自学计算机端口基础知识

端口可分为三类:

1)众所周知的端口:从0到1023，它们与一些服务紧密绑定。一般来说，这些端口的通信清晰表明确了某项服务的协议。例如，端口80实际上总是HTTP通信。

2)注册端口:从1024到49151。它们松散地绑定到一些服务。也就是说，有许多服务绑定到这些端口，这些端口用于许多其他目的。例如，许多体系结构处理1024左右的动态端口。

3)动态和/或专用端口:从49152到65535。理论上，这些端口不应分配给服务。事实上，机器通常从1024开始分配动态端口。但也有例外:SUN的RPC端口从32768开始。

本节描述防火墙记录中一般TCP/UDP端口扫描的信息。记住:没有所谓的ICMP端口。如果您对解释ICMP数据感兴趣，请参考本文的其他部分。

0一般用来分析操作系统。这种方法之所以有效，是因为“0”在某些系统中是无效端口，当您尝试将其与一般的封闭端口连接时，会出现不同的结果。典型的扫描:IP地址为0.0.0.0，在以太网层设置并广播ACK位。

1 tcpmux这说明有人在找sgirix机器。Irix是tcpmux的主要提供者，tcpmux默认在这个系统中打开。Iris machine发布时包含几个没有密码的默认账号，如LP、guest、uucp、nuucp、demos、tutor、diag、ezsetup、outofbox、4Dgifts。许多管理员在安装后忘记删除这些帐户。黑客在网上搜索tcpmux，使用这些账号。

7 Echo大家在找Fraggle功放的时候可以看到很多发给x.x.x.0和x.x.x.255的消息。

常见的DoS攻击是echo-loop，攻击者伪造从一台机器发送到另一台机器的UDP数据包，两台机器以最快的方式响应这些数据包。(会见Chargen)

还有就是双击在字口建立的TCP连接。有个产品叫“共鸣全球派遣”，和DNS的这个端口连接，确认最近的路由。

Harvest/squid缓存将从端口3130发送UDP回应:“如果缓存的source_ping on选项打开，它将使用HIT回复来响应原始主机的UDP回应端口。”很多这样的数据包都会出现。

11 sysstat这是一个UNIX服务，它列出了机器上所有正在运行的进程以及启动它们的原因。这为入侵者提供了大量信息，并威胁到机器的安全，例如暴露一些已知缺点或账户的程序。这类似于UNIX系统中“ps”指令的结果

再说一遍:ICMP没有端口，ICMP端口11通常是ICMP类型=11

这是一项只发送字符的服务。UDP版本会在收到UDP数据包后，对包含废字符的数据包做出响应。当连接TCP时，将发送包含无用字符的数据流，直到连接关闭。黑客可以利用IP诈骗发起DoS攻击。两台收费服务器之间的假冒UDP数据包。因为服务器试图响应两个服务器之间无限往复的数据通信，一个chargen和echo会导致服务器过载。同一个fraggle DoS攻击向策略地址的这个端口广播一个带有虚假受害者IP的数据包，受害者在响应这些数据时会过载。

ftp最常见的攻击者就是用来想办法打开匿名的FTP服务器的。这些服务器有读写目录。黑客或骇客利用这些服务器作为节点来传输warez(私人程序)和pr0n(故意拼错单词以防止被搜索引擎分类)。

22 ssh PcAnywhere建立TCP和这个端口之间的连接，可能是为了找到ssh。这项服务有许多缺点。如果是特定形式的设备，很多使用RSAREF库的版本有很多缺口。(建议在其他端口运行ssh)

还应该注意到ssh工具包附带了一个名为make-ssh-known-hosts的程序。它扫描整个域的ssh主机。有时你会被使用这个程序的人无意中扫描到。

UDP(不是TCP)连接到另一端的端口5632，这意味着存在对pcAnywhere的扫描。交换5632(十六进制0x1600)位后，是0x0016(十进制22)。

23远程登录入侵者正在寻找远程登录UNIX的服务。在大多数情况下，入侵者扫描这个端口是为了找到机器的操作系统。此外，有了其他技能，入侵者就会发现密码。

25个smtp攻击者(垃圾邮件制造者)寻找SMTP服务器来发送他们的垃圾邮件。入侵者的账户总是关闭的，所以他们需要拨号连接到高带宽的电子邮件服务器，并将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是最常见的进入系统的方式之一，因为他们需要暴露在互联网上，邮件路由很乱(暴露+杂乱=缺点)。

53 DNS黑客或破解者可能试图进行区域传送(TCP)、诈骗DNS(UDP)或隐藏其他通信。因此，防火墙经常过滤或记录端口53。

需要注意的是，你经常看到端口53作为UDP源端口。不稳定的防火墙通常会承诺这种通信，并假设这是对DNS查询的回复。黑客经常用这种方法穿透防火墙。

67和68上的Bootp/DHCP Bootp和DHCP UDP:通过DSL和电缆调制解调器的防火墙经常会看到大量数据发送到广播地址255.255.255.255。这些机器正在请求DHCP服务器分配地址。黑客经常陷入“中间人”攻击，他们分配一个地址，并把自己当成路由器的一部分。客户端向端口68 (BOOTP)广播请求设备，服务器向端口67 (BOOTP)广播响应请求。因为客户端不知道可以发送的IP地址，所以会广播此响应。69 TFTP(UDP)很多服务器都是和bootp一起提供这个服务的，这样可以很方便的从系统下载启动代码。然而，他们经常错误地从系统中提供任何文件，如密码文件。它们也可以用来向系统写入文件。

79 finger Hacker用于获取用户信息，查询操作系统，探究已知的缓冲区溢出故障，响应从自己机器到其他机器的手指扫描。

98 linuxconf是一个简单的linux boxen程序。集成的HTTP服务器根据98端口的Web接口提供服务。它发现了许多安全问题。有些版本，setuid root，信任局域网，在/tmp下设置互联网可访问文件，LANG环境变量有缓冲区溢出。另外，因为包含集成服务器，所以可能存在很多典型的HTTP缺口(缓冲区溢出、目录遍历等)。)

109 POP2没有POP3有名，但是很多服务器一起提供两种服务(向后兼容)。在同一个服务器上，POP3的差距存在于POP2。

110 POP3用于客户端访问服务器上的邮件服务。POP3服务有许多公认的缺点。用户名和密码通信缓冲区溢出至少有20个缺点(这意味着黑客可以在真正登录之前进入系统)。成功登录后还有其他缓冲区溢出故障。111 sunrpc portmap rpcbind .访问端口映射器是扫描系统检查承诺哪些RPC服务的最早步骤。常见的RPC服务有:RPC.mountd、NFS、RPC.statd、RPC.csmd、RPC.ttybd、AMD等。入侵者发现承诺的RPC服务会转向供应服务的特定端口测试缺口。

请记住在队列中记录守护进程、入侵检测系统或嗅探器，您可以了解入侵者使用什么程序来访问，以了解发生了什么。113 Ident auth是一种在许多机器上运行的协议，用于识别与TCP连接的用户。使用这项标准服务，您可以获得许多机器的信息(黑客将使用这些信息)。但是它可以作为很多服务的记录器，尤其是FTP，POP，IMAP，SMTP，IRC。通常，如果许多客户通过防火墙访问这些服务，您会看到许多连接该端口的请求。请记住，如果您阻止此端口，客户端将感觉到与防火墙另一端的电子邮件服务器连接缓慢。许多防火墙支持在阻止TCP连接的过程中发送回RST，这将停止这种缓慢的连接。

119 NNTP新闻新闻组传输协议，承载USENET通讯。当您链接到一个地址(如:news://comp . security . firewalls/)时，通常使用此端口。这个端口的连接尝试一般是人们在找USENET服务器。大多数互联网服务提供商限制只有他们的客户可以访问他们的新闻组服务器。打开新闻组服务器将承诺发送/阅读任何人的帖子，访问受限制的新闻组服务器，匿名发布或发送垃圾邮件。

135 oc-服务器ms RPC端点映射器Microsoft在此端口上运行DCE RPC端点映射器，为其DCOM服务。这类似于UNIX 111端口的功能。使用DCOM和/或RPC的服务使用机器上的端点映射器注册它们的方向。当远程客户端连接到机器时，它们会查询端点映射器来查找服务位置。同一个黑客扫描机器的这个端口，以找出例如，这台机器上是否正在运行交换服务器？是什么版本？

这个端口不仅可以用来查询服务(比如使用epdump)，还可以用来直接攻击。有一些针对该端口的DoS攻击。

137 NetBIOS名称服务nbtstat (UDP)这是防火墙管理员最常用的信息。请仔细阅读文章后面的NetBIOS部分

139网络基本输入输出系统文件和打印共享通过此端口输入的连接试图获得网络基本输入输出系统/中小企业服务。该协议用于窗口文件和打印机共享和SAMBA。在网上分享自己的硬盘大概是最常见的问题。

这些港口中有许多是从1999年开始的，然后逐渐减少。2000年又涨了。一些VBS(IE5 VisualBasic脚本)开始将自己复制到这个端口，试图在这个端口上复制。

143 IMAP和上面的POP3有同样的安全问题，很多IMAP服务器在登录的时候都有缓冲区溢出间隙要输入。请记住:一个Linux蠕虫(admw0rm)会通过这个端口成倍增长，因此对这个端口的许多扫描来自于毫无防备的被感染用户。当RadHat在其Linux发行版中默认IMAP时，这些差距变得流行起来。莫里斯虫是未来第一种广泛传播的蠕虫。

这个端口也用于IMAP2，但是不流行。

一些报告发现，从端口0到143的一些攻击源于脚本。

161 SNMP(UDP)入侵者经常探索端口。SNMP承诺远程管理设备。所有设备和操作信息都存储在数据库中，通过SNMP获得。许多管理员错误地将他们暴露在互联网上。破解者将试图使用默认代码“公共”和“私人”访问系统。他们可能试验所有可能的组合。

SNMP数据包可能被误导到您的网络。Windows机由于设备故障，经常对惠普JetDirect远程管理软件使用SNMP。惠普对象标识符将接收简单网络管理协议数据包。新版Win98使用SNMP解析域名，你会看到这个数据包在子网(DSL)中广播查询sysName等信息。

162 SNMP陷阱可能是由于设备故障造成的

许多黑客通过它访问X-Windo

注意:自考时间倒计时，提示大家早点复习考试资料！！！

点击进入自学报名系统

注册电话号码:

可以关注浙江自学考试官网:www.crzkw.cn

程彩云教育

部分内容来源于网络转载、学生投稿，如有侵权或对本站有任何意见、建议或者投诉，请联系邮箱（1296178999@qq.com）反馈。 未经本站授权，不得转载、摘编、复制或者建立镜像， 如有违反，本站将追究法律责任！