⽹络端⼝号码查询
1. ⽹络中常⽤的端⼝号有哪些
端⼝号⼩于256的⼀般为常⽤端⼝号。
其中常⽤的保留TCP端⼝号有HTTP 80、FTP 20/21、Telnet 23、SMTP 25、DNS 53等;常⽤的保留UDP端⼝号有DNS 53、BootP 67(server)/ 68(client)、TFTP 69、SNMP 161等。 TCP与UDP段结构中端⼝地址都是16⽐特,可以有在0-65535范围内的端⼝号。
任何TCP/IP实现所提供的服务都⽤1-1023之间的端⼝号,是由ICANN来管理的。端⼝号从1024-49151是被注册的端⼝号,被IANA指定为使⽤。
从49152-65535是动态或私有端⼝号。扩展资料:各个端⼝及端⼝号的实际⽤途 1、1系端⼝ POP3服务器开放102端⼝,⽤于接收邮件,客户端访问服务器端的邮件服务;NEWS新闻组传输协议,承载USENET通信。
这个端⼝的连接通常是⼈们在寻USENET服务器;137、138是UDP端⼝,当通过⽹上邻居传输⽂件时⽤这个端⼝。 2、2系端⼝ FTP服务器开放的21端⼝,⽤于上传、下载。
最常见的攻击者⽤于寻打开anonymous的FTP服务器的⽅法。这些服务器带有可读写的⽬录;PcAnywhere建⽴的TCP和22端⼝的连接可能是为了寻ssh;扫描23端⼝是为了到机器运⾏的操作系统。
3、3系端⼝轻型⽬录访问协议和NetMeeting Internet Locator Server共⽤389端⼝。
4、4系端⼝⽹页浏览443端⼝,能提供加密和通过安全端⼝传输的另⼀种HTTP;⽊马HACKERS PARADISE开放456端⼝。
参考资料来源:百度百科-端⼝号参考资料来源:百度百科-⽹络端⼝。
2. ⽹络中端⼝有那些
⼝:21
服务:FTP
说明:FTP服务器所开放的端⼝,⽤于上传、下载。最常见的攻击者⽤于寻打开anonymous的FTP服务器的⽅法。这些服务器带有可读写的⽬录。⽊马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端⼝。
端⼝:22
服务:Ssh
说明:PcAnywhere建⽴的TCP和这⼀端⼝的连接可能是为了寻ssh。这⼀服务有许多弱点,如果配置成特定的模式,许多使⽤RSAREF库的版本就会有不少的漏洞存在。
端⼝:23
服务:Telnet
说明:远程登录,⼊侵者在搜索远程登录UNIX的服务。⼤多数情况下扫描这⼀端⼝是为了到机器运⾏的操作系统。还有使⽤其他技术,⼊侵者也会到密码。⽊马Tiny Telnet Server就开放这个端⼝。
端⼝:25
服务:SMTP
说明:SMTP服务器所开放的端⼝,⽤于发送邮件。⼊侵者寻SMTP服务器是为了传递他们的SPAM。⼊侵者的帐户被关闭,他们需要连接到⾼带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。⽊
马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端⼝。
端⼝:80
服务:HTTP
说明:⽤于⽹页浏览。⽊马Executor开放此端⼝。
端⼝:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端⼝:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端⼝,⽤于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于⽤户名和密码交换缓冲区溢出的弱点⾄少有20个,这意味着⼊侵者可以在真正登陆前进
⼊系统。成功登陆后还有其他缓冲区溢出错误。
端⼝:110
服务:SUN公司的RPC服务所有端⼝
说明:常见RPC服务有untd、NFS、rpc.statd、rpc.csmd、bd、amd等
端⼝:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端⼝的连接通常是⼈们在寻USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何⼈的帖⼦,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端⼝:135
服务:Location Service
说明:Microsoft在这个端⼝运⾏DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端⼝的
功能很相似。使⽤DCOM和RPC的服务利⽤计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查end-point mapper到服务的位置。HACKER扫描计算机的这个端⼝是为了到这个计算机上运⾏Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端⼝。
端⼝:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端⼝,当通过⽹上邻居传输⽂件时⽤这个端⼝。⽽139端⼝:通过这个端⼝进⼊的连接试图获得NetBIOS/SMB服务。这个协议被⽤于windows⽂件和打印机共享和SAMBA。还有WINS Regisrtation也⽤它。
端⼝:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运⾏信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使⽤默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向⽤户的⽹络
3. 常⽤的⽹络端⼝号有哪⼏个
因特⽹上最流⾏的协议是TCP/IP协议,需要说明的是,TCP/IP协议在⽹络层是⽆连接的(数据包只管往⽹上发,如何传输和到达以及是否到达由⽹络设备来管理)。⽽我们⼀旦谈“端⼝”,就已经到了传输层。协议⾥⾯低于1024的端⼝都有确切的定义,它们对应着因特⽹上常见的⼀些服务。这些常见的服务可以划分为使⽤TCP端⼝(⾯向连接如打电话)和使⽤UDP端⼝(⽆连接如写信)两种。
使⽤TCP端⼝常见的有:
ftp:定义了⽂件传输协议,使⽤21端⼝。常说某某主机开了 ftp服务便是⽂件传输服务。下载⽂件,上传主页,都要⽤到ftp服务。
telnet:你上BBS吗?以前的BBS是纯字符界⾯的,⽀持BBS的服务器将23端⼝打开,对外提供服务。其实Telnet的真正意思是远程登陆:⽤户可以以⾃⼰的⾝份远程连接到主机上。
smtp:定义了简单邮件传送协议。现在很多邮件服务器都⽤的是这个协议,⽤于发送邮件。服务器开放的是25端⼝。
不安全的⽂本传送
25/tcp SMTP Simple Mail Transfer Protocol (E-mail)
69/udp TFTP Trivial File Transfer Protocol
79/tcp finger Finger
80/tcp HTTP 超⽂本传送协议(WWW)
88/tcp Kerberos Authenticating agent
110/tcp POP3 Post Office Protocol (E-mail)
113/tcp ident old identification server system
119/tcp NNTP used for usenet newsgroups
220/tcp IMAP3
443/tcp HTTPS used for securely transferring web pages
5. 什么是IP地址和端⼝号码
所谓IP地址就是给每个连接在Internet上的主机分配的⼀个32bit地址。
在⽹络技术中,端⼝(Port)⼤致有两种意思:⼀是物理意义上的端⼝,⽐如,ADSL Modem、集线器
、交换机、路由器⽤于连接其他⽹络设备的接⼝,如RJ-45端⼝、SC端⼝等等。⼆是逻辑意义上的端⼝,⼀般是指TCP/IP协议中的端⼝,端⼝号的范围从0到65535,⽐如⽤于浏览⽹页服务的80端⼝,⽤于FTP服务的21端⼝等等。
6. ⽹络端⼝是什么
端⼝分为3⼤类
1)公认端⼝(Well Known Ports):从0到1023,它们紧密绑定于⼀些服务。通常这些端⼝的通讯明确表明了某种服务的协议。例如:80端⼝实际上总是h++p通讯。
2)注册端⼝(Registered Ports):从1024到49151。它们松散地绑定于⼀些服务。也就是说有许多服务绑定于这些端⼝,这些端⼝同样⽤于许多其它⽬的。例如:许多系统处理动态端⼝从1024左右开始。
3)动态和/或私有端⼝(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端⼝。实际上,机器通常从1024起分配动态端⼝。但也有例外:SUN的RPC端⼝从32768开始。
本节讲述通常TCP/UDP端⼝扫描在防⽕墙记录中的信息。
记住:并不存在所谓 ICMP端⼝。如果你对解读ICMP数据感兴趣,请参看本⽂的其它部分。
7. 什么是端⼝号码
端⼝是应⽤于某种`程序服务和通讯协议的接⼝按端⼝号可分为3⼤类:(1)公认端⼝(Well Known Ports):从0到1023,它们紧密绑定(binding)于⼀些服务。
通常这些端⼝的通讯明确表明了某种服务的协议。例如:80端⼝实际上总是HTTP通讯。
(2)注册端⼝(Registered Ports):从1024到49151。它们松散地绑定于⼀些服务。
也就是说有许多服务绑定于这些端⼝,这些端⼝同样⽤于许多其它⽬的。例如:许多系统处理动态端⼝从1024左右开始。
(3)动态和/或私有端⼝(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端⼝。
实际上,机器通常从1024起分配动态端⼝。但也有例外:SUN的RPC端⼝从32768开始。
0 通常⽤于分析操作系统。这⼀⽅法能够⼯作是因为在⼀些系统中“0”是⽆效端⼝,当你试图使⽤⼀种通常的闭合端⼝连接它时将产⽣不同的结果。
⼀种典型的扫描:使⽤IP地址为0.0.0.0,设置ACK位并在以太⽹层⼴播。1 tcpmux 这显⽰有⼈在寻SGIIrix机器。
Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有⼏个缺省的⽆密码的帐户,如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,和4Dgifts。
许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利⽤这些帐户。
7Echo你能看到许多⼈们搜索Fraggle放⼤器时,发送到0和255的信息。常见的⼀种DoS攻击是echo循环(echo-loop),攻击者伪造从⼀个机器发送到另⼀个UDP数据包,⽽两个机器分别以它们最快的⽅式回应这些数据包。
(参见Chargen)另⼀种东西是由DoubleClick在词端⼝建⽴的TCP连接。有⼀种产品叫做Resonate Global Dispatch”,它与DNS的这⼀端⼝连接以确定最近的路由。
Harvest/squid cache将从3130端⼝发送UDPecho:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo 端⼝回应⼀个HIT reply。”这将会产⽣许多这类数据包。
11 sysstat这是⼀种UNIX服务,它会列出机器上所有正在运⾏的进程以及是什么启动了这些进程。这为⼊侵者提供了许多信息⽽威胁机器的安全,如暴露已知某些弱点或帐户的程序。
telnet ip 端口号这与UNIX系统中“ps”命令的结果相似再说⼀遍:ICMP没有端⼝,ICMP port 11通常是ICMPtype=1119 chargen 这是⼀种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。
TCP连接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker利⽤IP欺骗可以发动DoS攻击伪造两个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的⽆限的往返数据通讯⼀个chargen和echo将导致服务器过载。
同样fraggle DoS攻击向⽬标地址的这个端⼝⼴播⼀个带有伪造受害者IP的数据包,受害者为了回应这些数据⽽过载。 21 ftp最常见的攻击者⽤于寻打开“anonymous”的ftp服务器的⽅法。
这些服务器带有可读写的⽬录。Hackers或tackers利⽤这些服务器作为传送warez (私有程序)和pr0n(故意拼错词⽽避免被搜索引擎分类)的节点。
22 sshPcAnywhere建⽴TCP和这⼀端⼝的连接可能是为了寻ssh。这⼀服务有许多弱点。
如果配置成特定的模式,许多使⽤RSAREF库的版本有不少漏洞。(建议在其它端⼝运⾏ssh)还应该注意的是ssh⼯具包带有⼀个称为ake-ssh-known-hosts的程序。
它会扫描整个域的ssh主机。你有时会被使⽤这⼀程序的⼈⽆意中扫描到。
UDP(⽽不是TCP)与另⼀端的5632端⼝相连意味着存在搜索pcAnywhere的扫描。5632 (⼗六进制的0x1600)位交换后是0x0016(使进制的22)。
23 Telnet⼊侵者在搜索远程登陆UNIX的服务。⼤多数情况下⼊侵者扫描这⼀端⼝是为了到机器运⾏的操作系统。
此外使⽤其它技术,⼊侵者会到密码。 25 smtp攻击者(spammer)寻SMTP服务器是为了传递他们的spam。
⼊侵者的帐户总被关闭,他们需要拨号连接到⾼带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进⼊系统的最常⽤⽅法之⼀,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。
53 DNSHacker或crackers可能是试图进⾏区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防⽕墙常常过滤或记录53端⼝。
需要注意的是你常会看到53端⼝做为UDP源端⼝。不稳定的防⽕墙通常允许这种通讯并假设这是对DNS查询的回复。
Hacker常使⽤这种⽅法穿透防⽕墙。 67和68 Bootp和DHCPUDP上的Bootp/DHCP:通过DSL和cable-
modem的防⽕墙常会看见⼤量发送到⼴播地址255.255.255.255的数据。
这些机器在向DHCP服务器请求⼀个地址分配。Hacker常进⼊它们分配⼀个地址把⾃⼰作为局部路由器⽽发起⼤量的“中间⼈”(man-in-middle)攻击。
客户端向68端⼝(bootps)⼴播请求配置,服务器向67端⼝(bootpc)⼴播回应请求。这种回应使⽤⼴播是因为客户端还不知道可以发送的IP地址。
69 TFTP(UDP) 许多服务器与bootp⼀起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置⽽从系统提供任。