端 口 | 服 务 | 说 明 |
31 | msg authentication | 木马master paradise、hackers paradise所开放的端口 |
53 | domain name server | dns服务器所开放的端口,入侵者可能是试图进行区域传递(tcp),欺骗dns(udp)或隐藏其他通信。因此防火墙常常过滤或记录53端口 |
67 | bootstrap protocol server | 通过dsl和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向dhcp服务器请求一个地址分配。hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的中间人(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的ip地址 |
69 | trivial file transfer | 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件,如密码文件。它们也可用于向系统写入文件 |
79 | finger server | 入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器finger扫描 |
80 | http | 用于网页浏览 木马executor 所开放的端口 |
99 | metagram relay | 后门程序ncx99开放的端口 |
109 | post office protocol - version 2 | pop2端口,并不像pop3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上pop3的漏洞在pop2中同样存在 |
110 | post office protocol - version 3 | pop3服务器所开放的端口,用于接收邮件、客户端访问服务器端的邮件服务。pop3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登录前进入系统。成功登录后还有其他缓冲区溢出错误 |
111 | sun公司的rpc服务所用端口 | 常见rpc服务有rpc.mountd,nfs,rpc.statd,rpc.csmd,rpc.ttybd,amd等 |
113 | authentication service | 这是一个许多计算机上运行的协议,用于鉴别tcp连接的用户。使用标准的这种服务可以获得许多计算机的信息(会被hacker利用)。但是它可作为许多服务的记录器,尤其是ftp、 pop、 imap、 smtp和irc等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在tcp连接的阻断过程中发回rst,这将会停止缓慢的连接 端 口 | 服 务 | 说 明 | 119 | network news transfer protocol | news 新闻组传输协议,承载usenet通信。当链接到诸如news://comp.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找usenet服务器。多数isp限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam | 135 | location service | microsoft在这个端口运行dce rpc end-point mapper为它的dcom服务。这与unix 111端口的功能很相似。使用dcom和/或rpc的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查询end-point mapper找到服务的位置。同样hacker扫描计算机的这个端口是为了找到诸如这个计算机上运行exchange server吗?是什么版本?这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些dos攻击直接针对这个端口 | 137 | netbios name service | udp端口,当通过网络邻居传输文件时用到这个端口 | 138 | netbios datagram service | udp端口,当通过网络邻居传输文件时用到这个端口 | 139 | netbios session service | 通过这个端口进入的连接试图获得netbios/smb服务。这个协议被用于windows文件和打印机共享和samba。在internet上共享自己的硬盘是可能是最常见的问题 | 143 | interim mail access protocol v2 | 和上面pop3的安全问题一样,许多imap服务器存在有缓冲区溢出漏洞。记住:一种linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当radhat在他们的linux发布版本中默认允许imap后,这些漏洞变得流行起来。这一端口还被用于imap2,但并不流行。已有一些报道发现有些0~143端口的攻击源于脚本 | 161 | snmp | 入侵者常探测的端口。snmp允许远程管理设备。所有配置和运行信息都储存在数据库中,通过snmp客获得这些信息。许多管理员的错误配置将它们暴露于internet。crackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。snmp包可能会被错误的指向用户的网络。windows计算机常会因为错误配置将hp jetdirect remote management软件使用snmp。hp object identifier将收到snmp包。新版的windows 98使用snmp解析域名,会看见这种包在子网内广播(cable modem, dsl)查询sysname和其他信息 端 口 | 服 务 | 说 明 | 177 | x display manager control protocol | 许多入侵者通过它访问x-windows控制台, 它同时需要打开6000端口 | 443 | https | 网页浏览端口 | 456 | | 木马hackers paradise 所开放的端口 | 513 | login, remote login | 是从使用cable modem或dsl登录到的子网中的unix计算机发出的广播。这些人为入侵者进入他们的系统提供了很有趣的信息 | 553 | corba iiop (udp) | 使用cable modem或dsl vlan,将会看到这个端口的广播。corba是一种面向对象的rpc(remote procedure call)系统。入侵者会利用这些信息进入系统 | 555 | dsf | 木马phase1.0、stealth spy、inikiller所开放的端口 | 635 | mountd | linux的mountd bug。这是人们扫描的一个流行的bug。大多数对这个端口的扫描是基于udp的,但基于tcp的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是linux默认为635端口,就像nfs通常运行于2049端口 | 666 | doom id software | 木马attack ftp、satanz backdoor所开放的端口 | 1001 | | 木马silencer、webex所开放的端口 | 1011 | | 木马doly trojan 所开放的端口 | 1024 | reserved | 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,可以重启计算机,打开telnet,再打开一个窗口运行natstat -a,将会看到telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当浏览web页时用netstat查看,每个web页需要一个新端口 | 1025 | network blackjack | 木马netspy所开放的端口 | 1033 | | 木马netspy所开放的端口 | 1080 | socks | 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个ip地址访问internet。理论上它应该只允许内部的通信向外达到internet。但是由于错误的配置,它会允许hacker/cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于internet上的计算机,从而掩饰他们对用户的直接攻击。wingate是一种常见的windows个人防火墙,常会发生上述的错误配置。在加入irc聊天室时常会看到这种情况
|
|
|
