=afs3-update server-to-server updater
7009=afs3-rmtsys remote cache manager service
7010=ups-online onlinet uninterruptable power supplies
7100=X Font Service
7200=FODMS FLIP
7626=冰河
8010=Wingate
8181=IMail
9535=man
45576=E代時光專業代理端口
0 通常用於分析操作系統。這一方法能夠工作是因為在一些系統中“0”是無效端口,當你試圖使用一種通常的閉合端口連接它時將產生不同的結果。一種典型的掃描:使用IP地址為0.0.0.0,設置ACK位並在以太網層廣播。
1 tcpmux 這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者,缺省情況下tcpmux在這種系統中被打開。Iris機器在發布時含有幾個缺省的無密碼的帳戶,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。許多管理員安裝后忘記刪除這些帳戶。因此Hacker們在Internet上搜索tcpmux並利用這些帳戶。
7 Echo 你能看到許多人們搜索Fraggle放大器時,發送到x.x.x.0和x.x.x.255的信息。常見的一種DoS攻擊是echo循環(echo-loop),攻擊者偽造從一個機器發送到另一個機器的UDP數據包,而兩個機器分別以它們最快的方式回應這些數據包。另一種東西是由DoubleClick在詞端口建立的TCP連接。有一種產品叫做“Resonate Global Dispatch”,它與DNS的這一端口連接以確定最近的路由。Harvest/squid cache將從3130端口發送UDP echo:“如果將cache的source_ping on選項打開,它將對原始主機的UDP echo端口回應一個HIT reply。”這將會產生許多這類數據包。
11 sysstat 這是一種UNIX服務,它會列出機器上所有正在運行的進程以及是什么啟動了這些進程。這為入侵者提供了許多信息而威脅機器的安全,如暴露已知某些弱點或帳戶的程序。這與UNIX系統中“ps”命令的結果相似。再說一遍:ICMP沒有端口,ICMP port 11通常是ICMP type=11。
19 chargen 這是一種僅僅發送字符的服務。UDP版本將會在收到UDP包后回應含有垃圾字符的包。TCP連接時,會發送含有垃圾字符的數據流知道連接關閉。Hacker利用IP欺騙可以發動DoS攻擊。偽造兩個chargen服務器之間的UDP包。由於服務器企圖回應兩個服務器之間的無限的往返數據通訊一個chargen和echo將導致服務器過載。同樣fraggle DoS攻擊向目標地址的這個端口廣播一個帶有偽造受害者IP的數據包,受害者為了回應這些數據而過載。
21 ftp 最常見的攻擊者用於尋找打開“anonymous”的ftp服務器的方法。這些服務器帶有可讀寫的目錄。Hackers或Crackers 利用這些服務器作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜索引擎分類)的節點。
22 ssh PcAnywhere 建立TCP和這一端口的連接可能是為了尋找ssh。這一服務有許多弱點。如果配置成特定的模式,許多使用RSAREF庫的版本有不少漏洞。(建議在其它端口運行ssh)。還應該注意的是ssh工具包帶有一個稱為make-ssh-known-hosts的程序。它會掃描整個域的ssh主機。你有時會被使用這一程序的人無意中掃描到。UDP(而不是TCP)與另一端的5632端口相連意味着存在搜索pcAnywhere的掃描。5632(十六進制的0x1600)位交換后是0x0016(使進制的22)。
23 Telnet 入侵者在搜索遠程登陸UNIX的服務。大多數情況下入侵者掃描這一端口是為了找到機器運行的操作系統。此外使用其它技術,入侵者會找到密碼。
25 smtp 攻擊者(spammer)尋找SMTP服務器是為了傳遞他們的spam。入侵者的帳戶總被關閉,他們需要撥號連接到高帶寬的e-mail服務器上,將簡單的信息傳遞到不同的地址。SMTP服務器(尤其是sendmail)是進入系統的最常用方法之一,因為它們必須完整的暴露於Internet且郵件的路由是復雜的(暴露+復雜=弱點)。
53 DNS Hacker或crackers可能是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏其它通訊。因此防火牆常常過濾或記錄53端口。需要注意的是你常會看到53端口做為UDP源端口。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回復。Hacker常使用這種方法穿透防火牆。
67&68 Bootp和DHCP UDP上的Bootp/DHCP:通過DSL和cable-modem的防火牆常會看見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP服務器請求一個地址分配。Hacker常進入它們分配一個地址把自己作為局部路由器而發起大量的“中間人”(man-in-middle)攻擊。客戶端向68端口(bootps)廣播請求配置,服務器向67端口(bootpc)廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的IP地址。
69 TFTP(UDP) 許多服務器與bootp一起提供這項服務,便於從系統下載啟動代碼。但是它們常常錯誤配置而從系統提供任何文件,如密碼文件。它們也可用於向系統寫入文件。
79 finger Hacker用於獲得用戶信息,查詢操作系統,探測已知的緩沖區溢出錯誤,回應從自己機器到其它機器finger掃描。
80 web站點默認80為服務端口,采用tcp或udp協議。
98 linuxconf 這個程序提供linux boxen的簡單管理。通過整合的HTTP服務器在98端口提供基於Web界面的服務。它已發現有許多安全問題。一些版本setuid root,信任局域網,在/tmp下建立Internet可訪問的文件,LANG環境變量有緩沖區溢出。此外因為它包含整合的服務器,許多典型的HTTP漏洞可能存在(緩沖區溢出,歷遍目錄等)
109 POP2 並不象POP3那樣有名,但許多服務器同時提供兩種服務(向后兼容)。在同一個服務器上POP3的漏洞在POP2中同樣存在。
110 POP3 用於客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交換緩沖區溢出的弱點至少有20個(這意味着Hacker可以在真正登陸前進入系統)。成功登陸后還有其它緩沖區溢出錯誤。
111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。訪問portmapper是掃描系統查看允許哪些RPC服務的最早的一步。常見RPC服務有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提供服務的特定端口測試漏洞。記住一定要記錄線路中的daemon, IDS, 或sniffer,你可以發現入侵者正使用什么程序訪問以便發現到底發生了什么。
113 Ident auth 這是一個許多機器上運行的協議,用於鑒別TCP連接的用戶。使用標准的這種服務可以獲得許多機器的信息(會被Hacker利用)。但是它可作為許多服務的記錄器,尤其是FTP, POP, IMAP, SMTP和IRC等服務。通常如果有許多客戶通過防火牆訪問這些服務,你將會看到許多這個端口的連接請求。記住,如果你阻斷這個端口客戶端會感覺到在防火牆另一邊與e-mail服務器的緩慢連接。許多防火牆支持在TCP連接的阻斷過程中發回RST,着將回停止這一緩慢的連接。
119 NNTP news 新聞組傳輸協議,承載USENET通訊。當你鏈接到諸如:news://comp.security.firewalls/. 的地址時通常使用這個端口。這個端口的連接企圖通常是人們在尋找USENET服務器。多數ISP限制只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務器,匿名發帖或發送spam。
135 oc-serv MS RPC end-point mapper Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和/或RPC的服務利用機器上的end-point mapper注冊它們的位置。遠端客戶連接到機器時,它們查詢end-point mapper找到服務的位置。同樣Hacker掃描機器的這個端口是為了找到諸如:這個機器上運行Exchange Server嗎?是什么版本?這個端口除了被用來查詢服務(如使用epdump)還可以被用於直接攻擊。有一些DoS攻擊直接針對這個端口。
137 NetBIOS name service nbtstat (UDP) 這是防火牆管理員最常見的信息。
139 NetBIOS File and Print Sharing 通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於Windows“文件和打印機共享”和SAMBA。在Internet上共享自己的硬盤是可能是最常見的問題。大量針對這一端口始於1999,后來逐漸變少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)開始將它們自己拷貝到這個端口,試圖在這個端口繁殖。
143 IMAP 和上面POP3的安全問題一樣,許多IMAP服務器有緩沖區溢出漏洞運行登陸過程中進入。記住:一種Linux蠕蟲(admw0rm)會通過這個端口繁殖,因此許多這個端口的掃描來自不知情的已被感染的用戶。當RadHat在他們的Linux發布版本中默認允許IMAP后,這些漏洞變得流行起來。Morris蠕蟲以后這還是第一次廣泛傳播的蠕蟲。這一端口還被用於IMAP2,但並不流行。已有一些報道發現有些0到143端口的攻擊源於腳本。
161 SNMP(UDP) 入侵者常探測的端口。SNMP允許遠程管理設備。所有配置和運行信息都儲存在數據庫中,通過SNMP客獲得這些信息。許多管理員錯誤配置將它們暴露於Internet。Crackers將試圖使用缺省的密碼“public”“private”訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向你的網絡。Windows機器常會因為錯誤配置將HP JetDirect remote management軟件使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網內廣播(cable modem, DSL)查詢sysName和其它信息。
162 SNMP trap 可能是由於錯誤配置
177 xdmcp 許多Hacker通過它訪問X-Windows控制台, 它同時需要打開6000端口。
513 rwho 可能是從使用cable modem或DSL登陸到的子網中的UNIX機器發出的廣播。這些人為Hacker進入他們的系統提供了很有趣的信息。
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你將會看到這個端口的廣播。CORBA是一種面向對象的RPC(remote procedure call)系統。Hacker會利用這些信息進入系統。
600 Pcserver backdoor 請查看1524端口。
一些玩script的孩子認為他們通過修改ingreslock和pcserver文件已經完全攻破了系統-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數對這個端口的掃描是基於UDP的,但基於TCP的mountd有所增加(mountd同時運行於兩個端口)。記住,mountd可運行於任何端口(到底在哪個端口,需要在端口111做portmap查詢),只是Linux默認為635端口,就象NFS通常運行於2049端口。
1024 許多人問這個端口是干什么的。它是動態端口的開始。許多程序並不在乎用哪個端口連接網絡,它們請求操作系統為它們分配“下一個閑置端口”。基於這一點分配從端口1024開始。這意味着第一個向系統請求分配動態端口的程序將被分配端口1024。為了驗證這一點,你可以重啟機器,打開Telnet,再打開一個窗口運行“natstat -a”,你將會看到Telnet被分配1024端口。請求的程序越多,動態端口也越多。操作系統分配的端口將逐漸變大。再來一遍,當你瀏覽Web頁時用“netstat”查看,每個Web頁需要一個新端口。
1025,1026 參見1024
1080 SOCKS 這一協議以管道方式穿過防火牆,允許防火牆后面的許多人通過一個IP地址訪問Internet。理論上它應該只允許內部的通信向外達到Internet。但是由於錯誤的配置,它會允許Hacker/Cracker的位於防火牆外部的攻擊穿過防火牆。或者簡單地回應位於Internet上的計算機,從而掩飾他們對你的直接攻擊。WinGate是一種常見的Windows個人防火牆,常會發生上述的錯誤配置。在加入IRC聊天室時常會看到這種情況。
1114 SQL 系統本身很少掃描這個端口,但常常是sscan腳本的一部分。
1243 Sub-7木馬(TCP)
1524 ingreslock 后門許多攻擊腳本將安裝一個后門Shell於這個端口(尤其是那些針對Sun系統中sendmail和RPC服務漏洞的腳本,如statd, ttdbserver和cmsd)。如果你剛剛安裝了你的防火牆就看到在這個端口上的連接企圖,很可能是上述原因。你可以試試Telnet到你的機器上的這個端口,看看它是否會給你一個Shell。連接到600/pcserver也存在這個問題。
2049 NFS NFS程序常運行於這個端口。通常需要訪問portmapper查詢這個服務運行於哪個端口,但是大部分情況是安裝后NFS運行於這個端口,Hacker/Cracker因而可以閉開portmapper直接測試這個端口。
3128 squid 這是Squid HTTP代理服務器的默認端口。攻擊者掃描這個端口是為了搜尋一個代理服務器而匿名訪問Internet。你也會看到搜索其它代理服務器的端口:8000/8001/8080/8888。掃描這一端口的另一原因是:用戶正在進入聊天室。其它用戶(或服務器本身)也會檢驗這個端口以確定用戶的機器是否支持代理。
5632 pcAnywere 你會看到很多這個端口的掃描,這依賴於你所在的位置。當用戶打開pcAnywere時,它會自動掃描局域網C類網以尋找可能得代理(譯者:指agent而不是proxy)。Hacker/cracker也會尋找開放這種服務的機器,所以應該查看這種掃描的源地址。一些搜尋pcAnywere的掃描常包含端口22的UDP數據包。
6776 Sub-7 artifact 這個端口是從Sub-7主端口分離出來的用於傳送數據的端口。例如當控制者通過電話線控制另一台機器,而被控機器掛斷時你將會看到這種情況。因此當另一人以此IP撥入時,他們將會看到持續的,在這個端口的連接企圖。(譯者:即看到防火牆報告這一端口的連接企圖時,並不表示你已被Sub-7控制。)
6970 RealAudio RealAudio客戶將從服務器的6970-7170的UDP端口接收音頻數據流。這是由TCP7070端口外向控制連接設置的。
13223 PowWow PowWow 是Tribal Voice的聊天程序。它允許用戶在此端口打開私人聊天的連接。這一程序對於建立連接非常具有“進攻性”。它會“駐扎”在這一TCP端口等待回應。這造成類似心跳間隔的連接企圖。如果你是一個撥號用戶,從另一個聊天者手中“繼承”了IP地址這種情況就會發生:好象很多不同的人在測試這一端口。這一協議使用“OPNG”作為其連接企圖的前四個字節。
17027 Conducent 這是一個外向連接。這是由於公司內部有人安裝了帶有Conducent "adbot" 的共享軟件。Conducent "adbot"是為共享軟件顯示廣告服務的。使用這種服務的一種流行的軟件是Pkware。有人試驗:阻斷這一外向連接不會有任何問題,但是封掉IP地址本身將會導致adbots持續在每秒內試圖連接多次而導致連接過載:
機器會不斷試圖解析DNS名—ads.conducent.com,即IP地址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者:不知NetAnts使用的Radiate是否也有這種現象)
27374 Sub-7木馬(TCP)
30100 NetSphere木馬(TCP) 通常這一端口的掃描是為了尋找中了NetSphere木馬。
31337 Back Orifice “elite” Hacker中31337讀做“elite”/ei’li:t/(譯者:法語,譯為中堅力量,精華。即3=E, 1=L, 7=T)。因此許多后門程序運行於這一端口。其中最有名的是Back Orifice。曾經一段時間內這是Internet上最常見的掃描。現在它的流行越來越少,其它的木馬程序越來越流行。
31789 Hack-a-tack 這一端口的UDP通訊通常是由於"Hack-a-tack"遠程訪問木馬(RAT, Remote Access Trojan)。這種木馬包含內置的31790端口掃描器,因此任何31789端口到317890端口的連接意味着已經有這種入侵。(31789端口是控制連接,317890端口是文件傳輸連接)
32770~32900 RPC服務 Sun Solaris的RPC服務在這一范圍內。詳細的說:早期版本的Solaris(2.5.1之前)將portmapper置於這一范圍內,即使低端口被防火牆封閉仍然允許Hacker/cracker訪問這一端口。掃描這一范圍內的端口不是為了尋找portmapper,就是為了尋找可被攻擊的已知的RPC服務。
33434~33600 traceroute 如果你看到這一端口范圍內的UDP數據包(且只在此范圍之內)則可能是由於traceroute。
Win2000下關閉無用端口
作者:不詳 [來源:天天安全網整理]
關於win2000下關閉無用端口的方法,我在以前的貼子和我昨天寫的共享文件夾安全中都提到過。
在這里我作為我寫的安全知識基礎二供大家參考:
每一項服務都對應相應的端口,比如眾如周知的WWW服務的端口是80,smtp是25,ftp是21,win2000安裝中默認的都是這些服務開啟的。對於個人用戶來說確實沒有必要,關掉端口也就是關閉無用的服務。
“控制面板”的“管理工具”中的“服務”中來配置。
1、關閉7.9等等端口:關閉Simple TCP/IP Service,支持以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、關閉80口:關掉WWW服務。在“服務”中顯示名稱為"World Wide Web Publishing Service",通過 Internet 信息服務的管理單元提供 Web 連接和管理。
3、關掉25端口:關閉Simple Mail Transport Protocol (SMTP)服務,它提供的功能是跨網傳送電子郵件。
4、關掉21端口:關閉FTP Publishing Service,它提供的服務是通過 Internet 信息服務的管理單元提供 FTP 連接和管理。
5、關掉23端口:關閉Telnet服務,它允許遠程用戶登錄到系統並且使用命令行運行控制台程序。
6、還有一個很重要的就是關閉server服務,此服務提供 RPC 支持、文件、打印以及命名管道共享。關掉它就關掉了win2k的默認共享,比如ipc$、c$、admin$等等,此服務關閉不影響您的共他操作。
7、還有一個就是139端口,139端口是NetBIOS Session端口,用來文件和打印共享,注意的是運行samba的unix機器也開放了139端口,功能一樣。以前流光2000用來判斷對方主機類型不太准確,估計就是139端口開放既認為是NT機,現在好了。
對於個人用戶來說,可以在各項服務屬性設置中設為“禁用”,以免下次重啟服務也重新啟動,端口也開放了。
關閉NetBIOS漏洞
發現機器被人改動,作為管理員的我氣壞了。經過仔細研究,終於找出了關閉NetBIOS協議解決辦法。
1.解開文件和打印機共享綁定
鼠標右擊桌面上[網絡鄰居]→[屬性]→[本地連接]→[屬性],去掉“Microsoft網絡的文件和打印機共享”前面的勾,解開文件和打印機共享綁定。這樣就會禁止所有從139和445端口來的請求,別人也就看不到本機的共享了。
2.利用TCP/IP篩選
鼠標右擊桌面上[網絡鄰居]→[屬性]→[本地連接]→[屬性],打開“本地連接屬性”對話框。選擇[Internet協議(TCP/IP)]→[屬性]→[高級]→[選項],在列表中單擊選中“TCP/IP篩選”選項。單擊[屬性]按鈕,選擇“只允許”,再單擊[添加]按鈕,填入除了139和445之外要用到的端口。這樣別人使用掃描器對139和445兩個端口進行掃描時,將不會有任何回應。
3.使用IPSec安全策略阻止對端口139和445的訪問
選擇[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地機器],在這里定義一條阻止任何IP地址從TCP139和TCP445端口訪問IP地址的IPSec安全策略規則,這樣別人使用掃描器掃描時,本機的139和445兩個端口也不會給予任何回應。
4.停止Server服務
選擇[我的電腦]→[控制面板]→[管理工具]→[服務],進入服務管理器,關閉Server服務。這樣雖然不會關閉端口,但可以中止本機對其他機器的服務,當然也就中止了對其他機器的共享。但是關閉了該服務會導致很多相關的服務無法啟動,如機器中如果有IIS服務,則不能采用這種方法。
5.使用防火牆防范攻擊
在防火牆中也可以設置阻止其他機器使用本機共享。如在“天網個人防火牆”中,選擇一條空規則,設置數據包方向為“接收”,對方IP地址選“任何地址”,協議設定為“TCP”,本地端口設置為“139到139”,對方端口設置為“0到0”,設置標志位為“SYN”,動作設置為“攔截”,最后單擊[確定]按鈕,並在“自定義IP規則”列表中勾選此規則即可啟動攔截139端口攻擊了。