计算机系统端口介绍[详细列表]

╃無名草╃

<>

我们常常会在各类的技术文章中见到诸如135、137、139、443之类的“端口”，可是这些端口究竟有什么用呢？它会不会给我们的计算机带来潜在的威胁呢？究竟有多少端口是有用的？想要了解的话，就跟我来吧

' _1 J# y7 N% H4 `6 N7 b2 ^$ [端口：0
/ p! c; y5 k: H- H; J! a服务：Reserved
说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

端口：1
服务：tcpmux
$ M/ D& H" x# W! Y: g/ g说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
( K* {# g' H- M</P>
# d/ P( l- p  i& }<>端口：7
服务：Echo
说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。
</P>
<>端口：19
服务：Character Generator
, [* x) L3 v  S8 @+ P说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。
</P>
<>端口：21
服务：FTP
; Z; X- W* D$ w说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
</P>
<>端口：22
) a* L% ]1 B7 |& h: x  N服务：Ssh
0 o* L4 t/ \  ]% L2 i说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。
& e3 b. z# q* i2 N$ G& X* Z</P>
<>端口：23
服务：Telnet
- s0 s& s, Y$ r: U: a3 Z; w) A" R说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
</P>
) |7 \# h! z; |+ X) _0 q& l+ i! ^<>端口：25
服务：SMTP
! R/ ^8 }6 p* Z6 G/ a9 g% s说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
9 }" l, {* o: b</P>
<>端口：31
服务：MSG Authentication
+ {( S5 J. a$ z/ K说明：木马Master Paradise、Hackers Paradise开放此端口。
</P>
( v& W5 G; \9 c+ K2 H& c<>端口：42
/ |5 Z8 Z* g3 l5 \服务：WINS Replication
% v  `( d3 A  Q; p说明：WINS复制
</P>
# F, m* c: c: ~5 n3 n<>端口：53
4 L3 }& m: @- F% E' \服务：Domain Name Server（DNS）
说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
( K7 f+ Z; V  z0 d  w/ P6 k</P>
& b: L, R& c. K; X<>端口：67
: k- D8 R% J% e8 n服务：Bootstrap Protocol Server
' l! v7 r1 G: D6 w/ R9 U: P说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
2 D- S! X6 u1 m0 P7 F; @</P>
3 o3 x3 j& T" R& a5 A+ Z<>端口：69
9 e; n- z/ d( [服务：Trival File Transfer
说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
, S# t" A, A+ j: {+ G/ \</P>
% |' D3 R. w- }' P/ d' U<>端口：79
服务：Finger Server
9 W- c/ X* n6 |5 X" X. e0 M说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。
* Y: p1 K- H' i</P>
<>端口：80
服务：HTTP
说明：用于网页浏览。木马Executor开放此端口。
</P>
. e0 h. P8 A4 `- \" M<>端口：99
服务：metagram Relay
说明：后门程序ncx99开放此端口。
, X  R5 {% j# E2 v/ G& q</P>
<>端口：102
& n% N, i/ {9 O服务：Message transfer agent(MTA)-X.400 over TCP/IP
, \1 n7 |7 z* [: }说明：消息传输代理。

端口：109
服务：Post Office Protocol -Version3
! Z6 t0 t1 ]( M3 x4 G) _说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
</P>
6 \, |* e% J; J, E2 N9 k( Z/ g# G<>端口：110
服务：SUN公司的RPC服务所有端口
说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
</P>
! ~# i6 w9 a4 x/ L<>端口：113
服务：Authentication Service
/ `( P+ D6 r3 P3 m. P7 V8 m- s说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
' K5 A5 s8 y5 a8 r</P>
<>端口：119
服务：Network News Transfer Protocol
; x& L8 y( Y' r& x2 Q; k说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

4 l, d! p- y! X( a端口：135
; t3 U# _1 P% q  G0 u' E服务：Location Service
说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。
</P>
: O- o+ ^, }/ T<>端口：137、138、139
! O3 J  ?# K, i* I( Z( a' [9 H  _/ ]+ M服务：NETBIOS Name Service
说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
</P>
3 T$ \/ G: C  \, J<>端口：143
7 I7 ^$ `5 z- t$ ?1 U! \2 B3 O服务：Interim Mail Access Protocol v2
6 h. g% Z1 i8 q6 E3 R) a说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。
/ X1 T" X7 F+ g' S( M</P>
<>端口：161
服务：SNMP
7 F; {6 S0 V9 k! s* ^说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

端口：177
8 x. e) J; I, z- ^3 b服务：X Display Manager Control Protocol
) j) w/ l/ p1 P: ^; c说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。
. o8 N( J7 W' J4 E+ Y# C0 X</P>
<>端口：389
$ i0 ~% f' X4 k9 t+ x7 Z) I服务：LDAP、ILS
3 o$ h  G, H: b, Y说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
</P>
3 X6 M5 G& `$ {9 N<>端口：443
服务：Https
3 w0 m$ @1 D+ a1 H! E& O说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。
  I/ j5 l3 W6 C% ~  Q% q</P>
<>端口：456
服务：[NULL]
" d1 x( W. j9 G. h9 u- p说明：木马HACKERS PARADISE开放此端口。
# Z! d+ R9 C2 ]. }; Q9 ?</P>
+ J4 k. H$ j& B<>端口：513
& f2 r" O2 F( M" n服务：Login,remote login
6 a, \  n' E! O3 U( E' O* ?# |说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
9 f# F- a. ^0 Q/ J% l</P>
<>端口：544
服务：[NULL]
8 E" I! f; a" J2 e* a- r说明：kerberos kshell
  `& t+ S' ?& j( g</P>
5 ~4 n# h1 h. M/ Z$ @<>端口：548
服务：Macintosh,File Services(AFP/IP)
说明：Macintosh,文件服务。
- X8 Q" u* u4 L! _& B</P>
<>端口：553
服务：CORBA IIOP （UDP）
说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
% S% \5 m% {$ a) [. d
- z. m# z$ Z2 s& |' X/ ^端口：555
5 [, w3 I% o  s8 D服务：DSF
2 b# d) m, |5 y- }' n  y说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
</P>
<>端口：568
服务：Membership DPA
8 e1 c  ]5 I% k( A% P说明：成员资格 DPA。
</P>
! r. o8 X6 y% ?7 N0 H+ F<P>端口：569
服务：Membership MSN
1 Z9 O) h* N$ R( r0 {说明：成员资格 MSN。
. U/ U6 p; }6 p) ^1 G: t</P>
<P>端口：635
8 Q/ c% V2 ?5 b1 \$ a: \+ ^服务：mountd
说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。
' s! e8 r- K+ r0 e; Y. R  z+ \</P>
<P>端口：636
服务：LDAP
8 e/ x6 V2 Z. R7 y: y+ U说明：SSL（Secure Sockets layer）
6 L8 v" x6 B/ ?</P>
4 q6 z# y6 Q/ b  O6 u  B<P>端口：666
服务：Doom Id Software
0 @% O+ _) B9 L1 B3 G3 |说明：木马Attack FTP、Satanz Backdoor开放此端口
</P>
$ ?; D. G! U5 l+ y! K<P>端口：993
+ a3 t( x$ K0 V( C" V7 g* d2 b6 K6 x服务：IMAP
% N7 Z* F5 z' M5 W# z" R& v& f说明：SSL（Secure Sockets layer）
4 J/ _( {3 G2 B0 {9 O- w. Q</P>
" ~3 l+ t/ Y' ~! {3 I) Z<P>端口：1001、1011
服务：[NULL]
说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
7 i: ~1 P* |/ T) d- U( l: [
! }5 m, ]8 |& O1 u6 m6 D端口：1024
+ D" o$ w  l* U8 {; j, G0 G5 T' K服务：Reserved
说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
& K" G, w: U/ Y8 j  N</P>
& n- [5 P0 x& z! d' |) f# ^; z<P>端口：1025、1033
服务：1025：network blackjack 1033：[NULL]
) C/ M% p) u2 S* z8 [说明：木马netspy开放这2个端口。
) J+ ^6 J5 z8 W# L</P>
# Q3 e( _; c3 i' V5 y<P>端口：1080
服务：SOCKS
; v4 N- N/ c5 |# O说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。
</P>
<P>端口：1170
服务：[NULL]
0 s5 c% f+ K! H$ a$ O1 e) T8 N8 f" g说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
1 b4 R2 O: X( \! J$ c</P>
0 u6 M0 f# b* n* b6 o( m7 u, h<P>端口：1234、1243、6711、6776
服务：[NULL]
说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。
/ y7 J; L; h7 P6 e
4 x8 Q9 Q* F$ u9 S* V端口：1245
服务：[NULL]
说明：木马Vodoo开放此端口。
</P>
<P>端口：1433
服务：SQL
2 F  J  Z1 @( U. t+ ?! b说明：Microsoft的SQL服务开放的端口。
</P>
6 ]& f7 ~7 c  o; Q0 p% s<P>端口：1492
服务：stone-design-1
说明：木马FTP99CMP开放此端口。
6 `1 r& w, \: J' b. i. h</P>
<P>端口：1500
6 p6 H' x4 G# n$ @3 y; H服务：RPC client fixed port session queries
说明：RPC客户固定端口会话查询
6 O7 I, I& j9 G' Q</P>
* A5 y( D+ l+ C<P>端口：1503
服务：NetMeeting T.120
</P>
) `  ]8 n8 g0 v* R% b0 I  K/ z) O<P>说明：NetMeeting T.120
端口：1524
服务：ingress
$ \7 q0 G2 C1 [+ R7 a说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。
</P>
1 V# u  x7 ?* ~, @<P>端口：1600
5 g2 V  n! B- m( H服务：issd
说明：木马Shivka-Burka开放此端口。

2 A+ z/ d9 l( {; ?+ b/ p% u端口：1720
服务：NetMeeting
2 [; f0 U: k9 |# w% x% h说明：NetMeeting H.233 call Setup。
" O9 \( g- W+ v</P>
; o; t& R1 G8 B% k7 e& ^, r) X8 b<P>端口：1731
服务：NetMeeting Audio Call Control
说明：NetMeeting音频调用控制。
% p+ V$ X2 i5 G, v) [</P>
<P>端口：1807
服务：[NULL]
) ^1 @: a0 Z; q: M8 A/ A( @7 g. m说明：木马SpySender开放此端口。
</P>
<P>端口：1981
服务：[NULL]
& m; B- T. ]+ T# t% J# A' U4 T8 t说明：木马ShockRave开放此端口。
+ z! Q7 W7 y6 P( G$ b) a4 ]  T# t3 r</P>
- p5 T3 s: j) b* K; N( M" r<P>端口：1999
服务：cisco identification port
说明：木马BackDoor开放此端口。
2 b6 h3 R1 `9 a" K& L
4 A% Z0 y, X0 A5 _2 b! s端口：2000
9 p' l" p( B, j服务：[NULL]
说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。
</P>
<P>端口：2001
服务：[NULL]
) k' g! k: b$ W6 J5 X说明：木马Millenium 1.0、Trojan Cow开放此端口。
/ l" d" P4 w4 s, ^( H: j</P>
/ ]8 _6 V( U% s% x: {<P>端口：2023
服务：xinuexpansion 4
说明：木马Pass Ripper开放此端口。
: n; V1 C  \) u6 f! u4 n% Q</P>
: W1 W0 F9 o7 ^) G! M/ U<P>端口：2049
服务：NFS
说明：NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
</P>
<P>端口：2115
6 C' @- k- F, p5 T服务：[NULL]
: {! i: S& W9 C$ A/ M说明：木马Bugs开放此端口。
1 u/ h* n+ y6 w! c/ g. q
6 [1 v6 t( F4 k7 W% @1 u8 u& q9 }端口：2140、3150
5 F5 Y3 g# D( r2 d8 W服务：[NULL]
说明：木马Deep Throat 1.0/3.0开放此端口。
</P>
<P>端口：2500
服务：RPC client using a fixed port session replication
3 ]7 Y, J- g9 g" K  W% @' B, O说明：应用固定端口会话复制的RPC客户
9 T! D; s" }7 j. |5 \# g</P>
<P>端口：2583
/ |- A2 F4 v0 C5 H# G% ]服务：[NULL]
说明：木马Wincrash 2.0开放此端口。
</P>
<P>端口：2801
8 C/ x: z& H- O, m  n( T: K3 w服务：[NULL]
说明：木马Phineas Phucker开放此端口。
</P>
<P>端口：3024、4092
服务：[NULL]
说明：木马WinCrash开放此端口。
</P>
<P>端口：3128
) l0 {9 ~/ S) q6 |0 F& F服务：squid
+ m' G3 }7 B  Q2 G, B说明：这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
</P>
<P>端口：3129
服务：[NULL]
说明：木马Master Paradise开放此端口。
; {& t. A/ e: C& [4 c8 [</P>
<P>端口：3150
, P8 ?% d3 Z* b( z" `服务：[NULL]
说明：木马The Invasor开放此端口。
$ ^$ _) v5 Z: |7 Y" Y</P>
<P>端口：3210、4321
" y% }: W! A! \+ s& @服务：[NULL]
& ~+ g3 r* _: J9 f2 G# O7 ^说明：木马SchoolBus开放此端口
$ q( S9 w. C1 }$ ^
3 ~* Y2 N* O1 e  V1 Q3 |9 q1 u
端口：3333
服务：dec-notes
说明：木马Prosiak开放此端口
# b& l) @; _6 c; ]7 m% {5 T# G</P>
<P>端口：3389
" g& S: }3 r* P# F服务：超级终端
说明：WINDOWS 2000终端开放此端口。
</P>
  P( c/ P" N' v4 d* }* U4 e0 T<P>端口：3700
服务：[NULL]
" x+ k) Q' R$ V; A说明：木马Portal of Doom开放此端口
</P>
<P>端口：3996、4060
1 J9 Z4 _- A) w: e服务：[NULL]
4 H& f& Z8 U2 A; i说明：木马RemoteAnything开放此端口
</P>

╃無名草╃

<>端口：4000
+ ~7 }6 u. Q$ D) E- m( b+ p- Z服务：QQ客户端
说明：腾讯QQ客户端开放此端口。
</P><>端口：4092
9 c1 p2 q' L$ S服务：[NULL]
说明：木马WinCrash开放此端口。
+ A: A. |3 m" O, M9 u</P><>端口：4590
3 [0 d$ \% M" M0 t+ @& `" |: C服务：[NULL]
说明：木马ICQTrojan开放此端口。
</P><>端口：5000、5001、5321、50505 服务：[NULL]
$ t6 i. J' ^- G+ l; z  w说明：木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。
端口：5400、5401、5402
服务：[NULL]
说明：木马Blade Runner开放此端口。
</P><>端口：5550
$ l% b" R8 }' q服务：[NULL]
+ B) ^0 Q0 K/ }/ N% F说明：木马xtcp开放此端口。
9 E! l, t5 T0 e4 N$ L3 s</P><>端口：5569
$ T. L9 b; V% L" W( {8 [. C% h服务：[NULL]
3 O- Z5 s9 u7 z说明：木马Robo-Hack开放此端口。
</P><>端口：5632
服务：pcAnywere
说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。
  a8 j% i: _9 ?
; O' l" t7 a+ J+ U2 o9 i, U
: T7 H" y5 r7 c7 Y+ m端口：5742
服务：[NULL]
) g6 R. u) ]) [5 C说明：木马WinCrash1.03开放此端口。
" r& u+ D6 b6 G7 z</P><>端口：6267
服务：[NULL]
8 w5 G( k' t5 s( \6 V/ \& S( m说明：木马广外女生开放此端口。
</P><>端口：6400
服务：[NULL]
, ~. K9 i- f4 P" F% M6 Y说明：木马The tHing开放此端口。
</P><>端口：6670、6671
服务：[NULL]
4 F& C, R/ l/ o5 K5 |1 B4 T/ X说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
7 J# K( [9 Z: h% [( y" ^</P><>端口：6883
服务：[NULL]
2 Q2 R$ i6 v3 m6 J1 s2 c( O2 a- R说明：木马DeltaSource开放此端口。
8 X2 T' C  i+ J</P><>端口：6969
$ `, `2 k8 T$ i# K1 m服务：[NULL]
: Q. @3 ?+ e7 `$ j8 G' K9 N说明：木马Gatecrasher、Priority开放此端口。
/ {& j1 G$ v- v( e+ P  C2 m: |</P><>端口：6970
服务：RealAudio
说明：RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
</P><>端口：7000
: }' h0 g, P( W2 O+ S, G服务：[NULL]
8 I6 v! n& ?& z! d4 y( U1 ]# X1 P* K说明：木马Remote Grab开放此端口。
/ {$ l: [* y/ h</P><>端口：7300、7301、7306、7307、7308
: {% W; [9 {% c  ?% n  [服务：[NULL]
说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口
</P><>端口：7323
5 C4 ^' g( b" j& ^( Y. L+ l3 ~7 _服务：[NULL]
/ K2 d" g- q4 h0 w% H说明：Sygate服务器端。
</P><>端口：7626
, I) _5 W3 T& i8 j' [$ W! G服务：[NULL]
说明：木马Giscier开放此端口。
</P><>端口：7789
0 N+ b$ J" ^. F2 b' t2 f服务：[NULL]
6 ^  c9 `' J, M) G9 a3 V说明：木马ICKiller开放此端口。
6 Z, C3 F) h2 L6 t* w3 o</P><>端口：8000
! P* e2 a- i' m服务：OICQ
2 ?/ T+ F7 e) Q2 j# u说明：腾讯QQ服务器端开放此端口。 '
</P><>端口：8010
服务：Wingate
说明：Wingate代理开放此端口。
</P><>端口：8080
; }) z$ I. [; s服务：代理端口
' C9 U  ~4 q8 M- b说明：WWW代理开放此端口。
+ r9 y, [# H+ j; j# X</P><>端口：9400、9401、9402
4 y2 F* q$ Y; q& |9 x服务：[NULL]
说明：木马Incommand 1.0开放此端口。
8 p6 W2 o% `0 e3 o6 O4 }% n  `</P><>端口：9872、9873、9874、9875、10067、10167
服务：[NULL]
说明：木马Portal of Doom开放此端口
( [$ D; l1 k" a: |  M3 J* D</P><>端口：9989
服务：[NULL]
/ d6 c7 G! I6 q( i; M  n说明：木马iNi-Killer开放此端口。
, i+ s& t. R+ t% p# y8 t6 W</P><>端口：11000
; V* [6 z# d2 N0 S9 T5 D服务：[NULL]
说明：木马SennaSpy开放此端口。
</P><>端口：11223
服务：[NULL]
/ E" Q# j$ w' Y  ?7 Q说明：木马Progenic trojan开放此端口。
# \" u6 B) ?  N/ q- R0 T5 N</P><>端口：12076、61466
! m. {; y& e! e2 h  c8 j: O服务：[NULL]
) A1 p6 {& S2 I6 {说明：木马Telecommando开放此端口。
+ W9 X$ S3 B9 `& x4 E0 H</P><>端口：12223
' P+ C0 X7 ^, y5 \5 s, H服务：[NULL]
说明：木马Hack'99 KeyLogger开放此端口。
9 V$ G+ ~. \* S" Y8 s& g2 i. \</P><>端口：12345、12346
4 g9 D9 Y5 F/ W" @7 v9 K6 ?. L服务：[NULL]
说明：木马NetBus1.60/1.70、GabanBus开放此端口。
: x( l6 U; [* f  `</P><>端口：12361
: \9 U3 B4 q  j" Z4 Z服务：[NULL]
/ |: f& ]1 j& C, G说明：木马Whack-a-mole开放此端口。
</P><P>端口：13223
  ]% t$ V7 A* O  ~$ u. F服务：PowWow
说明：PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。
' V8 n1 l1 ?' h! Z$ w
- V2 i! y: g; w; g端口：16969
: H7 N- v% S  n5 C: D服务：[NULL]
说明：木马Priority开放此端口。
; r& E- ]! o) R- h</P><P>端口：17027
服务：Conducent
说明：这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。
</P><P>端口：19191
# W. m; O/ Z3 D, d' m0 g服务：[NULL]
说明：木马蓝色火焰开放此端口。
</P><P>端口：20000、20001
3 V) H" h) \. w2 ]( I. J* V服务：[NULL]
说明：木马Millennium开放此端口。
</P><P>端口：20034
服务：[NULL]
说明：木马NetBus Pro开放此端口。
</P><P>端口：21554
5 o6 n- T7 g, j- z服务：[NULL]
说明：木马GirlFriend开放此端口。
5 Q. G( S0 K6 F& k  J( }</P><P>端口：22222
服务：[NULL]
& M2 k* Z' S  [说明：木马Prosiak开放此端口。
( D& }% k* w- E! q* [
端口：23456
服务：[NULL]
说明：木马Evil FTP、Ugly FTP开放此端口。
6 y% @7 U1 p; F" s; U</P><P>端口：26274、47262
服务：[NULL]
说明：木马Delta开放此端口。
7 O- j1 r9 ?* I; h( A8 y</P><P>端口：27374
/ w+ k" z& t, S% {% w. p服务：[NULL]
4 C9 |" C$ a, o$ l, w( ?0 q说明：木马Subseven 2.1开放此端口。
</P><P>端口：30100
服务：[NULL]
6 N' R: T6 e# N说明：木马NetSphere开放此端口。
+ C4 ?  ^0 d- @</P><P>端口：30303
服务：[NULL]
# t  h( v( h& X6 T' i说明：木马Socket23开放此端口。
</P><P>端口：30999
服务：[NULL]
/ ?' q. f. \3 u. H0 w) f  K4 Q说明：木马Kuang开放此端口。
</P><P>端口：31337、31338
服务：[NULL]
说明：木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。
</P><P>端口：31339
1 `8 \2 d0 z  D5 Y- X/ j! X服务：[NULL]
% s1 {6 |- d! A) T说明：木马NetSpy DK开放此端口。
" v) p, }0 U9 ~& K3 n</P><P>端口：31666
服务：[NULL]
说明：木马BOWhack开放此端口。

端口：33333
服务：[NULL]
: A" K/ ^% @5 y# R说明：木马Prosiak开放此端口。
1 H* b3 R% p6 n</P><P>端口：34324
! h( R' ?3 q0 O2 s7 w7 ^服务：[NULL]
& V3 I7 H' G" M9 Q说明：木马Tiny Telnet Server、BigGluck、TN开放此端口。
! y7 p) }3 h  r, G% N</P><P>端口：40412
$ F8 H5 l8 U! R0 {+ B) N+ Y$ \# L服务：[NULL]
说明：木马The Spy开放此端口。
</P><P>端口：40421、40422、40423、40426、
服务：[NULL]
说明：木马Masters Paradise开放此端口。
</P><P>端口：43210、54321
服务：[NULL]
1 Y# r) C! o# v2 R6 _0 c说明：木马SchoolBus 1.0/2.0开放此端口。
</P><P>端口：44445
; [1 u3 U3 k& @& ~2 h" a% H" B服务：[NULL]
1 v% |5 D5 L9 \* Q0 m5 O说明：木马Happypig开放此端口。
$ v6 M  m3 r' \4 l% o</P><P>端口：50766
% j3 E. X4 ], u' m! \服务：[NULL]
0 O- b$ i( Q& Y/ A& U9 b$ P: I' P说明：木马Fore开放此端口。

端口：53001
( o1 g' V- V1 Q& ?2 H1 ^# l服务：[NULL]
' k9 c& l3 [& t# [" V& o说明：木马Remote Windows Shutdown开放此端口。
</P><P>端口：65000
服务：[NULL]
说明：木马Devil 1.03开放此端口。
, ?. G2 ]3 D0 K/ B- T</P><P>端口：88
说明：Kerberos krb5。另外TCP的88端口也是这个用途。
</P><P>端口：137
# U4 G- N* g- G0 T$ X说明：SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。
</P><P>端口：161
* ^$ R2 |7 p6 s" i$ \说明：Simple Network Management Protocol(SMTP)（简单网络管理协议）
# I- y" H: R6 r% r1 n</P><P>端口：162
' N! M% {( s$ F0 ~9 ~说明：SNMP Trap（SNMP陷阱）
7 m8 t- \9 e) ^% u</P><P>端口：445
5 Q- T2 E/ @9 h$ p) u5 ]说明：Common Internet File System(CIFS)（公共Internet文件系统）
1 d) p$ [. J, N) U; a9 @5 C0 L</P><P>端口：464
& s: d' L/ F* A. ?  M2 A/ |: ^说明：Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。

( g$ v8 _3 Z4 K) U+ @" T端口：500
: _7 z! i' q1 [/ H5 P7 n说明：Internet Key Exchange(IKE)（Internet密钥交换）
</P><P>端口：1645、1812
说明：Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)
</P><P>端口：1646、1813
9 A& ?8 \' _: b& p) {' ~说明：RADIUS accounting(Routing and Remote Access)(RADIUS记帐（路由和远程访问）)
</P><P>端口：1701
* G! B3 S* ]  M说明：Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)
7 N0 o5 o. T; ?8 x0 N</P><P>端口：1801、3527
/ e9 W. G; X7 D7 m: t说明：Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。
</P><P>端口：2504
4 B/ n% n. i) c说明：Network Load Balancing(网络平衡负荷)
6 k6 ]! v$ @, F7 ?7 m0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口
$ G4 u: s1 S% c7 h连接它时将产生不同的结果。一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。 </P>