计算机系统端口介绍[详细列表]

╃無名草╃

<>
: \0 X& R$ ]9 U
我们常常会在各类的技术文章中见到诸如135、137、139、443之类的“端口”，可是这些端口究竟有什么用呢？它会不会给我们的计算机带来潜在的威胁呢？究竟有多少端口是有用的？想要了解的话，就跟我来吧
3 p! u) ?) c  \
端口：0
服务：Reserved
说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。
, n& ]. z6 O/ a0 n0 }& E
' A0 A2 i% g7 `- K; a% Q6 f端口：1
" d" n1 E4 W* @3 V  p" v服务：tcpmux
" d$ q% b1 b9 e说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
</P>
<>端口：7
% G/ I# K# X1 N7 `7 X服务：Echo
说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。
</P>
+ [* }; A$ ?6 G0 M<>端口：19
! [* s. k4 w- e, p$ K服务：Character Generator
说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。
</P>
1 s! L9 }2 ]8 \<>端口：21
* y& S) U3 l9 S5 A! S! e5 R% f服务：FTP
7 b: o$ I2 a" T3 n. f说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
</P>
& Z' V) s+ Q' Q- ?6 J- g' K<>端口：22
服务：Ssh
4 |# |* `1 ~- y) H* R! `说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。
. {% }* Y8 _6 t7 Q3 \! G4 n</P>
: e+ R( E0 ?9 F: l. c! P<>端口：23
, W( e( a9 |! ?( B* s7 s服务：Telnet
说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
</P>
<>端口：25
服务：SMTP
* t9 O  V; m2 j! b5 P3 J说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
6 y) ~1 E6 E! y& g</P>
<>端口：31
服务：MSG Authentication
说明：木马Master Paradise、Hackers Paradise开放此端口。
</P>
<>端口：42
服务：WINS Replication
说明：WINS复制
</P>
+ z' \! l7 y7 o$ s4 ]4 L$ j<>端口：53
服务：Domain Name Server（DNS）
说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
</P>
: m; M  k# Q0 s6 _3 E$ z<>端口：67
4 S! i6 v1 W# F+ H$ ?服务：Bootstrap Protocol Server
& P  X3 \8 C2 C5 ]0 m) v说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
# P  Q- f4 j$ }/ H, u</P>
! o, h0 N5 `& n2 T5 n( v<>端口：69
: ^. k$ i' k0 b8 y3 V$ P服务：Trival File Transfer
9 f9 H, u2 @) @. r说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
, L  L+ g& X/ R) |, `. X</P>
- \# e. g* j4 L5 J2 i, C<>端口：79
服务：Finger Server
9 S( y4 k! t3 V说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。
</P>
+ ^+ W, Y& \9 X9 H<>端口：80
服务：HTTP
5 w  t, f5 ~% H' k8 e说明：用于网页浏览。木马Executor开放此端口。
8 q7 `8 G6 E; G9 [  g</P>
<>端口：99
服务：metagram Relay
说明：后门程序ncx99开放此端口。
</P>
<>端口：102
服务：Message transfer agent(MTA)-X.400 over TCP/IP
' Y. v/ n  A% S( o$ E  S, Y说明：消息传输代理。
, _. i$ S! y" O8 g0 T; ~" Q
, M0 D$ R9 |; {" ]+ O9 t6 U端口：109
: n9 s/ S- ?# l  r& ^0 k服务：Post Office Protocol -Version3
1 N, ^5 N  x. Z+ o: e! e2 d说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
7 T) A* e' l) p( |. I</P>
& _9 ]+ h. D# U5 o<>端口：110
. O& q* ?0 ]0 j( a6 b$ l服务：SUN公司的RPC服务所有端口
/ [8 N, [/ Q( A1 q说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
6 E4 p, v- [( X5 Q1 T</P>
<>端口：113
1 p, G# j3 J$ D0 a% `/ |服务：Authentication Service
说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
</P>
* o+ e& N+ b) C- h<>端口：119
服务：Network News Transfer Protocol
说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端口：135
8 {. E  {' h% d服务：Location Service
2 I5 j6 m0 F( p* P: d+ P说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。
</P>
<>端口：137、138、139
; ^0 N" F. w! \( M( h! L服务：NETBIOS Name Service
说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
1 c2 m# ]4 D5 C</P>
# l' M3 y. ~; b7 m, S3 ~0 D$ j<>端口：143
服务：Interim Mail Access Protocol v2
7 r2 ?3 o; R( s  s! w2 d说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。
</P>
<>端口：161
服务：SNMP
说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

1 B" D& c% x, G& @端口：177
! O# b( j2 t; D- N& c! d/ J服务：X Display Manager Control Protocol
说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。
8 _( |* U7 p- |. {</P>
<>端口：389
) a3 f4 M4 r6 ?7 [8 e) p" g1 e服务：LDAP、ILS
说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
</P>
<>端口：443
/ K6 z5 S" q( X  @# K3 H* J- e服务：Https
* \$ h4 \* X/ ]$ ^: A9 s, t- M说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。
( T3 {7 Z: s1 {0 E</P>
% K& p9 X$ x3 h<>端口：456
服务：[NULL]
$ M# ~! A, D3 h' p说明：木马HACKERS PARADISE开放此端口。
% g  i" y9 e. F+ ]5 _  X</P>
3 y2 }( e( H0 K' u) u<>端口：513
2 B0 l! M+ j( V# ^) t" ]4 n服务：Login,remote login
说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
8 ~: P" `% n" \* i! {  D0 {</P>
<>端口：544
服务：[NULL]
说明：kerberos kshell
& I# f8 j! o( G* M( r+ W! J6 Z. e</P>
<>端口：548
服务：Macintosh,File Services(AFP/IP)
说明：Macintosh,文件服务。
</P>
<>端口：553
服务：CORBA IIOP （UDP）
说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口：555
服务：DSF
说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
</P>
( Q/ |2 c# X& g. L+ H+ _) _<>端口：568
服务：Membership DPA
0 K+ d" n6 [. G3 v; A3 c说明：成员资格 DPA。
2 X0 s% i  w0 Q/ `6 d1 J8 V- G</P>
  t. M- u! {0 D8 J) z7 p* Q<P>端口：569
3 H- }" p0 ^6 I8 e6 c5 |& L服务：Membership MSN
7 {$ l6 A4 F4 B" H* U7 W2 K. a说明：成员资格 MSN。
</P>
9 \# d" d8 a/ G2 r+ V<P>端口：635
% c, V# t! D$ V1 R服务：mountd
说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。
</P>
<P>端口：636
服务：LDAP
, B9 X4 F- b# X" f) x说明：SSL（Secure Sockets layer）
</P>
<P>端口：666
+ D* R! R/ M( g& c+ Z/ }$ e3 d服务：Doom Id Software
# e# i; r3 r# U$ D) [8 a. e6 X说明：木马Attack FTP、Satanz Backdoor开放此端口
4 ?- `* o  A7 y. m</P>
<P>端口：993
6 s# w( K1 x7 d' m' A- v服务：IMAP
4 ]& R1 B; y* w$ ?; J说明：SSL（Secure Sockets layer）
</P>
$ j% d9 s& x5 y& L<P>端口：1001、1011
服务：[NULL]
' G  d1 Z$ U; l说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。

端口：1024
服务：Reserved
5 r  L9 T% D! l5 Q8 I! m# e说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
1 v& r$ b' F2 Y$ T, @, e</P>
<P>端口：1025、1033
服务：1025：network blackjack 1033：[NULL]
说明：木马netspy开放这2个端口。
</P>
- y7 u. S6 B# \<P>端口：1080
服务：SOCKS
说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。
</P>
<P>端口：1170
0 Z+ I- l( K# r, _2 x* V服务：[NULL]
说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
; P' y2 @4 B, i  |</P>
7 T) F" B6 s" ]  S; D; q0 I<P>端口：1234、1243、6711、6776
# n: ?8 t6 _/ n( v* S' c/ K( A0 J5 e服务：[NULL]
说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。

6 h8 |  |) S$ @2 u* d2 ]1 p2 f端口：1245
服务：[NULL]
# E, {" d: v6 n% |说明：木马Vodoo开放此端口。
9 c/ x2 f7 j4 N4 V/ c. R" ^* H</P>
<P>端口：1433
3 t+ q; d! ?. O1 @# H( w  l服务：SQL
! P- D: k0 ]# G/ O& l& K, P  a( L说明：Microsoft的SQL服务开放的端口。
</P>
& M" |  [% y! O; g<P>端口：1492
# W: o: {0 X8 p2 H8 }) d) B3 k# M服务：stone-design-1
说明：木马FTP99CMP开放此端口。
</P>
<P>端口：1500
服务：RPC client fixed port session queries
) Z5 \; i$ _7 S说明：RPC客户固定端口会话查询
</P>
( @! \1 [" o( O$ }% ?  F<P>端口：1503
服务：NetMeeting T.120
% L: `8 ]6 ~: I: V# _: B1 K8 X</P>
<P>说明：NetMeeting T.120
* [* E) y' [! P端口：1524
" @% N9 R4 _) o1 q8 @, k服务：ingress
6 w$ q9 V/ }  |: c  r& O+ \说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。
</P>
1 q5 C: D6 o3 t  M' S<P>端口：1600
服务：issd
说明：木马Shivka-Burka开放此端口。
3 W9 n" P2 j8 K8 G  o+ P6 H
: s# G. ~0 S/ r- S端口：1720
; U1 m7 g4 S' C9 w服务：NetMeeting
说明：NetMeeting H.233 call Setup。
</P>
<P>端口：1731
服务：NetMeeting Audio Call Control
说明：NetMeeting音频调用控制。
</P>
9 Z, v7 A: H. I0 c" s. e; Y<P>端口：1807
+ O9 X- O' I! R6 a$ V! A服务：[NULL]
, d+ N  f* m% r6 m8 X& k说明：木马SpySender开放此端口。
</P>
2 @# j$ _6 v5 s* S' |* p<P>端口：1981
服务：[NULL]
说明：木马ShockRave开放此端口。
</P>
6 I! Q+ J7 g) `% r, R<P>端口：1999
1 e& c6 W4 ]! d" _+ L服务：cisco identification port
说明：木马BackDoor开放此端口。
" k. T; w# |' H( z
端口：2000
服务：[NULL]
说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。
</P>
<P>端口：2001
5 ^3 d5 Q0 U( D$ @7 i服务：[NULL]
说明：木马Millenium 1.0、Trojan Cow开放此端口。
</P>
<P>端口：2023
! Z: e8 `: Q6 W7 |9 v服务：xinuexpansion 4
说明：木马Pass Ripper开放此端口。
</P>
<P>端口：2049
. W. m- s% J& x9 i服务：NFS
说明：NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
6 R" |5 n: T; W. f8 E8 l/ g0 A</P>
<P>端口：2115
: V. M- @/ I. E. E服务：[NULL]
# b% n7 d6 d, [$ P说明：木马Bugs开放此端口。

+ j& S4 \, d0 `$ ~1 n' l端口：2140、3150
) y  ?1 I; W( o% m: ]1 U服务：[NULL]
说明：木马Deep Throat 1.0/3.0开放此端口。
</P>
  ]5 b& I1 O$ y6 ]. y. x0 h; {<P>端口：2500
# O1 X( }6 ?9 _. I5 \. x2 P服务：RPC client using a fixed port session replication
7 w, o( t5 m( u- q- ^说明：应用固定端口会话复制的RPC客户
</P>
<P>端口：2583
' G) `# ^. e0 u1 e4 W+ [: k服务：[NULL]
说明：木马Wincrash 2.0开放此端口。
</P>
<P>端口：2801
  p* U3 g( b, P8 {  @$ X. R4 r服务：[NULL]
说明：木马Phineas Phucker开放此端口。
</P>
<P>端口：3024、4092
服务：[NULL]
! N8 v& H% M+ d# x5 P1 a# x2 g说明：木马WinCrash开放此端口。
</P>
, t; \7 {8 _" l( d  L- c) Z. ?<P>端口：3128
服务：squid
说明：这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
</P>
, K% s. _" k5 {<P>端口：3129
服务：[NULL]
说明：木马Master Paradise开放此端口。
</P>
<P>端口：3150
服务：[NULL]
( Y! o% {7 S5 L说明：木马The Invasor开放此端口。
</P>
<P>端口：3210、4321
服务：[NULL]
说明：木马SchoolBus开放此端口

% d. a; j) A  Y
4 P/ q$ f, E) v' g8 n& {  C( ^端口：3333
4 o3 }' b. N* Q. `4 y& E服务：dec-notes
5 Z6 [4 h: T: s) w7 I. j  @说明：木马Prosiak开放此端口
</P>
<P>端口：3389
服务：超级终端
( W2 A6 E5 n4 h. z# J7 I说明：WINDOWS 2000终端开放此端口。
</P>
+ M/ x. N* J; E  J<P>端口：3700
; F8 c. z5 y2 D服务：[NULL]
说明：木马Portal of Doom开放此端口
</P>
: s, \/ E' z$ g. `<P>端口：3996、4060
3 N3 F0 |, w7 p, C& }8 q服务：[NULL]
5 O- G  [; ~+ r( k说明：木马RemoteAnything开放此端口
</P>

╃無名草╃

<>端口：4000
服务：QQ客户端
* \9 X& Q/ r# R/ z2 F" h说明：腾讯QQ客户端开放此端口。
$ ~* o$ F) e5 _' ^( P$ H: ]</P><>端口：4092
- T9 t. ~. ?% R5 ~1 o服务：[NULL]
1 D: v& u$ @3 Q3 G4 |说明：木马WinCrash开放此端口。
1 Y! G' h' n! Q% G& w, F/ U2 [+ Y</P><>端口：4590
5 N8 J5 ?+ Z! e- U1 X服务：[NULL]
9 G: g4 t) S0 \0 Z说明：木马ICQTrojan开放此端口。
; W3 g' B& i9 }( n3 [- A- V</P><>端口：5000、5001、5321、50505 服务：[NULL]
) ?0 X( s8 y( c4 U2 P1 Q  t说明：木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。
端口：5400、5401、5402
服务：[NULL]
6 }+ Q  |+ d9 y说明：木马Blade Runner开放此端口。
3 i0 C) C" Q4 R& o4 ]$ L$ p0 s4 u</P><>端口：5550
. ~& w2 ]* c; k( z& f- z4 ]服务：[NULL]
1 W9 ~3 ?" n- v# Q8 {* A说明：木马xtcp开放此端口。
' t. N$ N3 _% c/ K! n  a9 b</P><>端口：5569
7 }* }* O2 B) B; ^/ B5 m1 E服务：[NULL]
说明：木马Robo-Hack开放此端口。
) b* I" z* r8 G2 D, T</P><>端口：5632
& t7 k+ n/ w9 z! h' }服务：pcAnywere
( G) t* x" }0 I8 B3 h; N1 E3 Q说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。


端口：5742
( ^! U' C9 S7 X1 u. E3 z/ H服务：[NULL]
7 j! d1 n0 ]6 _. Z4 h, V说明：木马WinCrash1.03开放此端口。
</P><>端口：6267
4 h+ u4 q) `, A7 P服务：[NULL]
说明：木马广外女生开放此端口。
</P><>端口：6400
0 f# [$ x7 a' l& s% m0 h服务：[NULL]
+ c9 k" o) I$ F( E5 r3 Q2 u说明：木马The tHing开放此端口。
' k/ \2 j$ u  y</P><>端口：6670、6671
服务：[NULL]
, E( P- E, h! H' t+ S说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
</P><>端口：6883
* `) r, V$ K, t' E) U: o服务：[NULL]
% b2 l& @6 M% |! l9 `说明：木马DeltaSource开放此端口。
1 I  b6 m2 F9 f4 V4 r$ `</P><>端口：6969
0 @& X; f6 T0 V4 y$ m服务：[NULL]
说明：木马Gatecrasher、Priority开放此端口。
</P><>端口：6970
& |1 z; y* O3 ^. t' C# {! e# y" _服务：RealAudio
+ e  d* L& H3 C+ U2 a说明：RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
</P><>端口：7000
+ O+ F& X8 L  I" t, O: h" X服务：[NULL]
说明：木马Remote Grab开放此端口。
</P><>端口：7300、7301、7306、7307、7308
0 r& l1 s8 G0 h: H# Z# |* r服务：[NULL]
说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口
</P><>端口：7323
服务：[NULL]
+ M' s$ T* i4 A% Y+ `说明：Sygate服务器端。
) X% j* r& r3 y6 G4 o$ W  M! K/ _& e</P><>端口：7626
服务：[NULL]
+ _  L0 i% H7 h$ b3 j: m! B说明：木马Giscier开放此端口。
</P><>端口：7789
服务：[NULL]
* C* ]/ N1 {1 i5 p' S0 ?8 D- d说明：木马ICKiller开放此端口。
</P><>端口：8000
服务：OICQ
说明：腾讯QQ服务器端开放此端口。 '
( J2 }" N! R' j0 n7 ^  a' h</P><>端口：8010
服务：Wingate
说明：Wingate代理开放此端口。
</P><>端口：8080
6 u) u+ {. _9 E* m5 g6 N服务：代理端口
说明：WWW代理开放此端口。
</P><>端口：9400、9401、9402
服务：[NULL]
$ w5 K6 }& D5 Q( k' K; l# L说明：木马Incommand 1.0开放此端口。
</P><>端口：9872、9873、9874、9875、10067、10167
, O* N* B; \7 i4 B% \服务：[NULL]
3 I% K2 ^) j7 y说明：木马Portal of Doom开放此端口
</P><>端口：9989
服务：[NULL]
说明：木马iNi-Killer开放此端口。
</P><>端口：11000
服务：[NULL]
/ ?! Z1 N# d- {; ?+ ~1 \2 `说明：木马SennaSpy开放此端口。
</P><>端口：11223
! @7 L+ S1 v$ A4 \/ r) h服务：[NULL]
说明：木马Progenic trojan开放此端口。
) j! D. @( h' h</P><>端口：12076、61466
服务：[NULL]
说明：木马Telecommando开放此端口。
</P><>端口：12223
服务：[NULL]
) x8 R0 N  E, E# N7 S; o9 Y9 n% V说明：木马Hack'99 KeyLogger开放此端口。
2 Y. b+ F& I3 K" ^- D7 D4 P6 o</P><>端口：12345、12346
服务：[NULL]
说明：木马NetBus1.60/1.70、GabanBus开放此端口。
* G; B" n5 S) j3 G7 o</P><>端口：12361
. `0 y! n( s1 t) e" K/ P服务：[NULL]
说明：木马Whack-a-mole开放此端口。
</P><P>端口：13223
服务：PowWow
1 N2 M8 Q0 r: E% [, O说明：PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。

) U( k7 E" Y' T) B端口：16969
服务：[NULL]
. N7 C4 o1 U/ {$ ]- N0 a说明：木马Priority开放此端口。
</P><P>端口：17027
" p* T, N4 \  R5 N服务：Conducent
说明：这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。
</P><P>端口：19191
" A- K' S2 ^' k1 j服务：[NULL]
说明：木马蓝色火焰开放此端口。
</P><P>端口：20000、20001
服务：[NULL]
说明：木马Millennium开放此端口。
- g2 b5 u  Y9 l& z7 I. |</P><P>端口：20034
8 e0 v* U# A% J! h+ ^& [( U' r服务：[NULL]
说明：木马NetBus Pro开放此端口。
/ B2 I0 g5 i% v4 E# |3 R1 B+ ?; h+ _</P><P>端口：21554
: B# `: p. W( _# W8 L0 F服务：[NULL]
! v- K1 v" h; q% c- ]* ~说明：木马GirlFriend开放此端口。
( b3 u! L: }. U</P><P>端口：22222
, I# J# a$ g) G% X1 V服务：[NULL]
说明：木马Prosiak开放此端口。
# D+ E4 |2 \2 e
端口：23456
服务：[NULL]
说明：木马Evil FTP、Ugly FTP开放此端口。
$ @. y7 V+ ]0 w0 x: \/ t9 ]0 w" G</P><P>端口：26274、47262
+ }) s% a* s; A( K6 I8 j服务：[NULL]
说明：木马Delta开放此端口。
6 C2 g7 x9 q( V9 t! h( a</P><P>端口：27374
服务：[NULL]
' a& X) Z9 J2 y4 m$ P( f说明：木马Subseven 2.1开放此端口。
</P><P>端口：30100
服务：[NULL]
说明：木马NetSphere开放此端口。
</P><P>端口：30303
服务：[NULL]
说明：木马Socket23开放此端口。
</P><P>端口：30999
服务：[NULL]
说明：木马Kuang开放此端口。
</P><P>端口：31337、31338
. h; a  D3 f1 E服务：[NULL]
, f7 G$ z6 Y1 K- \. k# q说明：木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。
</P><P>端口：31339
服务：[NULL]
说明：木马NetSpy DK开放此端口。
</P><P>端口：31666
. f! R# H0 g; d服务：[NULL]
; e& {. Q$ e- j4 ?) L  E1 T9 j* \说明：木马BOWhack开放此端口。
) y# m6 o  X' ^# J9 s2 H; `2 \
端口：33333
服务：[NULL]
说明：木马Prosiak开放此端口。
</P><P>端口：34324
服务：[NULL]
% A1 B: `4 n; K说明：木马Tiny Telnet Server、BigGluck、TN开放此端口。
</P><P>端口：40412
服务：[NULL]
8 W& K' T! Z7 z/ }) D% p/ y% k说明：木马The Spy开放此端口。
</P><P>端口：40421、40422、40423、40426、
6 Y  z5 k* [7 d服务：[NULL]
说明：木马Masters Paradise开放此端口。
% i0 I* K4 J. K3 s  c+ W% T3 c</P><P>端口：43210、54321
服务：[NULL]
" y- V" ^3 x0 V, g: Q说明：木马SchoolBus 1.0/2.0开放此端口。
</P><P>端口：44445
3 w! V) c& B, m  {4 O! D' ^& o7 K* t服务：[NULL]
说明：木马Happypig开放此端口。
</P><P>端口：50766
服务：[NULL]
/ A& ?+ E; Y; T7 a9 C9 s说明：木马Fore开放此端口。
: j  G: D! P* Z& h& w! }
端口：53001
服务：[NULL]
说明：木马Remote Windows Shutdown开放此端口。
. l$ b& Z' R1 |3 Q; i! W</P><P>端口：65000
服务：[NULL]
说明：木马Devil 1.03开放此端口。
</P><P>端口：88
7 I+ a& w) N/ k; |' F% p说明：Kerberos krb5。另外TCP的88端口也是这个用途。
</P><P>端口：137
说明：SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。
</P><P>端口：161
3 N$ p/ q# R( ^5 V; W( ^7 [说明：Simple Network Management Protocol(SMTP)（简单网络管理协议）
</P><P>端口：162
5 B! N  \* @+ ?  Q' m7 J说明：SNMP Trap（SNMP陷阱）
& n; t' T+ k/ \+ i* g9 N</P><P>端口：445
$ `+ L# ]$ c& `: t+ T% o说明：Common Internet File System(CIFS)（公共Internet文件系统）
2 I( d3 i& G* i  ~( g, G; h1 j</P><P>端口：464
$ ?" K7 E. z  f' A4 S; h( n- g' b说明：Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。
: x0 j- \( u0 j
1 E7 {5 I5 R7 h4 `端口：500
说明：Internet Key Exchange(IKE)（Internet密钥交换）
</P><P>端口：1645、1812
说明：Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)
/ A% U! Z5 m5 \: a8 E( G7 X8 F</P><P>端口：1646、1813
, z# g+ w& z: F! w说明：RADIUS accounting(Routing and Remote Access)(RADIUS记帐（路由和远程访问）)
</P><P>端口：1701
8 j: n. r1 a9 @5 c说明：Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)
5 x: h; A( R* Z; A</P><P>端口：1801、3527
说明：Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。
</P><P>端口：2504
* D8 r) |" b( D% j. ?说明：Network Load Balancing(网络平衡负荷)
0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口
& d, y; q! g$ W连接它时将产生不同的结果。一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。 </P>