1)知名端口:從0到1023,與壹些服務緊密綁定。通常,這些端口的通信清楚地表明了某種服務的協議。比如80端口其實壹直都是HTTP通信。
2)註冊端口:從1024到49151。它們松散地綁定到壹些服務。換句話說,有許多服務綁定到這些端口,並且這些端口還用於許多其他目的。例如,許多系統處理大約1024的動態端口。
3)動態和/或專用端口:從49152到65535。理論上,這些端口不應該分配給服務。實際上,機器通常從1024分配動態端口。但是也有例外:SUN的RPC端口從32768開始。
0通常用於分析操作系統。這種方法之所以有效,是因為“0”在某些系統中是無效端口,當妳試圖用壹個普通的封閉端口連接它時,會產生不同的結果。典型掃描:使用IP地址0.0.0.0,設置ACK位並在以太網層廣播。
1 tcpmux這說明有人在找SGI Irix機。Irix是實現tcpmux的主要提供者,在本系統中默認開啟。Iris machine在發布時包含了幾個默認的無密碼賬號,比如LP、Guest、UUCP、NuUCP、Demos、Tutor、Diag、EzSetup、OutofBox、4Dgifts等。許多管理員在安裝後忘記刪除這些帳戶。於是黑客在網上搜索tcpmux,使用這些賬號。
7 Echo妳可以看到很多人在搜索Fraggle放大器時發送到x.x.x.0和x.x.x.255的消息。
壹種常見的DoS攻擊是echo-loop,攻擊者偽造從壹臺機器發送到另壹臺機器的UDP數據包,兩臺機器以最快的方式響應這些數據包。(參見Chargen)
另壹件事是雙擊在word端口建立的TCP連接。有個產品叫“共鳴全球調度”,連接DNS的這個端口,確定最近的路由。
Harvest/squid緩存將從端口3130發送UDP echo:“如果緩存的source_ping on選項打開,它將向原始主機的UDP echo端口發送壹個命中回復。”這將生成許多這樣的數據包。
11 sysstat這是壹個UNIX服務,列出了機器上所有正在運行的進程以及啟動它們的原因。這就為入侵者提供了大量的信息,威脅到機器的安全,比如暴露壹些已知的弱點或者賬號。這類似於UNIX系統中“ps”命令的結果。
再說壹遍:ICMP沒有端口,ICMP端口11通常是ICMP類型=11。
19 chargen這是壹個只發送字符的服務。UDP版本會在收到UDP數據包後響應包含垃圾字符的數據包。當TCP連接時,它會發送包含垃圾字符的數據流,直到連接關閉。黑客可以利用IP欺騙發起DoS攻擊。偽造兩臺chargen服務器之間的UDP數據包。因為服務器試圖響應兩個服務器之間的無限往返數據通信,壹個chargen和壹個echo會導致服務器過載。同樣,fraggle DoS攻擊會向目標地址的這個端口廣播壹個帶有偽造受害者IP的數據包,受害者會過載以響應這些數據。
21 ftp最常見的攻擊者就是用來想辦法打開“匿名”的ftp服務器。這些服務器有讀寫目錄。黑客或破解者利用這些服務器作為節點來傳輸warez(專有程序)和pr0n(故意拼錯單詞以避免被搜索引擎分類)。
22 ssh PcAnywhere可能會在TCP和此端口之間建立連接來查找ssh。這項服務有許多弱點。如果以特定模式配置,很多使用RSAREF庫的版本都有很多漏洞。(建議在其他端口上運行ssh)
還應該註意的是,ssh工具包附帶了壹個名為make-ssh-known-hosts的程序。它掃描整個域中的ssh主機。妳有時會被使用這個程序的人無意中掃描。
在另壹端連接到端口5632的UDP(而不是TCP)意味著有壹個搜索pcAnywhere的掃描。位交換後,5632(十六進制的0x1600)是0x0016(十進制的22)。
Telnet入侵者正在搜索遠程登錄UNIX的服務。在大多數情況下,入侵者會掃描該端口來查找機器上運行的操作系統。此外,利用其他技術,入侵者會找到密碼。
SMTP攻擊者(垃圾郵件制造者)尋找SMTP服務器來傳遞他們的垃圾郵件。入侵者的賬戶總是關閉的,他們需要撥號連接到壹個高帶寬的電子郵件服務器,向不同的地址發送簡單的信息。SMTP服務器(尤其是sendmail)是最常用的進入系統的方式之壹,因為它們必須完全暴露在互聯網上,郵件的路由也很復雜(暴露+復雜=弱點)。
53 DNS黑客或破解者可能試圖通過區域(TCP),欺騙DNS(UDP)或隱藏其他通信。因此,防火墻通常會過濾或記錄端口53。
需要註意的是,您通常會將端口53視為UDP源端口。不穩定的防火墻通常允許這種通信,並認為這是對DNS查詢的回復。黑客經常使用這種方法穿透防火墻。
67和68上的Bootp/DHCP Bootp和DHCP UDP:發送到廣播地址255.255.255.255的大量數據經常可以通過DSL和cable-modem的防火墻看到。這些機器正在向DHCP服務器請求地址分配。黑客經常進入它們,分配壹個地址,並把自己當作本地路由器來發動大量“中間人”攻擊。客戶端向68個端口廣播請求配置(BOOTP),服務器向67個端口廣播響應請求(bootpc)。此響應使用廣播,因為客戶端不知道可以發送的IP地址。
69 TFTP(UDP)很多服務器都是和bootp壹起提供這個服務的,這樣可以很容易的從系統下載啟動代碼。但是它們通常配置錯誤,並提供系統中的任何文件,如密碼文件。它們也可以用於向系統寫入文件。
79 finger Hacker用於獲取用戶信息,查詢操作系統,檢測已知緩沖區溢出錯誤,響應從自己機器到其他機器的手指掃描。
98 linuxconf這個程序提供了對linux boxen的簡單管理。通過集成的HTTP服務器在端口98上提供基於Web接口的服務。它發現了許多安全問題。某些版本的setuid root信任LAN,在/tmp下創建Internet可訪問的文件,LANG環境變量有緩沖區溢出。此外,因為它包含集成的服務器,所以可能存在許多典型的HTTP漏洞(緩沖區溢出、目錄遍歷等。).
109 POP2沒有POP3出名,但是很多服務器都提供這兩種服務(向後兼容)。在同壹臺服務器上,POP3的漏洞也存在於POP2中。
110 POP3用於客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。至少有20個關於用戶名和密碼交換緩沖區溢出的弱點(這意味著黑客可以在實際登錄之前進入系統)。成功登錄後還有其他緩沖區溢出錯誤。
111 sunrpc端口映射程序rpcbind Sun RPC端口映射程序/RPCBIND .訪問端口映射程序是掃描系統以查看允許哪些RPC服務的最早步驟。常見的RPC服務有:RPC.mountd、NFS、RPC.statd、RPC.csmd、RPC.ttybd、AMD等。入侵者發現了允許的RPC服務將被轉移到提供該服務的特定端口測試的漏洞。
請記住記錄守護進程、IDS或嗅探器,您可以發現入侵者正在使用什麽程序來訪問,以便了解發生了什麽。
113 Ident auth這是壹個在許多機器上運行的協議,用於識別TCP連接的用戶。使用這個標準服務,您可以獲得許多機器的信息(將被黑客使用)。但是它可以作為許多服務的記錄器,尤其是FTP、POP、IMAP、SMTP和IRC。通常,如果許多客戶通過防火墻訪問這些服務,您會看到許多對此端口的連接請求。請記住,如果您阻止此端口,客戶端將會感覺到與防火墻另壹側的電子郵件服務器的連接速度很慢。許多防火墻支持在TCP連接被阻塞時將RST發送回來,以停止這種緩慢的連接。
119 NNTP新聞新聞組傳輸協議,承載USENET通信。當您鏈接到諸如news://comp . security . firewalls/之類的地址時,通常會使用此端口。這個端口的連接嘗試通常是人們在尋找壹個USENET服務器。大多數ISP只允許他們的客戶訪問他們的新聞組服務器。打開新聞組服務器將允許任何人張貼/閱讀、訪問受限的新聞組服務器、匿名張貼或發送垃圾郵件。
135 oc-servms RPC端點映射器Microsoft在此端口上運行DCE RPC端點映射器作為其DCOM服務。這類似於UNIX 111端口的功能。使用DCOM和/或RPC的服務向機器上的端點映射器註冊它們的位置。當遠程客戶連接到機器時,他們查詢端點映射器以找到服務的位置。同樣,Hacker掃描機器的這個端口,以查找諸如以下內容:Exchange Server是否正在這臺機器上運行?是什麽版本?
此端口不僅可用於查詢服務(如使用epdump),還可用於直接攻擊。有壹些針對此端口的DoS攻擊。
137 NetBIOS名稱服務nbtstat (UDP)這是防火墻管理員最常見的信息。請仔細閱讀文章後面的NetBIOS部分。
139 NetBIOS文件和打印共享試圖通過此端口輸入的連接獲得NetBIOS/SMB服務。此協議用於Windows“文件和打印機共享”和SAMBA。在網上共享自己的硬盤可能是最常見的問題。
大量端口從1999開始,之後逐漸減少。它在2000年再次回升。壹些VBS(IE5 VisualBasic Scripting)開始將自己復制到這個端口,試圖在這個端口進行復制。
143 IMAP和上面POP3的安全問題壹樣。很多IMAP服務器都有緩沖區溢出漏洞,在登錄過程中進入。請記住:Linux蠕蟲(admw0rm)將通過此端口傳播,因此對此端口的許多掃描來自不知情的受感染用戶。當RadHat在其Linux發行版中默認允許IMAP時,這些漏洞變得流行起來。這是自莫裏斯蠕蟲以來第壹次廣泛傳播的蠕蟲。
此端口也用於IMAP2,但並不流行。
壹些報告發現,對端口0到143的壹些攻擊源自腳本。
SNMP (UDP)入侵者經常檢測到的161端口。SNMP允許遠程管理設備。所有配置和操作信息都存儲在數據庫中,可以通過SNMP客戶端獲得。許多管理員錯誤地配置了它們,使它們暴露在互聯網上。黑客將嘗試使用默認密碼“public”和“private”訪問系統。他們會嘗試所有可能的組合。
SNMP數據包可能被錯誤地定向到您的網絡。由於配置錯誤,Windows機器通常使用SNMP作為HP JetDirect遠程管理軟件。HP對象標識符將接收SNMP數據包。新版Win98使用SNMP解析域名,妳會在子網中看到這種包cable modem,DSL)來查詢sysName等信息。
162 SNMP陷阱可能是由於配置錯誤造成的。
177 xdmcp很多黑客通過它訪問X-Windows控制臺,它也需要開放6000個端口。
513 rwho可能是來自使用電纜調制解調器或DSL登錄的子網中的UNIX計算機的廣播。這些人為黑客進入他們系統提供了非常有趣的信息。
553 CORBA IIOP (UDP)如果妳使用電纜調制解調器或DSL VLAN,妳會看到這個端口的廣播。CORBA是壹個面向對象的RPC(遠程過程調用)系統。黑客將利用這些信息進入系統。
600 Pcserver後門,請檢查端口1524。
有些玩script的孩子,認為自己通過修改ingreslock和pcserver文件,已經徹底打破了系統——艾倫·j·羅森塔爾。
635 mountd Linux的Mountd Bug。這是人們掃描的壹個流行的Bug。這個端口的掃描大部分是基於UDP的,但是基於TCP的mountd增加了(mountd同時運行在兩個端口上)。記住,mountd可以運行在任何端口上(在哪個端口上,需要在端口111做portmap查詢),但是Linux默認是635端口,就像NFS壹般運行在端口2049上壹樣。
1024很多人問這個端口是做什麽的。這是動態端口的開始。很多程序不在乎用哪個端口連接網絡。他們請求操作系統給他們分配“下壹個空閑端口”。基於此,分配從端口1024開始。這意味著向系統請求動態端口分配的第壹個程序將被分配端口1024。要驗證這壹點,您可以重啟機器,打開Telnet,然後打開壹個窗口運行“natstat -a”,您將看到Telnet被分配了端口1024。請求的程序越多,動態端口就越多。操作系統分配的端口會逐漸變大。同樣,當妳瀏覽網頁時,使用“netstat”來查看它們。每個網頁都需要壹個新的端口。
?版本0.4.1,2000年6月20日
/pubs/firewall-seen.html
版權所有1998-2000羅伯特格雷厄姆(mailto:firewall-seen1@robertgraham.com。
版權所有本文件僅可復制(整體或
部分)用於非商業目的。所有復制品必須
包含本版權聲明,不得修改,除非
作者的許可。
1025見1024。
1026見1024。
1080襪子
該協議通過防火墻,允許防火墻後的許多人通過壹個IP地址訪問互聯網。理論上,它應該只允許內部通信到達互聯網。但由於配置錯誤,會讓防火墻外的黑客/破解者攻擊穿過防火墻。或者幹脆在網上回復電腦,來掩蓋他們對妳的直接攻擊。WinGate是常見的Windows個人防火墻,經常會出現上述錯誤配置。加入IRC聊天室經常會看到這種情況。
1114 SQL
系統本身很少掃描這個端口,但它通常是sscan腳本的壹部分。
1243子7特洛伊馬(TCP)
參見小節。
1524 ingreslock後門
很多攻擊腳本都會在這個端口安裝壹個後門Sh*ll(尤其是那些針對Sun系統中Sendmail和RPC服務漏洞的腳本,比如statd、ttdbserver和cmsd)。如果您剛剛安裝了您的防火墻,並且您看到在這個端口上的連接嘗試,它可能是上述原因。您可以嘗試Telnet到您機器上的這個端口,看看它是否會給出壹個Sh*ll。連接到600/pcserver也有這個問題。
2049年NFS
NFS程序經常在這個端口上運行。通常情況下,您需要訪問端口映射器,以找出該服務正在哪個端口上運行,但大多數情況下,安裝後,NFS將失敗。因此,Acker/Cracker可以關閉端口映射器並直接測試該端口。
3128魷魚
這是Squid HTTP代理服務器的默認端口。攻擊者掃描該端口以搜索代理服務器並匿名訪問互聯網。您還會看到用於搜索其他代理服務器的端口:8000/8001/8080/8888。掃描該端口的另壹個原因是用戶正在進入聊天室。其他用戶(或服務器本身)也會檢查這個端口,以確定用戶的機器是否支持代理。請參考第5.3節。
5632個人
根據您所在的位置,您會看到對該端口的多次掃描。當用戶打開pcAnywere時,它會自動掃描局域網C類以找到可能的代理。駭客/駭客也會尋找開啟這項服務的機器,所以您應該檢查這項掃描的來源位址。壹些搜索pcAnywere的掃描通常包含端口22上的UDP數據包。請參見撥號掃描。
6776子7神器
此端口與Sub-7主端口分離,用於傳輸數據。例如,當控制器通過電話線控制另壹臺機器,而被控制的機器掛斷時,您會看到這種情況。因此,當另壹個人使用此IP撥入時,他們將會看到在此端口的持續連接嘗試。(譯者:當妳看到防火墻報告這個端口的連接嘗試,並不代表妳已經被Sub-7控制了。)
6970真實音頻
RealAudio客戶端將在6970-7170從服務器的UDP端口接收音頻數據流。這是由TCP7070端口的輸出控制連接設置的。
13223巫師儀式
PowWow是壹個部落聲音的聊天節目。它允許用戶在此端口打開私人聊天連接。這個過程對於建立連接來說是非常“無禮”的。它將“駐紮”在這個TCP端口上,等待響應。這將導致類似於心跳間隔的連接嘗試。如果妳是撥號用戶,從另壹個聊天中“繼承”了IP地址,就會出現這種情況:似乎有很多不同的人在測試這個端口。該協議使用“OPNG”作為其連接嘗試的前四個字節。
17027導體
這是壹個傳出連接。這是因為公司內部有人安裝了有助於“adbot”的* * *享受軟件。有助於* * *享受軟件展示廣告服務。使用這項服務的壹個流行軟件是Pkware。有些人試圖阻止這種出站連接沒有任何問題,但阻止IP地址本身會導致adbots每秒鐘繼續嘗試連接多次,從而導致連接過載:
機器會不斷嘗試解析DNS name-ads.conducent.com,即IP地址為216 . 33 . 26438+00.40;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者:不知道NetAnts用的Radiate是否也有這種現象)
27374子7特洛伊(TCP)
參見小節。
30100網絡世界特洛伊(TCP)
通常會掃描該端口以找到網絡特洛伊。
31337後孔板“精英”
在Hacker中,31337讀作“精英”/ei 'li: t/(譯者:法語,譯為骨幹,精華。即3=E,1=L,7=T)。如此多的後門程序在這個端口上運行。其中最著名的是背孔。曾經,這是互聯網上最常見的掃描。現在它的受歡迎程度越來越低,而其他特洛伊節目卻越來越受歡迎。
31789黑釘
此端口上的UDP通信通常是由於“黑客攻擊”遠程訪問特洛伊(RAT)造成的。這個特洛伊包含壹個內置的31790端口掃描器,所以任何從31789端口到317890端口的連接都意味著這個入侵已經發生。(端口31789為控制連接,端口317890為文件傳輸連接)。
32770~32900 RPC服務
Sun Solaris的RPC服務就在這個範圍內。詳細來說,早期版本的Solaris(2 . 5 . 1之前)將端口映射器置於此範圍內,即使低端端口被防火墻阻止,黑客/破解者也可以訪問此端口。對該範圍內的端口進行掃描,以查找可能受到攻擊的端口映射程序或已知的RPC服務。
33434~33600 traceroute
如果您在此端口範圍內(且僅在此範圍內)看到UDP數據包,可能是由於traceroute。請參見traceroute部分。
41508接種劑
早期版本的Inoculan會在子網中產生大量的UDP通信來識別對方。看見
描述:遠程登錄,入侵者正在搜索遠程登錄UNIX的服務。大多數情況下,掃描這個端口是為了找到機器運行的操作系統。並且利用其他技術,入侵者也會找到密碼。特洛伊微型Telnet服務器打開這個端口。
端口:25
服務:SMTP
描述:SMTP服務器打開的端口用於發送郵件。入侵者正在尋找SMTP服務器來發送他們的垃圾郵件。入侵者的帳戶被關閉,他們需要連接到壹個高帶寬的電子郵件服務器,將簡單的信息發送到不同的地址。特洛伊馬抗原、電子郵件密碼發送器、Haebu Coceda、Shtrilitz Stealth、WinPC和WinSpy都打開此端口。
端口:31
服務:消息認證
描述:特洛伊大師樂園和黑客樂園開放此端口。
端口:42
服務:WINS復制
描述:WINS復制
端口:53
服務:域名服務器(DNS)
描述:對於DNS服務器打開的端口,入侵者可能試圖傳遞TCP,欺騙DNS(UDP)或隱藏其他通信。因此,防火墻通常會過濾或記錄該端口。
港口:67
服務:引導協議服務器
描述:發送到廣播地址255.255.255.255的大量數據,往往是通過DSL和Cable modem的防火墻看到的。這些機器正在向DHCP服務器請求地址。黑客經常進入它們,分配壹個地址,並把自己當作本地路由器來發動大量中間人攻擊。客戶端將請求配置廣播到端口68,服務器將響應請求廣播到端口67。此響應使用廣播,因為客戶端不知道可以發送的IP地址。
港口:69
服務:繁瑣的文件傳輸
描述:很多服務器都是和bootp壹起提供這個服務的,可以很方便的從系統下載啟動代碼。但是由於配置錯誤,它們經常允許入侵者從系統中竊取任何文件。它們也可以用於系統寫文件。
端口:79
服務:手指服務器
描述:入侵者用於獲取用戶信息,查詢操作系統,檢測已知的緩沖區溢出錯誤,響應從自己機器到其他機器的手指掃描。
端口:80
服務:HTTP
描述:用於網頁瀏覽。特洛伊執行者號打開了這個港口。
端口:99
服務:元語法中繼
描述:後門程序ncx99打開此端口。
端口:102
服務:消息傳輸代理(MTA)-TCP/IP上的x.400。
描述:消息傳輸代理。
端口:109
服務:郵局協議-版本3
描述:POP3服務器打開該端口接收郵件,客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交換緩沖區溢出至少有20個弱點,這意味著入侵者可以在實際登錄之前進入系統。成功登錄後還有其他緩沖區溢出錯誤。
端口:110
服務:SUN的RPC服務的所有端口。
描述:常見的RPC服務包括rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等。
端口:113
服務:認證服務
描述:這是壹個在許多計算機上運行的協議,用於識別TCP連接的用戶。使用此標準服務可以獲得許多計算機的信息。但是它可以作為許多服務的記錄器,尤其是FTP、POP、IMAP、SMTP和IRC。通常,如果許多客戶通過防火墻訪問這些服務,他們會看到許多對此端口的連接請求。請記住,如果您阻止此端口,客戶端將會感覺到與防火墻另壹側的電子郵件服務器的連接速度很慢。許多防火墻支持在TCP連接的阻塞過程中發送回RST。這將停止慢速連接。
端口:119
服務:網絡新聞傳輸協議
描述:新聞新聞組傳輸協議,承載USENET通信。這個端口的連接通常是在人們尋找壹個USENET服務器的時候。大多數ISP只允許他們的客戶訪問他們的新聞組服務器。打開新聞組服務器將允許任何人張貼/閱讀、訪問受限的新聞組服務器、匿名張貼或發送垃圾郵件。
端口:135
服務:定位服務
描述:Microsoft在此端口上運行DCE RPC端點映射器作為其DCOM服務。這類似於UNIX 111端口的功能。使用DCOM和RPC的服務向計算機上的端點映射器註冊它們的位置。當遠程客戶連接到計算機時,他們會尋找端點映射器找到服務的位置。黑客會掃描計算機的這個端口來查找這臺計算機上運行的Exchange Server嗎?什麽版本?還有壹些針對此端口的DOS攻擊。
端口:137、138、139
服務:NETBIOS名稱服務
註:其中137和138為UDP端口,通過網上鄰居傳輸文件時使用。和端口139:通過該端口進入的連接試圖獲得NetBIOS/SMB服務。此協議用於windows文件和打印機共享以及SAMBA。WINS Regisrtation也使用它。
端口:143
服務:臨時郵件訪問協議v2。
描述:和POP3的安全問題壹樣,很多IMAP服務器都存在緩沖區溢出漏洞。請記住:LINUX蠕蟲(admv0rm)將通過此端口傳播,因此對此端口的許多掃描都來自不知情的受感染用戶。當REDHAT在其LINUX發行版中默認允許IMAP時,這些漏洞變得流行起來。此端口也用於IMAP2,但並不流行。
端口:161
服務:SNMP
描述:SNMP允許遠程管理設備。所有配置和操作信息都存儲在數據庫中,可以通過SNMP獲得。許多管理員的錯誤配置將是