防火牆埠(中)(轉載)

anttyhuang發表於2007-06-28
--接上轉載--

1032=BBN IAD
1067=Installation Bootstrap Proto. Serv.
1068=Installation Bootstrap Proto. Cli.
1080=SOCKS
1083=Anasoft License Manager
1084=Anasoft License Manager
1155=Network File Access
1222=SNI R&D network
1248=hermes
1346=Alta Analytics License Manager
1347=multi media conferencing
1347=multi media conferencing
1348=multi media conferencing
1349=Registration Network Protocol

[@more@]1350=Registration Network Protocol
1351=Digital Tool Works (MIT)
1352=/Lotus Notelotusnote
1353=Relief Consulting
1354=RightBrain Software
1355=Intuitive Edge
1356=CuillaMartin Company
1357=Electronic PegBoard
1358=CONNLCLIconnlcli
1359=FTSRVftsrv
1360=MIMERmimer
1361=LinX
1362=TimeFliestimeflies
1363=Network DataMover Requester
1364=Network DataMover Server
1365=Network Software Associates
1366=Novell NetWare Comm Service Platform
1367=DCSdcs
1368=ScreenCastscreencast
1369=GlobalView to Unix Shell
1370=Unix Shell to GlobalView
1371=Fujitsu Config Protocol
1372=Fujitsu Config Protocol
1373=Chromagrafxchromagrafx
1374=EPI Software Systems
1375=Bytexbytex
1376=IBM Person to Person Software
1377=Cichlid License Manager
1378=Elan License Manager
1379=Integrity Solutions
1380=Telesis Network License Manager
1381=Apple Network License Manager
1382=udt_os
1383=GW Hannaway Network License Manager
1384=Objective Solutions License Manager
1385=Atex Publishing License Manager
1386=CheckSum License Manager
1387=Computer Aided Design Software Inc LM
1388=Objective Solutions DataBase Cache
1389=Document Manager
1390=Storage Controller
1391=Storage Access Server
1392=Print Managericlpv-pm
1393=Network Log Server
1394=Network Log Client
1395=PC Workstation Manager software
1396=DVL Active Mail
1397=Audio Active Mail
1398=Video Active Mail
1399=Cadkey License Manager
1400=Cadkey Tablet Daemon
1401=Goldleaf License Manager
1402=Prospero Resource Manager
1403=Prospero Resource Manager
1404=Infinite Graphics License Manager
1405=IBM Remote Execution Starter
1406=NetLabs License Manager
1407=DBSA License Manager
1408=Sophia License Manager
1409=Here License Manager
1410=HiQ License Manager
1411=AudioFileaf
1412=InnoSysinnosys
1413=Innosys-ACLinnosys-acl
1414=IBM MQSeriesibm-mqseries
1415=DBStardbstar
1416=Novell LU6.2novell-lu6.2
1417=Timbuktu Service 1 Port
1417=Timbuktu Service 1 Port
1418=Timbuktu Service 2 Port
1419=Timbuktu Service 3 Port
1420=Timbuktu Service 4 Port
1421=Gandalf License Manager
1422=Autodesk License Manager
1423=Essbase Arbor Software
1424=Hybrid Encryption Protocol
1425=Zion Software License Manager
1426=Satellite-data Acquisition System 1
1427=mloadd monitoring tool
1428=Informatik License Manager
1429=Hypercom NMSnms
1430=Hypercom TPDUtpdu
1431=Reverse Gosip Transport
1432=Blueberry Software License Manager
1433=Microsoft-SQL-Server
1434=Microsoft-SQL-Monitor
1435=IBM CISCibm-cics
1436=Satellite-data Acquisition System 2
1437=Tabulatabula
1438=Eicon Security Agent/Server
1439=Eicon X25/SNA Gateway
1440=Eicon Service Location Protocol
1441=Cadis License Management
1442=Cadis License Management
1443=Integrated Engineering Software
1444=Marcam License Management
1445=Proxima License Manager
1446=Optical Research Associates License Manager
1447=Applied Parallel Research LM
1448=OpenConnect License Manager
1449=PEportpeport
1450=Tandem Distributed Workbench Facility
1451=IBM Information Management
1452=GTE Government Systems License Man
1453=Genie License Manager
1454=interHDL License Manager
1454=interHDL License Manager
1455=ESL License Manager
1456=DCAdca
1457=Valisys License Manager
1458=Nichols Research Corp.
1459=Proshare Notebook Application
1460=Proshare Notebook Application
1461=IBM Wireless LAN
1462=World License Manager
1463=Nucleusnucleus
1464=MSL License Manager
1465=Pipes Platform
1466=Ocean Software License Manager
1467=CSDMBASEcsdmbase
1468=CSDMcsdm
1469=Active Analysis Limited License Manager
1470=Universal Analytics
1471=csdmbasecsdmbase
1472=csdmcsdm
1473=OpenMathopenmath
1474=Telefindertelefinder
1475=Taligent License Manager
1476=clvm-cfgclvm-cfg
1477=ms-sna-server
1478=ms-sna-base
1479=dberegisterdberegister
1480=PacerForumpacerforum
1481=AIRSairs
1482=Miteksys License Manager
1483=AFS License Manager
1484=Confluent License Manager
1485=LANSourcelansource
1486=nms_topo_serv
1487=LocalInfoSrvr
1488=DocStordocstor
1489=dmdocbrokerdmdocbroker
1490=insitu-confinsitu-conf
1491=anynetgateway
1492=stone-design-1
1493=netmap_lmnetmap_lm
1494=icaica
1495=cvccvc
1496=liberty-lmliberty-lm
1497=rfx-lmrfx-lm
1498=Watcom-SQLwatcom-sql
1499=Federico Heinz Consultora
1500=VLSI License Manager
1501=Satellite-data Acquisition System 3
1502=Shivashivadiscovery
1503=Databeamimtc-mcs
1504=EVB Software Engineering License Manager
1505=Funk Software, Inc.
1524=ingres
1525=oracle
1525=Prospero Directory Service non-priv
1526=Prospero Data Access Prot non-priv
1527=oracletlisrv
1529=oraclecoauthor
1600=issd
1651=proshare conf audio
1652=proshare conf video
1653=proshare conf data
1654=proshare conf request
1655=proshare conf notify
1661=netview-aix-1netview-aix-1
1662=netview-aix-2netview-aix-2
1663=netview-aix-3netview-aix-3
1664=netview-aix-4netview-aix-4
1665=netview-aix-5netview-aix-5
1666=netview-aix-6netview-aix-6
1986=cisco license management
1987=cisco RSRB Priority 1 port
1988=cisco RSRB Priority 2 port
1989=cisco RSRB Priority 3 port
1989=MHSnet systemmshnet
1990=cisco STUN Priority 1 port
1991=cisco STUN Priority 2 port
1992=cisco STUN Priority 3 port
1992=IPsendmsgipsendmsg
1993=cisco SNMP TCP port
1994=cisco serial tunnel port
1995=cisco perf port
1996=cisco Remote SRB port
1997=cisco Gateway Discovery Protocol
1998=cisco X.25 service (XOT)
1999=cisco identification port
2009=whosockami
2010=pipe_server
2011=raid
2012=raid-ac
2013=rad-am
2015=raid-cs
2016=bootserver
2017=terminaldb
2018=rellpack
2019=about
2019=xinupageserver
2020=xinupageserver
2021=xinuexpansion1
2021=down
2022=xinuexpansion2
2023=xinuexpansion3
2023=xinuexpansion4
2024=xinuexpansion4
2025=xribs
2026=scrabble
2027=shadowserver
2028=submitserver
2039=device2
2032=blackboard
2033=glogger
2034=scoremgr
2035=imsldoc
2038=objectmanager
2040=lam
2041=interbase
2042=isis
2043=isis-bcast
2044=primsl
2045=cdfunc
2047=dls
2048=dls-monitor
2065=Data Link Switch Read Port Number
2067=Data Link Switch Write Port Number
2201=Advanced Training System Program
2500=Resource Tracking system server
2501=Resource Tracking system client
2564=HP 3000 NS/VT block mode telnet
2784=world wide web - development
3049=ccmail
3264=ccmail, cc:mail/lotus
3333=dec-notes
3984=MAPPER network node manager
3985=MAPPER TCP/IP server
3986=MAPPER workstation server
3421=Bull Apprise portmapper
3900=Unidata UDT OS
4132=NUTS Daemonnuts_dem
4133=NUTS Bootp Server
4343=UNICALL
4444=KRB524
4672=remote file access server
5002=radio free ethernet
5010=TelepathStarttelelpathstart
5011=TelepathAttack
5050=multimedia conference control tool
5145=rmonitor_secure
5190=aol, America-Online
5300=HA cluster heartbeat
5301=hacl-gs # HA cluster general services
5302=HA cluster configuration
5303=hacl-probe HA cluster probing
5305=hacl-test
6000-6063=x11 X Window System
6111=sub-process HP SoftBench Sub-Process Control
6141/=meta-corp Meta Corporation License Manager
6142=aspentec-lm Aspen Technology License Manager
6143=watershed-lm Watershed License Manager
6144=statsci1-lm StatSci License Manager - 1
6145=statsci2-lm StatSci License Manager - 2
6146=lonewolf-lm Lone Wolf Systems License Manager
6147=montage-lm Montage License Manager
7000=afs3-fileserver file server itself
7001=afs3-callback callbacks to cache managers
7002=afs3-prserver users & groups database
7003=afs3-vlserver volume location database
7004=afs3-kaserver AFS/Kerberos authentication service
7005=afs3-volser volume managment server
7006=afs3-errors error interpretation service
7007=afs3-bos basic overseer process
7008=afs3-update server-to-server updater
7009=afs3-rmtsys remote cache manager service
7010=ups-online onlinet uninterruptable power supplies
7100=X Font Service
7200=FODMS FLIP
7626=
冰河
8010=Wingate
8181=IMail
9535=man
45576=E
代時光專業代理埠下面解釋的更具體,也算是補充。
0
通常用於分析作業系統。這一方法能夠工作是因為在一些系統中“0”是無效埠,當你試圖使用一種通常的閉合埠連線它時將產生不同的結果。一種典型的掃描:使用IP地址為0.0.0.0,設定ACK位並在乙太網層廣播。

1 tcpmux
這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者,預設情況下tcpmux在這種系統中被開啟。Iris機器在釋出時含有幾個預設的無密碼的帳戶, lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 4Dgifts。許多管理員安裝後忘記刪除這些帳戶。因此Hacker們在Internet上搜尋tcpmux並利用這些帳戶。

7 Echo
你能看到許多人們搜尋Fraggle放大器時,傳送到x.x.x.0x.x.x.255的資訊。常見的一種DoS攻擊是echo迴圈(echo- loop),攻擊者偽造從一個機器傳送到另一個機器的UDP資料包,而兩個機器分別以它們最快的方式回應這些資料包。另一種東西是由 DoubleClick在詞埠建立的TCP連線。有一種產品叫做“Resonate Global Dispatch”,它與DNS的這一埠連線以確定最近的路由。Harvest/squid cache將從3130埠傳送UDP echo如果將cachesource_ping on選項開啟,它將對原始主機的UDP echo埠回應一個HIT reply這將會產生許多這類資料包。

11 sysstat
這是一種UNIX服務,它會列出機器上所有正在執行的程式以及是什麼啟動了這些程式。這為入侵者提供了許多資訊而威脅機器的安全,如暴露已知某些弱點或帳 戶的程式。這與UNIX系統中“ps”命令的結果相似。再說一遍:ICMP沒有埠,ICMP port 11通常是ICMP type=11

19 chargen
這是一種僅僅傳送字元的服務。UDP版本將會在收到UDP包後回應含有垃圾字元的包。TCP連線時,會傳送含有垃圾字元的資料流知道連線關閉。 Hacker利用IP欺騙可以發動DoS攻擊。偽造兩個chargen伺服器之間的UDP包。由於伺服器企圖回應兩個伺服器之間的無限的往返資料通訊一個 chargenecho將導致伺服器過載。同樣fraggle DoS攻擊向目標地址的這個埠廣播一個帶有偽造受害者IP的資料包,受害者為了回應這些資料而過載。

21 ftp
最常見的攻擊者用於尋找開啟“anonymous”ftp伺服器的方法。這些伺服器帶有可讀寫的目錄。HackersCrackers 利用這些伺服器作為傳送warez (私有程式) pr0n(故意拼錯詞而避免被搜尋引擎分類)的節點。

22 ssh PcAnywhere
建立TCP和這一埠的連線可能是為了尋找ssh。這一服務有許多弱點。如果配置成特定的模式,許多使用RSAREF庫的版本有不少漏洞。(建議在其它端 口執行ssh)。還應該注意的是ssh工具包帶有一個稱為make-ssh-known-hosts的程式。它會掃描整個域的ssh主機。你有時會被使用 這一程式的人無意中掃描到。UDP(而不是TCP)與另一端的5632埠相連意味著存在搜尋pcAnywhere的掃描。5632(十六進位制的 0x1600)位交換後是0x0016(使進位制的22)。

23 Telnet
入侵者在搜尋遠端登陸UNIX的服務。大多數情況下入侵者掃描這一埠是為了找到機器執行的作業系統。此外使用其它技術,入侵者會找到密碼。

25 smtp
攻擊者(spammer)尋找SMTP伺服器是為了傳遞他們的spam。入侵者的帳戶總被關閉,他們需要撥號連線到高頻寬的e-mail伺服器上,將簡單 的資訊傳遞到不同的地址。SMTP伺服器(尤其是sendmail)是進入系統的最常用方法之一,因為它們必須完整的暴露於Internet且郵件的路由 是複雜的(暴露+複雜=弱點)。

53 DNS Hacker
crackers可能是試圖進行區域傳遞(TCP),欺騙DNSUDP)或隱藏其它通訊。因此防火牆常常過濾或記錄53埠。需要注意的 是你常會看到53埠做為UDP源埠。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回覆。Hacker常使用這種方法穿透防火牆。

67&68 Bootp
DHCP UDP上的Bootp/DHCP:透過DSLcable-modem的防火牆常會看見大量傳送到廣播地址255.255.255.255的資料。這些機 器在向DHCP伺服器請求一個地址分配。Hacker常進入它們分配一個地址把自己作為區域性路由器而發起大量的中間人man-in-middle 攻擊。客戶端向68埠(bootps)廣播請求配置,伺服器向67埠(bootpc)廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以傳送的 IP地址。

69 TFTP(UDP)
許多伺服器與bootp一起提供這項服務,便於從系統下載啟動程式碼。但是它們常常錯誤配置而從系統提供任何檔案,如密碼檔案。它們也可用於向系統寫入檔案。

79 finger Hacker
用於獲得使用者資訊,查詢作業系統,探測已知的緩衝區溢位錯誤,回應從自己機器到其它機器finger掃描。

80 web
站點預設80為服務埠,採用tcpudp協議。

98 linuxconf
這個程式提供linux boxen的簡單管理。透過整合的HTTP伺服器在98埠提供基於Web介面的服務。它已發現有許多安全問題。一些版本setuid root,信任區域網,在/tmp下建立Internet可訪問的檔案,LANG環境變數有緩衝區溢位。此外因為它包含整合的伺服器,許多典型的HTTP 漏洞可能存在(緩衝區溢位,歷遍目錄等)

109 POP2
並不象POP3那樣有名,但許多伺服器同時提供兩種服務(向後相容)。在同一個伺服器上POP3的漏洞在POP2中同樣存在。

110 POP3
用於客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於使用者名稱和密碼交換緩衝區溢位的弱點至少有20個(這意味著Hacker可以在真正登陸前進入系統)。成功登陸後還有其它緩衝區溢位錯誤。

111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND
。訪問portmapper是掃描系統檢視允許哪些RPC服務的最早的一步。常見RPC服務有: rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提供服務的特定埠測試漏洞。記住一定要記錄線路中的daemon, IDS, sniffer,你可以發現入侵者正使用什麼程式訪問以便發現到底發生了什麼。

113 Ident auth
這是一個許多機器上執行的協議,用於鑑別TCP連線的使用者。使用標準的這種服務可以獲得許多機器的資訊(會被Hacker利用)。但是它可作為許多服務的 記錄器,尤其是FTP, POP, IMAP, SMTPIRC等服務。通常如果有許多客戶透過防火牆訪問這些服務,你將會看到許多這個埠的連線請求。記住,如果你阻斷這個埠客戶端會感覺到在防火 牆另一邊與e-mail伺服器的緩慢連線。許多防火牆支援在TCP連線的阻斷過程中發回RST,著將回停止這一緩慢的連線。

119 NNTP news
新聞組傳輸協議,承載USENET通訊。當你連結到諸如:news://comp.security.firewalls/. 的地址時通常使用這個埠。這個埠的連線企圖通常是人們在尋找USENET伺服器。多數ISP限制只有他們的客戶才能訪問他們的新聞組伺服器。開啟新聞組伺服器將允許發/讀任何人的帖子,訪問被限制的新聞組伺服器,匿名發帖或傳送spam

135 oc-serv MS RPC end-point mapper Microsoft
在這個埠執行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM/RPC的服務利用機器上的end-point mapper註冊它們的位置。遠端客戶連線到機器時,它們查詢end-point mapper找到服務的位置。同樣Hacker掃描機器的這個埠是為了找到諸如:這個機器上執行Exchange Server嗎?是什麼版本?這個埠除了被用來查詢服務(如使用epdump)還可以被用於直接攻擊。有一些DoS攻擊直接針對這個埠。

137 NetBIOS name service nbtstat (UDP)
這是防火牆管理員最常見的資訊。

139 NetBIOS File and Print Sharing
透過這個埠進入的連線試圖獲得NetBIOS/SMB服務。這個協議被用於Windows“檔案和印表機共享SAMBA。在Internet上共享 自己的硬碟是可能是最常見的問題。大量針對這一埠始於1999,後來逐漸變少。2000年又有回升。一些VBSIE5 VisualBasic Scripting)開始將它們自己複製到這個埠,試圖在這個埠繁殖。

143 IMAP
和上面POP3的安全問題一樣,許多IMAP伺服器有緩衝區溢位漏洞執行登陸過程中進入。記住:一種Linux蠕蟲(admw0rm)會透過這個埠繁 殖,因此許多這個埠的掃描來自不知情的已被感染的使用者。當RadHat在他們的Linux釋出版本中預設允許IMAP後,這些漏洞變得流行起來。 Morris蠕蟲以後這還是第一次廣泛傳播的蠕蟲。這一埠還被用於IMAP2,但並不流行。已有一些報導發現有些0143埠的攻擊源於指令碼。

161 SNMP(UDP)
入侵者常探測的埠。SNMP允許遠端管理裝置。所有配置和執行資訊都儲存在資料庫中,透過SNMP客獲得這些資訊。許多管理員錯誤配置將它們暴露於 InternetCrackers將試圖使用預設的密碼“public”“private”訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會 被錯誤的指向你的網路。Windows機器常會因為錯誤配置將HP JetDirect remote management軟體使用SNMPHP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網內廣播(cable modem, DSL)查詢sysName和其它資訊。

162 SNMP trap
可能是由於錯誤配置

177 xdmcp
許多Hacker透過它訪問X-Windows控制檯, 它同時需要開啟6000埠。

513 rwho
可能是從使用cable modemDSL登陸到的子網中的UNIX機器發出的廣播。這些人為Hacker進入他們的系統提供了很有趣的資訊。

553 CORBA IIOP (UDP)
如果你使用cable modemDSL VLAN,你將會看到這個埠的廣播。CORBA是一種物件導向的RPCremote procedure call)系統。Hacker會利用這些資訊進入系統。

600 Pcserver backdoor
請檢視1524埠。一些玩script的孩子認為他們透過修改ingreslockpcserver檔案已經完全攻破了系統-- Alan J. Rosenthal.

635 mountd Linux
mountd Bug。這是人們掃描的一個流行的Bug。大多數對這個埠的掃描是基於UDP的,但基於TCPmountd有所增加(mountd同時執行於兩個端 口)。記住,mountd可執行於任何埠(到底在哪個埠,需要在埠111portmap查詢),只是Linux預設為635埠,就象NFS通常 執行於2049埠。

1024
許多人問這個埠是幹什麼的。它是動態埠的開始。許多程式並不在乎用哪個埠連線網路,它們請求作業系統為它們分配下一個閒置埠。基於這一點分配 從埠1024開始。這意味著第一個向系統請求分配動態埠的程式將被分配埠1024。為了驗證這一點,你可以重啟機器,開啟Telnet,再開啟一個 視窗執行“natstat -a”,你將會看到Telnet被分配1024埠。請求的程式越多,動態埠也越多。作業系統分配的埠將逐漸變大。再來一遍,當你瀏覽Web頁時用 “netstat”檢視,每個Web頁需要一個新埠。

1025
1026 參見1024

1080 SOCKS
這一協議以管道方式穿過防火牆,允許防火牆後面的許多人透過一個IP地址訪問Internet。理論上它應該只允許內部的通訊向外達到Internet 但是由於錯誤的配置,它會允許Hacker/Cracker的位於防火牆外部的攻擊穿過防火牆。或者簡單地回應位於Internet上的計算機,從而掩飾 他們對你的直接攻擊。WinGate是一種常見的Windows個人防火牆,常會發生上述的錯誤配置。在加入IRC聊天室時常會看到這種情況。

1114 SQL
系統本身很少掃描這個埠,但常常是sscan指令碼的一部分。

1243 Sub-7
木馬(TCP

1524 ingreslock
後門許多攻擊指令碼將安裝一個後門Shell於這個埠(尤其是那些針對Sun系統中sendmailRPC服務漏洞的指令碼,如statd, ttdbserver

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10292431/viewspace-921839/,如需轉載,請註明出處,否則將追究法律責任。

相關文章