附:1端口基础知识大全(肯定好帖,加精吧!)
端口分为3大类
1)公认端口(WellKnownPorts):从0到1023,它们紧密绑定于一些效力。一般这些端口的通讯清楚表清楚某种效力的协议。例如:80端口实际上总是h++p通讯。
2)注册端口(RegisteredPorts):从1024到49151。它们松散地绑定于一些效力。也便是说有许多效力绑定于这些端口,这些端口一样用于许多其它目的。例如:许多系统处置动态端口从1024左右初步。
3)动态和/或私有端口(Dynamicand/orPrivatePorts):从49152到65535。理论上,不应为效力分配这些端口。实际上,机器一般从1024起分配动态端口。但也有破例:SUN的RPC端口从32768初步。
本节叙说一般TCP/UDP端口扫描在防火墙记载中的信息。
记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣,请参看这篇文章的其它有些。
0一般用于分析*作系统。这一方*可以作业是因为在一些系统中“0”是无效端口,当你试图运用一种一般的闭合端口联接它时将发生不一样的效果。一种典型的扫描:运用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
1tcpmux这闪现有人在寻找SGIIrix机器。Irix是完结tcpmux的首要供应者,缺省情况下tcpmux在这种系统中被翻开。Iris机器在发布时富含几个缺省的无暗码的帐户,如lp,guest,uucp,nuucp,demos,tutor,diag,EZsetup,OutOfBox,
和4Dgifts。许多处置员设备后遗忘删去这些帐户。因此Hacker们在Internet上查找tcpmux并运用这些帐户。
7Echo你能看到许多我们查找Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS侵犯是echo循环(echo-loop),侵犯者编造从一个机器发送到另一个UDP数据包,而两个机器分别以它们最快的办法答复这些数据包。(参见Chargen)另一种东西是由DoubleClick在词端口建立的TCP联接。有一种商品叫做ResonateGlobalDispatch”,它与DNS的这一端口联接以判定迩来的路由。Harvest/squidcache将从3130端口发送UDPecho:“如果将cache的source_pingon选项翻开,它将对原始主机的UDPecho端口答复一个HITreply。”这将会发生许多这类数据包。
11sysstat这是一种UNIX效力,它会列出机器上悉数正在工作的进程以及是啥建议了这些进程。这为侵犯者供应了许多信息而挟制机器的安全,如显露已知某些缺陷或帐户的程序。这与UNIX系统中“ps”指令的效果类似再说一遍:ICMP没有端口,ICMPport11一般是ICMPtype=1119chargen这是一种只是发送字符的效力。UDP版别将会在收到UDP包后答复富含废物字符的包。TCP连
接时,会发送富含废物字符的数据流知道联接封闭。Hacker运用IP欺诈可以建议DoS侵犯编造两个chargen效力器之间的UDP因为效力器试图答复两个效力器之间的无限的往复数据通讯一个chargen和echo将致使效力器过载。一样fraggleDoS侵犯向政策地址的这个端口广播一个带有编造受害者IP的数据包,受害者为了答复这些数据而过载。
21ftp最常见的侵犯者用于寻找翻开“anonymous”的ftp效力器的方*。这些效力器带有可读写的目录。Hackers或tackers运用这些效力器作为传送warez(私有程序)和pr0n(故意拼错词而防止被查找引擎分类)的节点。
22sshPcAnywhere建立TCP和这一端口的联接可以是为了寻找ssh。这一效力有许多缺陷。如果配备成特定的方式,许多运用RSAREF库的版别有不少缝隙。(建议在其它端口工作ssh)还大约注意的是ssh东西包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被运用这一程序的人无意中扫描到。UDP(而不是TCP)与另一端的5632端口相连意味着存在查找pcAnywhere的扫描。5632(十六进制的0×1600)位沟通后是0×0016(使进制的22)。
23Telnet侵犯者在查找远程登入UNIX的效力。大大都情况下侵犯者扫描这一端口是为了找到机器工作的*作系统。此外运用其它技术,侵犯者会找到暗码。
#2
25smtp侵犯者(spammer)寻找SMTP效力器是为了传递他们的spam。侵犯者的帐户总被封闭,他们需要拨号联接到高带宽的e-mail效力器上,将简略的信息传递到不一样的地址。SMTP效力器(尤其是sendmail)是进入系统的最常用方*之一,因为它们有必要无缺的显露于Internet且邮件的路由是凌乱的(显露+凌乱=缺陷)。
53DNSHacker或crackers可以是试图进行区域传递(TCP),欺诈DNS(UDP)或躲藏其它通讯。因此防火墙常常过滤或记载53端口。需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙一般容许这种通讯并假定这是对DNS查询的回复。Hacker常运用这种方*穿透防火墙。
67和68Bootp和DHCPUDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见许多发送到广播地址255.255.255.255的数据。这些机器在向DHCP效力器央求一个地址分配。Hacker常进入它们分配一个地址把个人作为有些路由器而建议许多的“中间人”(man-in-middle)侵犯。客户端向68端口(bootps)广播央求配备,效力器向67端口(bootpc)广播答复央求。这种答复运用广播是因为客户端还不知道可以发送的IP地址。69TFTP(UDP)许多效力器与bootp一同供应这项效力,便于从系统下载建议代码。可是它们常常差错配备而从系统供应任何文件,如暗码文件。它们也可用于向系统写入文件
79fingerHacker用于获得用户信息,查询*作系统,勘探已知的缓冲区溢出差错,答复从个人机器到其它机器finger扫描。
98linuxconf这个程序供应linuxboxen的简略处置。通过联系的h++p效力器在98端口供应根据Web界面的效力。它已发现有许多安全疑问。一些版别setuidroot,信赖局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。此外因为它包含联系的效力器,许多典型的h++p缝隙可
能存在(缓冲区溢出,历遍目录等)109POP2并不象POP3那样有名,但许多效力器一同供应两种效力(向后兼容)。在同一个效力器上POP3的缝隙在POP2中一样存在。
110POP3用于客户端访问效力器端的邮件效力。POP3效力有许多公认的缺陷。关于用户名和暗码沟通缓冲区溢出的缺陷至少有20个(这意味着Hacker可以在实在登入前进入系统)。成功登入后还有其它缓冲区溢出差错。
111sunrpcportmaprpcbindSunRPCPortMapper/RPCBIND。访问portmapper是扫描系统查看容许哪些RPC效力的最早的一步。常见RPC效力有:pc.mountd,NFS,rpc.statd,rpc.csmd,rpc.ttybd,amd等。侵犯者发现了容许的RPC效力将转向供应效力的特定端口检验缝隙。记住一定要记载线路中的
daemon,IDS,或sniffer,你可以发现侵犯者正运用啥程序访问以便发现终究发生了啥。
113Identauth.这是一个许多机器上工作的协议,用于区分TCP联接的用户。运用规范的这种效力可以获得许多机器的信息(会被Hacker运用)。可是它可作为许多效力的记载器,尤其是FTP,POP,IMAP,SMTP和IRC等效力。一般如果有许多客户通过防火墙访问这些效力,你将会看到许多这个端口的联接央求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail效力器的缓慢联接。许多防火墙支撑在TCP联接的阻断进程中发回T,着将回间断这一缓慢的联接。
119NNTPnews新闻组传输协议,承载USENET通讯。当你联接到比方:news:p.security.firewalls/.的地址时一般运用这个端口。这个端口的联接试图一般是我们在寻找USENET效力器。大都ISP束缚只需他们的客户才华访问他们的新闻组效力器。翻开新闻组效力器将容许发/读任何人的帖子,访问被束缚的新闻组效力器,匿名发帖或发送spam。
135oc-servMSRPCend-pointmapperMicrosoft在这个端口工作DCERPCend-pointmapper为它的DCOM效力。这与UNIX111端口的功用很类似。运用DCOM和/或RPC的效力运用机器上的end-pointmapper注册它们的方位。远
端客户联接到机器时,它们查询end-pointmapper找到效力的方位。一样Hacker扫描机器的这个端口是为了找到比方:这个机器上工作ExchangeServer吗?是啥版别?这个端口除了被用来查询效力(如运用epdump)还可以被用于直接侵犯。有一些DoS侵犯直接关于这个端口。
137NetBIOSnameservicenbtstat(UDP)这是防火墙处置员最常见的信息,请仔细阅览文章后边的NetBIOS一节139NetBIOSFileandPrintSharing
通过这个端口进入的联接试图获得NetBIOS/SMB效力。这个协议被用于Windows“文件和打印机同享”和SAMBA。在Internet上同享个人的硬盘是可以是最常见的疑问。许多关于这一端口始于1999,后来逐渐变少。2000年又有上升。一些VBS(IE5VisualBasicScripting)初步将它们个人拷贝到这个端口,试图在这个端口繁殖。
143IMAP和上面POP3的安全疑问一样,许多IMAP效力器有缓冲区溢出缝隙工作登入进程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版别中默许容许IMAP后,这些缝隙变得盛行起来。Morris蠕虫往后这仍是第一次广泛传播的蠕虫。这一端口还被用于IMAP2,但并不盛行。已有一些报道发现有些0到143端口的侵犯源于脚本。
161SNMP(UDP)侵犯者常勘探的端口。SNMP容许远程处置设备。悉数配备和工作信息都储存在数据库中,通过SNMP客获得这些信息。许多处置员差错配备将它们显露于Internet。Crackers将试图运用缺省的暗码“public”“private”访问系统。他们可以会试验悉数可以的组合。SNMP包可以会被差错的指向你的网络。Windows机器常会因为差错配备将HPJetDirectrmotemanagement软件运用SNMP。HPOBJECTIDENTIFIER将收到SNMP包。新版的Win98运用SNMP解析域名,你会看见这种包在子网内广播(cablemodem,DSL)查询sysName和其它信
息。
162SNMPtrap可以是因为差错配备
177xdmcp许多Hacker通过它访问X-Windows控制台,它一同需要翻开6000端口。
513rwho可以是从运用cablemodem或DSL登入到的子网中的UNIX机器宣告的广播。这些人为Hacker进入他们的系统供应了很幽默的信息
553CORBAIIOP(UDP)如果你运用cablemodem或DSLVLAN,你将会看到这个端口的广播。CORBA是一种面向政策的RPC(remoteprocedurecall)系统。Hacker会运用这些信息进入系统。600Pcserverbackdoor请查看1524端口一些玩script的孩子以为他们通过修改ingreslock和pcserver文件现已完全攻破了系统–AlanJ.Rosenthal.
635mountdLinux的mountdBug。这是我们扫描的一个盛行的Bug。大大都对这个端口的扫描是根据UDP的,但根据TCP的mountd有所添加(mountd一同工作于两个端口)。记住,mountd可工作于任何端口(终究在哪个端口,需要在端口111做portmap查询),只是Linux默许为635端口,就象NFS一般工作于2049
1024许多人问这个端口是干啥的。它是动态端口的初步。许多程序并不在乎用哪个端口联接网络,它们央求*作系统为它们分配“下一个放置端口”。根据这一点分配从端口1024初步。这意味着第一个向系统央求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,翻开Telnet,再翻开一个窗口工作“natstat-a”,你将会看到Telnet被分配1024端口。央求的程序越多,动态端口也越多。*作系统分配的端口将逐渐变大。再来一遍,当你阅览Web页时用“netstat”查看,每个Web页需要一个新端口。?ersion0.4.1,June20,2000h++p://www.robertgraham.com/pubs/firewall-seen.htmlCopyright1998-2000byRobertGraham
(mailto:[email protected].
Allrightsreserved.Thisdocumentmayonlybereproduced(wholeorinpart)fornon-commercialpurposes.Allreproductionsmust
containthiscopyrightnoticeandmustnotbealtered,exceptby
permissionoftheauthor.
#3
1025参见1024
1026参见1024
1080SOCKS这一协议以管道办法穿过防火墙,容许防火墙后边的许多人通过一个IP地址访问Internet。理论上它大约只
容许内部的通讯向外抵达Internet。可是因为差错的配备,它会容许Hacker/Cracker的位于防火墙外部的攻
击穿过防火墙。或许简略地答复位于Internet上的核算机,然后点缀他们对你的直接侵犯。
WinGate是一种常见的Windows个人防火墙,常会发生上述的差错配备。在参与IRC谈天室常常会看到这种情况。
1114SQL系统本身很少扫描这个端口,但常常是sscan脚本的一有些。
1243Sub-7木马(TCP)参见Subseven有些。
1524ingreslock后门许多侵犯脚本将设备一个后门Sh*ll于这个端口(尤其是那些关于Sun系统中Sendmail和RPC效力缝隙的脚本,如statd,ttdbserver和cmsd)。如果你刚刚设备了你的防火墙就看到在这个端口上的联接试图,很可以是上述缘由。你可以试试Telnet到你的机器上的这个端口,看看它是不是会给你一个Sh*ll。联接到600/pcserver也存在这个疑问。
2049NFSNFS程序常工作于这个端口。一般需要访问portmapper查询这个效力工作于哪个端口,可是大有些情况是设备后NFS杏谡飧龆丝冢?acker/Cracker因此可以闭开portmapper直接检验这个端口。
3128squid这是Squidh++p署理效力器的默许端口。侵犯者扫描这个端口是为了查找一个署理效力器而匿名访问Internet。你也会看到查找其它署理效力器的端口:
000/8001/8080/8888。扫描这一端口的另一缘由是:用户正在进入谈天室。其它用户(或效力器本身)也会查验这个端口以判定用户的机器是不是支撑署理。请查看5.3节。
5632pcAnywere你会看到许多这个端口的扫描,这依赖于你地址的方位。当用户翻开pcAnywere时,它会自动扫描局域网C类网以寻找可以得署理(译者:指agent而不是proxy)。Hacker/cracker也会寻找打开这种效力的机器,所以大约查看这种扫描的源地址。一些查找pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。
6776Sub-7artifact这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到继续的,在这个端口的联接试图。(译者:即看到防火墙陈说这一端口的联接试图时,并不标明你已被Sub-7控制。)
6970RealAudio客户将从效力器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制联接设置13223PowWowPowWow是TribalVoice的谈天程序。它答运用户在此端口翻开私家谈天的接。这一程序关于建立联接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待答复。这构成类似心跳间隔的联接试图。如果你是一个拨号用户,从另一个谈天者手中“继承”了IP地址这种情况就会发生:好象许多不一样的人在检验这一端口。这一协议运用“OPNG”作为其联接试图的前四个字节。
|
楼主
owerusers有完全控制权;SYSTEM同Administrators;Terminalserverusers具有完全控制权,Users有读&运,列和读权限。关于Winnt,Administrators具有完全控制权;Creatorowner具有格外权限
发表于 2013-6-13 16:05:48