相對的維基百科的內容就整理得比較好一些,中文(沒翻譯完)連結、英文連結。
另外網路上看到有加註解的,為避免從此淹沒網海,借來收錄於此如下。
| Port | UDP | TCP | Service/Program | Description |
| 1 | tcpmux | 說明這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者,默認情況下tcpmux在這種系統中被打開。 Irix機器在發佈是含有幾個默認的無密碼的帳戶,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。 許多管理員在安裝後忘記刪除這些帳戶。因此HACKER在INTERNET上搜索tcpmux並利用這些帳戶。 | ||
| 7 | Echo | 說明能看到許多人搜索Fraggle放大器時,發送到X.X.X.0和X.X.X.255的信息。 | ||
| 19 | Character Generator | 說明這是一種僅僅發送字元的服務。UDP版本將會在收到UDP包後回應含有垃圾字元的包。TCP連接時會發送含有垃圾字元的資料流程直到連接關閉。 HACKER利用IP欺騙可以發動DoS攻擊。偽造兩個chargen伺服器之間的UDP包。 同樣Fraggle DoS攻擊向目標位址的這個埠廣播一個帶有偽造受害者IP的資料包,受害者為了回應這些資料而超載。 | ||
| 20 | V | FTP | ||
| 21 | V | FTP | 說明FTP伺服器所開放的埠,用於上傳、下載。最常見的攻擊者用於尋找打開anonymous的FTP伺服器的方法。這些伺服器帶有可讀寫的目錄。 木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的埠。 | |
| 22 | Ssh | 說明PcAnywhere建立的TCP和這一埠的連接可能是為了尋找ssh。 這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。 | ||
| 23 | V | Telnet | 說明遠端登錄,入侵者在搜索遠端登錄UNIX的服務。大多數情況下掃描這一埠是為了找到機器運行的作業系統。 還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個埠。 | |
| 25 | V | SMTP | 說明SMTP伺服器所開放的埠,用於發送郵件。入侵者尋找SMTP伺服器是為了傳遞他們的SPAM。 入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL伺服器上,將簡單的資訊傳遞到不同的位址。 木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠。 | |
| 31 | MSG Authentication | 木馬Master Paradise、Hackers Paradise開放此埠。 | ||
| 42 | V | V | WINS 複寫 | |
| 47 | GRE,一般路由壓縮 (使用 PPTP) | |||
| 50 | IPSec ESP,壓縮式的安全性有效負荷 | |||
| 51 | IPSec AH,驗證標頭 | |||
| 53 | V | V | DNS | |
| 67 | Bootstrap Protocol Server | 通過DSL和Cable modem的防火牆常會看見大量發送到廣播位址255.255.255.255的資料。這些機器在向DHCP伺服器請求一個位址。 HACKER常進入它們,分配一個位址把自己作為局部路由器而發起大量中間人(man-in-middle)攻擊。 用戶端向68埠廣播請求配置,伺服器向67埠廣播回應請求。 這種回應使用廣播是因為用戶端還不知道可以發送的IP位址。 | ||
| 69 | Trival File Transfer | 許多伺服器與bootp一起提供這項服務,便於從系統下載啟動代碼。但是它們常常由於錯誤配置而使入侵者能從系統中竊取任何 檔。它們也可用於系統寫入檔。 | ||
| 70 | V | Gopher | ||
| 79 | Finger Server | 入侵者用於獲得用戶資訊,查詢作業系統,探測已知的緩衝區溢出錯誤,回應從自己機器到其他機器Finger掃描。 | ||
| 80 | V | HTTP | 木馬Executor開放此埠。 | |
| 88 | V | V | Kerberos | |
| 99 | Metagram Relay | 後門程式ncx99開放此埠。 | ||
| 102 | Message transfer agent(MTA)- X.400 over TCP/IP | 消息傳輸代理。 | ||
| 109 | POP3 | POP3伺服器開放此埠,用於接收郵件,用戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。 關於用戶名和密碼交 換緩衝區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。 成功登陸後還有其他緩衝區溢出錯誤。 | ||
| 110 | V | POP3 | ||
| 113 | Authentication Service | 這是一個許多電腦上運行的協定,用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多電腦的資訊。 但是它可作為許多服務的記錄器,尤其是FTP、POP、IMAP、SMTP和IRC等服務。 通常如果有許多客戶通過防火牆訪問這些服務,將會看到許多這個埠的連接請求。 記住,如果阻斷這個埠用戶端會感覺到在防火牆另一邊與E-MAIL伺服器的緩慢連接。 許多防火牆支持TCP連接的阻斷過程中發回RST。這將會停止緩慢的連接。 | ||
| 119 | V | NNTP | NEWS新聞組傳輸協議,承載USENET通信。這個埠的連接通常是人們在尋找USENET伺服器。 多數ISP限制,只有他們的客戶才能訪問他們的新聞組伺服器。 打開新聞組伺服器將允許發/讀任何人的帖子,訪問被限制的新聞組伺服器,匿名發帖或發送SPAM。 | |
| 135 | V | V | Location Service RPC 終點對應程式 | Microsoft在這個埠運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。 使用DCOM和RPC的服務利用電腦上的end-point mapper註冊它們的位置。 遠端客戶連接到電腦時,它們查找end-point mapper找到服務的位置。 HACKER掃描電腦的這個埠是為了找到這個電腦上運行Exchange Server嗎? 什麼版本?還有些DOS攻擊直接針對這個埠。 |
| 135 | V | MSMQ | ||
| 137 | V | V | 網路基本輸入 / 輸出系統 (NetBIOS) 名稱服務 | 當通過網路芳鄰傳輸檔時用這個埠 |
| 138 | V | NetBIOS 資料流服務 | 當通過網路芳鄰傳輸檔時用這個埠 | |
| 139 | V | NetBIOS 工作階段服務 | 通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於windows檔和印表機共用和SAMBA。 還有WINS Regisrtation也用它。 | |
| 143 | V | IMAP4 | POP3的安全問題一樣,許多IMAP伺服器存在有緩衝區溢出漏洞。 記住:一種LINUX蠕蟲(admv0rm)會通過這個埠繁殖,因此許多這個埠的掃描來自不知情的已經被感染的用戶。 當REDHAT在他們的LINUX發佈版本中默認允許IMAP後,這些漏洞變的很流行。 這一埠還被用於IMAP2,但並不流行。 | |
| 161 | SNMP | SNMP允許遠端管理設備。所有配置和運行資訊的儲存在資料庫中,通過SNMP可獲得這些資訊。 許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。 他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網路。 | ||
| 177 | 服務X Display Manager Control Protocol | 許多入侵者通過它訪問X-windows操作臺,它同時需要打開6000埠。 | ||
| 389 | V | 輕型目錄存取通訊協定 (LDAP) | 輕型目錄訪問協定和NetMeeting Internet Locator Server共用這一埠。 | |
| 443 | V | HTTPS | 網頁流覽埠,能提供加密和通過安全埠傳輸的另一種HTTP。 | |
| 445 | V | V | 透過 IP 的伺服器訊息區 (SMB) (Microsoft-DS) | |
| 456 | 木馬HACKERS PARADISE開放此埠。 | |||
| 465 | V | SMTP SSL | ||
| 500 | V | IKE, Internet Key Exchange | ||
| 513 | 服務Login,remote login | 是從使用cable modem或DSL登陸到子網中的UNIX電腦發出的廣播。這些人為入侵者進入他們的系統提供了資訊。 | ||
| 544 | kerberos kshell | |||
| 548 | Macintosh,File Services(AFP/IP) | |||
| 553 | CORBA IIOP (UDP) | 使用cable modem、DSL或VLAN將會看到這個埠的廣播。 CORBA是一種面向物件的RPC系統。入侵者可以利用這些資訊進入系統。 | ||
| 555 | 服務DSF | 木馬PhAse1.0、Stealth Spy、IniKiller開放此埠。 | ||
| 568 | Membership DPA | |||
| 569 | Membership MSN | |||
| 635 | 服務mountd | Linux的mountd Bug。這是掃描的一個流行BUG。 大多數對這個埠的掃描是基於UDP的,但是基於TCP的mountd有所增加(mountd同時運行於兩個埠)。 記住mountd可運行於任何埠(到底是哪個埠,需要在埠111做portmap查詢),只是Linux默認埠是635,就像NFS通常運行於2049埠。 | ||
| 636 | V | SSL 上的 LDAP | ||
| 666 | Doom Id Software | 木馬Attack FTP、Satanz Backdoor開放此埠 | ||
| 993 | IMAP | |||
| 995 | V | POP3 SSL | ||
| 1001 | 木馬Silencer、WebEx開放1001埠 | |||
| 1011 | 木馬Doly Trojan開放1011埠。 | |||
| 1024 | 它是動態埠的開始,許多程式並不在乎用哪個埠連接網路,它們請求系統為它們分配下一個閒置埠。 基於這一點分配從埠1024開始。這就是說第一個向系統發出請求的會分配到1024埠。 你可以重啟機器,打開Telnet,再打開一個視窗運行natstat -a 將會看到Telnet被分配1024埠。 還有SQL session也用此埠和5000埠。 | |||
| 1080 | SOCKS | 這一協定以通道方式穿過防火牆,允許防火牆後面的人通過一個IP位址訪問INTERNET。 理論上它應該只允許內部的通信向外到達INTERNET。但是由於錯誤的配置,它會允許位於防火牆外部的攻擊穿過防火牆。 WinGate常會發生這種錯誤,在加入IRC聊天室時常會看到這種情況。 | ||
| 1433 | MS SQL | |||
| 1500 | RPC client fixed port session queries | RPC客戶固定埠會話查詢 | ||
| 1503 | NetMeeting T.120 | |||
| 1512 | V | V | Windows 網際網路名稱服務 (WINS) 解析 | |
| 1585 | V | IMAP4 SSL | ||
| 1720 | NetMeeting | NetMeeting H.233 call Setup。 | ||
| 1723 | V | PPTP 的建立 | ||
| 1731 | NetMeeting | NetMeeting音頻調用控制。 | ||
| 1801 | V | V | MSMQ | |
| 1863 | V | MSN Messenger | 訊息傳送 | |
| 2049 | NFS | NFS程式常運行於這個埠。通常需要訪問Portmapper查詢這個服務運行於哪個埠。 | ||
| 2101 | V | MSMQ | ||
| 2103 | V | MSMQ | ||
| 2105 | V | MSMQ | ||
| 3268 | V | 通用類別目錄 LDAP | ||
| 3269 | V | SSL 上的通用類別目錄 LDAP | ||
| 3389 | V | Terminal Service | ||
| 3527 | MSMQ | |||
| 4000 | 騰訊QQ用戶端開放此埠。 | |||
| 4661 | V | eDonkey | ||
| 4662 | V | eDonkey | ||
| 4662 | V | eMule | ||
| 4665 | V | eDonkey | ||
| 4672 | V | eMule | ||
| 5632 | pcAnywere | 有時會看到很多這個埠的掃描,這依賴於用戶所在的位置。 當用戶打開pcAnywere時,它會自動掃描局域網C類網以尋找可能的代理(這裏的代理是指agent而不是proxy)。 入侵者也會尋找開放這種服務的電腦。,所以應該查看這種掃描的源位址。一些搜尋pcAnywere的掃描包常含埠22的UDP資料包。 | ||
| 6901 | V | V | MSN Messenger | 語音傳輸 |
| 6970 | RealAudio | RealAudio客戶將從伺服器的6970-7170的UDP埠接收音頻資料流程。這是由TCP-7070埠外向控制連接設置的。 | ||
| 8000 | 騰訊QQ伺服器端開放此埠。 | |||
| 8010 | Wingate | |||
| 8080 | WWW | WWW代理開放此埠。 | ||
| 1024-65535 | V | RPC 動態指派 | ||
| 6891-6900 | V | MSN Messenger | 檔案傳送 |
沒有留言:
張貼留言