什么是内部端口和外部端口?
总结
什么是端口?
三港分类
四个端口在入侵中的作用
五种常见端口介绍
六端口相关工具
7.保护好自己的港口。
八句结束语
总结
我早就想写一篇关于端口的教程,今天终于付诸实践了。其实网上有很多关于端口的教程,但是我没见过有一本真正告诉你什么是端口的(可能我真的没见过)。如果你看了很多关于端口的教程,那么告诉我什么是端口。呵呵,可能你一时半会答不上来。没关系。跟我来!
什么是端口?
在互联网上,每个主机通过TCP/TP协议发送和接收数据报,每个数据报根据其目的主机的ip地址进行路由。可以看出,向目的主机成功发送数据报没有任何问题。有什么问题?我们知道大多数操作系统都支持多个程序(进程)同时运行,那么目的主机应该将收到的数据报发送给哪个进程呢?显然,这个问题需要解决,所以引入了端口机制。
本地操作系统将把协议端口分配给那些需要它们的进程,每个协议端口由一个正整数标识,如80,139,445等等。目的主机收到数据报后,会根据报文头的目的端口号将数据发送到相应的端口,该端口对应的进程接收数据,等待下一组数据的到来。说到这里,港口这个概念还是显得比较抽象,继续跟着我,不要走开。
端口实际上是队列。操作系统为每个进程分配不同的队列。数据报根据目的端口被推入相应的队列,等待被进程访问。在极其特殊的情况下,这个队列可能会溢出,但是操作系统允许每个进程指定和调整自己的队列大小。
不仅接收数据报的过程需要打开自己的端口,发送数据报的过程也需要打开端口,这样数据报中就会标识出活动端口,这样接收方就可以成功地将数据报返回到这个端口。
三港分类
在互联网上,根据协议类型,端口分为两类:TCP端口和UDP端口。虽然都是用正整数来标识,但这不会造成歧义,比如TCP端口80和UDP端口80,因为数据报会同时指明端口类型。
端口分配方面,端口分为固定端口和动态端口两类(有些教程还把很少使用的高端口分为第三类:私有端口):
固定端口(0-1023):
使用集中管理机制,即服从一个管理组织对端口的分配,该管理组织负责发布这些分配。因为这些端口绑定了一些服务,所以我们会经常扫描这些端口来判断对方是否启动了这些服务,比如TCP的21(ftp)、80(bios)、UDP的7(echo)、69(tftp)等众所周知的端口。
动态端口(1024-49151):
这些端口并不固定在一个服务上,操作系统动态地将这些端口分配给每个进程,同一个进程可能被分配给不同的端口两次。但是,有些应用程序不想使用操作系统分配的动态端口。他们有自己的‘商标’端口,比如oicq客户端的4000端口,特洛伊冰川的7626端口,这些端口都是固定的,很有名。
四个端口在入侵中的作用
有人曾经把服务器比作一栋房子,把端口比作一扇通向不同房间(服务)的门,如果不考虑细节,这个比喻很好。如果一个入侵者想要占据这个房子,必然会破门而入(物理入侵是另外一个词),所以入侵者很重要的一点就是要知道这个房子开了多少扇门,是什么样的门,门后面是什么。
入侵者通常使用扫描仪扫描目标主机的端口,以确定哪些端口是开放的。从开放的端口,入侵者可以知道目标主机提供什么服务,进而猜测可能存在的漏洞。因此,扫描端口可以帮助我们更好地了解目标主机。对于管理员来说,扫描本机开放的端口也是做好安全防范的第一步。
五种常见端口介绍
由于本人知识有限,这里只介绍一些简单的内容。
1)21
这个端口的开放意味着服务器提供FTP服务。入侵者通常会扫描这个端口,判断是否允许匿名登录。如果他们可以找到一个可写的目录,他们就可以上传一些黑客程序进行进一步的入侵。要关闭此端口,您需要关闭FTP服务。
2)23远程登录
打开此端口意味着服务器提供远程登录服务。如果您有管理员的用户名和密码,您可以通过此服务完全控制主机(但您必须首先获得NTLM认证)并在命令行下获得一个shell。许多入侵者喜欢将此服务作为后门打开。要关闭此端口,您需要关闭Telnet服务。
3)25 smtp
这个端口的开放意味着服务器提供SMTP服务。一些不支持身份验证的服务器允许入侵者向任何地方发送邮件。SMTP服务器(尤其是Sendmail)也是最常用的进入系统的方法之一。要关闭此端口,需要关闭SMTP服务。
4)69 TFTP(民主党)
打开此端口意味着服务器提供TFTP服务,允许从服务器下载文件和写入文件。如果管理员配置错误,入侵者甚至可以下载密码文件。很多入侵者通过在自己的机器上运行该服务,将文件传输到目标机器上,从而实现文件传输。要关闭此端口,需要关闭TFTP服务。
5)79指
用于获取用户信息,查询操作系统,检测已知的缓冲区溢出错误,响应从自己机器到其他机器的手指扫描。
6)80 )
8)TCP 139和445
很多人都很关心这两个端口,我来详细介绍一下:
首先,我们来学习一些基础知识:
1 SMB:(服务器消息块)Windows协议族,用于文件打印服务;
2 NBT:(TCP/IP上的NETBIOS)利用137(UDP)138(UDP)139(TCP)端口实现基于TCP/IP协议的NETBios网络互联。
3 SMB基于WindowsNT中的NBT实现,即使用139(TCP)端口;在Windows2000中,除了NBT之外,还可以通过445端口直接实现SMB。
有了这些基本知识,我们就可以进一步讨论访问网络的端口选择:
对于win2000客户端(启动器):
1如果允许NBT连接到服务器,客户端将尝试同时访问端口139和445。如果端口445响应,那么RST数据包将被发送到端口139,以断开与端口455的连接并与之通话。当端口445没有响应时,将使用端口139。如果两个端口都没有响应,
2如果您在NBT被禁止时连接到服务器,客户端将只尝试访问端口445。如果端口445没有响应,会话将失败。
对于win2000服务器:
1如果允许NBT,UDP端口137、138和TCP端口139、445将被监听;
如果NBT被禁止,只有445端口会打开。
我们建立的ipc$ session的端口选择也遵循上述原则。显然,如果远程服务器不侦听端口139或445,ipc$会话就无法建立。那么如何在2000上关闭这两个端口呢?
可以通过禁止NBT来屏蔽端口139。
本地连接-TCP/IT属性-高级- WINS -选择“禁用TCP/IT上的NETBIOS”。
可以通过修改注册表来阻止端口445。
添加一个键值
配置单元:HKEY _本地_机器
Key:系统\控制集\服务\网络\参数
名称:SMBDeviceEnabled
类型:REG_DWORD
值:0
修改后重启机器。
9)3389终端服务
这个端口的开放意味着服务器提供终端服务。如果你拿到了管理员的用户名和密码,就可以通过这个服务完全控制图形界面中的主机,这确实是可取的,但是如果你拿不到密码,找不到输入法漏洞,那就很无奈了。要关闭这个端口,您需要关闭终端服务。
六端口相关工具
1
的确,这不是一个工具,但它是查看您已经打开的端口的最方便的方式。只需在cmd中输入这个命令。如下所示:
c:\ & gt;网络统计数据库
活动连接
原始本地地址外部地址状态
TCP 0.0.0.0:135 0.0.0.0:0侦听
TCP 0.0.0.0:445 0.0.0.0:0监听
TCP 0.0.0.0:1025 0.0.0.0:0侦听
TCP 0.0.0.0:1026 0.0.0.0:0监听
TCP 0.0.0.0:1028 0.0.0.0:0监听
TCP 0.0.0.0:3372 0.0.0.0:0侦听
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1027 *:*
UDP 127 . 0 . 0 . 1:1029 *:*
UDP 127 . 0 . 0 . 1:1030 *:*
这是我不上网的时候机器开的端口。两个端口135和445是固定端口,其他是动态端口。
Fport.exe和mport.exe。
这也是一个在两个命令行下查看本地机器开放端口的小程序。其实和netstat -an差不多,只不过可以用更多的信息显示打开端口的过程。如果你怀疑你的奇怪港口可能是特洛伊马,检查它与他们。
3 activeport.exe(又名aports.exe)
它还用于查看本地机器的开放端口。除了上述两个程序的所有功能外,它还有两个更吸引人的特性:图形界面和关闭端口的能力。这对于新手来说是绝对有用的东西,推荐使用。
4超级扫描3.0
你没听说过它的名字吧?纯端口扫描软件中的1号速度快,可以指定扫描端口。不用说,这是一个绝对必要的工具。
7.保护好自己的港口。
刚接触网络的朋友,一般对自己的端口都很敏感。他们总是害怕自己的电脑开太多端口,更害怕会有后门程序的端口。但是因为对端口不是很熟悉,没有解决方案,所以不敢上网。其实保护自己的端口并没有那么难,只要做到以下几点就可以了:
1检查:经常用命令或软件检查本地开放的端口,看是否有可疑端口;
2.判断:如果对打开的端口不熟悉,应立即查阅端口百科或木马常用端口(网上有很多)等资料,查看其中对你的可疑端口的作用描述,或通过软件查看打开此端口的过程进行判断;
3关闭:如果它是一个特洛伊端口或者数据中没有这个端口的描述,那么这个端口应该关闭。可以用防火墙屏蔽这个端口,也可以用本地连接-TCP/IP-高级-选项-TCP/IP过滤端口,启用过滤机制。
注意:判断的时候一定要慎重,因为一些动态分配的端口也容易引起不必要的怀疑。这种端口通常较低且连续。还有,一些狡猾的后门软件,他们会借用80等一些常用端口进行通信(穿透防火墙),防不胜防,所以不要轻易运行不熟悉的程序是关键。
八句结束语
好的话请回复。
阅读全文|回复(0) |引用通知|编辑
为黑客设置障碍
如何设置读写FSO文本文件的支持?
通用端口对照表-
标签:端口
通用端口对照表
开始-运行-CMD,输入netstat -an并按enter键查看端口。
端口:0
服务:保留
描述:通常用于分析操作系统。这种方法之所以有效,是因为“0”在某些系统中是无效端口,当你试图将其与通常关闭的端口连接时,会产生不同的结果。典型的扫描使用IP地址0.0.0.0,设置ACK位并在以太网层广播。
端口:1
服务:tcpmux
描述:这说明有人在找SGI Irix机。Irix是实现tcpmux的主要提供者,在这个系统中默认情况下是打开的。Irix机在发布时包含了几个默认的无密码账号,比如:IP,客UUCP,NUUCP,DEMOS,TUTOR,DIAG,OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。于是黑客在网上搜索tcpmux,使用这些账号。
端口:7
服务:回声
描述:在搜索Fraggle放大器的时候可以看到很多人发给X.X.X.0和X.X.X.255的信息。
端口:19
服务:字符生成器
描述:这是一个只发送字符的服务。UDP版本会在收到UDP数据包后响应包含垃圾字符的数据包。当TCP连接时,它会发送包含垃圾字符的数据流,直到连接关闭。黑客可以利用IP欺骗发起DoS攻击。伪造两台chargen服务器之间的UDP数据包。同样,Fraggle DoS攻击会向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者会过载以响应这些数据。
端口:21
服务:FTP
描述:FTP服务器打开的端口用于上传和下载。最常见的攻击者是用来寻找打开anonymous的FTP服务器的方法。这些服务器有读写目录。特洛伊木马Doly特洛伊,Fore,隐形FTP,WebEx,WinCrash和银翼杀手打开的端口。
端口:22
服务:Ssh
描述:PcAnywhere建立的TCP和这个端口的连接可能是为了找ssh。这项服务有许多弱点。如果在特定模式下配置,很多使用RSAREF库的版本会有很多漏洞。
端口:23
服务:Telnet
描述:远程登录,入侵者正在搜索远程登录UNIX的服务。大多数情况下,扫描这个端口是为了找到机器运行的操作系统。并且利用其他技术,入侵者也会找到密码。特洛伊微型Telnet服务器打开这个端口。
端口:25
服务:SMTP
描述:SMTP服务器打开的端口用于发送邮件。入侵者正在寻找SMTP服务器来发送他们的垃圾邮件。入侵者的帐户被关闭,他们需要连接到一个高带宽的电子邮件服务器,将简单的信息发送到不同的地址。特洛伊马抗原、电子邮件密码发送器、Haebu Coceda、Shtrilitz Stealth、WinPC和WinSpy都打开此端口。
端口:31
服务:消息认证
描述:特洛伊大师乐园和黑客乐园开放此端口。
端口:42
服务:WINS复制
描述:WINS复制
端口:53
服务:域名服务器(DNS)
描述:对于DNS服务器打开的端口,入侵者可能试图传递TCP,欺骗DNS(UDP)或隐藏其他通信。因此,防火墙通常会过滤或记录该端口。
港口:67
服务:引导协议服务器
描述:发送到广播地址255.255.255.255的大量数据,往往是通过DSL和Cable modem的防火墙看到的。这些机器正在向DHCP服务器请求地址。黑客经常进入它们,分配一个地址,并把自己当作本地路由器来发动大量中间人攻击。客户端将请求配置广播到端口68,服务器将响应请求广播到端口67。此响应使用广播,因为客户端不知道可以发送的IP地址。
港口:69
服务:繁琐的文件传输
描述:很多服务器都是和bootp一起提供这个服务的,可以很方便的从系统下载启动代码。但是由于配置错误,它们经常允许入侵者从系统中窃取任何文件。它们也可以用于系统写文件。
端口:79
服务:手指服务器
描述:入侵者用于获取用户信息,查询操作系统,检测已知的缓冲区溢出错误,响应从自己机器到其他机器的手指扫描。
端口:80
服务:HTTP
描述:用于网页浏览。特洛伊执行者号打开了这个港口。
端口:99
服务:元语法中继
描述:后门程序ncx99打开此端口。
端口:102
服务:消息传输代理(MTA)-TCP/IP上的x.400。
描述:消息传输代理。
端口:109
服务:邮局协议-版本3
描述:POP3服务器打开该端口接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出至少有20个弱点,这意味着入侵者可以在实际登录之前进入系统。成功登录后还有其他缓冲区溢出错误。
端口:110
服务:SUN的RPC服务的所有端口。
描述:常见的RPC服务包括rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等。
端口:113
服务:认证服务
描述:这是一个在许多计算机上运行的协议,用于识别TCP连接的用户。使用此标准服务可以获得许多计算机的信息。但是它可以作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC。通常,如果许多客户通过防火墙访问这些服务,他们会看到许多对此端口的连接请求。请记住,如果您阻止此端口,客户端将会感觉到与防火墙另一侧的电子邮件服务器的连接速度很慢。许多防火墙支持在TCP连接的阻塞过程中发送回RST。这将停止慢速连接。
端口:119
服务:网络新闻传输协议
描述:新闻新闻组传输协议,承载USENET通信。这个端口的连接通常是在人们寻找一个USENET服务器的时候。大多数ISP只允许他们的客户访问他们的新闻组服务器。打开新闻组服务器将允许任何人张贴/阅读、访问受限的新闻组服务器、匿名张贴或发送垃圾邮件。
端口:135
服务:定位服务
描述:Microsoft在此端口上运行DCE RPC端点映射器作为其DCOM服务。这类似于UNIX 111端口的功能。使用DCOM和RPC的服务向计算机上的端点映射器注册它们的位置。当远程客户连接到计算机时,他们会寻找端点映射器找到服务的位置。黑客会扫描计算机的这个端口来查找这台计算机上运行的Exchange Server吗?什么版本?还有一些针对此端口的DOS攻击。
端口:137、138、139
服务:NETBIOS名称服务
注:其中137和138为UDP端口,通过网上邻居传输文件时使用。和端口139:通过该端口进入的连接试图获得NetBIOS/SMB服务。此协议用于windows文件和打印机共享以及SAMBA。WINS Regisrtation也使用它。
端口:143
服务:临时邮件访问协议v2。
描述:和POP3的安全问题一样,很多IMAP服务器都存在缓冲区溢出漏洞。请记住:LINUX蠕虫(admv0rm)将通过此端口传播,因此对此端口的许多扫描都来自不知情的受感染用户。当REDHAT在其LINUX发行版中默认允许IMAP时,这些漏洞变得流行起来。此端口也用于IMAP2,但并不流行。
端口:161
服务:SNMP
描述:SNMP允许远程管理设备。所有配置和操作信息都存储在数据库中,可以通过SNMP获得。很多管理员的错误配置都会在网上曝光。Cackers将尝试使用默认密码public和private访问系统。他们会尝试所有可能的组合。SNMP数据包可能被错误地指向用户的网络。
端口:177
服务:X显示管理器控制协议
描述:很多入侵者通过它访问X-windows控制台,它需要同时打开6000个端口。
端口:389
服务:LDAP、ILS
描述:轻型目录访问协议和NetMeeting Internet定位器服务器* * *使用此端口。
端口:443
服务:Https
描述:网页浏览端口,另一个可以通过安全端口提供加密和传输的HTTP。
端口:456
服务:[空]
特洛伊黑客天堂开放该端口。
端口:513
服务:登录、远程登录
描述:它是来自使用电缆调制解调器或DSL登录到子网的UNIX计算机的广播。这些人为入侵者进入他们的系统提供信息。
端口:544
服务:[空]
描述:kerberos kshell
端口:548
服务:Macintosh,文件服务(AFP/IP)
描述:麦金塔,文件服务。
端口:553
服务:CORBA IIOP (UDP)
描述:使用电缆调制解调器、DSL或VLAN来查看此端口的广播。CORBA是一个面向对象的RPC系统。入侵者可以利用这些信息进入系统。
端口:555
服务:DSF
描述:特洛伊马PhAse1.0,隐形间谍和IniKiller打开这个端口。
端口:568
服务:会员DPA
说明:成员资格DPA。
端口:569
服务:会员MSN
描述:会员MSN。
端口:635
服务:安装d
描述:Linux的mountd Bug。这是扫描中的一个常见错误。这个端口的扫描大部分是基于UDP的,但是基于TCP的mountd增加了(mountd同时运行在两个端口上)。记住mountd可以运行在任何端口上(是哪个端口,需要在端口111上进行portmap查询),但是Linux的默认端口是635,就像NFS一般运行在端口2049上一样。
端口:636
服务:LDAP
描述:SSL(安全套接字层)
端口:666
服务:Doom Id软件
描述:特洛伊攻击FTP和Satanz后门开放此端口。
端口:993
服务:IMAP
描述:SSL(安全套接字层)
端口:1001,1011
服务:[空]
描述:特洛伊消音器和WebEx开放端口1001。特洛伊开放口岸1011。
端口:1024
服务:保留
描述:它是动态端口的开始。很多程序不在乎用哪个端口连接网络。他们请求系统为他们分配下一个空闲端口。基于此,分配从端口1024开始。这意味着第一个向系统发送请求的人将被分配到端口1024。你可以重启机器,打开Telnet,然后打开一个窗口运行natstat -a,你会看到Telnet被分配了端口1024。而SQL会话也使用这个端口和5000端口。
端口:1025,1033
服务:1025:网络黑杰克1033:[空]
描述:特洛伊netspy开放这两个端口。
端口:1080
服务:袜子
描述:该协议以隧道方式穿越防火墙,允许防火墙后的人通过一个IP地址访问互联网。理论上,它应该只允许内部通信到达互联网。但由于配置错误,会让防火墙外的攻击穿过防火墙。WinGate经常犯这种错误,在加入IRC聊天室的时候经常看到。
端口:1170
服务:[空]
描述:特洛伊流音频特洛伊,Psyber流服务器和语音打开此端口。
端口:1234,1243,6711,6776
服务:[空]
描述:特洛伊和奥特斯特洛伊开放端口1234和6776。特洛伊Subeven1.0/1.9打开端口1243、6711和6776。
端口:1245
服务:[空]
描述:特洛伊·沃杜打开了这个港口。
端口:1433
服务:SQL
描述:Microsoft SQL服务开放端口。
端口:1492
服务:石材-设计-1
描述:特洛伊FTP99CMP打开这个端口。
端口:1500
服务:RPC客户端固定端口会话查询。
描述:RPC客户端固定端口会话查询
端口:1503
服务:NetMeeting T.120
描述:网络会议T.120
端口:1524
服务:入口
描述:很多攻击脚本都会在该端口安装后门外壳,尤其是针对SUN系统中Sendmail和RPC服务的漏洞。如果您在安装防火墙后看到有人试图连接此端口,很可能是上述原因。您可以尝试Telnet到用户计算机上的这个端口,看看它是否会给您一个SHELL。连接到600/pcserver也有这个问题。
端口:1600
服务:issd
描述:特洛伊·什夫卡-布尔卡打开这个港口。
端口:1720
服务:NetMeeting
描述:NetMeeting H.233呼叫设置。
端口:1731
服务:NetMeeting音频呼叫控制
描述:NetMeeting音频呼叫控制。
端口:1807
服务:[空]
描述:特洛伊·斯皮森德打开这个端口。
端口:1981
服务:[空]
描述:特洛伊冲击打开这个港口。
端口:1999
服务:思科识别端口
描述:特洛伊后门开放该端口。
港口:2000年
服务:[空]
描述:特洛伊女友1.3和千禧1.0打开此端口。
端口:2001
服务:[空]
描述:特洛伊千禧1.0和特洛伊奶牛开放此端口。
港口:2023
服务:xinuexpansion 4
描述:特洛伊通行证裂土器打开这个港口。
港口:2049
服务:NFS
描述:NFS程序经常在这个端口上运行。您通常需要访问端口映射器,以找出该服务运行在哪个端口上。
端口:2115
服务:[空]
描述:特洛伊臭虫打开这个端口。
端口:2140,3150
服务:[空]
描述:特洛伊深喉1.0/3.0开启此端口。
港口:2500
服务:使用固定端口会话复制的RPC客户端。
描述:应用固定端口会话复制的RPC客户端。
端口:2583
服务:[空]
描述:特洛伊Wincrash 2.0打开这个端口。
端口:2801
服务:[空]
描述:特洛伊·菲尼亚斯·普克打开了这个港口。
端口:3024、4092
服务:[空]
描述:特洛伊·温彻斯特打开这个端口。
端口:3128
服务:鱿鱼
描述:这是squid HTTP代理服务器的默认端口。攻击者扫描该端口以搜索代理服务器并匿名访问互联网。您还会看到端口8000、8001、8080和8888正在搜索其他代理服务器。扫描该端口的另一个原因是用户正在进入一个聊天室。其他用户也会检查此端口,以确定用户的机器是否支持代理。
端口:3129
服务:[空]
描述:特洛伊大师乐园开放此港口。
端口:3150
服务:[空]
描述:特洛伊入侵者打开了这个港口。
端口:3210,4321
服务:[空]
描述:特洛伊校车开通此端口。
端口:3333
服务:详细说明
描述:特洛伊马普罗西亚克开放这个港口。
端口:3389
服务:超级终端
描述:WINDOWS 2000终端打开此端口。
端口:3700
服务:[空]
描述:特洛伊毁灭之门打开了这个港口。
端口:3996、4060
服务:[空]
描述:特洛伊远程任何东西打开这个端口。
端口:4000
服务:QQ客户端
说明:腾讯QQ客户端开放该端口。
端口:4092
服务:[空]
描述:特洛伊·温彻斯特打开这个端口。
端口:4590
服务:[空]
描述:特洛伊ICQTrojan开放这个港口。
端口:5000,5001,5321,50505
服务:[空]
描述:特洛伊blazer5开放5000个端口。特洛伊马插座打开