1433或者3389怎么用？

港口，先说说吧。这个东西主要是针对单系统或者单服务器的。网上有很多教程。先来看看原理和一些查看方法。

端口可以分为三类:

1)知名端口:从0到1023，与一些服务紧密绑定。通常，这些端口之间的通信清楚地表明某种服务协议。比如80端口其实一直都是HTTP通信。

2)注册端口:从1024到49151。它们松散地绑定到一些服务。换句话说，有许多服务绑定到这些端口，并且这些端口还用于许多其他目的。例如，许多系统处理大约1024的动态端口。

3)动态和/或专用端口:从49152到65535。理论上，这些端口不应该分配给服务。实际上，机器通常从1024分配动态端口。但是也有例外:SUN的RPC端口从32768开始。

本节描述防火墙记录中TCP/UDP端口扫描的信息。记住:没有ICMP端口这种东西。如果您对解释ICMP数据感兴趣，请参考本文的其他部分。0通常用于分析操作系统。这种方法之所以有效，是因为“0”在某些系统中是无效端口，当你试图用一个普通的封闭端口连接它时，会产生不同的结果。典型扫描:使用IP地址0.0.0.0，设置ACK位并在以太网层广播。1 tcpmux这说明有人在找SGIIrix机。Irix是实现tcpmux的主要提供者，在本系统中默认开启。Iris machine在发布时包含了几个默认的无密码账号，如LP、Guest、UUCP、NuUCP、Demos、Tutor、Diag、EzSetup、OutofBox、

和4d礼品。许多管理员在安装后忘记删除这些帐户。于是黑客在网上搜索tcpmux，使用这些账号。

7Echo你可以看到很多人在搜索Fraggle放大器时发送到x.x.x.0和x.x.x.255的消息。一种常见的DoS攻击是echo-loop，攻击者伪造从一台机器发送到另一台机器的UDP数据包，两台机器以最快的方式响应这些数据包。(见Chargen)另一件事是双击在word端口建立的TCP连接。有个产品叫共鸣全球调度，连接DNS的这个端口，确定最近的路由。Harvest/squid缓存将从端口3130发送UDPecho:“如果打开了缓存的source_ping on选项，它将向原始主机的UDP echo端口发送一个命中回复。”这将生成许多这样的数据包。

11 sysstat这是一个UNIX服务，列出了机器上所有正在运行的进程以及启动它们的原因。这就为入侵者提供了大量的信息，威胁到机器的安全，比如暴露一些已知的弱点或者账号。这类似于UNIX系统中“ps”命令的结果。再说一遍:ICMP没有端口，ICMP端口11通常是ICMP类型= 1119收费。这是一个只发送字符的服务。UDP版本会在收到UDP数据包后响应包含垃圾字符的数据包。TCP公司

连接后，包含垃圾字符的数据流将被发送，直到连接关闭。黑客可以利用IP欺骗发起DoS攻击，在两台chargen服务器之间伪造UDP。因为服务器试图响应两个服务器之间的无限往返数据通信，所以一个chargen和一个echo会使服务器过载。同样，fraggle DoS攻击会向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者会过载以响应这些数据。

21 ftp最常见的攻击者就是用来想办法打开“匿名”的ftp服务器。这些服务器有读写目录。黑客或攻击者利用这些服务器作为节点来传输warez(专有程序)和pr0n(故意拼错单词以避免被搜索引擎分类)。

22 sshPcAnywhere可能会在TCP和此端口之间建立连接来查找ssh。这项服务有许多弱点。如果以特定模式配置，很多使用RSAREF库的版本都有很多漏洞。(建议在其他端口上运行ssh)还应该注意，ssh工具包附带了一个名为ake-ssh-known-hosts的程序。它扫描整个域中的ssh主机。你有时会被使用这个程序的人无意中扫描。在另一端连接到端口5632的UDP(而不是TCP)意味着有一个搜索pcAnywhere的扫描。位交换后，5632(十六进制的0x1600)是0x0016(十进制的22)。

Telnet入侵者正在搜索远程登录UNIX的服务。在大多数情况下，入侵者会扫描该端口来查找机器上运行的操作系统。此外，利用其他技术，入侵者会找到密码。

SMTP攻击者(垃圾邮件制造者)寻找SMTP服务器来传递他们的垃圾邮件。入侵者的账户总是关闭的，他们需要拨号连接到一个高带宽的电子邮件服务器，向不同的地址发送简单的信息。SMTP服务器(尤其是sendmail)是最常用的进入系统的方式之一，因为它们必须完全暴露在互联网上，邮件的路由也很复杂(暴露+复杂=弱点)。

53 DNSHacker或黑客可能试图通过区域(TCP)，欺骗DNS(UDP)或隐藏其他通信。因此，防火墙通常会过滤或记录端口53。需要注意的是，您通常会将端口53视为UDP源端口。不稳定的防火墙通常允许这种通信，并认为这是对DNS查询的回复。黑客经常使用这种方法穿透防火墙。

67和68上的Bootp/DHCP Bootp和DHCPUDP:发送到广播地址255.255.255.255的大量数据经常可以通过DSL和cable-modem的防火墙看到。这些机器正在向DHCP服务器请求地址分配。黑客经常进入它们，分配一个地址，并把自己当作本地路由器来发动大量“中间人”攻击。客户端向68个端口广播请求配置(BOOTP)，服务器向67个端口广播响应请求(bootpc)。此响应使用广播，因为客户端不知道可以发送的IP地址。69 TFTP(UDP)很多服务器都是和bootp一起提供这个服务的，这样可以很容易的从系统下载启动代码。但是它们通常配置错误，并提供系统中的任何文件，如密码文件。它们也可以用于向系统写入文件。

79 finger Hacker用于获取用户信息，查询操作系统，检测已知缓冲区溢出错误，响应从自己机器到其他机器的手指扫描。

98 linuxconf这个程序提供了对linuxboxen的简单管理。通过集成的HTTP服务器在端口98上提供基于Web接口的服务。它发现了许多安全问题。某些版本的setuidroot信任LAN，在/tmp下创建Internet可访问的文件，LANG环境变量有缓冲区溢出。此外，由于它包含集成的服务器，许多典型的HTTP漏洞可能

能够存在(缓冲区溢出、目录遍历等。)109 POP2没有POP3出名，但是很多服务器都提供这两种服务(向后兼容)。在同一台服务器上，POP3的漏洞也存在于POP2中。

110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。至少有20个关于用户名和密码交换缓冲区溢出的弱点(这意味着黑客可以在实际登录之前进入系统)。成功登录后还有其他缓冲区溢出错误。

111 Sun RPC portmap RPC bind Sun RPC portmapper/RPC bind .访问端口映射程序是扫描系统以查看允许哪些RPC服务的最早步骤。常见的RPC服务包括:PC。NFS蒙特。statd，RPC。csmd，RPC。ttybd，AMD等。入侵者发现了允许的RPC服务将被转移到提供该服务的特定端口测试的漏洞。记得记录下

守护进程，入侵检测系统，或嗅探器，你可以找出什么程序入侵者正在使用访问，以找出发生了什么。

113身份验证。这是一种在许多机器上运行的协议，用于对TCP连接的用户进行身份验证。使用这个标准服务，您可以获得许多机器的信息(将被黑客使用)。但是它可以作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC。通常，如果许多客户通过防火墙访问这些服务，您会看到许多对此端口的连接请求。请记住，如果您阻止此端口，客户端将会感觉到与防火墙另一侧的电子邮件服务器的连接速度很慢。很多防火墙都支持在TCP连接的阻塞过程中发回T，试图阻止这一点。

慢速连接。

119 NNTP新闻新闻组传输协议，承载USENET通信。当您链接到诸如news:p.security.firewalls/之类的地址时，通常会使用此端口。这个端口的连接尝试通常是人们在寻找一个USENET服务器。大多数ISP只允许他们的客户访问他们的新闻组服务器。打开新闻组服务器将允许任何人张贴/阅读、访问受限的新闻组服务器、匿名张贴或发送垃圾邮件。

135 oc-servms RPC端点映射器Microsoft在此端口上运行DCE RPC端点映射器作为其DCOM服务。这类似于UNIX 111端口的功能。使用DCOM和/或RPC的服务向机器上的端点映射器注册它们的位置。遥远

当最终客户连接到机器时，他们会查询端点映射器找到服务的位置。同样，Hacker扫描机器的这个端口，以查找诸如以下内容:Exchange Server是否正在这台机器上运行？是什么版本？此端口不仅可用于查询服务(如使用epdump)，还可用于直接攻击。有一些针对此端口的DoS攻击。

137 NetBIOS名称服务nbtstat (UDP)这是防火墙管理员最常见的信息。请仔细阅读文章后面的NetBIOS section 139 NetBIOS文件和打印共享。

通过此端口进入的连接尝试获取NetBIOS/SMB服务。此协议用于Windows文件和打印机共享以及SAMBA。在网上共享自己的硬盘可能是最常见的问题。大量端口从1999开始，之后逐渐减少。它在2000年再次回升。一些VBS(IE5 VisualBasicScripting)开始将自己复制到这个端口，试图在这个端口进行繁殖。

143 IMAP和上面POP3的安全问题一样。很多IMAP服务器都有缓冲区溢出漏洞，在登录过程中进入。请记住:Linux蠕虫(admw0rm)将通过此端口传播，因此对此端口的许多扫描来自不知情的受感染用户。当RadHat在其Linux发行版中默认允许IMAP时，这些漏洞变得流行起来。这是自莫里斯蠕虫以来第一次广泛传播的蠕虫。此端口也用于IMAP2，但并不流行。一些报告发现，对端口0到143的一些攻击源自脚本。

SNMP (UDP)入侵者经常检测到的161端口。SNMP允许远程管理设备。所有配置和操作信息都存储在数据库中，可以通过SNMP客户端获得。许多管理员错误地配置了它们，使它们暴露在互联网上。黑客将尝试使用默认密码“public”和“private”访问系统。他们会尝试所有可能的组合。SNMP数据包可能被错误地定向到您的网络。由于配置错误，Windows机器通常使用SNMP作为HP JetDirect远程管理软件。HP对象标识符将接收SNMP数据包。新版Win98使用SNMP解析域名，你会看到这个包是cablemodem (DSL)在子网内查询sysName等字母。

休息。

162 SNMP陷阱可能是由于配置错误造成的。

177 xdmcp很多黑客通过它访问X-Windows控制台，它也需要开放6000个端口。

513 rwho可能是来自使用电缆调制解调器或DSL登录的子网中的UNIX计算机的广播。这些人为黑客提供了有趣的信息来访问他们的系统。

553 CORBA IIOP (UDP)如果你使用电缆调制解调器或DSL VLAN，你会看到这个端口的广播。CORBA是一个面向对象的RPC(远程过程调用)系统。黑客将利用这些信息进入系统。600 Pcserver后门，请检查端口1524。有些玩script的孩子，认为自己通过修改ingreslock和pcserver文件，已经彻底打破了系统——艾伦·j·罗森塔尔。

635 mountd Linux的Mountd Bug。这是人们扫描的一个流行的Bug。这个端口的扫描大部分是基于UDP的，但是基于TCP的mountd增加了(mountd同时运行在两个端口上)。记住，mountd可以在任何端口上运行(在哪个端口上，需要在端口111进行portmap查询)，但是Linux默认端口是635，就像2049年NFS一般运行在端口1024。很多人问这个端口是干什么用的？这是动态端口的开始。很多程序不在乎用哪个端口连接网络。他们请求操作系统给他们分配“下一个空闲端口”。基于此，分配从端口1024开始。这意味着向系统请求动态端口分配的第一个程序将被分配端口1024。要验证这一点，您可以重启机器，打开Telnet，然后打开一个窗口运行“natstat -a”，您将看到Telnet被分配了端口1024。请求的程序越多，动态端口就越多。操作系统分配的端口会逐渐变大。同样，当你浏览网页时，使用“netstat”来查看它们。每个网页都需要一个新的端口。？版本0.4.1，2000年6月20日/pubs/firewall-seen.html版权1998-2000作者:Robert Graham

(mailto:firewall-seen1@robertgraham.com。

版权所有本文档只能复制(全部或部分)用于非商业目的。所有复制品必须

包含本版权声明，不得修改，除非

作者的许可。

1025见1024。

1026见1024。

1080 SOCKS是一种管道穿越防火墙的协议，允许防火墙后面的很多人通过一个IP地址访问互联网。理论上，它应该只

允许内部通信到达互联网。但是，由于错误的配置，它将允许黑客/破解者在防火墙之外进行攻击

穿过防火墙。或者干脆在网上回复电脑，来掩盖他们对你的直接攻击。

WinGate是常见的Windows个人防火墙，经常会出现上述错误配置。加入IRC聊天室经常会看到这种情况。

1114 SQL系统本身很少扫描这个端口，但它往往是sscan脚本的一部分。

1243 Sub-7特洛伊(TCP)请参见第七小节。

1524 ingreslock后门很多攻击脚本都会在这个端口安装一个后门Sh*ll(尤其是那些针对Sun系统中Sendmail和RPC服务的漏洞的脚本，比如statd、ttdbserver和cmsd)。如果您刚刚安装了您的防火墙，并且您看到在这个端口上的连接尝试，它可能是上述原因。您可以尝试Telnet到您机器上的这个端口，看看它是否会给出一个Sh*ll。连接到600/pcserver也有这个问题。

2049 NFS NFS程序经常在这个端口上运行。通常情况下，您需要访问端口映射器，以找出该服务正在哪个端口上运行，但大多数情况下，安装后，NFS将失败。因此，Acker/Cracker可以关闭端口映射器并直接测试该端口。

3128 squid这是Squid HTTP代理服务器的默认端口。攻击者扫描该端口以搜索代理服务器并匿名访问互联网。您还会看到用于搜索其他代理服务器的端口:

000/8001/8080/8888。扫描该端口的另一个原因是用户正在进入聊天室。其他用户(或服务器本身)也会检查这个端口，以确定用户的机器是否支持代理。请参考第5.3节。

5632 pcAnywere根据您所在的位置，您将看到对此端口的多次扫描。当用户打开pcAnywere时，它会自动扫描局域网C类以找到可能的代理。骇客/骇客也会寻找开启这项服务的机器，所以您应该检查这项扫描的来源位址。一些搜索pcAnywere的扫描通常包含端口22上的UDP数据包。请参见拨号扫描。

6776 Sub-7神器该端口与Sub-7主端口分离，用于传输数据。例如，当控制器通过电话线控制另一台机器，而被控制的机器挂断时，您会看到这种情况。因此，当另一个人使用此IP拨入时，他们将会看到在此端口的持续连接尝试。(译者:当你看到防火墙报告这个端口的连接尝试，并不代表你已经被Sub-7控制了。)6970实音频

RealAudio客户端将在6970-7170从服务器的UDP端口接收音频数据流。这是TCP7070端口的传出控制连接设置。13223 PowWow PowWow是部落之声的聊天程序。它允许用户在此端口打开私人聊天连接。这个过程对于建立连接来说是非常“无礼”的。它将“驻扎”在这个TCP端口上，等待响应。这将导致类似于心跳间隔的连接尝试。如果你是拨号用户，从另一个聊天中“继承”了IP地址，就会出现这种情况:似乎有很多不同的人在测试这个端口。该协议使用“OPNG”作为其连接尝试的前四个字节。

17027导体这是一个传出连接。这是因为公司内部有人安装了有助于“广告机器人”的共享软件。

行为“广告机器人”是为共享软件展示广告服务。使用这项服务的一个流行软件是Pkware。有些人试图阻止这种出站连接没有任何问题，但阻止IP地址本身会导致adbots每秒钟继续尝试连接多次，从而导致连接过载:

机器会不断尝试解析DNS name-ads.conducent.com，即IP地址为216 . 33 . 26438+00.40；

216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知道NetAnts用的Radiate是否也有这种现象)

27374子7特洛伊(TCP)请参见第七小节。

30100网络层特洛伊(TCP)通常，会扫描此端口以查找网络层特洛伊。

31337背孔“精英黑客”31337读作“精英”/ei 'li: t/(译者:法语，译为骨干，精华。即3=E，1=L，7=T)。如此多的后门程序在这个端口上运行。其中最著名的是背孔。曾经，这是互联网上最常见的扫描。现在它的受欢迎程度越来越低，而其他特洛伊节目却越来越受欢迎。

端口31789 Hack-a-tack上的UDP通信通常是由于“Hack-a-tack”远程访问特洛伊造成的。这个特洛伊包含一个内置的31790端口扫描器，所以任何从31789端口到317890端口的连接都意味着这个入侵已经发生。(端口31789为控制连接，端口317890为文件传输连接)。

32770~32900 RPC服务Sun Solaris的RPC服务就在这个范围内。详细来说，早期版本的Solaris(2 . 5 . 1之前)将端口映射器置于此范围内，即使低端端口被防火墙阻止，黑客/破解者也可以访问此端口。对该范围内的端口进行扫描，以查找可能受到攻击的端口映射程序或已知的RPC服务。

33434~33600 traceroute如果在此端口范围内(且仅在此范围内)看到UDP数据包，可能是由于traceroute。请参见traceroute。

41508 Inoculan的早期版本会在子网中产生大量的UDP通信来识别对方。看见

Pid过程端口原始路径

748 tcpsvcs->；7 TCP C:\ tcpsvcs.exe WINNT \ System32 \

748 tcpsvcs->；9 TCP C:\ WINNT \ System32 \ tcpsvcs . exe

748 tcpsvcs->；19 TCP C:\ WINNT \ System32 \ tcpsvcs . exe

416 svchost->；135 TCP C:\ WINNT \ system32 \ svchost . exe

是不是一目了然？现在，每个端口上打开的程序就在你的眼皮底下。如果发现可疑程序打开了可疑端口，千万不要大意。也许它是一匹狡猾的特洛伊马！

Fport的最新版本是2.0。很多网站都有下载，但是为了安全起见，当然最好去它的老家:/knowledge/zips/fport.zip。

3.Active Ports，一个与Fport功能相似的图形界面工具。

Active Ports由SmartLine生产，可用于监控计算机的所有开放TCP/IP/UDP端口。不仅可以显示你的所有端口，还可以显示所有端口对应的程序所在的路径，以及本地IP和远程IP(尝试连接你的电脑IP)是否处于活动状态。

更好的是，它还提供了关闭端口的功能。当你用它找到特洛伊的开放端口时，你可以立即关闭这个端口。该软件在Windows NT/2000/XP平台下运行。可以在stat命令中增加一个O参数，使用这个参数可以得到端口和进程的对应关系。

以上介绍了几种查看本机开放端口以及端口与进程对应关系的方法。通过这些方法，你可以很容易的找到基于TCP/UDP协议的木马，希望能给你喜欢的机器带来帮助。但是要注意防范特洛伊马，如果遇到反弹港特洛伊马，使用驱动和动态链接库技术制作的新特洛伊马，这些方法很难查出特洛伊马的踪迹。所以一定要养成良好的上网习惯，不要随意运行邮件中的附件，安装一套杀毒软件。比如中国的瑞星，是查杀病毒木马的好帮手。用杀毒软件检查一下从网上下载的软件再用。上网时打开网络防火墙和实时病毒监控，保护您的机器免受可恶木马的入侵。

如何关闭端口

每个服务对应一个相应的端口。比如我们都知道，WWW服务的端口是80，smtp是25，ftp是21，这些服务在win2000安装中是默认开启的。个人用户真的没必要。关闭端口意味着关闭无用的服务。在控制面板“管理工具”的“服务”中。

1，关闭7.9等端口:关闭简单TCP/IP服务，支持以下TCP/IP服务:字符生成器、日间、丢弃、回显、当日报价。

2.关闭80端口:关闭WWW服务。“服务”中显示的名称是“万维网发布服务”，它通过Internet信息服务的管理单元提供Web连接和管理。

3.关闭端口25:关闭简单邮件传输协议(SMTP)服务，该服务提供跨网络发送电子邮件的功能。

4.关闭端口21:关闭FTP发布服务，通过互联网信息服务管理单元提供FTP连接和管理。

5.关闭端口23:关闭Telnet服务，该服务允许远程用户登录到系统并使用命令行运行控制台程序。

6.关闭提供RPC支持、文件、打印和命名管道共享的服务器服务也非常重要。关闭它会关闭win2k的默认共享，比如ipc$、c$、admin$等。关闭此服务不会影响您的共享操作。

7.另一个端口是139，这是一个NetBIOS会话端口，用于文件和打印共享。注意，运行samba的unix机器也开了139端口，功能相同。以前流光2000对对方主机类型的判断不是很准确。估计是139端口开了，被认为是NT机，现在还好。关闭139监听的方法是在网络和拨号连接中选择局域网连接中的互联网协议(TCP/IP)属性，进入高级TCP/IP设置和WINS设置，有一项“禁用TCP/IP的NETBIOS”，然后打勾关闭139端口。对于个人用户，可以在各种服务属性设置中设置为“禁用”，避免下次重启服务打开端口。

几种端口的秘密入侵方法

利用“http隐藏通道”大规模突破局域网

什么是http隐藏通道？什么是局域网安全，一个系统管理员如何保证局域网的安全？这是一个不断变化的安全概念。长期以来，通过在局域网与外界的互联处放置防火墙，严格控制开放的端口，可以在很大程度上掌握安全的主动权，方便地控制网络内外用户可以使用的服务。比如防火墙上只开放80和53端口，那么内外的恶意者将无法使用一些已经被证明更加危险的服务。