史上最强?从0到33600 逻辑端口详解(2)

端口：389
4uS8gVy/q0　　服务：LDAP、ILS
![Y|-T8XtE UbO0　　说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。

　　端口：443
V x`o7z,C0　　服务：Https
Fc#H-t*s:q V7|0　　说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。

　　端口：456
#{7`.}7rPXc'e/C.X-v0　　服务：[NULL]
q@X
^pI0　　说明：木马HACKERS PARADISE开放此端口。

　　端口：513
#{-?'C-b@S T!f0　　服务：Login,remote login
G4vR%qJ2o2XF0　　说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

　　端口：544
-b}{6W(p%Y0　　服务：[NULL] 云南博客!C,^6o4]P9LA
　　说明：kerberos kshell

　　端口：548 云南博客H/{J F#pS{,A
　　服务：Macintosh,File Services(AFP/IP)
8md S4I
VK%H5i0　　说明：Macintosh,文件服务。

　　端口：553

vI4{{c0　　服务：CORBA IIOP （UDP） 云南博客Ai;LWY
　　说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

　　端口：555
"_r-de.uf0　　服务：DSF 云南博客%G3f`f,r!w^
　　说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。

　　端口：568 云南博客7i2h7b$L3\!Ra(Q(Tt
　　服务：Membership DPA 云南博客~#Rs:e*H G*T
　　说明：成员资格 DPA。

　　端口：569 云南博客P(|a6S,b)L
　　服务：Membership MSN 云南博客^7gT;l&u"tD
　　说明：成员资格 MSN。

　　端口：635 云南博客qz!@](l+_)U_ri
　　服务：mountd
2x#[YNobr#`0　　说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。

　　端口：636 云南博客0d:y~1SsT3Ve%P;j|
　　服务：LDAP 云南博客|:y
{.j0P
Ac6z.f
　　说明：SSL（Secure Sockets layer）

　　端口：666 云南博客/GnYX$T_-[
　　服务：Doom Id Software 云南博客%LESNe4eP
　　说明：木马Attack FTP、Satanz Backdoor开放此端口

　　端口：993
;u+r \&p:} F {'dp0　　服务：IMAP
;gg5J"lP0　　说明：SSL（Secure Sockets layer）

　　端口：1001、1011 云南博客)G4fO8?2n,mg
　　服务：[NULL] 云南博客+`.s#f.gZ
　　说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。

　　端口：1024 云南博客T1zkPf+tU@;zK
　　服务：Reserved
Ui_4?*L']3\0　　说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。

　　端口：1025、1033 云南博客'\%Sh `Y9K2d|
　　服务：1025：network blackjack 1033：[NULL] 云南博客/g(Af c#ib3S
　　说明：木马netspy开放这2个端口。

　　端口：1080
W`It"^g0　　服务：SOCKS
(i`Z.o2U]4@F0t0　　说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。

　　端口：1170 云南博客?w'eoa:E
　　服务：[NULL]
6sE'w;Q-Nj0　　说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。

　　端口：1234、1243、6711、6776 云南博客Gy/@)?Zg {5E9wE
　　服务：[NULL]
^y,W$Z
H\0　　说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。

　　端口：1245 云南博客Y3G:^Fe&K
　　服务：[NULL] 云南博客oBEm*D/K$Xx8g
　　说明：木马Vodoo开放此端口。

　　端口：1433 云南博客0e0I&R\w_3Ns
　　服务：SQL 云南博客z w)u&d Y7tj
　　说明：Microsoft的SQL服务开放的端口。

　　端口：1492 云南博客;Bl X3\X_s!m
　　服务：stone-design-1 云南博客0KT!p`d;mHu
　　说明：木马FTP99CMP开放此端口。

　　端口：1500 云南博客IZ eCH
　　服务：RPC client fixed port session queries 云南博客k4T;|uet;z_?L
　　说明：RPC客户固定端口会话查询

　　端口：1503 云南博客7jNS/VV
　　服务：NetMeeting T.120 云南博客 S!L-`D7AoWB&c
　　说明：NetMeeting T.120

　　端口：1524 云南博客B7qL;I6QhVd
　　服务：ingress 云南博客$Pr8g+N7mMx
　　说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。

常见网络端口（补全）

　　553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会利用这些信息进入系统。

　　600 Pcserver backdoor 请查看1524端口。云南博客.b!m8KG)o G0o
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

　　635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口。

　　1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新端口。

　　1025，1026 参见1024

　　1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

　　1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。

0_nWc%{8[0　　1243 Sub-7木马（TCP）

　　1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口（尤其是那些针对Sun系统中sendmail和RPC服务漏洞的脚本，如statd, ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。

　　2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS运行于这个端口，Hacker/Cracker因而可以闭开portmapper直接测试这个端口。

　　3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口：8000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。

　　5632 pcAnywere 你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。

　　6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。）

　　6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。

　　13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

　　17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载：
3GcBX"E1e0机器会不断试图解析DNS名—ads.conducent.com，即IP地址216.33.210.40 ；216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使用的Radiate是否也有这种现象）

　　27374 Sub-7木马(TCP)

　　30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

　　31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的木马程序越来越流行。

　　31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT, Remote Access Trojan）。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连接意味着已经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接）

　　32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。

　　33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。