端口的基本知识讲授[Windows安全]

    端口可分为3大类:

    1） 公认端口（Well Known Ports）:从0到1023,它们精密绑定于一些服务.普通这些端口的通讯明确表明了某种服务的协议.比方:80端口实际上老是HTTP通讯.

    2） 注册端口（Registered Ports）:从1024到49151.它们疏松地绑定于一些服务.也就是说有很多服务绑定于这些端口,这些端口一样用于很多别的目的.比方:很多系统处理动态端口从1024左右开始.

    3） 动态和/或私有端口（Dynamic and/or Private Ports）:从49152到65535.理论上,不该为服务分配 这些端口.实际上,机械普通从1024起分配动态端口.但也有例外:SUN的RPC端口从32768开始.

    0 普通用于解析操作系统.这一办法可以工作是因为在一些系统中“0”是无效端口,当你试牟利用一 种普通的闭合端口衔接它时将产生差别的后果.一种典型的扫描:利用IP地址为0.0.0.0,设置ACK位并在以 太网层广播.

    1 tcpmux 这显示有人在探求SGI Irix机械.Irix是实现tcpmux的主要供应者,缺省情形下tcpmux在这种系统中被翻开.Iris机械在公布时含有几个缺省的无密码的帐户,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts.很多管理员安装后忘掉删除这些帐户.因此Hacker们在Internet上搜索tcpmux并操纵这些帐户.

    7 Echo 你能看到很多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息.

    常见的一种DoS攻击是echo循环（echo-loop）,攻击者假造从一个机械发送到另一个机械的UDP数据包,而两个机械辨别以它们最快的方法回应这些数据包.（拜见Chargen）

    另一种东西是由DoubleClick在词端口成立的TCP衔接.有一种产品叫做“Resonate Global Dispatch”,它与DNS的这一端口衔接以肯定近来的路由.

    Harvest/squid cache将从3130端口发送UDP echo:“假如将cache的source_ping on选项翻开,它将对原始主机的UDP echo端口回应一个HIT reply.”这将会产生很多这类数据包.

    11 sysstat 这是一种UNIX服务,它会列出机械上全部正在运行的进程以及是什么启动了这些进程.这为入侵者供应了很多信息而威胁机械的安全,如表露已知某些弱点或帐户的程序.这与UNIX系统中“ps”号令的后果类似

    再说一遍:ICMP没有端口,ICMP port 11普通是ICMP type=11

    19 chargen 这是一种仅仅发送字符的服务.UDP版本将会在收到UDP包后回应含有垃圾字符的包.TCP衔接时,会发送含有垃圾字符的数据流知道衔接关闭.Hacker操纵IP拐骗可以策动DoS攻击.假造两个chargen服务器之间的UDP包.由于服务器计划回应两个服务器之间的无限的往复数据通讯一个chargen和echo将招致服务器过载.一样fraggle DoS攻击向目标地址的这个端口广播一个带有假造受害者IP的数据包,受害者为了回应这些数据而过载.

    21 ftp 最常见的攻击者用于探求翻开“anonymous”的ftp服务器的办法.这些服务器带有可读写的目录.Hackers或Crackers 操纵这些服务器作为传送warez (私有程序) 和pr0n(成心拼错词而避免被搜索引擎分类)的节点.

    22 ssh PcAnywhere成立TCP和这一端口的衔接大概是为了探求ssh.这一服务有很多弱点.假如配置成特定的情势,很多利用RSAREF库的版本有不少漏洞.（倡议在别的端口运行ssh）

    还应当注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序.它会扫描整个域的ssh主机.你有时会被利用这一程序的人无意中扫描到.

    UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描.5632（十六进制的0x1600）位交换后是0x0016（使进制的22）.

    23 Telnet 入侵者在搜索远程登陆UNIX的服务.大大都情形下入侵者扫描这一端口是为了找到机械运行的操作系统.此外利用别的技术,入侵者会找到密码.

    25 smtp 攻击者（spammer）探求SMTP服务器是为了传送他们的spam.入侵者的帐户总被关闭,他们需求拨号衔接到高带宽的e-mail服务器上,将简单的信息传送到差别的地址.SMTP服务器（特别是sendmail）是进入系统的最常用办法之一,因为它们必须完好的表露于Internet且邮件的路由是复杂的（表露+复杂=弱点）.

    53 DNS Hacker或crackers大概是试图举行区域传送（TCP）,拐骗DNS（UDP）或躲藏别的通讯.因此防火墙常常过滤或记录53端口.

    需求注意的是你常会看到53端口做为UDP源端口.不安定的防火墙普通答应这种通讯并假定这是对DNS查询的答复.Hacker常利用这种办法穿透防火墙.

    67和68 Bootp和DHCP UDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会瞥见大量发送到广播地址255.255.255.255的数据.这些机械在向DHCP服务器恳求一个地址分配.Hacker常进入它们分配一个地址把自己作为部分路由器而发动大量的“中间人”（man-in-middle）攻击.客户端向68端口（bootps）广播恳求配置,服务器向67端口（bootpc）广播回应恳求.这种回应利用广播是因为客户端还不知道可以发送的IP地址.

    69 TFTP(UDP) 很多服务器与bootp一同供应这项服务,便于从系统下载启动代码.但是它们常常错误配置而从系统供应任何文件,如密码文件.它们也可用于向系统写入文件.

    79 finger Hacker用于得到用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机械到别的机械finger扫描.

    98 linuxconf 这个程序供应linux boxen的简单管理.通过整合的HTTP服务器在98端口供应基于Web界面的服务.它已发现有很多安全问题.一些版本setuid root,信任局域网,在/tmp下成立Internet可拜候的文件,LANG环境变量有缓冲区溢出.此外因为它包含整合的服务器,很多典型的HTTP漏洞大概存在（缓冲区溢出,历遍目录等）
　　以上是“端口的基本知识讲授[Windows安全]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：