解決方案

端口（二）

發(fā)布時(shí)間：2019-05-22

在網(wǎng)絡(luò)技術(shù)中，端口（Port）包括邏輯端口和物理端口兩種類型。物理端口指的是物理存在的端口，如ADSL Modem、集線器、交換機(jī)、路由器上用于連接其他網(wǎng)絡(luò)設(shè)備的接口，如RJ-45端口、SC端口等等。邏輯端口是指邏輯意義上用于區(qū)分服務(wù)的端口，如TCP/IP協(xié)議中的服務(wù)端口，端口號(hào)的范圍從0到65535，比如用于瀏覽網(wǎng)頁(yè)服務(wù)的80端口，用于FTP服務(wù)的21端口等。由于物理端口和邏輯端口數(shù)量較多，為了對(duì)端口進(jìn)行區(qū)分，將每個(gè)端口進(jìn)行了編號(hào)，這就是端口號(hào)。

中文名: 端口
外文名: port number

涵義

端口包括物理端口和邏輯端口。物理端口是用于連接物理設(shè)備之間的接口，邏輯端口是邏輯上用于區(qū)分服務(wù)的端口。TCP/IP協(xié)議中的端口就是邏輯端口，通過(guò)不同的邏輯端口來(lái)區(qū)分不同的服務(wù)。一個(gè)IP地址的端口通過(guò)16bit進(jìn)行編號(hào)，最多可以有65536個(gè)端口。端口是通過(guò)端口號(hào)來(lái)標(biāo)記的，端口號(hào)只有整數(shù)，范圍是從0 到65535。

功能

端口有什么用呢？我們知道，一臺(tái)擁有IP地址的主機(jī)可以提供許多服務(wù)，比如Web服務(wù)、FTP服務(wù)、SMTP服務(wù)等，這些服務(wù)完全可以通過(guò)1個(gè)IP地址來(lái)實(shí)現(xiàn)。那么，主機(jī)是怎樣區(qū)分不同的網(wǎng)絡(luò)服務(wù)呢？顯然不能只靠IP地址，因?yàn)镮P 地址與網(wǎng)絡(luò)服務(wù)的關(guān)系是一對(duì)多的關(guān)系。實(shí)際上是通過(guò)“IP地址+端口號(hào)”來(lái)區(qū) 分不同的服務(wù)的。

服務(wù)器一般都是通過(guò)知名端口號(hào)來(lái)識(shí)別的。例如，對(duì)于每個(gè)TCP/IP實(shí)現(xiàn)來(lái)說(shuō)，FTP服務(wù)器的TCP端口號(hào)都是21，每個(gè)Telnet服務(wù)器的TCP端口號(hào)都是23，每個(gè)TFTP(簡(jiǎn)單文件傳送協(xié)議)服務(wù)器的UDP端口號(hào)都是69。任何TCP/IP實(shí)現(xiàn)所提供的服務(wù)都用知名的1～1023之間的端口號(hào)。這些知名端口號(hào)由Internet號(hào)分配機(jī)構(gòu)（InternetAssignedNumbersAuthority,IANA）來(lái)管理。

到1992年為止，知名端口號(hào)介于1～255之間。256～1023之間的端口號(hào)通常都是由Unix系統(tǒng)占用，以提供一些特定的Unix服務(wù)—也就是說(shuō)，提供一些只有Unix系統(tǒng)才有的、而其他操作系統(tǒng)可能不提供的服務(wù)，IANA管理1～1023之間所有的端口號(hào)。

Internet擴(kuò)展服務(wù)與Unix特定服務(wù)之間的一個(gè)差別就是Telnet和Rlogin。它們二者都允許通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)登錄到其他主機(jī)上。Telnet是采用端口號(hào)為23的TCP/IP標(biāo)準(zhǔn)且?guī)缀蹩梢栽谒?a target="_blank">操作系統(tǒng)上進(jìn)行實(shí)現(xiàn)。Rlogin只是為Unix系統(tǒng)設(shè)計(jì)的（盡管許多非Unix系統(tǒng)也提供該服務(wù)），它的有名端口號(hào)為513。

客戶端通常對(duì)它所使用的端口號(hào)并不關(guān)心，只需保證該端口號(hào)在本機(jī)上是唯一的就可以了。客戶端口號(hào)又稱作臨時(shí)端口號(hào)（即存在時(shí)間很短暫）。這是因?yàn)樗ǔＶ皇窃谟脩暨\(yùn)行該客戶程序時(shí)才存在，而服務(wù)器則只要主機(jī)開(kāi)著的，其服務(wù)就運(yùn)行。

大多數(shù)TCP/IP實(shí)現(xiàn)給臨時(shí)端口分配1024～5000之間的端口號(hào)。大于5000的端口號(hào)是為其他服務(wù)器預(yù)留的（Internet上并不常用的服務(wù))。我們可以在后面看見(jiàn)許多這樣的給臨時(shí)端口分配端口號(hào)的例子。

Solaris2.2是一個(gè)很有名的例外。通常TCP和UDP的缺省臨時(shí)端口號(hào)從32768開(kāi)始。

使用

TCP與UDP段結(jié)構(gòu)中端口地址都是16比特，可以有在0---65535范圍內(nèi)的端口號(hào)。對(duì)于這65536個(gè)端口號(hào)有以下的使用規(guī)定：

（1）端口號(hào)小于256的定義為常用端口，服務(wù)器一般都是通過(guò)常用端口號(hào)來(lái)識(shí)別的。任何TCP/IP實(shí)現(xiàn)所提供的服務(wù)都用1---1023之間的端口號(hào)，是由ICANN來(lái)管理的；

（2）客戶端只需保證該端口號(hào)在本機(jī)上是惟一的就可以了。客戶端口號(hào)因存在時(shí)間很短暫又稱臨時(shí)端口號(hào)；

（3）大多數(shù)TCP/IP實(shí)現(xiàn)給臨時(shí)端口號(hào)分配1024---5000之間的端口號(hào)。大于5000的端口號(hào)是為其他服務(wù)器預(yù)留的。

分類

邏輯端口

邏輯意義上的端口有多種分類標(biāo)準(zhǔn)，下面將介紹常見(jiàn)的按端口號(hào)分布的分類：

（1）公認(rèn)端口（Well-Known Ports）

知名端口即眾所周知的端口號(hào)，范圍從0到1023，這些端口號(hào)一般固定分配給一些服務(wù)。比如21端口分配給FTP(文件傳輸協(xié)議)服務(wù)，25端口分配給SMTP（簡(jiǎn)單郵件傳輸協(xié)議）服務(wù)，80端口分配給HTTP服務(wù)，135端口分配給RPC（遠(yuǎn)程過(guò)程調(diào)用）服務(wù)等等。

網(wǎng)絡(luò)服務(wù)是可以使用其他端口號(hào)的，如果不是默認(rèn)的端口號(hào)則應(yīng)該在地址欄上指定端口號(hào)，方法是在地址后面加上冒號(hào)“:”（半角），再加上端口號(hào)。比如使用“8080”作為WWW服務(wù)的端口，則需要在地址欄里輸入“：8080”。

但是有些系統(tǒng)協(xié)議使用固定的端口號(hào)，它是不能被改變的，比如139 端口專門用于NetBIOS與TCP/IP之間的通信，不能手動(dòng)改變。

（2）注冊(cè)端口（Registered Ports）：端口號(hào)從1025到49151。它們松散地綁定于一些服務(wù)。也是說(shuō)有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其他目的。這些端口多數(shù)沒(méi)有明確的定義服務(wù)對(duì)象，不同程序可根據(jù)實(shí)際需要自己定義，如后面要介紹的遠(yuǎn)程控制軟件和木馬程序中都會(huì)有這些端口的定義的。記住這些常見(jiàn)的程序端口在木馬程序的防護(hù)和查殺上是非常有必要的。常見(jiàn)木馬所使用的端口在后面將有詳細(xì)的列表。

動(dòng)態(tài)端口

（1）（動(dòng)態(tài)和/或私有端口（Dynamic and/or Private Ports）

動(dòng)態(tài)端口的范圍從1024到65535，這些端口號(hào)一般不固定分配給某個(gè)服務(wù)，也就是說(shuō)許多服務(wù)都可以使用這些端口。只要運(yùn)行的程序向系統(tǒng)提出訪問(wèn)網(wǎng)絡(luò)的申請(qǐng)，那么系統(tǒng)就可以從這些端口號(hào)中分配一個(gè)供該程序使用。比如1024端口就是分配給第一個(gè)向系統(tǒng)發(fā)出申請(qǐng)的程序。在關(guān)閉程序進(jìn)程后，就會(huì)釋放所占用的端口號(hào)。

不過(guò)，動(dòng)態(tài)端口也常常被病毒木馬程序所利用，如冰河默認(rèn)連接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等。

保留端

（1）

Unix系統(tǒng)有保留端口號(hào)的概念。只有具有超級(jí)用戶特權(quán)的進(jìn)程才允許給它自己分配一個(gè)保留端口號(hào)。

這些端口號(hào)介于1～1023之間，一些應(yīng)用程序（如有名的Rlogin，26.2節(jié)）將它作為客戶與服務(wù)器之間身份認(rèn)證的一部分。

知名端口號(hào)

//注: 由于一些應(yīng)用軟件占用了部分端口, 因此此文件中的部分端口被注釋掉了(注釋字符為: //)

TCP 1=TCP Port Service Multiplexer

TCP 2=Death

TCP 5=Remote Job Entry,yoyo

TCP 7=Echo

TCP 11=Skun

TCP 12=Bomber

TCP 16=Skun

TCP 17=Skun

TCP 18=消息傳輸協(xié)議,skun

TCP 19=Skun

TCP 20=FTP Data,Amanda(傳輸數(shù)據(jù))

TCP 21=文件傳輸,（控制連接）Back Construction,Blade Runner,Doly Trojan,Fore,FTP trojan,Invisible FTP,Larva, WebEx,WinCrash

TCP 22=安全服務(wù)(SSH)

TCP 23=遠(yuǎn)程登錄(Telnet),Tiny Telnet Server (= TTS)

TCP 25=電子郵件(SMTP),Ajan,Antigen,Email Password Sender,Happy 99,Kuang2,ProMail trojan,Shtrilitz,Stealth,Tapiras,Terminator,WinPC,WinSpy,Haebu Coceda

TCP 27=Assasin

TCP 28=Amanda

TCP 29=MSG ICP

TCP 30=Agent 40421

TCP 31=Agent 31,Hackers Paradise,Masters Paradise,Agent 40421

TCP 37=Time,ADM worm

TCP 39=SubSARI

TCP 41=DeepThroat,Foreplay

TCP 42=Host Name Server

TCP 43=WHOIS

TCP 44=Arctic

TCP 48=DRAT

TCP 49=主機(jī)登錄協(xié)議

TCP 50=DRAT

TCP 51=IMP Logical Address Maintenance,Fuck Lamers Backdoor

TCP 52=MuSka52,Skun

TCP 53=DNS,Bonk (DOS Exploit)

TCP 54=MuSka52

TCP 58=DMSetup

TCP 59=DMSetup

TCP 63=whois++

TCP 64=Communications Integrator

TCP 65=TACACS-Database Service

TCP 66=Oracle SQL*NET,AL-Bareki

TCP 67=Bootstrap Protocol Server

TCP 68=Bootstrap Protocol Client

TCP 69=W32.Evala.Worm,BackGate Kit,Nimda,Pasana,Storm,Storm worm,Theef,Worm.Cycle.a，TFTP

TCP 70=Gopher服務(wù),ADM worm

TCP 79=用戶查詢(Finger),Firehotcker,ADM worm

TCP 80=超文本服務(wù)器(Http),Executor,RingZero

TCP 81=Chubo,Worm.Bbeagle.q

TCP 82=Netsky-Z

TCP 88=Kerberos krb5服務(wù)

TCP 99=Hidden Port

TCP 102=消息傳輸代理

TCP 108=SNA網(wǎng)關(guān)訪問(wèn)服務(wù)器

TCP 109=Pop2

TCP 110=電子郵件(Pop3),ProMail

TCP 113=Kazimas, Auther Idnet

TCP 115=簡(jiǎn)單文件傳輸協(xié)議

TCP 118=SQL Services, Infector 1.4.2

TCP 119=新聞組傳輸協(xié)議(Newsgroup(Nntp)), Happy 99

TCP 121=JammerKiller, Bo jammerkillah

TCP 123=網(wǎng)絡(luò)時(shí)間協(xié)議(NTP),Net Controller

TCP 129=Password Generator Protocol

TCP 133=Infector 1.x

TCP 135=微軟DCE RPC end-point mapper服務(wù)

TCP 137=微軟Netbios Name服務(wù)(網(wǎng)上鄰居傳輸文件使用)

TCP 138=微軟Netbios Name服務(wù)(網(wǎng)上鄰居傳輸文件使用)

TCP 139=微軟Netbios Name服務(wù)(用于文件及打印機(jī)共享)

TCP 142=NetTaxi

TCP 143=IMAP

TCP 146=FC Infector,Infector

TCP 150=NetBIOS Session Service

TCP 156=SQL服務(wù)器

TCP 161=Snmp

TCP 162=Snmp-Trap

TCP 170=A-Trojan

TCP 177=X Display管理控制協(xié)議

TCP 179=Border網(wǎng)關(guān)協(xié)議(BGP)

TCP 190=網(wǎng)關(guān)訪問(wèn)控制協(xié)議(GACP)

TCP 194=Irc

TCP 197=目錄定位服務(wù)(DLS)

TCP 256=Nirvana

TCP 315=The Invasor

TCP 371=ClearCase版本管理軟件

TCP 389=Lightweight Directory Access Protocol (LDAP)

TCP 396=Novell Netware over IP

TCP 420=Breach

TCP 421=TCP Wrappers

TCP 443=安全服務(wù)

TCP 444=Simple Network Paging Protocol(SNPP)

TCP 445=Microsoft-DS

TCP 455=Fatal Connections

TCP 456=Hackers paradise,FuseSpark

TCP 458=蘋(píng)果公司QuickTime

TCP 513=Grlogin

TCP 514=RPC Backdoor

UDP 520=Rip

TCP 531=Rasmin,Net666

TCP 544=kerberos kshell

TCP 546=DHCP Client

TCP 547=DHCP Server

TCP 548=Macintosh文件服務(wù)

TCP 555=Ini-Killer,Phase Zero,Stealth Spy

TCP 569=MSN

TCP 605=SecretService

TCP 606=Noknok8

TCP 660=DeepThroat

TCP 661=Noknok8

TCP 666=Attack FTP,Satanz Backdoor,Back Construction,Dark Connection Inside 1.2

TCP 667=Noknok7.2

TCP 668=Noknok6

TCP 669=DP trojan

TCP 692=GayOL

TCP 707=Welchia,nachi

TCP 777=AIM Spy

TCP 808=RemoteControl,WinHole

TCP 815=Everyone Darling

TCP 901=Backdoor.Devil

TCP 911=Dark Shadow

TCP 993=IMAP (帶SSL的加密功能)

TCP 994=SMTP (帶SSL的加密功能)

TCP 995=POP3 (帶SSL的加密功能)

TCP 999=DeepThroat

TCP 1000=Der Spaeher

TCP 1001=Silencer,WebEx,Der Spaeher

TCP 1003=BackDoor

TCP 1010=Doly

TCP 1011=Doly

TCP 1012=Doly

TCP 1015=Doly

TCP 1016=Doly

TCP 1020=Vampire

TCP 1023=Worm.Sasser.e

TCP 1024=NetSpy.698(YAI)

TCP 1059=nimreg

//TCP 1025=NetSpy.698,Unused Windows Services Block

//TCP 1026=Unused Windows Services Block

//TCP 1027=Unused Windows Services Block

TCP 1028=應(yīng)用層網(wǎng)關(guān)服務(wù)

//TCP 1029=Unused Windows Services Block

//TCP 1030=Unused Windows Services Block

//TCP 1033=Netspy

//TCP 1035=Multidropper

//TCP 1042=Bla

//TCP 1045=Rasmin

//TCP 1047=GateCrasher

//TCP 1050=MiniCommand

TCP 1058=nim

TCP 1069=Backdoor.TheefServer.202

TCP 1070=Voice,Psyber Stream Server,Streaming Audio Trojan

TCP 1079=ASPROVATalk

TCP 1080=Wingate,Worm.BugBear.B,Worm.Novarg.B

//TCP 1090=Xtreme, VDOLive

//TCP 1092=LoveGate

//TCP 1095=Rat

//TCP 1097=Rat

//TCP 1098=Rat

//TCP 1099=Rat

TCP 1109=Pop with Kerberos

TCP 1110=nfsd-keepalive

TCP 1111=Backdoor.AIMVision

TCP 1155=Network File Access

//TCP 1170=Psyber Stream Server,Streaming Audio trojan,Voice

//TCP 1200=NoBackO

//TCP 1201=NoBackO

//TCP 1207=Softwar

//TCP 1212=Nirvana,Visul Killer

//TCP 1234=Ultors

//TCP 1243=BackDoor-G, SubSeven, SubSeven Apocalypse

//TCP 1245=VooDoo Doll

//TCP 1269=Mavericks Matrix

TCP 1270=Microsoft Operations Manager

//TCP 1313=Nirvana

//TCP 1349=BioNet

TCP 1352=Lotus Notes

TCP 1433=Microsoft SQL Server

TCP 1434=Microsoft SQL Monitor

//TCP 1441=Remote Storm

//TCP 1492=FTP99CMP(BackOriffice.FTP)

TCP 1503=NetMeeting T.120

TCP 1512=Microsoft Windows Internet Name Service

//TCP 1509=Psyber Streaming Server

TCP 1570=Orbix Daemon

//TCP 1600=Shivka-Burka

//TCP 1703=Exloiter 1.1

TCP 1720=NetMeeting H.233 call Setup

TCP 1731=NetMeeting音頻調(diào)用控制

TCP 1745=ISA Server proxy autoconfig, Remote Winsock

TCP 1801=Microsoft Message Queue

//TCP 1807=SpySender

TCP 1906=Backdoor/Verify.b

TCP 1907=Backdoor/Verify.b

//TCP 1966=Fake FTP 2000

//TCP 1976=Custom port

//TCP 1981=Shockrave

TCP 1990=stun-p1 cisco STUN Priority 1 port

TCP 1991=stun-p2 cisco STUN Priority 2 port

TCP 1992=stun-p3 cisco STUN Priority 3 port,ipsendmsg IPsendmsg

TCP 1993=snmp-tcp-port cisco SNMP TCP port

TCP 1994=stun-port cisco serial tunnel port

TCP 1995=perf-port cisco perf port

TCP 1996=tr-rsrb-port cisco Remote SRB port

TCP 1997=gdp-port cisco Gateway Discovery Protocol

TCP 1998=x25-svc-port cisco X.25 service (XOT)

//TCP 1999=BackDoor, TransScout

//TCP 2000=Der Spaeher,INsane Network

TCP 2002=W32.Beagle. AX @mm

//TCP 2001=Transmission scout

//TCP 2002=Transmission scout

//TCP 2003=Transmission scout

//TCP 2004=Transmission scout

//TCP 2005=Transmission scout

TCP 2011=cypress

TCP 2015=raid-cs

//TCP 2023=Ripper,Pass Ripper,Hack City Ripper Pro

TCP 2049=NFS

//TCP 2115=Bugs

//TCP 2121=Nirvana

//TCP 2140=Deep Throat, The Invasor

//TCP 2155=Nirvana

//TCP 2208=RuX

TCP 2234=DirectPlay

//TCP 2255=Illusion Mailer

//TCP 2283=HVL Rat5

//TCP 2300=PC Explorer

//TCP 2311=Studio54

TCP 2556=Worm.Bbeagle.q

//TCP 2565=Striker

//TCP 2583=WinCrash

//TCP 2600=Digital RootBeer

//TCP 2716=Prayer Trojan

TCP 2745=Worm.BBeagle.k

//TCP 2773=Backdoor,SubSeven

//TCP 2774=SubSeven2.1&2.2

//TCP 2801=Phineas Phucker

TCP 2967=SSC Agent

//TCP 2989=Rat

//TCP 3024=WinCrash trojan

TCP 3074=Microsoft Xbox game port

TCP 3127=Worm.Novarg

TCP 3128=RingZero,Worm.Novarg.B

//TCP 3129=Masters Paradise

TCP 3132=Microsoft Business Rule Engine Update Service

//TCP 3150=Deep Throat, The Invasor

TCP 3198=Worm.Novarg

//TCP 3210=SchoolBus

TCP 3268=Microsoft Global Catalog

TCP 3269=Microsoft Global Catalog with LDAP/SSL

TCP 3332=Worm.Cycle.a

TCP 3333=Prosiak

TCP 3535=Microsoft Class Server

TCP 3389=超級(jí)終端

//TCP 3456=Terror

//TCP 3459=Eclipse 2000

//TCP 3700=Portal of Doom

//TCP 3791=Eclypse

//TCP 3801=Eclypse

TCP 3847=Microsoft Firewall Control

TCP 3996=Portal of Doom,RemoteAnything

TCP 4000=騰訊QQ客戶端

TCP 4060=Portal of Doom,RemoteAnything

TCP 4092=WinCrash

TCP 4242=VHM

TCP 4267=SubSeven2.1&2.2

TCP 4321=BoBo

TCP 4350=Net Device

TCP 4444=Prosiak,Swift remote

TCP 4500=Microsoft IPsec NAT-T,W32.HLLW.Tufas

TCP 4567=File Nail

TCP 4661=Backdoor/Surila.f

TCP 4590=ICQTrojan

TCP 4899=Remote Administrator服務(wù)器

TCP 4950=ICQTrojan

TCP 5000=WindowsXP服務(wù)器,Blazer 5,Bubbel,Back Door Setup,Sockets de Troie

TCP 5001=Back Door Setup, Sockets de Troie

TCP 5002=cd00r,Shaft

TCP 5011=One of the Last Trojans (OOTLT)

TCP 5025=WM Remote KeyLogger

TCP 5031=Firehotcker,Metropolitan,NetMetro

TCP 5032=Metropolitan

TCP 5190=ICQ Query

TCP 5321=Firehotcker

TCP 5333=Backage Trojan Box 3

TCP 5343=WCrat

TCP 5400=Blade Runner, BackConstruction1.2

TCP 5401=Blade Runner,Back Construction

TCP 5402=Blade Runner,Back Construction

TCP 5471=WinCrash

TCP 5512=Illusion Mailer

TCP 5521=Illusion Mailer

TCP 5550=Xtcp,INsane Network

TCP 5554=Worm.Sasser

TCP 5555=ServeMe

TCP 5556=BO Facil

TCP 5557=BO Facil

TCP 5569=Robo-Hack

TCP 5598=BackDoor 2.03

TCP 5631=PCAnyWhere data

TCP 5632=PCAnyWhere

TCP 5637=PC Crasher

TCP 5638=PC Crasher

TCP 5678=Remote Replication Agent Connection

TCP 5679=Direct Cable Connect Manager

TCP 5698=BackDoor

TCP 5714=Wincrash3

TCP 5720=Microsoft Licensing

TCP 5741=WinCrash3

TCP 5742=WinCrash

TCP 5760=Portmap Remote Root Linux Exploit

TCP 5880=Y3K RAT

TCP 5881=Y3K RAT

TCP 5882=Y3K RAT

TCP 5888=Y3K RAT

TCP 5889=Y3K RAT

TCP 5900=WinVnc

TCP 6000=Backdoor.AB

TCP 6006=Noknok8

TCP 6073=DirectPlay8

TCP 6129=Dameware Nt Utilities服務(wù)器

TCP 6272=SecretService

TCP 6267=廣外女生

TCP 6400=Backdoor.AB,The Thing

TCP 6500=Devil 1.03

TCP 6661=Teman

TCP 6666=TCPshell.c

TCP 6667=NT Remote Control,Wise 播放器接收端口

TCP 6668=Wise Video廣播端口

TCP 6669=Vampyre

TCP 6670=DeepThroat,iPhone

TCP 6671=Deep Throat 3.0

TCP 6711=SubSeven

TCP 6712=SubSeven1.x

TCP 6713=SubSeven

TCP 6723=Mstream

TCP 6767=NT Remote Control

TCP 6771=DeepThroat

TCP 6776=BackDoor-G,SubSeven,2000 Cracks

TCP 6777=Worm.BBeagle

TCP 6789=Doly Trojan

TCP 6838=Mstream

TCP 6883=DeltaSource

TCP 6912=Shit Heep

TCP 6939=Indoctrination

TCP 6969=GateCrasher, Priority, IRC 3

TCP 6970=RealAudio,GateCrasher

TCP 7000=Remote Grab,NetMonitor,SubSeven1.x

TCP 7001=Freak88, Weblogic默認(rèn)端口

TCP 7201=NetMonitor

TCP 7215=BackDoor-G, SubSeven

TCP 7001=Freak88,Freak2k

TCP 7300=NetMonitor

TCP 7301=NetMonitor

TCP 7306=NetMonitor,NetSpy 1.0

TCP 7307=NetMonitor, ProcSpy

TCP 7308=NetMonitor, X Spy

TCP 7323=Sygate服務(wù)器端

TCP 7424=Host Control

TCP 7511=聰明基因

TCP 7597=Qaz

TCP 7609=Snid X2

TCP 7626=冰河

TCP 7777=The Thing

TCP 7789=Back Door Setup, ICQKiller

TCP 7983=Mstream

TCP 8000=騰訊OICQ服務(wù)器端,XDMA

TCP 8010=Wingate,Logfile

TCP 8011=WAY2.4

TCP 8080=WWW 代理(如:Tomcat的默認(rèn)端口),Ring Zero,Chubo,Worm.Novarg.B

TCP 8102=網(wǎng)絡(luò)神偷

TCP8181=W32.Erkez.D@mm

TCP 8520=W32.Socay.Worm

TCP 8594=I-Worm/Bozori.a

TCP 8787=BackOfrice 2000

TCP 8888=Winvnc

TCP 8897=Hack Office,Armageddon

TCP 8989=Recon

TCP 9000=Netministrator

TCP 9080=WebSphere

TCP 9325=Mstream

TCP 9400=InCommand 1.0

TCP 9401=InCommand 1.0

TCP 9402=InCommand 1.0

TCP 9535=Remote Man Server

TCP 9872=Portal of Doom

TCP 9873=Portal of Doom

TCP 9874=Portal of Doom

TCP 9875=Portal of Doom

TCP 9876=Cyber Attacker

TCP 9878=TransScout

TCP 9989=Ini-Killer

TCP 9898=Worm.Win32.Dabber.a

TCP 9999=Prayer Trojan

TCP 10067=Portal of Doom

TCP 10080=Worm.Novarg.B

TCP 10084=Syphillis

TCP 10085=Syphillis

TCP 10086=Syphillis

TCP 10101=BrainSpy

TCP 10167=Portal Of Doom

TCP 10168=Worm.Supnot.78858.c,Worm.LovGate.T

TCP 10520=Acid Shivers

TCP 10607=Coma trojan

TCP 10666=Ambush

TCP 11000=Senna Spy

TCP 11050=Host Control

TCP 11051=Host Control

TCP 11223=Progenic,Hack '99KeyLogger

TCP 11320=IMIP Channels Port

TCP 11831=TROJ_LATINUS.SVR

TCP 12076=Gjamer, MSH.104b

TCP 12223=Hack'99 KeyLogger

TCP 12345=GabanBus, NetBus 1.6/1.7, Pie Bill Gates, X-bill

TCP 12346=GabanBus, NetBus 1.6/1.7, X-bill

TCP 12349=BioNet

TCP 12361=Whack-a-mole

TCP 12362=Whack-a-mole

TCP 12363=Whack-a-mole

TCP12378=W32/Gibe@MM

TCP 12456=NetBus

TCP 12623=DUN Control

TCP 12624=Buttman

TCP 12631=WhackJob, WhackJob.NB1.7

TCP 12701=Eclipse2000

TCP 12754=Mstream

TCP 13000=Senna Spy

TCP 13010=Hacker Brazil

TCP 13013=Psychward

TCP 13223=Tribal Voice的聊天程序PowWow

TCP 13700=Kuang2 The Virus

TCP 14456=Solero

TCP 14500=PC Invader

TCP 14501=PC Invader

TCP 14502=PC Invader

TCP 14503=PC Invader

TCP 15000=NetDaemon 1.0

TCP 15092=Host Control

TCP 15104=Mstream

TCP 16484=Mosucker

TCP 16660=Stacheldraht (DDoS)

TCP 16772=ICQ Revenge

TCP 16959=Priority

TCP 16969=Priority

TCP 17027=提供廣告服務(wù)的Conducent"adbot"共享軟件

TCP 17166=Mosaic

TCP 17300=Kuang2 The Virus

TCP 17490=CrazyNet

TCP 17500=CrazyNet

TCP 17569=Infector 1.4.x + 1.6.x

TCP 17777=Nephron

TCP 18753=Shaft (DDoS)

TCP 19191=藍(lán)色火焰

TCP 19864=ICQ Revenge

TCP 20000=Millennium II (GrilFriend)

TCP 20001=Millennium II (GrilFriend)

TCP 20002=AcidkoR

TCP 20034=NetBus 2 Pro

TCP 20168=Lovgate

TCP 20203=Logged,Chupacabra

TCP 20331=Bla

TCP 20432=Shaft (DDoS)

TCP 20808=Worm.LovGate.v.QQ

TCP 21335=Tribal Flood Network,Trinoo

TCP 21544=Schwindler 1.82,GirlFriend

TCP 21554=Schwindler 1.82,GirlFriend,Exloiter 1.0.1.2

TCP 22222=Prosiak,RuXUploader2.0

TCP 22784=Backdoor.Intruzzo

TCP 23432=Asylum 0.1.3

TCP 23444=網(wǎng)絡(luò)公牛

TCP 23456=Evil FTP, Ugly FTP, WhackJob

TCP 23476=Donald Dick

TCP 23477=Donald Dick

TCP 23777=INet Spy

TCP 26274=Delta

TCP 26681=Spy Voice

TCP 27374=Sub Seven 2.0+, Backdoor.Baste

TCP 27444=Tribal Flood Network,Trinoo

TCP 27665=Tribal Flood Network,Trinoo

TCP 29431=Hack Attack

TCP 29432=Hack Attack

TCP 29104=Host Control

TCP 29559=TROJ_LATINUS.SVR

TCP 29891=The Unexplained

TCP 30001=Terr0r32

TCP 30003=Death,Lamers Death

TCP 30029=AOL trojan

TCP 30100=NetSphere 1.27a,NetSphere 1.31

TCP 30101=NetSphere 1.31,NetSphere 1.27a

TCP 30102=NetSphere 1.27a,NetSphere 1.31

TCP 30103=NetSphere 1.31

TCP 30303=Sockets de Troie

TCP 30722=W32.Esbot.A

TCP 30947=Intruse

TCP 30999=Kuang2

TCP 31336=Bo Whack

TCP 31337=Baron Night,BO client,BO2,Bo Facil,BackFire,Back Orifice,DeepBO,Freak2k,NetSpy

TCP 31338=NetSpy,Back Orifice,DeepBO

TCP 31339=NetSpy DK

TCP 31554=Schwindler

TCP 31666=BOWhack

TCP 31778=Hack Attack

TCP 31785=Hack Attack

TCP 31787=Hack Attack

TCP 31789=Hack Attack

更新時(shí)間: 2007年8月6日

TCP 31791=Hack Attack

TCP 31792=Hack Attack

TCP 32100=PeanutBrittle

TCP 32418=Acid Battery

TCP 33333=Prosiak,Blakharaz 1.0

TCP 33577=Son Of Psychward

TCP 33777=Son Of Psychward

TCP 33911=Spirit 2001a

TCP 34324=BigGluck,TN,Tiny Telnet Server

TCP 34555=Trin00 (Windows) (DDoS)

TCP 35555=Trin00 (Windows) (DDoS)

TCP 36794=Worm.Bugbear-A

TCP 37651=YAT

TCP 40412=The Spy

TCP 40421=Agent 40421,Masters Paradise.96

TCP 40422=Masters Paradise

TCP 40423=Masters Paradise.97

TCP 40425=Masters Paradise

TCP 40426=Masters Paradise 3.x

TCP 41666=Remote Boot

TCP 43210=Schoolbus 1.6/2.0

TCP 44444=Delta Source

TCP 44445=Happypig

TCP 45576=未知代理

TCP 47252=Prosiak

TCP 47262=Delta

TCP 47624=Direct Play Server

TCP 47878=BirdSpy2

TCP 49301=Online Keylogger

TCP 50505=Sockets de Troie

TCP 50766=Fore, Schwindler

TCP 51966=CafeIni

TCP 53001=Remote Windows Shutdown

TCP 53217=Acid Battery 2000

TCP 54283=Back Door-G, Sub7

TCP 54320=Back Orifice 2000,Sheep

TCP 54321=School Bus .69-1.11,Sheep, BO2K

TCP 57341=NetRaider

TCP 58008=BackDoor.Tron

TCP 58009=BackDoor.Tron

TCP 58339=ButtFunnel

TCP 59211=BackDoor.DuckToy

TCP 60000=Deep Throat

TCP 60068=Xzip 6000068

TCP 60411=Connection

TCP 60606=TROJ_BCKDOR.G2.A

TCP 61466=Telecommando

TCP 61603=Bunker-kill

TCP 63485=Bunker-kill

TCP 65000=Devil, DDoS

TCP 65432=Th3tr41t0r, The Traitor

TCP 65530=TROJ_WINMITE.10

TCP 65535=RC,Adore Worm/Linux

TCP 69123=ShitHeep

TCP 88798=Armageddon,Hack Office

UDP 1=Sockets des Troie

UDP 9=Chargen

UDP 19=Chargen

UDP 69=Pasana

UDP 80=Penrox

UDP 371=ClearCase版本管理軟件

UDP 445=公共Internet文件系統(tǒng)(CIFS)

UDP 500=Internet密鑰交換

UDP 1025=Maverick's Matrix 1.2 - 2.0

UDP 1026=Remote Explorer 2000

UDP 1027=HP服務(wù),UC聊天軟件,Trojan.Huigezi.e

UDP 1028=應(yīng)用層網(wǎng)關(guān)服務(wù),KiLo,SubSARI

UDP 1029=SubSARI

UDP 1031=Xot

UDP 1032=Akosch4

UDP 1104=RexxRave

UDP 1111=Daodan

UDP 1116=Lurker

UDP 1122=Last 2000,Singularity

UDP 1183=Cyn,SweetHeart

UDP 1200=NoBackO

UDP 1201=NoBackO

UDP 1342=BLA trojan

UDP 1344=Ptakks

UDP 1349=BO dll

UDP 1512=Microsoft Windows Internet Name Service

UDP 1561=MuSka52

UDP 1772=NetControle

UDP 1801=Microsoft Message Queue

UDP 1978=Slapper

UDP 1985=Black Diver

UDP 2000=A-trojan,Fear,Force,GOTHIC Intruder,Last 2000,Real 2000

UDP 2001=Scalper

UDP 2002=Slapper

UDP 2015=raid-cs

UDP 2018=rellpack

UDP 2130=Mini BackLash

UDP 2140=Deep Throat,Foreplay,The Invasor

UDP 2222=SweetHeart,Way,Backdoor/Mifeng.t

UDP 2234=DirectPlay

UDP 2339=Voice Spy

UDP 2702=Black Diver

UDP 2989=RAT

UDP 3074=Microsoft Xbox game port

UDP 3132=Microsoft Business Rule Engine Update Service

UDP 3150=Deep Throat

UDP 3215=XHX

UDP 3268=Microsoft Global Catalog

UDP 3269=Microsoft Global Catalog with LDAP/SSL

UDP 3333=Daodan

UDP 3535=Microsoft Class Server

UDP 3801=Eclypse

UDP 3996=Remote Anything

UDP 4128=RedShad

UDP 4156=Slapper

UDP 4350=Net Device

UDP 4500=Microsoft IPsec NAT-T, sae-urn

UDP 5419=DarkSky

UDP 5503=Remote Shell Trojan

UDP 5555=Daodan

UDP 5678=Remote Replication Agent Connection

UDP 5679=Direct Cable Connect Manager

UDP 5720=Microsoft Licensing

UDP 5882=Y3K RAT

UDP 5888=Y3K RAT

UDP 6073=DirectPlay8

UDP 6112=Battle. net Game

UDP 6666=KiLo

UDP 6667=KiLo

UDP 6766=KiLo

UDP 6767=KiLo,UandMe

UDP 6838=Mstream Agent-handler

UDP 7028=未知木馬

UDP 7424=Host Control

UDP 7788=Singularity

UDP 7983=MStream handler-agent

UDP 8012=Ptakks

UDP 8090=Aphex's Remote Packet Sniffer

UDP 8127=9_119,Chonker

UDP 8488=KiLo

UDP 8489=KiLo

UDP 8787=BackOrifice 2000

UDP 8879=BackOrifice 2000

UDP 9325=MStream Agent-handler

UDP 10000=XHX

UDP 10067=Portal of Doom

UDP 10084=Syphillis

UDP 10100=Slapper

UDP 10167=Portal of Doom

UDP 10498=Mstream

UDP 10666=Ambush

UDP 11225=Cyn

UDP 12321=Protoss

UDP 12345=BlueIce 2000

UDP12378=W32/Gibe@MM

UDP 12623=ButtMan,DUN Control

UDP 11320=IMIP Channels Port

UDP 15210=UDP remote shell backdoor server

UDP 15486=KiLo

UDP 16514=KiLo

UDP 16515=KiLo

UDP 18753=Shaft handler to Agent

UDP 20433=Shaft

UDP 21554=GirlFriend

UDP 22784=Backdoor.Intruzzo

UDP 23476=Donald Dick

UDP 25123=MOTD

UDP 26274=Delta Source

UDP 26374=Sub-7 2.1

UDP 26444=Trin00/TFN2K

UDP 26573=Sub-7 2.1

UDP 27184=Alvgus trojan 2000

UDP 27444=Trinoo

UDP 29589=KiLo

UDP 29891=The Unexplained

UDP 30103=NetSphere

UDP 31320=Little Witch

UDP 31335=Trin00 DoS Attack

UDP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBO

UDP 31338=Back Orifice, NetSpy DK, DeepBO

UDP 31339=Little Witch

UDP 31340=Little Witch

UDP 31416=Lithium

UDP 31787=Hack aTack

UDP 31789=Hack aTack

UDP 31790=Hack aTack

UDP 31791=Hack aTack

UDP 33390=未知木馬

UDP 34555=Trinoo

UDP 35555=Trinoo

UDP 43720=KiLo

UDP 44014=Iani

UDP 44767=School Bus

UDP 46666=Taskman

UDP 47262=Delta Source

UDP 47624=Direct Play Server

UDP 47785=KiLo

UDP 49301=OnLine keyLogger

UDP 49683=Fenster

UDP 49698=KiLo

UDP 52901=Omega

UDP 54320=Back Orifice

UDP 54321=Back Orifice 2000

UDP 54341=NetRaider Trojan

UDP 61746=KiLO

UDP 61747=KiLO

UDP 61748=KiLO

UDP 65432=The Traitor

查看

一臺(tái)服務(wù)器有大量的端口在使用，怎么來(lái)查看端口呢？有兩種方式：一種是利用系統(tǒng)內(nèi)置的命令，一種是利用第三方端口掃描軟件。

1.用“netstat ”查看端口狀態(tài)

在Windows 2000/XP中，可以在命令提示符下使用“netstat ”查看系統(tǒng)端口狀態(tài)，可以列出系統(tǒng)正在開(kāi)放的端口號(hào)及其狀態(tài)．

2.用第三方端口掃描軟件

第三方端口掃描軟件有許多，界面雖然千差萬(wàn)別，但是功能卻是類似的。這里以“Fport” （可到?type_t=7或下載）為例講解。“Fport”在命令提示符下使用，運(yùn)行結(jié)果與“netstat -an”相似，但是它不僅能夠列出正在使用的端口號(hào)及類型，還可以列出端口被哪個(gè)應(yīng)用程序使用。

3.用“netstat -n”命令，以數(shù)字格式顯示地址和端口信息。

如果仔細(xì)檢查這些標(biāo)準(zhǔn)的簡(jiǎn)單服務(wù)以及其他標(biāo)準(zhǔn)的TCP/IP服務(wù)（如Telnet、FTP、 SMTP等）的端口號(hào)時(shí)，我們發(fā)現(xiàn)它們都是奇數(shù)。這是有歷史原因的，因?yàn)檫@些端口號(hào)都是從NCP端口號(hào)派生出來(lái)的（NCP，即網(wǎng)絡(luò)控制協(xié)議，是ARPANET的運(yùn)輸層協(xié)議，是TCP的前身）。NCP是半雙工的，不是全雙工的，因此每個(gè)應(yīng)用程序需要兩個(gè)連接，需預(yù)留一對(duì)奇數(shù)和偶數(shù)端口號(hào)。當(dāng)TCP和UDP成為標(biāo)準(zhǔn)的運(yùn)輸層協(xié)議時(shí)，每個(gè)應(yīng)用程序只需要一個(gè)端口號(hào)，因此就使用了NCP中的奇數(shù)。

1，關(guān)于tcp/ip（Tanasmission Control Protocol/Internet Protocol）

首先我們必須清楚tcp/ip是一個(gè)協(xié)議族（是一些協(xié)議的合集）

這里tcp/ip相當(dāng)于一輛車在高速公路上面跑，（tcp此刻就是相當(dāng)于車，而ip就是高速公路了），來(lái)回傳送信息

internet中最基本的協(xié)議，由網(wǎng)絡(luò)層的ip協(xié)議和傳輸層的tcp協(xié)議組成

internet是在一些共享的線路上發(fā)送數(shù)據(jù)的，例如，我們的計(jì)算機(jī)上面現(xiàn)在運(yùn)行著一些程序，qq，瀏覽器，音樂(lè)，email，但是，這的注意的是:我們是通過(guò)一條單一的線路Modem或DSL(digital subscriber line,數(shù)字用戶線路)來(lái)共享的連接互聯(lián)網(wǎng)

當(dāng)然，為了實(shí)現(xiàn)共享，tcp將會(huì)把要發(fā)送的數(shù)據(jù)流分解成小的信息數(shù)據(jù)包在internet上面?zhèn)鬏敚ㄟ€可能有其他的信息數(shù)據(jù) 包），當(dāng)這些信息數(shù)據(jù)包發(fā)送過(guò)去以后，也就是被接受者接收到以后會(huì)再一次的合成在一起，形成完整的數(shù)據(jù)（分散成小的信息數(shù)據(jù)包，internet就會(huì)用很少的時(shí)間來(lái)發(fā)送數(shù)據(jù)的每一個(gè)位（bit））

這里著重強(qiáng)調(diào)一下：tcp是以字節(jié)流形式運(yùn)轉(zhuǎn)的（和文件一樣）。然而udp（是一種基于信息包的通信）

類似于快遞這個(gè)過(guò)程的發(fā)件人（比如深圳**），首先我們必須知道，我們要將這個(gè)東西寄給誰(shuí)（這里，發(fā)件人將東西寄送到了**省***大學(xué)(申通快遞)），，tcp/ip也是類似的，因?yàn)槊恳慌_(tái)機(jī)器都有一個(gè)屬于自己的ip地址，這樣信息就可以過(guò)去了

同時(shí)，我們也知道這個(gè)申通快遞，存放了好多的快件等待著具體的學(xué)生來(lái)取，這個(gè)就類似與我們的操作系統(tǒng)支持多程序（進(jìn)程），多服務(wù)（web，ftp，stmp服務(wù)）運(yùn)行，此時(shí)（計(jì)算機(jī)上正運(yùn)行著聊天窗口，web瀏覽器），計(jì)算機(jī)也需要知道是哪個(gè)程序來(lái)接受信息，這里也就引入了端口號(hào)，可以簡(jiǎn)單地理解每一個(gè)程序都有一個(gè)唯一的端口號(hào)

tcp的可靠穩(wěn)定性：

就是說(shuō)，通過(guò)tcp傳輸?shù)臇|西基本上不會(huì)丟失或是錯(cuò)誤，除非整個(gè)網(wǎng)絡(luò)出現(xiàn)問(wèn)題

1.為了防止數(shù)據(jù)在傳輸?shù)倪^(guò)程中被損壞，被分成的小的信息包都包含一個(gè)校驗(yàn)碼。（它就是來(lái)保證信息包在傳輸?shù)倪^(guò)程中沒(méi)有被更改），當(dāng)信息包到達(dá)目的地的時(shí)候，接收的一方會(huì)對(duì)比校驗(yàn)碼，如果校驗(yàn)碼不對(duì)，將忽略這個(gè)信息、、

2.為了防止信息包丟失，tcp會(huì)要求接收方每收到一個(gè)信息包都反饋一下，如果接收方?jīng)]有提供反饋，那么發(fā)送方會(huì)繼續(xù)發(fā)送一遍。

3.為了防止信息包順序出現(xiàn)問(wèn)題，tcp每發(fā)送一個(gè)信息包都會(huì)發(fā)送一個(gè)序號(hào)，接收方會(huì)檢查這個(gè)序號(hào)，確保收到信息，并把收到的信息包按順序來(lái)整理，重新合并，同時(shí)，接收方如果看到了一個(gè)已有的序號(hào)，也會(huì)自動(dòng)的忽略的

端口號(hào)：

端口分為兩種：物理端口（連接物理設(shè)備之間的端口）和邏輯端口（邏輯上用于區(qū)分服務(wù)的端口），tcp/ip的端口都是，我們ip的端口是通過(guò)16位來(lái)進(jìn)行編號(hào)的，所以范圍是（0-65535）

一般來(lái)說(shuō)，服務(wù)器都是通過(guò)知名端口號(hào)來(lái)識(shí)別的:

FTP服務(wù)器采用21號(hào)端口

Telnet采用23號(hào)端口

web服務(wù)器采用80號(hào)端口（http）

WWW代理開(kāi)放此端口（8080）

總而言之，也就是說(shuō)我們通過(guò)端口號(hào)就可以知道，計(jì)算機(jī)中那個(gè)程序（服務(wù)）來(lái)接受信息。

ip地址：

ip地址被用來(lái)給internet上的一個(gè)電腦編號(hào)，每一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)上都需要有ip地址，這樣才可以正常的通信，IP地址是一個(gè)32位的二進(jìn)制數(shù)，只是一般情況下，被分割成4個(gè)8位（每一個(gè)都是不超過(guò)255），最后再用“點(diǎn)分十進(jìn)制數(shù)來(lái)表示”：也就是類似于192.168.1.1（路由器），192.168.0.1（本機(jī)），（119.75.218.70）百度，這些實(shí)際上就是32位二進(jìn)制，常見(jiàn)的IP地址分為IPv4,IPv6（當(dāng)然，ipv6的產(chǎn)生是因?yàn)閕pv4不夠發(fā)放了，滿足不了我們的需求，擬通過(guò)ipv6來(lái)重新定義地址空間）、

但是，由于一串?dāng)?shù)字諸如，192.168.1.1的記憶是非常困難的，也就緊接著出現(xiàn)了今天的DNS（domain name system）域名，當(dāng)我們的計(jì)算機(jī)想要和遠(yuǎn)程機(jī)器建立連接的時(shí)候，我們可以申請(qǐng)連接該機(jī)器IP地址相對(duì)應(yīng)的dns，例如www.baidu.com。dns會(huì)給我們提供一個(gè)IP地址，接下來(lái)就可以連接了。

本文所述端口都是邏輯意義上的端口，是指TCP/IP協(xié)議中的端口，端口號(hào)的范圍從0到65535，比如用于瀏覽網(wǎng)頁(yè)服務(wù)的80端口，用于FTP服務(wù)的21端口等等。

我們這里將要介紹的就是邏輯意義上的端口。

A、按端口號(hào)分布劃分

（1）知名端口（Well-Known Ports）

知名端口即眾所周知的端口號(hào)，范圍從0到1023，這些端口號(hào)一般固定分配給一些服務(wù)。

比如21端口分配給FTP服務(wù)，25端口分配給SMTP（簡(jiǎn)單郵件傳輸協(xié)議）服務(wù)，80端口分配給HTTP服務(wù)，135端口分配給RPC（遠(yuǎn)程過(guò)程調(diào)用）服務(wù)等等。

（2）注冊(cè)端口（Registered Ports）



端口號(hào)從1025到49151。它們松散地綁定于一些服務(wù)。也是說(shuō)有許多服務(wù)綁定于這些端口這些端口同樣用于許多其他目的。

這些端口多數(shù)沒(méi)有明確的定義服務(wù)對(duì)象不同程序可根據(jù)實(shí)際需要自己定義如后面要介紹的遠(yuǎn)程控制軟件和木馬程序中都會(huì)有這些端口的定義的。

記住這些常見(jiàn)的程序端口在木馬程序的防護(hù)和查殺上是非常有必要的。常見(jiàn)木馬所使用的端口在后面將有詳細(xì)的列表。

（3）動(dòng)態(tài)端口（Dynamic Ports）

動(dòng)態(tài)端口的范圍從49152到65535，這些端口號(hào)一般不固定分配給某個(gè)服務(wù)，也就是說(shuō)許多服務(wù)都可以使用這些端口。

只要運(yùn)行的程序向系統(tǒng)提出訪問(wèn)網(wǎng)絡(luò)的申請(qǐng)，那么系統(tǒng)就可以從這些端口號(hào)中分配一個(gè)供該程序使用。

比如1024端口就是分配給第一個(gè)向系統(tǒng)發(fā)出申請(qǐng)的程序。在關(guān)閉程序進(jìn)程后，就會(huì)釋放所占用的端口號(hào)。

不過(guò)，動(dòng)態(tài)端口也常常被病毒木馬程序所利用，如冰河默認(rèn)連接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等

B、按協(xié)議類型劃分

按協(xié)議類型劃分，可以分為TCP、UDP、IP和ICMP（Internet控制消息協(xié)議）等端口。下面主要介紹TCP和UDP端口：

（1）TCP端口

TCP端口，即傳輸控制協(xié)議端口，需要在客戶端和服務(wù)器之間建立連接，這樣可以提供可靠的數(shù)據(jù)傳輸。常見(jiàn)的包括FTP服務(wù)的21端口，Telnet服務(wù)的23端口，SMTP服務(wù)的25端口，以及HTTP服務(wù)的80端口等等。

（2）UDP端口

UDP端口，即用戶數(shù)據(jù)包協(xié)議端口，無(wú)需在客戶端和服務(wù)器之間建立連接，安全性得不到保障。常見(jiàn)的有DNS服務(wù)的53端口，SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）服務(wù)的161端口，QQ使用的8000和4000端口等等。

重要端口列表

端口：0

服務(wù)：Reserved
說(shuō)明：通常用于分析操作系統(tǒng)。這一方法能夠工作是因?yàn)樵谝恍┫到y(tǒng)中“0”是無(wú)效端口，當(dāng)你試圖使用通常的閉合端口連接它時(shí)將產(chǎn)生不同的結(jié)果。一種典型的掃描，使用IP地址為0.0.0.0，設(shè)置ACK位并在以太網(wǎng)層廣播。

端口：1
服務(wù)：tcpmux
說(shuō)明：這顯示有人在尋找SGI Irix機(jī)器。Irix是實(shí)現(xiàn)tcpmux的主要提供者，默認(rèn)情況下tcpmux在這種系統(tǒng)中被打開(kāi)。Irix機(jī)器在發(fā)布是含有幾個(gè)默認(rèn)的無(wú)密碼的帳戶，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。許多管理員在安裝后忘記刪除這些帳戶。因此HACKER在INTERNET上搜索tcpmux并利用這些帳戶。

端口：7
服務(wù)：Echo
說(shuō)明：能看到許多人搜索Fraggle放大器時(shí)，發(fā)送到X.X.X.0和X.X.X.255的信息。

端口：19
服務(wù)：Character Generator
說(shuō)明：這是一種僅僅發(fā)送字符的服務(wù)。UDP版本將會(huì)在收到UDP包后回應(yīng)含有垃圾字符的包。TCP連接時(shí)會(huì)發(fā)送含有垃圾字符的數(shù)據(jù)流直到連接關(guān)閉。HACKER利用IP欺騙可以發(fā)動(dòng)DoS攻擊。偽造兩個(gè)chargen服務(wù)器之間的UDP包。同樣Fraggle DoS攻擊向目標(biāo)地址的這個(gè)端口廣播一個(gè)帶有偽造受害者IP的數(shù)據(jù)包，受害者為了回應(yīng)這些數(shù)據(jù)而過(guò)載。

端口：21
服務(wù)：FTP
說(shuō)明：FTP服務(wù)器所開(kāi)放的端口，用于上傳、下載。最常見(jiàn)的攻擊者用于尋找打開(kāi)anonymous的FTP服務(wù)器的方法。這些服務(wù)器帶有可讀寫(xiě)的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開(kāi)放的端口。

端口：22
服務(wù)：Ssh
說(shuō)明：PcAnywhere建立的TCP和這一端口的連接可能是為了尋找ssh。這一服務(wù)有許多弱點(diǎn)，如果配置成特定的模式，許多使用RSAREF庫(kù)的版本就會(huì)有不少的漏洞存在。

端口：23
服務(wù)：Telnet
說(shuō)明：遠(yuǎn)程登錄，入侵者在搜索遠(yuǎn)程登錄UNIX的服務(wù)。大多數(shù)情況下掃描這一端口是為了找到機(jī)器運(yùn)行的操作系統(tǒng)。還有使用其他技術(shù)，入侵者也會(huì)找到密碼。木馬Tiny Telnet Server就開(kāi)放這個(gè)端口。

端口：25
服務(wù)：SMTP
說(shuō)明：SMTP服務(wù)器所開(kāi)放的端口，用于發(fā)送郵件。入侵者尋找SMTP服務(wù)器是為了傳遞他們的SPAM。入侵者的帳戶被關(guān)閉，他們需要連接到高帶寬的E-MAIL服務(wù)器上，將簡(jiǎn)單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開(kāi)放這個(gè)端口。

端口：31
服務(wù)：MSG Authentication
說(shuō)明：木馬Master Paradise、Hackers Paradise開(kāi)放此端口。

端口：42
服務(wù)：WINS Replication
說(shuō)明：WINS復(fù)制

端口：53
服務(wù)：Domain Name Server（DNS）
說(shuō)明：DNS服務(wù)器所開(kāi)放的端口，入侵者可能是試圖進(jìn)行區(qū)域傳遞（TCP），欺騙DNS（UDP）或隱藏其他的通信。因此防火墻常常過(guò)濾或記錄此端口。

端口：67
服務(wù)：Bootstrap Protocol Server
說(shuō)明：通過(guò)DSL和Cable modem的防火墻常會(huì)看見(jiàn)大量發(fā)送到廣播地址255.255.255.255的數(shù)據(jù)。這些機(jī)器在向DHCP服務(wù)器請(qǐng)求一個(gè)地址。HACKER常進(jìn)入它們，分配一個(gè)地址把自己作為局部路由器而發(fā)起大量中間人（man-in-middle）攻擊�？蛻舳讼�68端口廣播請(qǐng)求配置，服務(wù)器向67端口廣播回應(yīng)請(qǐng)求。這種回應(yīng)使用廣播是因?yàn)榭蛻舳诉€不知道可以發(fā)送的IP地址。

端口：69
服務(wù)：Trival File Transfer
說(shuō)明：許多服務(wù)器與bootp一起提供這項(xiàng)服務(wù)，便于從系統(tǒng)下載啟動(dòng)代碼。但是它們常常由于錯(cuò)誤配置而使入侵者能從系統(tǒng)中竊取任何文件。它們也可用于系統(tǒng)寫(xiě)入文件。

端口：79
服務(wù)：Finger Server
說(shuō)明：入侵者用于獲得用戶信息，查詢操作系統(tǒng)，探測(cè)已知的緩沖區(qū)溢出錯(cuò)誤，回應(yīng)從自己機(jī)器到其他機(jī)器Finger掃描。

端口：80
服務(wù)：HTTP
說(shuō)明：用于網(wǎng)頁(yè)瀏覽。木馬Executor開(kāi)放此端口。

端口：99
服務(wù)：Metagram Relay
說(shuō)明：后門程序ncx99開(kāi)放此端口。

端口：102
服務(wù)：Message transfer agent(MTA)-X.400 over TCP/IP
說(shuō)明：消息傳輸代理。

端口：109
服務(wù)：Post Office Protocol -Version3
說(shuō)明：POP3服務(wù)器開(kāi)放此端口，用于接收郵件，客戶端訪問(wèn)服務(wù)器端的郵件服務(wù)。POP3服務(wù)有許多公認(rèn)的弱點(diǎn)。關(guān)于用戶名和密碼交換緩沖區(qū)溢出的弱點(diǎn)至少有20個(gè)，這意味著入侵者可以在真正登陸前進(jìn)入系統(tǒng)。成功登陸后還有其他緩沖區(qū)溢出錯(cuò)誤。

端口：110
服務(wù)：SUN公司的RPC服務(wù)所有端口
說(shuō)明：常見(jiàn)RPC服務(wù)有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

端口：113
服務(wù)：Authentication Service
說(shuō)明：這是一個(gè)許多計(jì)算機(jī)上運(yùn)行的協(xié)議，用于鑒別TCP連接的用戶。使用標(biāo)準(zhǔn)的這種服務(wù)可以獲得許多計(jì)算機(jī)的信息。但是它可作為許多服務(wù)的記錄器，尤其是FTP、POP、IMAP、SMTP和IRC等服務(wù)。通常如果有許多客戶通過(guò)防火墻訪問(wèn)這些服務(wù)，將會(huì)看到許多這個(gè)端口的連接請(qǐng)求。記住，如果阻斷這個(gè)端口客戶端會(huì)感覺(jué)到在防火墻另一邊與E-MAIL服務(wù)器的緩慢連接。許多防火墻支持TCP連接的阻斷過(guò)程中發(fā)回RST。這將會(huì)停止緩慢的連接。

端口：119
服務(wù)：Network News Transfer Protocol
說(shuō)明：NEWS新聞組傳輸協(xié)議，承載USENET通信。這個(gè)端口的連接通常是人們?cè)趯ふ襏SENET服務(wù)器。多數(shù)ISP限制，只有他們的客戶才能訪問(wèn)他們的新聞組服務(wù)器。打開(kāi)新聞組服務(wù)器將允許發(fā)/讀任何人的帖子，訪問(wèn)被限制的新聞組服務(wù)器，匿名發(fā)帖或發(fā)送SPAM。

端口：135
服務(wù)：Location Service
說(shuō)明：Microsoft在這個(gè)端口運(yùn)行DCE RPC end-point mapper為它的DCOM服務(wù)。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務(wù)利用計(jì)算機(jī)上的end-point mapper注冊(cè)它們的位置。遠(yuǎn)端客戶連接到計(jì)算機(jī)時(shí)，它們查找end-point mapper找到服務(wù)的位置。HACKER掃描計(jì)算機(jī)的這個(gè)端口是為了找到這個(gè)計(jì)算機(jī)上運(yùn)行Exchange Server嗎？什么版本？還有些DOS攻擊直接針對(duì)這個(gè)端口。

端口：137、138、139
服務(wù)：NETBIOS Name Service
說(shuō)明：其中137、138是UDP端口，當(dāng)通過(guò)網(wǎng)上鄰居傳輸文件時(shí)用這個(gè)端口。而139端口：通過(guò)這個(gè)端口進(jìn)入的連接試圖獲得NetBIOS/SMB服務(wù)。這個(gè)協(xié)議被用于windows文件和打印機(jī)共享和SAMBA。還有WINS Regisrtation也用它。

端口：143
服務(wù)：Interim Mail Access Protocol v2
說(shuō)明：和POP3的安全問(wèn)題一樣，許多IMAP服務(wù)器存在有緩沖區(qū)溢出漏洞。記�。阂环NLINUX蠕蟲(chóng)（admv0rm）會(huì)通過(guò)這個(gè)端口繁殖，因此許多這個(gè)端口的掃描來(lái)自不知情的已經(jīng)被感染的用戶。當(dāng)REDHAT在他們的LINUX發(fā)布版本中默認(rèn)允許IMAP后，這些漏洞變的很流行。這一端口還被用于IMAP2，但并不流行。

端口：161
服務(wù)：SNMP
說(shuō)明：SNMP允許遠(yuǎn)程管理設(shè)備。所有配置和運(yùn)行信息的儲(chǔ)存在數(shù)據(jù)庫(kù)中，通過(guò)SNMP可獲得這些信息。許多管理員的錯(cuò)誤配置將被暴露在Internet。Cackers將試圖使用默認(rèn)的密碼public、private訪問(wèn)系統(tǒng)。他們可能會(huì)試驗(yàn)所有可能的組合。SNMP包可能會(huì)被錯(cuò)誤的指向用戶的網(wǎng)絡(luò)。

端口：177
服務(wù)：X Display Manager Control Protocol
說(shuō)明：許多入侵者通過(guò)它訪問(wèn)X-windows操作臺(tái)，它同時(shí)需要打開(kāi)6000端口。

端口：389
服務(wù)：LDAP、ILS
說(shuō)明：輕型目錄訪問(wèn)協(xié)議和NetMeeting Internet Locator Server共用這一端口。

端口：443
服務(wù)：Https
說(shuō)明：網(wǎng)頁(yè)瀏覽端口，能提供加密和通過(guò)安全端口傳輸?shù)牧硪环NHTTP。

端口：456
服務(wù)：[NULL]
說(shuō)明：木馬HACKERS PARADISE開(kāi)放此端口。

端口：513
服務(wù)：Login,remote login
說(shuō)明：是從使用cable modem或DSL登陸到子網(wǎng)中的UNIX計(jì)算機(jī)發(fā)出的廣播。這些人為入侵者進(jìn)入他們的系統(tǒng)提供了信息。

端口：544
服務(wù)：[NULL]
說(shuō)明：kerberos kshell

端口：548
服務(wù)：Macintosh,File Services(AFP/IP)
說(shuō)明：Macintosh,文件服務(wù)。

端口：553
服務(wù)：CORBA IIOP （UDP）
說(shuō)明：使用cable modem、DSL或VLAN將會(huì)看到這個(gè)端口的廣播。CORBA是一種面向?qū)ο蟮腞PC系統(tǒng)。入侵者可以利用這些信息進(jìn)入系統(tǒng)。

端口：555
服務(wù)：DSF
說(shuō)明：木馬PhAse1.0、Stealth Spy、IniKiller開(kāi)放此端口。

端口：568
服務(wù)：Membership DPA
說(shuō)明：成員資格 DPA。

端口：569
服務(wù)：Membership MSN
說(shuō)明：成員資格 MSN。

端口：635
服務(wù)：mountd
說(shuō)明：Linux的mountd Bug。這是掃描的一個(gè)流行BUG。大多數(shù)對(duì)這個(gè)端口的掃描是基于UDP的，但是基于TCP的mountd有所增加（mountd同時(shí)運(yùn)行于兩個(gè)端口）。記住mountd可運(yùn)行于任何端口（到底是哪個(gè)端口，需要在端口111做portmap查詢），只是Linux默認(rèn)端口是635，就像NFS通常運(yùn)行于2049端口。

端口：636
服務(wù)：LDAP
說(shuō)明：SSL（Secure Sockets layer）

端口：666
服務(wù)：Doom Id Software
說(shuō)明：木馬Attack FTP、Satanz Backdoor開(kāi)放此端口

端口：993
服務(wù)：IMAP
說(shuō)明：SSL（Secure Sockets layer）

端口：1001、1011
服務(wù)：[NULL]
說(shuō)明：木馬Silencer、WebEx開(kāi)放1001端口。木馬Doly Trojan開(kāi)放1011端口。

端口：1024
服務(wù)：Reserved
說(shuō)明：它是動(dòng)態(tài)端口的開(kāi)始，許多程序并不在乎用哪個(gè)端口連接網(wǎng)絡(luò)，它們請(qǐng)求系統(tǒng)為它們分配下一個(gè)閑置端口。基于這一點(diǎn)分配從端口1024開(kāi)始。這就是說(shuō)第一個(gè)向系統(tǒng)發(fā)出請(qǐng)求的會(huì)分配到1024端口。你可以重啟機(jī)器，打開(kāi)Telnet，再打開(kāi)一個(gè)窗口運(yùn)行natstat -a 將會(huì)看到Telnet被分配1024端口。還有SQL session也用此端口和5000端口。

端口：1025、1033
服務(wù)：1025：network blackjack 1033：[NULL]
說(shuō)明：木馬netspy開(kāi)放這2個(gè)端口。

端口：1080
服務(wù)：SOCKS
說(shuō)明：這一協(xié)議以通道方式穿過(guò)防火墻，允許防火墻后面的人通過(guò)一個(gè)IP地址訪問(wèn)INTERNET。理論上它應(yīng)該只允許內(nèi)部的通信向外到達(dá)INTERNET。但是由于錯(cuò)誤的配置，它會(huì)允許位于防火墻外部的攻擊穿過(guò)防火墻。WinGate常會(huì)發(fā)生這種錯(cuò)誤，在加入IRC聊天室時(shí)常會(huì)看到這種情況。

端口：1170
服務(wù)：[NULL]
說(shuō)明：木馬Streaming Audio Trojan、Psyber Stream Server、Voice開(kāi)放此端口。

端口：1234、1243、6711、6776
服務(wù)：[NULL]
說(shuō)明：木馬SubSeven2.0、Ultors Trojan開(kāi)放1234、6776端口。木馬SubSeven1.0/1.9開(kāi)放1243、6711、6776端口。

端口：1245
服務(wù)：[NULL]
說(shuō)明：木馬Vodoo開(kāi)放此端口。

端口：1433
服務(wù)：SQL
說(shuō)明：Microsoft的SQL服務(wù)開(kāi)放的端口。

端口：1492
服務(wù)：stone-design-1
說(shuō)明：木馬FTP99CMP開(kāi)放此端口。

端口：1500
服務(wù)：RPC client fixed port session queries
說(shuō)明：RPC客戶固定端口會(huì)話查詢

端口：1503
服務(wù)：NetMeeting T.120
說(shuō)明：NetMeeting T.120

端口：1524
服務(wù)：ingress
說(shuō)明：許多攻擊腳本將安裝一個(gè)后門SHELL于這個(gè)端口，尤其是針對(duì)SUN系統(tǒng)中Sendmail和RPC服務(wù)漏洞的腳本。如果剛安裝了防火墻就看到在這個(gè)端口上的連接企圖，很可能是上述原因�？梢栽囋嘥elnet到用戶的計(jì)算機(jī)上的這個(gè)端口，看看它是否會(huì)給你一個(gè)SHELL。連接到600/pcserver也存在這個(gè)問(wèn)題。

如何查看某個(gè)端口被誰(shuí)占用

我們?cè)趩?dòng)應(yīng)用的時(shí)候經(jīng)常發(fā)現(xiàn)我們需要使用的端口被別的程序占用，但是我們又不知道是被誰(shuí)占用，這時(shí)候我們需要找出“真兇”，如何做到呢？

開(kāi)始---->運(yùn)行---->cmd，或者是window+R組合鍵，調(diào)出命令窗口
輸入命令：netstat -ano，列出所有端口的情況。在列表中我們觀察被占用的端口，比如是49157，首先找到它。
查看被占用端口對(duì)應(yīng)的PID，輸入命令：netstat -aon|findstr "49157"，回車，記下最后一位數(shù)字，即PID,這里是2720。
繼續(xù)輸入tasklist|findstr "2720"，回車，查看是哪個(gè)進(jìn)程或者程序占用了2720端口，結(jié)果是：svchost.exe
或者是我們打開(kāi)任務(wù)管理器，切換到進(jìn)程選項(xiàng)卡，在PID一列查看2720對(duì)應(yīng)的進(jìn)程是誰(shuí)，如果看不到PID這一列,如下圖：
則我們點(diǎn)擊查看--->選擇列，將PID(進(jìn)程標(biāo)示符)前面的勾打上，點(diǎn)擊確定。
這樣我們就看到了PID這一列標(biāo)識(shí)，看一下2720對(duì)應(yīng)的進(jìn)程是誰(shuí)，如果沒(méi)有，我們把下面的顯示所有用戶的進(jìn)程前面的勾打上，就可以看到了，映像名稱是svchost.exe，描述是，Windows的主進(jìn)程,與上面命令查看的完全一致。
結(jié)束該進(jìn)程：在任務(wù)管理器中選中該進(jìn)程點(diǎn)擊”結(jié)束進(jìn)程“按鈕，或者是在cmd的命令窗口中輸入：taskkill /f /t /im Tencentdl.exe。

END

有時(shí)候某些服務(wù)未啟動(dòng)，會(huì)導(dǎo)致一些軟件無(wú)法使用；有時(shí)候?yàn)榱思铀匍_(kāi)機(jī)時(shí)間，想禁止某些服務(wù)的開(kāi)機(jī)啟動(dòng)。當(dāng)然，這些服務(wù)你要明白是干什么的，否則不建議操作。所以如何打開(kāi)和關(guān)閉服務(wù)哪？小編今天就給大家分享一下如何做到。

關(guān)閉服務(wù)對(duì)應(yīng)關(guān)閉端口，所以我們先來(lái)學(xué)習(xí)怎么關(guān)閉服務(wù)

方法/步驟

找到“開(kāi)始菜單”，并單擊。
在彈出的窗口的右側(cè)滑動(dòng)滾軸找到“此電腦”。
在“此電腦”上右鍵“更多”→“管理”。
在彈出的管理頁(yè)面，找到“服務(wù)和應(yīng)用程序”。
點(diǎn)擊“服務(wù)和應(yīng)用程序”，會(huì)展開(kāi)此菜單，此時(shí)會(huì)看到“服務(wù)”菜單，雙擊“服務(wù)”。
在窗口的右側(cè)就會(huì)看到“服務(wù)”界面了。單擊選中某個(gè)服務(wù)，然后右鍵，就會(huì)看到一系列的可選操作，包括：?jiǎn)?dòng)、停止、重新啟動(dòng)和屬性等。此時(shí)點(diǎn)擊“停止”就可以關(guān)閉服務(wù)了。當(dāng)然如何這個(gè)服務(wù)是“停止”的，此時(shí)是可以選擇“啟動(dòng)”的。
如果某些服務(wù)開(kāi)機(jī)時(shí)，不想啟動(dòng)，可以選擇上圖中的“屬性”。此時(shí)會(huì)彈出一個(gè)對(duì)話框，在對(duì)話框中找到“啟動(dòng)類型”一欄，通過(guò)右邊的下拉框，找到“手動(dòng)”，點(diǎn)擊確定。
此時(shí)就會(huì)看到，此應(yīng)用被設(shè)置成“手動(dòng)”開(kāi)啟服務(wù)，這樣開(kāi)機(jī)就不會(huì)啟動(dòng)了，減少開(kāi)機(jī)時(shí)間，減少內(nèi)存使用空間。