解析端口占用现象 (解析端口占用内存)

一、引言

在计算机和网络技术迅猛发展的今天，端口作为网络通信的重要资源，其管理和优化显得尤为重要。
端口占用现象在日常使用电脑过程中屡见不鲜，对于普通用户和开发者来说，了解端口占用背后的原因以及如何解决这一问题具有重要意义。
本文将详细解析端口占用现象，探究其背后的原因，并提供相应的解决方案。

二、端口占用现象解析

端口占用现象指的是某个端口已经被某个程序或进程占用，其他程序无法使用该端口。
在计算机运行过程中，每个端口都有其特定的作用和功能，一旦端口被占用，就意味着该端口所承担的服务或功能已经被激活并运行。
端口占用可能导致网络连接不稳定、无法启动某些应用程序或服务等问题。

三、端口占用的原因

1. 程序运行：最常见的端口占用原因是某个程序正在使用该端口进行通信或服务。例如，Web服务器通常占用80端口，数据库服务器可能占用1433端口等。
2. 恶意软件：一些恶意软件可能会悄无声息地占用计算机端口，给系统带来安全风险。
3. 系统服务：操作系统中的一些服务默认会占用某些端口，以满足其正常运行的需求。
4. 端口冲突：在虚拟环境或多用户系统中，不同用户或虚拟机可能尝试使用相同的端口，导致端口占用冲突。

四、端口占用的影响

1. 网络连接问题：当端口被占用时，可能导致网络连接不稳定或无法建立连接。
2. 服务启动失败：某些服务在启动时如果发现其默认端口已被占用，可能会导致服务启动失败。
3. 安全风险：恶意软件占用的端口可能导致系统面临安全风险，如被远程攻击或数据泄露。

五、解决方案

针对端口占用现象，我们可以从以下几个方面着手解决：

1. 检查进程：通过系统工具查看哪些程序正在占用特定端口，可以手动结束占用该端口的进程。在Windows系统中，可以使用“资源监视器”或“网络连接”等工具查看端口占用情况；在Linux系统中，可以使用“netstat”或“lsof”等命令查看。
2. 更换端口：如果无法结束占用端口的进程，或者希望避免端口冲突，可以考虑更换服务绑定的端口。对于大多数应用程序和服务来说，可以在配置文件或设置选项中更改端口号。
3. 扫描和清理：定期扫描系统以查找恶意软件或其他可能占用端口的程序，并及时清理。可以使用安全软件或杀毒软件进行扫描和清理。
4. 优化服务配置：对于系统服务占用的端口，可以考虑优化服务配置，调整默认端口或减少不必要的服务以释放端口资源。
5. 合理使用虚拟环境：在虚拟环境或多用户系统中，合理规划端口使用，避免端口冲突。可以通过虚拟机管理工具或网络配置来实现端口的合理分配。

六、总结

端口占用现象是计算机和网络使用过程中常见的问题，了解其原因和影响对于普通用户和开发者都至关重要。
通过检查进程、更换端口、扫描和清理、优化服务配置以及合理使用虚拟环境等方法，我们可以有效解决端口占用问题，确保系统的稳定性和安全性。

高分请人：帮忙看看哪个端口必要开，哪个要关的

比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。 接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol （SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。 这样，关闭了SMTP服务就相当于关闭了对应的端口。 开启端口 如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。 提示：在Windows 98中没有“服务”选项，你可以使用防火墙的规则设置功能来关闭/开启端口。 常见网络端口 21端口 端口说明：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务，FTP服务主要是为了在两台计算机之间实现文件的上传与下载，一台计算机作为FTP客户端，另一台计算机作为FTP服务器，可以采用匿名（anonymous）登录和授权用户名与密码登录两种方式登录FTP服务器。 目前，通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。 另外，还有一个20端口是用于FTP数据传输的默认端口号。 在Windows中可以通过Internet信息服务（IIS）来提供FTP连接和管理，也可以单独安装FTP服务器软件来实现FTP功能，比如常见的FTP Serv-U。 操作建议：因为有的FTP服务器可以通过匿名登录，所以常常会被黑客利用。 另外，21端口还会被一些木马利用，比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。 如果不架设FTP服务器，建议关闭21端口。 23端口 端口说明：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。 同样需要设置客户端和服务器端，开启Telnet服务的客户端就可以登录远程Telnet服务器，采用授权用户名和密码登录。 登录之后，允许用户使用命令提示符窗口进行相应的操作。 在Windows中可以在命令提示符窗口中，键入“Telnet”命令来使用Telnet远程登录。 操作建议：利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。 而且在Windows 2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。 Telnet服务的23端口也是TTS（Tiny Telnet Server）木马的缺省端口。 所以，建议关闭23端口。 25端口 端口说明：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。 比如我们在使用电子邮件客户端程序的时候，在创建账户时会要求输入SMTP服务器地址，该服务器地址默认情况下使用的就是25端口 端口漏洞： 1. 利用25端口，黑客可以寻找SMTP服务器，用来转发废品邮件。 2. 25端口被很多木马程序所开放，比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。 拿WinSpy来说，通过开放25端口，可以监视计算机正在运行的所有窗口和模块。 操作建议：如果不是要架设SMTP邮件服务器，可以将该端口关闭。 53端口 端口说明：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。 通过DNS服务器可以实现域名与IP地址之间的转换，只要记住域名就可以快速访问网站。 端口漏洞：如果开放DNS服务，黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址，再利用53端口突破某些不稳定的防火墙，从而实施攻击。 近日，美国一家公司也公布了10个最易遭黑客攻击的漏洞，其中第一位的就是DNS服务器的BIND漏洞。 操作建议：如果当前的计算机不是用于提供域名解析服务，建议关闭该端口。 67、68端口 端口说明：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。 Bootp服务是一种产生于早期Unix的远程启动协议，我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。 通过Bootp服务可以为局域网中的计算机动态分配IP地址，而不需要每个用户去设置静态IP地址。 端口漏洞：如果开放Bootp服务，常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”（man-in-middle）方式进行攻击。 操作建议：建议关闭该端口。 端口说明：69端口是为TFTP（Trival File Tranfer Protocol，次要文件传输协议）服务开放的，TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。 不过与FTP相比，TFTP不具有复杂的交互存取接口和认证控制，该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。 端口漏洞：很多服务器和Bootp服务一起提供TFTP服务，主要用于从系统下载启动代码。 可是，因为TFTP服务可以在系统中写入文件，而且黑客还可以 79端口 端口说明：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。 比如要显示远程计算机上的user01用户的信息，可以在命令行中键入“finger ”即可。 端口漏洞：一般黑客要攻击对方的计算机，都是通过相应的端口扫描工具来获得相关信息，比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本，获得用户信息，还能探测已知的缓冲区溢出错误。 这样，就容易遭遇到黑客的攻击。 而且，79端口还被Firehotcker木马作为默认的端口。 操作建议：建议关闭该端口。 80端口 端口说明：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。 我们可以通过HTTP地址加“:80”（即常说的“网址”）来访问网站的，比如，因为浏览网页服务默认的端口号是80，所以只要输入网址，不用输入“:80”。 端口漏洞：有些木马程序可以利用80端口来攻击计算机的，比如Executor、RingZero等。 操作建议：为了能正常上网冲浪，我们必须开启80端口。 99端口 端口说明：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。 端口漏洞：虽然“Metagram Relay”服务不常用，可是Hidden Port、NCx99等木马程序会利用该端口，比如在Windows 2000中，NCx99可以把cmd．exe程序绑定到99端口，这样用Telnet就可以连接到服务器，随意添加用户、更改权限。 操作建议：建议关闭该端口。 ★109、110端口 端口说明：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的，目前POP3使用的比较多，许多服务器都同时支持POP2和POP3。 客户端可以使用POP3协议来访问服务端的邮件服务，如今ISP的绝大多数邮件服务器都是使用该协议。 在使用电子邮件客户端程序的时候，会要求输入POP3服务器地址，默认情况下使用的就是110端口 端口漏洞：POP2、POP3在提供邮件接收服务的同时，也出现了不少的漏洞。 单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个，比如WebEasyMail POP3 Server合法用户名信息泄露漏洞，通过该漏洞远程攻击者可以验证用户账户的存在。 另外，110端口也被ProMail trojan等木马程序所利用，通过110端口可以窃取POP账号用户名和密码。 操作建议：如果是执行邮件服务器，可以打开该端口。 ★111端口 端口说明：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。 常见的RPC服务有rpc．mountd、NFS、rpc．statd、rpc．csmd、rpc．ttybd、amd等等。 在Microsoft的Windows中，同样也有RPC服务。 端口漏洞：SUN RPC有一个比较大漏洞，就是在多个RPC服务时xdr＿array函数存在远程缓冲溢出漏洞，通过该漏洞允许攻击者传递超 113端口 端口说明：113端口主要用于Windows的“Authentication Service”（验证服务），一般与网络连接的计算机都运行该服务，主要用于验证TCP连接的用户，通过该服务可以获得连接计算机的信息。 在Windows 2000/2003 Server中，还有专门的IAS组件，通过该组件可以方便远程访问中进行身份验证以及策略管理。 端口漏洞：113端口虽然可以方便身份验证，但是也常常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器，这样会被相应的木马程序所利用，比如基于IRC聊天室控制的木马。 另外，113端口还是Invisible Identd Deamon、Kazimas等木马默认开放的端口。 操作建议：除了经常使用WinGate来共享上网外，那么其他的建议关闭该端口。 1755端口 端口说明：1755端口默认情况下用于“Microsoft Media Server”（微软媒体服务器，简称MMS），该协议是由微软发布的流媒体协议，通过MMS协议可以在Internet上实现Windows Media服务器中流媒体文件的传送与播放。 这些文件包括、等，可以使用Windows Media Player等媒体播放软件来实时播放。 其中，具体来讲，1755端口又可以分为TCP和UDP的MMS协议，分别是MMST和MMSU，一般采用TCP的MMS协议，即MMST。 目前，流媒体和普通下载软件大部分都支持MMS协议。 端口漏洞：目前从微软官方和用户使用MMS协议传输、播放流媒体文件来看，并没有什么特别明显的漏洞，主要一个就是MMS协议与防火墙和NAT（网络地址转换）之间存在的兼容性问题。 操作建议：为了能实时播放、下载到MMS协议的流媒体文件，建议开启该端口。 4000端口 端口说明：4000端口是用于大家经常使用的聊天工具的，再细说就是为客户端开放的端口，服务端使用的端口是8000。 通过4000端口，客户端程序可以向服务器发送信息，实现身份验证、消息转发等，用户之间发送的消息默认情况下都是通过该端口传输的。 4000和8000端口都不属于TCP协议，而是属于UDP协议。 端口漏洞：因为4000端口属于UDP端口，虽然可以直接传送消息，但是也存在着各种漏洞，比如Worm_Witty.A（维迪）蠕虫病毒就是利用4000端口向随机IP发送病毒，并且伪装成ICQ数据包，造成的后果就是向硬盘中写入随机数据。 另外，特洛伊木马病毒也是利用该端口的。 操作建议：为了用聊天，4000大门敞开也无妨。 5554端口 端口说明：在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波（），该病毒可以利用TCP 5554端口开启一个FTP服务，主要被用于病毒的传播。 端口漏洞：在感染“震荡波”病毒后会通过5554端口向其他感染的计算机传送蠕虫病毒，并尝试连接TCP 445端口并发送攻击，中毒的计算机会出现系统反复重启、运行缓慢、无法正常上网等现象，甚至会被黑客利用夺取系统的控制权限。 操作建议：为了防止感染“震荡波”病毒，建议关闭5554端口。 5632端口 端口说明：5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口，分TCP和UDP两种，通过该端口可以实现在本地计算机上控制远程计算机，查看远程计算机屏幕，进行文件传输，实现文件同步传输。 在安装了pcAnwhere被控端计算机启动后，pcAnywhere主控端程序会自动扫描该端口。 端口漏洞：通过5632端口主控端计算机可以控制远程计算机，进行各种操作，可能会被不法分子所利用盗取账号，盗取重要数据，进行各种破坏。 操作建议：为了避免通过5632端口进行扫描并远程控制计算机，建议关闭该端口。 8080端口 端口说明：8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览，经常在访问某个网站或使用代理服务器的时候，会加上“:8080”端口号，比如。 端口漏洞：8080端口可以被各种病毒程序所利用，比如Brown Orifice（BrO）特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。 另外，RemoConChubo，RingZero木马也可以利用该端口进行攻击。 操作建议：一般我们是使用80端口进行网页浏览的，为了避免病毒的攻击，我们可以关闭该端口。 WindowsXP中可以被禁用的服务对照表 服务其实是Win2000/XP/2003中一种特殊的应用程序类型，不过它是在后台运行，所以我们在任务管理器看不到它。 安装WinXP后，通常系统会默认启动许多服务，其中有些服务是普通用户根本用不到的，不但占用系统资源，还有可能被黑客所利用。 查看正在启用的服务项目 以WinXP为例，首先你要使用系统管理员账户或以拥有Administrator权限的用户身份登录，然后在“运行”中输入“”打开命令行窗口，再输入“netstart”回车后，就会显示出系统正在运行的服务 为了更详细地查看各项服务的信息，我们可以在“开始→控制面板→管理工具”中双击“服务”，或者直接在“运行”中输入“”打开服务设置窗口 关闭、禁止与重新启用服务 服务分为三种启动类型: 1.自动:如果一些无用服务被设置为自动，它就会随机器一起启动，这样会延长系统启动时间。 通常与系统有紧密关联的服务才必须设置为自动。 2.手动:只有在需要它的时候，才会被启动。 3.已禁用:表示这种服务将不再启动，即使是在需要它时，也不会被启动，除非修改为上面两种类型。 如果我们要关闭正在运行的服务，只要选中它，然后在右键菜单中选择“停止”即可。 但是下次启动机器时，它还可能自动或手动运行。 如果服务项目确实无用，可以选择禁止服务。 在右键菜单中选择“属性”，然后在“常规→启动类型”列表中选择“已禁用”，这项服务就会被彻底禁用。 如果以后需要重新起用它，只要在此选择“自动”或“手动”即可;也可以通过命令行“netstart�服务名�”来启动，比如“netstartClipbook”。 必须禁止的服务 :允许受权的用户通过NetMeeting在网络上互相访问对方。 这项服务对大多数个人用户并没有多大用处，况且服务的开启还会带来安全问题，因为上网时该服务会把用户名以明文形式发送到连接它的客户端，黑客的嗅探程序很容易就能探测到这些账户信息。 :此服务是为通用的即插即用设备提供支持。 这项服务存在一个安全漏洞，运行此服务的计算机很容易受到攻击。 攻击者只要向某个拥有多台WinXP系统的网络发送一个虚假的UDP包，就可能会造成这些WinXP主机对指定的主机进行攻击(DDoS)。 另外如果向该系统1900端口发送一个UDP包，令“Location”域的地址指向另一系统的chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源(需要安装硬件时需手动开启)。 :俗称信使服务，电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的NetSend和Alerter服务消息，此服务与WindowsMessenger无关。 如果服务停止，Alerter消息不会被传输)。 这是一个危险而讨厌的服务，Messenger服务基本上是用在企业的网络管理上，但是废品邮件和废品广告厂商，也经常利用该服务发布弹出式广告，标题为“信使服务”。 而且这项服务有漏洞，MSBlast和Slammer病毒就是用它来进行快速传播的。 :允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。 如果你不使用WinXP的远程控制功能，可以禁止它。 :使远程用户能修改此计算机上的注册表设置。 注册表可以说是系统的核心内容，一般用户都不建议自行更改，更何况要让别人远程修改，所以这项服务是极其危险的。 :在多用户下为需要协助的应用程序提供管理。 WindowsXP允许在一台电脑上进行多用户之间的快速切换，但是这项功能有个漏洞，当你点击“开始→注销→快速切换”，在传统登录方式下重复输入一个用户名进行登录时，系统会认为是暴力破解，而锁定所有非管理员账户。 如果不经常使用，可以禁止该服务。 或者在“控制面板→用户账户→更改用户登录或注销方式”中取消“使用快速用户切换”。 :允许远程用户登录到此计算机并运行程序，并支持多种TCP/IPTelnet客户，包括基于UNIX和Windows的计算机。 又一个危险的服务，如果启动，远程用户就可以登录、访问本地的程序，甚至可以用它来修改你的ADSLModem等的网络设置。 除非你是网络专业人员或电脑不作为服务器使用，否则一定要禁止它。 :收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。 为了防止被远程计算机搜索数据，坚决禁止它。 :如果此服务被终止，远程协助将不可用。 /IPNetBIOSHelper:NetBIOS在Win9X下就经常有人用它来进行攻击，对于不需要文件和打印共享的用户，此项也可以禁用。 可以禁止的服务 以上十项服务是对安全威胁较大的服务，普通用户一定要禁用它。 另外还有一些普通用户可以按需求禁止的服务: :通知所选用户和计算机有关系统管理级警报。 如果你未连上局域网且不需要管理警报，则可将其禁止。 :本地和远程计算机上文件的索引内容和属性，提供文件快速访问。 这项服务对个人用户没有多大用处。 :为Internet连接共享和Internet连接防火墙提供第三方协议插件的支持。 如果你没有启用Internet连接共享或WindowsXP的内置防火墙，可以禁止该服务。 :管理连接到计算机的不间断电源，没有安装UPS的用户可以禁用。 :将文件加载到内存中以便稍后打印。 如果没装打印机，可以禁用。 :管理计算机对智能卡的读取访问。 基本上用不上，可以禁用。 :启动家庭网络上的upnp设备自动发现。 具有upnp的设备还不多，对于我们来说这个服务是没有用的。 :自动从WindowsUpdate网络更新补丁。 利用WindowsUpdate功能进行升级，速度太慢，建议大家通过多线程下载工具下载补丁到本地硬盘后，再进行升级。 :启用“剪贴板查看器”储存信息并与远程计算机共享。 如果不想与远程计算机进行信息共享，就可以禁止。 -burningComService:用Imapi管理CD录制，虽然WinXP中内置了此功能，但是我们大多会选择专业刻录软件，另外如果没有安装刻录机的话，也可以禁止该服务。 :创建和维护到远程服务的客户端网络连接。 如果服务停止，这些连接都将不可用。 :服务和应用程序在非标准环境下运行时，允许错误报告。 如果你不是专业人员，这个错误报告对你来说根本没用。 再就是如下几种服务对普通用户而言也没有什么作用，大家可以自己决定取舍，如:RoutingandRemoteAccess、NetLogon、NetworkDDE和NetworkDDEDSDM。 还有：以后不要拿出自己的端口来让别人教你怎么做，会被攻击的啊！！OK？？

端口相关知识

（初识端口）在网络应用方面，初学者可以把“端口”理解为计算机通信通道。 可以把计算机比作一栋大楼，而端口就是通往各个方向的门，电脑内的软件和数据就是通过这些门与外界交流。 服务器端口最多可以有个，并且用正整数来编号，而不同的服务采用不同的端口，就像大楼中不同部门的员工进入自己的办公室一样，相互独立，互不干扰。 值得一提的是，根据传输数据模式的不同，端口分为两种，一种是TCP端口，另一种是UDP端口。 TCP方式是指发送信息以后，可以确认信息是否到达，也就是有应答的方式；而UDP方式发送以后就不管了，不去确认信息是否到达。 （程序占用的端口）需要访问网络的程序通常都是通过端口通信的，它们通常都占用不同的端口号，而且许多程序的端口号都是可以设定的。 （端口管理）端口常常是黑客攻击的突破口，黑客们通常会用扫描器对目标主机的端口扫描，以确定那些端口是开放的，而从开放的端口，黑客可以推测目标主机大致提供了哪些服务，进而猜测可能存在的漏洞并进行攻击。 应该如何守住自己的端口，不让它们成为系统的后门呢？你也许认为关闭容易被攻击的端口就行了，其实这是一个误区。 应该关闭所有端口，只开放常用的端口。 下面以windows自带的防火墙为例，给大家说说管理端口的基本方法。 如果有些端口和程序只对内网用户或者特定用户开放，该如何操作呢？选中相关程序，点击编辑按钮，打开编辑对话框，点击“编辑范围”，打开“更改范围对话框”，在此我们可以把访问限制在子网，也可以通过设定IP，向指定的用户开放端口。 除此以外，还能通过“添加端口”按钮开放相关的端口。 端口可分为3大类：1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。 通常这些端口的通讯明确表明了某种服 务的协议。 例如：80端口实际上总是HTTP通讯。 2） 注册端口（Registered Ports）：从1024到。 它们松散地绑定于一些服务。 也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。 例如：许多系统处理动态端口从1024左右开始。 3） 动态和/或私有端口（Dynamic and/or Private Ports）：从到。 理论上，不应为服务分配这些端口。 实际上，机器通常从1024起分配动态端口。 但也有例外：SUN的RPC端口从开始。 本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。 记住：并不存在所谓ICMP端口。 如果你对解读ICMP数据感兴趣，请参看本文的其它部分。 0通常用于分析操作系统。 这一方法能够工作是因为在一些系统中“0”是无效端口，当你试 图使用一种通常的闭合端口连接它时将产生不同的结果。 一种典型的扫描：使用IP地址为 0.0.0.0，设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGIIrix机器。 Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。 Iris机器在发布时含有几个缺省的无密码的帐户，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。 许多管理员安装后忘记删除这些帐户。 因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。 7Echo你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。 常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。 （参见Chargen） 另一种东西是由DoubleClick在词端口建立的TCP连接。 有一种产品叫做Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。 Harvest/squid cache将从3130端口发送UDPecho：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。 ”这将会产生许多这类数据包。 11 sysstat这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。 这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。 这与UNIX系统中“ps”命令的结果相似再说一遍：ICMP没有端口，ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。 UDP版本将会在收到UDP包后回应含有废品字符的包。 TCP连接时，会发送含有废品字符的数据流知道连接关闭。 Hacker利用IP欺骗可以发动DoS攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。 同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。 21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。 这些服务器带有可读写的目录。 Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。 22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。 这一服务有许多弱点。 如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。 （建议在其它端口运行ssh）还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。 它会扫描整个域的ssh主机。 你有时会被使用这一程序的人无意中扫描到。 UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。 5632 （十六进制的0x1600）位交换后是0x0016（使进制的22）。 23 Telnet入侵者在搜索远程登陆UNIX的服务。 大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。 此外使用其它技术，入侵者会找到密码。 25 smtp攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。 入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。 SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。 53 DNSHacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。 因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为UDP源端口。 不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。 Hacker常使用这种方法穿透防火墙。 67和68 Bootp和DHCPUDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。 这些机器在向DHCP服务器请求一个地址分配。 Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。 客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。 这种回应使用广播是因为客户端还不知道可以发送的IP地址。 69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。 但是它们常常错误配置而从系统提供任何文件，如密码文件。 它们也可用于向系统写入文件 79 finger Hacker98 linuxconf 这个程序提供linuxboxen的简单管理。 通过整合的HTTP服务器在98端口提供基于Web界面的服务。 它已发现有许多安全问题。 一些版本setuidroot，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。 此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）109 POP2并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。 在同一个服务器上POP3的漏洞在POP2中同样存在。 110 POP3用于客户端访问服务器端的邮件服务。 POP3服务有许多公认的弱点。 关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。 成功登陆后还有其它缓冲区溢出错误。 111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。 访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。 常 见RPC服务有, NFS, , , , amd等。 入侵者发现了允许的RPC服务将转向提供 服务的特定端口测试漏洞。 记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。 113 Ident auth .这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。 使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。 但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。 通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。 记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。 许多防火墙支持在TCP连接的阻断过程中发回T，着将回停止这一缓慢的连接。 119 NNTP news新闻组传输协议，承载USENET通讯。 当你链接到诸如/. 的地址时通常使用这个端口。 这个端口的连接企图通常是人们在寻找USENET服务器。 多数ISP限制只有他们的客户才能访问他们的新闻组服务器。 打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。 135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。 这与UNIX 111端口的功能很相似。 使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。 远端客户连接到机器时，它们查询end-point mapper找到服务的位置。 同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运 行Exchange Server吗？是什么版本？ 这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。 有一些DoS攻 击直接针对这个端口。 137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息，请仔细阅读文章后面的NetBIOS一节 139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。 这个协议被用于Windows“文件和打印机共享”和SAMBA。 在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999，后来逐渐变少。 2000年又有回升。 一些VBS（IE5 VisualBasicScripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。 143 IMAP和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。 记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。 当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。 Morris蠕虫以后这还是第一次广泛传播的蠕虫。 这一端口还被用于IMAP2，但并不流行。 已有一些报道发现有些0到143端口的攻击源于脚本。 161 SNMP(UDP)入侵者常探测的端口。 SNMP允许远程管理设备。 所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。 许多管理员错误配置将它们暴露于Internet。 Crackers将试图使用缺省的密码“public”“private”访问系统。 他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。 Windows机器常会因为错误配置将HP JetDirect rmote management软件使用SNMP。 HP OBJECT IDENTIFIER将收到SNMP包。 新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。 用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。 162 SNMP trap 可能是由于错误配置 177 xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。 513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。 这些人为Hacker进入他们的系统提供 了很有趣的信息 553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。 CORBA是一种面向对象的RPC（remote procedure call）系统。 Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal. 635 mountd Linux的mountd Bug。 这是人们扫描的一个流行的Bug。 大多数对这个端口的扫描是基于UDP的，但基于TCP 的mountd有所增加（mountd同时运行于两个端口）。 记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口1024 许多人问这个端口是干什么的。 它是动态端口的开始。 许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。 基于这一点分配从端口1024开始。 这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。 为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。 请求的程序越多，动态端口也越多。 操作系统分配的端口将逐渐变大。 再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新端口。 1025 参见1024 1026 参见1024 1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。 理论上它应该只允许内部的通信向外达到Internet。 但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。 或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。 WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。 在加入IRC聊天室时常会看到这种情况。 1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。 1243 Sub-7木马（TCP）参见Subseven部分。 1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口（尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本，如statd,ttdbserver和cmsd）。 如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。 你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Sh*ll 。 连接到600/pcserver也存在这个问题。 2049 NFS NFS程序常运行于这个端口。 通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。 3128 squid 这是Squid HTTP代理服务器的默认端口。 攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。 你也会看到搜索其它代理服务器的端口： 000/8001/8080/8888。 扫描这一端口的另一原因是：用户正在进入聊天室。 其它用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。 请查看5.3节。 5632 pcAnywere你会看到很多这个端口的扫描，这依赖于你所在的位置。 当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。 Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。 一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。 参见拨号扫描。 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。 例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。 因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。 （译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。 ）6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。 这是由TCP7070端口外向控制连接设置 PowWow PowWow 是Tribal Voice的聊天程序。 它允许用户在此端口打开私人聊天的接。 这一程序对于建立连接非常具有“进攻性”。 它会“驻扎”在这一TCP端口等待回应。 这造成类似心跳间隔的连接企图。 如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。 这一协议使用“OPNG”作为其连接企图的前四个字节。 Conducent这是一个外向连接。 这是由于公司内部有人安装了带有Conducent adbot 的共享软件。 Conducent adbot是为共享软件显示广告服务的。 使用这种服务的一种流行的软件是Pkware。 有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载： 机器会不断试图解析DNS名—，即IP地址216.33.210.40 ； 216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。 （译者：不知NetAnts使用的Radiate是否也有这种现象） Sub-7木马(TCP) 参见Subseven部分。 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。 Back Orifice “eliteHacker中读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。 即 3=E, 1=L, 7=T）。 因此许多后门程序运行于这一端口。 其中最有名的是Back Orifice。 曾经一段时间内这是Internet上最常见的扫描。 现在它的流行越来越少，其它的 木马程序越来越流行。 Hack-a-tack 这一端口的UDP通讯通常是由于Hack-a-tack远程访问木马（RAT,Remote Access Trojan）。 这种木马包含内置的端口扫描器，因此任何端口到端口的连 接意味着已经有这种入侵。 （端口是控制连接，端口是文件传输连接） ~ RPC服务 Sun Solaris的RPC服务在这一范围内。 详细的说：早期版本的Solaris（2.5.1之前）将 portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。 ~ traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。 参见traceroute分。 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。 参见~jelson/software/端口1~1024是保留端口，所以它们几乎不会是源端口。 但有一些例外，例如来自NAT机器的连接。 1-5/tcp 动态 FTP 1-5端口意味着sscan脚本 20/tcp 动态 FTP FTP服务器传送文件的端口 53 动态 FTP DNS从这个端口发送UDP回应。 你也可能看见源/目标端口的TCP连接。 123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。 它们也会发送到这个端口的广播。 ~/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。 因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。 以上 动态 FTP 以上的端口可能来自Linux NAT服务器（IP asquerade）

什么是电脑的端口

电脑端口基础知识 端口可分为3大类： 1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。 通常这些端口的通讯明确表明了某种服务的协议。 例如：80端口实际上总是HTTP通讯。 2） 注册端口（Registered Ports）：从1024到。 它们松散地绑定于一些服务。 也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。 例如：许多系统处理动态端口从1024左右开始。 3） 动态和/或私有端口（Dynamic and/or Private Ports）：从到。 理论上，不应为服务分配这些端口。 实际上，机器通常从1024起分配动态端口。 但也有例外：SUN的RPC端口从开始。 本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。 记住：并不存在所谓ICMP端口。 如果你对解读ICMP数据感兴趣，请参看本文的其它部分。 0 通常用于分析操作系统。 这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。 一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGI Irix机器。 Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。 Iris机器在发布时含有几个缺省的无密码的帐户，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。 许多管理员安装后忘记删除这些帐户。 因此Hacker们在Internet上搜索tcpmux并利用这些帐户。 7 Echo 你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。 常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个机器的UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。 （参见Chargen） 另一种东西是由DoubleClick在词端口建立的TCP连接。 有一种产品叫做“Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。 Harvest/squid cache将从3130端口发送UDP echo：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。 ”这将会产生许多这类数据包。 11 sysstat 这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。 这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。 这与UNIX系统中“ps”命令的结果相似 再说一遍：ICMP没有端口，ICMP port 11通常是ICMP type=11 19 chargen 这是一种仅仅发送字符的服务。 UDP版本将会在收到UDP包后回应含有废品字符的包。 TCP连接时，会发送含有废品字符的数据流知道连接关闭。 Hacker利用IP欺骗可以发动DoS攻击。 伪造两个chargen服务器之间的UDP包。 由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。 同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。 21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。 这些服务器带有可读写的目录。 Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。 22 ssh PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。 这一服务有许多弱点。 如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。 （建议在其它端口运行ssh） 还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。 它会扫描整个域的ssh主机。 你有时会被使用这一程序的人无意中扫描到。 UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。 5632（十六进制的0x1600）位交换后是0x0016（使进制的22）。 23 Telnet 入侵者在搜索远程登陆UNIX的服务。 大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。 此外使用其它技术，入侵者会找到密码。 25 smtp 攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。 入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。 SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。 53 DNS Hacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。 因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为UDP源端口。 不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。 Hacker常使用这种方法穿透防火墙。 67和68 Bootp和DHCP UDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。 这些机器在向DHCP服务器请求一个地址分配。 Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。 客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。 这种回应使用广播是因为客户端还不知道可以发送的IP地址。 69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。 但是它们常常错误配置而从系统提供任何文件，如密码文件。 它们也可用于向系统写入文件。 79 finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。 98 linuxconf 这个程序提供linux boxen的简单管理。 通过整合的HTTP服务器在98端口提供基于Web界面的服务。 它已发现有许多安全问题。 一些版本setuid root，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。 此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等） 109 POP2 并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。 在同一个服务器上POP3的漏洞在POP2中同样存在。 110 POP3 用于客户端访问服务器端的邮件服务。 POP3服务有许多公认的弱点。 关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。 成功登陆后还有其它缓冲区溢出错误。 111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。 访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。 常见RPC服务有, NFS, , , , amd等。 入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。 记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。 113 Ident auth 这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。 使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。 但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。 通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。 记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。 许多防火墙支持在TCP连接的阻断过程中发回RST，着将回停止这一缓慢的连接。 119 NNTP news 新闻组传输协议，承载USENET通讯。 当你链接到诸如：news:///. 的地址时通常使用这个端口。 这个端口的连接企图通常是人们在寻找USENET服务器。 多数ISP限制只有他们的客户才能访问他们的新闻组服务器。 打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。 135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。 这与UNIX 111端口的功能很相似。 使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。 远端客户连接到机器时，它们查询end-point mapper找到服务的位置。 同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运行Exchange Server吗？是什么版本？ 这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。 有一些DoS攻击直接针对这个端口。 137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息，请仔细阅读文章后面的NetBIOS一节 139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。 这个协议被用于Windows“文件和打印机共享”和SAMBA。 在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999，后来逐渐变少。 2000年又有回升。 一些VBS（IE5 VisualBasic Scripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。 143 IMAP 和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。 记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。 当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。 Morris蠕虫以后这还是第一次广泛传播的蠕虫。 这一端口还被用于IMAP2，但并不流行。 已有一些报道发现有些0到143端口的攻击源于脚本。 161 SNMP(UDP) 入侵者常探测的端口。 SNMP允许远程管理设备。 所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。 许多管理员错误配置将它们暴露于Internet。 Crackers将试图使用缺省的密码“public”“private”访问系统。 他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。 Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。 HP OBJECT IDENTIFIER将收到SNMP包。 新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。 162 SNMP trap 可能是由于错误配置 177 xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。 513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。 这些人为Hacker进入他们的系统提供了很有趣的信息。 553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。 CORBA是一种面向对象的RPC（remote procedure call）系统。 Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口 一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal. 635 mountd Linux的mountd Bug。 这是人们扫描的一个流行的Bug。 大多数对这个端口的扫描是基于UDP的，但基于TCP的mountd有所增加（mountd同时运行于两个端口）。 记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口。 1024 许多人问这个端口是干什么的。 它是动态端口的开始。 许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。 基于这一点分配从端口1024开始。 这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。 为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。 请求的程序越多，动态端口也越多。 操作系统分配的端口将逐渐变大。 再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新端口。 ?ersion 0.4.1, June 20, 2000Copyright 1998-2000 by Robert Graham (. All rights reserved. This document may only be reproduced (whole or in part) for non-commercial purposes. All reproductions must contain this copyright notice and must not be altered, except by permission of the author. 1025 参见1024 1026 参见1024 1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。 理论上它应该只允许内部的通信向外达到Internet。 但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。 或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。 WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。 在加入IRC聊天室时常会看到这种情况。 1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。 1243 Sub-7木马（TCP） 参见Subseven部分。 1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口（尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本，如statd, ttdbserver和cmsd）。 如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。 你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Sh*ll 。 连接到600/pcserver也存在这个问题。 2049 NFS NFS程序常运行于这个端口。 通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS 杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。 3128 squid 这是Squid HTTP代理服务器的默认端口。 攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。 你也会看到搜索其它代理服务器的端口：8000/8001/8080/8888。 扫描这一端口的另一原因是：用户正在进入聊天室。 其它用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。 请查看5.3节。 5632 pcAnywere 你会看到很多这个端口的扫描，这依赖于你所在的位置。 当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。 Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。 一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。 参见拨号扫描。 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。 例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。 因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。 （译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。 ） 6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。 这是由TCP7070端口外向控制连接设置的。 PowWow PowWow 是Tribal Voice的聊天程序。 它允许用户在此端口打开私人聊天的连接。 这一程序对于建立连接非常具有“进攻性”。 它会“驻扎”在这一TCP端口等待回应。 这造成类似心跳间隔的连接企图。 如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。 这一协议使用“OPNG”作为其连接企图的前四个字节。 Conducent 这是一个外向连接。 这是由于公司内部有人安装了带有Conducent adbot 的共享软件。 Conducent adbot是为共享软件显示广告服务的。 使用这种服务的一种流行的软件是Pkware。 有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载： 机器会不断试图解析DNS名—，即IP地址216.33.210.40 ；216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。 （译者：不知NetAnts使用的Radiate是否也有这种现象） Sub-7木马(TCP) 参见Subseven部分。 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。 Back Orifice “elite” Hacker中读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。 即3=E, 1=L, 7=T）。 因此许多后门程序运行于这一端口。 其中最有名的是Back Orifice。 曾经一段时间内这是Internet上最常见的扫描。 现在它的流行越来越少，其它的木马程序越来越流行。 Hack-a-tack 这一端口的UDP通讯通常是由于Hack-a-tack远程访问木马（RAT, Remote Access Trojan）。 这种木马包含内置的端口扫描器，因此任何端口到端口的连接意味着已经有这种入侵。 （端口是控制连接，端口是文件传输连接） ~ RPC服务 Sun Solaris的RPC服务在这一范围内。 详细的说：早期版本的Solaris（2.5.1之前）将portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。 ~ traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。 参见traceroute部分。 Inoculan 早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。 参见~jelson/software/(二） 下面的这些源端口意味着什么？ 端口1~1024是保留端口，所以它们几乎不会是源端口。 但有一些例外，例如来自NAT机器的连接。 参见1.9。 常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务 描述 1-5/tcp 动态 FTP 1-5端口意味着sscan脚本 20/tcp 动态 FTP FTP服务器传送文件的端口 53 动态 FTP DNS从这个端口发送UDP回应。 你也可能看见源/目标端口的TCP连接。 123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。 它们也会发送到这个端口的广播。 ~/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。 因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。 以上 动态 FTP 以上的端口可能来自Linux NAT服务器（IP Masquerade）Anndoo