@笨笨的天磊
主机端口
"端口"是英文port的意译,可以认为是设备与外界通讯交流的出口。
端口可分为虚拟端口和物理端口,
其中虚拟端口指计算机内部或交换机路由器内的端口,不可见。
例如计算机中的80端口、21端口、23端口等。
物理端口又称为接口,是可见端口,计算机背板的RJ45网口,交换机路由器集线器等RJ45端口。电话使用RJ11插口也属于物理端口的范畴。
这篇文章主要介绍虚拟端口
端口类型
端口是一个0-65535之间的整数。端口可以分为两种类型:TCP端口与UDP端口。其中,TCP端口分配给TCP服务使用,UDP端口分配给UDP服务使用。通常情况下,TCP与UDP端口同时分配给一种服务。
| 熟知端口 | 注册端口 | 动态端口 |
|---|---|---|
| 0~1023 | 1024~49151 | 49152~65535 |
| 周知端口是众所周知的端口号,范围从0到1023,其中80端口分配给WWW服务,21端口分配给FTP服务等。我们在IE的地址栏里输入一个网址的时候是不必指定端口号的,因为在默认情况下WWW服务的端口是“80”。 | 动态端口的范围是从49152到65535。之所以称为动态端口,是因为它 一般不固定分配某种服务,而是动态分配。 | 端口1024到49151,分配给用户进程或应用程序。这些进程主要是用户选择安装的一些应用程序,而不是已经分配好了公认端口的常用程序。这些端口在没有被服务器资源占用的时候,可以用用户端动态选用为源端口。 |
查看端口的方法
用“netstat /an”查看端口状态
在Windows 2000/XP中,可以在命令提示符下使用“netstat /an”查 看系统端口状态,可以列出系统正在开放的端口号及其状态.
常被利用的端口
一些端口常常会被黑客利用,还会被一些木马病毒利用,对计算机系统进行攻击,以下是计算机端口的介绍以及防止被黑客攻击的简要办法。
8080端口
端口说明:8080端口同80端口,是被用于WWW代理服务的,可以实现网页浏览,经常在访问某个网站或使用代理服务器的时候,会加上“:8080”端口号。
端口漏洞:8080端口可以被各种病毒程序所利用,比如Brown Orifice(BrO)特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外,RemoConChubo,RingZero木马也可以利用该端口进行攻击。
操作建议:一般我们是使用80端口进行网页浏览的,为了避免病毒的攻击,我们可以关闭该端口。
端口:21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
端口:23
服务:Telnet
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:110
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
端口:111
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
端口:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络
端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口扫描方法
TCP端口扫描可以分为3种类型:
Connect扫描:
这是原理最简单的TCP扫描方式。端口扫描程序调用Connect系统调用,尝试连接目的主机的指定端口。如果成功建立TCP连接,说明两台主机完成一次完整的三次握手过程,该端口处于开启状态;否则,说明该端口处于关闭状态。这种方式的优点是不需要手工构造TCP包。由于TCP协议是保证可靠运行的协议,Connect不会在尝试第一次连接未得到响应就放弃,而是会经过多次尝试后才彻底放弃,因此它的缺点是工作效率比较低。
SYN扫描:
这是当前使用最广泛的TCP扫描方式。端口扫描程序向目的主机的指定端口发送SYN=1的TCP包。如果接收到SYN=1, ACK=1的TCP包,说明该端口处于开启状态;如果接收到RST=1的TCP包,说明该端口处于关闭状态;如果没有接收到任何数据包,并且确定目的主机开启,说明该端口被防火墙等安全设备过滤。由于SYN扫描不完成TCP连接的三次握手过程,因此这种方式称为半开放扫描。这种方式的最大优点是工作效率高,缺点是容易被人侵检测系统发现。
FIN扫描:
这是一种比较隐蔽的TCP扫描方式。端口扫描程序向目的主机的指定端口发送FIN=I的TCP包。如果没有接收到任何数据包,并且确定目的主机开启,说明该端口处于开启状态;如果接收到RST=I的TCP包,说明该端口处于关闭状态。FIN扫描的应用有很大的局限性。不同系统实现网络协议栈的细节不同,FIN扫描只能用于Linux或UNIX系统。如果目的主机使用的是Windows系统,无论端口是否开启都会直接返回RST=1的TCP包。
UDP端口扫描
UDP端口针对基于UDP服务的网络应用。在大多数情况下,如果向未开启的UDP端口发送数据,目的主机都会返回一个端口不可达ICMP包UDP扫描的工作原理:端口扫描程序向目的主机的指定端口发送零字节的UDP包。如果没有接收到任何数据包,并且确定目的主机开启,说明该端口处于开启状态;如果接收到端口不可达的ICMP包,说明该端口处干关闭状态。由于UDP与ICMP协议都是不可靠的协议,没有接收到响应可能是由于数据包没有到达,因此需要对端口进行多次扫描才能确定状态。
