自考电脑端口基础知识

端口可分为3大类：

1) 公认端口(Well Known Ports)：从0到1023，它们严密绑定于一些服务。一般这些端口的通讯清晰表明晰某种服务的协议。例如：80端口实际上总是HTTP通讯。

2) 注册端口(Registered Ports)：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口相同用于许多其它意图。例如：许多体系处理动态端口从1024左右开始。

3) 动态和/或私有端口(Dynamic and/or Private Ports)：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器一般从1024起分配动态端口。但也有破例：SUN的RPC端口从32768开始。

本节叙述一般TCP/UDP端口扫描在防火墙记载中的信息。记住：并不存在所谓ICMP端口。假如你对解读ICMP数据感兴趣，请参看本文的其它部分。

0 一般用于分析操作体系。这一办法可以工作是因为在一些体系中“0”是无效端口，当你企图运用一种一般的闭合端口衔接它时将发生不同的成果。一种典型的扫描：运用IP地址为0.0.0.0，设置ACK位并在以太网层播送。

1 tcpmux 这显现有人在寻觅SGI Irix机器。Irix是完成tcpmux的主要提供者，缺省情况下tcpmux在这种体系中被翻开。Iris机器在发布时含有几个缺省的无暗码的帐户，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员装置后忘掉删去这些帐户。因而Hacker们在Internet上查找tcpmux并使用这些帐户。

7 Echo 你能看到许多人们查找Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。

常见的一种DoS进犯是echo循环(echo-loop)，进犯者假造从一个机器发送到另一个机器的UDP数据包，而两个机器别离以它们最快的方法回应这些数据包。(拜见Chargen)

另一种东西是由DoubleClick在词端口树立的TCP衔接。有一种产品叫做“Resonate Global Dispatch”，它与DNS的这一端口衔接以确认最近的路由。

Harvest/squid cache将从3130端口发送UDP echo：“假如将cache的source_ping on选项翻开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会发生许多这类数据包。

11 sysstat 这是一种UNIX服务，它会列出机器上一切正在运转的进程以及是什么启动了这些进程。这为入侵者供给了许多信息而要挟机器的安全，如露出已知某些缺点或帐户的程序。这与UNIX体系中“ps”指令的成果类似

再说一遍：ICMP没有端口，ICMP port 11通常是ICMP type=11

19 chargen 这是一种只是发送字符的服务。UDP版别将会在收到UDP包后回应含有废物字符的包。TCP衔接时，会发送含有废物字符的数据流知道衔接封闭。Hacker运用IP诈骗能够发起DoS进犯。假造两个chargen服务器之间的UDP包。因为服务器妄图回应两个服务器之间的无限的往复数据通讯一个chargen和echo将导致服务器过载。相同fraggle DoS进犯向方针地址的这个端口播送一个带有假造受害者IP的数据包，受害者为了回应这些数据而过载。

21 ftp 最常见的进犯者用于寻觅翻开“anonymous”的ftp服务器的办法。这些服务器带有可读写的目录。Hackers或Crackers 运用这些服务器作为传送warez (私有程序) 和pr0n(成心拼错词而防止被搜索引擎分类)的节点。

22 ssh PcAnywhere树立TCP和这一端口的衔接或许是为了寻觅ssh。这一服务有许多缺点。假如装备成特定的形式，许多运用RSAREF库的版别有不少缝隙。(建议在其它端口运转ssh)

还应该留意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被运用这一程序的人无意中扫描到。

UDP(而不是TCP)与另一端的5632端口相连意味着存在查找pcAnywhere的扫描。5632(十六进制的0x1600)位交流后是0x0016(使进制的22)。

23 Telnet 入侵者在查找远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作体系。此外运用其它技能，入侵者会找到暗码。

25 smtp 攻击者(spammer)寻觅SMTP服务器是为了传递他们的spam。入侵者的帐户总被封闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入体系的最常用办法之一，由于它们有必要完好的露出于Internet且邮件的路由是杂乱的(露出+杂乱=缺点)。

53 DNS Hacker或crackers可能是企图进行区域传递(TCP)，诈骗DNS(UDP)或躲藏其它通讯。因而防火墙常常过滤或记载53端口。

需要留意的是你常会看到53端口做为UDP源端口。不稳定的防火墙一般答应这种通讯并假定这是对DNS查询的回复。Hacker常运用这种办法穿透防火墙。

67和68 Bootp和DHCP UDP上的Bootp/DHCP：经过DSL和cable-modem的防火墙常会看见很多发送到播送地址255.255.255.255的数据。这些机器在向DHCP服务器恳求一个地址分配。Hacker常进入它们分配一个地址把自己作为部分路由器而建议很多的“中间人”(man-in-middle)进犯。客户端向68端口(bootps)播送恳求装备，服务器向67端口(bootpc)播送回应恳求。这种回应运用播送是因为客户端还不知道能够发送的IP地址。 　　69 TFTP(UDP) 许多服务器与bootp一同供给这项服务，便于从体系下载发动代码。可是它们常常过错装备而从体系供给任何文件，如密码文件。它们也可用于向体系写入文件。

79 finger Hacker用于取得用户信息，查询操作系统，勘探已知的缓冲区溢出过错，回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序供给linux boxen的简单办理。经过整合的HTTP服务器在98端口供给根据Web界面的服务。它已发现有许多安全问题。一些版别setuid root，信赖局域网，在/tmp下树立Internet可拜访的文件，LANG环境变量有缓冲区溢出。此外由于它包括整合的服务器，许多典型的HTTP缝隙或许存在(缓冲区溢出，历遍目录等)

109 POP2 并不象POP3那样有名，但许多服务器一起供给两种服务(向后兼容)。在同一个服务器上POP3的缝隙在POP2中相同存在。

110 POP3 用于客户端拜访服务器端的邮件服务。POP3服务有许多公认的缺点。关于用户名和暗码交流缓冲区溢出的缺点至少有20个(这意味着Hacker能够在真实登陆前进入体系)。成功登陆后还有其它缓冲区溢出过错。 　　111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。拜访portmapper是扫描体系检查答应哪些RPC服务的最早的一步。常见RPC服务有：rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了答应的RPC服务将转向供给服务的特定端口测验缝隙。

记住一定要记载线路中的daemon, IDS, 或sniffer，你能够发现入侵者正运用什么程序拜访以便发现究竟发生了什么。 　　113 Ident auth 这是一个许多机器上运转的协议，用于辨别TCP衔接的用户。运用规范的这种服务能够获得许多机器的信息(会被Hacker使用)。可是它可作为许多服务的记载器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。一般假如有许多客户经过防火墙拜访这些服务，你将会看到许多这个端口的衔接恳求。记住，假如你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢衔接。许多防火墙支撑在TCP衔接的阻断过程中发回RST，着将回中止这一缓慢的衔接。

119 NNTP news 新闻组传输协议，承载USENET通讯。当你链接到比如：news://comp.security.firewalls/. 的地址时一般运用这个端口。这个端口的衔接妄图一般是人们在寻觅USENET服务器。大都ISP约束只要他们的客户才干拜访他们的新闻组服务器。翻开新闻组服务器将答应发/读任何人的帖子，拜访被约束的新闻组服务器，匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运转DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功用很类似。运用DCOM和/或RPC的服务使用机器上的end-point mapper注册它们的方位。远端客户衔接到机器时，它们查询end-point mapper找到服务的方位。相同Hacker扫描机器的这个端口是为了找到比如：这个机器上运转Exchange Server吗?是什么版别?

这个端口除了被用来查询服务(如运用epdump)还能够被用于直接进犯。有一些DoS进犯直接针对这个端口。

137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息，请细心阅读文章后边的NetBIOS一节

139 NetBIOS　File and Print Sharing 经过这个端口进入的衔接企图取得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机同享”和SAMBA。在Internet上同享自己的硬盘是可能是最常见的问题。

很多针对这一端口始于1999，后来逐步变少。2000年又有上升。一些VBS(IE5 VisualBasic Scripting)开始将它们自己拷贝到这个端口，企图在这个端口繁衍。

143 IMAP 和上面POP3的安全问题相同，许多IMAP服务器有缓冲区溢出缝隙运转登陆过程中进入。记住：一种Linux蠕虫(admw0rm)会经过这个端口繁衍，因而许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版别中默许答应IMAP后，这些缝隙变得盛行起来。Morris蠕虫今后这还是第一次广泛传播的蠕虫。

这一端口还被用于IMAP2，但并不盛行。

已有一些报导发现有些0到143端口的进犯源于脚本。

161 SNMP(UDP) 入侵者常勘探的端口。SNMP答应远程管理设备。一切装备和运转信息都贮存在数据库中，经过SNMP客取得这些信息。许多管理员过错装备将它们露出于Internet。Crackers将企图运用缺省的暗码“public”“private”拜访体系。他们或许会实验一切或许的组合。

SNMP包或许会被过错的指向你的网络。Windows机器常会因为过错装备将HP JetDirect remote management软件运用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98运用SNMP解析域名，你会看见这种包在子网内播送(cable modem, DSL)查询sysName和其它信息。

162 SNMP trap 或许是因为过错装备

177 xdmcp 许多Hacker经过它拜访X-Windo

注：自学考试时间进入倒计时，提示大家提早复习考试材料!!!

点击进入自考招生报名体系

报名电话：

可关注浙江自考官网：www.crzkw.cn

成才云教育