什么是端口
端口概念
端口在网络技术中(Port)大致有两意义上的端口,比如,ADSL Modem、用于连接其他网络设备的接口的集线器、交换机和路由器,如RJ-45端口、SC端口等等。二是逻辑意义上的端口,一般指TCP/IP在协议中,端口号的范围从0到65535,如80个用于浏览网页服务的端口FTP服务21端口等。二是逻辑意义上的端口,一般指TCP/IP在协议中,端口号的范围从0到65535,如80个用于浏览网页服务的端口FTP服务21端口等。这里要介绍的是逻辑意义上的端口。
查看端口
在Windows 2000/XP/Server 可在2003年查看端口Netstat命令:
依次点击开始→操作,键入cmd并回车,打开命令提示符窗口。在命令提示符状态下键入netstat -a -n按下回车键后,可以看到数字显示TCP和UDP端口号和连接状态。
关闭/打开端口
在介绍各种端口的功能之前,这里先介绍一下Windows如何关闭/打开端口,因为默认情况下,打开了许多不安全或无用的端口,如Telnet服务23端口,FTP服务21端口,SMTP服务25端口,RPC服务135端口等。为了保证系统的安全,我们可以通过以下方法关闭/打开端口。
关闭端口
比如在Windows 2000/XP中关闭SMTP服务的25个端口,可以这样做:先打开控制面板然后在打开的服务窗口中找到并双击Simple Mail Transfer Protocol (SMTP)单击停止按钮停止服务,然后在启动类型中选择禁止,最后单击确定按钮。这样,关闭SMTP服务相当于关闭相应的端口。
开启端口
如果要打开端口,只需在启动类型中选择自动,单击确定按钮,然后打开服务,单击启动按钮,最后单击确定按钮。
提示:在Windows 98中没有服务选项。您可以使用防火墙的规则设置功能来关闭/打开端口。
端口分类
在逻辑意义上,端口有多种分类标准,以下是两种常见的分类:
1. 按端口号分布划分
(1)知名端口(Well-Known Ports)
知名端口是众所周知的端口号,从0到1023,这些端口号一般固定分配给一些服务。例如,21端口分配FTP服务,25端口分配SMTP(简单邮件传输协议)服务,80端口分配HTTP服务,135端口分配RPC(远程调用)服务等。
(2)动态端口(Dynamic Ports)
从1024到65535,动态端口的范围通常不固定地分配给服务,也就是说,这些端口可以用于许多服务。只要操作程序向系统申请访问网络,系统就可以从这些端口号中分配一个供程序使用。例如,1024端口是第一个向系统发出申请的程序。关闭程序进程后,将释放占用的端口号。
然而,病毒木马程序经常使用动态端口,如冰河默认连接端口为7626,WAY 2.4是8011、Netspy 3.0是7306、YAI病毒为1024等。
2. 按协议类型划分
按协议类型划分,可分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。以下主要介绍TCP和UDP端口:
(1)TCP端口
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,以提供可靠的数据传输。常见的包括FTP服务21端口,Telnet服务23端口,SMTP服务的25端口,以及服务的25端口HTTP服务80端口等。
(2)UDP端口
UDP端口,即用户数据包协议端口,不需要在客户端和服务器之间建立连接,不能保证安全。常见的有DNS服务53端口,SNMP161端口(简单网络管理协议)服务,QQ8000和4000端口等。
常见的网络端口
网络基础知识!端口对照
端口:0
服务:Reserved
说明通常用于分析操作系统。这种方法可以工作,因为在某些系统中,0是一个无效的端口,当你试图使用通常的闭合端口连接时,会产生不同的结果。使用典型扫描IP地址为0.0.0.0,设置ACK并在以太网层广播。
端口:1
服务:tcpmux
说明:这表明有人在寻找SGI Irix机器。Irix是实现tcpmux默认情况下的主要提供者tcpmux在此系统中打开。Irix发布机器时,有几个默认的无密码账户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并使用这些帐户。
端口:7
服务:Echo
说明:可以看到很多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19
服务:Character Generator
注:这是一种只发送字符的服务。UDP版本将本UDP包装回应包含垃圾字符的包。TCP将包含垃圾字符的数据流发送到连接关闭。HACKER利用IP欺骗可以启动DoS攻击。伪造两个chargen服务器之间UDP包。同样Fraggle DoS攻击目标地址的端口广播有伪造受害者IP数据包,受害者过载以回应这些数据。
端口:21
服务:FTP
说明:FTP上传和下载服务器开放的端口。最常见的攻击者的攻击者anonymous的FTP服务器的方法。这些服务器有可读写目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner开放端口。
端口:22
服务:Ssh
说明:PcAnywhere建立的TCP与这个端口的连接可能是为了寻找ssh。这项服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本会有很多漏洞。
端口:23
服务:Telnet
注:远程登录,入侵者在搜索远程登录UNIX的服务。在大多数情况下,扫描这个端口是为了找到机器运行的操作系统。使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server打开这个端口。
端口:25
服务:SMTP
说明:SMTP发送邮件时,服务器开放的端口。入侵者寻找SMTP服务器是为了传SPAM。入侵者的账户被关闭,需要连接到高带宽E-MAIL将简单的信息传递到服务器上的不同地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy这个端口全部开放。
端口:31
服务:MSG Authentication
说明:木马Master Paradise、Hackers Paradise打开这个端口。
端口:42
服务:WINS Replication
说明:WINS复制
端口:53
服务:Domain Name Server(DNS)
说明:DNS入侵者可能试图在服务器开放的端口进行区域传输(TCP),欺骗DNS(UDP)或隐藏其他通信。因此,防火墙经常过滤或记录这个端口。因此,防火墙经常过滤或记录这个端口。
端口:67
服务:Bootstrap Protocol Server
说明:通过DSL和Cable modem防火墙经常看到大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP请求服务器地址。HACKER经常进入他们,分配一个地址,发起大量中间人作为局部路由器(man-in-middle)攻击。客户端配置68端口广播请求,服务器响应67端口广播请求。这种回应使用广播是因为客户端不知道可以发送IP地址。
端口:69
服务:Trival File Transfer
说明:很多服务器和bootp从系统下载启动代码,共同提供此服务。但由于配置错误,入侵者往往可以从系统中窃取任何东西 文件。它们也可用于系统写入文件。
端口:79
服务:Finger Server
注:入侵者用于获取用户信息,查询操作系统,检测已知缓冲区溢出错误,并从自己的机器回应Finger扫描。
端口:80
服务:HTTP
注:用于网页浏览。木马Executor打开这个端口。
端口:99
服务:Metagram Relay
说明:后门程序ncx99打开这个端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:109
服务:Post Office Protocol -Version3
说明:POP3服务器打开此端口接收邮件,客户端访问服务器端的邮件服务。POP公认的服务有很多弱点。关于用户名和密码 至少有20个弱点溢出缓冲区,这意味着入侵者可以在真正登陆前进入系统。其他缓冲区在成功登录后溢出错误。
端口:110
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:113
服务:Authentication Service
注:这是许多计算机上运行的协议,用于鉴别TCP连接用户。使用标准服务可以获得大量的计算机信息。使用标准服务可以获得大量的计算机信息。但它可以作为许多服务的记录器,特别是FTP、POP、IMAP、SMTP和IRC等服务。通常,如果许多客户通过防火墙访问这些服务,他们会看到许多端口的连接请求。记住,如果这个端口被阻断,客户端会在防火墙的另一边感觉到E-MAIL慢慢连接服务器。许多防火墙支撑TCP在阻断连接的过程中发回RST。缓慢的连接将停止。
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。人们通常在寻找这个端口的连接USENET服务器。多数ISP只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器,允许发送/阅读任何人的帖子,访问有限的新闻组服务器,匿名发布或发送SPAM。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能非常相似。使用DCOM和RPC计算机上的服务使用计算机上的服务end-point mapper注册它 们的
