计算机的端口是什么？

1)知名端口:从0到1023，与一些服务紧密绑定。通常，这些端口之间的通信清楚地表明某种服务协议。比如80口其实一直都是h++p通讯。

2)注册端口:从1024到49151。它们松散地绑定到一些服务。换句话说，有许多服务绑定到这些端口，并且这些端口还用于许多其他目的。例如，许多系统处理大约1024的动态端口。

3)动态和/或专用端口:从49152到65535。理论上，这些端口不应该分配给服务。实际上，机器通常从1024分配动态端口。但是也有例外:SUN的RPC端口从32768开始。

本节描述防火墙记录中TCP/UDP端口扫描的信息。

记住:没有ICMP端口这种东西。如果您对解释ICMP数据感兴趣，请参考本文的其他部分。

0通常用于分析系统。这个方之所以能起作用，是因为“0”在某些系统中是无效端口，当你试图用一个普通的封闭端口连接它时，会产生不同的结果。典型扫描:使用IP地址0.0.0.0，设置ACK位并在以太网层广播。

1 tcpmux这说明有人在找SGIIrix机。Irix是实现tcpmux的主要提供者，在本系统中默认开启。Iris machine在发布时包含了几个默认的无密码账号，如LP、Guest、UUCP、NuUCP、Demos、Tutor、Diag、EzSetup、OutofBox、

和4d礼品。许多管理员在安装后忘记删除这些帐户。于是黑客在网上搜索tcpmux，使用这些账号。

7Echo你可以看到很多人在搜索Fraggle功放时发送到x.x.x.0和x.x.x.255的消息。一种常见的DoS攻击是echo-loop，攻击者伪造从一台机器发送到另一台机器的UDP数据包，两台机器以最快的方式响应这些数据包。(见Chargen)另一件事是双击在word端口建立的TCP连接。有个产品叫共鸣全球调度，和DNS的这个端口连接，确定最近的路由。Harvest/squid缓存将从端口3130发送UDPecho:“如果打开了缓存的source_ping on选项，它将向原始主机的UDP echo端口发送一个命中回复。”这将生成许多这样的数据包。

11 sysstat这是一个UNIX服务，列出了机器上所有正在运行的进程以及启动它们的原因。这就为入侵者提供了大量的信息，威胁到机器的安全，比如暴露一些已知的弱点或者账号。这类似于UNIX系统中“ps”命令的结果。再说一遍:ICMP没有端口，ICMP端口11通常是ICMP类型= 1119收费。这是一个只发送字符的服务。UDP版本会在收到UDP数据包后响应包含垃圾字符的数据包。TCP公司

连接后，包含垃圾字符的数据流将被发送，直到连接关闭。黑客可以利用IP欺骗发起DoS攻击，在两台chargen服务器之间伪造UDP。因为服务器试图响应两个服务器之间的无限往返数据通信，所以一个chargen和一个echo会使服务器过载。同样，fraggle DoS攻击会向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者会使其过载以响应这些数据。

21 ftp最常见的攻击者就是用来寻找打开“匿名者”的ftp服务器的方法。这些服务器有读写目录。黑客或攻击者利用这些服务器作为节点来传输warez(专有程序)和pr0n(故意拼错单词以避免被搜索引擎分类)。

22 sshPcAnywhere可能会在TCP和此端口之间建立连接来查找ssh。这项服务有许多弱点。如果以特定模式配置，很多使用RSAREF库的版本都有很多漏洞。(建议在其他端口上运行ssh)还应该注意，ssh工具包附带了一个名为ake-ssh-known-hosts的程序。它扫描整个域中的ssh主机。你有时会被使用这个程序的人无意中扫描。另一端连接到端口5632的UDP(不是TCP)表示有扫描搜索pcAnywhere。位交换后，5632(十六进制的0x1600)是0x0016(十进制的22)。

Telnet入侵者正在搜索远程登录UNIX的服务。在大多数情况下，入侵者扫描该端口是为了找到机器的操作系统。此外，利用其他技术，入侵者会找到密码。

SMTP攻击者(垃圾邮件制造者)寻找SMTP服务器来传递他们的垃圾邮件。入侵者的账户总是关闭的，他们需要拨号连接到一个高带宽的电子邮件服务器，向不同的地址发送简单的信息。SMTP服务器(尤其是sendmail)是最常用的进入系统的一方，因为它们必须完全暴露在互联网中，并且邮件的路由很复杂(暴露+复杂=弱点)。

53 DNSHacker或黑客可能试图通过区域(TCP)，欺骗DNS(UDP)或隐藏其他通信。因此，防火墙通常会过滤或记录端口53。需要注意的是，您通常会将端口53视为UDP源端口。不稳定的防火墙通常允许这种通信，并认为这是对DNS查询的回复。黑客经常使用这种方法穿透防火墙。

67和68上的Bootp/DHCP Bootp和DHCPUDP:发送到广播地址255.255.255.255的大量数据经常可以通过DSL和cable-modem的防火墙看到。这些机器正在向DHCP服务器请求地址分配。黑客经常进入它们，分配一个地址，并把自己当作本地路由器来发动大量“中间人”攻击。客户端向68个端口广播请求配置(BOOTP)，服务器向67个端口广播响应请求(bootpc)。因为客户端不知道可以发送的IP地址，所以会广播此响应。69 TFTP(UDP)很多服务器都是和bootp一起提供这个服务的，这样可以很容易的从系统下载启动代码。但是它们通常配置错误，并提供系统中的任何文件，如密码文件。它们也可以用于向系统写入文件。

79 finger Hacker用于获取用户信息，查询操作系统，检测已知缓冲区溢出错误，响应从自己机器到其他机器的手指扫描。

98 linuxconf这个程序提供了对linuxboxen的简单管理。集成的h++p服务器在98个端口提供基于Web接口的服务。它发现了许多安全问题。某些版本的setuidroot信任LAN，在/tmp下创建Internet可访问的文件，LANG环境变量有缓冲区溢出。此外，因为它包含整合的服务器，许多典型的h++p漏洞可以

可以存在(缓冲区溢出、目录遍历等。)109 POP2没有POP3出名，但是很多服务器同时提供两种服务(向后兼容)。在同一台服务器上，POP3的漏洞也存在于POP2中。

110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用用户名和密码交换缓冲区溢出至少有20个弱点(这意味着黑客可以在实际登录之前进入系统)。成功登录后还有其他缓冲区溢出错误。

111 Sun RPC portmap RPC bind Sun RPC portmapper/RPC bind .访问端口映射程序是扫描系统以查看允许哪些RPC服务的最早步骤。常见的RPC服务包括:PC。NFS蒙特。statd，RPC。csmd，RPC。ttybd，AMD等。入侵者发现了一个特定的端口测试漏洞，其中允许的RPC服务将被转移到提供的服务。记得记录下

守护进程，入侵检测系统，或嗅探器，你可以找出什么程序入侵者正在使用访问，以找出发生了什么。

113身份验证。这是一种在许多机器上运行的协议，用于对TCP连接的用户进行身份验证。使用这个标准服务，您可以获得许多机器的信息(将被黑客使用)。但它可以作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC。通常，如果许多客户通过防火墙访问这些服务，您会看到许多对此端口的连接请求。请记住，如果您阻止此端口，客户端将会感觉到与防火墙另一侧的电子邮件服务器的连接速度很慢。很多防火墙都支持在TCP连接的阻塞过程中发回T，企图阻止这种缓慢的连接。

119 NNTP新闻新闻组传输协议，承载USENET通信。当您链接到news:p.security.firewalls/等地址时，通常会使用此端口。这个端口的连接尝试通常是人们在寻找一个USENET服务器。大多数ISP只允许他们的客户访问他们新的新闻组服务器。打开新闻组服务器将允许任何人张贴/阅读、访问受限的新闻组服务器、匿名张贴或发送垃圾邮件。

135 oc-servms RPC端点映射器Microsoft在此端口上运行DCE RPC端点映射器作为其DCOM服务。这类似于UNIX 111端口的功能。使用DCOM和/或RPC的服务向机器上的端点映射器注册它们的位置。遥远

当最终客户连接到机器时，他们会查询端点映射器找到服务的位置。同样，Hacker扫描机器的这个端口，以查找诸如以下内容:Exchange Server是否正在这台机器上运行？是什么版本？此端口不仅可用于查询服务(如使用epdump)，还可用于直接攻击。有一些针对此端口的DoS攻击。

137 NetBIOS名称服务nbtstat (UDP)这是防火墙管理员最常见的信息。请仔细阅读文章后面的NetBIOS部分139 NetBIOS文件和打印分享。

通过此端口进入的连接尝试获取NetBIOS/SMB服务。此协议用于Windows“文件和打印机共享”和SAMBA。在网上共享自己的硬盘可能是最常见的问题。该端口的大量目标从1999开始，然后逐渐减少。它在2000年再次回升。一些VBS(IE5 VisualBasicScripting)开始将自己复制到这个端口，试图在这个端口进行繁殖。

143 IMAP和上面POP3的安全问题一样。很多IMAP服务器都有缓冲区溢出漏洞，在登录过程中进入。请记住:Linux蠕虫(admw0rm)将通过此端口传播，因此对此端口的许多扫描来自不知情的受感染用户。当RadHat在其Linux发行版中默认允许IMAP时，这些漏洞变得流行起来。这是自莫里斯蠕虫以来第一次广泛传播的蠕虫。此端口也用于IMAP2，但并不流行。一些报告发现，对端口0到143的一些攻击源自脚本。

SNMP (UDP)入侵者经常检测到的161端口。SNMP允许远程管理设备。所有配置和操作信息都存储在数据库中，可以通过SNMP客户端获得。许多管理员错误地配置了它们，使它们暴露在互联网上。黑客将尝试使用默认密码“public”和“private”访问系统。他们会尝试所有可能的组合。SNMP数据包可能被错误地定向到您的网络。由于配置错误，Windows机器通常使用SNMP作为HP JetDirect远程管理软件。HP对象标识符将接收SNMP数据包。新版Win98使用SNMP解析域名，你会看到这个包是cablemodem (DSL)在子网内查询sysName等字母。

休息。

162 SNMP陷阱可能是由于配置错误造成的。

177 xdmcp很多黑客通过它访问X-Windows控制台，它也需要开放6000个端口。

513 rwho可能是来自使用电缆调制解调器或DSL登录的子网中的UNIX计算机的广播。这些人为黑客提供了有趣的信息来访问他们的系统。

553 CORBA IIOP (UDP)如果你使用电缆调制解调器或DSL VLAN，你会看到这个端口的广播。CORBA是一个面向对象的RPC(远程过程调用)系统。黑客将利用这些信息进入系统。600 Pcserver后门，请检查端口1524。有些玩script的孩子，认为自己通过修改ingreslock和pcserver文件，已经彻底打破了系统——艾伦·j·罗森塔尔。

635 mountd Linux的Mountd Bug。这是人们扫描的一个流行的Bug。这个端口的扫描大部分是基于UDP的，但是基于TCP的mountd增加了(mountd同时运行在两个端口上)。记住，mountd可以在任何端口上运行(在哪个端口上，需要在端口111进行portmap查询)，但是Linux默认端口是635，就像NFS一般在2049运行一样。

1024很多人问这个端口是做什么的。这是动态端口的开始。很多程序不在乎用哪个端口连接网络。他们请求操作系统给他们分配“下一个空闲端口”。基于此，分配从端口1024开始。这意味着向系统请求动态端口分配的第一个程序将被分配端口1024。要验证这一点，您可以重启机器，打开Telnet，然后打开一个窗口运行“natstat -a”，您将看到Telnet被分配了端口1024。请求的程序越多，动态端口就越多。*系统分配的端口会逐渐变大。同样，当你浏览网页时，使用“netstat”来查看它们。每个网页都需要一个新的端口。？版本0.4.1，2000年6月20日h++ p://www . robertgraham . com/pubs/firewall-seen . html版权1998-2000作者:Robert Graham

(mailto:firewall-seen1@robertgraham.com。

版权所有本文档只能复制(全部或部分)用于非商业目的。所有复制品必须

包含本版权声明，不得修改，除非

作者的许可。

1025见1024。

1026见1024。

1080 SOCKS是一种管道穿越防火墙的协议，允许防火墙后面的很多人通过一个IP地址访问互联网。理论上，它应该只

允许内部通信到达互联网。但是，由于错误的配置，它将允许黑客/破解者在防火墙之外进行攻击

穿过防火墙。或者干脆在网上回复电脑，来掩盖他们对你的直接攻击。

WinGate是常见的Windows个人防火墙，经常会出现上述错误配置。加入IRC聊天室经常会看到这种情况。

1114 SQL系统本身很少扫描这个端口，但它往往是sscan脚本的一部分。

1243 Sub-7特洛伊(TCP)请参见第七小节。

1524 ingreslock后门很多攻击脚本都会在这个端口安装一个后门Sh*ll(尤其是那些针对Sun系统中Sendmail和RPC服务的漏洞的脚本，比如statd、ttdbserver和cmsd)。如果您刚刚安装了您的防火墙，并且您看到在这个端口上的连接尝试，它可能是上述原因。您可以尝试Telnet到您机器上的这个端口，看看它是否会给出一个Sh*ll。连接到600/pcserver也有这个问题。

2049 NFS NFS程序经常在这个端口上运行。通常情况下，您需要访问端口映射器，以找出该服务正在哪个端口上运行，但大多数情况下，安装后，NFS将失败。因此，Acker/Cracker可以关闭端口映射器并直接测试该端口。

3128 squid这是Squid h++p代理服务器的默认端口。攻击者扫描该端口以搜索代理服务器并匿名访问互联网。您还会看到用于搜索其他代理服务器的端口:

000/8001/8080/8888。扫描该端口的另一个原因是用户正在进入聊天室。其他用户(或服务器本身)也会检查这个端口，以确定用户的机器是否支持代理。请参考第5.3节。

5632 pcAnywere根据您所在的位置，您将看到对此端口的多次扫描。当用户打开pcAnywere时，它会自动扫描局域网C类以找到可能的代理。骇客/骇客也会寻找开启这项服务的机器，所以您应该检查这项扫描的来源位址。一些搜索pcAnywere的扫描通常包含端口22上的UDP数据包。请参见拨号扫描。

6776 Sub-7神器该端口与Sub-7主端口分离，用于传输数据。例如，当控制器通过电话线控制另一台机器，而被控制的机器挂断时，您会看到这种情况。因此，当另一个人使用此IP拨入时，他们将会看到在此端口的持续连接尝试。(译者:即使你看到防火墙报告这个端口的连接尝试，也不代表你已经被Sub-7控制了。)

6970 RealAudio客户端将在6970-7170从服务器的UDP端口接收音频数据流。这是TCP7070端口的传出控制连接设置。13223 PowWow PowWow是部落之声的聊天程序。它允许用户在此端口打开私人聊天连接。这个过程对于建立连接来说是非常“无礼”的。它将“驻扎”在这个TCP端口上，等待响应。这将导致类似于心跳间隔的连接尝试。如果你是拨号用户，从另一个聊天中“继承”了IP地址，就会出现这种情况:似乎有很多不同的人在测试这个端口。该协议使用“OPNG”作为其连接尝试的前四个字节。

17027导体这是一个传出连接。这是因为公司内部有人安装了有助于“adbot”的* * *享受软件。

有助于* * *享受软件展示广告服务。使用这项服务的一个流行软件是Pkware。有些人试图阻止这种出站连接没有任何问题，但阻止IP地址本身会导致adbots每秒钟继续尝试连接多次，从而导致连接过载:

机器会不断尝试解析DNS name-ads.conducent.com，即IP地址为216 . 33 . 26438+00.40；

216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知道NetAnts用的Radiate是否也有这种现象)

27374子7特洛伊(TCP)请参见第七小节。

30100网络层特洛伊(TCP)通常，会扫描此端口以查找网络层特洛伊。

31337背孔口“精英黑客”31337读作“精英”/ei 'li: t/(译者:*语，译为骨干，精华。即3=E，1=L，7=T)。如此多的后门程序在这个端口上运行。其中最著名的是背孔。曾经，这是互联网上最常见的扫描。现在它的受欢迎程度越来越低，而其他特洛伊节目却越来越受欢迎。

端口31789 Hack-a-tack上的UDP通信通常是由于“Hack-a-tack”远程访问特洛伊造成的。这个特洛伊包含一个内置的31790端口扫描器，所以任何从31789端口到317890端口的连接都意味着这个入侵已经发生。(端口31789为控制连接，端口317890为文件传输连接)。

32770~32900 RPC服务Sun Solaris的RPC服务就在这个范围内。详细来说，早期版本的Solaris(2 . 5 . 1之前)将端口映射器置于此范围内，即使低端端口被防火墙阻止，黑客/破解者也可以访问此端口。对该范围内的端口进行扫描，以查找可能受到攻击的端口映射程序或已知的RPC服务。

33434~33600 traceroute如果在此端口范围内(且仅在此范围内)看到UDP数据包，可能是由于traceroute。请参见traceroute。

41508 Inoculan的早期版本会在子网中产生大量的UDP通信来识别对方。看见

h++ p://www . circle mud . org/~ jelson/software/UDP send . html

h++ P://www . CCD . bnl . gov/NSS/tips/inoculan/index . html端口1~1024是保留端口，所以几乎不是源端口。也有一些例外，比如来自NAT机器的连接。我们经常看到端口后面是1024，这是系统分配给应用程序的“动态端口”，这些应用程序不关心要连接哪个端口。服务器客户端服务描述

1-5/tcp动态FTP 1-5端口表示sscan脚本。

20/tcp动态FTP FTP服务器传输文件端口。

动态FTP DNS从该端口发送UDP响应。您还可以看到源/目的端口的TCP连接。

123运行动态S/NTP简单网络时间协议(S/NTP)服务器的端口。他们还会向该端口发送广播。

27910~27961/udp动态雷神之锤(Quake)雷神之锤或雷神之锤引擎驱动的游戏在此端口运行其服务器。所以来自这个端口范围的UDP包或者发送到这个端口范围的UDP包通常都是游戏。

61000动态FTP 61000以上的端口可能来自Linux NAT服务器。

港口大全(中文)

1 tcpmux TCP端口服务复用器传输控制协议端口服务复用器

2压缩机管理实用程序压缩机管理实用程序

3压缩网络压缩过程压缩过程

5 rje远程作业输入远程作业登录

7回声回声回声

9丢弃丢弃丢弃

11 Systat活跃用户在线用户

13白天白天

17每日引用

18 msp消息发送协议消息发送协议

19字符生成器字符生成器

20 FTP-数据文件传输[默认数据]文件传输协议(默认数据端口)

21 FTP文件传输[控制]文件传输协议(控制)

22 ssh远程登录协议ssh远程登录协议

终端模拟协议

24 ?任何私人邮件系统都是为个人邮件系统保留的。

25 smtp简单邮件传输简单邮件传递协议

27 nsw-fe NSW用户系统fe NSW用户系统现场工程师

29消息-icp消息icp消息ICP消息

31消息-验证消息验证

33 dsp显示支持协议

35 ?任何专用打印机服务器都是为个人打印机服务保留的。

37时间时间

38 rap路由访问协议路由访问协议

39 rlp资源定位协议

41图形图形图形

42名称服务器wins主机名服务器wins主机名服务

43 nicname谁是“昵称”谁是服务

44 mpm-flags mpm FLAGS协议MPM(消息处理模块)

45 MPM消息处理模块[recv]消息处理模块

46 MPM-SNMP[默认发送]报文处理模块(默认发送端口)

47ni-FTP NI FTP & amp；