计算机系统端口介绍[详细列表]

╃無名草╃

<>
* H1 ^8 d% {4 y4 H
我们常常会在各类的技术文章中见到诸如135、137、139、443之类的“端口”，可是这些端口究竟有什么用呢？它会不会给我们的计算机带来潜在的威胁呢？究竟有多少端口是有用的？想要了解的话，就跟我来吧
# t- [5 j/ P/ D4 T9 G, |) i8 V
端口：0
服务：Reserved
8 Z4 T$ y5 Q9 K# k. ~1 h说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。
9 R7 `3 Z) T  c( O7 U7 W: x& m
端口：1
服务：tcpmux
说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
</P>
# \4 P  }4 p' S7 A' j$ J. d) F6 c<>端口：7
服务：Echo
8 z; j( }( S5 b% x说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。
) D: A1 J3 C& p. }</P>
& b7 O: e- g- r$ I# {/ w<>端口：19
6 R$ i% q& q/ d# k' d  q' C服务：Character Generator
说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。
</P>
9 z  K: x+ w, S<>端口：21
服务：FTP
说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
- l. I- ]& Y) H: c</P>
<>端口：22
服务：Ssh
1 S/ a4 P' }+ p: x* {+ z7 K! g# D说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。
</P>
# ^5 D' C3 b! ?; W; t4 Y0 s<>端口：23
服务：Telnet
说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
; M4 Z/ m  b4 [- y</P>
<>端口：25
服务：SMTP
说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
</P>
<>端口：31
* f9 y' P$ R$ ?服务：MSG Authentication
说明：木马Master Paradise、Hackers Paradise开放此端口。
! x' p3 N  Q+ n4 C$ w4 U, U</P>
<>端口：42
8 R: L( T9 w, N: Q% z; k服务：WINS Replication
7 w) E) O1 H* C& ?! v% Y3 F说明：WINS复制
8 y8 a. E1 Q5 ?& G) X5 ]) s</P>
9 e$ A6 f  I1 ]( K* }<>端口：53
服务：Domain Name Server（DNS）
说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
7 M8 G7 J, ?9 T4 u</P>
0 n+ W, P- w* k<>端口：67
/ W5 m# r2 s# q- G服务：Bootstrap Protocol Server
# O# A0 d# _. a& Z: T1 u5 P说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
</P>
<>端口：69
! D* Z- Q, O# Z! e( v  Z/ A服务：Trival File Transfer
6 G1 F5 k# i4 }) o) [2 W8 |+ X说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
</P>
<>端口：79
服务：Finger Server
' R; L* X! z  e0 r说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。
) s  k/ J% ^( c' j4 ^5 l7 a9 }; \</P>
<>端口：80
服务：HTTP
! b, q4 W& Z9 [3 w- Z: |" N; ~说明：用于网页浏览。木马Executor开放此端口。
$ v5 d/ t+ f3 V% F2 e</P>
& q- _2 v+ n# b( @7 E- O<>端口：99
服务：metagram Relay
6 w0 e# m+ d  P7 j& v说明：后门程序ncx99开放此端口。
6 B* A& l+ t8 E: k+ U" ~</P>
+ h! P9 X. `: Q# ~0 @: n<>端口：102
服务：Message transfer agent(MTA)-X.400 over TCP/IP
  r- d- F5 @& r. [) j7 W说明：消息传输代理。

+ v+ ^# `$ M0 F+ |! H+ m0 D  N端口：109
服务：Post Office Protocol -Version3
# c, a2 f2 C* F' E& O* B3 B说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
</P>
. r1 V. b8 d8 p<>端口：110
- e: Y% G9 l4 p2 B服务：SUN公司的RPC服务所有端口
4 v2 y5 Q4 D+ Z/ f2 ]& @2 ~- i说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
</P>
/ c: }' r4 M* V8 `! q0 k  h1 V/ T<>端口：113
- w( ]) ^* u, C, a9 E服务：Authentication Service
3 s2 p+ N. R3 C' _说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
' Y' L3 F# X" a8 i8 a</P>
1 D/ h8 I0 `8 k) j& h2 x( ]' W9 E<>端口：119
4 {# I) ~# I$ i服务：Network News Transfer Protocol
说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端口：135
5 q' A! r0 F& I" V) ^. F1 Q服务：Location Service
说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。
</P>
: u9 G8 h% p0 C0 L<>端口：137、138、139
" W7 y8 T; T( v0 ~% r; p服务：NETBIOS Name Service
$ `! A% ^+ a( b6 D* ]说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
# d8 V3 Z7 J0 H, Q  [6 f. j% `) y</P>
<>端口：143
服务：Interim Mail Access Protocol v2
' L* R2 L# B! M2 ]" F( r1 ^说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。
9 X+ Q4 C& r( f. t4 f</P>
<>端口：161
服务：SNMP
说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

, y& p: `8 t' D. f4 b# p, N, S端口：177
服务：X Display Manager Control Protocol
说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。
</P>
  |. V8 X, E4 D4 a<>端口：389
  v9 L+ r9 g& b' Q  t" p! N7 N服务：LDAP、ILS
说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
</P>
% a4 H2 \+ n( J6 H<>端口：443
服务：Https
6 z3 J' H! Y' p8 F3 k2 r+ g$ Q% x说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。
</P>
6 Y# f' V7 f3 n$ L. m) y: k. ^% _<>端口：456
* v( k' o1 O$ A服务：[NULL]
说明：木马HACKERS PARADISE开放此端口。
</P>
<>端口：513
服务：Login,remote login
说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
/ z+ u2 b) z0 z% ~$ T2 S</P>
2 h. l( _7 Z7 b0 ?) s<>端口：544
! E. J# f: k1 n5 d. c- m$ k" R服务：[NULL]
1 e7 d! U) J& B% P5 J9 D$ v* y说明：kerberos kshell
</P>
<>端口：548
# t# G6 v' z6 N) {, W* p& n: ]+ l# K3 S服务：Macintosh,File Services(AFP/IP)
说明：Macintosh,文件服务。
: M$ e  [/ l7 t8 y/ k& h$ r/ z</P>
; O- H2 R* I, M) Y5 E<>端口：553
) l5 ]8 u% o( k8 y3 b" t服务：CORBA IIOP （UDP）
说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口：555
服务：DSF
) D* O; Y3 [5 g6 J. [" e说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
</P>
<>端口：568
* }4 U* `# b+ g服务：Membership DPA
7 h! t# @( z' h说明：成员资格 DPA。
</P>
<P>端口：569
9 u2 ~: [4 T+ n服务：Membership MSN
说明：成员资格 MSN。
</P>
8 q$ n8 H  W' c0 R3 M% z<P>端口：635
服务：mountd
说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。
</P>
<P>端口：636
& t, H. B4 B7 s' j! q! l服务：LDAP
, ?9 `) J' W& n6 n% O% x* B+ _说明：SSL（Secure Sockets layer）
</P>
0 T% g+ {9 [6 N: U. M$ D% v<P>端口：666
服务：Doom Id Software
说明：木马Attack FTP、Satanz Backdoor开放此端口
</P>
<P>端口：993
( e% @* O! a. d  Q服务：IMAP
说明：SSL（Secure Sockets layer）
# e  b* L- A& E& A. I</P>
<P>端口：1001、1011
# K. i. o0 I9 n* e7 V& s( W服务：[NULL]
3 ?& A! u' t3 V4 }2 Q1 j说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。

% }, i( G# R9 U4 h端口：1024
. W, x1 Z# I/ }1 A: r服务：Reserved
0 M& |+ |7 h" l! x说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
6 b. A9 z- M, X4 e</P>
<P>端口：1025、1033
服务：1025：network blackjack 1033：[NULL]
5 t: n( T' g) m3 R3 ~说明：木马netspy开放这2个端口。
</P>
8 i  z2 m6 g1 q, G<P>端口：1080
服务：SOCKS
' M6 S' V1 f, \* n说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。
</P>
# z1 z% u/ E5 e! i<P>端口：1170
服务：[NULL]
. W2 [2 S$ W4 o+ w1 C8 D  z说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
3 s& J4 T, ~/ S$ y</P>
<P>端口：1234、1243、6711、6776
服务：[NULL]
. o* p6 M( n8 J( t说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。

端口：1245
服务：[NULL]
; l' B. U/ k; e说明：木马Vodoo开放此端口。
+ I6 k0 [! j- p% H+ U2 I/ H</P>
1 a7 I, j8 M) X- o  A  X<P>端口：1433
2 t9 T7 l. ]/ J2 T$ g, o服务：SQL
说明：Microsoft的SQL服务开放的端口。
( ~4 Q# E( v  W' B6 t9 v; O</P>
- E( f5 s4 L* e, o8 z# P<P>端口：1492
% N3 \6 @5 n) S服务：stone-design-1
$ M4 O- c. ?- y9 z! e& \, d4 u说明：木马FTP99CMP开放此端口。
5 {+ Y) L+ S& v</P>
7 L4 |. G2 C( N; g  l$ W<P>端口：1500
服务：RPC client fixed port session queries
! s0 |& b8 A: y5 z2 ~8 o说明：RPC客户固定端口会话查询
</P>
<P>端口：1503
服务：NetMeeting T.120
. q5 b# P/ a/ ]' S</P>
<P>说明：NetMeeting T.120
端口：1524
1 E! o1 K4 M$ k9 F/ l8 Y9 A服务：ingress
4 F- d1 _8 W+ m说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。
% w. a: R* W/ }' K+ ~% U</P>
<P>端口：1600
7 Y! B9 G9 |1 U$ V0 d/ N服务：issd
说明：木马Shivka-Burka开放此端口。

) h4 f3 c' U% v7 E0 N端口：1720
1 L6 x- W  }2 N# V  C3 _- \! S服务：NetMeeting
$ X) F$ f0 O0 v. n& M! \- e说明：NetMeeting H.233 call Setup。
, f$ w' Y4 `* R, o1 ?+ M& X</P>
7 Q0 p0 r  k( a. u( r3 S2 q<P>端口：1731
服务：NetMeeting Audio Call Control
说明：NetMeeting音频调用控制。
</P>
. a# z2 r, U  G7 M6 H  }<P>端口：1807
服务：[NULL]
2 B* S# G/ d  V, @说明：木马SpySender开放此端口。
</P>
<P>端口：1981
服务：[NULL]
说明：木马ShockRave开放此端口。
</P>
: a+ V2 X7 Z0 I2 p& G0 P5 m/ a1 m# o<P>端口：1999
服务：cisco identification port
说明：木马BackDoor开放此端口。

端口：2000
服务：[NULL]
7 z8 |1 G" i: h说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。
</P>
, x4 C9 q# j/ Y3 W0 }) m* y<P>端口：2001
服务：[NULL]
说明：木马Millenium 1.0、Trojan Cow开放此端口。
</P>
<P>端口：2023
服务：xinuexpansion 4
说明：木马Pass Ripper开放此端口。
0 `' y4 T7 D: [" v</P>
<P>端口：2049
2 Q* N, Z2 m+ R' U9 m服务：NFS
说明：NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
</P>
<P>端口：2115
; Z. G8 T7 ^+ ]1 o服务：[NULL]
说明：木马Bugs开放此端口。
% v# r7 t7 @3 _! r$ [, \5 g; V
端口：2140、3150
服务：[NULL]
' j+ [# }- n2 f; ~) g4 U  M9 ^# D说明：木马Deep Throat 1.0/3.0开放此端口。
2 @  ~$ \# b3 u, n$ b3 g$ ~4 `& `</P>
( V# Z. l% Q1 h% J% p<P>端口：2500
# h" t0 `: _+ W" m/ E服务：RPC client using a fixed port session replication
0 V7 O& X, X! ?# U6 J& I) c2 l说明：应用固定端口会话复制的RPC客户
) K6 i; |  @# d3 |$ m4 X7 [</P>
<P>端口：2583
服务：[NULL]
' a/ x. b% M# d2 d( c" x4 T3 H说明：木马Wincrash 2.0开放此端口。
</P>
; ?. ?, b% `/ |& e<P>端口：2801
# D% Y- z: I/ i6 U服务：[NULL]
说明：木马Phineas Phucker开放此端口。
* G9 |3 ?/ X( y; J1 {</P>
- i* h, b& o$ J# G3 c<P>端口：3024、4092
7 c8 b7 G. ]0 W, h) I+ m9 t服务：[NULL]
$ m2 I. B# j' y4 r& v) P* m5 [' q4 ]说明：木马WinCrash开放此端口。
</P>
  r; S' u" d4 J, B) v<P>端口：3128
0 |' B5 O6 P0 ~+ Y8 V/ g8 K服务：squid
说明：这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
1 z% _% V6 Q1 |5 ^: B* U& Z0 H</P>
0 h8 y5 Y1 t: f  W2 R8 Q* z<P>端口：3129
/ G# d9 d5 i6 T1 u# p服务：[NULL]
说明：木马Master Paradise开放此端口。
0 Z7 w% q# U7 }% W1 L</P>
<P>端口：3150
服务：[NULL]
6 |- q. }# E9 z说明：木马The Invasor开放此端口。
6 o6 M( h# _. l1 H3 U5 p</P>
<P>端口：3210、4321
服务：[NULL]
说明：木马SchoolBus开放此端口


. Y# ?6 |1 ?8 w  M$ _端口：3333
服务：dec-notes
3 `* P, y6 U; [6 N# v说明：木马Prosiak开放此端口
</P>
<P>端口：3389
6 w$ k7 t% C5 m. f4 O) Z. K服务：超级终端
说明：WINDOWS 2000终端开放此端口。
5 X* v. E) ^5 U! w</P>
<P>端口：3700
服务：[NULL]
说明：木马Portal of Doom开放此端口
! ^) |* M5 o8 V* B. N</P>
<P>端口：3996、4060
% C# F+ S  v( F* m! y服务：[NULL]
6 k$ w! T+ q% X9 d& d6 G说明：木马RemoteAnything开放此端口
/ U+ M) w% j* ~2 a" U9 L3 g2 _+ W$ E0 C</P>

╃無名草╃

<>端口：4000
服务：QQ客户端
; Z) m) E2 P' t; [" l0 G  f说明：腾讯QQ客户端开放此端口。
  _2 _2 A) n8 @. o</P><>端口：4092
服务：[NULL]
说明：木马WinCrash开放此端口。
</P><>端口：4590
; b, P) `0 N2 v# p2 T服务：[NULL]
说明：木马ICQTrojan开放此端口。
</P><>端口：5000、5001、5321、50505 服务：[NULL]
2 r4 ^2 L" X0 t- ]5 u; d0 D! M说明：木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。
端口：5400、5401、5402
服务：[NULL]
说明：木马Blade Runner开放此端口。
</P><>端口：5550
服务：[NULL]
说明：木马xtcp开放此端口。
' C# }" Q; P% _% V/ k/ E2 B</P><>端口：5569
服务：[NULL]
说明：木马Robo-Hack开放此端口。
0 q$ d' D# j" E8 \4 x</P><>端口：5632
服务：pcAnywere
说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。
* b9 l' d' W) Q/ D7 ^+ T
$ P& U3 Y0 i# l5 u& E
+ Y$ }- N) Z3 I% \. H- N9 j端口：5742
服务：[NULL]
$ [, M0 X, A+ b, C" O' L- f说明：木马WinCrash1.03开放此端口。
</P><>端口：6267
+ ~1 B( z9 X4 I) Q) g服务：[NULL]
8 E3 W/ H8 u2 J! W) P, e说明：木马广外女生开放此端口。
</P><>端口：6400
6 Z- l! E% p& y( V  A8 A# }, I服务：[NULL]
6 u  w2 Y7 U! D5 i# o) t* B! B2 R说明：木马The tHing开放此端口。
1 ?7 b+ w4 H  q* Z- \</P><>端口：6670、6671
服务：[NULL]
2 D8 ?3 [6 |# k& K说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
( b3 ^# H1 ?, }) N</P><>端口：6883
$ C" k. y6 J3 T# G, \( [8 y3 N# z) {服务：[NULL]
0 p# ^  C+ M* U+ h! a! b说明：木马DeltaSource开放此端口。
! m! ~+ ]- i2 H  v5 b</P><>端口：6969
服务：[NULL]
9 K3 D$ u8 x$ w% J说明：木马Gatecrasher、Priority开放此端口。
9 ?7 w, x3 l# ^</P><>端口：6970
服务：RealAudio
$ o: X# b6 _" l说明：RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
</P><>端口：7000
服务：[NULL]
0 E3 t: N+ }4 D: m5 Z说明：木马Remote Grab开放此端口。
</P><>端口：7300、7301、7306、7307、7308
服务：[NULL]
8 w9 y; j0 x) A; B7 ?说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口
</P><>端口：7323
$ _/ F. c# m4 X: r! b* r# @0 S( V服务：[NULL]
8 a1 Q. p, }' Y, K说明：Sygate服务器端。
: L9 M' q  z6 ~8 s</P><>端口：7626
6 j- }+ A0 h1 x; t5 ~4 ^6 X; o服务：[NULL]
说明：木马Giscier开放此端口。
! A& Z0 v- g5 {9 ?% \</P><>端口：7789
服务：[NULL]
说明：木马ICKiller开放此端口。
</P><>端口：8000
, U. B- `# d1 v: Z: E. O. U# T服务：OICQ
说明：腾讯QQ服务器端开放此端口。 '
  p; t: o8 H/ c+ @% x8 Q</P><>端口：8010
服务：Wingate
0 y' w/ p  V/ w8 c$ L! l4 `1 A1 S说明：Wingate代理开放此端口。
$ @% c/ G' G4 Z</P><>端口：8080
服务：代理端口
说明：WWW代理开放此端口。
6 I8 |% f1 k" @</P><>端口：9400、9401、9402
服务：[NULL]
说明：木马Incommand 1.0开放此端口。
</P><>端口：9872、9873、9874、9875、10067、10167
服务：[NULL]
说明：木马Portal of Doom开放此端口
</P><>端口：9989
服务：[NULL]
说明：木马iNi-Killer开放此端口。
</P><>端口：11000
2 K- f2 j/ a& A: m/ d服务：[NULL]
$ ^# M0 H) S8 A5 J! Q! y' `说明：木马SennaSpy开放此端口。
</P><>端口：11223
' c0 t: {: N* x4 u+ X$ H# ]" |* C7 s服务：[NULL]
说明：木马Progenic trojan开放此端口。
</P><>端口：12076、61466
, L6 O1 A! i  {" P( Y6 ?服务：[NULL]
说明：木马Telecommando开放此端口。
</P><>端口：12223
- d% y5 N/ J6 P' {. D$ L服务：[NULL]
& x. n3 v( N* ?' I& i说明：木马Hack'99 KeyLogger开放此端口。
</P><>端口：12345、12346
服务：[NULL]
: y' c2 r2 @( ?( x7 O说明：木马NetBus1.60/1.70、GabanBus开放此端口。
* q! K3 T, z' U5 R7 n6 q7 X</P><>端口：12361
服务：[NULL]
说明：木马Whack-a-mole开放此端口。
& t) _+ V) i' a, ~* w</P><P>端口：13223
, A8 Z. R1 h) |7 v: M服务：PowWow
( O# Y# t9 c& \- R8 n4 H+ \# w$ \说明：PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。

端口：16969
服务：[NULL]
$ e" H; F/ A9 ]! [7 b6 S7 d说明：木马Priority开放此端口。
</P><P>端口：17027
5 L2 f; ]% ]4 }+ L% r5 O/ @服务：Conducent
1 \7 Z8 \3 u% B4 b. i! R说明：这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。
</P><P>端口：19191
$ F. S. ^$ T0 N5 x% d5 m' P服务：[NULL]
6 L; _2 B2 C1 J! G说明：木马蓝色火焰开放此端口。
</P><P>端口：20000、20001
服务：[NULL]
说明：木马Millennium开放此端口。
</P><P>端口：20034
" I# L) o$ M( b8 m服务：[NULL]
/ y* D% n+ N- A; [, m" z& @) D说明：木马NetBus Pro开放此端口。
</P><P>端口：21554
服务：[NULL]
2 p2 ?9 R5 F4 W! u: ~$ [说明：木马GirlFriend开放此端口。
</P><P>端口：22222
5 _1 @7 r- A/ n# v" }+ ~* B9 Z服务：[NULL]
( g" u! {) f# W7 T' I说明：木马Prosiak开放此端口。

端口：23456
; k2 K1 f+ j$ Z% ^6 G% x# E服务：[NULL]
说明：木马Evil FTP、Ugly FTP开放此端口。
, E/ F; F' H8 G& Y/ W9 p</P><P>端口：26274、47262
服务：[NULL]
, |1 k2 b/ T6 j+ `* W说明：木马Delta开放此端口。
</P><P>端口：27374
服务：[NULL]
说明：木马Subseven 2.1开放此端口。
8 E3 D  g+ z1 y0 i, }5 {</P><P>端口：30100
/ @; |0 a) q( F8 l5 M' Y! m服务：[NULL]
说明：木马NetSphere开放此端口。
" s7 J5 Y1 A$ {0 i" `</P><P>端口：30303
9 o% \% J2 s( _% b服务：[NULL]
) H; m+ t0 j8 h' X说明：木马Socket23开放此端口。
* E$ X( Q. |$ o5 H</P><P>端口：30999
服务：[NULL]
. N6 z# L5 \# N! N  c- V# x说明：木马Kuang开放此端口。
0 i1 |/ G+ F) x/ r9 m</P><P>端口：31337、31338
服务：[NULL]
0 r+ y, Z: F% a! A/ X* q  t说明：木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。
6 s4 Z: ^7 f# z6 g( w2 u</P><P>端口：31339
2 p8 Z0 f6 E6 q% {- z& Y服务：[NULL]
说明：木马NetSpy DK开放此端口。
</P><P>端口：31666
服务：[NULL]
说明：木马BOWhack开放此端口。

端口：33333
( N; {% |0 p' I% M服务：[NULL]
说明：木马Prosiak开放此端口。
</P><P>端口：34324
9 E  B" h7 H1 f; y服务：[NULL]
说明：木马Tiny Telnet Server、BigGluck、TN开放此端口。
</P><P>端口：40412
服务：[NULL]
说明：木马The Spy开放此端口。
1 Q0 o- e2 I0 I( B% q/ n' t5 s</P><P>端口：40421、40422、40423、40426、
服务：[NULL]
说明：木马Masters Paradise开放此端口。
</P><P>端口：43210、54321
! ^+ v2 s( n( b' I. j$ M2 \; O服务：[NULL]
# x6 D$ l8 I. U; L说明：木马SchoolBus 1.0/2.0开放此端口。
% W& i2 L2 O9 Q</P><P>端口：44445
服务：[NULL]
说明：木马Happypig开放此端口。
</P><P>端口：50766
服务：[NULL]
/ g4 u% M+ i8 U7 t* ]# v说明：木马Fore开放此端口。
# k$ U& K. b2 ?6 \
3 B% y1 K# O% o2 {0 n; I端口：53001
服务：[NULL]
% ]" S0 R" o3 |9 C2 {3 \% l说明：木马Remote Windows Shutdown开放此端口。
( J6 F' q/ ]8 y9 E0 b* h</P><P>端口：65000
服务：[NULL]
) m8 ^- \& Q5 ?7 x$ D说明：木马Devil 1.03开放此端口。
( f$ M4 F' _9 \/ e  @</P><P>端口：88
) a" U$ B+ x8 E$ J3 t说明：Kerberos krb5。另外TCP的88端口也是这个用途。
" n( @2 ?4 S1 X/ R" M# M! b6 t2 ^' Q</P><P>端口：137
. c, M7 ^0 u' E3 O, P, M2 \说明：SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。
</P><P>端口：161
说明：Simple Network Management Protocol(SMTP)（简单网络管理协议）
</P><P>端口：162
; y+ _& ~# ]' a$ O说明：SNMP Trap（SNMP陷阱）
</P><P>端口：445
说明：Common Internet File System(CIFS)（公共Internet文件系统）
2 {9 M$ ]8 r; j, ^  {% d7 F# I; y</P><P>端口：464
说明：Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。
2 }& S. ?1 i, i5 L( b9 g
端口：500
说明：Internet Key Exchange(IKE)（Internet密钥交换）
</P><P>端口：1645、1812
说明：Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)
</P><P>端口：1646、1813
说明：RADIUS accounting(Routing and Remote Access)(RADIUS记帐（路由和远程访问）)
</P><P>端口：1701
说明：Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)
</P><P>端口：1801、3527
  W. ~6 Q, H+ @7 e" H9 i2 L, x说明：Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。
3 j9 p" P( P5 ?" G# r</P><P>端口：2504
说明：Network Load Balancing(网络平衡负荷)
0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口
: b3 W) _- ^1 [: O连接它时将产生不同的结果。一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。 </P>