端口名称.txt

本文是对计算机端口的解析

　　端口：544 

　　服务：[NULL] 

　　说明：kerberos kshell 

　　端口：548 

　　服务：Macintosh,File Services(AFP/IP) 

　　说明：Macintosh,文件服务。 

　　端口：553 

　　服务：CORBA IIOP (UDP) 

　　说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。 

　　端口：555 

　　服务：DSF 

　　说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 

　　端口：568 

　　服务：Membership DPA 

　　说明：成员资格 DPA。 

　　端口：569 

　　服务：Membership MSN 

　　说明：成员资格 MSN。 

　　端口：635 

　　服务：mountd 

　　说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。 记住mountd可运行于任何端口(到底是哪个端口，需要在端口111做portmap查询)，只是Linux默认端口是635，就像NFS通常运行于 2049端口。 

　　端口：636 

　　服务：LDAP 

　　说明：SSL(Secure Sockets layer) 

　　端口：666 

　　服务：Doom Id Software 

　　说明：木马Attack ftp、Satanz Backdoor开放此端口 

　　端口：993 

　　服务：IMAP 

　　说明：SSL(Secure Sockets layer) 

　　端口：1001、1011 

　　服务：[NULL] 

　　说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 

　　端口：1024 

　　服务：Reserved 

　　说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说 第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。 

　　端口：1025、1033 

　　服务：1025：network blackjack 1033：[NULL] 

　　说明：木马netspy开放这2个端口。 

　　端口：1080 

　　服务：SOCKS 

　　说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情 况。 

　　端口：1170 

　　服务：[NULL] 

　　说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。 

　　端口：1234、1243、6711、6776 

　　服务：[NULL] 

　　说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。 

　　端口：1245 

　　服务：[NULL] 

　　说明：木马Vodoo开放此端口。 

　　端口：1433 

　　服务：SQL 

　　说明：Microsoft的SQL服务开放的端口。 

　　端口：1492 

　　服务：stone-design-1 

　　说明：木马ftp99CMP开放此端口。 

　　端口：1500 

　　服务：RPC client fixed port session queries 

　　说明：RPC客户固定端口会话查询 

　　端口：1503 

　　服务：NetMeeting T.120 

　　说明：NetMeeting T.120 

　　端口：1524 

　　服务：ingress 

　　说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在 这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到 600/pcserver也存在这个问题。

常见网络端口(补全) 
 

　　553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。 

　　600 Pcserver backdoor 请查看1524端口。 

　　一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal. 

　　635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP的mountd有所增加(mountd同时运行于两个端 口)。记住，mountd可运行于任何端口(到底在哪个端口，需要在端口111做portmap查询)，只是Linux默认为635端口，就象NFS通常 运行于2049端口。 

　　1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配 从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个 窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用 “netstat”查看，每个Web页需要一个新端口。 

　　1025，1026 参见1024 

　　1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。 但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰 他们对你的直接攻击。WinGate是一种常见的windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。 

　　1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。 

　　1243 Sub-7木马(TCP) 

　　1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针对Sun系统中sendmail和RPC服务漏洞的脚本，如statd, ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的 这个端口，看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。 

　　2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS运行于这个端口，Hacker/Cracker因而可以闭开portmapper直接测试这个端口。 

　　3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口： 8000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是 否支持代理。 

　　5632 pcAnywere 你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理(译者：指agent而 不是proxy)。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端 口22的UDP数据包。 

　　6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人 以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。(译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。) 

　　6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。 

　　13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成 类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作为其连接企图的前四个字节。 

　　17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址 本身将会导致adbots持续在每秒内试图连接多次而导致连接过载： 

　　机器会不断试图解析DNS名—ads.conducent.com，即IP地 址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者：不知NetAnts使用的Radiate是否也有这种现象) 

　　27374 Sub-7木马(TCP) 

　　30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。 

　　31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/(译者：法语，译为中坚力量，精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的木马程序越来越流行。 

　　31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT, Remote Access Trojan)。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控 制连接，317890端口是文件传输连接) 

　　32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内，即使低端口被防 火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的 RPC服务。 

　　33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。