防火牆埠(中)(轉載)
--接上轉載--
1351=Digital Tool Works (MIT)
1352=/Lotus Notelotusnote
1353=Relief Consulting
1354=RightBrain Software
1355=Intuitive Edge
1356=CuillaMartin Company
1357=Electronic PegBoard
1358=CONNLCLIconnlcli
1359=FTSRVftsrv
1360=MIMERmimer
1361=LinX
1362=TimeFliestimeflies
1363=Network DataMover Requester
1364=Network DataMover Server
1365=Network Software Associates
1366=Novell NetWare Comm Service Platform
1367=DCSdcs
1368=ScreenCastscreencast
1369=GlobalView to Unix Shell
1370=Unix Shell to GlobalView
1371=Fujitsu Config Protocol
1372=Fujitsu Config Protocol
1373=Chromagrafxchromagrafx
1374=EPI Software Systems
1375=Bytexbytex
1376=IBM Person to Person Software
1377=Cichlid License Manager
1378=Elan License Manager
1379=Integrity Solutions
1380=Telesis Network License Manager
1381=Apple Network License Manager
1382=udt_os
1383=GW Hannaway Network License Manager
1384=Objective Solutions License Manager
1385=Atex Publishing License Manager
1386=CheckSum License Manager
1387=Computer Aided Design Software Inc LM
1388=Objective Solutions DataBase Cache
1389=Document Manager
1390=Storage Controller
1391=Storage Access Server
1392=Print Managericlpv-pm
1393=Network Log Server
1394=Network Log Client
1395=PC Workstation Manager software
1396=DVL Active Mail
1397=Audio Active Mail
1398=Video Active Mail
1399=Cadkey License Manager
1400=Cadkey Tablet Daemon
1401=Goldleaf License Manager
1402=Prospero Resource Manager
1403=Prospero Resource Manager
1404=Infinite Graphics License Manager
1405=IBM Remote Execution Starter
1406=NetLabs License Manager
1407=DBSA License Manager
1408=Sophia License Manager
1409=Here License Manager
1410=HiQ License Manager
1411=AudioFileaf
1412=InnoSysinnosys
1413=Innosys-ACLinnosys-acl
1414=IBM MQSeriesibm-mqseries
1415=DBStardbstar
1416=Novell LU6.2novell-lu6.2
1417=Timbuktu Service 1 Port
1417=Timbuktu Service 1 Port
1418=Timbuktu Service 2 Port
1419=Timbuktu Service 3 Port
1420=Timbuktu Service 4 Port
1421=Gandalf License Manager
1422=Autodesk License Manager
1423=Essbase Arbor Software
1424=Hybrid Encryption Protocol
1425=Zion Software License Manager
1426=Satellite-data Acquisition System 1
1427=mloadd monitoring tool
1428=Informatik License Manager
1429=Hypercom NMSnms
1430=Hypercom TPDUtpdu
1431=Reverse Gosip Transport
1432=Blueberry Software License Manager
1433=Microsoft-SQL-Server
1434=Microsoft-SQL-Monitor
1435=IBM CISCibm-cics
1436=Satellite-data Acquisition System 2
1437=Tabulatabula
1438=Eicon Security Agent/Server
1439=Eicon X25/SNA Gateway
1440=Eicon Service Location Protocol
1441=Cadis License Management
1442=Cadis License Management
1443=Integrated Engineering Software
1444=Marcam License Management
1445=Proxima License Manager
1446=Optical Research Associates License Manager
1447=Applied Parallel Research LM
1448=OpenConnect License Manager
1449=PEportpeport
1450=Tandem Distributed Workbench Facility
1451=IBM Information Management
1452=GTE Government Systems License Man
1453=Genie License Manager
1454=interHDL License Manager
1454=interHDL License Manager
1455=ESL License Manager
1456=DCAdca
1457=Valisys License Manager
1458=Nichols Research Corp.
1459=Proshare Notebook Application
1460=Proshare Notebook Application
1461=IBM Wireless LAN
1462=World License Manager
1463=Nucleusnucleus
1464=MSL License Manager
1465=Pipes Platform
1466=Ocean Software License Manager
1467=CSDMBASEcsdmbase
1468=CSDMcsdm
1469=Active Analysis Limited License Manager
1470=Universal Analytics
1471=csdmbasecsdmbase
1472=csdmcsdm
1473=OpenMathopenmath
1474=Telefindertelefinder
1475=Taligent License Manager
1476=clvm-cfgclvm-cfg
1477=ms-sna-server
1478=ms-sna-base
1479=dberegisterdberegister
1480=PacerForumpacerforum
1481=AIRSairs
1482=Miteksys License Manager
1483=AFS License Manager
1484=Confluent License Manager
1485=LANSourcelansource
1486=nms_topo_serv
1487=LocalInfoSrvr
1488=DocStordocstor
1489=dmdocbrokerdmdocbroker
1490=insitu-confinsitu-conf
1491=anynetgateway
1492=stone-design-1
1493=netmap_lmnetmap_lm
1494=icaica
1495=cvccvc
1496=liberty-lmliberty-lm
1497=rfx-lmrfx-lm
1498=Watcom-SQLwatcom-sql
1499=Federico Heinz Consultora
1500=VLSI License Manager
1501=Satellite-data Acquisition System 3
1502=Shivashivadiscovery
1503=Databeamimtc-mcs
1504=EVB Software Engineering License Manager
1505=Funk Software, Inc.
1524=ingres
1525=oracle
1525=Prospero Directory Service non-priv
1526=Prospero Data Access Prot non-priv
1527=oracletlisrv
1529=oraclecoauthor
1600=issd
1651=proshare conf audio
1652=proshare conf video
1653=proshare conf data
1654=proshare conf request
1655=proshare conf notify
1661=netview-aix-1netview-aix-1
1662=netview-aix-2netview-aix-2
1663=netview-aix-3netview-aix-3
1664=netview-aix-4netview-aix-4
1665=netview-aix-5netview-aix-5
1666=netview-aix-6netview-aix-6
1986=cisco license management
1987=cisco RSRB Priority 1 port
1988=cisco RSRB Priority 2 port
1989=cisco RSRB Priority 3 port
1989=MHSnet systemmshnet
1990=cisco STUN Priority 1 port
1991=cisco STUN Priority 2 port
1992=cisco STUN Priority 3 port
1992=IPsendmsgipsendmsg
1993=cisco SNMP TCP port
1994=cisco serial tunnel port
1995=cisco perf port
1996=cisco Remote SRB port
1997=cisco Gateway Discovery Protocol
1998=cisco X.25 service (XOT)
1999=cisco identification port
2009=whosockami
2010=pipe_server
2011=raid
2012=raid-ac
2013=rad-am
2015=raid-cs
2016=bootserver
2017=terminaldb
2018=rellpack
2019=about
2019=xinupageserver
2020=xinupageserver
2021=xinuexpansion1
2021=down
2022=xinuexpansion2
2023=xinuexpansion3
2023=xinuexpansion4
2024=xinuexpansion4
2025=xribs
2026=scrabble
2027=shadowserver
2028=submitserver
2039=device2
2032=blackboard
2033=glogger
2034=scoremgr
2035=imsldoc
2038=objectmanager
2040=lam
2041=interbase
2042=isis
2043=isis-bcast
2044=primsl
2045=cdfunc
2047=dls
2048=dls-monitor
2065=Data Link Switch Read Port Number
2067=Data Link Switch Write Port Number
2201=Advanced Training System Program
2500=Resource Tracking system server
2501=Resource Tracking system client
2564=HP 3000 NS/VT block mode telnet
2784=world wide web - development
3049=ccmail
3264=ccmail, cc:mail/lotus
3333=dec-notes
3984=MAPPER network node manager
3985=MAPPER TCP/IP server
3986=MAPPER workstation server
3421=Bull Apprise portmapper
3900=Unidata UDT OS
4132=NUTS Daemonnuts_dem
4133=NUTS Bootp Server
4343=UNICALL
4444=KRB524
4672=remote file access server
5002=radio free ethernet
5010=TelepathStarttelelpathstart
5011=TelepathAttack
5050=multimedia conference control tool
5145=rmonitor_secure
5190=aol, America-Online
5300=HA cluster heartbeat
5301=hacl-gs # HA cluster general services
5302=HA cluster configuration
5303=hacl-probe HA cluster probing
5305=hacl-test
6000-6063=x11 X Window System
6111=sub-process HP SoftBench Sub-Process Control
6141/=meta-corp Meta Corporation License Manager
6142=aspentec-lm Aspen Technology License Manager
6143=watershed-lm Watershed License Manager
6144=statsci1-lm StatSci License Manager - 1
6145=statsci2-lm StatSci License Manager - 2
6146=lonewolf-lm Lone Wolf Systems License Manager
6147=montage-lm Montage License Manager
7000=afs3-fileserver file server itself
7001=afs3-callback callbacks to cache managers
7002=afs3-prserver users & groups database
7003=afs3-vlserver volume location database
7004=afs3-kaserver AFS/Kerberos authentication service
7005=afs3-volser volume managment server
7006=afs3-errors error interpretation service
7007=afs3-bos basic overseer process
7008=afs3-update server-to-server updater
7009=afs3-rmtsys remote cache manager service
7010=ups-online onlinet uninterruptable power supplies
7100=X Font Service
7200=FODMS FLIP
7626=冰河
8010=Wingate
8181=IMail
9535=man
45576=E代時光專業代理埠下面解釋的更具體,也算是補充。
0 通常用於分析作業系統。這一方法能夠工作是因為在一些系統中“0”是無效埠,當你試圖使用一種通常的閉合埠連線它時將產生不同的結果。一種典型的掃描:使用IP地址為0.0.0.0,設定ACK位並在乙太網層廣播。
1 tcpmux 這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者,預設情況下tcpmux在這種系統中被開啟。Iris機器在釋出時含有幾個預設的無密碼的帳戶, 如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。許多管理員安裝後忘記刪除這些帳戶。因此Hacker們在Internet上搜尋tcpmux並利用這些帳戶。
7 Echo 你能看到許多人們搜尋Fraggle放大器時,傳送到x.x.x.0和x.x.x.255的資訊。常見的一種DoS攻擊是echo迴圈(echo- loop),攻擊者偽造從一個機器傳送到另一個機器的UDP資料包,而兩個機器分別以它們最快的方式回應這些資料包。另一種東西是由 DoubleClick在詞埠建立的TCP連線。有一種產品叫做“Resonate Global Dispatch”,它與DNS的這一埠連線以確定最近的路由。Harvest/squid cache將從3130埠傳送UDP echo:“如果將cache的source_ping on選項開啟,它將對原始主機的UDP echo埠回應一個HIT reply。”這將會產生許多這類資料包。
11 sysstat 這是一種UNIX服務,它會列出機器上所有正在執行的程式以及是什麼啟動了這些程式。這為入侵者提供了許多資訊而威脅機器的安全,如暴露已知某些弱點或帳 戶的程式。這與UNIX系統中“ps”命令的結果相似。再說一遍:ICMP沒有埠,ICMP port 11通常是ICMP type=11。
19 chargen 這是一種僅僅傳送字元的服務。UDP版本將會在收到UDP包後回應含有垃圾字元的包。TCP連線時,會傳送含有垃圾字元的資料流知道連線關閉。 Hacker利用IP欺騙可以發動DoS攻擊。偽造兩個chargen伺服器之間的UDP包。由於伺服器企圖回應兩個伺服器之間的無限的往返資料通訊一個 chargen和echo將導致伺服器過載。同樣fraggle DoS攻擊向目標地址的這個埠廣播一個帶有偽造受害者IP的資料包,受害者為了回應這些資料而過載。
21 ftp 最常見的攻擊者用於尋找開啟“anonymous”的ftp伺服器的方法。這些伺服器帶有可讀寫的目錄。Hackers或Crackers 利用這些伺服器作為傳送warez (私有程式) 和pr0n(故意拼錯詞而避免被搜尋引擎分類)的節點。
22 ssh PcAnywhere 建立TCP和這一埠的連線可能是為了尋找ssh。這一服務有許多弱點。如果配置成特定的模式,許多使用RSAREF庫的版本有不少漏洞。(建議在其它端 口執行ssh)。還應該注意的是ssh工具包帶有一個稱為make-ssh-known-hosts的程式。它會掃描整個域的ssh主機。你有時會被使用 這一程式的人無意中掃描到。UDP(而不是TCP)與另一端的5632埠相連意味著存在搜尋pcAnywhere的掃描。5632(十六進位制的 0x1600)位交換後是0x0016(使進位制的22)。
23 Telnet 入侵者在搜尋遠端登陸UNIX的服務。大多數情況下入侵者掃描這一埠是為了找到機器執行的作業系統。此外使用其它技術,入侵者會找到密碼。
25 smtp 攻擊者(spammer)尋找SMTP伺服器是為了傳遞他們的spam。入侵者的帳戶總被關閉,他們需要撥號連線到高頻寬的e-mail伺服器上,將簡單 的資訊傳遞到不同的地址。SMTP伺服器(尤其是sendmail)是進入系統的最常用方法之一,因為它們必須完整的暴露於Internet且郵件的路由 是複雜的(暴露+複雜=弱點)。
53 DNS Hacker或crackers可能是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏其它通訊。因此防火牆常常過濾或記錄53埠。需要注意的 是你常會看到53埠做為UDP源埠。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回覆。Hacker常使用這種方法穿透防火牆。
67&68 Bootp和DHCP UDP上的Bootp/DHCP:透過DSL和cable-modem的防火牆常會看見大量傳送到廣播地址255.255.255.255的資料。這些機 器在向DHCP伺服器請求一個地址分配。Hacker常進入它們分配一個地址把自己作為區域性路由器而發起大量的“中間人”(man-in-middle) 攻擊。客戶端向68埠(bootps)廣播請求配置,伺服器向67埠(bootpc)廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以傳送的 IP地址。
69 TFTP(UDP) 許多伺服器與bootp一起提供這項服務,便於從系統下載啟動程式碼。但是它們常常錯誤配置而從系統提供任何檔案,如密碼檔案。它們也可用於向系統寫入檔案。
79 finger Hacker用於獲得使用者資訊,查詢作業系統,探測已知的緩衝區溢位錯誤,回應從自己機器到其它機器finger掃描。
80 web站點預設80為服務埠,採用tcp或udp協議。
98 linuxconf 這個程式提供linux boxen的簡單管理。透過整合的HTTP伺服器在98埠提供基於Web介面的服務。它已發現有許多安全問題。一些版本setuid root,信任區域網,在/tmp下建立Internet可訪問的檔案,LANG環境變數有緩衝區溢位。此外因為它包含整合的伺服器,許多典型的HTTP 漏洞可能存在(緩衝區溢位,歷遍目錄等)
109 POP2 並不象POP3那樣有名,但許多伺服器同時提供兩種服務(向後相容)。在同一個伺服器上POP3的漏洞在POP2中同樣存在。
110 POP3 用於客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於使用者名稱和密碼交換緩衝區溢位的弱點至少有20個(這意味著Hacker可以在真正登陸前進入系統)。成功登陸後還有其它緩衝區溢位錯誤。
111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。訪問portmapper是掃描系統檢視允許哪些RPC服務的最早的一步。常見RPC服務有: rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提供服務的特定埠測試漏洞。記住一定要記錄線路中的daemon, IDS, 或sniffer,你可以發現入侵者正使用什麼程式訪問以便發現到底發生了什麼。
113 Ident auth 這是一個許多機器上執行的協議,用於鑑別TCP連線的使用者。使用標準的這種服務可以獲得許多機器的資訊(會被Hacker利用)。但是它可作為許多服務的 記錄器,尤其是FTP, POP, IMAP, SMTP和IRC等服務。通常如果有許多客戶透過防火牆訪問這些服務,你將會看到許多這個埠的連線請求。記住,如果你阻斷這個埠客戶端會感覺到在防火 牆另一邊與e-mail伺服器的緩慢連線。許多防火牆支援在TCP連線的阻斷過程中發回RST,著將回停止這一緩慢的連線。
119 NNTP news 新聞組傳輸協議,承載USENET通訊。當你連結到諸如:news://comp.security.firewalls/. 的地址時通常使用這個埠。這個埠的連線企圖通常是人們在尋找USENET伺服器。多數ISP限制只有他們的客戶才能訪問他們的新聞組伺服器。開啟新聞組伺服器將允許發/讀任何人的帖子,訪問被限制的新聞組伺服器,匿名發帖或傳送spam。
135 oc-serv MS RPC end-point mapper Microsoft在這個埠執行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和/或RPC的服務利用機器上的end-point mapper註冊它們的位置。遠端客戶連線到機器時,它們查詢end-point mapper找到服務的位置。同樣Hacker掃描機器的這個埠是為了找到諸如:這個機器上執行Exchange Server嗎?是什麼版本?這個埠除了被用來查詢服務(如使用epdump)還可以被用於直接攻擊。有一些DoS攻擊直接針對這個埠。
137 NetBIOS name service nbtstat (UDP) 這是防火牆管理員最常見的資訊。
139 NetBIOS File and Print Sharing 透過這個埠進入的連線試圖獲得NetBIOS/SMB服務。這個協議被用於Windows“檔案和印表機共享”和SAMBA。在Internet上共享 自己的硬碟是可能是最常見的問題。大量針對這一埠始於1999,後來逐漸變少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)開始將它們自己複製到這個埠,試圖在這個埠繁殖。
143 IMAP 和上面POP3的安全問題一樣,許多IMAP伺服器有緩衝區溢位漏洞執行登陸過程中進入。記住:一種Linux蠕蟲(admw0rm)會透過這個埠繁 殖,因此許多這個埠的掃描來自不知情的已被感染的使用者。當RadHat在他們的Linux釋出版本中預設允許IMAP後,這些漏洞變得流行起來。 Morris蠕蟲以後這還是第一次廣泛傳播的蠕蟲。這一埠還被用於IMAP2,但並不流行。已有一些報導發現有些0到143埠的攻擊源於指令碼。
161 SNMP(UDP) 入侵者常探測的埠。SNMP允許遠端管理裝置。所有配置和執行資訊都儲存在資料庫中,透過SNMP客獲得這些資訊。許多管理員錯誤配置將它們暴露於 Internet。Crackers將試圖使用預設的密碼“public”“private”訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會 被錯誤的指向你的網路。Windows機器常會因為錯誤配置將HP JetDirect remote management軟體使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網內廣播(cable modem, DSL)查詢sysName和其它資訊。
162 SNMP trap 可能是由於錯誤配置
177 xdmcp 許多Hacker透過它訪問X-Windows控制檯, 它同時需要開啟6000埠。
513 rwho 可能是從使用cable modem或DSL登陸到的子網中的UNIX機器發出的廣播。這些人為Hacker進入他們的系統提供了很有趣的資訊。
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你將會看到這個埠的廣播。CORBA是一種物件導向的RPC(remote procedure call)系統。Hacker會利用這些資訊進入系統。
600 Pcserver backdoor 請檢視1524埠。一些玩script的孩子認為他們透過修改ingreslock和pcserver檔案已經完全攻破了系統-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數對這個埠的掃描是基於UDP的,但基於TCP的mountd有所增加(mountd同時執行於兩個端 口)。記住,mountd可執行於任何埠(到底在哪個埠,需要在埠111做portmap查詢),只是Linux預設為635埠,就象NFS通常 執行於2049埠。
1024 許多人問這個埠是幹什麼的。它是動態埠的開始。許多程式並不在乎用哪個埠連線網路,它們請求作業系統為它們分配“下一個閒置埠”。基於這一點分配 從埠1024開始。這意味著第一個向系統請求分配動態埠的程式將被分配埠1024。為了驗證這一點,你可以重啟機器,開啟Telnet,再開啟一個 視窗執行“natstat -a”,你將會看到Telnet被分配1024埠。請求的程式越多,動態埠也越多。作業系統分配的埠將逐漸變大。再來一遍,當你瀏覽Web頁時用 “netstat”檢視,每個Web頁需要一個新埠。
1025,1026 參見1024
1080 SOCKS 這一協議以管道方式穿過防火牆,允許防火牆後面的許多人透過一個IP地址訪問Internet。理論上它應該只允許內部的通訊向外達到Internet。 但是由於錯誤的配置,它會允許Hacker/Cracker的位於防火牆外部的攻擊穿過防火牆。或者簡單地回應位於Internet上的計算機,從而掩飾 他們對你的直接攻擊。WinGate是一種常見的Windows個人防火牆,常會發生上述的錯誤配置。在加入IRC聊天室時常會看到這種情況。
1114 SQL 系統本身很少掃描這個埠,但常常是sscan指令碼的一部分。
1243 Sub-7木馬(TCP)
1524 ingreslock 後門許多攻擊指令碼將安裝一個後門Shell於這個埠(尤其是那些針對Sun系統中sendmail和RPC服務漏洞的指令碼,如statd, ttdbserver
1032=BBN IAD
1067=Installation Bootstrap Proto. Serv.
1068=Installation Bootstrap Proto. Cli.
1080=SOCKS
1083=Anasoft License Manager
1084=Anasoft License Manager
1155=Network File Access
1222=SNI R&D network
1248=hermes
1346=Alta Analytics License Manager
1347=multi media conferencing
1347=multi media conferencing
1348=multi media conferencing
1349=Registration Network Protocol
1351=Digital Tool Works (MIT)
1352=/Lotus Notelotusnote
1353=Relief Consulting
1354=RightBrain Software
1355=Intuitive Edge
1356=CuillaMartin Company
1357=Electronic PegBoard
1358=CONNLCLIconnlcli
1359=FTSRVftsrv
1360=MIMERmimer
1361=LinX
1362=TimeFliestimeflies
1363=Network DataMover Requester
1364=Network DataMover Server
1365=Network Software Associates
1366=Novell NetWare Comm Service Platform
1367=DCSdcs
1368=ScreenCastscreencast
1369=GlobalView to Unix Shell
1370=Unix Shell to GlobalView
1371=Fujitsu Config Protocol
1372=Fujitsu Config Protocol
1373=Chromagrafxchromagrafx
1374=EPI Software Systems
1375=Bytexbytex
1376=IBM Person to Person Software
1377=Cichlid License Manager
1378=Elan License Manager
1379=Integrity Solutions
1380=Telesis Network License Manager
1381=Apple Network License Manager
1382=udt_os
1383=GW Hannaway Network License Manager
1384=Objective Solutions License Manager
1385=Atex Publishing License Manager
1386=CheckSum License Manager
1387=Computer Aided Design Software Inc LM
1388=Objective Solutions DataBase Cache
1389=Document Manager
1390=Storage Controller
1391=Storage Access Server
1392=Print Managericlpv-pm
1393=Network Log Server
1394=Network Log Client
1395=PC Workstation Manager software
1396=DVL Active Mail
1397=Audio Active Mail
1398=Video Active Mail
1399=Cadkey License Manager
1400=Cadkey Tablet Daemon
1401=Goldleaf License Manager
1402=Prospero Resource Manager
1403=Prospero Resource Manager
1404=Infinite Graphics License Manager
1405=IBM Remote Execution Starter
1406=NetLabs License Manager
1407=DBSA License Manager
1408=Sophia License Manager
1409=Here License Manager
1410=HiQ License Manager
1411=AudioFileaf
1412=InnoSysinnosys
1413=Innosys-ACLinnosys-acl
1414=IBM MQSeriesibm-mqseries
1415=DBStardbstar
1416=Novell LU6.2novell-lu6.2
1417=Timbuktu Service 1 Port
1417=Timbuktu Service 1 Port
1418=Timbuktu Service 2 Port
1419=Timbuktu Service 3 Port
1420=Timbuktu Service 4 Port
1421=Gandalf License Manager
1422=Autodesk License Manager
1423=Essbase Arbor Software
1424=Hybrid Encryption Protocol
1425=Zion Software License Manager
1426=Satellite-data Acquisition System 1
1427=mloadd monitoring tool
1428=Informatik License Manager
1429=Hypercom NMSnms
1430=Hypercom TPDUtpdu
1431=Reverse Gosip Transport
1432=Blueberry Software License Manager
1433=Microsoft-SQL-Server
1434=Microsoft-SQL-Monitor
1435=IBM CISCibm-cics
1436=Satellite-data Acquisition System 2
1437=Tabulatabula
1438=Eicon Security Agent/Server
1439=Eicon X25/SNA Gateway
1440=Eicon Service Location Protocol
1441=Cadis License Management
1442=Cadis License Management
1443=Integrated Engineering Software
1444=Marcam License Management
1445=Proxima License Manager
1446=Optical Research Associates License Manager
1447=Applied Parallel Research LM
1448=OpenConnect License Manager
1449=PEportpeport
1450=Tandem Distributed Workbench Facility
1451=IBM Information Management
1452=GTE Government Systems License Man
1453=Genie License Manager
1454=interHDL License Manager
1454=interHDL License Manager
1455=ESL License Manager
1456=DCAdca
1457=Valisys License Manager
1458=Nichols Research Corp.
1459=Proshare Notebook Application
1460=Proshare Notebook Application
1461=IBM Wireless LAN
1462=World License Manager
1463=Nucleusnucleus
1464=MSL License Manager
1465=Pipes Platform
1466=Ocean Software License Manager
1467=CSDMBASEcsdmbase
1468=CSDMcsdm
1469=Active Analysis Limited License Manager
1470=Universal Analytics
1471=csdmbasecsdmbase
1472=csdmcsdm
1473=OpenMathopenmath
1474=Telefindertelefinder
1475=Taligent License Manager
1476=clvm-cfgclvm-cfg
1477=ms-sna-server
1478=ms-sna-base
1479=dberegisterdberegister
1480=PacerForumpacerforum
1481=AIRSairs
1482=Miteksys License Manager
1483=AFS License Manager
1484=Confluent License Manager
1485=LANSourcelansource
1486=nms_topo_serv
1487=LocalInfoSrvr
1488=DocStordocstor
1489=dmdocbrokerdmdocbroker
1490=insitu-confinsitu-conf
1491=anynetgateway
1492=stone-design-1
1493=netmap_lmnetmap_lm
1494=icaica
1495=cvccvc
1496=liberty-lmliberty-lm
1497=rfx-lmrfx-lm
1498=Watcom-SQLwatcom-sql
1499=Federico Heinz Consultora
1500=VLSI License Manager
1501=Satellite-data Acquisition System 3
1502=Shivashivadiscovery
1503=Databeamimtc-mcs
1504=EVB Software Engineering License Manager
1505=Funk Software, Inc.
1524=ingres
1525=oracle
1525=Prospero Directory Service non-priv
1526=Prospero Data Access Prot non-priv
1527=oracletlisrv
1529=oraclecoauthor
1600=issd
1651=proshare conf audio
1652=proshare conf video
1653=proshare conf data
1654=proshare conf request
1655=proshare conf notify
1661=netview-aix-1netview-aix-1
1662=netview-aix-2netview-aix-2
1663=netview-aix-3netview-aix-3
1664=netview-aix-4netview-aix-4
1665=netview-aix-5netview-aix-5
1666=netview-aix-6netview-aix-6
1986=cisco license management
1987=cisco RSRB Priority 1 port
1988=cisco RSRB Priority 2 port
1989=cisco RSRB Priority 3 port
1989=MHSnet systemmshnet
1990=cisco STUN Priority 1 port
1991=cisco STUN Priority 2 port
1992=cisco STUN Priority 3 port
1992=IPsendmsgipsendmsg
1993=cisco SNMP TCP port
1994=cisco serial tunnel port
1995=cisco perf port
1996=cisco Remote SRB port
1997=cisco Gateway Discovery Protocol
1998=cisco X.25 service (XOT)
1999=cisco identification port
2009=whosockami
2010=pipe_server
2011=raid
2012=raid-ac
2013=rad-am
2015=raid-cs
2016=bootserver
2017=terminaldb
2018=rellpack
2019=about
2019=xinupageserver
2020=xinupageserver
2021=xinuexpansion1
2021=down
2022=xinuexpansion2
2023=xinuexpansion3
2023=xinuexpansion4
2024=xinuexpansion4
2025=xribs
2026=scrabble
2027=shadowserver
2028=submitserver
2039=device2
2032=blackboard
2033=glogger
2034=scoremgr
2035=imsldoc
2038=objectmanager
2040=lam
2041=interbase
2042=isis
2043=isis-bcast
2044=primsl
2045=cdfunc
2047=dls
2048=dls-monitor
2065=Data Link Switch Read Port Number
2067=Data Link Switch Write Port Number
2201=Advanced Training System Program
2500=Resource Tracking system server
2501=Resource Tracking system client
2564=HP 3000 NS/VT block mode telnet
2784=world wide web - development
3049=ccmail
3264=ccmail, cc:mail/lotus
3333=dec-notes
3984=MAPPER network node manager
3985=MAPPER TCP/IP server
3986=MAPPER workstation server
3421=Bull Apprise portmapper
3900=Unidata UDT OS
4132=NUTS Daemonnuts_dem
4133=NUTS Bootp Server
4343=UNICALL
4444=KRB524
4672=remote file access server
5002=radio free ethernet
5010=TelepathStarttelelpathstart
5011=TelepathAttack
5050=multimedia conference control tool
5145=rmonitor_secure
5190=aol, America-Online
5300=HA cluster heartbeat
5301=hacl-gs # HA cluster general services
5302=HA cluster configuration
5303=hacl-probe HA cluster probing
5305=hacl-test
6000-6063=x11 X Window System
6111=sub-process HP SoftBench Sub-Process Control
6141/=meta-corp Meta Corporation License Manager
6142=aspentec-lm Aspen Technology License Manager
6143=watershed-lm Watershed License Manager
6144=statsci1-lm StatSci License Manager - 1
6145=statsci2-lm StatSci License Manager - 2
6146=lonewolf-lm Lone Wolf Systems License Manager
6147=montage-lm Montage License Manager
7000=afs3-fileserver file server itself
7001=afs3-callback callbacks to cache managers
7002=afs3-prserver users & groups database
7003=afs3-vlserver volume location database
7004=afs3-kaserver AFS/Kerberos authentication service
7005=afs3-volser volume managment server
7006=afs3-errors error interpretation service
7007=afs3-bos basic overseer process
7008=afs3-update server-to-server updater
7009=afs3-rmtsys remote cache manager service
7010=ups-online onlinet uninterruptable power supplies
7100=X Font Service
7200=FODMS FLIP
7626=冰河
8010=Wingate
8181=IMail
9535=man
45576=E代時光專業代理埠下面解釋的更具體,也算是補充。
0 通常用於分析作業系統。這一方法能夠工作是因為在一些系統中“0”是無效埠,當你試圖使用一種通常的閉合埠連線它時將產生不同的結果。一種典型的掃描:使用IP地址為0.0.0.0,設定ACK位並在乙太網層廣播。
1 tcpmux 這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者,預設情況下tcpmux在這種系統中被開啟。Iris機器在釋出時含有幾個預設的無密碼的帳戶, 如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。許多管理員安裝後忘記刪除這些帳戶。因此Hacker們在Internet上搜尋tcpmux並利用這些帳戶。
7 Echo 你能看到許多人們搜尋Fraggle放大器時,傳送到x.x.x.0和x.x.x.255的資訊。常見的一種DoS攻擊是echo迴圈(echo- loop),攻擊者偽造從一個機器傳送到另一個機器的UDP資料包,而兩個機器分別以它們最快的方式回應這些資料包。另一種東西是由 DoubleClick在詞埠建立的TCP連線。有一種產品叫做“Resonate Global Dispatch”,它與DNS的這一埠連線以確定最近的路由。Harvest/squid cache將從3130埠傳送UDP echo:“如果將cache的source_ping on選項開啟,它將對原始主機的UDP echo埠回應一個HIT reply。”這將會產生許多這類資料包。
11 sysstat 這是一種UNIX服務,它會列出機器上所有正在執行的程式以及是什麼啟動了這些程式。這為入侵者提供了許多資訊而威脅機器的安全,如暴露已知某些弱點或帳 戶的程式。這與UNIX系統中“ps”命令的結果相似。再說一遍:ICMP沒有埠,ICMP port 11通常是ICMP type=11。
19 chargen 這是一種僅僅傳送字元的服務。UDP版本將會在收到UDP包後回應含有垃圾字元的包。TCP連線時,會傳送含有垃圾字元的資料流知道連線關閉。 Hacker利用IP欺騙可以發動DoS攻擊。偽造兩個chargen伺服器之間的UDP包。由於伺服器企圖回應兩個伺服器之間的無限的往返資料通訊一個 chargen和echo將導致伺服器過載。同樣fraggle DoS攻擊向目標地址的這個埠廣播一個帶有偽造受害者IP的資料包,受害者為了回應這些資料而過載。
21 ftp 最常見的攻擊者用於尋找開啟“anonymous”的ftp伺服器的方法。這些伺服器帶有可讀寫的目錄。Hackers或Crackers 利用這些伺服器作為傳送warez (私有程式) 和pr0n(故意拼錯詞而避免被搜尋引擎分類)的節點。
22 ssh PcAnywhere 建立TCP和這一埠的連線可能是為了尋找ssh。這一服務有許多弱點。如果配置成特定的模式,許多使用RSAREF庫的版本有不少漏洞。(建議在其它端 口執行ssh)。還應該注意的是ssh工具包帶有一個稱為make-ssh-known-hosts的程式。它會掃描整個域的ssh主機。你有時會被使用 這一程式的人無意中掃描到。UDP(而不是TCP)與另一端的5632埠相連意味著存在搜尋pcAnywhere的掃描。5632(十六進位制的 0x1600)位交換後是0x0016(使進位制的22)。
23 Telnet 入侵者在搜尋遠端登陸UNIX的服務。大多數情況下入侵者掃描這一埠是為了找到機器執行的作業系統。此外使用其它技術,入侵者會找到密碼。
25 smtp 攻擊者(spammer)尋找SMTP伺服器是為了傳遞他們的spam。入侵者的帳戶總被關閉,他們需要撥號連線到高頻寬的e-mail伺服器上,將簡單 的資訊傳遞到不同的地址。SMTP伺服器(尤其是sendmail)是進入系統的最常用方法之一,因為它們必須完整的暴露於Internet且郵件的路由 是複雜的(暴露+複雜=弱點)。
53 DNS Hacker或crackers可能是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏其它通訊。因此防火牆常常過濾或記錄53埠。需要注意的 是你常會看到53埠做為UDP源埠。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回覆。Hacker常使用這種方法穿透防火牆。
67&68 Bootp和DHCP UDP上的Bootp/DHCP:透過DSL和cable-modem的防火牆常會看見大量傳送到廣播地址255.255.255.255的資料。這些機 器在向DHCP伺服器請求一個地址分配。Hacker常進入它們分配一個地址把自己作為區域性路由器而發起大量的“中間人”(man-in-middle) 攻擊。客戶端向68埠(bootps)廣播請求配置,伺服器向67埠(bootpc)廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以傳送的 IP地址。
69 TFTP(UDP) 許多伺服器與bootp一起提供這項服務,便於從系統下載啟動程式碼。但是它們常常錯誤配置而從系統提供任何檔案,如密碼檔案。它們也可用於向系統寫入檔案。
79 finger Hacker用於獲得使用者資訊,查詢作業系統,探測已知的緩衝區溢位錯誤,回應從自己機器到其它機器finger掃描。
80 web站點預設80為服務埠,採用tcp或udp協議。
98 linuxconf 這個程式提供linux boxen的簡單管理。透過整合的HTTP伺服器在98埠提供基於Web介面的服務。它已發現有許多安全問題。一些版本setuid root,信任區域網,在/tmp下建立Internet可訪問的檔案,LANG環境變數有緩衝區溢位。此外因為它包含整合的伺服器,許多典型的HTTP 漏洞可能存在(緩衝區溢位,歷遍目錄等)
109 POP2 並不象POP3那樣有名,但許多伺服器同時提供兩種服務(向後相容)。在同一個伺服器上POP3的漏洞在POP2中同樣存在。
110 POP3 用於客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於使用者名稱和密碼交換緩衝區溢位的弱點至少有20個(這意味著Hacker可以在真正登陸前進入系統)。成功登陸後還有其它緩衝區溢位錯誤。
111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。訪問portmapper是掃描系統檢視允許哪些RPC服務的最早的一步。常見RPC服務有: rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提供服務的特定埠測試漏洞。記住一定要記錄線路中的daemon, IDS, 或sniffer,你可以發現入侵者正使用什麼程式訪問以便發現到底發生了什麼。
113 Ident auth 這是一個許多機器上執行的協議,用於鑑別TCP連線的使用者。使用標準的這種服務可以獲得許多機器的資訊(會被Hacker利用)。但是它可作為許多服務的 記錄器,尤其是FTP, POP, IMAP, SMTP和IRC等服務。通常如果有許多客戶透過防火牆訪問這些服務,你將會看到許多這個埠的連線請求。記住,如果你阻斷這個埠客戶端會感覺到在防火 牆另一邊與e-mail伺服器的緩慢連線。許多防火牆支援在TCP連線的阻斷過程中發回RST,著將回停止這一緩慢的連線。
119 NNTP news 新聞組傳輸協議,承載USENET通訊。當你連結到諸如:news://comp.security.firewalls/. 的地址時通常使用這個埠。這個埠的連線企圖通常是人們在尋找USENET伺服器。多數ISP限制只有他們的客戶才能訪問他們的新聞組伺服器。開啟新聞組伺服器將允許發/讀任何人的帖子,訪問被限制的新聞組伺服器,匿名發帖或傳送spam。
135 oc-serv MS RPC end-point mapper Microsoft在這個埠執行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和/或RPC的服務利用機器上的end-point mapper註冊它們的位置。遠端客戶連線到機器時,它們查詢end-point mapper找到服務的位置。同樣Hacker掃描機器的這個埠是為了找到諸如:這個機器上執行Exchange Server嗎?是什麼版本?這個埠除了被用來查詢服務(如使用epdump)還可以被用於直接攻擊。有一些DoS攻擊直接針對這個埠。
137 NetBIOS name service nbtstat (UDP) 這是防火牆管理員最常見的資訊。
139 NetBIOS File and Print Sharing 透過這個埠進入的連線試圖獲得NetBIOS/SMB服務。這個協議被用於Windows“檔案和印表機共享”和SAMBA。在Internet上共享 自己的硬碟是可能是最常見的問題。大量針對這一埠始於1999,後來逐漸變少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)開始將它們自己複製到這個埠,試圖在這個埠繁殖。
143 IMAP 和上面POP3的安全問題一樣,許多IMAP伺服器有緩衝區溢位漏洞執行登陸過程中進入。記住:一種Linux蠕蟲(admw0rm)會透過這個埠繁 殖,因此許多這個埠的掃描來自不知情的已被感染的使用者。當RadHat在他們的Linux釋出版本中預設允許IMAP後,這些漏洞變得流行起來。 Morris蠕蟲以後這還是第一次廣泛傳播的蠕蟲。這一埠還被用於IMAP2,但並不流行。已有一些報導發現有些0到143埠的攻擊源於指令碼。
161 SNMP(UDP) 入侵者常探測的埠。SNMP允許遠端管理裝置。所有配置和執行資訊都儲存在資料庫中,透過SNMP客獲得這些資訊。許多管理員錯誤配置將它們暴露於 Internet。Crackers將試圖使用預設的密碼“public”“private”訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會 被錯誤的指向你的網路。Windows機器常會因為錯誤配置將HP JetDirect remote management軟體使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網內廣播(cable modem, DSL)查詢sysName和其它資訊。
162 SNMP trap 可能是由於錯誤配置
177 xdmcp 許多Hacker透過它訪問X-Windows控制檯, 它同時需要開啟6000埠。
513 rwho 可能是從使用cable modem或DSL登陸到的子網中的UNIX機器發出的廣播。這些人為Hacker進入他們的系統提供了很有趣的資訊。
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你將會看到這個埠的廣播。CORBA是一種物件導向的RPC(remote procedure call)系統。Hacker會利用這些資訊進入系統。
600 Pcserver backdoor 請檢視1524埠。一些玩script的孩子認為他們透過修改ingreslock和pcserver檔案已經完全攻破了系統-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數對這個埠的掃描是基於UDP的,但基於TCP的mountd有所增加(mountd同時執行於兩個端 口)。記住,mountd可執行於任何埠(到底在哪個埠,需要在埠111做portmap查詢),只是Linux預設為635埠,就象NFS通常 執行於2049埠。
1024 許多人問這個埠是幹什麼的。它是動態埠的開始。許多程式並不在乎用哪個埠連線網路,它們請求作業系統為它們分配“下一個閒置埠”。基於這一點分配 從埠1024開始。這意味著第一個向系統請求分配動態埠的程式將被分配埠1024。為了驗證這一點,你可以重啟機器,開啟Telnet,再開啟一個 視窗執行“natstat -a”,你將會看到Telnet被分配1024埠。請求的程式越多,動態埠也越多。作業系統分配的埠將逐漸變大。再來一遍,當你瀏覽Web頁時用 “netstat”檢視,每個Web頁需要一個新埠。
1025,1026 參見1024
1080 SOCKS 這一協議以管道方式穿過防火牆,允許防火牆後面的許多人透過一個IP地址訪問Internet。理論上它應該只允許內部的通訊向外達到Internet。 但是由於錯誤的配置,它會允許Hacker/Cracker的位於防火牆外部的攻擊穿過防火牆。或者簡單地回應位於Internet上的計算機,從而掩飾 他們對你的直接攻擊。WinGate是一種常見的Windows個人防火牆,常會發生上述的錯誤配置。在加入IRC聊天室時常會看到這種情況。
1114 SQL 系統本身很少掃描這個埠,但常常是sscan指令碼的一部分。
1243 Sub-7木馬(TCP)
1524 ingreslock 後門許多攻擊指令碼將安裝一個後門Shell於這個埠(尤其是那些針對Sun系統中sendmail和RPC服務漏洞的指令碼,如statd, ttdbserver
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10292431/viewspace-921839/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 防火牆埠(下)(轉載)防火牆
- 防火牆埠(上)(轉載)防火牆
- Windows上Oracle開放防火牆埠問題(轉)WindowsOracle防火牆
- CentOS 7 開放防火牆埠CentOS防火牆
- Linux 7新增防火牆埠Linux防火牆
- centos 開啟防火牆指定埠CentOS防火牆
- CentOS下開放防火牆埠CentOS防火牆
- 雲伺服器埠和防火牆埠配置伺服器防火牆
- 硬體防火牆選購指南(轉載)防火牆
- Ubuntu系統中防火牆的使用和開放埠Ubuntu防火牆
- Centos7 防火牆(firewall)開埠CentOS防火牆
- 全面分析防火牆及防火牆的滲透(轉)防火牆
- Centos 7防火牆firewalld開放80埠CentOS防火牆
- Linux 防火牆開放特定埠 (iptables)Linux防火牆
- entos 7中防火牆防火牆
- 開啟、關閉防火牆或者開放埠防火牆
- linux 防火牆埠號開發情況Linux防火牆
- Windows server 防火牆開放oracle監聽埠WindowsServer防火牆Oracle
- Centos7 開啟80埠防火牆命令CentOS防火牆
- CentOS開啟防火牆及開放指定埠CentOS防火牆
- 選用單防火牆DMZ還是雙防火牆DMZ(轉)防火牆
- Juniper防火牆簡介(轉)防火牆
- 防火牆介紹(1)(轉)防火牆
- 防火牆介紹(2)(轉)防火牆
- 動態 iptables 防火牆(轉)防火牆
- NAT iptables防火牆(script)(轉)防火牆
- 轉載: 總結:oracle穿過防火牆的問題Oracle防火牆
- 八種防火牆產品評測(企業級防火牆)(轉)防火牆
- ubuntu下開啟/關閉防火牆 及埠 - 命令Ubuntu防火牆
- linux下修改防火牆,開啟8080埠Linux防火牆
- linux在防火牆上開啟1521埠Linux防火牆
- 在防火牆上開發Oracle埠的問題防火牆Oracle
- WAb防火牆與傳統防火牆防火牆
- FreeBSD防火牆技術(轉)防火牆
- 深入淺出談防火牆(轉)防火牆
- 動態iptables防火牆dynfw(轉)防火牆
- 輕輕鬆鬆穿透防火牆(轉)穿透防火牆
- 伺服器window如何設定防火牆開放埠伺服器防火牆