免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

打開APP
userphoto
未登錄

開通VIP,暢享免費(fèi)電子書等14項(xiàng)超值服

開通VIP

首頁(yè)

好書

留言交流

下載APP

聯(lián)系客服
計(jì)算機(jī)端口概念理解
(一)
有過(guò)一些黑客攻擊方面知識(shí)的讀者都會(huì)知道,其實(shí)那些所謂的黑客并不是像人們想象那樣從天而降,而是實(shí)實(shí)在在從您的計(jì)算機(jī)"大門"中自由出入。計(jì)算機(jī)的"大門"就是我們平常所說(shuō)的"端口",它包括計(jì)算機(jī)的物理端口,如計(jì)算機(jī)的串口、并口、輸入/輸出設(shè)備以及適配器接口等(這些端口都是可見的),但更多的是不可見的軟件端口,在本文中所介紹的都是指"軟件端口",但為了說(shuō)明方便,仍統(tǒng)稱為"端口"。本文僅就端口的基礎(chǔ)知識(shí)進(jìn)行介紹,
一、端口簡(jiǎn)介
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,原來(lái)物理上的接口(如鍵盤、鼠標(biāo)、網(wǎng)卡、顯示卡等輸入/輸出接口)已不能滿足網(wǎng)絡(luò)通信的要求,TCP/IP協(xié)議作為網(wǎng)絡(luò)通信的標(biāo)準(zhǔn)協(xié)議就解決了這個(gè)通信難題。TCP/IP協(xié)議集成到操作系統(tǒng)的內(nèi)核中,這就相當(dāng)于在操作系統(tǒng)中引入了一種新的輸入/輸出接口技術(shù),因?yàn)樵赥CP/IP協(xié)議中引入了一種稱之為"Socket(套接字)"應(yīng)用程序接口。有了這樣一種接口技術(shù),一臺(tái)計(jì)算機(jī)就可以通過(guò)軟件的方式與任何一臺(tái)具有Socket接口的計(jì)算機(jī)進(jìn)行通信。端口在計(jì)算機(jī)編程上也就是"Socket接口"。
有了這些端口后,這些端口又是如何工作呢?例如一臺(tái)服務(wù)器為什么可以同時(shí)是Web服務(wù)器,也可以是FTP服務(wù)器,還可以是郵件服務(wù)器等等呢?其中一個(gè)很重要的原因是各種服務(wù)采用不同的端口分別提供不同的服務(wù),比如:通常TCP/IP協(xié)議規(guī)定Web采用80號(hào)端口,F(xiàn)TP采用21號(hào)端口等,而郵件服務(wù)器是采用25號(hào)端口。這樣,通過(guò)不同端口,計(jì)算機(jī)就可以與外界進(jìn)行互不干擾的通信。
據(jù)專家們分析,服務(wù)器端口數(shù)最大可以有65535個(gè),但是實(shí)際上常用的端口才幾十個(gè),由此可以看出未定義的端口相當(dāng)多。這是那么多黑客程序都可以采用某種方法,定義出一個(gè)特殊的端口來(lái)達(dá)到入侵的目的的原因所在。為了定義出這個(gè)端口,就要依*某種程序在計(jì)算機(jī)啟動(dòng)之前自動(dòng)加載到內(nèi)存,強(qiáng)行控制計(jì)算機(jī)打開那個(gè)特殊的端口。這個(gè)程序就是"后門"程序,這些后門程序就是常說(shuō)的木馬程序。簡(jiǎn)單的說(shuō),這些木馬程序在入侵前是先通過(guò)某種手段在一臺(tái)個(gè)人計(jì)算機(jī)中植入一個(gè)程序,打開某個(gè)(些)特定的端口,俗稱"后門"(BackDoor),使這臺(tái)計(jì)算機(jī)變成一臺(tái)開放性極高(用戶擁有極高權(quán)限)的FTP服務(wù)器,然后從后門就可以達(dá)到侵入的目的。
二、端口的分類
端口的分類根據(jù)其參考對(duì)象不同有不同劃分方法,如果從端口的性質(zhì)來(lái)分,通??梢苑譃橐韵氯悾?div style="height:15px;">
(1)公認(rèn)端口(Well Known Ports):這類端口也常稱之為"常用端口"。這類端口的端口號(hào)從0到1024,它們緊密綁定于一些特定的服務(wù)。通常這些端口的通信明確表明了某種服務(wù)的協(xié)議,這種端口是不可再重新定義它的作用對(duì)象。例如:80端口實(shí)際上總是HTTP通信所使用的,而23號(hào)端口則是Telnet服務(wù)專用的。這些端口通常不會(huì)像木馬這樣的黑客程序利用。為了使大家對(duì)這些常用端口多一些認(rèn)識(shí),在本章后面將詳細(xì)把這些端口所對(duì)面應(yīng)的服務(wù)進(jìn)行列表,供各位理解和參考。
(2) 注冊(cè)端口(Registered Ports):端口號(hào)從1025到49151。它們松散地綁定于一些服務(wù)。也是說(shuō)有許多服務(wù)綁定于這些端口,這些端口同樣用于許多其他目的。這些端口多數(shù)沒(méi)有明確的定義服務(wù)對(duì)象,不同程序可根據(jù)實(shí)際需要自己定義,如后面要介紹的遠(yuǎn)程控制軟件和木馬程序中都會(huì)有這些端口的定義的。記住這些常見的程序端口在木馬程序的防護(hù)和查殺上是非常有必要的。常見木馬所使用的端口在后面將有詳細(xì)的列表。
(3) 動(dòng)態(tài)和/或私有端口(Dynamic and/or Private Ports):端口號(hào)從49152到65535。理論上,不應(yīng)把常用服務(wù)分配在這些端口上。實(shí)際上,有些較為特殊的程序,特別是一些木馬程序就非常喜歡用這些端口,因?yàn)檫@些端口常常不被引起注意,容易隱蔽。
如果根據(jù)所提供的服務(wù)方式的不同,端口又可分為"TCP協(xié)議端口"和"UDP協(xié)議端口"兩種。因?yàn)橛?jì)算機(jī)之間相互通信一般采用這兩種通信協(xié)議。前面所介紹的"連接方式"是一種直接與接收方進(jìn)行的連接,發(fā)送信息以后,可以確認(rèn)信息是否到達(dá),這種方式大多采用TCP協(xié)議;另一種是不是直接與接收方進(jìn)行連接,只管把信息放在網(wǎng)上發(fā)出去,而不管信息是否到達(dá),也就是前面所介紹的"無(wú)連接方式"。這種方式大多采用UDP協(xié)議,IP協(xié)議也是一種無(wú)連接方式。對(duì)應(yīng)使用以上這兩種通信協(xié)議的服務(wù)所提供的端口,也就分為"TCP協(xié)議端口"和"UDP協(xié)議端口"。
使用TCP協(xié)議的常見端口主要有以下幾種:
(1) FTP:定義了文件傳輸協(xié)議,使用21端口。常說(shuō)某某計(jì)算機(jī)開了FTP服務(wù)便是啟動(dòng)了文件傳輸服務(wù)。下載文件,上傳主頁(yè),都要用到FTP服務(wù)。
(2) Telnet:它是一種用于遠(yuǎn)程登陸的端口,用戶可以以自己的身份遠(yuǎn)程連接到計(jì)算機(jī)上,通過(guò)這種端口可以提供一種基于DOS模式下的通信服務(wù)。如以前的BBS是純字符界面的,支持BBS的服務(wù)器將23端口打開,對(duì)外提供服務(wù)。
(3) SMTP:定義了簡(jiǎn)單郵件傳送協(xié)議,現(xiàn)在很多郵件服務(wù)器都用的是這個(gè)協(xié)議,用于發(fā)送郵件。如常見的免費(fèi)郵件服務(wù)中用的就是這個(gè)郵件服務(wù)端口,所以在電子郵件設(shè)置中??吹接羞@么SMTP端口設(shè)置這個(gè)欄,服務(wù)器開放的是25號(hào)端口。
(4) POP3:它是和SMTP對(duì)應(yīng),POP3用于接收郵件。通常情況下,POP3協(xié)議所用的是110端口。也是說(shuō),只要你有相應(yīng)的使用POP3協(xié)議的程序(例如Foxmail或Outlook),就可以不以Web方式登陸進(jìn)郵箱界面,直接用郵件程序就可以收到郵件(如是163郵箱就沒(méi)有必要先進(jìn)入網(wǎng)易網(wǎng)站,再進(jìn)入自己的郵箱來(lái)收信)。
使用UDP協(xié)議端口常見的有:
(1) HTTP:這是大家用得最多的協(xié)議,它就是常說(shuō)的"超文本傳輸協(xié)議"。上網(wǎng)瀏覽網(wǎng)頁(yè)時(shí),就得在提供網(wǎng)頁(yè)資源的計(jì)算機(jī)上打開80號(hào)端口以提供服務(wù)。常說(shuō)"WWW服務(wù)"、"Web服務(wù)器"用的就是這個(gè)端口。
(2) DNS:用于域名解析服務(wù),這種服務(wù)在Windows NT系統(tǒng)中用得最多的。因特網(wǎng)上的每一臺(tái)計(jì)算機(jī)都有一個(gè)網(wǎng)絡(luò)地址與之對(duì)應(yīng),這個(gè)地址是常說(shuō)的IP地址,它以純數(shù)字+"."的形式表示。然而這卻不便記憶,于是出現(xiàn)了域名,訪問(wèn)計(jì)算機(jī)的時(shí)候只需要知道域名,域名和IP地址之間的變換由DNS服務(wù)器來(lái)完成。DNS用的是53號(hào)端口。
(3) SNMP:簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議,使用161號(hào)端口,是用來(lái)管理網(wǎng)絡(luò)設(shè)備的。由于網(wǎng)絡(luò)設(shè)備很多,無(wú)連接的服務(wù)就體現(xiàn)出其優(yōu)勢(shì)。
(4) OICQ:OICQ程序既接受服務(wù),又提供服務(wù),這樣兩個(gè)聊天的人才是平等的。OICQ用的是無(wú)連接的協(xié)議,也是說(shuō)它用的是UDP協(xié)議。OICQ服務(wù)器是使用8000號(hào)端口,偵聽是否有信息到來(lái),客戶端使用4000號(hào)端口,向外發(fā)送信息。如果上述兩個(gè)端口正在使用(有很多人同時(shí)和幾個(gè)好友聊天),就順序往上加。
在計(jì)算機(jī)的6萬(wàn)多個(gè)端口,通常把端口號(hào)為1024以內(nèi)的稱之為常用端口,這些常用端口所對(duì)應(yīng)的服務(wù)通常情況下是固定的。表1所列的都是服務(wù)器默認(rèn)的端口,不允許改變,一般通信過(guò)程都主要用到這些端口。
服務(wù)類型            默認(rèn)端口                     服務(wù)類型           默認(rèn)端口
Echo                         7                                 Daytime              13
FTP                         21                                Telnet                  23
SMTP                      25                                Time                   37
Whois                       43                               DNS                   53
Gopher                     70                               Finger                  79
WWW                     80                               POP3                  110
NNTP                    119                               IRC                     194
另外代理服務(wù)器常用以下端口:
(1). HTTP協(xié)議代理服務(wù)器常用端口號(hào):80/8080/3128/8081/9080
(2). SOCKS代理協(xié)議服務(wù)器常用端口號(hào):1080
(3). FTP協(xié)議代理服務(wù)器常用端口號(hào):21
(4). Telnet協(xié)議代理服務(wù)器常用端口:23
三、端口在黑客中的應(yīng)用
像木馬之類的黑客程序,就是通過(guò)對(duì)端口的入侵來(lái)實(shí)現(xiàn)其目的的。在端口的利用上,黑客程序通常有兩種方式,那就是"端口偵聽"和"端口掃描"。
"端口偵聽"與"端口掃描"是黑客攻擊和防護(hù)中經(jīng)常要用到的兩種端口技術(shù),在黑客攻擊中利用它們可以準(zhǔn)確地尋找攻擊的目標(biāo),獲取有用信息,在個(gè)人及網(wǎng)絡(luò)防護(hù)方面通過(guò)這種端口技術(shù)的應(yīng)用可以及時(shí)發(fā)現(xiàn)黑客的攻擊及一些安全漏洞。下面首先簡(jiǎn)單介紹一下這兩種端口技術(shù)的異同。
"端口偵聽"是利用某種程序?qū)δ繕?biāo)計(jì)算機(jī)的端口進(jìn)行監(jiān)視,查看目標(biāo)計(jì)算機(jī)上有哪能些端口是空閑、可以利用的。通過(guò)偵聽還可以捕獲別人有用的信息,這主要是用在黑客軟件中,但對(duì)于個(gè)人來(lái)說(shuō)也是非常有用的,可以用偵聽程序來(lái)保護(hù)自己的計(jì)算機(jī),在自己計(jì)算機(jī)的選定端口進(jìn)行監(jiān)視,這樣可以發(fā)現(xiàn)并攔截一些黑客的攻擊。也可以偵聽別人計(jì)算機(jī)的指定端口,看是否空閑,以便入侵。
"端口掃描"(port scanning)是通過(guò)連接到目標(biāo)系統(tǒng)的TCP協(xié)議或UDP協(xié)議端口,來(lái)確定什么服務(wù)正在運(yùn)行,然后獲取相應(yīng)的用戶信息。現(xiàn)在有許多人把"端口偵聽"與"端口掃描"混為一談,根本分不清什么樣的情況下要用偵聽技術(shù),什么樣的情況下要用掃描技術(shù)。不過(guò),現(xiàn)在的這類軟件也似乎對(duì)這兩種技術(shù)有點(diǎn)模糊了,有的干脆把兩個(gè)功能都集成在一塊。
"端口偵聽"與"端口掃描"有相似之處,也有區(qū)別的地方,相似的地方是都可以對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行監(jiān)視,區(qū)別的地方是"端口偵聽"屬于一種被動(dòng)的過(guò)程,等待別人的連接的出現(xiàn),通過(guò)對(duì)方的連接才能偵聽到需要的信息。在個(gè)人應(yīng)用中,如果在設(shè)置了當(dāng)偵聽到有異常連接立即向用戶報(bào)告這個(gè)功能時(shí),就可以有效地偵聽黑客的連接企圖,及時(shí)把駐留在本機(jī)上的木馬程序清除掉。這個(gè)偵聽程序一般是安裝在目標(biāo)計(jì)算機(jī)上。用在黑客中的"端口偵聽"通常是黑客程序駐留在服務(wù)器端等待服務(wù)器端在進(jìn)行正?;顒?dòng)時(shí)捕獲黑客需要的信息,然后通過(guò)UDP協(xié)議無(wú)連接方式發(fā)出去。而"端口掃描"則是一種主動(dòng)過(guò)程,它是主動(dòng)對(duì)目標(biāo)計(jì)算機(jī)的選定端口進(jìn)行掃描,實(shí)時(shí)地發(fā)現(xiàn)所選定端口的所有活動(dòng)(特別是對(duì)一些網(wǎng)上活動(dòng))。掃描程序一般是安裝在客戶端,但是它與服務(wù)器端的連接也主要是通過(guò)無(wú)連接方式的UDP協(xié)議連接進(jìn)行。
在網(wǎng)絡(luò)中,當(dāng)信息進(jìn)行傳播的時(shí)候,可以利用工具,將網(wǎng)絡(luò)接口設(shè)置在偵聽的模式,便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到,從而進(jìn)行攻擊。端口偵聽在網(wǎng)絡(luò)中的任何一個(gè)位置模式下都可實(shí)施進(jìn)行,而黑客一般都是利用端口偵聽來(lái)截取用戶口令。
四、端口偵聽原理
以太網(wǎng)(Ethernet)協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有計(jì)算機(jī)。在包頭中包括有應(yīng)該接收數(shù)據(jù)包的計(jì)算機(jī)的正確地址,因?yàn)橹挥信c數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)計(jì)算機(jī)才能接收到信息包。但是當(dāng)計(jì)算機(jī)工作在偵聽模式下,不管數(shù)據(jù)包中的目標(biāo)物理地址是什么,計(jì)算機(jī)都將可以接收到。當(dāng)同一網(wǎng)絡(luò)中的兩臺(tái)計(jì)算機(jī)通信的時(shí)候,源計(jì)算機(jī)將寫有目的計(jì)算機(jī)地址的數(shù)據(jù)包直接發(fā)向目的計(jì)算機(jī),或者當(dāng)網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)同外界的計(jì)算機(jī)通信時(shí),源計(jì)算機(jī)將寫有目的計(jì)算機(jī)IP地址的數(shù)據(jù)包發(fā)向網(wǎng)關(guān)。但這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去,要發(fā)送的數(shù)據(jù)包必須從TCP/IP協(xié)議的IP協(xié)議層交給網(wǎng)絡(luò)接口--數(shù)據(jù)鏈路層。網(wǎng)絡(luò)接口不會(huì)識(shí)別IP地址的,在網(wǎng)絡(luò)接口中,由IP協(xié)議層來(lái)的帶有IP地址的數(shù)據(jù)包又增加了一部分以太網(wǎng)的幀頭信息。在幀頭中,有兩個(gè)域分別為只有網(wǎng)絡(luò)接口才能識(shí)別的源計(jì)算機(jī)和目的計(jì)算機(jī)的物理地址,這是一個(gè)48位的地址,這個(gè)48位的地址是與IP地址相對(duì)應(yīng)的。換句話說(shuō),一個(gè)IP地址也會(huì)對(duì)應(yīng)一個(gè)物理地址。對(duì)于作為網(wǎng)關(guān)的計(jì)算機(jī),由于它連接了多個(gè)網(wǎng)絡(luò),它也就同時(shí)具備有很多個(gè)IP地址,在每個(gè)網(wǎng)絡(luò)中它都有一個(gè)。而發(fā)向網(wǎng)絡(luò)外的幀中繼攜帶的是網(wǎng)關(guān)的物理地址。
以太網(wǎng)中填寫了物理地址的幀從網(wǎng)絡(luò)端口中(或者從網(wǎng)關(guān)端口中)發(fā)送出去,傳送到物理的線路上。如果局域網(wǎng)是由一條粗同軸電纜或細(xì)同軸電纜連接成的,那么數(shù)字信號(hào)在電纜上傳輸信號(hào)就能夠到達(dá)線路上的每一臺(tái)計(jì)算機(jī)。再當(dāng)使用集線器的時(shí)候,發(fā)送出去的信號(hào)到達(dá)集線器,由集線器再發(fā)向連接在集線器上的每一條線路。這樣在物理線路上傳輸?shù)臄?shù)字信號(hào)也就能到達(dá)連接在集線器上的每個(gè)計(jì)算機(jī)了。當(dāng)數(shù)字信號(hào)到達(dá)一臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)接口時(shí),正常狀態(tài)下網(wǎng)絡(luò)接口對(duì)讀入數(shù)據(jù)幀進(jìn)行檢查,如數(shù)據(jù)幀中攜帶的物理地址是自己的或者物理地址是廣播地址,那么就會(huì)將數(shù)據(jù)幀交給IP協(xié)議層軟件。對(duì)于每個(gè)到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)幀都要進(jìn)行這個(gè)過(guò)程的。但是當(dāng)計(jì)算機(jī)工作在偵聽模式下,所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。
當(dāng)連接在同一條電纜或集線器上的計(jì)算機(jī)被邏輯地分為幾個(gè)子網(wǎng)的時(shí)候,那么要是有一臺(tái)計(jì)算機(jī)處于偵聽模式,它可以接收到發(fā)向與自己不在同一個(gè)子網(wǎng)(使用了不同的掩碼、IP地址和網(wǎng)關(guān))的計(jì)算機(jī)的數(shù)據(jù)包,在同一個(gè)物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健?div style="height:15px;">
在UNIX系統(tǒng)上,當(dāng)擁有超級(jí)權(quán)限的用戶要想使自己所控制的計(jì)算機(jī)進(jìn)入偵聽模式,只需要向Interface(網(wǎng)絡(luò)接口)發(fā)送I/O控制命令,就可以使計(jì)算機(jī)設(shè)置成偵聽模式了。而在Windows 9x的系統(tǒng)中則不論用戶是否有權(quán)限都將可以通過(guò)直接運(yùn)行偵聽工具就可以實(shí)現(xiàn)。
在端口處于偵聽時(shí),常常要保存大量的信息(也包含很多的垃圾信息),并將對(duì)收集的信息進(jìn)行大量的整理,這樣就會(huì)使正在偵聽的計(jì)算機(jī)對(duì)其他用戶的請(qǐng)求響應(yīng)變的很慢。同時(shí)偵聽程序在運(yùn)行的時(shí)候需要消耗大量的處理器時(shí)間,如果在這時(shí)就詳細(xì)的分析包中的內(nèi)容,許多包就會(huì)來(lái)不及接收而被漏走。所以偵聽程序很多時(shí)候就會(huì)將偵聽得到的包存放在文件中等待以后分析。分析偵聽到的數(shù)據(jù)包是很頭疼的事情,因?yàn)榫W(wǎng)絡(luò)中的數(shù)據(jù)包都非常之復(fù)雜。兩臺(tái)計(jì)算機(jī)之間連續(xù)發(fā)送和接收數(shù)據(jù)包,在偵聽到的結(jié)果中必然會(huì)加一些別的計(jì)算機(jī)交互的數(shù)據(jù)包。偵聽程序?qū)⑼籘CP協(xié)議會(huì)話的包整理到一起就相當(dāng)不容易,如果還期望將用戶詳細(xì)信息整理出來(lái)就需要根據(jù)協(xié)議對(duì)包進(jìn)行大量的分析。
現(xiàn)在網(wǎng)絡(luò)中所使用的協(xié)議都是較早前設(shè)計(jì)的,許多協(xié)議的實(shí)現(xiàn)都是基于一種非常友好的,通信的雙方充分信任的基礎(chǔ)。在通常的網(wǎng)絡(luò)環(huán)境之下,用戶的信息包括口令都是以明文的方式在網(wǎng)上傳輸?shù)模虼诉M(jìn)行端口偵聽從而獲得用戶信息并不是一件難點(diǎn)事情,只要掌握有初步的TCP/IP協(xié)議知識(shí)就可以輕松的偵聽到想要的信息的。
五、端口掃描原理
"端口掃描"通常指用同一信息對(duì)目標(biāo)計(jì)算機(jī)的所有所需掃描的端口進(jìn)行發(fā)送,然后根據(jù)返回端口狀態(tài)來(lái)分析目標(biāo)計(jì)算機(jī)的端口是否打開、是否可用。"端口掃描"行為的一個(gè)重要特征是:在短時(shí)期內(nèi)有很多來(lái)自相同的信源地址傳向不同的目的地端口的包。
對(duì)于用端口掃描進(jìn)行攻擊的人來(lái)說(shuō),攻擊者總是可以做到在獲得掃描結(jié)果的同時(shí),使自己很難被發(fā)現(xiàn)或者說(shuō)很難被逆向跟蹤。為了隱藏攻擊,攻擊者可以慢慢地進(jìn)行掃描。除非目標(biāo)系統(tǒng)通常閑著(這樣對(duì)一個(gè)沒(méi)有l(wèi)isten端口的數(shù)據(jù)包都會(huì)引起管理員的注意),有很大時(shí)間間隔的端口掃描是很難被識(shí)別的。隱藏源地址的方法是發(fā)送大量的欺騙性的端口掃描包(1000個(gè)),其中只有一個(gè)是從真正的源地址來(lái)的。這樣,即使全部包(1000)都被察覺(jué),被記錄下來(lái),也沒(méi)有人知道哪個(gè)是真正的信源地址。能發(fā)現(xiàn)的僅僅是"曾經(jīng)被掃描過(guò)"。也正因?yàn)檫@樣那些黑客們才樂(lè)此不彼地繼續(xù)大量使用這種端口掃描技術(shù)來(lái)達(dá)到他們獲取目標(biāo)計(jì)算機(jī)信息、并進(jìn)行惡意攻擊。
通常進(jìn)行端口掃描的工具目前主要采用的是端口掃描軟件,也通稱之為"端口掃描器",端口掃描可以為提供三個(gè)用途:
(1)識(shí)別目標(biāo)系統(tǒng)上正在運(yùn)行的TCP協(xié)議和UDP協(xié)議服務(wù)。
(2)識(shí)別目標(biāo)系統(tǒng)的操作系統(tǒng)類型(Windows 9x, Windows NT,或UNIX,等)。
(3)識(shí)別某個(gè)應(yīng)用程序或某個(gè)特定服務(wù)的版本號(hào)。
端口掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地計(jì)算機(jī)安全性弱點(diǎn)的程序,通過(guò)使用掃描器你可不留痕跡的發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP協(xié)議端口的分配及提供的服務(wù),還可以得知它們所使用的軟件版本!這就能讓間接的了解到遠(yuǎn)程計(jì)算機(jī)所存在的安全問(wèn)題。
端口掃描器通過(guò)選用遠(yuǎn)程TCP/IP協(xié)議不同的端口的服務(wù),記錄目標(biāo)計(jì)算機(jī)端口給予的回答的方法,可以搜集到很多關(guān)于目標(biāo)計(jì)算機(jī)的各種有用信息(比如:是否有端口在偵聽?是否允許匿名登陸?是否有可寫的FTP目錄,是否能用TELNET等。
端口掃描器并不是一個(gè)直接攻擊網(wǎng)絡(luò)漏洞的程序,它僅僅能幫助發(fā)現(xiàn)目標(biāo)機(jī)的某些內(nèi)在的弱點(diǎn)。一個(gè)好的掃描器還能對(duì)它得到的數(shù)據(jù)進(jìn)行分析,幫助查找目標(biāo)計(jì)算機(jī)的漏洞。但它不會(huì)提供一個(gè)系統(tǒng)的詳細(xì)步驟。
端口掃描器在掃描過(guò)程中主要具有以下三個(gè)方面的能力:
(1) 發(fā)現(xiàn)一個(gè)計(jì)算機(jī)或網(wǎng)絡(luò)的能力;
(2) 一旦發(fā)現(xiàn)一臺(tái)計(jì)算機(jī),就有發(fā)現(xiàn)目標(biāo)計(jì)算機(jī)正在運(yùn)行什么服務(wù)的能力;
(3) 通過(guò)測(cè)試目標(biāo)計(jì)算機(jī)上的這些服務(wù),發(fā)現(xiàn)存在的漏洞的能力。
編寫掃描器程序必須要很多TCP/IP協(xié)議程序編寫和C,Perl和或SHELL語(yǔ)言的知識(shí)。需要一些Socket編程的背景,一種在開發(fā)客戶/服務(wù)應(yīng)用程序的方法。
五、常用端口
在計(jì)算機(jī)的6萬(wàn)多個(gè)端口,通常把端口號(hào)為1024以內(nèi)的稱之為常用端口,這些常用端口所對(duì)應(yīng)的服務(wù)通常情況下是固定的,所以了解這些常用端口在一定程序上是非常必要的,下表2列出了計(jì)算機(jī)的常用端口所對(duì)應(yīng)的服務(wù)(注:在這列表中各項(xiàng)"="前面的數(shù)字為端口號(hào),"="后面的為相應(yīng)端口服務(wù)。)。
1=tcpmux(TCP協(xié)議 Port Service Multiplexer)
2=compressnet=Management Utility
3=compressnet=Compression Process
5=rje(Remote Job Entry)
7=echo=Echo
9=discard
11=systat,Active Users
13=daytime
17=qotd(Quote of the Day)
18=msp(Message Send Protocol)
19=Character Generator
20=FTP-data(File Transfer [Default Data])
21=FTP(File Transfer [Control])
22=ssh
23=telnet
24=private mail system
25=smtp(Simple Mail Transfer)
27=nsw-fe(NSW User System FE)
29=msg-icp
31=msg-auth
33=Display Support Protocol
35=private printer server
37=time
38=rap(Route Access Protocol)
39=rlp(Resource Location Protocol)
41=graphics
42=nameserver(WINS Host Name Server)
43=nicname(Who Is)
44=mpm-flags(MPM FLAGS Protocol)
45=mpm(Message Processing Module [recv])
46=mpm-snd(MPM [default send])
47=ni-ftp
48=Digital Audit Daemon
49=tacacs(Login Host Protocol (TACACS))
50=re-mail-ck(Remote Mail Checking Protocol)
51=la-maint(IMP Logical Address Maintenance)
52=xns-time(XNS Time Protocol)
53=Domain Name Server
54=xns-ch(XNS Clearinghouse)
55=isi-gl(ISI Graphics Language)
56=xns-auth(XNS Authentication)
57= private terminal access
58=xns-mail(XNS Mail)
59=private file service
61=ni-mail(NI MAIL)
62=acas(ACA Services)
63=whois+whois+
64=covia(Communications Integrator (CI))
65=tacacs-ds(TACACS-Database Service)
66=sql*net(Oracle SQL*NET)
67=bootps(Bootstrap Protocol Server)
68=bootpc(Bootstrap Protocol Client)
69=tftp(Trivial File Transfer)
70=gopher
71=netrjs-1,Remote Job Service
72=netrjs-2,Remote Job Service
73=netrjs-3,Remote Job Service
74=netrjs-4,Remote Job Service
75=private dial out service
76=deos(Distributed External Object Store)
77=private RJE service
78=vettcp
79=finger
80=http(World Wide Web HTTP)
81=hosts2-ns(HOSTS2 Name Server)
82=xfer(XFER Utility)
83=mit-ml-dev(MIT ML Device)
84=ctf(Common Trace Facility)
85=mit-ml-dev(MIT ML Device)
86=mfcobol(Micro Focus Cobol)
87= private terminal link
88=kerberos
89=su-mit-tg(SU/MIT Telnet Gateway)
90=dnsix(DNSIX Securit Attribute Token Map)
91=mit-dov(MIT Dover Spooler)
92=npp(Network Printing Protocol)
93=dcp(Device Control Protocol)
94=objcall(Tivoli Object Dispatcher)
95=supdup
96=dixie(DIXIE Protocol Specification)
97=swift-rvf(Swift Remote Virtural File Protocol)
98=tacnews
99=metagram,Metagram Relay
100=newacct,[unauthorized use]
101=hostname,NIC Host Name Server
102=iso-tsap(ISO-TSAP Class 0)
103=gppitnp(Genesis Point-to-Point Trans Net)
104=acr-nema(ACR-NEMA Digital Imag. & Comm. 300)
105=Mailbox Name Nameserver
106=3com-tsmux(3COM-TSMUX)
107=rtelnet(Remote Telnet Service)
108=snagas(SNA Gateway Access Server)
109=pop2(Post Office Protocol - Version 2)
110=pop3(Post Office Protocol - Version 3)
111=sunrpc(SUN Remote Procedure Call)
112=mcidas(McIDAS Data Transmission Protocol)
113=auth(Authentication Service)
114=audionews(Audio News Multicast)
115=sftp(Simple File Transfer Protocol)
116=ansanotify(ANSA REX Notify)
117=uucp-path(UUCP Path Service)
118=sqlserv
119=nntp(Network News Transfer Protocol)
120=cfdptkt
121=erpc(Encore Expedited Remote Pro.Call)
122=smakynet
123=ntp(Network Time Protocol)
124=ansatrader(ANSA REX Trader)
125=locus-map(Locus PC-Interface Net Map Ser)
126=unitary(Unisys Unitary Login)
127=locus-con(Locus PC-Interface Conn Server)
128=gss-xlicen(GSS X License Verification)
129=pwdgen(Password Generator Protocol)
130=cisco-fna(cisco FNATIVE)
131=cisco-tna(cisco TNATIVE)
132=cisco-sys(cisco SYSMAINT)
133=statsrv(Statistics Service)
134=ingres-net(INGRES-NET Service)
135=epmap(DCE endpoint resolution)
136=profile(PROFILE Naming System)
137=netbios-ns(NETBIOS Name Service)
138=netbios-dgm(NETBIOS Datagram Service)
139=netbios-ssn(NETBIOS Session Service)
140=emfis-data(EMFIS Data Service)
141=emfis-cntl(EMFIS Control Service)
142=bl-idm(Britton-Lee IDM)
143=imap(Internet Message Access Protocol)
144=news
145=uaac(UAAC Protocol)
146=iso-tp0
147=iso-ip
148=jargon
149=aed-512(AED 512 Emulation Service)
150=sql-net
151=hems
152=bftp(Background File Transfer Program)
153=sgmp
154=netsc-prod,NETSC
155=netsc-dev,NETSC
156=sqlsrv(SQL Service)
157=knet-cmp(KNET/VM Command/Message Protocol)
158=pcmail-srv
159=nss-routing
160=sgmp-traps
161=snmp
162=snmptrap
163=cmip-man
164=cmip-agent
165=xns-courier(Xerox)
166=s-net(Sirius Systems)
167=namp
168=rsvd
169=send
170=print-srv(Network PostScript)
171=multiplex(Network Innovations Multiplex)
172=cl/1(Network Innovations CL/1)
173=xyplex-mux(Xyplex)
174=mailq
175=vmnet
176=genrad-mux
177=xdmcp(X Display Manager Control Protocol)
178=nextstep(NextStep Window Server)
179=bgp(Border Gateway Protocol)
180=ris(Intergraph)
181=unify
182=audit(Unisys Audit SITP)
183=ocbinder
184=ocserve
185=remote-kis
186=kis(KIS Protocol)
187=aci(Application Communication Interface)
188=mumps(Plus Five‘s MUMPS)
189=qft(Queued File Transport)
190=gacp(Gateway Access Control Protocol)
191=prospero(Prospero Directory Service)
192=osu-nms(OSU Network Monitoring System)
193=srmp(Spider Remote Monitoring Protocol)
194=irc(Internet Relay Chat Protocol)
195=dn6-nlm-aud(DNSIX Network Level Module Audit)
196=dn6-smm-red(DNSIX Session Mgt Module Audit Redir)
197=dls(Directory Location Service)
198=dls-mon(Directory Location Service Monitor)
199=smux
200=src(IBM System Resource Controller)
201=at-rtmp(AppleTalk Routing Maintenance)
202=at-nbp(AppleTalk Name Binding)
203=at-3(AppleTalk Unused)
204=at-echo(AppleTalk Echo)
205=at-5(AppleTalk Unused)
206=at-zis(AppleTalk Zone Information)
207=at-7(AppleTalk Unused)
208=at-8(AppleTalk Unused)
209=qmtp(The Quick Mail Transfer Protocol)
210=z39.50(ANSI Z39.50)
211=914c/g(Texas Instruments 914C/G Terminal)
212=anet(ATEXSSTR)
213=ipx
214=vmpwscs
215=softpc(Insignia Solutions)
216=CAIlic(Computer Associates Int‘l License Server)
217=dbase(dBASE Unix)
218=mpp(Netix Message Posting Protocol)
219=uarps(Unisys ARPs)
220=imap3(Interactive Mail Access Protocol v3)
221=fln-spx(Berkeley rlogind with SPX auth)
222=rsh-spx(Berkeley rshd with SPX auth)
223=cdc(Certificate Distribution Center)
242=direct
243=sur-meas(Survey Measurement)
244=dayna
245=link
246=dsp3270(Display Systems Protocol)
256=rap
257=set(Secure Electronic Transaction)
258=yak-chat(Yak Winsock Personal Chat)
259=esro-gen(Efficient Short Remote Operations)
260=openport
261=naming-iiop-ssl(IIOP Naming Service (SSL))
262=arcisdms
263=hdap
280=http-mgmt
281=personal-link
282=cableport-ax
309=entrusttime
344=pdap(Prospero Data Access Protocol)
345=pawserv(Perf Analysis Workbench)
346=zserv(Zebra server)
347=fatserv(Fatmen Server)
348=csi-sgwp(Cabletron Management Protocol)
349=mftp
350=matip-type-a
351=matip-type-b
371=clearcase
372=ulistproc(ListProcessor)
373=legent-1(Legent Corporation)
374=legent-2(Legent Corporation)
375=hassle
376=nip(Amiga Envoy Network Inquiry Proto)
377=tnETOS(NEC Corporation)
378=dsETOS(NEC Corporation)
379=is99c(TIA/EIA/IS-99 modem client)
380=is99s(TIA/EIA/IS-99 modem server)
381=hp-collector(hp performance data collector)
382=hp-managed-node(hp performance data managed node)
383=hp-alarm-mgr(hp performance data alarm manager)
384=arns(A Remote Network Server System)
385=ibm-app(IBM Application)
386=asa(ASA Message Router Object Def.)
387=aurp(Appletalk Update-Based Routing Pro.)
388=unidata-ldm(Unidata LDM Version 4)
389=ldap(Lightweight Directory Access Protocol)
390=uis
391=synotics-relay(SynOptics SNMP Relay Port)
392=synotics-broker(SynOptics Port Broker Port)
393=dis(Data Interpretation System)
394=embl-ndt(EMBL Nucleic Data Transfer)
395=netcp(NETscout Control Protocol)
396=netware-ip(Novell Netware over IP協(xié)議)
397=mptn(Multi Protocol Trans. Net.)
398=kryptolan
399=iso-tsap-c2(ISO Transport Class 2 Non-Control over TCP協(xié)議)
400=work-sol(Workstation Solutions)
401=ups(Uninterruptible Power Supply)
402=genie(Genie Protocol)
403=decap
404=nced
405=ncld
406=imsp(Interactive Mail Support Protocol)
407=timbuktu
408=prm-sm(Prospero Resource Manager Sys. Man.)
409=prm-nm(Prospero Resource Manager Node Man.)
410=decladebug(DECLadebug Remote Debug Protocol)
411=rmt(Remote MT Protocol)
412=synoptics-trap(Trap Convention Port)
413=smsp
414=infoseek
415=bnet
416=silverplatter
417=onmux
418=hyper-g
419=ariel1
420=smpte
421=ariel2
422=ariel3
423=opc-job-start(IBM Operations Planning and Control Start)
424=opc-job-track(IBM Operations Planning and Control Track)
425=icad-el(ICAD)
426=smartsdp
427=svrloc(Server Location)
428=ocs_cmu
429=ocs_amu
430=utmpsd
431=utmpcd
432=iasd
433=nnsp
434=mobileip-agent
435=mobilip-mn
436=dna-cml
437=comscm
438=dsfgw
439=dasp(dasp Thomas Obermair)
440=sgcp
441=decvms-sysmgt
442=cvc_hostd
443=https(https Mcom)
444=snpp(Simple Network Paging Protocol)
445=microsoft-ds
446=ddm-rdb
447=ddm-dfm
448=ddm-byte
449=as-servermap
450=tserver
451=sfs-smp-net(Cray Network Semaphore server)
452=sfs-config(Cray SFS config server)
453=creativeserver
454=contentserver
455=creativepartnr
456=macon-tcp
457=scohelp
458=appleqtc(apple quick time)
459=ampr-rcmd
460=skronk
461=datasurfsrv
462=datasurfsrvsec
463=alpes
464=kpasswd
465=ssmtp
466=digital-vrc
467=mylex-mapd
468=photuris
469=rcp(Radio Control Protocol)
470=scx-proxy
471=mondex
472=ljk-login
473=hybrid-pop
474=tn-tl-w1
475=tcpnethaspsrv
476=tn-tl-fd1
477=ss7ns
478=spsc
479=iafserver
480=iafdbase
481=ph(Ph service)
482=bgs-nsi
483=ulpnet
484=integra-sme(Integra Software Management Environment)
485=powerburst(Air Soft Power Burst)
486=avian
487=saft
488=gss-http
489=nest-protocol
490=micom-pfs
491=go-login
492=ticf-1(Transport Independent Convergence for FNA)
493=ticf-2(Transport Independent Convergence for FNA)
494=pov-ray
495=intecourier
496=pim-rp-disc
497=dantz
498=siam
499=iso-ill(ISO ILL Protocol)
500=isakmp
501=stmf
502=asa-appl-proto
503=intrinsa
504=citadel
505=mailbox-lm
506=ohimsrv
507=crs
508=xvttp
509=snare
510=fcp(FirstClass Protocol)
511=mynet(mynet-as)
512=exec(remote process execution)
513=login(remote login a la telnet)
514=shell,cmd
515=printer,spooler
516=videotex
517=talk(like tenex link)
518=ntalk
519=utime(unixtime)
520=efs(extended file name server)
521=ripng
522=ulp
523=ibm-db2
524=ncp
525=timed(timeserver)
526=tempo(newdate)
527=stx(Stock IXChange)
528=custix(Customer IXChange)
529=irc-serv
530=courier,rpc
531=conference,chat
532=netnews
533=netwall(for emergency broadcasts)
534=mm-admin(MegaMedia Admin)
535=iiop
536=opalis-rdv
537=nmsp(Networked Media Streaming Protocol)
538=gdomap
539=apertus-ldp(Apertus Technologies Load Determination)
540=uucp
541=uucp-rlogin
542=commerce
543=klogin
544=kshell,krcmd
545=appleqtcsrvr
546=dhcpv6-client
547=dhcpv6-server
548=afpovertcp(AFP over TCP協(xié)議)
549=idfp
550=new-rwho
551=cybercash
552=deviceshare
553=pirp
554=rtsp(Real Time Stream Control Protocol)
555=dsf
556=remotefs(rfs server)
557=openvms-sysipc
558=sdnskmp
559=teedtap
560=rmonitor
561=monitor,?
562=chshell,chcmd
563=snews
564=9pfs(plan 9 file service)
565=whoami
566=streettalk
567=banyan-rpc
568=ms-shuttle(microsoft shuttle)
569=ms-rome(microsoft rome)
570=meter,demon
571=meter,udemon
572=sonar
573=banyan-vip
574=ftp-agent(FTP Software Agent System)
575=vemmi
576=ipcd
577=vnas
578=ipdd
579=decbsrv
580=sntp-heartbeat=SNTP HEARTBEAT
581=bdp(Bundle Discovery Protocol)
600=ipcserver(Sun IP協(xié)議C server)
606=urm(Cray Unified Resource Manager)
607=nqs
608=nsift-uft(Sender-Initiated/Unsolicited File Transfer)
609=npmp-trap
610=npmp-local
611=npmp-gui
612=hmmp-ind(HMMP Indication)
613=hmmp-op(HMMP Operation)
614=sshell(SSLshell)
615=sco-inetmgr(Internet Configuration Manager)
616=sco-sysmgr(SCO System Administration Server)
617=sco-dtmgr(SCO Desktop Administration Server)
618=dei-icda
619=digital-evm
620=sco-websrvrmgr(SCO WebServer Manager)
633=servstat(Service Status update (Sterling Software))
634=ginad
635=rlzdbase
636=ssl-ldap
637=lanserver
666=mdqs
667=disclose(campaign contribution disclosures - SDR Technologies)
668=mecomm
669=meregister
670=vacdsm-sws
671=vacdsm-app
672=vpps-qua
673=cimplex
674=acap
704=elcsd(errlog copy/server daemon)
705=agentx
709=entrust-kmsh(Entrust Key Management Service Handler)
710=entrust-ash(Entrust Administration Service Handler)
729=netviewdm1(IBM NetView DM/6000 Server/Client)
730=netviewdm2(IBM NetView DM/6000 send)
731=netviewdm3(IBM NetView DM/6000 receive)
741=netgw
742=netrcs(Network based Rev. Cont. Sys.)
744=flexlm(Flexible License Manager)
747=fujitsu-dev(Fujitsu Device Control)
748=ris-cm(Russell Info Sci Calendar Manager)
749=kerberos-adm(kerberos administration)
750=rfile
751=pump
752=qrh
753=rrh
754=tell,send
758=nlogin
759=con
760=ns
761=rxe
762=quotad
763=cycleserv
764=omserv
765=webster
767=phonebook,phone
769=vid
770=cadlock
771=rtip
772=cycleserv2
773=submit
774=rpasswd
775=entomb
776=wpages
780=wpgs
786=concert
800=mdbs_daemon
801=device
886=iclcnet-locate(ICL coNETion locate server)
887=iclcnet_svinfo(ICL coNETion server info)
888=accessbuilder
911=xact-backup
991=nas(Netnews Administration System)
995=spop3(SSL based POP3)
996=vsinet
997=maitrd
998=busboy
999=garcon
1000=cadlock
1023=Reserved(保留)
1024=Reserved(保留 )
1435=ibm-cics
七、常見木馬使用的端口
木馬程序通常都是通過(guò)特定的端口對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行攻擊的,所以了解一些常見木馬程序所用的計(jì)算機(jī)端口,對(duì)于防范木馬黑客程序的攻擊非常有用,下表3列出了當(dāng)前常見的一些木馬程序所使用的端口。
國(guó)產(chǎn)常見木馬使用端口:
19191=藍(lán)色火焰
2000=黑洞2000
2001=黑洞2001
23444=網(wǎng)絡(luò)公牛,netbull
23445=網(wǎng)絡(luò)公牛,netbull
27374=Sub Seven 2.0+,77,東方魔眼
31338=Back Orifice
31338=DeepBO
31339=NetSpy DK
31666=BOWhack
34324= BigGluck
40412 =The Spy
40421= Masters Paradise
40422= Masters Paradise 1.x
40423= Masters Paradise 2.x
40426= Masters Paradise 3.x
50505 =Sockets de Troie
50766 =Fore
6267=廣外女生
7306=網(wǎng)絡(luò)精靈3.0,netspy3.0
7626=冰河
8011=wry,賴小子,火鳳凰
8102=網(wǎng)絡(luò)神偷
國(guó)外常見木馬使用端口:
1001 =WebEx
1001= Silencer
1001= Silencer
1001= Silencer
1001= WebEx
10067 =Portal of Doom 4.x
1011= Doly Trojan
1011= Doly Trojan
10167= Portal of Doom 5.x
1033 =Netspy
11000 =Senna Spy
11000 =Senna Spy Trojans
11223 = Progenic Trojan
11223= Progenic trojan
1170 =Psyber Stream Server
1170 =Streaming Audio Trojan
12076 =Gjamer
121 =BO jammerkillahV
12223 = Hack?99 KeyLogger
12223= Hack?99 KeyLogger
1234= Ultors Trojan
12346 =NetBus 1.x
12361 =Whack-a-mole
12362 =Whack-a-mole 1.x
1243 =SubSeven
1245 = Vodoo
1245 =VooDoo Doll
1245= GabanBus
1245= NetBus
1492 =FTP99CMP
1492= FTP99CMP
1509 =Psyber Streaming Server
1600 =Shivka-Burka
1600= Shiva Burka
16969 =Priority
16969= Priotrity
1807= SpySender
1981 = ShockRave
1981= Shockrave
1999 =BackDoor
1999 =Backdoor
20000= Millenium
20001 =Millennium
2001 = TrojanCow
2001= Trojan Cow
20034 = NetBus Pro
20034= NetBus 2 Pro
2023 =Pass Ripper
2023= Ripper
2115= Bugs
2140 =Deep Throat
2140= The Invasor
21544=GirlFriend
21554 =GirlFriend
22222= Prosiak 0.47
22222=Prosiak
23456 = UglyFtp
23456= Ugly FTP
23456= WhackJob
23456=Evil FTP
2565 = Striker
2583 = Wincrash2
26274= Delta
2801 =Phineas
2801= Phineas Phucker
30100= NetSphere
30129 =Masters Paradise
30303 =Socket23
30999= Kuang
31337 =Back Orifice
31339 =NetSpy DK
33333=Prosiak
34324= BigGluck=
34324= Tiny Telnet Server
3700= Portal of Doom
40412 = TheSpy
40423= Master Paradise
4092 =WinCrash
456 =Hackers Paradise
4590 =ICQTrojan
4950 = IcqTrojan
4950= IcqTrojen
5000 =Sockets de Troie
5001 =Sockets de Troie 1.x
50766 =Fore= Schwindler
53001 = Remote Windows Shutdown
53001 = Remote Windows Shutdown
53001 =Remote Windows Shutdown
5321 = Firehotcker
5321= Firehotcker
5400 = Blade Runner
5400 =Blade Runner
5401= Blade Runner 1.x
5402 =Blade Runner 2.x
555= Phase0
555= Stealth Spy
5569 =Robo-Hack
5569= RoboHack
5742 = Wincrash
61466 =Telecommando
61466= Telecommando
6400= The tHing
65000 =Devil
65000= Devil 1.03
666 =Attack FTP
666 =Satanz Backdoor
6670 =DeepThroat
6771= DeepThroat
6939 =Indoctrination
6969 =Gatecrasher
6969 =Priority
6969= GateCrasher
7000= Remote Grab
7300 =NetMonitor
7301= NetMonitor 1.x
7306 =NetMonitor 2.x
7306= NetMonitor
7307= NetMonitor 3.x
7308 =NetMonitor 4.x
7789 =ICQKiller
7789= ICKiller
9872 = Portal Of Doom
9872 =Portal of Doom
9873 =Portal of Doom 1.x
9874 =Portal of Doom 2.x
9875 =Portal of Doom 3.x
9875=Portal of Doom
9989 = InIkiller
9989 =iNi-Killer
9989= iNi-Killer
七、常見端口詳解及部分攻擊策略
端口可分為3大類:
1) 公認(rèn)端口(Well Known Ports):從0到1023,它們緊密綁定于一些服務(wù)。通常這些端口的通訊明確表明了某種服 務(wù)的協(xié)議。例如:80端口實(shí)際上總是HTTP通訊。
2) 注冊(cè)端口(Registered Ports):從1024到49151。它們松散地綁定于一些服務(wù)。也就是說(shuō)有許多服務(wù)綁定于這些端口,這些端口同樣用于許多其它目的。例如:許多系統(tǒng)處理動(dòng)態(tài)端口從1024左右開始。
3) 動(dòng)態(tài)和/或私有端口(Dynamic and/or Private Ports):從49152到65535。理論上,不應(yīng)為服務(wù)分配這些端口。實(shí)際上,機(jī)器通常從1024起分配動(dòng)態(tài)端口。但也有例外:SUN的RPC端口從32768開始。
端口1~1024是保留端口,所以它們幾乎不會(huì)是源端口。但有一些例外,例如來(lái)自NAT機(jī)器的連接。 ??匆娋o接著1024的端口,它們是系統(tǒng)分配給那些并不在乎使用哪個(gè)端口連接的應(yīng)用程序的“動(dòng)態(tài)端口”。 Server Client 服務(wù)描述
1-5/tcp 動(dòng)態(tài) FTP 1-5端口意味著sscan腳本
20/tcp 動(dòng)態(tài) FTP FTP服務(wù)器傳送文件的端口
53 動(dòng)態(tài) FTP DNS從這個(gè)端口發(fā)送UDP回應(yīng)。你也可能看見源/目標(biāo)端口的TCP連接。
123 動(dòng)態(tài) S/NTP 簡(jiǎn)單網(wǎng)絡(luò)時(shí)間協(xié)議(S/NTP)服務(wù)器運(yùn)行的端口。它們也會(huì)發(fā)送到這個(gè)端口的廣播。
27910~27961/udp 動(dòng)態(tài) Quake Quake或Quake引擎驅(qū)動(dòng)的游戲在這一端口運(yùn)行其服務(wù)器。因此來(lái)自這一端口范圍的UDP包或發(fā)送至這一端口范圍的UDP包通常是游戲。
61000以上 動(dòng)態(tài) FTP 61000以上的端口可能來(lái)自Linux NAT服務(wù)器(IP Masquerade)
0      通常用于分析操作系統(tǒng)。這一方法能夠工作是因?yàn)樵谝恍┫到y(tǒng)中“0”是無(wú)效端口,當(dāng)你試圖使用一種通常的閉合端口連接它時(shí)將產(chǎn)生不同的結(jié)果。一種典型的掃描:使用IP地址為0.0.0.0,設(shè)置ACK位并在以太網(wǎng)層廣播。
1      tcpmux 這顯示有人在尋找SGI Irix機(jī)器。Irix是實(shí)現(xiàn)tcpmux的主要提供者,缺省情況下tcpmux在這種系統(tǒng)中被打開。Iris機(jī)器在發(fā)布時(shí)含有幾個(gè)缺省的無(wú)密碼的帳戶,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4     Dgifts。許多管理員安裝后忘記刪除這些帳戶。因此Hacker們?cè)贗nternet上搜索tcpmux并利用這些帳戶。
7     Echo 你能看到許多人們搜索Fraggle放大器時(shí),發(fā)送到x.x.x.0和x.x.x.255的信息。
常見的一種DoS攻擊是echo循環(huán)(echo-loop),攻擊者偽造從一個(gè)機(jī)器發(fā)送到另一個(gè)機(jī)器的UDP數(shù)據(jù)包,而兩個(gè)機(jī)器分別以它們最快的方式回應(yīng)這些數(shù)據(jù)包。(參見Chargen)
另一種東西是由DoubleClick在詞端口建立的TCP連接。有一種產(chǎn)品叫做“Resonate Global Dispatch”,它與DNS的這一端口連接以確定最近的路由。
Harvest/squid cache將從3130端口發(fā)送UDP echo:“如果將cache的source_ping on選項(xiàng)打開,它將對(duì)原始主機(jī)的UDP echo 端口回應(yīng)一個(gè)HIT reply。”這將會(huì)產(chǎn)生許多這類數(shù)據(jù)包。
11   sysstat 這是一種UNIX服務(wù),它會(huì)列出機(jī)器上所有正在運(yùn)行的進(jìn)程以及是什么啟動(dòng)了這些進(jìn)程。這為入侵者提供了許多信息而威脅機(jī)器的安全,如暴露已知某些弱點(diǎn)或帳戶的程序。這與UNIX系統(tǒng)中“ps”命令的結(jié)果相似。再說(shuō)一遍:ICMP沒(méi)有端口,ICMP port 11通常是ICMP type=11
19    chargen 這是一種僅僅發(fā)送字符的服務(wù)。UDP版本將會(huì)在收到UDP包后回應(yīng)含有垃圾字符的包。TCP連接時(shí),會(huì)發(fā)送含有垃圾字符的數(shù)據(jù)流知道連接關(guān)閉。Hacker利用IP欺騙可以發(fā)動(dòng)DoS攻擊。偽造兩個(gè)chargen服務(wù)器之間的UDP包。由于服務(wù)器企圖回應(yīng)兩個(gè)服務(wù)器之間的無(wú)限的往返數(shù)據(jù)通訊一個(gè)chargen和echo將導(dǎo)致服務(wù)器過(guò)載。同樣fraggle DoS攻擊向目標(biāo)地址的這個(gè)端口廣播一個(gè)帶有偽造受害者IP的數(shù)據(jù)包,受害者為了回應(yīng)這些數(shù)據(jù)而過(guò)載。
21    ftp 最常見的攻擊者用于尋找打開“anonymous”的ftp服務(wù)器的方法。這些服務(wù)器帶有可讀寫的目錄。Hackers或Crackers 利用這些服務(wù)器作為傳送warez (私有程序) 和pr0n(故意拼錯(cuò)詞而避免被搜索引擎分類)的節(jié)點(diǎn)。
22    ssh PcAnywhere建立TCP和這一端口的連接可能是為了尋找ssh。這一服務(wù)有許多弱點(diǎn)。如果配置成特定的模式,許多使用RSAREF庫(kù)的版本有不少漏洞。(建議在其它端口運(yùn)行ssh)
還應(yīng)該注意的是ssh工具包帶有一個(gè)稱為make-ssh-known-hosts的程序。它會(huì)掃描整個(gè)域的ssh主機(jī)。你有時(shí)會(huì)被使用這一程序的人無(wú)意中掃描到。
UDP(而不是TCP)與另一端的5632端口相連意味著存在搜索pcAnywhere的掃描。5632(十六進(jìn)制的0x1600)位交換后是0x0016 (使進(jìn)制的22)。
23    Telnet 入侵者在搜索遠(yuǎn)程登陸UNIX的服務(wù)。大多數(shù)情況下入侵者掃描這一端口是為了找到機(jī)器運(yùn)行的操作系統(tǒng)。此外使用其它技術(shù),入侵者會(huì)找到密碼。
25    smtp 攻擊者(spammer)尋找SMTP服務(wù)器是為了傳遞他們的spam。入侵者的帳戶總被關(guān)閉,他們需要撥號(hào)連接到高帶寬的e-mail服務(wù)器上,將簡(jiǎn)單的信息傳遞到不同的地址。SMTP服務(wù)器(尤其是sendmail)是進(jìn)入系統(tǒng)的最常用方法之一,因?yàn)樗鼈儽仨毻暾谋┞队贗nternet且郵件的路由是復(fù)雜的(暴露+復(fù)雜=弱點(diǎn))。
53    DNS Hacker或crackers可能是試圖進(jìn)行區(qū)域傳遞(TCP),欺騙DNS(UDP)或隱藏其它通訊。因此防火墻常常過(guò)濾或記錄53端口。
需要注意的是你常會(huì)看到53端口做為UDP源端口。不穩(wěn)定的防火墻通常允許這種通訊并假設(shè)這是對(duì)DNS查詢的回復(fù)。Hacker常使用這種方法穿透防火墻。
67和68 Bootp和DHCP UDP上的Bootp/DHCP:通過(guò)DSL和cable-modem的防火墻常會(huì)看見大量發(fā)送到廣播地址255.255.255.255的數(shù)據(jù)。這些機(jī)器在向DHCP服務(wù)器請(qǐng)求一個(gè)地址分配。Hacker常進(jìn)入它們分配一個(gè)地址把自己作為局部路由器而發(fā)起大量的“中間人”(man-in-middle)攻擊。客戶端向68端口(bootps)廣播請(qǐng)求配置,服務(wù)器向67端口(bootpc)廣播回應(yīng)請(qǐng)求。
這種回應(yīng)使用廣播是因?yàn)榭蛻舳诉€不知道可以發(fā)送的IP地址。
69    TFTP(UDP) 許多服務(wù)器與bootp一起提供這項(xiàng)服務(wù),便于從系統(tǒng)下載啟動(dòng)代碼。但是它們常常錯(cuò)誤配置而從系統(tǒng)提供任何文件,如密碼文件。它們也可用于向系統(tǒng)寫入文件。
79     finger Hacker用于獲得用戶信息,查詢操作系統(tǒng),探測(cè)已知的緩沖區(qū)溢出錯(cuò)誤,回應(yīng)從自己機(jī)器到其它機(jī)器finger掃描。
98    linuxconf 這個(gè)程序提供linux boxen的簡(jiǎn)單管理。通過(guò)整合的HTTP服務(wù)器在98端口提供基于Web界面的服務(wù)。它已發(fā)現(xiàn)有許多安全問(wèn)題。一些版本setuid root,信任局域網(wǎng),在/tmp下建立Internet可訪問(wèn)的文件,LANG環(huán)境變量有緩沖區(qū)溢出。此外因?yàn)樗系姆?wù)器,許多典型的HTTP漏洞可能存在(緩沖區(qū)溢出,歷遍目錄等)
109    POP2 并不象POP3那樣有名,但許多服務(wù)器同時(shí)提供兩種服務(wù)(向后兼容)。在同一個(gè)服務(wù)器上POP3的漏洞在POP2中同樣存在。
110    POP3 用于客戶端訪問(wèn)服務(wù)器端的郵件服務(wù)。POP3服務(wù)有許多公認(rèn)的弱點(diǎn)。關(guān)于用戶名和密碼交換緩沖區(qū)溢出的弱點(diǎn)至少有20個(gè)(這意味著Hacker可以在真正登陸前進(jìn)入系統(tǒng))。成功登陸后還有其它緩沖區(qū)溢出錯(cuò)誤。
111    sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。訪問(wèn)portmapper是掃描系統(tǒng)查看允許哪些RPC服務(wù)的最早的一步。
常見RPC服務(wù)有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發(fā)現(xiàn)了允許的RPC服務(wù)將轉(zhuǎn)向提供服務(wù)的特定端口測(cè)試漏洞。
記住一定要記錄線路中的daemon, IDS, 或sniffer,你可以發(fā)現(xiàn)入侵者正使用什么程序訪問(wèn)以便發(fā)現(xiàn)到底發(fā)生了什么。
113     Ident auth 這是一個(gè)許多機(jī)器上運(yùn)行的協(xié)議,用于鑒別TCP連接的用戶。使用標(biāo)準(zhǔn)的這種服務(wù)可以獲得許多機(jī)器的信息(會(huì)被Hacker利用)。但是它可作為許多服務(wù)的記錄器,尤其是FTP, POP, IMAP, SMTP和IRC等服務(wù)。通常如果有許多客戶通過(guò)防火墻訪問(wèn)這些服務(wù),你將會(huì)看到許多這個(gè)端口的連接請(qǐng)求。記住,如果你阻斷這個(gè)端口客戶端會(huì)感覺(jué)到在防火墻另一邊與e-mail服務(wù)器的緩慢連接。許多防火墻支持在TCP連接的阻斷過(guò)程中發(fā)回RST,著將回停止這一緩慢的連接。
119 NNTP news 新聞組傳輸協(xié)議,承載USENET通訊。當(dāng)你鏈接到諸如:news://comp.security.firewalls/. 的地址
時(shí)通常使用這個(gè)端口。這個(gè)端口的連接企圖通常是人們?cè)趯ふ襏SENET服務(wù)器。多數(shù)ISP限制只有他們的客戶才能訪問(wèn)他們的新聞組服務(wù)器。打開新聞組服務(wù)器將允許發(fā)/讀任何人的帖子,訪問(wèn)被限制的新聞組服務(wù)器,匿名發(fā)帖或發(fā)送spam。
135    oc-serv MS RPC end-point mapper Microsoft在這個(gè)端口運(yùn)行DCE RPC end-point mapper為它的DCOM服務(wù)。這與UNIX 111端口的功能很相似。使用DCOM和/或RPC的服務(wù)利用機(jī)器上的end-point mapper注冊(cè)它們的位置。遠(yuǎn)端客戶連接到機(jī)器時(shí),它們查詢end-point mapper找到服務(wù)的位置。同樣Hacker掃描機(jī)器的這個(gè)端口是為了找到諸如:這個(gè)機(jī)器上運(yùn)行Exchange Server嗎?是什么版本?
這個(gè)端口除了被用來(lái)查詢服務(wù)(如使用epdump)還可以被用于直接攻擊。有一些DoS攻擊直接針對(duì)這個(gè)端口。
137   NetBIOS name service nbtstat (UDP) 這是防火墻管理員最常見的信息,請(qǐng)仔細(xì)閱讀文章后面的NetBIOS一節(jié)
139   NetBIOS
File and Print Sharing 通過(guò)這個(gè)端口進(jìn)入的連接試圖獲得NetBIOS/SMB服務(wù)。這個(gè)協(xié)議被用于Windows“文件和打印機(jī)共享”和SAMBA。在Internet上共享自己的硬盤是可能是最常見的問(wèn)題。
大量針對(duì)這一端口始于1999,后來(lái)逐漸變少。2000年又有回升。一些VBS(IE5 VisualBasic s cripting)開始將它們自己拷貝到這個(gè)端口,試圖在這個(gè)端口繁殖。
143 IMAP 和上面POP3的安全問(wèn)題一樣,許多IMAP服務(wù)器有緩沖區(qū)溢出漏洞運(yùn)行登陸過(guò)程中進(jìn)入。記?。阂环NLinux蠕蟲(admw0rm)會(huì)通過(guò)這個(gè)端口繁殖,因此許多這個(gè)端口的掃描來(lái)自不知情的已被感染的用戶。當(dāng)RadHat在他們的Linux發(fā)布版本中默認(rèn)允許IMAP 后,這些漏洞變得流行起來(lái)。Morris蠕蟲以后這還是第一次廣泛傳播的蠕蟲。
這一端口還被用于IMAP2,但并不流行。
已有一些報(bào)道發(fā)現(xiàn)有些0到143端口的攻擊源于腳本。
161     SNMP(UDP) 入侵者常探測(cè)的端口。SNMP允許遠(yuǎn)程管理設(shè)備。所有配置和運(yùn)行信息都儲(chǔ)存在數(shù)據(jù)庫(kù)中,通過(guò)SNMP客獲得這些信息。許多管理員錯(cuò)誤配置將它們暴露于Internet。Crackers將試圖使用缺省的密碼“public”“private”訪問(wèn)系統(tǒng)。他們可能會(huì)試驗(yàn)所有可能的組合。
SNMP包可能會(huì)被錯(cuò)誤的指向你的網(wǎng)絡(luò)。Windows機(jī)器常會(huì)因?yàn)殄e(cuò)誤配置將HP JetDirect remote management軟件使用SNMP。
HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會(huì)看見這種包在子網(wǎng)內(nèi)廣播(cable modem, DSL)查詢sysName和其它信息。
162    SNMP trap 可能是由于錯(cuò)誤配置
177    xdmcp 許多Hacker通過(guò)它訪問(wèn)X-Windows控制臺(tái),它同時(shí)需要打開6000端口。
513    rwho 可能是從使用cable modem或DSL登陸到的子網(wǎng)中的UNIX機(jī)器發(fā)出的廣播。這些人為Hacker進(jìn)入他們的系統(tǒng)提供了很有趣的信息。
553    CORBA
IIOP (UDP) 如果你使用cable modem或DSL VLAN,你將會(huì)看到這個(gè)端口的廣播。CORBA是一種面向?qū)ο蟮腞PC(remote procedure call)系統(tǒng)。Hacker會(huì)利用這些信息進(jìn)入系統(tǒng)。
600    Pcserver backdoor 請(qǐng)查看1524端口一些玩s cript的孩子認(rèn)為他們通過(guò)修改ingreslock和pcserver文件已經(jīng)完全攻破了系統(tǒng)-- Alan J. Rosenthal.
635    mountd Linux的mountd Bug。這是人們掃描的一個(gè)流行的Bug。大多數(shù)對(duì)這個(gè)端口的掃描是基于UDP的,但基于TCP的mountd有所增加(mountd同時(shí)運(yùn)行于兩個(gè)端口)。記住,mountd可運(yùn)行于任何端口(到底在哪個(gè)端口,需要在端口111做portmap查詢),只是Linux默認(rèn)為635端口,就象NFS通常運(yùn)行于2049端口。
1024    許多人問(wèn)這個(gè)端口是干什么的。它是動(dòng)態(tài)端口的開始。許多程序并不在乎用哪個(gè)端口連接網(wǎng)絡(luò),它們請(qǐng)求操作系統(tǒng)為它們分配“下一個(gè)閑置端口”?;谶@一點(diǎn)分配從端口1024開始。這意味著第一個(gè)向系統(tǒng)請(qǐng)求分配動(dòng)態(tài)端口的程序?qū)⒈环峙涠丝?024。為了驗(yàn)證這一點(diǎn),你可以重啟機(jī)器,打開Telnet,再打開一個(gè)窗口運(yùn)行“natstat -a”,你將會(huì)看到Telnet被分配1024端口。請(qǐng)求的程序越多,動(dòng)態(tài)端口也越多。操作系統(tǒng)分配的端口將逐漸變大。再來(lái)一遍,當(dāng)你瀏覽Web頁(yè)時(shí)用“netstat” 查看,每個(gè)Web頁(yè)需要一個(gè)新端口。
1025 參見1024
1026 參見1024
1080 SOCKS
這一協(xié)議以管道方式穿過(guò)防火墻,允許防火墻后面的許多人通過(guò)一個(gè)IP地址訪問(wèn)Internet。理論上它應(yīng)該只允許內(nèi)部的通信向外達(dá)到Internet。但是由于錯(cuò)誤的配置,它會(huì)允許Hacker/Cracker的位于防火墻外部的攻擊穿過(guò)防火墻?;蛘吆?jiǎn)單地回應(yīng)位于Internet上的計(jì)算機(jī),從而掩飾他們對(duì)你的直接攻擊。WinGate是一種常見的Windows個(gè)人防火墻,常會(huì)發(fā)生上述的錯(cuò)誤配置。在加入IRC聊天室時(shí)常會(huì)看到這種情況。
1114    SQL
系統(tǒng)本身很少掃描這個(gè)端口,但常常是sscan腳本的一部分。
1243    Sub-7木馬(TCP)
參見Subseven部分。
1524    ingreslock后門
許多攻擊腳本將安裝一個(gè)后門Shell于這個(gè)端口(尤其是那些針對(duì)Sun系統(tǒng)中Sendmail和RPC服務(wù)漏洞的腳本,如statd, ttdbserver和cmsd)。如果你剛剛安裝了你的防火墻就看到在這個(gè)端口上的連接企圖,很可能是上述原因。你可以試試Telnet到你的機(jī)器上的這個(gè)端口,看看它是否會(huì)給你一個(gè)Shell。連接到600/pcserver也存在這個(gè)問(wèn)題。
2049    NFS
NFS程序常運(yùn)行于這個(gè)端口。通常需要訪問(wèn)portmapper查詢這個(gè)服務(wù)運(yùn)行于哪個(gè)端口,但是大部分情況是安裝后NFS運(yùn)行于這個(gè)端口,Hacker/Cracker因而可以閉開portmapper直接測(cè)試這個(gè)端口。
3128    squid
這是Squid HTTP代理服務(wù)器的默認(rèn)端口。攻擊者掃描這個(gè)端口是為了搜尋一個(gè)代理服務(wù)器而匿名訪問(wèn)Internet。你也會(huì)看到搜索其它代理服務(wù)器的端口:8000/8001/8080/8888。掃描這一端口的另一原因是:用戶正在進(jìn)入聊天室。其它用戶(或服務(wù)器本身)也會(huì)檢驗(yàn)這個(gè)端口以確定用戶的機(jī)器是否支持代理。請(qǐng)查看5.3節(jié)。
5632    pcAnywere
你會(huì)看到很多這個(gè)端口的掃描,這依賴于你所在的位置。當(dāng)用戶打開pcAnywere時(shí),它會(huì)自動(dòng)掃描局域網(wǎng)C類網(wǎng)以尋找可能得代理(譯者:指agent而不是proxy)。Hacker/cracker也會(huì)尋找開放這種服務(wù)的機(jī)器,所以應(yīng)該查看這種掃描的源地址。
一些搜尋pcAnywere的掃描常包含端口22的UDP數(shù)據(jù)包。參見撥號(hào)掃描。
6776     Sub-7 artifact
這個(gè)端口是從Sub-7主端口分離出來(lái)的用于傳送數(shù)據(jù)的端口。例如當(dāng)控制者通過(guò)電話線控制另一臺(tái)機(jī)器,而被控機(jī)器掛斷時(shí)你將會(huì)看到這種情況。因此當(dāng)另一人以此IP撥入時(shí),他們將會(huì)看到持續(xù)的,在這個(gè)端口的連接企圖。(譯者:即看到防火墻報(bào)告這一端口的連接企圖時(shí),并不表示你已被Sub-7控制。)
6970       RealAudio
RealAudio客戶將從服務(wù)器的6970-7170的UDP端口接收音頻數(shù)據(jù)流。這是由TCP7070端口外向控制連接設(shè)置的。
13223     PowWow
PowWow 是Tribal Voice的聊天程序。它允許用戶在此端口打開私人聊天的連接。這一程序?qū)τ诮⑦B接非常具有“進(jìn)攻性”。
它會(huì)“駐扎”在這一TCP端口等待回應(yīng)。這造成類似心跳間隔的連接企圖。如果你是一個(gè)撥號(hào)用戶,從另一個(gè)聊天者手中“繼承”了IP地址這種情況就會(huì)發(fā)生:好象很多不同的人在測(cè)試這一端口。這一協(xié)議使用“OPNG”作為其連接企圖的前四個(gè)字節(jié)。
17027     Conducent
這是一個(gè)外向連接。這是由于公司內(nèi)部有人安裝了帶有Conducent "adbot" 的共享軟件。Conducent "adbot"是為共享軟件顯示廣告服務(wù)的。使用這種服務(wù)的一種流行的軟件是Pkware。有人試驗(yàn):阻斷這一外向連接不會(huì)有任何問(wèn)題,但是封掉IP地址本身將會(huì)導(dǎo)致adbots持續(xù)在每秒內(nèi)試圖連接多次而導(dǎo)致連接過(guò)載:機(jī)器會(huì)不斷試圖解析DNS名—ads.conducent.com,即IP地址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者:不知NetAnts使用的Radiate是否也有這種現(xiàn)象)
27374     Sub-7木馬(TCP)
參見Subseven部分。
30100     NetSphere木馬(TCP)
通常這一端口的掃描是為了尋找中了NetSphere木馬。
31337     Back Orifice “elite”
Hacker中31337讀做“elite”/ei’li:t/(譯者:法語(yǔ),譯為中堅(jiān)力量,精華。即3=E, 1=L, 7=T)。因此許多后門程序運(yùn)行于這一端口。其中最有名的是Back Orifice。曾經(jīng)一段時(shí)間內(nèi)這是Internet上最常見的掃描。現(xiàn)在它的流行越來(lái)越少,其它的木馬程序越來(lái)越流行。
31789      Hack-a-tack
這一端口的UDP通訊通常是由于"Hack-a-tack"遠(yuǎn)程訪問(wèn)木馬(RAT, Remote Access Trojan)。這種木馬包含內(nèi)置的31790 端口掃描器,因此任何31789端口到317890端口的連接意味著已經(jīng)有這種入侵。(31789端口是控制連接,317890端口是文件傳輸連接)
32770~32900     RPC服務(wù)
Sun Solaris的RPC服務(wù)在這一范圍內(nèi)。詳細(xì)的說(shuō):早期版本的Solaris(2.5.1之前)將portmapper置于這一范圍內(nèi),即使低端口被防火墻封閉仍然允許Hacker/cracker訪問(wèn)這一端口。掃描這一范圍內(nèi)的端口不是為了尋找portmapper,就是為了尋找可被攻擊的已知的RPC服務(wù)。
33434~33600     traceroute
如果你看到這一端口范圍內(nèi)的UDP數(shù)據(jù)包(且只在此范圍之內(nèi))則可能是由于traceroute。參見traceroute部分。
41508 Inoculan
早期版本的Inoculan會(huì)在子網(wǎng)內(nèi)產(chǎn)生大量的UDP通訊用于識(shí)別彼此
本站僅提供存儲(chǔ)服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊舉報(bào)。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
如何打開端口的問(wèn)題 - ISA - 企業(yè)級(jí)安全技術(shù) - 51CTO技術(shù)論壇
怎樣查找打開的端口和如何關(guān)閉端口
常用網(wǎng)絡(luò)協(xié)議
netstat命令檢查端口使用情況
TCP/IP協(xié)議
xp中查看計(jì)算機(jī)端口
更多類似文章 >>
生活服務(wù)
分享 收藏 導(dǎo)長(zhǎng)圖 關(guān)注 下載文章
綁定賬號(hào)成功
后續(xù)可登錄賬號(hào)暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服