端口的基礎知識

端口可分為3大類：

1） 公認端口（Well Known Ports）：從0到1023，它們緊密綁定于一些服務。通常這

些端口的通訊明确表

明了某種服務的協定。例如：80端口實際上總是HTTP通訊。

2） 注冊端口（Registered Ports）：從1024到49151。它們松散地綁定于一些服務。

也就是說有許多服務

綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統處理動态端口從

1024左右開始。

3） 動态和/或私有端口（Dynamic and/or Private Ports）：從49152到65535。理論

上，不應為服務配置設定

這些端口。實際上，機器通常從1024起配置設定動态端口。但也有例外：SUN的RPC端口從

32768開始。

本節講述通常TCP/UDP端口掃描在防火牆記錄中的資訊。記住：并不存在所謂ICMP端

口。如果你對解讀ICMP資料感興趣，請參看本文的其它部分。

0 通常用于分析作業系統。這一方法能夠工作是因為在一些系統中“0”是無效端口，

當你試圖使用一種通常的閉合端口連接配接它時将産生不同的結果。一種典型的掃描：使用

IP位址為0.0.0.0，設定ACK位并在以太網層廣播。

1 tcpmux 這顯示有人在尋找SGI Irix機器。Irix是實作tcpmux的主要提供者，預設情

況下tcpmux在這種系統中被打開。Iris機器在釋出時含有幾個預設的無密碼的帳戶，如

lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。許

多管理者安裝後忘記删除這些帳戶。是以Hacker們在 Internet上搜尋tcpmux并利用這

些帳戶。

7 Echo 你能看到許多人們搜尋Fraggle放大器時，發送到x.x.x.0和x.x.x.255的資訊。

常見的一種DoS攻擊是echo循環（echo-loop），攻擊者僞造從一個機器發送到另一個機

器的UDP資料 包，而兩個機器分别以它們最快的方式回應這些資料包。（參見Chargen

） 另一種東西是由DoubleClick在詞端口建立的TCP連接配接。有一種産品叫做“Resonate

Global Dispatch”，它與DNS的這一端口連接配接以确定最近的路由。 Harvest/squid

cache将從3130端口發送UDP echo：“如果将cache的source_ping on選項打開，它将對

原始主機的UDP echo端口回應一個HIT reply。”這将會産生許多這類資料包。

11 sysstat 這是一種UNIX服務，它會列出機器上所有正在運作的程序以及是什麼啟動

了這些程序。這為入侵者提供了許多資訊而威脅機器的安全，如暴露已知某些弱點或帳

戶的程式。這與UNIX系統中“ps”命 令的結果相似.

再說一遍：ICMP沒有端口，ICMP port 11通常是ICMP type=11

19 chargen 這是一種僅僅發送字元的服務。UDP版本将會在收到UDP包後回應含有垃圾

字元的包。TCP連接配接時，會發送含有垃圾字元的資料流知道連接配接關閉。Hacker利用IP欺

騙可以發動DoS攻擊。僞造兩個chargen伺服器之間的UDP包。由于伺服器企圖回應兩個

伺服器之間的無限的往返資料通訊一個chargen和echo将導緻伺服器過載。同樣

fraggle DoS攻擊向目标位址的這個端口廣播一個帶有僞造受害者IP的資料包，受害者

為了回應這些資料而過載。

21 ftp 最常見的攻擊者用于尋找打開“anonymous”的ftp伺服器的方法。這些伺服器

帶有可讀寫的目錄。Hackers或Crackers 利用這些伺服器作為傳送warez (私有程式)

和pr0n(故意拼錯詞而避免被搜尋引擎分類)的節點。

22 ssh PcAnywhere建立TCP和這一端口的連接配接可能是為了尋找ssh。這一服務有許多弱

點。如果配置成特定的模式，許多使用RSAREF庫的版本有不少漏洞。（建議在其它端口

運作ssh）還應該注意的是ssh工具包帶有一個稱為make-ssh-known-hosts的程式。它會

掃描整個域的ssh主機。你有時會被使用這一程式的人無意中掃描到。

UDP（而不是TCP）與另一端的5632端口相連意味着存在搜尋pcAnywhere的掃描。5632（

十六進制的0x1600）位交換後是0x0016（使進制的22）。

23 Telnet 入侵者在搜尋遠端登陸UNIX的服務。大多數情況下入侵者掃描這一端口是為

了找到機器運作的作業系統。此外使用其它技術，入侵者會找到密碼。

技術文摘Page 2 of 5

mk:@MSITStore:F:\tools\htools\book\book.chm::/MYWEB/hei.../safetv07.ht

2002-5-14

25 smtp 攻擊者（spammer）尋找SMTP伺服器是為了傳遞他們的spam。入侵者的帳戶總

被關閉，他們需要撥接上網到高帶寬的e-mail伺服器上，将簡單的資訊傳遞到不同的地

址。SMTP伺服器（尤其是sendmail）是進入系統的最常用方法之一，因為它們必須完整

的暴露于Internet且郵件的路由是複雜的（暴露+複雜=弱點）。

53 DNS Hacker或crackers可能是試圖進行區域傳遞（TCP），欺騙DNS（UDP）或隐藏其

它通訊。是以防火牆常常過濾或記錄53端口。

需要注意的是你常會看到53端口做為UDP源端口。不穩定的防火牆通常允許這種通訊并

假設這是對DNS查詢的回複。Hacker常使用這種方法穿透防火牆。

67和68 Bootp和DHCP UDP上的Bootp/DHCP：通過DSL和cable-modem的防火牆常會看見大

量發送到廣播地 址255.255.255.255的資料。這些機器在向DHCP伺服器請求一個位址分

配。Hacker常進入它們配置設定一個位址 把自己作為局部路由器而發起大量的“中間人”

（man-in-middle）攻擊。用戶端向68端口（bootps）廣播 請求配置，伺服器向67端口

（bootpc）廣播回應請求。這種回應使用廣播是因為用戶端還不知道可以發送的 IP地

址。

69 TFTP(UDP) 許多伺服器與bootp一起提供這項服務，便于從系統下載下傳啟動代碼。但是

它們常常錯誤配置而從系統提供任何檔案，如密碼檔案。它們也可用于向系統寫入文

件。

79 finger Hacker用于獲得使用者資訊，查詢作業系統，探測已知的緩沖區溢出錯誤，回

應從自己機器到其它機器finger掃描。

98 linuxconf 這個程式提供linux boxen的簡單管理。通過整合的HTTP伺服器在98端口

提供基于Web界面的服務。它已發現有許多安全問題。一些版本setuid root，信任局域

網，在/tmp下建立Internet可通路的檔案，LANG環境變量有緩沖區溢出。此外因為它包

含整合的伺服器，許多典型的HTTP漏洞可能存在（緩沖區溢出，曆遍目錄等）

109 POP2 并不象POP3那樣有名，但許多伺服器同時提供兩種服務（向後相容）。在同

一個伺服器上POP3的漏洞在POP2中同樣存在。

110 POP3 用于用戶端通路伺服器端的郵件服務。POP3服務有許多公認的弱點。關于用

戶名和密碼交換緩沖區溢出的弱點至少有20個（這意味着Hacker可以在真正登陸前進入

系統）。成功登陸後還有其它緩沖區溢出錯誤。

111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。通路portmapper是掃描

系統檢視允許哪些RPC服務的最早的一步。常見RPC服務有：rpc.mountd, NFS,

rpc.statd,rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務将轉向提供服

務的特定端口測試漏洞。記住一定要記錄線路中的daemon, IDS, 或sniffer，你可以發

現入侵者正使用什麼程式通路以便發現到底發生了什麼。

113 Ident auth 這是一個許多機器上運作的協定，用于鑒别TCP連接配接的使用者。使用标準

的這種服務可以

獲得許多機器的資訊（會被Hacker利用）。但是它可作為許多服務的記錄器，尤其是

FTP, POP, IMAP, SMTP

和IRC等服務。通常如果有許多客戶通過防火牆通路這些服務，你将會看到許多這個端

口的連接配接請求。記

住，如果你阻斷這個端口用戶端會感覺到在防火牆另一邊與e-mail伺服器的緩慢連接配接。

許多防火牆支援在

TCP連接配接的阻斷過程中發回RST，着将回停止這一緩慢的連接配接。

119 NNTP news 新聞討論區傳輸協定，承載USENET通訊。當你連結到諸如：

[url]news://comp.security.firewalls/[/url]. 的位址時通常使用這個端口。這個端口的連接配接企

圖通常是人們在尋找

USENET伺服器。多數ISP限制隻有他們的客戶才能通路他們的新聞討論區伺服器。打開新聞

組伺服器将允許發/讀

任何人的文章，通路被限制的新聞討論區伺服器，匿名發帖或發送spam。

135 oc-serv MS RPC end-point mapper Microsoft在這個端口運作DCE RPC

end-point mapper為它的

DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和/或RPC的服務利用機器上的

end-point mapper注冊

它們的位置。遠端客戶連接配接到機器時，它們查詢end-point mapper找到服務的位置。同

樣Hacker掃描機器的

這個端口是為了找到諸如：這個機器上運作Exchange Server嗎？是什麼版本？

這個端口除了被用來查詢服務（如使用epdump）還可以被用于直接攻擊。有一些DoS攻

擊直接針對這個

端口。

技術文摘Page 3 of 5

137 NetBIOS name service nbtstat (UDP) 這是防火牆管理者最常見的資訊，請仔細

閱讀文章後面的

NetBIOS一節

139 NetBIOS File and Print Sharing 通過這個端口進入的連接配接試圖獲得NetBIOS/SMB

服務。這個協

議被用于Windows“檔案和列印機共享”和SAMBA。在Internet上共享自己的硬碟是可能

是最常見的問題。

大量針對這一端口始于1999，後來逐漸變少。2000年又有回升。一些VBS（IE5

VisualBasic

Scripting）開始将它們自己拷貝到這個端口，試圖在這個端口繁殖。

143 IMAP 和上面POP3的安全問題一樣，許多IMAP伺服器有緩沖區溢出漏洞運作登陸過

程中進入。記

住：一種Linux蠕蟲（admw0rm）會通過這個端口繁殖，是以許多這個端口的掃描來自不

知情的已被感染的用

戶。當RadHat在他們的Linux釋出版本中預設允許IMAP後，這些漏洞變得流行起來。

Morris蠕蟲以後這還是

第一次廣泛傳播的蠕蟲。

這一端口還被用于IMAP2，但并不流行。

已有一些報道發現有些0到143端口的攻擊源于腳本。

161 SNMP(UDP) 入侵者常探測的端口。SNMP允許遠端管理裝置。所有配置和運作資訊都

儲存在資料庫

中，通過SNMP客獲得這些資訊。許多管理者錯誤配置将它們暴露于Internet。Crackers

将試圖使用預設的密

碼“public”“private”通路系統。他們可能會試驗所有可能的組合。

SNMP包可能會被錯誤的指向你的網絡。Windows機器常會因為錯誤配置将HP JetDirect

remote

management軟體使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用

SNMP解析域名，你會看

見這種包在子網内廣播（cable modem, DSL）查詢sysName和其它資訊。

162 SNMP trap 可能是由于錯誤配置

177 xdmcp 許多Hacker通過它通路X-Windows控制台，它同時需要打開6000端口。

513 rwho 可能是從使用cable modem或DSL登陸到的子網中的UNIX機器發出的廣播。這

些人為Hacker進

入他們的系統提供了很有趣的資訊。

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将會看到這個端口的廣

播。CORBA是一

種面向對象的RPC（remote procedure call）系統。Hacker會利用這些資訊進入系統。

600 Pcserver backdoor 請檢視1524端口

一些玩script的孩子認為他們通過修改ingreslock和pcserver檔案已經完全攻破了系統

-- Alan J.

Rosenthal.

635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數對這個端口

的掃描是基于UDP

的，但基于TCP的mountd有所增加（mountd同時運作于兩個端口）。記住，mountd可運

行于任何端口（到底

在哪個端口，需要在端口111做portmap查詢），隻是Linux預設為635端口，就象NFS通

常運作于2049端口。

1024 許多人問這個端口是幹什麼的。它是動态端口的開始。許多程式并不在乎用哪個

端口連接配接網絡，

它們請求作業系統為它們配置設定“下一個閑置端口”。基于這一點配置設定從端口1024開始。

這意味着第一個向系

統請求配置設定動态端口的程式将被配置設定端口1024。為了驗證這一點，你可以重新開機機器，打

開Telnet，再打開一

個視窗運作“natstat -a”，你将會看到Telnet被配置設定1024端口。請求的程式越多，動

态端口也越多。操作

系統配置設定的端口将逐漸變大。再來一遍，當你浏覽Web頁時用“netstat”檢視，每個

Web頁需要一個新端

口。

?ersion 0.4.1, June 20, 2000

[url]http://www.robertgraham.com/pubs/firewall-seen.html[/url]

Copyright 1998-2000 by Robert Graham

([email][email protected][/email].

All rights reserved. This document．nbspmay only be reproduced (whole or

in part) for non-commercial purposes. All reproductions must

contain this copyright notice and must not be altered, except by

permission of the author.

1025 參見1024

1026 參見1024

1080 SOCKS

技術文摘Page 4 of 5

這一協定以管道方式穿過防火牆，允許防火牆後面的許多人通過一個IP位址通路

Internet。理論上它應

該隻允許内部的通信向外達到Internet。但是由于錯誤的配置，它會允許

Hacker/Cracker的位于防火牆外部

的攻擊穿過防火牆。或者簡單地回應位于Internet上的計算機，進而掩飾他們對你的直

接攻擊。WinGate是

一種常見的Windows個人防火牆，常會發生上述的錯誤配置。在加入IRC聊天室時常會看

到這種情況。

1114 SQL

系統本身很少掃描這個端口，但常常是sscan腳本的一部分。

1243 Sub-7木馬（TCP）

參見Subseven部分。

1524 ingreslock後門

許多攻擊腳本将安裝一個後門Sh*ll 于這個端口（尤其是那些針對Sun系統中Sendmail

和RPC服務漏洞的

腳本，如statd, ttdbserver和cmsd）。如果你剛剛安裝了你的防火牆就看到在這個端

口上的連接配接企圖，很

可能是上述原因。你可以試試Telnet到你的機器上的這個端口，看看它是否會給你一個

Sh*ll 。連接配接到

600/pcserver也存在這個問題。

2049 NFS

NFS程式常運作于這個端口。通常需要通路portmapper查詢這個服務運作于哪個端口，

但是大部分情況

是安裝後NFS 杏谡飧龆絲冢?acker/Cracker因而可以閉開portmapper直接測試這個端

3128 squid

這是Squid HTTP代理伺服器的預設端口。攻擊者掃描這個端口是為了搜尋一個代理服務

器而匿名通路

Internet。你也會看到搜尋其它代理伺服器的端口：8000/8001/8080/8888。掃描這一

端口的另一原因是：

使用者正在進入聊天室。其它使用者（或伺服器本身）也會檢驗這個端口以确定使用者的機器

是否支援代理。請查

看5.3節。

5632 pcAnywere

你會看到很多這個端口的掃描，這依賴于你所在的位置。當使用者打開pcAnywere時，它

會自動掃描局域

網C類網以尋找可能得代理（譯者：指agent而不是proxy）。Hacker/cracker也會尋找

開放這種服務的機

器，是以應該檢視這種掃描的源位址。一些搜尋pcAnywere的掃描常包含端口22的UDP數

據包。參見撥号掃

描。

6776 Sub-7 artifact

這個端口是從Sub-7主端口分離出來的用于傳送資料的端口。例如當控制者通過電話線

控制另一台機

器，而被控機器挂斷時你将會看到這種情況。是以當另一人以此IP撥入時，他們将會看

到持續的，在這個端

口的連接配接企圖。（譯者：即看到防火牆報告這一端口的連接配接企圖時，并不表示你已被

Sub-7控制。）

6970 RealAudio

RealAudio客戶将從伺服器的6970-7170的UDP端口接收音頻資料流。這是由TCP7070端口

外向控制連接配接設

置的。

13223 PowWow

PowWow 是Tribal Voice的聊天程式。它允許使用者在此端口打開私人聊天的連接配接。這一

程式對于建立連

接非常具有“進攻性”。它會“駐紮”在這一TCP端口等待回應。這造成類似心跳間隔

的連接配接企圖。如果你

是一個撥号使用者，從另一個聊天者手中“繼承”了IP位址這種情況就會發生：好象很多

不同的人在測試這一

端口。這一協定使用“OPNG”作為其連接配接企圖的前四個位元組。

17027 Conducent

這是一個外向連接配接。這是由于公司内部有人安裝了帶有Conducent "adbot" 的共享軟

件。Conducent

"adbot"是為共享軟體顯示廣告服務的。使用這種服務的一種流行的軟體是Pkware。有

人試驗：阻斷這一外

向連接配接不會有任何問題，但是封掉IP位址本身将會導緻adbots持續在每秒内試圖連接配接多

次而導緻連接配接過載：

機器會不斷試圖解析DNS名─ads.conducent.com，即IP位址216.33.210.40 ；

216.33.199.77 ；

216.33.199.80 ；216.33.199.81；216.33.210.41。（譯者：不知NetAnts使用的

Radiate是否也有這種現

象）

技術文摘Page 5 of 5

27374 Sub-7木馬(TCP)

30100 NetSphere木馬(TCP)

通常這一端口的掃描是為了尋找中了NetSphere木馬。

31337 Back Orifice “elite”

Hacker中31337讀做“elite”/ei’li:t/（譯者：法語，譯為中堅力量，精華。即

3=E, 1=L, 7=T）。

是以許多後門程式運作于這一端口。其中最有名的是Back Orifice。曾經一段時間内這

是Internet上最常見

的掃描。現在它的流行越來越少，其它的木馬程式越來越流行。

31789 Hack-a-tack

這一端口的UDP通訊通常是由于"Hack-a-tack"遠端通路木馬（RAT, Remote Access

Trojan）。這種木

馬包含内置的31790端口掃描器，是以任何31789端口到317890端口的連接配接意味着已經有

這種入侵。（31789

端口是控制連接配接，317890端口是檔案傳輸連接配接）

32770~32900 RPC服務

Sun Solaris的RPC服務在這一範圍内。詳細的說：早期版本的Solaris（2.5.1之前）将

portmapper置于

這一範圍内，即使低端口被防火牆封閉仍然允許Hacker/cracker通路這一端口。掃描這

一範圍内的端口不是

為了尋找portmapper，就是為了尋找可被攻擊的已知的RPC服務。

33434~33600 traceroute

如果你看到這一端口範圍内的UDP資料包（且隻在此範圍之内）則可能是由于

traceroute。參見

traceroute部分。

41508 Inoculan

早期版本的Inoculan會在子網内産生大量的UDP通訊用于識别彼此。參見

[url]http://www.circlemud.org/~jelson/software/udpsend.html[/url]

[url]http://www.ccd.bnl.gov/nss/tips/inoculan/index.html[/url]

(二） 下面的這些源端口意味着什麼？

端口1~1024是保留端口，是以它們幾乎不會是源端口。但有一些例外，例如來自NAT機

器的連接配接。參見

1.9。

常看見緊接着1024的端口，它們是系統配置設定給那些并不在乎使用哪個端口連接配接的應用程

序的“動态端

口”。

Server Client 服務描述

1-5/tcp 動态FTP 1-5端口意味着sscan腳本

20/tcp 動态FTP FTP伺服器傳送檔案的端口

53 動态FTP DNS從這個端口發送UDP回應。你也可能看見源/目标端口的TCP連接配接。

123 動态S/NTP 簡單網絡時間協定（S/NTP）伺服器運作的端口。它們也會發送到這個

端口的廣播。

27910~27961/udp 動态Quake Quake或Quake引擎驅動的遊戲在這一端口運作其伺服器。

是以來自這一

端口範圍的UDP包或發送至這一端口範圍的UDP包通常是遊戲。