计算机网络端口详细介绍-网络安全-IT落伍者

端口概念在网络技术中端口（Port）大致有两种意思一是物理意义上的端口比如ADSL Modem集线器交换机路由器用于连接其他网络设备的接口如RJ端口SC端口等等二是逻辑意义上的端口一般是指TCP/IP协议中的端口端口号的范围从到比如用于浏览网页服务的端口用于FTP服务的端口等等我们这里将要介绍的就是逻辑意义上的端口查看端口在Windows /XP/Server 中要查看端口可以使用Netstat命令依次点击开始→运行键入cmd并回车打开命令提示符窗口在命令提示符状态下键入netstat a n按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态关闭/开启端口在介绍各种端口的作用前这里先介绍一下在Windows中如何关闭/打开端口因为默认的情况下有很多不安全的或没有什么用的端口是开启的比如Telnet服务的端口FTP服务的端口SMTP服务的端口RPC服务的端口等等为了保证系统的安全性我们可以通过下面的方法来关闭/开启端口关闭端口比如在Windows /XP中关闭SMTP服务的端口可以这样做首先打开控制面板双击管理工具再双击服务接着在打开的服务窗口中找到并双击Simple Mail Transfer Protocol （SMTP）服务单击停止按钮来停止该服务然后在启动类型中选择已禁用最后单击确定按钮即可这样关闭了SMTP服务就相当于关闭了对应的端口开启端口如果要开启该端口只要先在启动类型选择自动单击确定按钮再打开该服务在服务状态中单击启动按钮即可启用该端口最后单击确定按钮即可提示在Windows 中没有服务选项你可以使用防火墙的规则设置功能来关闭/开启端口端口分类逻辑意义上的端口有多种分类标准下面将介绍两种常见的分类按端口号分布划分（）知名端口（WellKnown Ports）知名端口即众所周知的端口号范围从到这些端口号一般固定分配给一些服务比如端口分配给FTP服务端口分配给SMTP（简单邮件传输协议）服务端口分配给HTTP服务端口分配给RPC（远程过程调用）服务等等（）动态端口（Dynamic Ports）动态端口的范围从到这些端口号一般不固定分配给某个服务也就是说许多服务都可以使用这些端口只要运行的程序向系统提出访问网络的申请那么系统就可以从这些端口号中分配一个供该程序使用比如端口就是分配给第一个向系统发出申请的程序在关闭程序进程后就会释放所占用的端口号不过动态端口也常常被病毒木马程序所利用如冰河默认连接端口是WAY 是Netspy 是YAI病毒是等等按协议类型划分按协议类型划分可以分为TCPUDPIP和ICMP（Internet控制消息协议）等端口下面主要介绍TCP和UDP端口（）TCP端口 TCP端口即传输控制协议端口需要在客户端和服务器之间建立连接这样可以提供可靠的数据传输常见的包括FTP服务的端口Telnet服务的端口SMTP服务的端口以及HTTP服务的端口等等（）UDP端口 UDP端口即用户数据包协议端口无需在客户端和服务器之间建立连接安全性得不到保障常见的有DNS服务的端口SNMP（简单网络管理协议）服务的端口QQ使用的和端口等等

常见网络端口网络基础知识!端口对照端口服务Reserved 说明通常用于分析操作系统这一方法能够工作是因为在一些系统中是无效端口当你试图使用通常的闭合端口连接它时将产生不同的结果一种典型的扫描使用IP地址为设置ACK位并在以太网层广播端口服务tcpmux 说明这显示有人在寻找SGI Irix机器Irix是实现tcpmux的主要提供者默认情况下tcpmux在这种系统中被打开Irix机器在发布是含有几个默认的无密码的帐户如IPGUEST UUCPNUUCPDEMOS TUTORDIAGOUTOFBOX等许多管理员在安装后忘记删除这些帐户因此HACKER在INTERNET上搜索tcpmux并利用这些帐户端口服务Echo 说明能看到许多人搜索Fraggle放大器时发送到XXX和XXX的信息端口服务Character Generator 说明这是一种仅仅发送字符的服务UDP版本将会在收到UDP包后回应含有垃圾字符的包TCP连接时会发送含有垃圾字符的数据流直到连接关闭HACKER利用IP欺骗可以发动DoS攻击伪造两个chargen服务器之间的UDP包同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包受害者为了回应这些数据而过载端口服务FTP 说明FTP服务器所开放的端口用于上传下载最常见的攻击者用于寻找打开anonymous的FTP服务器的方法这些服务器带有可读写的目录木马Doly TrojanForeInvisible FTPWebExWinCrash和Blade Runner所开放的端口端口服务Ssh 说明PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh这一服务有许多弱点如果配置成特定的模式许多使用RSAREF库的版本就会有不少的漏洞存在端口服务Telnet 说明远程登录入侵者在搜索远程登录UNIX的服务大多数情况下扫描这一端口是为了找到机器运行的操作系统还有使用其他技术入侵者也会找到密码木马Tiny Telnet Server就开放这个端口端口服务SMTP 说明SMTP服务器所开放的端口用于发送邮件入侵者寻找SMTP服务器是为了传递他们的SPAM入侵者的帐户被关闭他们需要连接到高带宽的E－MAIL服务器上将简单的信息传递到不同的地址木马AntigenEmail Password SenderHaebu CocedaShtrilitz StealthWinPCWinSpy都开放这个端口端口服务MSG Authentication 说明木马Master ParadiseHackers Paradise开放此端口端口服务WINS Replication 说明WINS复制端口服务域名 Name Server（域）说明域服务器所开放的端口入侵者可能是试图进行区域传递（TCP）欺骗域（UDP）或隐藏其他的通信因此防火墙常常过滤或记录此端口端口服务Bootstrap Protocol Server 说明通过DSL和Cable modem的防火墙常会看见大量发送到广播地址的数据这些机器在向DHCP服务器请求一个地址HACKER常进入它们分配一个地址把自己作为局部路由器而发起大量中间人（man－in－middle）攻击客户端向端口广播请求配置服务器向端口广播回应请求这种回应使用广播是因为客户端还不知道可以发送的IP地址端口服务Trival File Transfer 说明许多服务器与bootp一起提供这项服务便于从系统下载启动代码但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件它们也可用于系统写入文件端口服务Finger Server 说明入侵者用于获得用户信息查询操作系统探测已知的缓沖区溢出错误回应从自己机器到其他机器Finger扫描端口服务HTTP 说明用于网页浏览木马Executor开放此端口端口服务Metagram Relay 说明后门程序ncx开放此端口端口服务Message transfer agent(MTA)－X over TCP/IP 说明消息传输代理端口服务Post Office Protocol －Version 说明POP服务器开放此端口用于接收邮件客户端访问服务器端的邮件服务POP服务有许多公认的弱点关于用户名和密码交换缓沖区溢出的弱点至少有个这意味着入侵者可以在真正登陆前进入系统成功登陆后还有其他缓沖区溢出错误端口服务SUN公司的RPC服务所有端口说明常见RPC服务有rpcmountdNFSrpcstatdrpccsmdybdamd等端口服务Authentication Service 说明这是一个许多计算机上运行的协议用于鑒别TCP连接的用户使用标准的这种服务可以获得许多计算机的信息但是它可作为许多服务的记录器尤其是FTPPOPIMAPSMTP和IRC等服务通常如果有许多客户通过防火墙访问这些服务将会看到许多这个端口的连接请求记住如果阻断这个端口客户端会感觉到在防火墙另一边与E－MAIL服务器的缓慢连接许多防火墙支持TCP连接的阻断过程中发回RST这将会停止缓慢的连接

端口服务Network News Transfer Protocol 说明NEWS新闻组传输协议承载USENET通信这个端口的连接通常是人们在寻找USENET服务器多数ISP限制只有他们的客户才能访问他们的新闻组服务器打开新闻组服务器将允许发/读任何人的帖子访问被限制的新闻组服务器匿名发帖或发送SPAM 端口服务本地 Service 说明Microsoft在这个端口运行DCE RPC end－point mapper为它的DCOM服务这与UNIX 端口的功能很相似使用DCOM和RPC的服务利用计算机上的end－point mapper注册它们的位置远端客户连接到计算机时它们查找end－point mapper找到服务的位置HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口端口服务NETBIOS Name Service 说明其中是UDP端口当通过网上邻居传输文件时用这个端口而端口通过这个端口进入的连接试图获得NetBIOS/SMB服务这个协议被用于windows文件和打印机共享和SAMBA还有WINS Regisrtation也用它端口服务Interim Mail Access Protocol v 说明和POP的安全问题一样许多IMAP服务器存在有缓沖区溢出漏洞记住一种LINUX蠕虫（admvrm）会通过这个端口繁殖因此许多这个端口的扫描来自不知情的已经被感染的用户当REDHAT在他们的LINUX发布版本中默认允许IMAP后这些漏洞变的很流行这一端口还被用于IMAP但并不流行端口服务SNMP 说明SNMP允许远程管理设备所有配置和运行信息的储存在数据库中通过SNMP可获得这些信息许多管理员的错误配置将被暴露在InternetCackers将试图使用默认的密码publicprivate访问系统他们可能会试验所有可能的组合SNMP包可能会被错误的指向用户的网络端口服务X Display Manager Control Protocol 说明许多入侵者通过它访问X－windows操作台它同时需要打开端口端口服务LDAPILS 说明轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口端口服务Https 说明网页浏览端口能提供加密和通过安全端口传输的另一种HTTP 端口服务【NULL】说明木马HACKERS PARADISE开放此端口端口服务Loginremote login 说明是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播这些人为入侵者进入他们的系统提供了信息端口服务【NULL】说明kerberos kshell 端口服务MacintoshFile Services(AFP/IP) 说明Macintosh文件服务端口服务CORBA IIOP （UDP）说明使用cable modemDSL或VLAN将会看到这个端口的广播CORBA是一种面向对象的RPC系统入侵者可以利用这些信息进入系统端口服务DSF 说明木马PhAseStealth SpyIniKiller开放此端口端口服务Membership DPA 说明成员资格 DPA 端口服务Membership MSN 说明成员资格 MSN 端口服务mountd 说明Linux的mountd Bug这是扫描的一个流行BUG大多数对这个端口的扫描是基于UDP的但是基于TCP的mountd有所增加（mountd同时运行于两个端口）记住mountd可运行于任何端口（到底是哪个端口需要在端口做portmap查询）只是Linux默认端口是就像NFS通常运行于端口

端口服务LDAP 说明SSL（Secure Sockets layer）端口服务Doom Id Software 说明木马Attack FTPSatanz Backdoor开放此端口端口服务IMAP 说明SSL（Secure Sockets layer）端口服务【NULL】说明木马SilencerWebEx开放端口木马Doly Trojan开放端口端口服务Reserved 说明它是动态端口的开始许多程序并不在乎用哪个端口连接网络它们请求系统为它们分配下一个闲置端口基于这一点分配从端口开始这就是说第一个向系统发出请求的会分配到端口你可以重启机器打开Telnet再打开一个窗口运行natstat －a 将会看到Telnet被分配端口还有SQL session也用此端口和端口端口服务network blackjack 【NULL】说明木马netspy开放这个端口端口服务SOCKS 说明这一协议以通道方式穿过防火墙允许防火墙后面的人通过一个IP地址访问INTERNET理论上它应该只允许内部的通信向外到达INTERNET但是由于错误的配置它会允许位于防火墙外部的攻击穿过防火墙WinGate常会发生这种错误在加入IRC聊天室时常会看到这种情况端口服务【NULL】说明木马Streaming Audio TrojanPsyber Stream ServerVoice开放此端口端口服务【NULL】说明木马SubSevenUltors Trojan开放端口木马SubSeven/开放端口端口服务【NULL】说明木马Vodoo开放此端口端口服务SQL 说明Microsoft的SQL服务开放的端口端口服务stone－design－说明木马FTPCMP开放此端口端口服务RPC client fixed port session queries 说明RPC客户固定端口会话查询端口服务NetMeeting T 说明NetMeeting T 端口服务ingress 说明许多攻击脚本将安装一个后门SHELL于这个端口尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本如果刚安装了防火墙就看到在这个端口上的连接企图很可能是上述原因可以试试Telnet到用户的计算机上的这个端口看看它是否会给你一个SHELL连接到/pcserver也存在这个问题端口服务issd 说明木马Shivka－Burka开放此端口端口服务NetMeeting 说明NetMeeting H call Setup 端口服务NetMeeting Audio Call Control 说明NetMeeting音频调用控制端口服务【NULL】说明木马SpySender开放此端口端口服务【NULL】说明木马ShockRave开放此端口端口服务cisco identification port 说明木马BackDoor开放此端口端口服务【NULL】说明木马GirlFriend Millenium 开放此端口端口服务【NULL】说明木马Millenium Trojan Cow开放此端口端口服务xinuexpansion 说明木马Pass Ripper开放此端口端口服务NFS 说明NFS程序常运行于这个端口通常需要访问Portmapper查询这个服务运行于哪个端口端口服务【NULL】说明木马Bugs开放此端口端口服务【NULL】说明木马Deep Throat /开放此端口端口服务RPC client using a fixed port session replication 说明应用固定端口会话复制的RPC客户端口服务【NULL】说明木马Wincrash 开放此端口端口服务【NULL】说明木马Phineas Phucker开放此端口端口服务【NULL】说明木马WinCrash开放此端口端口服务squid 说明这是squid HTTP代理服务器的默认端口攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet也会看到搜索其他代理服务器的端口发发发扫描这个端口的另一个原因是用户正在进入聊天室其他用户也会检验这个端口以确定用户的机器是否支持代理

端口服务【NULL】说明木马Master Paradise开放此端口端口服务【NULL】说明木马The Invasor开放此端口端口服务【NULL】说明木马SchoolBus开放此端口端口服务dec－notes 说明木马Prosiak开放此端口端口服务超级终端说明WINDOWS 终端开放此端口端口服务【NULL】说明木马Portal of Doom开放此端口端口服务【NULL】说明木马RemoteAnything开放此端口端口服务QQ客户端说明腾讯QQ客户端开放此端口端口服务【NULL】说明木马WinCrash开放此端口端口服务【NULL】说明木马ICQTrojan开放此端口端口服务【NULL】说明木马blazer开放端口木马Sockets de Troie开放端口端口服务【NULL】说明木马Blade Runner开放此端口端口服务【NULL】说明木马xtcp开放此端口端口服务【NULL】说明木马Robo－Hack开放此端口端口服务pcAnywere 说明有时会看到很多这个端口的扫描这依赖于用户所在的位置当用户打开pcAnywere时它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）入侵者也会寻找开放这种服务的计算机所以应该查看这种扫描的源地址一些搜寻pcAnywere的扫描包常含端口的UDP数据包端口服务【NULL】说明木马WinCrash开放此端口端口服务【NULL】说明木马广外女生开放此端口端口服务【NULL】说明木马The tHing开放此端口端口服务【NULL】说明木马Deep Throat开放端口而Deep Throat 开放端口端口服务【NULL】说明木马DeltaSource开放此端口端口服务【NULL】说明木马GatecrasherPriority开放此端口端口服务RealAudio 说明RealAudio客户将从服务器的－的UDP端口接收音频数据流这是由TCP－端口外向控制连接设置的

端口服务【NULL】说明木马Remote Grab开放此端口端口服务【NULL】说明木马NetMonitor开放此端口另外NetSpy也开放端口端口服务【NULL】说明Sygate服务器端端口服务【NULL】说明木马Giscier开放此端口端口服务【NULL】说明木马ICKiller开放此端口端口服务OICQ 说明腾讯QQ服务器端开放此端口端口服务Wingate 说明Wingate代理开放此端口端口服务代理端口说明WWW代理开放此端口端口服务【NULL】说明木马Incommand 开放此端口端口服务【NULL】说明木马Portal of Doom开放此端口端口服务【NULL】说明木马iNi－Killer开放此端口端口服务【NULL】说明木马SennaSpy开放此端口端口服务【NULL】说明木马Progenic trojan开放此端口端口服务【NULL】说明木马Telecommando开放此端口端口服务【NULL】说明木马Hack KeyLogger开放此端口端口服务【NULL】说明木马NetBus/GabanBus开放此端口端口服务【NULL】说明木马Whack－a－mole开放此端口端口服务PowWow 说明PowWow是Tribal Voice的聊天程序它允许用户在此端口打开私人聊天的连接这一程序对于建立连接非常具有攻击性它会驻扎在这个TCP端口等回应造成类似心跳间隔的连接请求如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况这一协议使用OPNG作为其连接请求的前个字节端口服务【NULL】说明木马Priority开放此端口端口服务Conducent 说明这是一个外向连接这是由于公司内部有人安装了带有Conducentadbot的共享软件Conducentadbot是为共享软件显示广告服务的使用这种服务的一种流行的软件是Pkware

端口服务【NULL】说明木马蓝色火焰开放此端口端口服务【NULL】说明木马Millennium开放此端口端口服务【NULL】说明木马NetBus Pro开放此端口端口服务【NULL】说明木马GirlFriend开放此端口端口服务【NULL】说明木马Prosiak开放此端口端口服务【NULL】说明木马Evil FTPUgly FTP开放此端口端口服务【NULL】说明木马Delta开放此端口端口服务【NULL】说明木马Subseven 开放此端口端口服务【NULL】说明木马NetSphere开放此端口端口服务【NULL】说明木马Socket开放此端口端口服务【NULL】说明木马Kuang开放此端口端口服务【NULL】说明木马BO(Back Orifice)开放此端口另外木马DeepBO也开放端口端口服务【NULL】说明木马NetSpy DK开放此端口端口服务【NULL】说明木马BOWhack开放此端口端口服务【NULL】说明木马Prosiak开放此端口端口服务【NULL】说明木马Tiny Telnet ServerBigGluckTN开放此端口端口服务【NULL】说明木马The Spy开放此端口端口服务【NULL】说明木马Masters Paradise开放此端口端口服务【NULL】说明木马SchoolBus /开放此端口端口服务【NULL】说明木马Happypig开放此端口端口服务【NULL】说明木马Fore开放此端口端口服务【NULL】说明木马Remote Windows Shutdown开放此端口端口服务【NULL】说明木马Devil 开放此端口端口说明Kerberos krb另外TCP的端口也是这个用途端口说明SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口端口说明Simple Network Management Protocol(SMTP)（简单网络管理协议）端口说明SNMP Trap（SNMP陷阱）端口说明Common Internet File System(CIFS)（公共Internet文件系统）端口说明Kerberos kpasswd(v)另外TCP的端口也是这个用途端口说明Internet Key Exchange(IKE)（Internet密钥交换）端口说明Remot Authentication Dial－In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务) 端口说明RADIUS accounting(Routing and Remote Access)(RADIUS记帐（路由和远程访问）) 端口说明Layer Two Tunneling Protocol(LTP)(第层隧道协议) 端口说明Microsoft Message Queue Server(Microsoft消息队列服务器)还有TCP的也是同样的用途端口说明Network Load Balancing(网络平衡负荷) 通常用于分析操作系统这一方法能够工作是因为在一些系统中是无效端口当你试图使用一种通常的闭合端口连接它时将产生不同的结果一种典型的扫描使用IP地址为设置ACK位并在以太网层广播