|
|
楼主 |
发表于 2008-8-30 16:37:30
|
显示全部楼层
176.端口概念8 {8 z1 _9 [3 n/ c# D
在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等。二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等。我们这里将要介绍的就是逻辑意义上的端口。 % G3 _: M4 u/ a: M$ K9 a( X) z) t
- ?$ B( J6 ~6 r. w+ n4 p
$ T& K2 W g( O, ^' X, ~) |查看端口$ W" |% t; q/ S* o
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:
9 Q% w" u2 F1 e 依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。% z% D# j- j( |( H
7 d0 E8 o5 q v' H9 F* d+ j关闭/开启端口7 y& _' z1 I m! o( K
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认的情况下,有很多不安全的或没有什么用的端口是开启的,比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们可以通过下面的方法来关闭/开启端口。
/ @/ k4 B* P" k' k$ i2 T0 B6 A
0 d; g0 C: M6 j+ m+ A1 B( W关闭端口& l7 N- b! B4 a. m- |
比如在Windows 2000/XP中关闭SMTP服务的25端口,可以这样做:首先打开“控制面板”,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关闭了对应的端口。" S% B `, o( j4 X$ ], t
0 i3 m# d, q# t开启端口" w& D- k# B7 O8 v' y
如果要开启该端口只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可。
& X/ ]1 A" ^3 M& @提示:在Windows 98中没有“服务”选项,你可以使用防火墙的规则设置功能来关闭/开启端口。2 J8 d5 ?4 K: J: Y( U d2 ^
端口分类 w9 w& H2 ~0 d
0 m7 S, S, M. m! ]2 [& c
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:* G. D) g0 |/ h) Q* w& c
* u& q% Y' ^0 X& h
1. 按端口号分布划分9 k' h7 X5 |" J3 `$ K. A: F
6 [; ~6 m, z" _+ E" e
(1)知名端口(Well-Known Ports)( i% p2 H1 x. W5 ?5 i/ ^- g) L
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。
& X5 `% U' ?" {2 n4 x& O" Z
: N6 y! ?6 Y. \+ |( D( U(2)动态端口(Dynamic Ports)
( e& B9 y& H3 c 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后,就会释放所占用的端口号。9 {7 B6 f% ~# Q8 f
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。) }( o, C; D. t
2 c. m: }% [$ u. C. _/ ]
2. 按协议类型划分4 r- d% ]5 I+ ]/ D# Y
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下面主要介绍TCP和UDP端口:' t. U* g( H: x, o- M! O/ W
- C: _0 s4 d! l+ b/ H3 {5 q( S$ \# _
(1)TCP端口
3 ?( N0 {. h3 g) L# j TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以及HTTP服务的80端口等等。
/ A. S5 X" s, P8 p9 u: b" c: o+ V/ ~8 \- o/ C1 Q+ u3 ~
(2)UDP端口' D; F9 [8 y' y/ a6 _+ J
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的8000和4000端口等等。5 z* m2 [; }& w- J& ?# D
常见网络端口
3 Y2 g. U& c9 T2 q& H+ U. R- [+ u' p8 C/ t- e# L% D5 e
网络基础知识!端口对照
+ n p7 j; l6 i( V, c
% f" [$ F5 `' U3 ?! C* @. i/ u端口:0
# Q; I. r) r9 i" l3 J' N服务:Reserved $ y) W8 H5 c" h6 j! A
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
8 r @: ?' z# M1 o5 K' A/ @! _5 y, }3 v* C0 c. R5 [8 K: N6 b
端口:1
! w9 n" N. b" ?* {5 ^服务:tcpmux ) e# K, Y4 m. Y* L$ I3 }
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 , \5 m+ v+ [1 B) i
8 }% j5 U6 N0 _ s- o: f5 Z$ t7 S端口:7 * ?" Q; d5 B) E3 c8 D& F7 c
服务:Echo 6 t. G/ d) B7 d6 C9 L9 T
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
* j: H3 Y; {$ Z, j4 G$ K2 f5 o5 E# t4 A/ d& y
端口:19
8 l9 P, o( ~+ G9 t6 c( L1 f服务:Character Generator ; e7 W7 F$ }- ^& I' j
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
% J- B- p8 C; c5 p+ n# [5 o; s# g: M& }1 E! v. D7 A' t! i
端口:21
5 j; |& ?9 D- o2 E$ m* W, O服务:FTP
0 n2 h) w$ ~; z# ^2 n- O+ z说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
5 U2 f' d$ ^6 M) A/ _4 l Y& y; N& z/ u
端口:22
* N5 _5 c: B2 S. f/ Q服务:Ssh - c9 R' D5 q6 h( Z3 G
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
0 s9 N7 N3 L% O- }3 V( m
, O1 c; g2 {! {5 r端口:23
8 {" Q# S3 m7 x7 V2 f( U) B7 a服务:Telnet
3 z. W% I- h5 i/ i. g& m& Y! U说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
* g) O b# S) I! I& Z
1 H$ P! X$ g! U9 j* I2 J' i/ m+ a端口:25 & r* P3 E" y$ ^. R; U$ `
服务:SMTP
) C, r* r( {' }3 @" j' |6 W说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
+ d# e3 I: p! R2 G' c9 h) ^ K% K9 Y! X- ~
端口:31
' [8 `8 `6 R" L# v3 q( f服务:MSG Authentication ) p9 \2 J* }) |% E6 C$ R' f
说明:木马Master Paradise、Hackers Paradise开放此端口。
z2 ]3 s: y9 M8 {+ d o# e' @5 |1 z$ M& E) C& e$ ~+ H4 ]
端口:42
* @# l3 d$ Z3 _7 g5 i# S7 W% K服务:WINS Replication " _3 I2 k$ `- C" _
说明:WINS复制 ( N3 p1 f8 s, y
' U8 D" A2 k/ l- V" m端口:53
8 }5 M/ V: Y7 a# ]/ N服务:Domain Name Server(DNS) 2 T7 c& V: E# D# c. h F1 s
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
5 k4 U; x( W* B
, G0 ?+ Y; b# f# K% }+ [" Y端口:67
_2 n( j" w/ ?' v4 }* o服务:Bootstrap Protocol Server ( `$ I5 X" s6 `9 ^& Q
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
+ p) I8 J, q! h! c/ _! ]6 w, h6 r/ Y3 A! s7 M
端口:69 " T) `( v* W3 e2 O. p3 q9 f
服务:Trival File Transfer
$ X+ c/ q( S$ n5 \$ N" e说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
3 Z/ E& p: j7 {6 }" U5 `5 W0 {. t/ h& y7 u# `9 H
端口:79
& H- z+ ]8 e9 d% A, [' H' D6 M服务:Finger Server
7 I, \* ?9 h$ a) F1 K- X8 Z% c/ u$ I d- z说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。
. K3 u$ u$ v- x9 [' H0 K+ O! B8 D$ V
端口:80
4 C# `- a' f$ ?服务:HTTP * U- g7 C1 g* ~
说明:用于网页浏览。木马Executor开放此端口。
) b# X% o. O2 u0 w! H2 }. t5 d! \; r1 _ I j; z
端口:99
3 e) } u2 H4 D/ A+ U0 O3 S服务:Metagram Relay 9 M5 y/ B( b4 C5 T( K+ O
说明:后门程序ncx99开放此端口。 1 l0 T6 }5 z' r7 @# t3 N- @( j7 L
$ W9 s1 I1 j2 d5 ^
端口:102
$ w) b) i8 V( B' i% x服务:Message transfer agent(MTA)-X.400 over TCP/IP
. V2 \/ d$ B5 a3 ?说明:消息传输代理。
+ y* x. v* d- E- b7 h0 I+ W E! t& `7 t( Z- ~6 v: k3 a
端口:109 0 w/ t4 m7 n+ ? l# y
服务:Post Office Protocol -Version3
3 j2 q* E$ _9 ^% P说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 3 K9 j; P1 u# n# o4 j0 H
* J5 s& t+ x N( n# ^" Z
端口:110 , V( r/ r: P+ G. F5 r1 S) k/ d4 |
服务:SUN公司的RPC服务所有端口 / T6 {6 ?) f" @* ~
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等 ( p% g9 Y3 D1 c+ x9 I1 ]. x, P5 v
1 N! \* O2 A% E
端口:113 0 V9 ^ _5 \2 s2 H+ o
服务:Authentication Service . z- k# E- ]8 x0 a8 |6 s5 j
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
6 \: S- `) J1 Y3 x* i
+ w9 d, O. V& a& c端口:119 , a& u9 O1 T3 n( L! L
服务:Network News Transfer Protocol * [6 |& W! m/ L2 I( H ~7 t
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
% |) o! ~% p$ @" ]" B6 k$ D- c1 ]' s+ v4 J2 G- p6 P
端口:135
2 p1 Z! h5 j) ]* m, L7 _服务:Location Service
- d, N% W4 b+ v' o/ v说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
; ]2 R) r0 [4 o, t/ |( G
9 b0 s" z0 r5 \( ^9 r端口:137、138、139
* l% y& ~+ r: F& z" o7 V1 G& B" ^服务:NETBIOS Name Service 4 u j- ?; I3 V( w$ `
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
V- M" |, g4 T8 ^7 A, o5 }# X
端口:143
% a* l9 U6 |8 s1 F `" K服务:Interim Mail Access Protocol v2 3 N5 s8 |9 V& p% ~
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。
1 E6 I6 s5 M; T# m3 l
" F; Y% N% `$ E5 Z1 ^端口:161
/ t9 [+ q5 a% i$ d6 |" Q0 X服务:SNMP 3 s/ `* a6 ]% T: [2 ?) k" G
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。 + l! N2 F* \& Q- V4 B4 ^/ B) ]
. k3 x+ g1 [( O
端口:177 2 \3 D8 G0 a( ?1 \0 w
服务:X Display Manager Control Protocol $ M5 ^6 E' }3 j* e
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。 9 y" v/ n! u s1 W0 R" Z
1 P8 X( d D8 @8 h" ]- e( e
端口:389
4 t- H* [; E& ]: ]2 n服务:LDAP、ILS & l; Z/ _3 z1 k
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
, \* R7 r& T& Q5 e& [. O- ~- ^% c E+ S Z' p% d
端口:443
) N5 L0 T, h) ]9 y# X7 M$ q. p服务:Https
5 @) J. v* l% [5 E说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。 & R& ]% e1 K/ n; z' l/ O" L
) u3 G( T( e3 I* x% V端口:456
8 t; e/ U7 _7 d$ j& p9 q0 Y+ N服务:[NULL]
$ i2 M. X* V- g' o% U说明:木马HACKERS PARADISE开放此端口。
3 i9 d1 R: ]8 a9 \( c( D, _4 U/ Z- N8 O3 Z ]! _
端口:513 7 S' R) Q4 e4 o! S* R
服务:Login,remote login
" E% d4 C9 ?4 R" @4 }) F! |1 s说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
. ?; Z0 U6 ` B, e/ M: Q8 x7 [( L2 I: k8 g/ [6 g" \' G0 L
端口:544
- N Z# Z5 Z% E( m2 X$ h& n) R服务:[NULL] 5 p) ?& S P3 I
说明:kerberos kshell
$ ~, \; } Z9 n0 x5 d/ `' ^. [" Z+ M6 r* I3 t7 f
端口:548
: K$ ~( l3 s j' n4 ]服务:Macintosh,File Services(AFP/IP) 5 G$ }. X. d! L! Y% F
说明:Macintosh,文件服务。
1 o/ W0 \3 h' Q& ^) J1 C" b3 t/ ^( E7 j0 w7 X! s( [! P7 Y: H
端口:553 $ d5 G; j( J3 {) `3 c% C
服务:CORBA IIOP (UDP) ) z& C$ H/ O& C8 s6 D
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
+ h( m9 f7 {9 N
J% Z; r2 q8 r" j7 H: h端口:555 & g% k7 ?" F( F# y4 o9 H" Y
服务:DSF
4 N0 s+ u5 e! [) {! Z7 j: y说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
9 \) w' ?8 {: `- R, a2 I, x( E2 D! @4 L
端口:568
3 \0 K: F1 C0 Q0 S# q8 d. z服务:Membership DPA
( i; \1 I, O( k说明:成员资格 DPA。
# u4 n! t8 j; l* Q! R+ k
4 ?- X8 B+ v+ v端口:569
F u& N; N" ~( p- z5 A5 ]. p服务:Membership MSN
; c( [$ t: |7 F2 H* M说明:成员资格 MSN。
' E- p, _' a& D7 p$ u1 N: J1 O" q& s1 I- f
端口:635
: M) H" C, }9 K- H# `% L" I服务:mountd
) m2 n& p! {) F, j2 N说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。 |
|
IP卡
狗仔卡
显身卡