数学建模社区-数学中国

标题: 计算机系统端口介绍[详细列表] [打印本页]

---

作者: ╃無名草╃    时间: 2004-9-28 20:35
标题: 计算机系统端口介绍[详细列表]
<>
0 t: A. s1 _; o. T! w9 t( O$ N
4 P8 S# ?( a! ]4 Q# z我们常常会在各类的技术文章中见到诸如135、137、139、443之类的“端口”，可是这些端口究竟有什么用呢？它会不会给我们的计算机带来潜在的威胁呢？究竟有多少端口是有用的？想要了解的话，就跟我来吧

+ w) u, j1 }) b端口：0
$ r$ o( s  C$ F服务：Reserved
  d0 ~# h4 A' q7 E6 e说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

/ K1 U  F% m( f% P2 o" ]端口：1
8 k" D! H# s) a9 X服务：tcpmux
说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
</P>
<>端口：7
服务：Echo
说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。
( W* K) {: v& M* P</P>
<>端口：19
/ G0 U  ]: p2 n5 |- R4 [9 _服务：Character Generator
" x, ~3 e2 K7 u5 t$ h' M. t说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。
</P>
<>端口：21
服务：FTP
" G0 Z" L: _/ D4 \- z说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
4 ?$ j4 P1 @& _# i; S& {</P>
, A' c2 `* F: e* t1 {; C<>端口：22
0 e7 `3 C$ \& |6 W# C服务：Ssh
! ]- i& W: K* K4 [- M" T说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。
" @! m. q. A) W6 P2 g</P>
! w* R; I: p" S$ r0 G# E( b  [<>端口：23
服务：Telnet
说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
( {' j' b6 N& R; R</P>
<>端口：25
服务：SMTP
说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
4 U6 F; s4 w9 c7 N4 [+ I& a  j</P>
5 v# B6 r; {  @5 d8 T. ^: \3 s<>端口：31
服务：MSG Authentication
说明：木马Master Paradise、Hackers Paradise开放此端口。
  R% S* O  E- m. i</P>
' l4 V$ N) L, a<>端口：42
服务：WINS Replication
说明：WINS复制
4 ]8 o  Y( W. q1 Q5 u</P>
  r5 `) {3 L+ ]- ?- s<>端口：53
8 b; R; ^5 l. U: A% u服务：Domain Name Server（DNS）
8 W) _* c$ L; C4 L+ u说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
</P>
; ?$ g9 H% C6 R9 C2 z<>端口：67
$ h( @, _+ G4 |- [+ z- c) g服务：Bootstrap Protocol Server
说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
</P>
- |; w! [2 p) t) s0 Z<>端口：69
- D  s0 S& {% |' \8 g+ }  n* v  @服务：Trival File Transfer
说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
</P>
<>端口：79
服务：Finger Server
0 A& e& Z' ^/ g. s: i6 e. G说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。
</P>
( {- Y) N. N2 F/ s<>端口：80
服务：HTTP
  F* N' E+ Y& V& a/ K. J) ?说明：用于网页浏览。木马Executor开放此端口。
</P>
' {5 m! I6 P+ A+ v: u<>端口：99
服务：metagram Relay
, x$ j# l/ O+ _/ _) c* N说明：后门程序ncx99开放此端口。
( [1 ~: p  q" S: d</P>
<>端口：102
服务：Message transfer agent(MTA)-X.400 over TCP/IP
说明：消息传输代理。
' a) L; C8 z' O1 O0 s: k$ t- u
' c% z5 `8 Q7 f/ ]* R端口：109
" X  L. z* R+ f. v+ E服务：Post Office Protocol -Version3
3 L" O; s- h$ z) y3 X& f说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
</P>
<>端口：110
; D" `. F2 W# R5 l0 N, ?服务：SUN公司的RPC服务所有端口
2 |2 Y5 r, \+ ^! h) R说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
7 F+ E2 q. _" F) I2 V; o: C6 z, I</P>
<>端口：113
, G& v7 H2 z% i7 A& y- x# E' l& H服务：Authentication Service
说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
( b5 {: A" ^5 \# k  F</P>
8 F& `# F: g4 O<>端口：119
( w7 a) Y( T7 m8 l1 F3 H+ m  H服务：Network News Transfer Protocol
说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。
" X0 ~7 B' @1 z1 M2 W& D
端口：135
服务：Location Service
说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。
( s9 o7 z1 ]# H4 y+ ^1 m, {</P>
<>端口：137、138、139
0 {2 K0 o8 z' {* Q& x服务：NETBIOS Name Service
说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
</P>
: c7 `/ S4 d5 |& K- d0 _  o<>端口：143
服务：Interim Mail Access Protocol v2
说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。
</P>
1 W1 W, q5 Q! {' E& `# n- ]<>端口：161
7 m+ j; ]; q! e* X/ A' Q( B) T服务：SNMP
说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
! k& G+ b* W1 H
端口：177
服务：X Display Manager Control Protocol
5 H& A; Y* @. `0 B% c说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。
</P>
6 f0 e! ^3 F: F% W, F) f<>端口：389
$ Q% t& z6 O5 V# Q$ |7 B! a/ K6 {服务：LDAP、ILS
! H" z3 l+ ]; P6 ]% e说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
</P>
' A2 z) J$ [3 U<>端口：443
服务：Https
说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。
</P>
<>端口：456
服务：[NULL]
9 q* J% @: S- p1 @' a# O说明：木马HACKERS PARADISE开放此端口。
</P>
<>端口：513
服务：Login,remote login
说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
</P>
<>端口：544
; X' N8 J& |% V$ \/ F2 L5 I3 V服务：[NULL]
- u# d1 M- a5 r6 g说明：kerberos kshell
</P>
1 g8 t0 n3 M* l% I) g9 K" S$ t9 M<>端口：548
服务：Macintosh,File Services(AFP/IP)
1 n' i* y5 g) C! L/ w说明：Macintosh,文件服务。
5 {" Z' e! X' j, H7 |; L2 {</P>
<>端口：553
服务：CORBA IIOP （UDP）
说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口：555
7 |; D% [/ u$ U" t" N) k! P: G服务：DSF
说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
; j+ S, i1 s+ X9 i; n' r</P>
+ Q7 z- T) \3 q<>端口：568
服务：Membership DPA
6 T  s8 F, y  o! P5 n7 i说明：成员资格 DPA。
0 o' h7 w! j+ E$ \  Z& U</P>
<P>端口：569
服务：Membership MSN
% M$ q, @: T6 X2 j  n# j说明：成员资格 MSN。
9 g, W+ r& C8 n* k6 `: e9 ]</P>
<P>端口：635
, E7 ^: ?2 ~  c9 [9 I$ K服务：mountd
7 b% U+ e* P1 K3 Q2 H说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。
% W4 M$ N0 O3 ?5 X9 F0 n, ^3 E$ P</P>
2 X9 y- G) ~  m<P>端口：636
服务：LDAP
说明：SSL（Secure Sockets layer）
</P>
<P>端口：666
& N' H  d6 R% E服务：Doom Id Software
说明：木马Attack FTP、Satanz Backdoor开放此端口
</P>
<P>端口：993
: a  w  ~8 P' h/ g  S! I服务：IMAP
/ \% D8 h; _9 M# s5 {! m说明：SSL（Secure Sockets layer）
</P>
1 s1 z+ Z7 Q1 ?$ R3 ^<P>端口：1001、1011
服务：[NULL]
说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。

端口：1024
/ J( |4 y2 k3 a, u服务：Reserved
% `; O, J7 G) u" @说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
</P>
<P>端口：1025、1033
6 Q7 |9 U* e. u; m- k2 z- F! Q服务：1025：network blackjack 1033：[NULL]
% b2 M1 o4 X! ?6 C7 A3 W说明：木马netspy开放这2个端口。
</P>
# a6 c) j- V" \( j* {( I+ R4 K<P>端口：1080
服务：SOCKS
说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。
</P>
<P>端口：1170
服务：[NULL]
说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
3 d1 f! ^* z$ `7 C. I8 l</P>
<P>端口：1234、1243、6711、6776
4 p4 s0 \7 q5 ^) r. R' r服务：[NULL]
6 r- M9 a# r* b$ m说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。

3 U8 ?" l, y+ p" q端口：1245
服务：[NULL]
说明：木马Vodoo开放此端口。
</P>
<P>端口：1433
& a. h; V  t: W' a, E9 _服务：SQL
1 `: w" g  {8 |$ a6 i) [4 C1 O7 l说明：Microsoft的SQL服务开放的端口。
! g. D- i6 a  M+ O+ f</P>
<P>端口：1492
服务：stone-design-1
说明：木马FTP99CMP开放此端口。
</P>
5 x8 M+ u) G9 K% L0 w<P>端口：1500
服务：RPC client fixed port session queries
说明：RPC客户固定端口会话查询
3 t+ A; L1 F& p</P>
<P>端口：1503
服务：NetMeeting T.120
</P>
<P>说明：NetMeeting T.120
端口：1524
服务：ingress
5 [; E) J4 u; E6 f' l, z说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。
</P>
<P>端口：1600
7 Q* f6 \% \# \; U) q+ Q3 }服务：issd
说明：木马Shivka-Burka开放此端口。

! Q* O( w+ q; O* w: G端口：1720
服务：NetMeeting
说明：NetMeeting H.233 call Setup。
</P>
9 y, s. T! ~! y1 f<P>端口：1731
% n7 G, }: q- K" n7 r服务：NetMeeting Audio Call Control
6 I! M" O) s# F5 Y) r3 f说明：NetMeeting音频调用控制。
</P>
<P>端口：1807
' U% v/ T. I, f% t% J! W4 Y服务：[NULL]
8 p7 e) R4 i4 E4 x+ ~5 \0 G说明：木马SpySender开放此端口。
</P>
<P>端口：1981
服务：[NULL]
说明：木马ShockRave开放此端口。
8 B3 x& w% n# b+ e6 g, |! z</P>
<P>端口：1999
4 R! b  c+ e& |% D7 I  f服务：cisco identification port
说明：木马BackDoor开放此端口。
8 u2 q( j8 N9 z& h1 V5 q3 ~
# u  s3 i; s( e, [& _2 Q端口：2000
& V/ _; K8 _$ ^' I( D服务：[NULL]
说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。
</P>
<P>端口：2001
. S, u& h" h, t: I! n5 W: Q  u) I服务：[NULL]
) o) T" @; N+ c6 `9 d说明：木马Millenium 1.0、Trojan Cow开放此端口。
; ]$ m* Q' [) E& i% z- a( M</P>
4 N/ b+ q+ C& I) A<P>端口：2023
服务：xinuexpansion 4
- F! M% J3 V" I# r# _6 |, N说明：木马Pass Ripper开放此端口。
2 u( |  P, R  ?7 W</P>
<P>端口：2049
% l' m' g6 U7 U- L1 \% w服务：NFS
说明：NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
</P>
; ?& m$ l( l4 x& s& Q' R<P>端口：2115
服务：[NULL]
说明：木马Bugs开放此端口。
4 R0 g% D5 ~3 F0 B1 b5 E1 L
端口：2140、3150
服务：[NULL]
9 k4 w1 g0 L2 m3 U" V1 G说明：木马Deep Throat 1.0/3.0开放此端口。
</P>
' h& }& q  D% o; Q/ @<P>端口：2500
8 y% T$ b6 {/ K! i! j$ P( q服务：RPC client using a fixed port session replication
说明：应用固定端口会话复制的RPC客户
- i% E& f6 z" w1 o9 r( M! x* i</P>
<P>端口：2583
服务：[NULL]
说明：木马Wincrash 2.0开放此端口。
" r4 L5 ~7 ~& i7 Q- ]/ u& D2 `</P>
# A  e1 _2 p0 ]<P>端口：2801
- ^/ K8 Z& A4 g+ w/ C  x- F# q. R服务：[NULL]
说明：木马Phineas Phucker开放此端口。
- U6 Y2 N4 I# l/ r. E</P>
) @2 @* r+ q, Q* r* e<P>端口：3024、4092
4 R/ X$ _# i6 G) l2 S& x1 u! [7 ~服务：[NULL]
说明：木马WinCrash开放此端口。
</P>
! T) N0 A5 a! a1 U# r+ w7 D<P>端口：3128
服务：squid
说明：这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
- N1 V* i5 i6 S( ?* S</P>
6 \: p! U# P) o: d, n- i3 C<P>端口：3129
$ j) u7 n3 ]: H9 e' i( t* @8 X! G服务：[NULL]
说明：木马Master Paradise开放此端口。
</P>
<P>端口：3150
6 Z9 ?1 `7 w8 O服务：[NULL]
说明：木马The Invasor开放此端口。
% c% `' j1 A  S% m+ A( H$ V# |</P>
<P>端口：3210、4321
服务：[NULL]
说明：木马SchoolBus开放此端口
, i! F( C+ |+ \8 M- ^, K3 s# W
2 e$ v! R* S1 l/ Z3 G! j$ U
端口：3333
- D( ?8 K3 ^0 k* r" x$ Y  j- p; ^' e服务：dec-notes
. p+ E/ w) k- V8 H  X/ n+ Z7 Q说明：木马Prosiak开放此端口
9 L* w5 \' [% K2 ^! F4 r</P>
<P>端口：3389
* O- B* q1 Z: ]6 |& n# T) Z服务：超级终端
说明：WINDOWS 2000终端开放此端口。
5 ]) {% m. ]2 E* l2 i% k</P>
! D/ j8 F. U. p, q: Q<P>端口：3700
服务：[NULL]
说明：木马Portal of Doom开放此端口
</P>
<P>端口：3996、4060
7 n/ T# D- m6 e4 o: h# ^服务：[NULL]
说明：木马RemoteAnything开放此端口
' c8 d. p" O1 G1 ]: L& n" \</P>

---

作者: ╃無名草╃    时间: 2004-9-28 20:36
<>端口：4000
服务：QQ客户端
# h, L8 ?# c+ w. D" e2 ^说明：腾讯QQ客户端开放此端口。
4 e/ y8 Y7 J- f) k</P><>端口：4092
服务：[NULL]
. B1 m$ p3 @3 F说明：木马WinCrash开放此端口。
3 i2 B2 Z& @$ v</P><>端口：4590
. c6 w$ [* I: S# f1 S- X服务：[NULL]
! _9 H7 T( ]! n7 E0 r5 }" C说明：木马ICQTrojan开放此端口。
</P><>端口：5000、5001、5321、50505 服务：[NULL]
+ S6 E! [( E' a4 M. _6 T  N$ ^说明：木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。
端口：5400、5401、5402
服务：[NULL]
说明：木马Blade Runner开放此端口。
</P><>端口：5550
; m5 `( b) V# \4 I服务：[NULL]
2 A2 _8 N% ?3 U5 a* g/ ]" f说明：木马xtcp开放此端口。
</P><>端口：5569
服务：[NULL]
, L9 U) ]1 P# S$ O3 w5 v说明：木马Robo-Hack开放此端口。
, D7 b; k- N( f3 c: G  m</P><>端口：5632
2 o. C( J6 Z/ U- }+ O8 l! C2 e0 k服务：pcAnywere
+ k7 W8 X( \3 |说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。

' n; c+ F( ~2 Q$ h+ j) D
1 D- U: w: F  V9 O. h端口：5742
服务：[NULL]
说明：木马WinCrash1.03开放此端口。
* Z4 ?4 E- x+ `4 V) G</P><>端口：6267
  Q% G1 R. x1 F) u9 W服务：[NULL]
# B$ f# d# [2 Y. s5 w9 A说明：木马广外女生开放此端口。
4 O$ M1 D- m5 {</P><>端口：6400
* h/ |4 n2 @$ z) R' Z服务：[NULL]
说明：木马The tHing开放此端口。
</P><>端口：6670、6671
服务：[NULL]
说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
+ N9 j$ T) R0 ~7 E1 N</P><>端口：6883
服务：[NULL]
, r: j2 i0 @% X8 s: S0 a# q说明：木马DeltaSource开放此端口。
</P><>端口：6969
- m9 |/ k' }; v' u+ B" S9 n& `服务：[NULL]
3 Q7 h! Z. p. |说明：木马Gatecrasher、Priority开放此端口。
! e& T& q! K9 a$ B3 j$ Q</P><>端口：6970
" @) g, s# W; u$ x服务：RealAudio
说明：RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
: d. F  [( s% Y, p% \3 {6 Z% t; K</P><>端口：7000
  r+ U# V5 R) g' t服务：[NULL]
说明：木马Remote Grab开放此端口。
</P><>端口：7300、7301、7306、7307、7308
服务：[NULL]
说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口
</P><>端口：7323
服务：[NULL]
说明：Sygate服务器端。
! ]6 D' U' s! U) e, Y</P><>端口：7626
$ ?7 ]. a# m, o3 f2 t( D服务：[NULL]
- k2 a% r8 B& M* ~说明：木马Giscier开放此端口。
</P><>端口：7789
服务：[NULL]
! V9 _9 N; |: w3 {6 s* I/ P9 l5 n说明：木马ICKiller开放此端口。
2 w! o% [% l' m0 O4 _</P><>端口：8000
服务：OICQ
+ a% i/ l8 B( _% z+ z说明：腾讯QQ服务器端开放此端口。 '
" n1 X& U& o* v8 }! b; b9 a</P><>端口：8010
服务：Wingate
说明：Wingate代理开放此端口。
3 ~4 b  w4 q4 t! [% M2 W" |</P><>端口：8080
/ W1 h9 u, j. F( J服务：代理端口
说明：WWW代理开放此端口。
' j/ m5 o  l2 t7 r$ S) V6 v, M. ~& r+ T! i</P><>端口：9400、9401、9402
: v9 M: s, u+ R* C% H% c: l4 k服务：[NULL]
说明：木马Incommand 1.0开放此端口。
</P><>端口：9872、9873、9874、9875、10067、10167
8 e/ }6 @! P/ m服务：[NULL]
6 X; ~1 b- R* \/ l' J说明：木马Portal of Doom开放此端口
* I* H8 O$ M# z) Y% W# A</P><>端口：9989
; c; B0 {( ]& E1 _服务：[NULL]
# f4 A( z3 L, d. w- u1 m+ @$ X说明：木马iNi-Killer开放此端口。
6 ]6 Z+ w8 H. |2 M' N</P><>端口：11000
" z+ H8 U/ U: G8 {% v服务：[NULL]
+ M) e9 S: D# V; }8 I7 _说明：木马SennaSpy开放此端口。
</P><>端口：11223
' X0 t% m1 O0 c% g" Y服务：[NULL]
, D1 r2 Z( F9 D( I, K8 S说明：木马Progenic trojan开放此端口。
</P><>端口：12076、61466
服务：[NULL]
说明：木马Telecommando开放此端口。
</P><>端口：12223
" G3 p. C/ B! T" N2 I7 O服务：[NULL]
说明：木马Hack'99 KeyLogger开放此端口。
) J4 Q) N* t6 H* t% m</P><>端口：12345、12346
服务：[NULL]
5 C! ~( D3 X2 L  r. G5 ]说明：木马NetBus1.60/1.70、GabanBus开放此端口。
9 g) _7 u" b4 _- v</P><>端口：12361
服务：[NULL]
- f9 o3 W- b5 h) r. w说明：木马Whack-a-mole开放此端口。
9 m7 T% z; L. k7 l! H0 ?</P><P>端口：13223
* J2 P0 N' A) s% ]服务：PowWow
说明：PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。
* S4 M- h8 [: Y/ |" K) O2 `* ?
端口：16969
服务：[NULL]
3 h. E( ]3 W" g1 a说明：木马Priority开放此端口。
</P><P>端口：17027
服务：Conducent
* I4 g# g- p" \. f& V. @说明：这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。
</P><P>端口：19191
8 b. b4 N1 h" G/ F& F% V服务：[NULL]
说明：木马蓝色火焰开放此端口。
/ N6 m8 c6 M; {</P><P>端口：20000、20001
服务：[NULL]
6 c2 W9 b; ^6 ?  `+ D0 L' o4 F说明：木马Millennium开放此端口。
</P><P>端口：20034
服务：[NULL]
说明：木马NetBus Pro开放此端口。
</P><P>端口：21554
# V5 w0 ^8 v7 t- m服务：[NULL]
. y7 [% z8 \( V3 B/ z说明：木马GirlFriend开放此端口。
</P><P>端口：22222
服务：[NULL]
, n. k" J+ a" Z- |% q; ?" E8 `说明：木马Prosiak开放此端口。

; @6 {* P! ~; v) B: T端口：23456
服务：[NULL]
( [: x" }* G: _5 R说明：木马Evil FTP、Ugly FTP开放此端口。
+ `3 `4 n% S( j9 I% V3 T, p  O</P><P>端口：26274、47262
8 X# _2 J! [/ H! _服务：[NULL]
6 `. M: n, H% [$ c/ h: u( S7 h说明：木马Delta开放此端口。
* {7 P1 ^! J1 M% ]& A* v5 y/ J. S</P><P>端口：27374
服务：[NULL]
/ u' r( C9 V" S# u说明：木马Subseven 2.1开放此端口。
( [$ Z" \9 e( w" O. D* [: u* m, @</P><P>端口：30100
: `; I- g% ~/ b8 z' @9 A服务：[NULL]
5 i- N# ^2 ~8 C3 W7 M1 |3 X说明：木马NetSphere开放此端口。
8 Q& ?3 Q3 I1 }& Z) _</P><P>端口：30303
- d2 p4 k$ q% f) Z, C服务：[NULL]
说明：木马Socket23开放此端口。
' }* B9 b" x4 T9 H  w. p  ]</P><P>端口：30999
: X1 E4 N( z8 g" @$ |9 N服务：[NULL]
5 t  l3 x1 c/ F! R1 y1 W' S说明：木马Kuang开放此端口。
- I* U. X0 F' v</P><P>端口：31337、31338
# V3 r$ g% p& W7 V; _服务：[NULL]
说明：木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。
</P><P>端口：31339
6 ?* ]: g3 F/ X0 h& O3 R  @. t服务：[NULL]
% j/ e9 o% c% W# o/ o+ v; a, q说明：木马NetSpy DK开放此端口。
# d+ k7 r  O" @& H) g2 k( n* W' H+ j</P><P>端口：31666
0 M/ u1 J2 a6 Z; w服务：[NULL]
说明：木马BOWhack开放此端口。
$ [: I2 s: ?7 w0 i9 N
3 Y, G) b+ m1 Y; ~端口：33333
服务：[NULL]
说明：木马Prosiak开放此端口。
</P><P>端口：34324
$ z3 D+ s8 ]* _) e# q+ B, q服务：[NULL]
1 {# Q8 f& o. H# }- h. f* i说明：木马Tiny Telnet Server、BigGluck、TN开放此端口。
</P><P>端口：40412
服务：[NULL]
说明：木马The Spy开放此端口。
5 Z- j+ e9 U5 O  _0 v4 }  E' g</P><P>端口：40421、40422、40423、40426、
6 I8 A' L" a* a) H6 u  C; ]* w服务：[NULL]
# E4 D" M6 A  n/ |说明：木马Masters Paradise开放此端口。
5 L$ h0 w6 L8 }9 y/ k</P><P>端口：43210、54321
" q1 P/ [& m7 U. z5 i服务：[NULL]
$ h. o2 x1 E2 x0 D4 D. v2 e说明：木马SchoolBus 1.0/2.0开放此端口。
</P><P>端口：44445
服务：[NULL]
0 g( O3 W. }  M6 ~* A说明：木马Happypig开放此端口。
</P><P>端口：50766
0 Z/ ]4 r9 D$ G$ A8 a# p( \服务：[NULL]
说明：木马Fore开放此端口。
- }7 _5 `7 ]) l2 x& Z
端口：53001
, S$ m. G8 ^# K% J服务：[NULL]
) S' C8 |/ ~: r. j1 a" l7 P6 G说明：木马Remote Windows Shutdown开放此端口。
</P><P>端口：65000
& i0 F! F% V) _$ e5 `, _服务：[NULL]
$ z6 Y7 N9 w! Z5 L4 I/ ?说明：木马Devil 1.03开放此端口。
</P><P>端口：88
说明：Kerberos krb5。另外TCP的88端口也是这个用途。
/ b( [2 v' I; T7 a/ S2 @</P><P>端口：137
8 b6 r2 a8 R4 ?, X+ @5 }说明：SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。
; N( a1 G! K- R  c# z6 s1 H: G2 p</P><P>端口：161
说明：Simple Network Management Protocol(SMTP)（简单网络管理协议）
</P><P>端口：162
; Q' ]% y8 e& k# e1 w说明：SNMP Trap（SNMP陷阱）
# s; }( m% q: }( |" h</P><P>端口：445
, N- J+ Y0 q! Q9 [2 K$ H6 v9 m说明：Common Internet File System(CIFS)（公共Internet文件系统）
2 s3 I8 s$ x) V) l, K3 `</P><P>端口：464
说明：Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。

端口：500
说明：Internet Key Exchange(IKE)（Internet密钥交换）
</P><P>端口：1645、1812
$ y' J* }8 t" I: i; V6 |8 }6 t: l说明：Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)
</P><P>端口：1646、1813
5 R  F6 F+ I- O% l3 B2 W6 C说明：RADIUS accounting(Routing and Remote Access)(RADIUS记帐（路由和远程访问）)
</P><P>端口：1701
4 q2 u6 g  U3 ?说明：Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)
4 L0 G# e9 V- ?) [# v9 q% w& S</P><P>端口：1801、3527
说明：Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。
% a) Y9 _* k) b* q5 m  N</P><P>端口：2504
说明：Network Load Balancing(网络平衡负荷)
0 C, Y" ]3 H6 A, L5 S0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口
4 ^/ f& L% |- h# [连接它时将产生不同的结果。一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。 </P>

---

欢迎光临 数学建模社区-数学中国 (http://www.madio.net/)

Powered by Discuz! X2.5