常用端口及其服務

計算機“端口”是英文port的義譯，可以認為是計算機與外界通訊交流的出口。其中硬體領域的端口又稱接口，如：USB端口、串行端口等。軟體領域的端口一般指網絡中面向連接配接服務和無連接配接服務的通信協定端口，是一種抽象的軟體結構，包括一些資料結構和I/O（基本輸入輸出）緩沖區。

按端口号可分為3大類：

（1）公認端口（Well Known Ports）：從0到1023，它們緊密綁定（binding）于一些服務。通常這些端口的通訊明确表明了某種服務的協定。例如：80端口實際上總是HTTP通訊。

（2）注冊端口（Registered Ports）：從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統處理動态端口從1024左右開始。

（3）動态和/或私有端口（Dynamic and/or Private Ports）：從49152到65535。理論上，不應為服務配置設定這些端口。實際上，機器通常從1024起配置設定動态端口。但也有例外：SUN的RPC端口從32768開始。

一些端口常常會被黑客利用，還會被一些木馬病毒利用，對計算機系統進行攻擊，以下是計算機端口的介紹以及防止被黑客攻擊的簡要辦法。

常用端口号大全

20和21，究竟哪個是傳控制的，哪個是傳資料的？

ftp-data20/tcp File Transfer [Default Data]

ftp-data 20/udp File Transfer [Default Data]

ftp 21/tcp File Transfer [Control]

ftp 21/udp File Transfer [Control]

FTP就是檔案傳輸協定 File TransferProtocol 的縮寫.

FTP端口号是 21

FTP的端口号能改

ftp的端口号20、21的差別一個是資料端口，一個是控制端口，控制端口一般為21，而資料端口不一定是20，這和FTP的應用模式有關，如果是主動模式，應該為20，如果為被動模式，由伺服器端和用戶端協商而定

電腦上有多少個端口？我怎麼樣才能知道自己的電腦哪些端口是開的？那些是關的？哪些是可用的？怎麼樣才能把打開着的關了，把關着的打開，電腦上有多少個端口。

8080端口

端口漏洞：8080端口可以被各種病毒程式所利用，比如Brown Orifice（BrO）特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機。另外，RemoConChubo，RingZero木馬也可以利用該端口進行攻擊。

操作建議：一般我們是使用80端口進行網頁浏覽的，為了避免病毒的攻擊，我們可以關閉該端口。

端口：21

服務：FTP

說明：FTP伺服器所開放的端口，用于上傳、下載下傳。最常見的攻擊者用于尋找打開anonymous的FTP伺服器的方法。這些伺服器帶有可讀寫的目錄。木馬 Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。

端口：22

服務：Ssh

說明：PcAnywhere建立的TCP和這一端口的連接配接可能是為了尋找ssh。這一服務有許多弱點，如果配置成特定的模式，許多使用RSAREF庫的版本就會有不少的漏洞存在。

端口：23

服務：Telnet

說明：遠端登入，入侵者在搜尋遠端登入UNIX的服務。大多數情況下掃描這一端口是為了找到機器運作的作業系統。還有使用其他技術，入侵者也會找到密碼。木馬Tiny TelnetServer就開放這個端口。

端口：25

服務：SMTP

說明：SMTP伺服器所開放的端口，用于發送郵件。入侵者尋找SMTP伺服器是為了傳遞他們的SPAM。入侵者的帳戶被關閉，他們需要連接配接到高帶寬的E- MAIL伺服器上，将簡單的資訊傳遞到不同的位址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。

端口：80

服務：HTTP

說明：用于網頁浏覽。木馬Executor開放此端口。

端口：102

服務：Messagetransfer agent(MTA)-X.400 over TCP/IP

說明：消息傳輸代理。

端口：109

服務：Post OfficeProtocol -Version3

說明：POP3伺服器開放此端口，用于接收郵件，用戶端通路伺服器端的郵件服務。POP3服務有許多公認的弱點。關于使用者名和密碼交 換緩沖區溢出的弱點至少有20個，這意味着入侵者可以在真正登陸前進入系統。成功登陸後還有其他緩沖區溢出錯誤。

端口：110

服務：SUN公司的RPC服務所有端口

說明：常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

端口：119

服務：NetworkNews Transfer Protocol

說明：NEWS新聞討論區傳輸協定，承載USENET通信。這個端口的連接配接通常是人們在尋找USENET伺服器。多數ISP限制，隻有他們的客戶才能通路他們的新聞討論區伺服器。打開新聞討論區伺服器将允許發/讀任何人的文章，通路被限制的新聞討論區伺服器，匿名發帖或發送SPAM。

端口：135

服務：LocationService

說明：Microsoft在這個端口運作DCE RPC end-pointmapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接配接到計算機時，它們查找end-pointmapper找到服務的位置。HACKER掃描計算機的這個端口是為了找到這個計算機上運作ExchangeServer嗎？什麼版本？還有些DOS攻擊直接針對這個端口。

端口：137、138、139

服務：NETBIOSName Service

說明：其中137、138是UDP端口，當通過網路上的芳鄰傳輸檔案時用這個端口。而139端口：通過這個端口進入的連接配接試圖獲得NetBIOS/SMB服務。這個協定被用于windows檔案和列印機共享和SAMBA。還有WINS Regisrtation也用它。

端口：161

服務：SNMP

說明：SNMP允許遠端管理裝置。所有配置和運作資訊的儲存在資料庫中，通過SNMP可獲得這些資訊。許多管理者的錯誤配置将被暴露在Internet。 Cackers将試圖使用預設的密碼public、private通路系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向使用者的網絡

--------------------------------------------------------------------------------------------------------

南1  RG-3550的其中一段：

ip access-list extended nobt

 deny ip host 218.199.111.100 any  time-range nobt

 deny ip host 218.199.111.102 any  time-range nobt

 deny ip host 218.199.111.104 any  time-range nobt

 deny ip host 218.199.111.106 any  time-range nobt

 deny ip host 218.199.111.108 any  time-range nobt

 deny ip host 218.199.109.211 any  time-range nobt

 deny ip host 61.152.144.243 any  time-range nobt

 deny ip host 211.161.159.68 any  time-range nobt

 deny ip host 125.45.61.181 any  time-range nobt

  denyip host 211.161.159.90  any  time-range nobt

 deny ip host 61.152.116.67 any  time-range nobt

 deny ip host 208.97.184.189 any  time-range nobt

 deny ip host 61.152.116.72 any  time-range nobt

 permit ip any  any  time-range nobt

---------------------------------------------------------------------------------------------------

南2-RG-2150G接入層其中一台對應的一小段：

ip access-list extended fw

 deny tcp any  any eq 135

 deny tcp any  any eq 136

 deny tcp any  any eq 137

 deny tcp any  any eq 138

 deny tcp any  any eq 139

 deny tcp any  any eq 4444

 deny tcp any  any eq 593

 deny tcp any  any eq 1080

 deny tcp any  any eq 1081

 deny tcp any  any eq 256

 deny tcp any  any eq 768

 deny udp any  any eq 135

 deny udp any  any eq 136

 deny udp any  any eq netbios-ns

 deny udp any  any eq netbios-dgm

 deny udp any  any eq netbios-ss

 deny udp any  any eq 1434

 deny udp any  any eq 256

 deny udp any  any eq 768

 deny tcp any  any eq 1068

 deny tcp any  any eq 5554

 deny tcp any  any eq 9995

 deny tcp any  any eq 9996

 deny tcp any  any eq 34385

 permit ip any  any

!

port-security arp-check cpu

interface fastEthernet 0/1

 Anti-ARP-Spoofing ip 222.200.150.1

 switchport access vlan 332

 dot1x port-control auto 

 ipaccess-group fw in

-----------------------------------------------------------------------------------------------------

21/tcp FTP 檔案傳輸協定

22/tcp SSH 安全登入、檔案傳送(SCP)和端口重定向

23/tcp Telnet 不安全的文本傳送

25/tcp SMTP Simple Mail Transfer Protocol(E-mail)

69/udp TFTP Trivial File Transfer Protocol

79/tcp finger Finger

80/tcp HTTP 超文本傳送協定 (WWW)

88/tcp Kerberos Authenticating agent

110/tcp POP3 Post Office Protocol (E-mail)

113/tcp ident old identification serversystem

119/tcp NNTP used for usenet newsgroups

220/tcp IMAP3

443/tcp HTTPS used for securelytransferring web pages

端口：0

服務：Reserved

說明：通常用于分析作業系統。這一方法能夠工作是因為在一些系統中“0”是無效端口，當你試圖使用通常的閉合端口連接配接它時将産生不同的結果。一種典型的掃描，使用IP位址為0.0.0.0，設定ACK位并在以太網層廣播。

端口：1

服務：tcpmux

說明：這顯示有人在尋找SGIIrix機器。Irix是實作tcpmux的主要提供者，預設情況下tcpmux在這種系統中被打開。Irix機器在釋出是含有幾個預設的無密碼的帳戶，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。許多管理者在安裝後忘記删除這些帳戶。是以HACKER在INTERNET上搜尋tcpmux并利用這些帳戶。

端口：7

服務：Echo

說明：能看到許多人搜尋Fraggle放大器時，發送到X.X.X.0和X.X.X.255的資訊。

端口：19

服務：CharacterGenerator

說明：這是一種僅僅發送字元的服務。UDP版本将會在收到UDP包後回應含有垃圾字元的包。TCP連接配接時會發送含有垃圾字元的資料流直到連接配接關閉。HACKER利用IP欺騙可以發動DoS攻擊。僞造兩個chargen伺服器之間的UDP包。同樣Fraggle DoS攻擊向目标位址的這個端口廣播一個帶有僞造受害者IP的資料包，受害者為了回應這些資料而過載。

說明：FTP伺服器所開放的端口，用于上傳、下載下傳。最常見的攻擊者用于尋找打開anonymous的FTP伺服器的方法。這些伺服器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。

說明：遠端登入，入侵者在搜尋遠端登入UNIX的服務。大多數情況下掃描這一端口是為了找到機器運作的作業系統。還有使用其他技術，入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。

說明：SMTP伺服器所開放的端口，用于發送郵件。入侵者尋找SMTP伺服器是為了傳遞他們的SPAM。入侵者的帳戶被關閉，他們需要連接配接到高帶寬的E-MAIL伺服器上，将簡單的資訊傳遞到不同的位址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。

端口：31

服務：MSGAuthentication

說明：木馬MasterParadise、HackersParadise開放此端口。

端口：42

服務：WINSReplication

說明：WINS複制

端口：53

服務：Domain NameServer（DNS）

說明：DNS伺服器所開放的端口，入侵者可能是試圖進行區域傳遞（TCP），欺騙DNS（UDP）或隐藏其他的通信。是以防火牆常常過濾或記錄此端口。

端口：67

服務：BootstrapProtocol Server

說明：通過DSL和Cable modem的防火牆常會看見大量發送到廣播位址255.255.255.255的資料。這些機器在向DHCP伺服器請求一個位址。HACKER常進入它們，配置設定一個位址把自己作為局部路由器而發起大量中間人（man-in-middle）攻擊。用戶端向68端口廣播請求配置，伺服器向67端口廣播回應請求。這種回應使用廣播是因為用戶端還不知道可以發送的IP位址。

端口：69

服務：Trival FileTransfer

說明：許多伺服器與bootp一起提供這項服務，便于從系統下載下傳啟動代碼。但是它們常常由于錯誤配置而使入侵者能從系統中竊取任何 檔案。它們也可用于系統寫入檔案。

端口：79

服務：FingerServer

說明：入侵者用于獲得使用者資訊，查詢作業系統，探測已知的緩沖區溢出錯誤，回應從自己機器到其他機器Finger掃描。

端口：99

服務：gram Relay

說明：後門程式ncx99開放此端口。

端口：113

服務：AuthenticationService

說明：這是一個許多計算機上運作的協定，用于鑒别TCP連接配接的使用者。使用标準的這種服務可以獲得許多計算機的資訊。但是它可作為許多服務的記錄器，尤其是FTP、POP、IMAP、SMTP和IRC等服務。通常如果有許多客戶通過防火牆通路這些服務，将會看到許多這個端口的連接配接請求。記住，如果阻斷這個端口用戶端會感覺到在防火牆另一邊與E-MAIL伺服器的緩慢連接配接。許多防火牆支援TCP連接配接的阻斷過程中發回RST。這将會停止緩慢的連接配接。

說明：Microsoft在這個端口運作DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接配接到計算機時，它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個端口是為了找到這個計算機上運作Exchange Server嗎？什麼版本？還有些DOS攻擊直接針對這個端口。

說明：其中137、138是UDP端口，當通過網路上的芳鄰傳輸檔案時用這個端口。而139端口：通過這個端口進入的連接配接試圖獲得NetBIOS/SMB服務。這個協定被用于windows檔案和列印機共享和SAMBA。還有WINSRegisrtation也用它。

端口：143

服務：InterimMail Access Protocol v2

說明：和POP3的安全問題一樣，許多IMAP伺服器存在有緩沖區溢出漏洞。記住：一種LINUX蠕蟲（admv0rm）會通過這個端口繁殖，是以許多這個端口的掃描來自不知情的已經被感染的使用者。當REDHAT在他們的LINUX釋出版本中預設允許IMAP後，這些漏洞變的很流行。這一端口還被用于IMAP2，但并不流行。

說明：SNMP允許遠端管理裝置。所有配置和運作資訊的儲存在資料庫中，通過SNMP可獲得這些資訊。許多管理者的錯誤配置将被暴露在Internet。Cackers将試圖使用預設的密碼public、private通路系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向使用者的網絡。

端口：177

服務：X DisplayManager Control Protocol

說明：許多入侵者通過它通路X-windows操作台，它同時需要打開6000端口。

端口：389

服務：LDAP、ILS

說明：輕型目錄通路協定和NetMeetingInternet Locator Server共用這一端口。

端口：443

服務：Https

說明：網頁浏覽端口，能提供加密和通過安全端口傳輸的另一種HTTP。

端口：456

服務：[NULL]

說明：木馬HACKERSPARADISE開放此端口。

端口：513

服務：Login,remotelogin

說明：是從使用cablemodem或DSL登陸到子網中的UNIX計算機發出的廣播。這些人為入侵者進入他們的系統提供了資訊。

端口：544

說明：kerberoskshell

端口：548

服務：Macintosh,FileServices(AFP/IP)

說明：Macintosh,檔案服務。

端口：553

服務：CORBA IIOP （UDP）

說明：使用cablemodem、DSL或VLAN将會看到這個端口的廣播。CORBA是一種面向對象的RPC系統。入侵者可以利用這些資訊進入系統。

端口：555

服務：DSF

說明：木馬PhAse1.0、Stealth Spy、IniKiller開放此端口。

端口：568

服務：MembershipDPA

說明：成員資格 DPA。

端口：569

服務：MembershipMSN

說明：成員資格 MSN。

端口：635

服務：mountd

說明：Linux的mountd Bug。這是掃描的一個流行BUG。大多數對這個端口的掃描是基于UDP的，但是基于TCP的mountd有所增加（mountd同時運作于兩個端口）。記住mountd可運作于任何端口（到底是哪個端口，需要在端口111做portmap查詢），隻是Linux預設端口是635，就像NFS通常運作于2049端口。

端口：636

服務：LDAP

說明：SSL（Secure Sockets layer）

端口：666

服務：Doom IdSoftware

說明：木馬AttackFTP、SatanzBackdoor開放此端口

端口：993

服務：IMAP

端口：1001、1011

說明：木馬Silencer、WebEx開放1001端口。木馬DolyTrojan開放1011端口。

端口：1024

說明：它是動态端口的開始，許多程式并不在乎用哪個端口連接配接網絡，它們請求系統為它們配置設定下一個閑置端口。基于這一點配置設定從端口1024開始。這就是說第一個向系統送出請求的會配置設定到1024端口。你可以重新開機機器，打開Telnet，再打開一個視窗運作natstat -a 将會看到Telnet被配置設定1024端口。還有SQL session也用此端口和5000端口。

端口：1025、1033

服務：1025：network blackjack 1033：[NULL]

說明：木馬netspy開放這2個端口。

端口：1080

服務：SOCKS

說明：這一協定以通道方式穿過防火牆，允許防火牆後面的人通過一個IP位址通路INTERNET。理論上它應該隻允許内部的通信向外到達INTERNET。但是由于錯誤的配置，它會允許位于防火牆外部的攻擊穿過防火牆。WinGate常會發生這種錯誤，在加入IRC聊天室時常會看到這種情況。

端口：1170

說明：木馬StreamingAudio Trojan、Psyber StreamServer、Voice開放此端口。

端口：1234、1243、6711、6776

說明：木馬SubSeven2.0、Ultors Trojan開放1234、6776端口。木馬SubSeven1.0/1.9開放1243、6711、6776端口。

端口：1245

說明：木馬Vodoo開放此端口。

端口：1433

服務：SQL

說明：Microsoft的SQL服務開放的端口。

端口：1492

服務：stone-design-1

說明：木馬FTP99CMP開放此端口。

端口：1500

服務：RPC client fixedport session queries

說明：RPC客戶固定端口會話查詢

端口：1503

服務：NetMeetingT.120

說明：NetMeetingT.120

端口：1524

服務：ingress

說明：許多攻擊腳本将安裝一個後門SHELL于這個端口，尤其是針對SUN系統中Sendmail和RPC服務漏洞的腳本。如果剛安裝了防火牆就看到在這個端口上的連接配接企圖，很可能是上述原因。可以試試Telnet到使用者的計算機上的這個端口，看看它是否會給你一個SHELL。連接配接到600/pcserver也存在這個問題。

端口：1600

服務：issd

說明：木馬Shivka-Burka開放此端口。

端口：1720

服務：NetMeeting

說明：NetMeetingH.233 call Setup。

端口：1731

服務：NetMeetingAudio Call Control

說明：NetMeeting音頻調用控制。

端口：1807

說明：木馬SpySender開放此端口。

端口：1981

說明：木馬ShockRave開放此端口。

端口：1999

服務：ciscoidentification port

說明：木馬BackDoor開放此端口。

端口：2000

說明：木馬GirlFriend1.3、Millenium 1.0開放此端口。

端口：2001

說明：木馬Millenium1.0、Trojan Cow開放此端口。

端口：2023

服務：xinuexpansion4

說明：木馬PassRipper開放此端口。

端口：2049

服務：NFS

說明：NFS程式常運作于這個端口。通常需要通路Portmapper查詢這個服務運作于哪個端口。

端口：2115

說明：木馬Bugs開放此端口。

端口：2140、3150

說明：木馬DeepThroat 1.0/3.0開放此端口。

端口：2500

服務：RPC clientusing a fixed port session replication

說明：應用固定端口會話複制的RPC客戶