2012年2月23日 星期四

TCP/UDP Port numbers 埠號列表

IANA(The Internet Assigned Numbers Authority)的網站有埠號清單,不過沒有整理,
相對的維基百科的內容就整理得比較好一些,中文(沒翻譯完)連結英文連結

另外網路上看到有加註解的,為避免從此淹沒網海,借來收錄於此如下。

Port UDP TCP Service/Program Description
1     tcpmux 說明這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者,默認情況下tcpmux在這種系統中被打開。
Irix機器在發佈是含有幾個默認的無密碼的帳戶,如:IPGUEST UUCPNUUCPDEMOS TUTORDIAGOUTOFBOX
等。
許多管理員在安裝後忘記刪除這些帳戶。因此
HACKERINTERNET上搜索tcpmux並利用這些帳戶。
7     Echo  說明能看到許多人搜索Fraggle放大器時,發送到X.X.X.0和X.X.X.255的信息。
19     Character Generator  說明這是一種僅僅發送字元的服務。UDP版本將會在收到UDP包後回應含有垃圾字元的包。TCP連接時會發送含有垃圾字元的資料流程直到連接關閉。
HACKER利用IP欺騙可以發動DoS攻擊。偽造兩個chargen伺服器之間的UDP
包。
同樣
Fraggle DoS攻擊向目標位址的這個埠廣播一個帶有偽造受害者IP的資料包,受害者為了回應這些資料而超載。
20   V FTP  
21   V FTP 說明FTP伺服器所開放的埠,用於上傳、下載。最常見的攻擊者用於尋找打開anonymousFTP伺服器的方法。這些伺服器帶有可讀寫的目錄。
木馬
Doly TrojanForeInvisible FTPWebExWinCrashBlade Runner所開放的埠。 
22     Ssh 說明PcAnywhere建立的TCP和這一埠的連接可能是為了尋找ssh
這一服務有許多弱點,如果配置成特定的模式,許多使用
RSAREF庫的版本就會有不少的漏洞存在。
23   V Telnet 說明遠端登錄,入侵者在搜索遠端登錄UNIX的服務。大多數情況下掃描這一埠是為了找到機器運行的作業系統。
還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個埠。
25   V SMTP 說明SMTP伺服器所開放的埠,用於發送郵件。入侵者尋找SMTP伺服器是為了傳遞他們的SPAM。
入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL伺服器上,將簡單的資訊傳遞到不同的位址。
木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠。 
31     MSG Authentication  木馬Master Paradise、Hackers Paradise開放此埠。
42 V V WINS 複寫  
47     GRE,一般路由壓縮 (使用 PPTP)  
50     IPSec ESP,壓縮式的安全性有效負荷  
51     IPSec AH,驗證標頭  
53 V V DNS  
67     Bootstrap Protocol Server  通過DSL和Cable modem的防火牆常會看見大量發送到廣播位址255.255.255.255的資料。這些機器在向DHCP伺服器請求一個位址。
HACKER常進入它們,分配一個位址把自己作為局部路由器而發起大量中間人(man-in-middle)攻擊。
用戶端向68埠廣播請求配置,伺服器向67埠廣播回應請求。
這種回應使用廣播是因為用戶端還不知道可以發送的IP位址。
69     Trival File Transfer  許多伺服器與bootp一起提供這項服務,便於從系統下載啟動代碼。但是它們常常由於錯誤配置而使入侵者能從系統中竊取任何 檔。它們也可用於系統寫入檔。
70   V Gopher  
79     Finger Server  入侵者用於獲得用戶資訊,查詢作業系統,探測已知的緩衝區溢出錯誤,回應從自己機器到其他機器Finger掃描。
80   V HTTP 木馬Executor開放此埠。
88 V V Kerberos  
99     Metagram Relay 後門程式ncx99開放此埠。
102     Message transfer agent(MTA)-
X.400 over TCP/IP
消息傳輸代理。
109     POP3 POP3伺服器開放此埠,用於接收郵件,用戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。
關於用戶名和密碼交
 換緩衝區溢出的弱點至少有20
個,這意味著入侵者可以在真正登陸前進入系統。
成功登陸後還有其他緩衝區溢出錯誤。
110   V POP3  
113     Authentication Service  這是一個許多電腦上運行的協定,用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多電腦的資訊。
但是它可作為許多服務的記錄器,尤其是FTP、POP、IMAP、SMTP和IRC等服務。
通常如果有許多客戶通過防火牆訪問這些服務,將會看到許多這個埠的連接請求。
記住,如果阻斷這個埠用戶端會感覺到在防火牆另一邊與E-MAIL伺服器的緩慢連接。
許多防火牆支持TCP連接的阻斷過程中發回RST。這將會停止緩慢的連接。 
119   V NNTP NEWS新聞組傳輸協議,承載USENET通信。這個埠的連接通常是人們在尋找USENET伺服器。
多數ISP限制,只有他們的客戶才能訪問他們的新聞組伺服器。
打開新聞組伺服器將允許發/讀任何人的帖子,訪問被限制的新聞組伺服器,匿名發帖或發送SPAM。
135 V V Location Service 
RPC 終點對應程式
Microsoft在這個埠運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。
使用DCOM和RPC的服務利用電腦上的end-point mapper註冊它們的位置。
遠端客戶連接到電腦時,它們查找end-point mapper找到服務的位置。
HACKER掃描電腦的這個埠是為了找到這個電腦上運行Exchange Server嗎?
什麼版本?還有些DOS攻擊直接針對這個埠。
135   V MSMQ  
137 V V 網路基本輸入 / 輸出系統 (NetBIOS) 名稱服務 當通過網路芳鄰傳輸檔時用這個埠
138 V   NetBIOS 資料流服務 當通過網路芳鄰傳輸檔時用這個埠
139   V NetBIOS 工作階段服務 通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於windows檔和印表機共用和SAMBA。
還有WINS Regisrtation也用它。
143   V IMAP4  POP3的安全問題一樣,許多IMAP伺服器存在有緩衝區溢出漏洞。
記住:一種LINUX蠕蟲(admv0rm)會通過這個埠繁殖,因此許多這個埠的掃描來自不知情的已經被感染的用戶。
當REDHAT在他們的LINUX發佈版本中默認允許IMAP後,這些漏洞變的很流行。
這一埠還被用於IMAP2,但並不流行。
161     SNMP SNMP允許遠端管理設備。所有配置和運行資訊的儲存在資料庫中,通過SNMP可獲得這些資訊。
許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。
他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網路。
177     服務X Display Manager Control 
Protocol
許多入侵者通過它訪問X-windows操作臺,它同時需要打開6000埠。
389   V 輕型目錄存取通訊協定 (LDAP) 輕型目錄訪問協定和NetMeeting Internet Locator Server共用這一埠。
443   V HTTPS 網頁流覽埠,能提供加密和通過安全埠傳輸的另一種HTTP。
445 V V 透過 IP 的伺服器訊息區 (SMB) (Microsoft-DS)  
456       木馬HACKERS PARADISE開放此埠。
465   V SMTP SSL  
500 V   IKE, Internet Key Exchange  
513     服務Login,remote login 是從使用cable modem或DSL登陸到子網中的UNIX電腦發出的廣播。這些人為入侵者進入他們的系統提供了資訊。
544       kerberos kshell 
548     Macintosh,File Services(AFP/IP)  
553     CORBA IIOP (UDP) 使用cable modemDSLVLAN將會看到這個埠的廣播。
CORBA是一種面向物件的RPC系統。入侵者可以利用這些資訊進入系統。
555     服務DSF  木馬PhAse1.0、Stealth Spy、IniKiller開放此埠。
568     Membership DPA   
569     Membership MSN   
635     服務mountd  Linuxmountd Bug。這是掃描的一個流行BUG
大多數對這個埠的掃描是基於
UDP的,但是基於TCPmountd有所增加(mountd
同時運行於兩個埠)。
記住
mountd可運行於任何埠(到底是哪個埠,需要在埠111portmap查詢),只是Linux默認埠是635,就像NFS通常運行於2049埠。
636   V SSL 上的 LDAP  
666     Doom Id Software  木馬Attack FTP、Satanz Backdoor開放此埠
993     IMAP  
995   V POP3 SSL  
1001       木馬Silencer、WebEx開放1001埠
1011       木馬Doly Trojan開放1011埠。
1024       它是動態埠的開始,許多程式並不在乎用哪個埠連接網路,它們請求系統為它們分配下一個閒置埠。
基於這一點分配從埠
1024開始。這就是說第一個向系統發出請求的會分配到1024
埠。
你可以重啟機器,打開
Telnet,再打開一個視窗運行natstat -a 將會看到Telnet被分配1024
埠。
還有
SQL session也用此埠和5000埠。
1080     SOCKS 這一協定以通道方式穿過防火牆,允許防火牆後面的人通過一個IP位址訪問INTERNET。
理論上它應該只允許內部的通信向外到達INTERNET。但是由於錯誤的配置,它會允許位於防火牆外部的攻擊穿過防火牆。
WinGate常會發生這種錯誤,在加入IRC聊天室時常會看到這種情況。
1433     MS SQL  
1500     RPC client fixed port 
session queries 
RPC客戶固定埠會話查詢
1503     NetMeeting T.120   
1512 V V Windows 網際網路名稱服務 (WINS) 解析  
1585   V IMAP4 SSL  
1720     NetMeeting NetMeeting H.233 call Setup
1723   V PPTP 的建立  
1731     NetMeeting NetMeeting音頻調用控制。
1801 V V MSMQ  
1863   V MSN Messenger 訊息傳送
2049     NFS NFS程式常運行於這個埠。通常需要訪問Portmapper查詢這個服務運行於哪個埠。
2101   V MSMQ  
2103   V MSMQ  
2105   V MSMQ  
3268   V 通用類別目錄 LDAP  
3269   V SSL 上的通用類別目錄 LDAP  
3389   V Terminal Service  
3527     MSMQ  
4000     QQ 騰訊QQ用戶端開放此埠。
4661   V eDonkey  
4662   V eDonkey  
4662   V eMule  
4665 V   eDonkey  
4672 V   eMule  
5632     pcAnywere 有時會看到很多這個埠的掃描,這依賴於用戶所在的位置。
當用戶打開
pcAnywere時,它會自動掃描局域網C類網以尋找可能的代理(這裏的代理是指agent而不是proxy
)。
入侵者也會尋找開放這種服務的電腦。,所以應該查看這種掃描的源位址。一些搜尋
pcAnywere的掃描包常含埠22UDP資料包。
6901 V V MSN Messenger 語音傳輸 
6970     RealAudio  RealAudio客戶將從伺服器的6970-7170的UDP埠接收音頻資料流程。這是由TCP-7070埠外向控制連接設置的。
8000     QQ 騰訊QQ伺服器端開放此埠。 
8010     Wingate  
8080     WWW WWW代理開放此埠。
1024-65535   V RPC 動態指派  
6891-6900   V MSN Messenger 檔案傳送
此篇結束。

沒有留言:

張貼留言