关于网络中的端口号
? ? ? ?端口號常見于計算機網絡應用中,用于網絡設備之間的鏈接。在網絡技術中,端口(Port)大致有兩種意思:一是物理意義上的端口,比如,ADSL Modem、集線器、交換機、路由器用 于連接其他網絡設備的接口,如RJ-45端口、SC端口等等。二是邏輯意義上的端口,一般是指TCP/IP協議中的端口,端口號的范圍從0到65535,比如用于瀏覽網頁服務的80端口,用于FTP服務的21端口等等。
那么TCP/IP協議中的端口指的是什么呢?如果把IP地址比作一間房子 ,端口就是出入這間房子的門。端口號就是打開門的鑰匙。真正的房子只有幾個門,但是一個IP地址的端口 可以有65536個之多!端口是通過端口號來標記的,端口號只有整數,范圍是從0 到65535。
軟硬件端口含義:
計算機“端口”是英文port的義譯,可以認為是計算機與外界通訊交流的出口。其中硬件領域的端口又稱接口,如:USB端口、串行端口等。軟件領域的端口一般指網絡中面向連接服務和無連接服務的通信協議端口,是一種抽象的軟件結構,包括一些數據結構和I/O(基本輸入輸出)緩沖區。
面向連接服務TCP協議和無連接服務UDP協議使用16bits端口號來表示和區別網絡中的不同應用程序,網絡層協議IP使用特定的協議號(TCP 6,UDP 17)來表示和區別傳輸層協議。
任何TCP/IP實現所提供的服務都是1-1023之間的端口號,這些端口號由IANA分配管理。其中,低于255的端口號保留用于公共應用;255到1023的端口號分配給各個公司,用于特殊應用;對于高于1023的端口號,稱為臨時端口號,IANA未做規定。
常用的保留TCP端口號有: HTTP 80,FTP 20/21,Telnet 23,SMTP 25,DNS 53等。?
常用的保留UDP端口號有: DNS 53,BootP 67(server)/ 68(client),TFTP 69,SNMP 161等。
每個TCP報文頭部都包含源端口號(source port)和目的端口號(destination port),用于標識和區分源端設備和目的端設備的應用進程。
在TCP/IP協議棧中,源端口號和目的端口號分別與源IP地址和目的IP地址組成套接字(socket),唯一的確定一條TCP連接。?
相對于TCP報文,UDP報文只有少量的字段:源端口號、目的端口號、長度、校驗和等,各個字段功能和TCP報文相應字段一樣。
端口分類:
1.按端口號劃分
(1)公認端口(Well Known Ports)?
0~1023,它們緊密綁定于一些服務,通常這些端口的通訊明確表明了某種服務的協議,如:80端口對應與HTTP通信,21端口綁定與FTP服務,25端口綁定于SMTP服務,135端口綁定與RPC(遠程過程調用)服務。
(2)注冊端口(Registered Ports)?
1024~49151,它們松散的綁定于一些服務,也就是說有許多服務綁定于這些端口,這些端口同樣用于其他許多目的,如:許多系統處理端口從1024開始
(3)動態和/或私有端口(Dyanmic and /or Private Ports)?
49152~65535,理論上,不應為服務分配這些端口,通常機器從1024開始分配動態端口。例外:SUN的RPC端口從32768開始。
2.按協議類型劃分?
按協議類型劃分可分為TCP端口、UDP端口、IP端口、ICMP(Internet控制消息協議)。?
(1)TCP端口:?
即傳輸控制協議端口,需要在客戶端和服務器之間建立連接,這樣可以提供可靠的數據傳輸。常見的包括FTP的21端口,Telnet的23端口,SMTP的25端口,HTTP的80端口。
(2)UDP端口:?
即用戶數據報協議端口,無需在客戶端和服務器端建立連接,安全性得不到保障。常見的DNS的53端口,SNMP(簡單網絡管理協議)的161端口,QQ使用的8000和4000端口。
(3)保留端口:?
UNIX有保留端口號的概念,只有超級用戶特權的進程才允許給它自己分配一個保留端口號。這些端口號介于1~1023之間,一些應用程序將它作為客戶與服務器認證的一部分。
各系端口的含義:
1系端口含義
(1)端口:102?
服務:Message transfer agent(MTA)-X.400 over TCP/IP?
說明:消息傳輸代理。
(2)端口:109?
服務:Post Office Protocol -Version3?
說明:POP3服務器開放此端口,用于接收郵件,客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關于用戶名和密碼交 換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸后還有其他緩沖區溢出錯誤。
(3)端口:110?
服務:SUN公司的RPC服務所有端口?
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
(4)端口:119?
服務:Network News Transfer Protocol?
說明:NEWS新聞組傳輸協議,承載USENET通信。這個端口的連接通常是人們在尋找USENET服務器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務器,匿名發帖或發送SPAM。
(5)端口:135?
服務:Location Service?
說明:Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個端口是為了找到這個計算機上運行Exchange Server嗎?什么版本?還有些DOS攻擊直接針對這個端口。
(6)端口:137、138、139?
服務:NETBIOS Name Service?
說明:其中137、138是UDP端口,當通過網上鄰居傳輸文件時用這個端口。而139端口:通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用于windows文件和打印機共享和SAMBA。還有WINS Regisrtation也用它。
(7)端口:161?
服務:SNMP?
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在數據庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網絡
(8)端口:177?
服務:X Display Manager Control Protocol?
說明:許多入侵者通過它訪問X-windows操作臺,它同時需要打開6000端口。
2系端口含義
(1)端口:21?
服務:FTP?
說明:FTP服務器所開放的端口,用于上傳、下載。最常見的攻擊者用于尋找打開anonymous的FTP服務器的方法。這些服務器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。
(2)端口:22?
服務:Ssh?
說明:PcAnywhere建立的TCP和這一端口的連接可能是為了尋找ssh。這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
(3)端口:23?
服務:Telnet?
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一端口是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。黑客行為經常利用這個端口。
(4)端口:25?
服務:SMTP?
說明:SMTP服務器所開放的端口,用于發送郵件。入侵者尋找SMTP服務器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL服務器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。
3系端口含義
端口:389?
服務:LDAP、ILS?
說明:輕型目錄訪問協議和NetMeeting Internet Locator Server共用這一端口。
4系端口含義
(1)端口:443?
服務:Https?
說明:網頁瀏覽端口,能提供加密和通過安全端口傳輸的另一種HTTP。
(2)端口:456?
服務:[NULL]?
說明:木馬HACKERS PARADISE開放此端口。
5系端口含義
(1)端口:513?
服務:Login,remote login?
說明:是從使用cable modem或DSL登陸到子網中的UNIX計算機發出的廣播。這些人為入侵者進入他們的系統提供了信息。
(2)端口:544?
服務:[NULL]?
說明:kerberos kshell
(3)端口:548?
服務:Macintosh,File Services(AFP/IP)?
說明:Macintosh,文件服務。
(4)端口:553?
服務:CORBA IIOP (UDP)?
說明:使用cable modem、DSL或VLAN將會看到這個端口的廣播。CORBA是一種面向對象的RPC系統。入侵者可以利用這些信息進入系統。
(5)端口:555?
服務:DSF?
說明:木馬PhAse1.0、Stealth Spy、IniKiller開放此端口。
(6)端口:568?
服務:Membership DPA?
說明:成員資格 DPA。
(7)端口:569?
服務:Membership MSN?
說明:成員資格 MSN。
6系端口含義
(1)端口:635?
服務:mountd?
說明:Linux的mountd Bug。這是掃描的一個流行BUG。大多數對這個端口的掃描是基于UDP的,但是基于TCP的mountd有所增加(mountd同時運行于兩個端口)。記住mountd可運行于任何端口(到底是哪個端口,需要在端口111做portmap查詢),只是linux默認端口是635,就像NFS通常運行于2049端口。
(2)端口:636?
服務:LDAP?
說明:SSL(Secure Sockets layer)
(3)端口:666?
服務:Doom Id Software?
說明:木馬Attack FTP、Satanz Backdoor開放此端口。
8系端口含義
(1)端口:80?
服務:HTTP?
說明:用于網頁瀏覽。木馬Executor開放此端口。
(2)8080端口?
端口說明:8080端口同80端口,是被用于WWW代理服務的,可以實現網頁瀏覽,經常在訪問某個網站或使用代理服務器的時候,會加上“:8080”端口號。
端口漏洞:8080端口可以被各種病毒程序所利用,比如Brown Orifice(BrO)特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機。另外,RemoConChubo,RingZero木馬也可以利用該端口進行攻擊。
操作建議:一般我們是使用80端口進行網頁瀏覽的,為了避免病毒的攻擊,我們可以關閉該端口。
9系端口含義
端口:993?
服務:IMAP?
說明:SSL(Secure Sockets layer)
10系端口含義
(1)端口:1001、1011?
服務:[NULL]?
說明:木馬Silencer、WebEx開放1001端口。木馬Doly Trojan開放1011端口。
(2)端口:1024?
服務:Reserved?
說明:它是動態端口的開始,許多程序并不在乎用哪個端口連接網絡,它們請求系統為它們分配下一個閑置端口。基于這一點分配從端口1024開始。這就是說第一個向系統發出請求的會分配到1024端口。你可以重啟機器,打開Telnet,再打開一個窗口運行netstat -a 將會看到Telnet被分配1024端口。還有SQL session也用此端口和5000端口。
(3)端口:1025、1033?
服務:1025:network blackjack 1033:[NULL]?
說明:木馬netspy開放這2個端口。
(4)端口:1080?
服務:SOCKS?
說明:這一協議以通道方式穿過防火墻,允許防火墻后面的人通過一個IP地址訪問INTERNET。理論上它應該只允許內部的通信向外到達INTERNET。但是由于錯誤的配置,它會允許位于防火墻外部的攻擊穿過防火墻。WinGate常會發生這種錯誤,在加入IRC聊天室時常會看到這種情況。
11系端口含義
端口:1170?
服務:[NULL]?
說明:木馬Streaming Audio Trojan、Psyber Stream Server、Voice開放此端口。
12系端口含義
(1)端口:1234、1243、6711、6776?
服務:[NULL]?
說明:木馬SubSeven2.0、Ultors Trojan開放1234、6776端口。木馬SubSeven1.0/1.9開放1243、6711、6776端口。
(2)端口:1245?
服務:[NULL]?
說明:木馬Vodoo開放此端口。
14系端口含義
(1)端口:1433?
服務:SQL?
說明:Microsoft的SQL服務開放的端口。
(2)端口:1492?
服務:stone-design-1?
說明:木馬FTP99CMP開放此端口。
15系端口含義
(1)端口:1500?
服務:RPC client fixed port session queries?
說明:RPC客戶固定端口會話查詢
(2)端口:1503?
服務:NetMeeting T.120?
說明:NetMeeting T.120
(3)端口:1524?
服務:ingress?
說明:許多攻擊腳本將安裝一個后門SHELL于這個端口,尤其是針對SUN系統中Sendmail和RPC服務漏洞的腳本。如果剛安裝了防火墻就看到在這個端口上的連接企圖,很可能是上述原因。可以試試Telnet到用戶的計算機上的這個端口,看看它是否會給你一個SHELL。連接到600/pcserver也存在這個問題。
16系端口含義
端口:1600?
服務:issd?
說明:木馬Shivka-Burka開放此端口。
17系端口含義
(1)端口:1720?
服務:NetMeeting?
說明:NetMeeting H.233 call Setup。?
(2)端口:1731?
服務:NetMeeting Audio Call Control?
說明:NetMeeting音頻調用控制。
18系端口含義
端口:1807?
服務:[NULL]?
說明:木馬SpySender開放此端口。
19系端口含義
(1)端口:1981?
服務:[NULL]?
說明:木馬ShockRave開放此端口。
(2)端口:1999?
服務:cisco identification port?
說明:木馬BackDoor開放此端口。
20系端口含義
(1)端口:2000?
服務:[NULL]?
說明:木馬GirlFriend 1.3、Millenium 1.0開放此端口。
(2)端口:2001?
服務:[NULL]?
說明:木馬Millenium 1.0、Trojan Cow開放此端口。
(3)端口:2023?
服務:xinuexpansion 4?
說明:木馬Pass Ripper開放此端口。
(4)端口:2049?
服務:NFS?
說明:NFS程序常運行于這個端口。通常需要訪問Portmapper查詢這個服務運行于哪個端口。
21系端口含義
(1)端口:2115?
服務:[NULL]?
說明:木馬Bugs開放此端口。
(2)端口:2140、3150?
服務:[NULL]?
說明:木馬Deep Throat 1.0/3.0開放此端口。
25系端口含義
(1)端口:2500?
服務:RPC client using a fixed port session replication?
說明:應用固定端口會話復制的RPC客戶
(2)端口:2583?
服務:[NULL]?
說明:木馬Wincrash 2.0開放此端口。
28系端口含義
端口:2801?
服務:[NULL]?
說明:木馬Phineas Phucker開放此端口。
30系端口含義
端口:3024、4092?
服務:[NULL]?
說明:木馬WinCrash開放此端口。
31系端口含義
(1)端口:3128?
服務:squid?
說明:這是squid HTTP代理服務器的默認端口。攻擊者掃描這個端口是為了搜尋一個代理服務器而匿名訪問Internet。也會看到搜索其他代理服務器的端口8000、8001、8080、8888。掃描這個端口的另一個原因是用戶正在進入聊天室。其他用戶也會檢驗這個端口以確定用戶的機器是否支持代理。
(2)端口:3129?
服務:[NULL]?
說明:木馬Master Paradise開放此端口。
(3)端口:3150?
服務:[NULL]?
說明:木馬The Invasor開放此端口。
32系端口含義
端口:3210、4321?
服務:[NULL]?
說明:木馬SchoolBus開放此端口
33系端口含義
(1)端口:3333?
服務:dec-notes?
說明:木馬Prosiak開放此端口
(2)端口:3389?
服務:超級終端?
說明:WINDOWS 2000終端開放此端口。
37系端口含義
端口:3700?
服務:[NULL]?
說明:木馬Portal of Doom開放此端口
39系端口含義
端口:3996、4060?
服務:[NULL]?
說明:木馬RemoteAnything開放此端口
40系端口含義
(1)端口:4000?
服務:QQ客戶端?
說明:騰訊QQ客戶端開放此端口。
(2)端口:4092?
服務:[NULL]?
說明:木馬WinCrash開放此端口。
45系端口含義
端口:4590?
服務:[NULL]?
說明:木馬ICQTrojan開放此端口。
50系端口含義
端口:5000、5001、5321、50505 服務:[NULL]?
說明:木馬blazer5開放5000端口。木馬Sockets de Troie開放5000、5001、5321、50505端口。
54系端口含義
端口:5400、5401、5402?
服務:[NULL]?
說明:木馬Blade Runner開放此端口。
55系端口含義
(1)端口:5550?
服務:[NULL]?
說明:木馬xtcp開放此端口。
(2)端口:5569?
服務:[NULL]?
說明:木馬Robo-Hack開放此端口。
56系端口含義
端口:5632?
服務:pcAnywere
常用端口號與對應的服務:
(1) 21端口:21端口主要用于FTP(File Transfer Protocol,文件傳輸協議)服務。
(2)23端口:23端口主要用于Telnet(遠程登錄)服務,是Internet上普遍采用的登錄和仿真程序。 25端口:25端口為SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議)服務器所開放,主要用于發送郵件,如今絕大多數郵件服務器都使用該協議。
(3)53端口:53端口為DNS(Domain Name Server,域名服務器)服務器所開放,主要用于域名解析,DNS服務在NT系統中使用的最為廣泛。
(4)67、68端口:67、68端口分別是為Bootp服務的Bootstrap Protocol Server(引導程序協議服務端)和Bootstrap Protocol Client(引導程序協議客戶端)開放的端口。
(5)69端口:TFTP是Cisco公司開發的一個簡單文件傳輸協議,類似于FTP。
(6)79端口:79端口是為Finger服務開放的,主要用于查詢遠程主機在線用戶、操作系統類型以及是否緩沖區溢出等用戶的詳細信息。
(7)80端口:80端口是為HTTP(HyperText Transport Protocol,超文本傳輸協議)開放的,這是上網沖浪使用最多的協議,主要用于在WWW(World Wide Web,萬維網)服務上傳輸信息的協議。
(8)99端口:99端口是用于一個名為“Metagram Relay”(亞對策延時)的服務,該服務比較少見,一般是用不到的。
(9)109、110端口:109端口是為POP2(Post Office Protocol Version 2,郵局協議2)服務開放的,110端口是為POP3(郵件協議3)服務開放的,POP2、POP3都是主要用于接收郵件的。
(10) 111端口:111端口是SUN公司的RPC(Remote Procedure Call,遠程過程調用)服務所開放的端口,主要用于分布式系統中不同計算機的內部進程通信,RPC在多種網絡服務中都是很重要的組件。
(11)113端口:113端口主要用于Windows的“Authentication Service”(驗證服務)。
(12)119端口:119端口是為“Network News Transfer Protocol”(網絡新聞組傳輸協議,簡稱NNTP)開放的。
(13)135端口:135端口主要用于使用RPC(Remote Procedure Call,遠程過程調用)協議并提供DCOM(分布式組件對象模型)服務。
(14)137端口:137端口主要用于“NetBIOS Name Service”(NetBIOS名稱服務)。
(14)139端口:139端口是為“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印機共享以及Unix中的Samba服務。
(15)143端口:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息訪問協議,簡稱IMAP)。 161端口:161端口是用于“Simple Network Management Protocol”(簡單網絡管理協議,簡稱SNMP)。
(16) 443端口:43端口即網頁瀏覽端口,主要是用于HTTPS服務,是提供加密和通過安全端口傳輸的另一種HTTP。
(17)554端口:554端口默認情況下用于“Real Time Streaming Protocol”(實時流協議,簡稱RTSP)。 1024端口:1024端口一般不固定分配給某個服務,在英文中的解釋是“Reserved”(保留)。
(18)1080端口:1080端口是Socks代理服務使用的端口,大家平時上網使用的WWW服務使用的是HTTP協議的代理服務。
(19) 1755端口:1755端口默認情況下用于“Microsoft Media Server”(微軟媒體服務器,簡稱MMS)。
(20) 4000端口:4000端口是用于大家經常使用的QQ聊天工具的,再細說就是為QQ客戶端開放的端口,QQ服務端使用的端口是8000。
(21)5554端口:在今年4月30日就報道出現了一種針對微軟lsass服務的新蠕蟲病毒——震蕩波(Worm.Sasser),該病毒可以利用TCP 5554端口開啟一個FTP服務,主要被用于病毒的傳播。
(23)8080端口:8080端口同80端口,是被用于WWW代理服務的,可以實現網頁
LInux下查看端口:1.列出所有端口(netstat -a)
2.端口下的協議統計信息(netstat -s)
總結
- 上一篇: 溢信IP guard文档加密系统控制台看
- 下一篇: 【Active Learning - 1