一、港口概念

在网络技术中，端口有两种含义:

二。网络端口的分类

根据端口号可分为三类:

(1)知名端口:范围从0到1023。

(2)动态端口:范围是从1024到65535

(2.1)注册的端口:从1024到49151

(2.2)动态和/或专用端口::从49152到65535。

如果你经常接触网络工程，请记住以下常用的协议和端口号，在工作和面试中发挥着重要作用，建议收藏！

端口:0

服务:保留

描述:通常用于分析操作系统。这种方法之所以有效，是因为“0”在某些系统中是无效端口，当你试图将其与通常关闭的端口连接时，会产生不同的结果。典型扫描，使用IP地址0.0.0.0，设置ACK位并在以太网层广播。

端口:1

服务:tcpmux

说明:这说明有人在找SGI Irix机。Irix是实现tcpmux的主要提供者，默认情况下在本系统中是开放的。Irix机器包含几个没有密码的默认账号，比如IP，客UUCP，NUUCP，DEMOS，TUTOR，DIAG，OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。所以黑客在网上搜索tcpmux，利用这些账号。

端口:7

服务:回声

说明:可以看到很多人搜索Fraggle放大器时发送到X.X.X.0和X.X.X.255的信息。

端口:19

服务:字符生成器

描述:这是一个只发送字符的服务。UDP版本在收到UDP数据包后会对包含垃圾字符的数据包做出响应。当TCP连接时，它会发送包含垃圾字符的数据流，直到连接关闭。黑客可以利用IP欺骗发起DoS攻击。伪造两台chargen服务器之间的UDP数据包。同样，Fraggle DoS攻击会向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者会过载以响应这些数据。

端口:21

服务:FTP

描述:FTP服务器打开的端口用于上传和下载。最常见的攻击者正在寻找打开anonymous的FTP服务器的方法。这些服务器有可读和可写的目录。木马Doly木马，Fore，隐形FTP，WebEx，WinCrash，Blade Runner打开的端口。

端口:22

服务:Ssh

说明:PcAnywhere建立的TCP和这个端口的连接可能是为了找ssh。这项服务有许多弱点。如果在特定模式下配置，很多使用RSAREF库的版本都会有很多漏洞。

端口:23

服务:Telnet

描述:入侵者正在搜索Telnet UNIX的服务。在大多数情况下，扫描该端口是为了找到机器运行的操作系统。通过其他技术，入侵者也可以找到密码。木马微型Telnet服务器打开这个端口。

端口:25

服务:SMTP

描述:SMTP服务器为发送邮件而打开的端口。入侵者正在寻找SMTP服务器来发送他们的垃圾邮件。入侵者的帐户被关闭，他们需要连接到一个高带宽的电子邮件服务器，将简单的信息发送到不同的地址。木马、邮件密码发送器、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都打开这个端口。

端口:31

服务:消息认证

描述:木马大师天堂和黑客天堂开放此端口。

端口:42

服务:WINS复制

描述:WINS复制

端口:53

服务:域名服务器(DNS)

描述:DNS服务器打开的端口，入侵者可能试图进行TCP，欺骗DNS(UDP)或隐藏其他通信。因此，防火墙通常会过滤或记录该端口。

港口:67

服务:引导协议服务器

说明:很多发送到255.255.255.255广播地址的数据，往往是通过DSL和Cable modem的防火墙看到的。这些机器正在向DHCP服务器请求地址。黑客经常进入它们，分配一个地址，并把自己当作本地路由器来发动大量中间人攻击。客户端将请求配置广播到端口68，服务器将响应请求广播到端口67。此响应使用广播，因为客户端不知道可以发送的IP地址。

港口:69

服务:繁琐的文件传输

描述:很多服务器都是和bootp一起提供这个服务的，可以很方便的从系统下载启动代码。但是由于配置错误，它们经常使入侵者能够从系统中窃取任何文件。它们也可以用于系统写文件。

端口:79

服务:手指服务器

描述:入侵者用于获取用户信息，查询操作系统，检测已知的缓冲区溢出错误，响应从自己机器到其他机器的手指扫描。

端口:80

服务:HTTP

描述:用于网页浏览。特洛伊木马执行器会打开此端口。

端口:99

服务:元语法中继

描述:后门程序ncx99打开此端口。

端口:102

服务:消息传输代理(MTA)-TCP/IP上的X.400

描述:消息传输代理。

端口:109

服务:邮局协议-版本3

描述:POP3服务器打开该端口接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。至少有20个关于用户名和密码交换缓冲区溢出的漏洞，这意味着入侵者可以在实际登录之前进入系统。成功登录后还有其他缓冲区溢出错误。

端口:110

服务:SUN公司RPC服务的所有端口

描述:常见的RPC服务包括rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等。

端口:113

服务:认证服务

描述:这是一个在许多计算机上运行的协议，用于对TCP连接的用户进行身份验证。使用此标准服务可以获得许多计算机的信息。但是它可以作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC。通常，如果许多客户通过防火墙访问这些服务，他们会看到该端口的许多连接请求。请记住，如果您阻止此端口，客户端将会感觉到与防火墙另一侧的电子邮件服务器的连接速度很慢。许多防火墙支持在阻塞TCP连接期间发回RST。这将停止慢速连接。

端口:119

服务:网络新闻传输协议

描述:新闻新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找一个USENET服务器。大多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许张贴/阅读任何人的帖子，访问受限制的新闻组服务器，匿名张贴或发送垃圾邮件。

端口:135

服务:定位服务

解释:微软在这个端口上运行DCE RPC端点映射器作为它的DCOM服务。这非常类似于UNIX 111端口的功能。使用DCOM和RPC的服务向计算机上的端点映射器注册它们的位置。当远程客户端连接到计算机时，它们会寻找端点映射器找到服务的位置。黑客是在扫描电脑的这个端口来寻找这台电脑上运行的Exchange Server吗？什么版本？还有一些针对此端口的DOS攻击。

端口:137、138、139

服务:NETBIOS名称服务

说明:其中137和138是UDP端口，通过网邻居传输文件时使用。和端口139:通过该端口的连接试图获得NetBIOS/SMB服务。此协议用于windows文件和打印机共享以及SAMBA。WINS Regisrtation也使用它。

端口:143

服务:临时邮件访问协议v2

说明:和POP3一样，很多IMAP服务器都有缓冲区溢出漏洞。记住:一个LINUX蠕虫(admv0rm)会通过这个端口繁殖，所以这个端口的许多扫描来自不知情的被感染用户。当REDHAT在其LINUX发行版中默认允许IMAP时，这些漏洞变得非常流行。此端口也用于IMAP2，但并不流行。

端口:161

服务:SNMP

描述:SNMP允许远程管理设备。所有配置和操作信息都存储在数据库中，可以通过SNMP获得。许多管理员的错误配置将暴露在互联网上。Cackers将尝试使用默认的公共密码和私有密码来访问系统。他们会尝试所有可能的组合。SNMP数据包可能会被错误地发送到用户的网络。

端口:177

服务:X显示管理器控制协议

描述:许多入侵者通过它访问X-windows控制台，它需要同时打开6000端口。

端口:389

服务:LDAP、ILS

描述:轻型目录访问协议和NetMeeting Internet定位器服务器共享此端口。

端口:443

服务:Https

描述:网页浏览端口，另一个可以通过安全端口提供加密和传输的HTTP。

端口:456

服务:[空]

描述:木马黑客天堂开放此端口。

端口:513

服务:登录、远程登录

描述:它是来自使用电缆调制解调器或DSL登录到子网的UNIX计算机的广播。这些人为入侵者进入他们的系统提供信息。

端口:544

服务:[空]

描述:kerberos kshell

端口:548

服务:Macintosh，文件服务(AFP/IP)

描述:麦金塔，文件服务。

端口:553

服务:CORBA IIOP (UDP)

描述:通过使用电缆调制解调器、DSL或VLAN，您将看到此端口的广播。CORBA是一个面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口:555

服务:DSF

描述:木马PhAse1.0，Stealth Spy，IniKiller打开此端口。

端口:568

服务:会员DPA

说明:成员资格DPA。

端口:569

服务:会员MSN

描述:会员MSN。

端口:635

服务:安装d

描述:Linux的mountd Bug。这是一个常见的扫描错误。这个端口的扫描大部分是基于UDP的，但是基于TCP的mountd增加了(mountd同时运行在两个端口上)。记住mountd可以在任何端口上运行(是哪个端口，需要在111端口上做portmap查询)，但是Linux的默认端口是635，就像NFS一般运行在2049端口上一样。

端口:636

服务:LDAP

描述:SSL(安全套接字层)

端口:666

服务:Doom Id软件

描述:木马攻击FTP和Satanz后门开放此端口。

端口:993

服务:IMAP

描述:SSL(安全套接字层)

端口:1001、1011

服务:[空]

描述:木马消音器和WebEx开放端口1001。特洛伊木马打开端口1011。

端口:1024

服务:保留

描述:它是动态端口的开始。很多程序都不在乎用哪个端口连接网络。他们请求系统为他们分配下一个空闲端口。基于此，分配从端口1024开始。这意味着对系统的第一个请求将被分配给端口1024。您可以重新启动机器，打开Telnet，然后打开一个窗口运行natstat -a，您会看到Telnet被分配了端口1024。而SQL会话也使用这个端口和5000端口。

端口:1025、1033

服务:1025:网络21点1033:[空]

描述:木马netspy打开这两个端口。

端口:1080

服务:袜子

描述:该协议以隧道方式穿越防火墙，允许防火墙后的人通过一个IP地址访问互联网。理论上，它应该只允许内部通信到达互联网。但由于配置错误，会让防火墙外的攻击穿过防火墙。WinGate经常犯这个错误，在加入IRC聊天室的时候经常看到。端口:1170服务:[NULL]描述:木马流音频木马，Psyber流服务器和语音开放此端口。

端口:1234、1243、6711、6776

服务:[空]

描述:特洛伊木马SubSeven2.0和UltorTrojan开放端口1234和6776。特洛伊木马SubSeven1.0/1.9开放端口1243、6711和6776。

端口:1245

服务:[空]

描述:木马Vodoo打开此端口。

端口:1433

服务:SQL

描述:微软的SQL服务是一个开放端口。

端口:1492

服务:石材-设计-1

描述:木马FTP99CMP打开此端口。

港口:1500

服务:RPC客户端固定端口会话查询

描述:RPC客户端固定端口会话查询

端口:1503

服务:NetMeeting T.120

说明:NetMeeting T.120

端口:1524

服务:入口

说明:很多攻击脚本都会在这个端口安装一个后门外壳，尤其是针对SUN系统中Sendmail和RPC服务漏洞的攻击脚本。如果刚安装完防火墙就看到该端口有连接尝试，很可能是上述原因。尝试Telnet到用户计算机上的这个端口，看看它是否会给你一个SHELL。连接600/pcserver也有这个问题。

港口:1600

服务:issd

描述:木马Shivka-Burka打开此端口。

港口:1720

服务:NetMeeting

说明:NetMeeting H.233呼叫设置。

港口:1731

服务:NetMeeting音频呼叫控制

描述:NetMeeting音频呼叫控制。

港口:1807

服务:[空]

描述:特洛伊木马SpySender打开此端口。

港口:1981年

服务:[空]

描述:木马ShockRave打开此端口。

港口:1999年

服务:思科识别端口

描述:木马后门打开此端口。

港口:2000年

服务:[空]

描述:木马女友1.3和Millenium 1.0开放此端口。

港口:2001年

服务:[空]

描述:木马Millenium 1.0和木马Cow开放此端口。

港口:2023

服务:xinuexpansion 4

描述:特洛伊通行证Ripper打开此端口。

港口:2049

服务:NFS

描述:NFS程序经常在这个端口运行。您通常需要访问端口映射器，以找出该服务运行在哪个端口上。

端口:2115

服务:[空]

描述:木马Bugs打开此端口。

端口:2140、3150

服务:[空]

描述:木马深喉1.0/3.0开放此端口。

港口:2500

服务:使用固定端口会话复制的RPC客户端

描述:应用固定端口会话复制的RPC客户端

端口:2583

服务:[空]

描述:木马Wincrash 2.0开放此端口。

端口:2801

服务:[空]

描述:特洛伊木马Phineas Phucker打开此端口。

端口:3024、4092

服务:[空]

描述:WinCrash特洛伊木马打开此端口。

端口:3128

服务:鱿鱼

描述:这是squid HTTP代理服务器的默认端口。攻击者扫描该端口以匿名访问互联网，从而搜索代理服务器。您还会看到用于搜索其他代理服务器的端口8000、8001、8080、8888。扫描该端口的另一个原因是用户正在进入聊天室。其他用户也会检查这个端口，以确定用户的机器是否支持代理。

端口:3129

服务:[空]

描述:木马大师天堂开启此端口。

端口:3150

服务:[空]

描述:木马入侵者打开此端口。

端口:3210、4321

服务:[空]

描述:木马校车打开此端口。

端口:3333

服务:详细说明

描述:特洛伊木马Prosiak打开此端口。

端口:3389

服务:超级终端

描述:WINDOWS 2000终端打开此端口。

端口:3700

服务:[空]

描述:特洛伊毁灭之门打开此端口。

端口:3996、4060

服务:[空]

描述:特洛伊木马RemoteAnything打开此端口。

端口:4000

服务:QQ客户端

说明:腾讯QQ客户端开放该端口。

端口:4092

服务:[空]

描述:WinCrash特洛伊木马打开此端口。

端口:4590

服务:[空]

描述:特洛伊木马ICQTrojan打开此端口。

端口:5000、5001、5321、50505

服务:[空]

描述:木马blazer5开放5000个端口。特洛伊木马Sockets de Troie打开端口5000、5001、5321和50505。

端口:5400、5401、5402

服务:[空]

描述:木马银翼杀手打开此端口。

端口:5550

服务:[空]

描述:木马xtcp打开此端口。

端口:5569

服务:[空]

描述:木马Robo-Hack打开此端口。

端口:5632

服务:pcAnywere

描述:有时你会看到这个端口的很多扫描，取决于用户的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网络，寻找可能的代理(这里的代理是指代理而不是代理)。入侵者也会寻找开启这项服务的电脑。，所以您应该检查这次扫描的源地址。一些搜索pcAnywere的扫描数据包通常包含端口22上的UDP数据包。

端口:5742

服务:[空]

描述:木马WinCrash1.03开放此端口。

端口:6267

服务:[空]

描述:木马和外国女孩打开此端口。

端口:6400

服务:[空]

描述:木马东西打开这个端口。

端口:6670、6671

服务:[空]

描述:木马深喉开放端口6670。而深喉3.0则开放了6671端口。

端口:6883

服务:[空]

描述:特洛伊木马DeltaSource打开此端口。

端口:6969

服务:[空]

描述:特洛伊木马Gatecrasher和Priority打开此端口。

端口:6970

服务:实时音频

描述:RealAudio客户将从服务器6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口出站控制连接设置的。

端口:7000

服务:[空]

描述:木马远程抓取打开此端口。

端口:7300、7301、7306、7307、7308

服务:[空]

描述:特洛伊木马NetMonitor打开此端口。此外，NetSpy1.0还会打开7306端口。

端口:7323

服务:[空]

描述:Sygate服务器端。

端口:7626

服务:[空]

描述:木马Giscier打开此端口。

端口:7789

服务:[空]

描述:特洛伊木马ICKiller打开此端口。

端口:8000

服务:OICQ

注:腾讯QQ服务器开放此端口。

端口:8010

服务:温盖特

描述:Wingate代理打开此端口。

端口:8080

服务:代理端口

描述:WWW代理打开此端口。

端口:9400、9401、9402

服务:[空]

描述:木马Incommand 1.0开放此端口。

端口:9872、9873、9874、9875、10067和10167

服务:[空]

描述:特洛伊毁灭之门打开此端口。

端口:9989

服务:[空]

描述:特洛伊木马iNi-黑仔打开此端口。

端口:11000

服务:[空]

描述:木马SennaSpy打开此端口。

端口:11223

服务:[空]

描述:特洛伊木马Progenic特洛伊木马打开此端口。

端口:12076、61466

服务:[空]

描述:特洛伊木马Telecommando打开此端口。第页]

端口:12223

服务:[空]

描述:木马黑客& # 39；9键盘记录器打开此端口。

端口:12345、12346

服务:[空]

描述:木马NetBus1.60/1.70和GabanBus开放此端口。

端口:12361

服务:[空]

描述:特洛伊木马“打地鼠”打开此端口。

端口:13223

服务:权力哇

描述:PowWow是部落之声的聊天程序。它允许用户在此端口打开私人聊天连接。这个过程对于建立连接来说是非常激进的。它将驻留在这个TCP端口上，等待响应。导致相似心跳间隔的连接请求。如果一个拨号用户从另一个说话者那里继承了IP地址，就会出现似乎有许多不同的人在测试这个端口的情况。该协议使用OPNG作为其连接请求的前4个字节。

港口:16969

服务:[空]

描述:特洛伊木马优先打开此端口。

端口:17027

服务:冷凝

描述:这是一个向外的连接。这是因为公司内部有人已经安装了有传导性的产品& # 34；adbot & # 34的共享软件。导电& # 34；adbot & # 34它用于显示共享软件的广告服务。使用这项服务的一个流行软件是Pkware。

港口:19191

服务:[空]

描述:特洛伊蓝色火焰打开此端口。

端口:20000，20001

服务:[空]

描述:特洛伊千年打开此端口。

端口:20034

服务:[空]

描述:木马NetBus Pro打开此端口。

端口:21554

服务:[空]

描述:木马女友打开此端口。

端口:22222

服务:[空]

描述:特洛伊木马Prosiak打开此端口。

端口:23456

服务:[空]

描述:木马Evil FTP和Ugly FTP开放此端口。

端口:26274、47262

服务:[空]

描述:特洛伊三角洲开放此端口。

端口:27374

服务:[空]

描述:特洛伊木马Subseven 2.1开放此端口。

端口:30100

服务:[空]

描述:特洛伊木马NetSphere打开此端口。

端口:30303

服务:[空]

描述:特洛伊木马Socket23打开此端口。

端口:30999

服务:[空]

描述:木马匡打开此端口。

端口:31337、31338

服务:[空]

描述:木马BO(背孔)打开此端口。此外，木马DeepBO还开放31338端口。

端口:31339

服务:[空]

描述:木马NetSpy DK打开此端口。

端口:31666

服务:[空]

描述:特洛伊木马BOWhack打开此端口。

端口:33333

服务:[空]

描述:特洛伊木马Prosiak打开此端口。

端口:34324

服务:[空]

描述:木马Tiny Telnet服务器，BigGluck和TN开放此端口。

端口:40412

服务:[空]

描述:木马间谍打开这个端口。

端口:40421，40422，40423，40426，

服务:[空]

描述:木马大师天堂开启此端口。

端口:43210、54321

服务:[空]

描述:木马校车1.0/2.0开放此端口。

端口:44445

服务:[空]

描述:特洛伊木马Happypig打开此端口。

端口:50766

服务:[空]

描述:特洛伊木马Fore打开此端口。

端口:53001

服务:[空]

描述:特洛伊木马远程Windows Shutdown打开此端口。

端口:65000
服务:[NULL]
描述:木马魔鬼1.03开放此端口。

端口:88

描述:Kerberos krb5。此外，TCP的端口88也用于此目的。

端口:137

描述:其他协议上的SQL命名管道加密名称查找(其他协议名称查找中的SQL命名管道加密技术)和其他协议上的SQL RPC加密名称查找(其他协议名称查找中的SQL RPC加密技术)，WINS NetBT名称服务(Wins NetBT名称服务)和Wins代理都使用此端口。

端口:161

描述:简单网络管理协议(SMTP)。

端口:162

描述:SNMP陷阱(SNMP陷阱)

端口:445

描述:通用互联网文件系统(CIFS)(通用互联网文件系统)

端口:464

描述:Kerberos kpasswd(v5)。此外，TCP的464端口也用于此目的。

港口:500

描述:互联网密钥交换(IKE)(互联网密钥交换)

端口:1645、1812

解释:远程身份验证拨号用户服务(radius)身份验证(路由和远程访问)。

端口:1646、1813

描述:radius记帐(路由和远程访问)。

港口:1701

描述:第二层隧道协议(L2TP)(第二层隧道协议)

端口:1801、3527

描述:Microsoft消息队列服务器。同样用途的还有TCP的135，1801，2101，2103，2105。

端口:2504

描述:网络负载平衡(网络负载平衡)