電腦端口基礎(chǔ)知識

2013-04-17 13:31 作者：ly 瀏覽量：

端口可分為3大類：
1） 公認端口（Well Known Ports）：從0到1023，它們緊密綁定于一些服務(wù)。通常這
些端口的通訊明確表
明了某種服務(wù)的協(xié)議。例如：80端口實際上總是HTTP通訊。
2） 注冊端口（Registered Ports）：從1024到49151。它們松散地綁定于一些服務(wù)。
也就是說有許多服務(wù)
綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動態(tài)端口從
1024左右開始。
3） 動態(tài)和/或私有端口（Dynamic and/or Private Ports）：從49152到65535。理論
上，不應(yīng)為服務(wù)分配
這些端口。實際上，機器通常從1024起分配動態(tài)端口。但也有例外：SUN的RPC端口從
32768開始。
本節(jié)講述通常TCP/UDP端口掃描在防火墻記錄中的信息。記住：并不存在所謂ICMP端
口。如果你對解讀ICMP數(shù)據(jù)感興趣，請參看本文的其它部分。
0 通常用于分析操作系統(tǒng)。這一方法能夠工作是因為在一些系統(tǒng)中“0”是無效端口，
當你試圖使用一種通常的閉合端口連接它時將產(chǎn)生不同的結(jié)果。一種典型的掃描：使用
IP地址為0.0.0.0，設(shè)置ACK位并在以太網(wǎng)層廣播。
1 tcpmux 這顯示有人在尋找SGI Irix機器。Irix是實現(xiàn)tcpmux的主要提供者，缺省情
況下tcpmux在這種系統(tǒng)中被打開。Iris機器在發(fā)布時含有幾個缺省的無密碼的帳戶，如
lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。許
多管理員安裝后忘記刪除這些帳戶。因此Hacker們在 Internet上搜索tcpmux并利用這
些帳戶。
7 Echo 你能看到許多人們搜索Fraggle放大器時，發(fā)送到x.x.x.0和x.x.x.255的信息。
常見的一種DoS攻擊是echo循環(huán)（echo-loop），攻擊者偽造從一個機器發(fā)送到另一個機
器的UDP數(shù)據(jù) 包，而兩個機器分別以它們最快的方式回應(yīng)這些數(shù)據(jù)包。（參見Chargen
） 另一種東西是由DoubleClick在詞端口建立的TCP連接。有一種產(chǎn)品叫做“Resonate
Global Dispatch”，它與DNS的這一端口連接以確定最近的路由。 Harvest/squid
cache將從3130端口發(fā)送UDP echo：“如果將cache的source_ping on選項打開，它將對
原始主機的UDP echo端口回應(yīng)一個HIT reply。”這將會產(chǎn)生許多這類數(shù)據(jù)包。
11 sysstat 這是一種UNIX服務(wù)，它會列出機器上所有正在運行的進程以及是什么啟動
了這些進程。這為入侵者提供了許多信息而威脅機器的安全，如暴露已知某些弱點或帳
戶的程序。這與UNIX系統(tǒng)中“ps”命 令的結(jié)果相似.
再說一遍：ICMP沒有端口，ICMP port 11通常是ICMP type=11
19 chargen 這是一種僅僅發(fā)送字符的服務(wù)。UDP版本將會在收到UDP包后回應(yīng)含有垃圾
字符的包。TCP連接時，會發(fā)送含有垃圾字符的數(shù)據(jù)流知道連接關(guān)閉。Hacker利用IP欺
騙可以發(fā)動DoS攻擊。偽造兩個chargen服務(wù)器之間的UDP包。由于服務(wù)器企圖回應(yīng)兩個
服務(wù)器之間的無限的往返數(shù)據(jù)通訊一個chargen和echo將導(dǎo)致服務(wù)器過載。同樣
fraggle DoS攻擊向目標地址的這個端口廣播一個帶有偽造受害者IP的數(shù)據(jù)包，受害者
為了回應(yīng)這些數(shù)據(jù)而過載。
21 ftp 最常見的攻擊者用于尋找打開“anonymous”的ftp服務(wù)器的方法。這些服務(wù)器
帶有可讀寫的目錄。Hackers或Crackers 利用這些服務(wù)器作為傳送warez (私有程序)
和pr0n(故意拼錯詞而避免被搜索引擎分類)的節(jié)點。
22 ssh PcAnywhere建立TCP和這一端口的連接可能是為了尋找ssh。這一服務(wù)有許多弱
點。如果配置成特定的模式，許多使用RSAREF庫的版本有不少漏洞。（建議在其它端口
運行ssh）還應(yīng)該注意的是ssh工具包帶有一個稱為make-ssh-known-hosts的程序。它會
掃描整個域的ssh主機。你有時會被使用這一程序的人無意中掃描到。
UDP（而不是TCP）與另一端的5632端口相連意味著存在搜索pcAnywhere的掃描。5632（
十六進制的0x1600）位交換后是0x0016（使進制的22）。
23 Telnet 入侵者在搜索遠程登陸UNIX的服務(wù)。大多數(shù)情況下入侵者掃描這一端口是為
了找到機器運行的操作系統(tǒng)。此外使用其它技術(shù)，入侵者會找到密碼。
技術(shù)文摘Page 2 of 5
mk:@MSITStore:F:\tools\htools\book\book.chm::/MYWEB/hei.../safetv07.ht
2002-5-14
25 smtp 攻擊者（spammer）尋找SMTP服務(wù)器是為了傳遞他們的spam。入侵者的帳戶總
被關(guān)閉，他們需要撥號連接到高帶寬的e-mail服務(wù)器上，將簡單的信息傳遞到不同的地
址。SMTP服務(wù)器（尤其是sendmail）是進入系統(tǒng)的最常用方法之一，因為它們必須完整
的暴露于Internet且郵件的路由是復(fù)雜的（暴露+復(fù)雜=弱點）。
53 DNS Hacker或crackers可能是試圖進行區(qū)域傳遞（TCP），欺騙DNS（UDP）或隱藏其
它通訊。因此防火墻常常過濾或記錄53端口。
需要注意的是你常會看到53端口做為UDP源端口。不穩(wěn)定的防火墻通常允許這種通訊并
假設(shè)這是對DNS查詢的回復(fù)。Hacker常使用這種方法穿透防火墻。
67和68 Bootp和DHCP UDP上的Bootp/DHCP：通過DSL和cable-modem的防火墻常會看見大
量發(fā)送到廣播地 址255.255.255.255的數(shù)據(jù)。這些機器在向DHCP服務(wù)器請求一個地址分
配。Hacker常進入它們分配一個地址 把自己作為局部路由器而發(fā)起大量的“中間人”
（man-in-middle）攻擊。客戶端向68端口（bootps）廣播 請求配置，服務(wù)器向67端口
（bootpc）廣播回應(yīng)請求。這種回應(yīng)使用廣播是因為客戶端還不知道可以發(fā)送的 IP地
址。
69 TFTP(UDP) 許多服務(wù)器與bootp一起提供這項服務(wù)，便于從系統(tǒng)下載啟動代碼。但是
它們常常錯誤配置而從系統(tǒng)提供任何文件，如密碼文件。它們也可用于向系統(tǒng)寫入文
件。
79 finger Hacker用于獲得用戶信息，查詢操作系統(tǒng)，探測已知的緩沖區(qū)溢出錯誤，回
應(yīng)從自己機器到其它機器finger掃描。
98 linuxconf 這個程序提供linux boxen的簡單管理。通過整合的HTTP服務(wù)器在98端口
提供基于Web界面的服務(wù)。它已發(fā)現(xiàn)有許多安全問題。一些版本setuid root，信任局域
網(wǎng)，在/tmp下建立Internet可訪問的文件，LANG環(huán)境變量有緩沖區(qū)溢出。此外因為它包
含整合的服務(wù)器，許多典型的HTTP漏洞可能存在（緩沖區(qū)溢出，歷遍目錄等）
109 POP2 并不象POP3那樣有名，但許多服務(wù)器同時提供兩種服務(wù)（向后兼容）。在同
一個服務(wù)器上POP3的漏洞在POP2中同樣存在。
110 POP3 用于客戶端訪問服務(wù)器端的郵件服務(wù)。POP3服務(wù)有許多公認的弱點。關(guān)于用
戶名和密碼交換緩沖區(qū)溢出的弱點至少有20個（這意味著Hacker可以在真正登陸前進入
系統(tǒng)）。成功登陸后還有其它緩沖區(qū)溢出錯誤。
111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。訪問portmapper是掃描
系統(tǒng)查看允許哪些RPC服務(wù)的最早的一步。常見RPC服務(wù)有：rpc.mountd, NFS,
rpc.statd,rpc.csmd, rpc.ttybd, amd等。入侵者發(fā)現(xiàn)了允許的RPC服務(wù)將轉(zhuǎn)向提供服
務(wù)的特定端口測試漏洞。記住一定要記錄線路中的daemon, IDS, 或sniffer，你可以發(fā)
現(xiàn)入侵者正使用什么程序訪問以便發(fā)現(xiàn)到底發(fā)生了什么。
113 Ident auth 這是一個許多機器上運行的協(xié)議，用于鑒別TCP連接的用戶。使用標準
的這種服務(wù)可以
獲得許多機器的信息（會被Hacker利用）。但是它可作為許多服務(wù)的記錄器，尤其是
FTP, POP, IMAP, SMTP
和IRC等服務(wù)。通常如果有許多客戶通過防火墻訪問這些服務(wù)，你將會看到許多這個端
口的連接請求。記
住，如果你阻斷這個端口客戶端會感覺到在防火墻另一邊與e-mail服務(wù)器的緩慢連接。
許多防火墻支持在
TCP連接的阻斷過程中發(fā)回RST，著將回停止這一緩慢的連接。
119 NNTP news 新聞組傳輸協(xié)議，承載USENET通訊。當你鏈接到諸如：
news://comp.security.firewalls/. 的地址時通常使用這個端口。這個端口的連接企
圖通常是人們在尋找
USENET服務(wù)器。多數(shù)ISP限制只有他們的客戶才能訪問他們的新聞組服務(wù)器。打開新聞
組服務(wù)器將允許發(fā)/讀
任何人的帖子，訪問被限制的新聞組服務(wù)器，匿名發(fā)帖或發(fā)送spam。
135 oc-serv MS RPC end-point mapper Microsoft在這個端口運行DCE RPC
end-point mapper為它的
DCOM服務(wù)。這與UNIX 111端口的功能很相似。使用DCOM和/或RPC的服務(wù)利用機器上的
end-point mapper注冊
它們的位置。遠端客戶連接到機器時，它們查詢end-point mapper找到服務(wù)的位置。同
樣Hacker掃描機器的
這個端口是為了找到諸如：這個機器上運行Exchange Server嗎？是什么版本？
這個端口除了被用來查詢服務(wù)（如使用epdump）還可以被用于直接攻擊。有一些DoS攻
擊直接針對這個
端口。
技術(shù)文摘Page 3 of 5
mk:@MSITStore:F:\tools\htools\book\book.chm::/MYWEB/hei.../safetv07.ht
2002-5-14
137 NetBIOS name service nbtstat (UDP) 這是防火墻管理員最常見的信息，請仔細
閱讀文章后面的
NetBIOS一節(jié)
139 NetBIOS File and Print Sharing 通過這個端口進入的連接試圖獲得NetBIOS/SMB
服務(wù)。這個協(xié)
議被用于Windows“文件和打印機共享”和SAMBA。在Internet上共享自己的硬盤是可能
是最常見的問題。
大量針對這一端口始于1999，后來逐漸變少。2000年又有回升。一些VBS（IE5
VisualBasic
Scripting）開始將它們自己拷貝到這個端口，試圖在這個端口繁殖。
143 IMAP 和上面POP3的安全問題一樣，許多IMAP服務(wù)器有緩沖區(qū)溢出漏洞運行登陸過
程中進入。記
住：一種Linux蠕蟲（admw0rm）會通過這個端口繁殖，因此許多這個端口的掃描來自不
知情的已被感染的用
戶。當RadHat在他們的Linux發(fā)布版本中默認允許IMAP后，這些漏洞變得流行起來。
Morris蠕蟲以后這還是
第一次廣泛傳播的蠕蟲。
這一端口還被用于IMAP2，但并不流行。
已有一些報道發(fā)現(xiàn)有些0到143端口的攻擊源于腳本。
161 SNMP(UDP) 入侵者常探測的端口。SNMP允許遠程管理設(shè)備。所有配置和運行信息都
儲存在數(shù)據(jù)庫
中，通過SNMP客獲得這些信息。許多管理員錯誤配置將它們暴露于Internet。Crackers
將試圖使用缺省的密
碼“public”“private”訪問系統(tǒng)。他們可能會試驗所有可能的組合。
SNMP包可能會被錯誤的指向你的網(wǎng)絡(luò)。Windows機器常會因為錯誤配置將HP JetDirect
remote
management軟件使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用
SNMP解析域名，你會看
見這種包在子網(wǎng)內(nèi)廣播（cable modem, DSL）查詢sysName和其它信息。
162 SNMP trap 可能是由于錯誤配置
177 xdmcp 許多Hacker通過它訪問X-Windows控制臺，它同時需要打開6000端口。
513 rwho 可能是從使用cable modem或DSL登陸到的子網(wǎng)中的UNIX機器發(fā)出的廣播。這
些人為Hacker進
入他們的系統(tǒng)提供了很有趣的信息。
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你將會看到這個端口的廣
播。CORBA是一
種面向?qū)ο蟮腞PC（remote procedure call）系統(tǒng)。Hacker會利用這些信息進入系統(tǒng)。

600 Pcserver backdoor 請查看1524端口
一些玩script的孩子認為他們通過修改ingreslock和pcserver文件已經(jīng)完全攻破了系統(tǒng)
-- Alan J.
Rosenthal.
635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數(shù)對這個端口
的掃描是基于UDP
的，但基于TCP的mountd有所增加（mountd同時運行于兩個端口）。記住，mountd可運
行于任何端口（到底
在哪個端口，需要在端口111做portmap查詢），只是Linux默認為635端口，就象NFS通
常運行于2049端口。
1024 許多人問這個端口是干什么的。它是動態(tài)端口的開始。許多程序并不在乎用哪個
端口連接網(wǎng)絡(luò)，
它們請求操作系統(tǒng)為它們分配“下一個閑置端口”。基于這一點分配從端口1024開始。
這意味著第一個向系
統(tǒng)請求分配動態(tài)端口的程序?qū)⒈环峙涠丝?024。為了驗證這一點，你可以重啟機器，打
開Telnet，再打開一
個窗口運行“natstat -a”，你將會看到Telnet被分配1024端口。請求的程序越多，動
態(tài)端口也越多。操作
系統(tǒng)分配的端口將逐漸變大。再來一遍，當你瀏覽Web頁時用“netstat”查看，每個
Web頁需要一個新端
口。
?ersion 0.4.1, June 20, 2000
http://www.robertgraham.com/pubs/firewall-seen.html
Copyright 1998-2000 by Robert Graham
([email protected].
All rights reserved. This document．nbspmay only be reproduced (whole or
in part) for non-commercial purposes. All reproductions must
contain this copyright notice and must not be altered, except by
permission of the author.
1025 參見1024
1026 參見1024
1080 SOCKS
技術(shù)文摘Page 4 of 5
mk:@MSITStore:F:\tools\htools\book\book.chm::/MYWEB/hei.../safetv07.ht
2002-5-14
這一協(xié)議以管道方式穿過防火墻，允許防火墻后面的許多人通過一個IP地址訪問
Internet。理論上它應(yīng)
該只允許內(nèi)部的通信向外達到Internet。但是由于錯誤的配置，它會允許
Hacker/Cracker的位于防火墻外部
的攻擊穿過防火墻。或者簡單地回應(yīng)位于Internet上的計算機，從而掩飾他們對你的直
接攻擊。WinGate是
一種常見的Windows個人防火墻，常會發(fā)生上述的錯誤配置。在加入IRC聊天室時常會看
到這種情況。
1114 SQL
系統(tǒng)本身很少掃描這個端口，但常常是sscan腳本的一部分。
1243 Sub-7木馬（TCP）
參見Subseven部分。
1524 ingreslock后門
許多攻擊腳本將安裝一個后門Sh*ll 于這個端口（尤其是那些針對Sun系統(tǒng)中Sendmail
和RPC服務(wù)漏洞的
腳本，如statd, ttdbserver和cmsd）。如果你剛剛安裝了你的防火墻就看到在這個端
口上的連接企圖，很
可能是上述原因。你可以試試Telnet到你的機器上的這個端口，看看它是否會給你一個
Sh*ll 。連接到
600/pcserver也存在這個問題。
2049 NFS
NFS程序常運行于這個端口。通常需要訪問portmapper查詢這個服務(wù)運行于哪個端口，
但是大部分情況
是安裝后NFS 杏謖飧齠絲冢?acker/Cracker因而可以閉開portmapper直接測試這個端
口。
3128 squid
這是Squid HTTP代理服務(wù)器的默認端口。攻擊者掃描這個端口是為了搜尋一個代理服務(wù)
器而匿名訪問
Internet。你也會看到搜索其它代理服務(wù)器的端口：8000/8001/8080/8888。掃描這一
端口的另一原因是：
用戶正在進入聊天室。其它用戶（或服務(wù)器本身）也會檢驗這個端口以確定用戶的機器
是否支持代理。請查
看5.3節(jié)。
5632 pcAnywere
你會看到很多這個端口的掃描，這依賴于你所在的位置。當用戶打開pcAnywere時，它
會自動掃描局域
網(wǎng)C類網(wǎng)以尋找可能得代理（譯者：指agent而不是proxy）。Hacker/cracker也會尋找
開放這種服務(wù)的機
器，所以應(yīng)該查看這種掃描的源地址。一些搜尋pcAnywere的掃描常包含端口22的UDP數(shù)
據(jù)包。參見撥號掃
描。
6776 Sub-7 artifact
這個端口是從Sub-7主端口分離出來的用于傳送數(shù)據(jù)的端口。例如當控制者通過電話線
控制另一臺機
器，而被控機器掛斷時你將會看到這種情況。因此當另一人以此IP撥入時，他們將會看
到持續(xù)的，在這個端
口的連接企圖。（譯者：即看到防火墻報告這一端口的連接企圖時，并不表示你已被
Sub-7控制。）
6970 RealAudio
RealAudio客戶將從服務(wù)器的6970-7170的UDP端口接收音頻數(shù)據(jù)流。這是由TCP7070端口
外向控制連接設(shè)
置的。
13223 PowWow
PowWow 是Tribal Voice的聊天程序。它允許用戶在此端口打開私人聊天的連接。這一
程序?qū)τ诮⑦B
接非常具有“進攻性”。它會“駐扎”在這一TCP端口等待回應(yīng)。這造成類似心跳間隔
的連接企圖。如果你
是一個撥號用戶，從另一個聊天者手中“繼承”了IP地址這種情況就會發(fā)生：好象很多
不同的人在測試這一
端口。這一協(xié)議使用“OPNG”作為其連接企圖的前四個字節(jié)。
17027 Conducent
這是一個外向連接。這是由于公司內(nèi)部有人安裝了帶有Conducent "adbot" 的共享軟
件。Conducent
"adbot"是為共享軟件顯示廣告服務(wù)的。使用這種服務(wù)的一種流行的軟件是Pkware。有
人試驗：阻斷這一外
向連接不會有任何問題，但是封掉IP地址本身將會導(dǎo)致adbots持續(xù)在每秒內(nèi)試圖連接多
次而導(dǎo)致連接過載：
機器會不斷試圖解析DNS名─ads.conducent.com，即IP地址216.33.210.40 ；
216.33.199.77 ；
216.33.199.80 ；216.33.199.81；216.33.210.41。（譯者：不知NetAnts使用的
Radiate是否也有這種現(xiàn)
象）
技術(shù)文摘Page 5 of 5
mk:@MSITStore:F:\tools\htools\book\book.chm::/MYWEB/hei.../safetv07.ht
2002-5-14
27374 Sub-7木馬(TCP)
參見Subseven部分。
30100 NetSphere木馬(TCP)
通常這一端口的掃描是為了尋找中了NetSphere木馬。
31337 Back Orifice “elite”
Hacker中31337讀做“elite”/ei’li:t/（譯者：法語，譯為中堅力量，精華。即
3=E, 1=L, 7=T）。
因此許多后門程序運行于這一端口。其中最有名的是Back Orifice。曾經(jīng)一段時間內(nèi)這
是Internet上最常見
的掃描。現(xiàn)在它的流行越來越少，其它的木馬程序越來越流行。
31789 Hack-a-tack
這一端口的UDP通訊通常是由于"Hack-a-tack"遠程訪問木馬（RAT, Remote Access
Trojan）。這種木
馬包含內(nèi)置的31790端口掃描器，因此任何31789端口到317890端口的連接意味著已經(jīng)有
這種入侵。（31789
端口是控制連接，317890端口是文件傳輸連接）
32770~32900 RPC服務(wù)
Sun Solaris的RPC服務(wù)在這一范圍內(nèi)。詳細的說：早期版本的Solaris（2.5.1之前）將
portmapper置于
這一范圍內(nèi)，即使低端口被防火墻封閉仍然允許Hacker/cracker訪問這一端口。掃描這
一范圍內(nèi)的端口不是
為了尋找portmapper，就是為了尋找可被攻擊的已知的RPC服務(wù)。
33434~33600 traceroute
如果你看到這一端口范圍內(nèi)的UDP數(shù)據(jù)包（且只在此范圍之內(nèi)）則可能是由于
traceroute。參見
traceroute部分。
41508 Inoculan
早期版本的Inoculan會在子網(wǎng)內(nèi)產(chǎn)生大量的UDP通訊用于識別彼此。參見
http://www.circlemud.org/~jelson/software/udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan/index.html
(二） 下面的這些源端口意味著什么？
端口1~1024是保留端口，所以它們幾乎不會是源端口。但有一些例外，例如來自NAT機
器的連接。參見
1.9。
常看見緊接著1024的端口，它們是系統(tǒng)分配給那些并不在乎使用哪個端口連接的應(yīng)用程
序的“動態(tài)端
口”。
Server Client 服務(wù)描述
1-5/tcp 動態(tài)FTP 1-5端口意味著sscan腳本
20/tcp 動態(tài)FTP FTP服務(wù)器傳送文件的端口
53 動態(tài)FTP DNS從這個端口發(fā)送UDP回應(yīng)。你也可能看見源/目標端口的TCP連接。
123 動態(tài)S/NTP 簡單網(wǎng)絡(luò)時間協(xié)議（S/NTP）服務(wù)器運行的端口。它們也會發(fā)送到這個
端口的廣播。
27910~27961/udp 動態(tài)Quake Quake或Quake引擎驅(qū)動的游戲在這一端口運行其服務(wù)器。
因此來自這一
端口范圍的UDP包或發(fā)送至這一端口范圍的UDP包通常是游戲。
 
 

  --- 版權(quán)最終歸艾銻無限所有http://www.maosdadas.net/ 如需轉(zhuǎn)載，請標明出處。