常⽤端⼝号与对应的服务
端⼝简介:
21端⼝:21端⼝主要⽤于FTP(File Transfer Protocol,⽂件传输协议)服务。
22端⼝:ssh
传统的⽹络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在⽹络上⽤明⽂传送⼝令和数据,别有⽤⼼的⼈⾮常容易就可以截获这些⼝令和数据。⽽且,这些服务程序的安全验证⽅式也是有其弱点的,就是很容易受到“中间⼈”(man-in-the-middle)这种⽅式的攻击。所谓“中间⼈”的攻击⽅式,就是“中间⼈”冒充真正的服务器接收你的传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间⼈”⼀转⼿做了⼿脚之后,就会出现很严重的问题。
SSH的英⽂全称是Secure SHell。通过使⽤SSH,你可以把所有传输的数据进⾏加密,这样“中间⼈”这种攻击⽅式就不可能实现了,⽽且也能够防⽌DNS和IP欺骗。还有⼀个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替telnet,⼜可以为ftp、pop、甚⾄ppp提供⼀个安全的“通道”。
23端⼝:23端⼝主要⽤于Telnet(远程登录)服务,是Internet上普遍采⽤的登录和仿真程序。
25端⼝:25端⼝为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器所开放,主要⽤于发送邮件,如今绝⼤多数邮件服务器都使⽤该协议。
53端⼝:53端⼝为DNS(Domain Name Server,域名服务器)服务器所开放,主要⽤于域名解析,DNS服务在NT系统中使⽤的最为⼴泛。
67、68端⼝:67、68端⼝分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端⼝。
69端⼝:TFTP是Cisco公司开发的⼀个简单⽂件传输协议,类似于FTP。
79端⼝:79端⼝是为Finger服务开放的,主要⽤于查询远程主机在线⽤户、操作系统类型以及是否缓冲区溢出等⽤户的详细信息。
端⼝说明:79端⼝是为Finger服务开放的,主要⽤于查询远程主机在线⽤户、操作系统类型以及是否缓冲区溢出等⽤户的详细信息。⽐如要显⽰远程计算机www.abc上的user01⽤户的信息,可以在命令⾏中键⼊“finger user01@www.abc”即可。
端⼝漏洞:⼀般⿊客要攻击对⽅的计算机,都是通过相应的端⼝扫描⼯具来获得相关信息,⽐如使⽤“流光”就可以利⽤79端⼝来扫描远程计算机操作系统版本,获得⽤户信息,还能探测已知的缓冲区溢出错误。
这样,就容易遭遇到⿊客的攻击。⽽且,79端⼝还被Firehotcker⽊马作为默认的端⼝。
操作建议:建议关闭该端⼝。
80端⼝:80端⼝是为HTTP(HyperText Transport Protocol,超⽂本传输协议)开放的,这是上⽹冲浪使⽤最多的协议,主要⽤于在WWW(World Wide Web,万维⽹)服务上传输信息的协议。
端⼝说明:80端⼝是为HTTP(HyperText Transport Protocol,超⽂本传输协议)开放的,这是上⽹冲浪使⽤最多的协议,主要⽤于在WWW(World Wide Web,万维⽹)服务上传输信息的协议。
端⼝漏洞:有些⽊马程序可以利⽤80端⼝来攻击计算机的,⽐如Executor、RingZero等。
操作建议:为了能正常上⽹冲浪,我们必须开启80端⼝。
99端⼝:99端⼝是⽤于⼀个名为“Metagram Relay”(亚对策延时)的服务,该服务⽐较少见,⼀般是⽤不到的。
109、110端⼝:
端⼝说明:109端⼝是为POP2(Post Office Protocol Version 2,邮局协议2)服务开放的,110端⼝是为POP3(邮件协议3)服务开放
的,POP2、POP3都是主要⽤于接收邮件的,⽬前POP3使⽤的⽐较多,许多服务器都同时⽀持POP2和POP3。客户端可以使⽤POP3协议来访问服务端的邮件服务,如今ISP的绝⼤多数邮件服务器都是使⽤该协议。在使⽤电⼦邮件客户端程序的时候,会要求输⼊POP3服务器地址,默认情况下使⽤的就是110端⼝。
端⼝漏洞:POP2、POP3在提供邮件接收服务的同时,也出现了不少的漏洞。单单POP3服务在⽤户名和密码交换缓冲区溢出的漏洞就不少于20个,⽐如WebEasyMail POP3 Server合法⽤户名信息泄露漏洞,通过该漏洞远程攻击者可以验证⽤户账户的存在。另外,110端⼝也被ProMail trojan等⽊马程序所利⽤,通过110端⼝可以窃取POP账号⽤户名和密码。
操作建议:如果是执⾏邮件服务器,可以打开该端⼝
111端⼝:111端⼝是SUN公司的RPC(Remote Procedure Call,远程过程调⽤)服务所开放的端⼝,主要⽤于分布式系统中不同计算机的内部进程通信,RPC在多种⽹络服务中都是很重要的组件。
113端⼝:113端⼝主要⽤于Windows的“Authentication Service”(验证服务)。
119端⼝:119端⼝是为“Network News Transfer Protocol”(⽹络新闻组传输协议,简称NNTP)开放的。
135端⼝:
端⼝说明:135端⼝主要⽤于使⽤RPC(Remote Procedure Call,远程过程调⽤)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在⼀台计算机上运⾏的程序可以顺利地执⾏远程计算机上的代码;使⽤DCOM可以通过⽹络直接进⾏通信,能够跨包括HTTP 协议在内的多种⽹络传输。
端⼝漏洞:相信很多Windows 2000和Windows XP⽤户都中了“冲击波”病毒,该病毒就是利⽤RPC漏洞来攻击计算机的。RPC本⾝在处理通过TCP/IP的消息交换部分有⼀个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的⼀个接⼝,该接⼝侦听的端⼝就是135。
操作建议:为了避免“冲击波”病毒的攻击,建议关闭该端⼝
137端⼝:
端⼝说明:137端⼝主要⽤于“NetBIOS Name Service”(NetBIOS名称服务),属于UDP端⼝,使⽤者只需要向局域⽹或互联⽹上的某台计算机的137端⼝发送⼀个请求,就可以获取该计算机的名称、注册⽤户名,以及是否安装主域控制器、IIS是否正在运⾏等信息。
端⼝漏洞:因为是UDP端⼝,对于攻击者来说,通过发送请求很容易就获取⽬标计算机的相关信息,有些信息是直接可以被利⽤,并分析漏洞的,⽐如IIS服务。另外,通过捕获正在利⽤137端⼝进⾏通信的
信息包,还可能得到⽬标计算机的启动和关闭的时间,这样就可以利⽤专门的⼯具来攻击。
操作建议:建议关闭该端⼝。
139端⼝:
端⼝说明:139端⼝是为“NetBIOS Session Service”提供的,主要⽤于提供Windows⽂件和打印机共享以及Unix中的Samba服务。在Windows中要在局域⽹中进⾏⽂件的共享,必须使⽤该服务。⽐如在Windows 98中,可以打开“控制⾯板”,双击“⽹络”图标,在“配置”选项卡中单击“⽂件及打印共享”按钮选中相应的设置就可以安装启⽤该服务;在Windows 2000/XP中,可以打开“控制⾯板”,双击“⽹络连接”图标,打开本地连接属性;接着,在属性窗⼝的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮;然后在打开的窗⼝中,单
击“⾼级”按钮;在“⾼级TCP/IP设置”窗⼝中选择“WINS”选项卡,在“NetBIOS设置”区域中启⽤TCP/IP上的NetBIOS。
端⼝漏洞:开启139端⼝虽然可以提供共享服务,但是常常被攻击者所利⽤进⾏攻击,⽐如使⽤流光、SuperScan等端⼝扫描⼯具,可以扫描⽬标计算机的139端⼝,如果发现有漏洞,可以试图获取⽤户名和密码,这是⾮常危险的
143端⼝:143端⼝主要是⽤于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP)。
161端⼝:161端⼝是⽤于“Simple Network Management Protocol”(简单⽹络管理协议,简称SNMP)。
443端⼝:43端⼝即⽹页浏览端⼝,主要是⽤于HTTPS服务,是提供加密和通过安全端⼝传输的另⼀种HTTP。
554端⼝:554端⼝默认情况下⽤于“Real Time Streaming Protocol”(实时流协议,简称RTSP)。
1024端⼝:1024端⼝⼀般不固定分配给某个服务,在英⽂中的解释是“Reserved”(保留)。
1080端⼝:1080端⼝是Socks代理服务使⽤的端⼝,⼤家平时上⽹使⽤的WWW服务使⽤的是HTTP协议的代理服务。
1755端⼝:1755端⼝默认情况下⽤于“Microsoft Media Server”(微软媒体服务器,简称MMS)。
4000端⼝:4000端⼝是⽤于⼤家经常使⽤的QQ聊天⼯具的,再细说就是为QQ客户端开放的端⼝,QQ服务端使⽤的端⼝是8000。
5554端⼝:在今年4⽉30⽇就报道出现了⼀种针对微软lsass服务的新蠕⾍病毒——震荡波(Worm.Sasser),该病毒可以利⽤TCP 5554端⼝开启⼀个FTP服务,主要被⽤于病毒的传播。
5632端⼝:5632端⼝是被⼤家所熟悉的远程控制软件pcAnywhere所开启的端⼝。
8080端⼝:8080端⼝同80端⼝,是被⽤于WWW代理服务的,可以实现⽹页
端⼝概念
在⽹络技术中,端⼝(Port)⼤致有两种意思:⼀是物理意义上的端⼝,⽐如,ADSL Modem、集线器、交换机、路由器⽤于连接其他⽹络设备的接⼝,如RJ-45端⼝、SC端⼝等等。⼆是逻辑意义上的端⼝,⼀般是指TCP/IP协议中的端⼝,端⼝号的范围从0到65535,⽐如⽤于浏览⽹页服务的80端⼝,⽤于FTP服务的21端⼝等等。我们这⾥将要介绍的就是逻辑意义上的端⼝。
端⼝分类
逻辑意义上的端⼝有多种分类标准,下⾯将介绍两种常见的分类:
1、按端⼝号分布划分
(1)知名端⼝(Well-Known Ports)
知名端⼝即众所周知的端⼝号,范围从0到1023,这些端⼝号⼀般固定分配给⼀些服务。⽐如21端⼝分配给FTP服务,25端⼝分配给SMTP(简单邮件传输协议)服务,80端⼝分配给HTTP服务,135端⼝分配给RPC(远程过程调⽤)服务等等。
(2)动态端⼝(Dynamic Ports)
动态端⼝的范围从1024到65535,这些端⼝号⼀般不固定分配给某个服务,也就是说许多服务都可以使⽤这些端⼝。只要运⾏的程序向系统提出访问⽹络的申请,那么系统就可以从这些端⼝号中分配⼀个供该程序使⽤。⽐如1024端⼝就是分配给第⼀个向系统发出申请的程序。在关闭程序进程后,就会释放所占⽤的端⼝号。
不过,动态端⼝也常常被病毒⽊马程序所利⽤,如冰河默认连接端⼝是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。
2、按协议类型划分
按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端⼝。下⾯主要介绍TCP和UDP端⼝:
(1)TCP端⼝
TCP端⼝,即传输控制协议端⼝,需要在客户端和服务器之间建⽴连接,这样可以提供可靠的数据传输。常见的包括FTP服务的21端
关闭135端口⼝,Telnet服务的23端⼝,SMTP服务的25端⼝,以及HTTP服务的80端⼝等等。
(2)UDP端⼝
UDP端⼝,即⽤户数据包协议端⼝,⽆需在客户端和服务器之间建⽴连接,安全性得不到保障。常见的有DNS服务的53端⼝,SNMP(简单⽹络管理协议)服务的161端⼝,QQ使⽤的8000和4000端⼝等等。
查看端⼝
在Windows 2000/XP/Server 2003中要查看端⼝,可以使⽤Netstat命令:
依次点击“开始→运⾏”,键⼊“cmd”并回车,打开命令提⽰符窗⼝。在命令提⽰符状态下键⼊“netstat -a -n”,按下回车键后就可以看到以数字形式显⽰的TCP和UDP连接的端⼝号及状态(如图)。
⼩知识:Netstat命令⽤法
命令格式:Netstat -a -e -n -o -s
-a 表⽰显⽰所有活动的TCP连接以及计算机监听的TCP和UDP端⼝。
-e 表⽰显⽰以太⽹发送和接收的字节数、数据包数等。
-n 表⽰只以数字形式显⽰所有活动的TCP连接的地址和端⼝号。
-o 表⽰显⽰活动的TCP连接并包括每个连接的进程ID(PID)。
-s 表⽰按协议显⽰各种连接的统计信息,包括端⼝号。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论