注册 登录 找回密码 回收站 在线 帮助 首页 Blog 繁體中文欢迎 访问本论坛

穆穆族论坛 » 拓 眼 电 脑 » [ 电脑网络 ] » 端口基础常识

本主题共有19张帖子, 被点击2186次 查看上一个主题  查看下一个主题  发表新主题  发布新投票  发表回复
端口基础常识

Chikoo
 
 
级别:  
天王元老
标识:  
来自:  
地球国 中华人民共和省 河北市 承德村
 
  功能按钮:   查看用户档案   email:***@***.***   http://www.u6u8.net   短消息      以树型方式查看   刷新   加入到私人收藏   修改帖子   删除   引用回复   发表回复   


Re:端口基础常识

513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。 这些人为Hacker进入他们的系统提供了很有趣的信息 

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口 的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利 用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩 子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal. 

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端 口的扫描是基于UDP的,但基于TCP 的mountd有所增加(mountd同时运行于两个端 口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap 查询),只是Linux默认为635 端口,就象NFS通常运行于2049




欺骗一个人最好的办法就是利用自己的真感情!
 时间:2004/5/17 16:32:50
    注册: 2003-5   发帖: 2850  积分: 3066   状态: offline   11楼 

Chikoo
 
 
级别:  
天王元老
标识:  
来自:  
地球国 中华人民共和省 河北市 承德村
 
  功能按钮:   查看用户档案   email:***@***.***   http://www.u6u8.net   短消息      以树型方式查看   刷新   加入到私人收藏   修改帖子   删除   引用回复   发表回复   


Re: 端口基础常识

1024 许多人问这个 端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它 们请求*作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。 这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一 点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看 到Telnet被分配1024端口。请求的程序越多,动态端口也越多。*作系统分配的端口 将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个 新端口。 ?ersion 0.4.1, June 20, 2000 h++p://www.robertgraham.com/ pubs/firewall-seen.html Copyright 1998-2000 by Robert Graham 
(mailto:firewall-seen1@robertgraham.com. 
All rights reserved. This document may only be reproduced (whole orin part) for non-commercial purposes. All reproductions must 
contain this copyright notice and must not be altered, except by 
permission of the author.

1025 参见1024 

1026 参见1024 




欺骗一个人最好的办法就是利用自己的真感情!
 时间:2004/5/17 16:33:31
    注册: 2003-5   发帖: 2850  积分: 3066   状态: offline   12楼 

Chikoo
 
 
级别:  
天王元老
标识:  
来自:  
地球国 中华人民共和省 河北市 承德村
 
  功能按钮:   查看用户档案   email:***@***.***   http://www.u6u8.net   短消息      以树型方式查看   刷新   加入到私人收藏   修改帖子   删除   引用回复   发表回复   


Re: 端口基础常识

1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP 地址访问Internet。理论上它应该只 
允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker 的位于防火墙外部的攻 
击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接 攻击。 
WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊 天室时常会看到这种情况。

1114 SQL 系统本身很少扫描这个端口,但常常是sscan脚本的一部分。

1243 Sub-7木马(TCP)参见Subseven部分。

1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口(尤其是那些 针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd,ttdbserver和cmsd)。如 果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你 可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Sh*ll 。连接到 600/pcserver也存在这个问题。 




欺骗一个人最好的办法就是利用自己的真感情!
 时间:2004/5/17 16:34:24
    注册: 2003-5   发帖: 2850  积分: 3066   状态: offline   13楼 

Chikoo
 
 
级别:  
天王元老
标识:  
来自:  
地球国 中华人民共和省 河北市 承德村
 
  功能按钮:   查看用户档案   email:***@***.***   http://www.u6u8.net   短消息      以树型方式查看   刷新   加入到私人收藏   修改帖子   删除   引用回复   发表回复   


Re: 端口基础常识

2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于 哪个端口,但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开 portmapper直接测试这个端口。 

3128 squid 这是Squid h++p代理服务器的默认端口。攻击者扫描这个端口是为了搜 寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口: 
000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户 (或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。 

5632 pcAnywere你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开 pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是 proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的 源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。 例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。 因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译 者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。) 




欺骗一个人最好的办法就是利用自己的真感情!
 时间:2004/5/17 16:35:05
    注册: 2003-5   发帖: 2850  积分: 3066   状态: offline   14楼 

Chikoo
 
 
级别:  
天王元老
标识:  
来自:  
地球国 中华人民共和省 河北市 承德村
 
  功能按钮:   查看用户档案   email:***@***.***   http://www.u6u8.net   短消息      以树型方式查看   刷新   加入到私人收藏   修改帖子   删除   引用回复   发表回复   


Re: 端口基础常识

6970 RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070 端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许 用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它 会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个 拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同 的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。 
Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件 是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会 导致adbots持续在每秒内试图连接多次而导致连接过载: 
机器会不断试图解析DNS名─ads.conducent.com,即IP地址216.33.210.40 ; 
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不 知NetAnts使用的Radiate是否也有这种现象)

27374 Sub-7木马(TCP) 参见Subseven部分。

30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/(译者:* 语,译为中坚力量,精华。即 3=E, 1=L, 7=T)。因此许多后门程序运行于这一端 口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。 现在它的流行越来越少,其它的 木马程序越来越流行。

31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马 (RAT,Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何 31789端口到317890端口的连 接意味着已经有这种入侵。(31789端口是控制连 接,317890端口是文件传输连接) 





欺骗一个人最好的办法就是利用自己的真感情!
 时间:2004/5/17 16:36:09
    注册: 2003-5   发帖: 2850  积分: 3066   状态: offline   15楼 

Chikoo
 
 
级别:  
天王元老
标识:  
来自:  
地球国 中华人民共和省 河北市 承德村
 
  功能按钮:   查看用户档案   email:***@***.***   http://www.u6u8.net   短消息      以树型方式查看   刷新   加入到私人收藏   修改帖子   删除   引用回复   发表回复   


Re: 端口基础常识

32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本 的Solaris(2.5.1之前)将 portmapper置于这一范围内,即使低端口被防火墙封闭 仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找 portmapper,就是为了寻找可被攻击的已知的RPC服务。 

33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围 之内)则可能是由于traceroute。参见traceroute分。 

41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。 参见 
h++p://www.circlemud.org/~jelson/software/udpsend.html 
h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留端 口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。 常看见 紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序 的“动态端口”。 Server Client 服务描述 
1-5/tcp 动态 FTP 1-5端口意味着sscan脚本 
20/tcp 动态 FTP FTP服务器传送文件的端口 
53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连 接。 
123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送 到这个端口的广播。




欺骗一个人最好的办法就是利用自己的真感情!
 时间:2004/5/17 16:36:56
    注册: 2003-5   发帖: 2850  积分: 3066   状态: offline   16楼 

Chikoo
 
 
级别:  
天王元老
标识:  
来自:  
地球国 中华人民共和省 河北市 承德村
 
  功能按钮:   查看用户档案   email:***@***.***   http://www.u6u8.net   短消息      以树型方式查看   刷新   加入到私人收藏   修改帖子   删除   引用回复   发表回复   


Re: 端口基础常识

27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其 服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。 

61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器

以上文字转自"电脑爱好者论坛"




欺骗一个人最好的办法就是利用自己的真感情!
 时间:2004/5/17 16:38:20
    注册: 2003-5   发帖: 2850  积分: 3066   状态: offline   17楼 

玻璃上的花纹
 
 
级别:  
精灵
标识:  
来自:  
我的宇宙你在哪里?
 
  功能按钮:   查看用户档案   email:***@***.***     短消息      以树型方式查看   刷新   加入到私人收藏   修改帖子   删除   引用回复   发表回复   


Re:端口基础常识

 *  。。太多了
 怎么学啊。。。这个你都懂吗???我学信息,但是这些什么都不了解,自己也没有想好好的学。。哎。



     让别人得到快乐,你才会得到快乐,做一个快乐的人其实很容易。每天快快乐乐的是我所追求的。
 时间:2004/5/22 13:36:59
    注册: 2004-4   发帖: 328  积分: 350   状态: offline   18楼 

Chikoo
 
 
级别:  
天王元老
标识:  
来自:  
地球国 中华人民共和省 河北市 承德村
 
  功能按钮:   查看用户档案   email:***@***.***   http://www.u6u8.net   短消息      以树型方式查看   刷新   加入到私人收藏   修改帖子   删除   引用回复   发表回复   


Re:端口基础常识

其实没有必要专门学的,了解一下就可以了,以后如果用到的话,到这里查一下也可以啊

我也只是知道一些常用的,我是记不住这么多的




欺骗一个人最好的办法就是利用自己的真感情!
 时间:2004/5/23 18:07:45
    注册: 2003-5   发帖: 2850  积分: 3066   状态: offline   19楼 
2:  1  2 

主题管理:  删除  关闭/取消  移动  复制  置顶/取消  精华/取消  刷新统计  编辑主题


快速回复
标题:

内容:
选项: 使用我的个性签名 自动识别URL地址 使用XB代码 使用表情符号
(Ctrl+Enter快速发帖)



用户的言论纯属发表者个人意见,与本论坛立场无关
Copyright © 2001- U6U8.Net Powered by SF v2.0