常见端口:
端口号标识了一个主机上进行通信的不同的应用程序。
HTTP协议代理服务器常用端口号:80/8080/3128/8081/9098
SOCKS代理协议服务器常用端口号:1080
FTP(文件传输)协议代理服务器常用端口号:21
Telnet(远程登录)协议代理服务器常用端口号:23
HTTP服务器,默认端口号为80/tcp(木马Executor开放此端口)
HTTPS(securely transferring web pages)服务器,默认端口号为443/tcp 443/udp
Telnet(不安全的文本传送),默认端口号为23/tcp(木马Tiny Telnet Server所开放的端口)
FTP,默认的端口号为21/tcp(木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口)
TFTP(Trivial File Transfer Protocol),默认端口号为69/udp
SSH(安全登录)、SCP(文件传输)、端口号重定向,默认的端口号为22/tcp
SMTP Simple Mail Transfer Protocol(E-mail),默认端口号为25/tcp(木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口)
POP3 Post Office Protocol(E-mail),默认端口号为110/tcp
Webshpere应用程序,默认端口号为9080
webshpere管理工具,默认端口号9090
JBOSS,默认端口号为8080
TOMCAT,默认端口号为8080
WIN2003远程登录,默认端口号为3389
Symantec AV/Filter for MSE,默认端口号为 8081
Oracle 数据库,默认的端口号为1521
ORACLE EMCTL,默认的端口号为1158
Oracle XDB(XML 数据库),默认的端口号为8080
Oracle XDB FTP服务,默认的端口号为2100
MS SQL*SERVER数据库server,默认的端口号为1433/tcp 1433/udp
MS SQL*SERVER数据库monitor,默认的端口号为1434/tcp 1434/udp
思维导图:
一、传输层的服务:提供端到端的通信服务
1.端通信的实现原理:靠端口号(又叫程序地址)来进行端到端的通信
2.端到端的通信过程:网际层以下(含网际层)只提供两个相邻节点之间的主机到主机(点到点)传输,没有涉及应用程序即进程的概念。例如在多用户或多任务操作系统中,数据传到目的主机时,应该由哪个进程处理到达的数据,IP协议不能解决这个问题,传输层可以解决它。传输层的基本任务是提供应用程序之间的通信。这种通信称端到端的通信。端到端信道由一段段点到点信道组成,端到端协议建立在点到点协议基础之上。
二、端口号的范围
端口号范围:0——65535
熟知端口:0-1023 由IANA指派和控制
注册端口:1024-49151 IANA不指派和不控制,只能在IANA注册防止重复
临时端口:49153-65535 不指派也不注册,他们可以由任何进程来使用,是临时端口
发送端口号是随机分配的原因:
1.三个页面发送端口若相同,当目标端口回发通信时无法辨认是哪个页面
2.五元组:源ip 目标ip 源端口 目标端口 协议 通过变化的源端口标志一条数据流量
三、传输层的协议
1.TCP/IP协议
特点:为应用程序提供一种面向连接的可靠服务,传输要求高,传输慢
tcp可靠性:面向连接
最大报文段长度
传输确认机制 序列号和确认应答号
流量控制机制 滑动窗口大小
首部校验和
分段和重组 传出层最大切1460字节(1500减去ip的20字节和)
确认和重传 有来有回(确认序列号) 往返时间值(根据当前带宽动态设置)
拥塞控制、慢启动
三次握手 四次挥手——半关闭状态 两两一组
2.UDP协议
介绍:为应用程序提供一种面向无连接的不可靠服务,传输快,传输要求低
四、传输层的攻击
拒绝服务攻击:是一种耗尽cpu、内存、贷款以及磁盘空间等系统资源,来削弱或阻止对网络,系统或应用程序的授权使用的行为
拒绝服务攻击分类:DOS 拒绝服务攻击
DDOS 分布式拒绝服务攻击
CC 是DDOS和DOS升级攻击 例慢速上传攻击
TCP拒绝服务攻击:SYN FLOOD攻击
SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,常用假冒的IP或IP号段发来海量的请求连接的第一个握手包(SYN包),被攻击服务器回应第二个握手包(SYN+ACK包),因为对方是假冒IP,对方永远收不到包且不会回应第三个握手包。导致被攻击服务器保持大量SYN_RECV状态的“半连接”,并且会重试默认5次回应第二个握手包,塞满TCP等待连接队列,资源耗尽(CPU满负荷或内存不足),让正常的业务请求连接不进来。
UDP拒绝服务攻击:UDP FLOOD攻击
UDP洪泛是一种拒绝服务攻击,其中大量的用户数据报协议(UDP)数据包被发送到目标服务器,目的是压倒该设备的处理和响应能力。 防火墙保护目标服务器也可能因UDP泛滥而耗尽,从而导致对合法流量的拒绝服务。