计算机系统端口介绍[详细列表]

╃無名草╃

<>

6 m/ g, S* H: m4 ?/ e& f5 R我们常常会在各类的技术文章中见到诸如135、137、139、443之类的“端口”，可是这些端口究竟有什么用呢？它会不会给我们的计算机带来潜在的威胁呢？究竟有多少端口是有用的？想要了解的话，就跟我来吧

端口：0
5 @- F6 e$ i- ~5 A7 Y- j服务：Reserved
5 Q2 L) U2 q; D说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

端口：1
服务：tcpmux
/ W: t2 ?) v$ P说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
. u0 P/ n* o9 p" k, M</P>
* g, w7 h7 a0 I% W2 ^6 A<>端口：7
& e! J8 J  ~; [1 M) r' I/ ?+ e服务：Echo
说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。
5 G7 f/ B' |8 C& e( s+ A: ~. v% d</P>
<>端口：19
& x. U( a1 R% v; k: J服务：Character Generator
% G* Z- [$ V1 k说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。
1 q2 y+ B) R5 x" X5 R6 E8 b</P>
<>端口：21
# O% H% w% K; |( I: {服务：FTP
0 l# I( ~% y- L" q7 N说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
</P>
4 y( F+ q* T  q; m<>端口：22
, r) |2 S" ~& K* d* x; a! j/ I7 X服务：Ssh
说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。
% o0 X+ f5 N. q% N1 o- ~$ K- r</P>
9 z' q+ S: ]* t1 u8 {<>端口：23
. w* u9 r7 i, V) ^5 @* K, x服务：Telnet
说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
</P>
<>端口：25
服务：SMTP
; r4 ?2 P) y8 r. I' e说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
* e, p9 `2 G. w5 U</P>
1 B5 x4 W! _% @0 Z<>端口：31
& P* j2 }3 |% D服务：MSG Authentication
+ t. V5 G7 K) I$ A说明：木马Master Paradise、Hackers Paradise开放此端口。
</P>
<>端口：42
+ T# h- E$ C1 ]5 ^  |服务：WINS Replication
' E, x$ c9 j( w( W) b5 T0 s- O说明：WINS复制
! W' K# {) k' e8 W; K+ p6 v</P>
<>端口：53
1 a* f' H! \( T1 q/ T3 b+ w( s服务：Domain Name Server（DNS）
说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
</P>
<>端口：67
  n! u% a* e3 w0 {5 W服务：Bootstrap Protocol Server
, t5 \- Y0 @; B/ F) r2 r+ d说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
$ s+ [+ h! \0 s. ?" @7 Y3 }</P>
* N% ~8 s0 Z, E4 B* E' h<>端口：69
服务：Trival File Transfer
0 [$ x& E2 E9 ]( ]+ X  N说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
4 J1 p( g6 ^. L3 ]  J2 Y8 J. w</P>
<>端口：79
服务：Finger Server
说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。
</P>
<>端口：80
3 G! v8 r* i8 W  z, j8 j( v) t  ^" @' \服务：HTTP
8 t8 }; P( N! U* c/ ?6 C/ n% S说明：用于网页浏览。木马Executor开放此端口。
4 Y4 [/ d$ w. W# r2 N</P>
  U& E$ k  W% M/ N  \- M9 `; K<>端口：99
0 {! |. Y3 W2 L( W+ m& S服务：metagram Relay
说明：后门程序ncx99开放此端口。
</P>
5 D# `+ q9 k& p9 b' N  @5 `! a/ V+ p<>端口：102
8 b9 g8 s) J7 n% _! p服务：Message transfer agent(MTA)-X.400 over TCP/IP
5 N* k4 z- z( ^, ^/ u说明：消息传输代理。
+ V! p- N" H' N+ w! B- w
  q0 ^- E9 v% ~; D# g9 a端口：109
; b7 ^4 f* |* Q9 ?" @; h( ~服务：Post Office Protocol -Version3
说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
</P>
<>端口：110
1 M" n7 C2 k+ F4 ?) {# o" |服务：SUN公司的RPC服务所有端口
说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
</P>
& O  y* T  i( j$ A) _<>端口：113
2 B8 t1 O  G4 }/ I5 v' O9 k% O服务：Authentication Service
1 O" C  A3 }) }! \5 ~& R5 {% f& u说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
</P>
  f* x1 v/ v8 I' ]& c5 t<>端口：119
# `8 y2 X- n# U3 n服务：Network News Transfer Protocol
3 q: M- U1 x7 ^3 Q说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端口：135
服务：Location Service
说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。
</P>
* W- K0 s% C+ h7 U8 V- q<>端口：137、138、139
3 |( d8 G( U6 t0 [2 v/ M( ~5 E服务：NETBIOS Name Service
$ V' U3 @) C) n% z0 z8 f& t说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
</P>
<>端口：143
; D' r; r! Q& t6 r# }+ x0 Y服务：Interim Mail Access Protocol v2
说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。
$ ^6 b5 P/ |! K  o0 v</P>
$ c: i2 w/ B! K  D/ G<>端口：161
服务：SNMP
说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
; t1 E8 F: q/ E3 M. U6 r
端口：177
5 Y' S  Y4 ?. z- b. K! Y服务：X Display Manager Control Protocol
) k1 W, P- l9 F$ X& r  m) N/ ?说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。
</P>
<>端口：389
服务：LDAP、ILS
! s) V0 L- Z7 G8 E2 e2 n说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
</P>
<>端口：443
服务：Https
$ k2 @0 x& D9 f7 {说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。
</P>
; X. {2 q1 {. u) D  }' J<>端口：456
服务：[NULL]
: u' s1 @$ f. f说明：木马HACKERS PARADISE开放此端口。
( u, u% c% L3 S0 x1 c1 [2 }</P>
) j# L9 p3 _  h/ c% v$ i<>端口：513
服务：Login,remote login
说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
</P>
+ k. @' f5 B' ^3 a0 L1 u) E<>端口：544
6 P8 @# V  @5 @: g服务：[NULL]
说明：kerberos kshell
9 u" u: a3 n: r5 F+ Z1 ]1 `</P>
) ?5 X% \) D- Q' z. \" N1 u/ T<>端口：548
7 I; Z# \& l6 F# f服务：Macintosh,File Services(AFP/IP)
" G& F) J: `9 `# u. q说明：Macintosh,文件服务。
</P>
: e3 W" e8 d# d<>端口：553
1 L2 v& A& J' X. O# x6 Y服务：CORBA IIOP （UDP）
7 H& [4 {1 ~1 P( j/ n1 f4 @说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
& F0 W1 l8 h8 r4 x: C! w
! e* |5 F$ p: V. a4 j. M! d0 l% |7 @端口：555
服务：DSF
1 P2 F* m$ P! x4 C+ X说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
</P>
* Y. p! n# O) h: x& s<>端口：568
9 B, J+ y2 l3 h0 ]服务：Membership DPA
说明：成员资格 DPA。
+ e4 R* ^- i/ n  b6 i5 H</P>
/ E$ \5 Y6 b2 N<P>端口：569
服务：Membership MSN
0 l# H  j2 \- U- k4 U5 K说明：成员资格 MSN。
- j1 o. A2 n; U8 m1 N, }</P>
<P>端口：635
服务：mountd
* r( u7 E4 ^, ]: x4 t说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。
+ q" e9 v" F0 {6 N1 |1 T5 A</P>
<P>端口：636
服务：LDAP
说明：SSL（Secure Sockets layer）
</P>
' S" w  v1 X( L( m<P>端口：666
) z/ K& V9 F" @; U, m服务：Doom Id Software
说明：木马Attack FTP、Satanz Backdoor开放此端口
( l5 T+ H5 O+ U* a. {' x' T  ^) v</P>
<P>端口：993
服务：IMAP
说明：SSL（Secure Sockets layer）
& R% h% M& ~; T; L</P>
  ]8 k2 ~4 o5 S<P>端口：1001、1011
4 W8 ^' V: b+ G: N; j服务：[NULL]
- E& T( a9 M$ g' T9 f2 k2 z说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
6 @! t/ [+ a: y' F" A. U) }% T$ u
7 ~( p/ Z& Q, I" p- y端口：1024
9 q" G1 y( b6 y6 b服务：Reserved
' m, u+ w3 e  Y! P3 w% ^说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
; b; _5 B. k$ h! h6 t</P>
<P>端口：1025、1033
* h4 q/ x# }. `. H* x" t服务：1025：network blackjack 1033：[NULL]
说明：木马netspy开放这2个端口。
# l0 ~+ k/ g0 N& ^+ Q' X</P>
<P>端口：1080
6 T  m1 B2 i& R) F( K: b服务：SOCKS
说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。
</P>
<P>端口：1170
- g5 [9 _+ Z$ ^/ g服务：[NULL]
$ _/ f9 |! w: v* h说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
# B0 \0 M; T- [. r9 u. F& K</P>
& m& k. s# e" ?& u$ ]/ x( X<P>端口：1234、1243、6711、6776
服务：[NULL]
说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。
9 z( Z: `' m+ T" c8 S% Q
端口：1245
% E! Q, u' O1 t) @! }  O服务：[NULL]
! b4 d5 I0 Q: M: O说明：木马Vodoo开放此端口。
</P>
' ^; s3 q  `% J: A) f<P>端口：1433
2 e8 T9 d" N) B9 H4 f; O2 J$ i服务：SQL
说明：Microsoft的SQL服务开放的端口。
</P>
<P>端口：1492
. F. N' a; f1 K服务：stone-design-1
说明：木马FTP99CMP开放此端口。
1 Q9 X- O$ Y. W6 ?' o: e</P>
<P>端口：1500
, \* G& r# J- H服务：RPC client fixed port session queries
& ~  M* `7 q6 b$ i- a; p说明：RPC客户固定端口会话查询
</P>
# t0 k. y; G% j! c* Q<P>端口：1503
服务：NetMeeting T.120
</P>
<P>说明：NetMeeting T.120
5 l& N' @& h5 Y. _. q端口：1524
服务：ingress
2 `/ G' E2 I& R9 {9 t+ `% ~说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。
$ k: G4 L' `2 q6 D</P>
<P>端口：1600
服务：issd
说明：木马Shivka-Burka开放此端口。

端口：1720
% f3 b$ _/ t3 T) u; j服务：NetMeeting
( a" q# V" m; p0 k+ H说明：NetMeeting H.233 call Setup。
</P>
<P>端口：1731
服务：NetMeeting Audio Call Control
. H# ^* x* N7 q, U说明：NetMeeting音频调用控制。
. l. I  i  E, y* D</P>
<P>端口：1807
服务：[NULL]
& ~! W! d4 z$ q# X, Z9 Y说明：木马SpySender开放此端口。
</P>
<P>端口：1981
2 f# l; c: a" f( z- D( H服务：[NULL]
说明：木马ShockRave开放此端口。
</P>
<P>端口：1999
6 Z% m. Y8 ?4 [0 c服务：cisco identification port
说明：木马BackDoor开放此端口。
: |- W+ a3 _5 u1 O  L
端口：2000
6 v7 H3 n: s2 E! I服务：[NULL]
说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。
7 N8 [5 {2 i1 @6 n/ P" I. I</P>
1 K$ ^. P. H* s7 y! |* l<P>端口：2001
* F! [4 _8 Y( u( }: o- U服务：[NULL]
说明：木马Millenium 1.0、Trojan Cow开放此端口。
3 k- w! b& j$ r) L: ]</P>
( q. p. z, T, o" e* |<P>端口：2023
服务：xinuexpansion 4
4 N; B- G$ S9 r8 z, K说明：木马Pass Ripper开放此端口。
8 X5 f) m  D5 R4 T. m- V$ g4 p</P>
<P>端口：2049
( ~8 P0 Y8 a; }' W1 G, w) O服务：NFS
说明：NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
$ |, |  x, L0 s</P>
<P>端口：2115
) [% l6 y5 a  j* T/ z1 I8 `服务：[NULL]
说明：木马Bugs开放此端口。

: q7 N( \# H0 f( K- j0 x5 i8 w端口：2140、3150
服务：[NULL]
$ r/ T: L* }# N说明：木马Deep Throat 1.0/3.0开放此端口。
</P>
<P>端口：2500
服务：RPC client using a fixed port session replication
5 ~/ v6 ^4 {, u& O3 d% H说明：应用固定端口会话复制的RPC客户
</P>
<P>端口：2583
3 @3 n) ?7 w( X服务：[NULL]
4 b1 v6 U) x# f. T- M说明：木马Wincrash 2.0开放此端口。
</P>
8 i3 ^3 W( C( n<P>端口：2801
服务：[NULL]
( l( b2 r" m6 l5 a  Z说明：木马Phineas Phucker开放此端口。
/ p; {" Y, ]; r0 {, ^, \</P>
<P>端口：3024、4092
9 a. u. _0 b7 f( b3 x服务：[NULL]
# S' D6 {5 V, S1 Y- ~- A7 h- ]说明：木马WinCrash开放此端口。
& s! A/ C. z3 C" W1 K- X2 K</P>
<P>端口：3128
服务：squid
说明：这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
</P>
<P>端口：3129
服务：[NULL]
/ q+ i' G1 {# a& ^9 z' ~$ s说明：木马Master Paradise开放此端口。
: {7 }2 N( b) U- v</P>
<P>端口：3150
服务：[NULL]
/ ?% j) [, B6 ~) ~3 s# F说明：木马The Invasor开放此端口。
</P>
<P>端口：3210、4321
服务：[NULL]
0 v" {; T* s6 M( C1 d  h说明：木马SchoolBus开放此端口

& c1 }4 @" W; V( W' E
: }( k: r+ M; P5 ]. n端口：3333
. ]3 t3 A6 l2 O服务：dec-notes
说明：木马Prosiak开放此端口
</P>
<P>端口：3389
! e! z% }  l8 k& c4 _9 O服务：超级终端
说明：WINDOWS 2000终端开放此端口。
3 p% H  L& W% f! ]% i</P>
, U# {, {9 i9 J2 u+ k% m<P>端口：3700
服务：[NULL]
  x6 {/ C- Z7 b7 \9 r说明：木马Portal of Doom开放此端口
</P>
- p; i: L# b' [* R0 R<P>端口：3996、4060
/ r( @8 x& S( c' [% o服务：[NULL]
说明：木马RemoteAnything开放此端口
5 k& G$ M" {9 {7 R5 |* p</P>

╃無名草╃

<>端口：4000
服务：QQ客户端
+ i- n) g0 s" T, F5 r- b" M+ N说明：腾讯QQ客户端开放此端口。
</P><>端口：4092
服务：[NULL]
" s9 \1 L$ K1 V/ S, s说明：木马WinCrash开放此端口。
  p3 c: Z( K( r3 v& e4 z</P><>端口：4590
服务：[NULL]
$ u" n/ `0 e: `; e  q, `说明：木马ICQTrojan开放此端口。
</P><>端口：5000、5001、5321、50505 服务：[NULL]
说明：木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。
' C  Z& A9 P: C$ P1 m% @$ D; T9 P端口：5400、5401、5402
$ C* N) h3 r% M3 ^9 G服务：[NULL]
说明：木马Blade Runner开放此端口。
; q1 G  M. K; n0 q# ?& F</P><>端口：5550
服务：[NULL]
7 ]; H/ k) G! z/ d' b说明：木马xtcp开放此端口。
4 _& P1 R0 V0 e7 `4 u</P><>端口：5569
服务：[NULL]
, F: T/ z% e! Z( d说明：木马Robo-Hack开放此端口。
</P><>端口：5632
服务：pcAnywere
' t$ U$ P0 X# ?% v6 v  x5 F说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。
, X% K5 |) T0 A

端口：5742
服务：[NULL]
说明：木马WinCrash1.03开放此端口。
  F8 K4 b% M  ~! R- T3 [</P><>端口：6267
% O7 [4 i; H% Y" n. x* `: F/ \服务：[NULL]
说明：木马广外女生开放此端口。
</P><>端口：6400
3 E1 o; X4 I0 S8 d- b) W3 p: p服务：[NULL]
说明：木马The tHing开放此端口。
$ J3 @) G& W! e+ e# o& M</P><>端口：6670、6671
8 V" I5 {/ u9 q, z8 p9 l: {服务：[NULL]
说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
1 u6 `2 s# \# ^& n2 x3 A( x+ A" b</P><>端口：6883
服务：[NULL]
说明：木马DeltaSource开放此端口。
$ b2 ], j" ]- P4 {( F$ }, B</P><>端口：6969
! q& g4 \6 [( w! U服务：[NULL]
' F' q. m. v1 B2 P  h2 C说明：木马Gatecrasher、Priority开放此端口。
7 Y$ N( v1 x/ @) U9 S0 z</P><>端口：6970
服务：RealAudio
% o) ~5 M/ ~" k" X0 E6 c# w说明：RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
</P><>端口：7000
9 t# ^" W" {+ S- g服务：[NULL]
/ d# m/ t$ @: E5 G  n" v说明：木马Remote Grab开放此端口。
# M- H* f1 f. P6 ]9 K</P><>端口：7300、7301、7306、7307、7308
服务：[NULL]
说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口
</P><>端口：7323
服务：[NULL]
说明：Sygate服务器端。
! J' X8 ^6 }. z</P><>端口：7626
服务：[NULL]
9 A! m' ?1 b0 N# j说明：木马Giscier开放此端口。
</P><>端口：7789
9 P- Q. ], N( {  t/ ]4 F: U2 q服务：[NULL]
说明：木马ICKiller开放此端口。
</P><>端口：8000
- X1 e! {( @3 M$ B7 T  E# U服务：OICQ
说明：腾讯QQ服务器端开放此端口。 '
. t: X+ f! s2 B$ ~( e; C, _9 {</P><>端口：8010
' M6 ]8 ~% n7 l1 d4 x服务：Wingate
7 |$ `) u' J7 z- j说明：Wingate代理开放此端口。
</P><>端口：8080
6 v$ D1 }4 ?* a0 O' H服务：代理端口
9 r( Y) {4 B- @6 F! R说明：WWW代理开放此端口。
& [; f; n* R2 e, c</P><>端口：9400、9401、9402
服务：[NULL]
说明：木马Incommand 1.0开放此端口。
</P><>端口：9872、9873、9874、9875、10067、10167
服务：[NULL]
5 t! }& R9 L- i, ?; ?  C说明：木马Portal of Doom开放此端口
</P><>端口：9989
服务：[NULL]
说明：木马iNi-Killer开放此端口。
</P><>端口：11000
服务：[NULL]
说明：木马SennaSpy开放此端口。
</P><>端口：11223
4 V/ D$ s3 d0 l! D6 B! y服务：[NULL]
说明：木马Progenic trojan开放此端口。
" F6 D1 D, i8 ^; a, H</P><>端口：12076、61466
服务：[NULL]
说明：木马Telecommando开放此端口。
$ [5 Z) W8 {& R( a+ x</P><>端口：12223
服务：[NULL]
  G6 f; ^4 X# u说明：木马Hack'99 KeyLogger开放此端口。
$ @7 w9 s  B. R0 H# _</P><>端口：12345、12346
服务：[NULL]
说明：木马NetBus1.60/1.70、GabanBus开放此端口。
</P><>端口：12361
. D1 v( l5 G7 y$ X" `& [* I服务：[NULL]
& J# A* J7 q5 \0 K, ]说明：木马Whack-a-mole开放此端口。
3 C3 R0 K% `3 y. R9 Y  C! M</P><P>端口：13223
  M/ @2 M8 G- w% z: F$ ]# z- p服务：PowWow
' q4 l( s. ?$ k  O说明：PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。

端口：16969
) X  y& P2 N7 F- k8 G0 U9 F服务：[NULL]
4 S) R' O( r& Y  w3 q( o5 P说明：木马Priority开放此端口。
. C) ~0 g' |5 Z+ @0 y1 Z</P><P>端口：17027
服务：Conducent
% R* M6 H3 g3 t* |2 y5 }1 v说明：这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。
</P><P>端口：19191
, @! m8 L# x; D: y0 e1 y5 @! @服务：[NULL]
- J/ O  z2 K3 b说明：木马蓝色火焰开放此端口。
</P><P>端口：20000、20001
服务：[NULL]
! Y0 Y- D% X3 K说明：木马Millennium开放此端口。
! h' ]' `8 z" f5 r6 v</P><P>端口：20034
服务：[NULL]
说明：木马NetBus Pro开放此端口。
! v4 L/ z( {% @* A8 \</P><P>端口：21554
3 \8 L4 k/ T2 o! T: u/ Z服务：[NULL]
说明：木马GirlFriend开放此端口。
</P><P>端口：22222
% B2 C7 \3 L0 s# n# ?& K1 }7 V服务：[NULL]
说明：木马Prosiak开放此端口。

端口：23456
服务：[NULL]
% h7 H9 m4 p/ U# ~) @5 p9 o说明：木马Evil FTP、Ugly FTP开放此端口。
</P><P>端口：26274、47262
服务：[NULL]
( ^9 \  q! [8 V: `8 s* F! r9 J/ d说明：木马Delta开放此端口。
</P><P>端口：27374
服务：[NULL]
说明：木马Subseven 2.1开放此端口。
</P><P>端口：30100
4 b, O9 G9 ?4 W/ \  c服务：[NULL]
说明：木马NetSphere开放此端口。
</P><P>端口：30303
服务：[NULL]
  r% X. v. S( r# i8 y说明：木马Socket23开放此端口。
5 f) ]2 @/ p* L, ]</P><P>端口：30999
! A# R4 i: a  k. n服务：[NULL]
" O0 K/ c2 R4 b( N/ G7 ]说明：木马Kuang开放此端口。
</P><P>端口：31337、31338
服务：[NULL]
) F- `3 |1 M% Y6 q7 O/ g. g/ N说明：木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。
8 p; O4 J# i0 w3 S</P><P>端口：31339
) w% D" U% C' V9 ^- _# |服务：[NULL]
6 q: s" j9 i6 a& B, {; U说明：木马NetSpy DK开放此端口。
: q) Y  s% p& ]3 ~/ k' ^# S2 P</P><P>端口：31666
服务：[NULL]
说明：木马BOWhack开放此端口。

5 c6 u: B. G, B' P: n+ j端口：33333
7 N/ G1 A5 J: L4 c3 n8 M; q- d服务：[NULL]
3 _+ g7 K: ^( Z( g* c6 f( z" n7 D说明：木马Prosiak开放此端口。
, |# J9 y3 ~) a6 u) w% |" A5 }/ _</P><P>端口：34324
$ X* U, m* K" t8 W  t* ^  V服务：[NULL]
说明：木马Tiny Telnet Server、BigGluck、TN开放此端口。
</P><P>端口：40412
服务：[NULL]
( j* }4 z7 v! n3 `6 o" c说明：木马The Spy开放此端口。
7 [$ W  ^, L/ z/ P</P><P>端口：40421、40422、40423、40426、
服务：[NULL]
# z& I0 N' C* y! L5 i! a说明：木马Masters Paradise开放此端口。
</P><P>端口：43210、54321
; M3 j5 L9 `; B3 D% r服务：[NULL]
( o) E% G, b. t! `说明：木马SchoolBus 1.0/2.0开放此端口。
" d( E1 e3 h" k0 N8 E4 `7 {+ q- C5 j0 S</P><P>端口：44445
! M5 L* j( V. q% `+ N  o服务：[NULL]
: X+ A. t4 F# d$ L: u4 I说明：木马Happypig开放此端口。
</P><P>端口：50766
服务：[NULL]
6 V; D# j+ r' X2 {6 D/ \6 v, H说明：木马Fore开放此端口。
3 L, h" b9 R1 ]# `
! M) ]9 t4 t  r6 B端口：53001
+ K+ W  D% E  p! O( H/ N- k服务：[NULL]
说明：木马Remote Windows Shutdown开放此端口。
</P><P>端口：65000
# O9 ^# o. b- v, V, B服务：[NULL]
0 B" Y4 ^, l6 G" }- Q7 p- A说明：木马Devil 1.03开放此端口。
</P><P>端口：88
4 @% h4 @/ g/ N" q( n说明：Kerberos krb5。另外TCP的88端口也是这个用途。
</P><P>端口：137
/ |: X0 K3 t- t+ V: T说明：SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。
$ X: \9 X4 N6 t3 K) V& G; m; d# C+ ?8 y</P><P>端口：161
说明：Simple Network Management Protocol(SMTP)（简单网络管理协议）
</P><P>端口：162
+ k/ I, L, l/ }3 Z( p3 Q4 c说明：SNMP Trap（SNMP陷阱）
</P><P>端口：445
说明：Common Internet File System(CIFS)（公共Internet文件系统）
</P><P>端口：464
7 x3 g9 b* `8 @* S; r3 \2 a8 Y说明：Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。

. B4 Z; d/ A, J. E! [% W1 n端口：500
说明：Internet Key Exchange(IKE)（Internet密钥交换）
</P><P>端口：1645、1812
2 D! J& X/ j( O3 g说明：Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)
- O" m3 H  T% v0 R2 @+ T</P><P>端口：1646、1813
0 q4 x* f. D3 L0 E! ]4 ~2 E6 e( N说明：RADIUS accounting(Routing and Remote Access)(RADIUS记帐（路由和远程访问）)
. f" N7 o& S/ W</P><P>端口：1701
! U5 p5 S6 t/ V8 P+ d" B说明：Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)
</P><P>端口：1801、3527
说明：Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。
</P><P>端口：2504
* _5 w! m5 v) n' y) B& }- `% P. T1 \说明：Network Load Balancing(网络平衡负荷)
6 m) C1 h1 J5 @1 Y; w0 P  x9 i0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口
连接它时将产生不同的结果。一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。 </P>