公共端口

服务:保留

描述:通常用于分析操作系统。这种方法之所以有效，是因为“0”在某些系统中是无效端口，当你试图将其与通常关闭的端口连接时，会产生不同的结果。典型的扫描使用IP地址0.0.0.0，设置ACK位并在以太网层广播。

端口:1

服务:tcpmux

描述:这说明有人在找SGI Irix机。Irix是实现tcpmux的主要提供者，在这个系统中默认情况下是打开的。Irix机在发布时包含了几个默认的无密码账号，比如:IP，客UUCP，NUUCP，DEMOS，TUTOR，DIAG，OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。于是黑客在网上搜索tcpmux，使用这些账号。

端口:7

服务:回声

描述:在搜索Fraggle放大器的时候可以看到很多人发给X.X.X.0和X.X.X.255的信息。

端口:19

服务:字符生成器

描述:这是一个只发送字符的服务。UDP版本会在收到UDP数据包后响应包含垃圾字符的数据包。当TCP连接时，它会发送包含垃圾字符的数据流，直到连接关闭。黑客可以利用IP欺骗发起DoS攻击。伪造两台chargen服务器之间的UDP数据包。同样，Fraggle DoS攻击会向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者会过载以响应这些数据。

端口:21

服务:FTP

描述:FTP服务器打开的端口用于上传和下载。最常见的攻击者是用来寻找打开anonymous的FTP服务器的方法。这些服务器有读写目录。特洛伊木马Doly特洛伊，Fore，隐形FTP，WebEx，WinCrash和银翼杀手打开的端口。

端口:22

服务:Ssh

描述:PcAnywhere建立的TCP和这个端口的连接可能是为了找ssh。这项服务有许多弱点。如果在特定模式下配置，很多使用RSAREF库的版本会有很多漏洞。

端口:23

服务:Telnet

描述:远程登录，入侵者正在搜索远程登录UNIX的服务。大多数情况下，扫描这个端口是为了找到机器运行的操作系统。并且利用其他技术，入侵者也会找到密码。特洛伊微型Telnet服务器打开这个端口。

端口:25

服务:SMTP

描述:SMTP服务器打开的端口用于发送邮件。入侵者正在寻找SMTP服务器来发送他们的垃圾邮件。入侵者的帐户被关闭，他们需要连接到一个高带宽的电子邮件服务器，将简单的信息发送到不同的地址。特洛伊马抗原、电子邮件密码发送器、Haebu Coceda、Shtrilitz Stealth、WinPC和WinSpy都打开此端口。

端口:31

服务:消息认证

描述:特洛伊大师乐园和黑客乐园开放此端口。

端口:42

服务:WINS复制

描述:WINS复制

端口:53

服务:域名服务器(DNS)

描述:对于DNS服务器打开的端口，入侵者可能试图传递TCP，欺骗DNS(UDP)或隐藏其他通信。因此，防火墙通常会过滤或记录该端口。

港口:67

服务:引导协议服务器

描述:发送到广播地址255.255.255.255的大量数据，往往是通过DSL和Cable modem的防火墙看到的。这些机器正在向DHCP服务器请求地址。黑客经常进入它们，分配一个地址，并把自己当作本地路由器来发动大量中间人攻击。客户端将请求配置广播到端口68，服务器将响应请求广播到端口67。此响应使用广播，因为客户端不知道可以发送的IP地址。

港口:69

服务:繁琐的文件传输

描述:很多服务器都是和bootp一起提供这个服务的，可以很方便的从系统下载启动代码。但是由于配置错误，它们经常允许入侵者从系统中窃取任何文件。它们也可以用于系统写文件。

端口:79

服务:手指服务器

描述:入侵者用于获取用户信息，查询操作系统，检测已知的缓冲区溢出错误，响应从自己机器到其他机器的手指扫描。

端口:80

服务:HTTP

描述:用于网页浏览。特洛伊执行者号打开了这个港口。

端口:99

服务:元语法中继

描述:后门程序ncx99打开此端口。

端口:102

服务:消息传输代理(MTA)-TCP/IP上的x.400。

描述:消息传输代理。

端口:109

服务:邮局协议-版本3

描述:POP3服务器打开该端口接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出至少有20个弱点，这意味着入侵者可以在实际登录之前进入系统。成功登录后还有其他缓冲区溢出错误。

端口:110

服务:SUN的RPC服务的所有端口。

描述:常见的RPC服务包括rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等。

端口:113

服务:认证服务

描述:这是一个在许多计算机上运行的协议，用于识别TCP连接的用户。使用此标准服务可以获得许多计算机的信息。但是它可以作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC。通常，如果许多客户通过防火墙访问这些服务，他们会看到许多对此端口的连接请求。请记住，如果您阻止此端口，客户端将会感觉到与防火墙另一侧的电子邮件服务器的连接速度很慢。许多防火墙支持在TCP连接的阻塞过程中发送回RST。这将停止慢速连接。

端口:119

服务:网络新闻传输协议

描述:新闻新闻组传输协议，承载USENET通信。这个端口的连接通常是在人们寻找一个USENET服务器的时候。大多数ISP只允许他们的客户访问他们的新闻组服务器。打开新闻组服务器将允许任何人张贴/阅读、访问受限的新闻组服务器、匿名张贴或发送垃圾邮件。

端口:135

服务:定位服务

描述:Microsoft在此端口上运行DCE RPC端点映射器作为其DCOM服务。这类似于UNIX 111端口的功能。使用DCOM和RPC的服务向计算机上的端点映射器注册它们的位置。当远程客户连接到计算机时，他们会寻找端点映射器找到服务的位置。黑客会扫描计算机的这个端口来查找这台计算机上运行的Exchange Server吗？什么版本？还有一些针对此端口的DOS攻击。

端口:137、138、139

服务:NETBIOS名称服务

注:其中137和138为UDP端口，通过网上邻居传输文件时使用。和端口139:通过该端口进入的连接试图获得NetBIOS/SMB服务。此协议用于windows文件和打印机共享以及SAMBA。WINS Regisrtation也使用它。

端口:143

服务:临时邮件访问协议v2。

描述:和POP3的安全问题一样，很多IMAP服务器都存在缓冲区溢出漏洞。请记住:LINUX蠕虫(admv0rm)将通过此端口传播，因此对此端口的许多扫描都来自不知情的受感染用户。当REDHAT在其LINUX发行版中默认允许IMAP时，这些漏洞变得流行起来。此端口也用于IMAP2，但并不流行。

端口:161

服务:SNMP

描述:SNMP允许远程管理设备。所有配置和操作信息都存储在数据库中，可以通过SNMP获得。很多管理员的错误配置都会在网上曝光。Cackers将尝试使用默认密码public和private访问系统。他们会尝试所有可能的组合。SNMP数据包可能被错误地指向用户的网络。

端口:177

服务:X显示管理器控制协议

描述:很多入侵者通过它访问X-windows控制台，它需要同时打开6000个端口。

端口:389

服务:LDAP、ILS

描述:轻型目录访问协议和NetMeeting Internet定位器服务器* * *使用此端口。

端口:443

服务:Https

描述:网页浏览端口，另一个可以通过安全端口提供加密和传输的HTTP。

端口:456

服务:[空]

特洛伊黑客天堂开放该端口。

端口:513

服务:登录、远程登录

描述:它是来自使用电缆调制解调器或DSL登录到子网的UNIX计算机的广播。这些人为入侵者进入他们的系统提供信息。

端口:544

服务:[空]

描述:kerberos kshell

端口:548

服务:Macintosh，文件服务(AFP/IP)

描述:麦金塔，文件服务。

端口:553

服务:CORBA IIOP (UDP)

描述:使用电缆调制解调器、DSL或VLAN来查看此端口的广播。CORBA是一个面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口:555

服务:DSF

描述:特洛伊马PhAse1.0，隐形间谍和IniKiller打开这个端口。

端口:568

服务:会员DPA

说明:成员资格DPA。

端口:569

服务:会员MSN

描述:会员MSN。

端口:635

服务:安装d

描述:Linux的mountd Bug。这是扫描中的一个常见错误。这个端口的扫描大部分是基于UDP的，但是基于TCP的mountd增加了(mountd同时运行在两个端口上)。记住mountd可以运行在任何端口上(是哪个端口，需要在端口111上进行portmap查询)，但是Linux的默认端口是635，就像NFS一般运行在端口2049上一样。

端口:636

服务:LDAP

描述:SSL(安全套接字层)

端口:666

服务:Doom Id软件

描述:特洛伊攻击FTP和Satanz后门开放此端口。

端口:993

服务:IMAP

描述:SSL(安全套接字层)

端口:1001，1011

服务:[空]

描述:特洛伊消音器和WebEx开放端口1001。特洛伊开放口岸1011。

端口:1024

服务:保留

描述:它是动态端口的开始。很多程序不在乎用哪个端口连接网络。他们请求系统为他们分配下一个空闲端口。基于此，分配从端口1024开始。这意味着第一个向系统发送请求的人将被分配到端口1024。你可以重启机器，打开Telnet，然后打开一个窗口运行natstat -a，你会看到Telnet被分配了端口1024。而SQL会话也使用这个端口和5000端口。

端口:1025，1033

服务:1025:网络黑杰克1033:[空]

描述:特洛伊netspy开放这两个端口。

端口:1080

服务:袜子

描述:该协议以隧道方式穿越防火墙，允许防火墙后的人通过一个IP地址访问互联网。理论上，它应该只允许内部通信到达互联网。但由于配置错误，会让防火墙外的攻击穿过防火墙。WinGate经常犯这种错误，在加入IRC聊天室的时候经常看到。

端口:1170

服务:[空]

描述:特洛伊流音频特洛伊，Psyber流服务器和语音打开此端口。

端口:1234，1243，6711，6776

服务:[空]

描述:特洛伊和奥特斯特洛伊开放端口1234和6776。特洛伊Subeven1.0/1.9打开端口1243、6711和6776。

端口:1245

服务:[空]

描述:特洛伊·沃杜打开了这个港口。

端口:1433

服务:SQL

描述:Microsoft SQL服务开放端口。

端口:1492

服务:石材-设计-1

描述:特洛伊FTP99CMP打开这个端口。

端口:1500

服务:RPC客户端固定端口会话查询。

描述:RPC客户端固定端口会话查询

端口:1503

服务:NetMeeting T.120

描述:网络会议T.120

端口:1524

服务:入口

描述:很多攻击脚本都会在该端口安装后门外壳，尤其是针对SUN系统中Sendmail和RPC服务的漏洞。如果您在安装防火墙后看到有人试图连接此端口，很可能是上述原因。您可以尝试Telnet到用户计算机上的这个端口，看看它是否会给您一个SHELL。连接到600/pcserver也有这个问题。

端口:1600

服务:issd

描述:特洛伊·什夫卡-布尔卡打开这个港口。

端口:1720

服务:NetMeeting

描述:NetMeeting H.233呼叫设置。

端口:1731

服务:NetMeeting音频呼叫控制

描述:NetMeeting音频呼叫控制。

端口:1807

服务:[空]

描述:特洛伊·斯皮森德打开这个端口。

端口:1981

服务:[空]

描述:特洛伊冲击打开这个港口。

端口:1999

服务:思科识别端口

描述:特洛伊后门开放该端口。

港口:2000年

服务:[空]

描述:特洛伊女友1.3和千禧1.0打开此端口。

端口:2001

服务:[空]

描述:特洛伊千禧1.0和特洛伊奶牛开放此端口。

港口:2023

服务:xinuexpansion 4

描述:特洛伊通行证裂土器打开这个港口。

港口:2049

服务:NFS

描述:NFS程序经常在这个端口上运行。您通常需要访问端口映射器，以找出该服务运行在哪个端口上。

端口:2115

服务:[空]

描述:特洛伊臭虫打开这个端口。

端口:2140，3150

服务:[空]

描述:特洛伊深喉1.0/3.0开启此端口。

港口:2500

服务:使用固定端口会话复制的RPC客户端。

描述:应用固定端口会话复制的RPC客户端。

端口:2583

服务:[空]

描述:特洛伊Wincrash 2.0打开这个端口。

端口:2801

服务:[空]

描述:特洛伊·菲尼亚斯·普克打开了这个港口。

端口:3024、4092

服务:[空]

描述:特洛伊·温彻斯特打开这个端口。

端口:3128

服务:鱿鱼

描述:这是squid HTTP代理服务器的默认端口。攻击者扫描该端口以搜索代理服务器并匿名访问互联网。您还会看到端口8000、8001、8080和8888正在搜索其他代理服务器。扫描该端口的另一个原因是用户正在进入一个聊天室。其他用户也会检查此端口，以确定用户的机器是否支持代理。

端口:3129

服务:[空]

描述:特洛伊大师乐园开放此港口。

端口:3150

服务:[空]

描述:特洛伊入侵者打开了这个港口。

端口:3210，4321

服务:[空]

描述:特洛伊校车开通此端口。

端口:3333

服务:详细说明

描述:特洛伊马普罗西亚克开放这个港口。

端口:3389

服务:超级终端

描述:WINDOWS 2000终端打开此端口。

端口:3700

服务:[空]

描述:特洛伊毁灭之门打开了这个港口。

端口:3996、4060

服务:[空]

描述:特洛伊远程任何东西打开这个端口。

端口:4000

服务:QQ客户端

说明:腾讯QQ客户端开放该端口。

端口:4092

服务:[空]

描述:特洛伊·温彻斯特打开这个端口。

端口:4590

服务:[空]

描述:特洛伊ICQTrojan开放这个港口。

端口:5000，5001，5321，50505

服务:[空]

描述:特洛伊blazer5开放5000个端口。特洛伊插座公司开放端口5000、5001、5321和50505。

端口:5400，5401，5402

服务:[空]

描述:特洛伊银翼杀手打开这个端口。

端口:5550

服务:[空]

描述:特洛伊xtcp打开这个端口。

端口:5569

服务:[空]

描述:特洛伊机器人黑客打开这个端口。

端口:5632

服务:pcAnywere

注意:有时你会看到这个端口的许多扫描，这取决于用户的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网络，寻找可能的代理(这里的代理是指代理而不是代理)。入侵者也会寻找开启这项服务的电脑。所以你应该检查这个扫描的源地址。一些搜索pcAnywere的扫描数据包通常包含端口22上的UDP数据包。

端口:5742

服务:[空]

描述:特洛伊WinCrash1.03打开此端口。

端口:6267

服务:[空]

描述:木马对广外女生开放此端口。

端口:6400

服务:[空]

描述:特洛伊东西开放这个港口。

端口:6670，6671

服务:[空]

描述:特洛伊深喉开放6670端口。而深喉3.0开放端口6671。

端口:6883

服务:[空]

描述:特洛伊三角洲开放这个港口。

端口:6969

服务:[空]

描述:特洛伊不速之客和优先开放此端口。

端口:6970

服务:实时音频

描述:RealAudio客户端将从服务器6970-7170的UDP端口接收音频数据流。这由TCP-7070端口的传出控制连接设置。

端口:7000

服务:[空]

描述:特洛伊远程抓取打开这个端口。

端口:7300、7301、7306、7307和7308。

服务:[空]

描述:特洛伊网络监视器打开这个端口。此外，NetSpy1.0还开放7306端口。

端口:7323

服务:[空]

描述:Sygate服务器端。

端口:7626

服务:[空]

描述:特洛伊·吉斯尔打开了这个港口。

端口:7789

服务:[空]

描述:特洛伊·伊科勒打开了这个端口。

端口:8000

服务:OICQ

描述:腾讯QQ服务器开放该端口。

端口:8010

服务:温盖特

描述:Wingate代理打开此端口。

端口:8080

服务:代理端口

描述:WWW代理打开此端口。

端口:9400，9401，9402

服务:[空]

描述:特洛伊政府1.0开放此端口。

端口:9872、9873、9874、9875、10067、10167

服务:[空]

描述:特洛伊毁灭之门打开了这个港口。

端口:9989

服务:[空]

描述:特洛伊iNi-黑仔开放这个港口。

端口:11000

服务:[空]

描述:特洛伊·森纳斯比打开这个港口。

端口:11223

服务:[空]

描述:特洛伊基因木马开放此端口。

端口:12076，61466

服务:[空]

描述:特洛伊远程命令打开此端口。

端口:12223

服务:[空]

描述:特洛伊黑客' 99键盘记录打开这个端口。

端口:12345，12346

服务:[空]

描述:特洛伊网络总线1.60/1.70，GabanBus开放此端口。

端口:12361

服务:[空]

描述:特洛伊打地鼠打开了这个端口。

端口:13223

服务:祈祷仪式

描述:PowWow是一个部落声音的聊天程序。它允许用户在此端口打开私人聊天连接。这个程序在建立连接方面非常激进。它将驻留在这个TCP端口上，等待响应。导致类似于心跳间隔的连接请求。如果一个拨号用户从另一个chatter继承了一个IP地址，将会出现许多不同的人正在测试这个端口的情况。该协议使用OPNG作为其连接请求的前4个字节。

端口:16969

服务:[空]

描述:特洛伊优先开放此端口。

端口:17027

服务:售票员

描述:这是一个传出连接。这是因为公司内部有人安装了有助于“adbot”的* * *享受软件。有助于* * *享受软件展示广告服务。使用这项服务的一个流行软件是Pkware。

端口:19191

服务:[空]

描述:特洛伊蓝色火焰打开这个港口。

端口:20000，20001

服务:[空]

描述:特洛伊千禧开启此端口。

端口:20034

服务:[空]

描述:特洛伊网络总线专业版打开这个端口。

端口:21554

服务:[空]

描述:特洛伊女友打开此端口。

端口:22222

服务:[空]

描述:特洛伊马普罗西亚克开放这个港口。

端口:23456

服务:[空]

描述:特洛伊邪恶的FTP和丑陋的FTP开放此端口。

端口:26274、47262

服务:[空]

描述:特洛伊三角洲开放这个港口。

端口:27374

服务:[空]

描述:特洛伊Subeven 2.1开放此端口。

端口:30100

服务:[空]

描述:特洛伊网络空间打开这个端口。

端口:30303

服务:[空]

描述:特洛伊Socket23打开这个端口。

端口:30999

服务:[空]

说明:匡开埠。

端口:31337，31338

服务:[空]

描述:特洛伊博(后孔)打开此端口。此外，特洛伊深港还开放31338口岸。

端口:31339

服务:[空]

描述:特洛伊NetSpy DK开放此端口。

端口:31666

服务:[空]

描述:特洛伊·鲍克打开这个端口。

端口:33333

服务:[空]

描述:特洛伊马普罗西亚克开放这个港口。

端口:34324

服务:[空]

描述:木马Tiny Telnet服务器，BigGluck和TN开放此端口。

端口:40412

服务:[空]

描述:间谍特洛伊·霍斯打开了这个港口。

端口:40421，40422，40423，40426，

服务:[空]

描述:特洛伊大师天堂打开这个港口。

端口:43210，54321

服务:[空]

描述:特洛伊校车1.0/2.0开通此端口。

端口:44445

服务:[空]

描述:特洛伊Happypig开放此端口。

端口:50766

服务:[空]

描述:特洛伊开放了这个港口。

端口:53001

服务:[空]

描述:特洛伊远程Windows关机打开此端口。

港口:65000

服务:[空]

描述:特洛伊魔鬼1.03打开此端口。

端口:88

描述:Kerberos krb5。此外，TCP的端口88也用于此目的。

端口:137

描述:其他协议上的SQL命名管道加密名称查找。和SQL RPC encryption over other protocols name lookup，Wins NetBT name service(Wins NetBT proxy)都使用这个端口。

端口:161

描述:简单网络管理协议(SMTP)。

端口:162

描述:SNMP陷阱(SNMP陷阱)

端口:445

描述:通用互联网文件系统(CIFS)(公共* * *互联网文件系统)

端口:464

描述:Kerberos kpasswd(v5)。此外，TCP的464端口也用于此目的。

港口:500

描述:互联网密钥交换(ike)(互联网密钥交换)

端口:1645，1812

描述:远程身份验证拨入用户服务(radius)身份验证(路由和远程访问)。

端口:1646，1813

描述:radius记帐(路由和远程访问)。

端口:1701

描述:第二层隧道协议(L2TP)(第二层隧道协议)

端口:1801，3527

描述:Microsoft消息队列服务器。而TCP的135，1801，2101，2103，2105也是出于同样的目的。

端口:2504

描述:网络负载平衡(网络负载平衡)