端口概念
在网络技术中,端口( Port )大致有两种意思:一是物理意义上的端口,比如, ADSL Modem 、集线器、交换机、路由器用于连接其他网络设备的接口,如 RJ-45 端口、 SC 端口等等。二是逻辑意义上的端口,一般是指 TCP/IP 协议中的端口,端口号的范围从 0 到 65535 ,比如用于浏览网页服务的 80 端口,用于 FTP 服务的 21 端口等等。我们这里将要介绍的就是逻辑意义上的端口。
在网络技术中,端口( Port )大致有两种意思:一是物理意义上的端口,比如, ADSL Modem 、集线器、交换机、路由器用于连接其他网络设备的接口,如 RJ-45 端口、 SC 端口等等。二是逻辑意义上的端口,一般是指 TCP/IP 协议中的端口,端口号的范围从 0 到 65535 ,比如用于浏览网页服务的 80 端口,用于 FTP 服务的 21 端口等等。我们这里将要介绍的就是逻辑意义上的端口。
端口分类
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:
1.
按端口号分布划分
(
1
)知名端口(
Well-Known Ports
)
知名端口即众所周知的端口号,范围从 0 到 1023 ,这些端口号一般固定分配给一些服务。比如 21 端口分配给 FTP 服务, 25 端口分配给 SMTP (简单邮件传输协议)服务, 80 端口分配给 HTTP 服务, 135 端口分配给 RPC (远程过程调用)服务等等。
知名端口即众所周知的端口号,范围从 0 到 1023 ,这些端口号一般固定分配给一些服务。比如 21 端口分配给 FTP 服务, 25 端口分配给 SMTP (简单邮件传输协议)服务, 80 端口分配给 HTTP 服务, 135 端口分配给 RPC (远程过程调用)服务等等。
(
2
)动态端口(
Dynamic Ports
)
动态端口的范围从 1024 到 65535 ,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。比如 1024 端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后,就会释放所占用的端口号。
动态端口的范围从 1024 到 65535 ,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。比如 1024 端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后,就会释放所占用的端口号。
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是
7626
、
WAY 2.4
是
8011
、
Netspy 3.0
是
7306
、
YAI
病毒是
1024
等等。
2.
按协议类型划分
按协议类型划分,可以分为 TCP 、 UDP 、 IP 和 ICMP ( Internet 控制消息协议)等端口。下面主要介绍 TCP 和 UDP 端口:
按协议类型划分,可以分为 TCP 、 UDP 、 IP 和 ICMP ( Internet 控制消息协议)等端口。下面主要介绍 TCP 和 UDP 端口:
(
1
)
TCP
端口
TCP 端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。常见的包括 FTP 服务的 21 端口, Telnet 服务的 23 端口, SMTP 服务的 25 端口,以及 HTTP 服务的 80 端口等等。
TCP 端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。常见的包括 FTP 服务的 21 端口, Telnet 服务的 23 端口, SMTP 服务的 25 端口,以及 HTTP 服务的 80 端口等等。
(
2
)
UDP
端口
UDP 端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。常见的有 DNS 服务的 53 端口, SNMP (简单网络管理协议)服务的 161 端口, QQ 使用的 8000 和 4000 端口等等。
UDP 端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。常见的有 DNS 服务的 53 端口, SNMP (简单网络管理协议)服务的 161 端口, QQ 使用的 8000 和 4000 端口等等。
查看端口
在 Windows 2000/XP/Server 2003 中要查看端口,可以使用 Netstat 命令:
在 Windows 2000/XP/Server 2003 中要查看端口,可以使用 Netstat 命令:
依次点击
"
开始
→
运行
"
,键入
"cmd"
并回车,打开命令提示符窗口。在命令提示符状态下键入
"netstat -a -n"
,按下回车键后就可以看到以数字形式显示的
TCP
和
UDP
连接的端口号及状态。
小知识:
Netstat
命令用法
命令格式: Netstat -a -e -n-o -s
命令格式: Netstat -a -e -n-o -s
-a
表示显示所有活动的
TCP
连接以及计算机监听的
TCP
和
UDP
端口。
-e
表示显示以太网发送和接收的字节数、数据包数等。
-n
表示只以数字形式显示所有活动的
TCP
连接的地址和端口号。
-o
表示显示活动的
TCP
连接并包括每个连接的进程
ID
(
PID
)。
-s
表示按协议显示各种连接的统计信息,包括端口号。
关闭
/
开启端口
在介绍各种端口的作用前,这里先介绍一下在 Windows 中如何关闭 / 打开端口,因为默认的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet 服务的 23 端口、 FTP 服务的 21 端口、 SMTP 服务的 25 端口、 RPC 服务的 135 端口等等。为了保证系统的安全性,我们可以通过下面的方法来关闭 / 开启端口。
在介绍各种端口的作用前,这里先介绍一下在 Windows 中如何关闭 / 打开端口,因为默认的情况下,有很多不安全的或没有什么用的端口是开启的,比如 Telnet 服务的 23 端口、 FTP 服务的 21 端口、 SMTP 服务的 25 端口、 RPC 服务的 135 端口等等。为了保证系统的安全性,我们可以通过下面的方法来关闭 / 开启端口。
关闭端口
比如在 Windows 2000/XP 中关闭 SMTP 服务的 25 端口,可以这样做:首先打开 " 控制面板 " ,双击 " 管理工具 " ,再双击 " 服务 " 。接着在打开的服务窗口中找到并双击 "Simple Mail Transfer Protocol ( SMTP ) " 服务,单击 " 停止 " 按钮来停止该服务,然后在 " 启动类型 " 中选择 " 已禁用 " ,最后单击 " 确定 " 按钮即可。这样,关闭了 SMTP 服务就相当于关闭了对应的端口。
比如在 Windows 2000/XP 中关闭 SMTP 服务的 25 端口,可以这样做:首先打开 " 控制面板 " ,双击 " 管理工具 " ,再双击 " 服务 " 。接着在打开的服务窗口中找到并双击 "Simple Mail Transfer Protocol ( SMTP ) " 服务,单击 " 停止 " 按钮来停止该服务,然后在 " 启动类型 " 中选择 " 已禁用 " ,最后单击 " 确定 " 按钮即可。这样,关闭了 SMTP 服务就相当于关闭了对应的端口。
开启端口
如果要开启该端口只要先在 " 启动类型 " 选择 " 自动 " ,单击 " 确定 " 按钮,再打开该服务,在 " 服务状态 " 中单击 " 启动 " 按钮即可启用该端口,最后,单击 " 确定 " 按钮即可。
如果要开启该端口只要先在 " 启动类型 " 选择 " 自动 " ,单击 " 确定 " 按钮,再打开该服务,在 " 服务状态 " 中单击 " 启动 " 按钮即可启用该端口,最后,单击 " 确定 " 按钮即可。
提示:在
Windows 98
中没有
"
服务
"
选项,你可以使用防火墙的规则设置功能来关闭
/
开启端口。
常见网络端口
21
端口
端口说明: 21 端口主要用于 FTP ( File Transfer Protocol ,文件传输协议)服务, FTP 服务主要是为了在两台计算机之间实现文件的上传与下载,一台计算机作为 FTP 客户端,另一台计算机作为 FTP 服务器,可以采用匿名( anonymous )登录和授权用户名与密码登录两种方式登录 FTP 服务器。目前,通过 FTP 服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另外,还有一个 20 端口是用于 FTP 数据传输的默认端口号。
端口说明: 21 端口主要用于 FTP ( File Transfer Protocol ,文件传输协议)服务, FTP 服务主要是为了在两台计算机之间实现文件的上传与下载,一台计算机作为 FTP 客户端,另一台计算机作为 FTP 服务器,可以采用匿名( anonymous )登录和授权用户名与密码登录两种方式登录 FTP 服务器。目前,通过 FTP 服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另外,还有一个 20 端口是用于 FTP 数据传输的默认端口号。
在
Windows
中可以通过
Internet
信息服务(
IIS
)来提供
FTP
连接和管理,也可以单独安装
FTP
服务器软件来实现
FTP
功能,比如常见的
FTP Serv-U
。
操作建议:因为有的
FTP
服务器可以通过匿名登录,所以常常会被黑客利用。另外,
21
端口还会被一些木马利用,比如
Blade Runner
、
FTP Trojan
、
Doly Trojan
、
WebEx
等等。如果不架设
FTP
服务器,建议关闭
21
端口。
23
端口
端口说明: 23 端口主要用于 Telnet (远程登录)服务,是 Internet 上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端,开启 Telnet 服务的客户端就可以登录远程 Telnet 服务器,采用授权用户名和密码登录。登录之后,允许用户使用命令提示符窗口进行相应的操作。在 Windows 中可以在命令提示符窗口中,键入 "Telnet" 命令来使用 Telnet 远程登录。
端口说明: 23 端口主要用于 Telnet (远程登录)服务,是 Internet 上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端,开启 Telnet 服务的客户端就可以登录远程 Telnet 服务器,采用授权用户名和密码登录。登录之后,允许用户使用命令提示符窗口进行相应的操作。在 Windows 中可以在命令提示符窗口中,键入 "Telnet" 命令来使用 Telnet 远程登录。
操作建议:利用
Telnet
服务,黑客可以搜索远程登录
Unix
的服务,扫描操作系统的类型。而且在
Windows 2000
中
Telnet
服务存在多个严重的漏洞,比如提升权限、拒绝服务等,可以让远程服务器崩溃。
Telnet
服务的
23
端口也是
TTS
(
Tiny Telnet Server
)木马的缺省端口。所以,建议关闭
23
端口。
上面我们介绍了关闭
/
开启端口的方法,并介绍了
21
和
23
端口的内容,下面将介绍其他的常见端口说明,以及相应的操作建议。
25
端口
端口说明: 25 端口为 SMTP ( Simple Mail Transfer Protocol ,简单邮件传输协议)服务器所开放,主要用于发送邮件,如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候,在创建账户时会要求输入 SMTP 服务器地址,该服务器地址默认情况下使用的就是 25 端口
端口说明: 25 端口为 SMTP ( Simple Mail Transfer Protocol ,简单邮件传输协议)服务器所开放,主要用于发送邮件,如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候,在创建账户时会要求输入 SMTP 服务器地址,该服务器地址默认情况下使用的就是 25 端口
端口漏洞:
1.
利用
25
端口,黑客可以寻找
SMTP
服务器,用来转发垃圾邮件。
2. 25
端口被很多木马程序所开放,比如
Ajan
、
Antigen
、
Email Password Sender
、
ProMail
、
trojan
、
Tapiras
、
Terminator
、
WinPC
、
WinSpy
等等。拿
WinSpy
来说,通过开放
25
端口,可以监视计算机正在运行的所有窗口和模块。
操作建议:如果不是要架设
SMTP
邮件服务器,可以将该端口关闭。
53
端口
端口说明: 53 端口为 DNS ( Domain Name Server ,域名服务器)服务器所开放,主要用于域名解析, DNS 服务在 NT 系统中使用的最为广泛。通过 DNS 服务器可以实现域名与 IP 地址之间的转换,只要记住域名就可以快速访问网站。
端口说明: 53 端口为 DNS ( Domain Name Server ,域名服务器)服务器所开放,主要用于域名解析, DNS 服务在 NT 系统中使用的最为广泛。通过 DNS 服务器可以实现域名与 IP 地址之间的转换,只要记住域名就可以快速访问网站。
端口漏洞:如果开放
DNS
服务,黑客可以通过分析
DNS
服务器而直接获取
Web
服务器等主机的
IP
地址,再利用
53
端口突破某些不稳定的防火墙,从而实施攻击。近日,美国一家公司也公布了
10
个最易遭黑客攻击的漏洞,其中第一位的就是
DNS
服务器的
BIND
漏洞。
操作建议:如果当前的计算机不是用于提供域名解析服务,建议关闭该端口。
67
、
68
端口
端口说明: 67 、 68 端口分别是为 Bootp 服务的 Bootstrap Protocol Server (引导程序协议服务端)和 Bootstrap Protocol Client (引导程序协议客户端)开放的端口。 Bootp 服务是一种产生于早期 Unix 的远程启动协议,我们现在经常用到的 DHCP 服务就是从 Bootp 服务扩展而来的。通过 Bootp 服务可以为局域网中的计算机动态分配 IP 地址,而不需要每个用户去设置静态 IP 地址。
端口说明: 67 、 68 端口分别是为 Bootp 服务的 Bootstrap Protocol Server (引导程序协议服务端)和 Bootstrap Protocol Client (引导程序协议客户端)开放的端口。 Bootp 服务是一种产生于早期 Unix 的远程启动协议,我们现在经常用到的 DHCP 服务就是从 Bootp 服务扩展而来的。通过 Bootp 服务可以为局域网中的计算机动态分配 IP 地址,而不需要每个用户去设置静态 IP 地址。
端口漏洞:如果开放
Bootp
服务,常常会被黑客利用分配的一个
IP
地址作为局部路由器通过
"
中间人
"
(
man-in-middle
)方式进行攻击。
操作建议:建议关闭该端口。
上面我们介绍了用于
SMTP
服务的
25
端口、
DNS
服务器的
53
端口以及用于
Bootp
服务的
67
、
68
端口,下面将分别介绍用于
TFTP
的
69
端口、用于
Finger
服务的
79
端口和常见的用于
HTTP
服务的
80
端口。
69
端口
端口说明: 69 端口是为 TFTP ( Trival File Tranfer Protocol ,次要文件传输协议)服务开放的, TFTP 是 Cisco 公司开发的一个简单文件传输协议,类似于 FTP 。不过与 FTP 相比, TFTP 不具有复杂的交互存取接口和认证控制,该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。
端口说明: 69 端口是为 TFTP ( Trival File Tranfer Protocol ,次要文件传输协议)服务开放的, TFTP 是 Cisco 公司开发的一个简单文件传输协议,类似于 FTP 。不过与 FTP 相比, TFTP 不具有复杂的交互存取接口和认证控制,该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。
端口漏洞:很多服务器和
Bootp
服务一起提供
TFTP
服务,主要用于从系统下载启动代码。可是,因为
TFTP
服务可以在系统中写入文件,而且黑客还可以利用
TFTP
的错误配置来从系统获取任何文件。
操作建议:建议关闭该端口。
79
端口
端口说明: 79 端口是为 Finger 服务开放的,主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机 www.abc.com 上的 user01 用户的信息,可以在命令行中键入 "finger user01@www.abc.com" 即可。
端口说明: 79 端口是为 Finger 服务开放的,主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机 www.abc.com 上的 user01 用户的信息,可以在命令行中键入 "finger user01@www.abc.com" 即可。
端口漏洞:一般黑客要攻击对方的计算机,都是通过相应的端口扫描工具来获得相关信息,比如使用
"
流光
"
就可以利用
79
端口来扫描远程计算机操作系统版本,获得用户信息,还能探测已知的缓冲区溢出错误。这样,就容易遭遇到黑客的攻击。而且,
79
端口还被
Firehotcker
木马作为默认的端口。
操作建议:建议关闭该端口。
80
端口
端口说明: 80 端口是为 HTTP ( HyperText Transport Protocol ,超文本传输协议)开放的,这是上网冲浪使用最多的协议,主要用于在 WWW ( World Wide Web ,万维网)服务上传输信息的协议。我们可以通过 HTTP 地址加 ":80" (即常说的 " 网址 " )来访问网站的,比如 http://www.cce.com.cn:80 ,因为浏览网页服务默认的端口号是 80 ,所以只要输入网址,不用输入 ":80" 。
端口说明: 80 端口是为 HTTP ( HyperText Transport Protocol ,超文本传输协议)开放的,这是上网冲浪使用最多的协议,主要用于在 WWW ( World Wide Web ,万维网)服务上传输信息的协议。我们可以通过 HTTP 地址加 ":80" (即常说的 " 网址 " )来访问网站的,比如 http://www.cce.com.cn:80 ,因为浏览网页服务默认的端口号是 80 ,所以只要输入网址,不用输入 ":80" 。
端口漏洞:有些木马程序可以利用
80
端口来攻击计算机的,比如
Executor
、
RingZero
等。
操作建议:为了能正常上网冲浪,我们必须开启
80
端口。
通过上面的介绍,我们了解了用于
TFTP
服务的
69
端口、用于
Finger
服务的
79
端口以及上网冲浪用于
WWW
服务的
80
端口。下面将分别为大家介绍比较陌生的
99
端口、用于
POP3
服务的
109
、
110
端口和
RPC
服务的
111
端口。
99
端口
端口说明: 99 端口是用于一个名为 "Metagram Relay" (亚对策延时)的服务,该服务比较少见,一般是用不到的。
端口说明: 99 端口是用于一个名为 "Metagram Relay" (亚对策延时)的服务,该服务比较少见,一般是用不到的。
端口漏洞:虽然
"Metagram Relay"
服务不常用,可是
Hidden Port
、
NCx99
等木马程序会利用该端口,比如在
Windows 2000
中,
NCx99
可以把
cmd
.
exe
程序绑定到
99
端口,这样用
Telnet
就可以连接到服务器,随意添加用户、更改权限。
操作建议:建议关闭该端口。
109 、 110 端口
端口说明: 109 端口是为 POP2 ( Post Office Protocol Version 2 ,邮局协议 2 )服务开放的, 110 端口是为 POP3 (邮件协议 3 )服务开放的, POP2 、 POP3 都是主要用于接收邮件的,目前 POP3 使用的比较多,许多服务器都同时支持 POP2 和 POP3 。客户端可以使用 POP3 协议来访问服务端的邮件服务,如今 ISP 的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候,会要求输入 POP3 服务器地址,默认情况下使用的就是 110 端口
109 、 110 端口
端口说明: 109 端口是为 POP2 ( Post Office Protocol Version 2 ,邮局协议 2 )服务开放的, 110 端口是为 POP3 (邮件协议 3 )服务开放的, POP2 、 POP3 都是主要用于接收邮件的,目前 POP3 使用的比较多,许多服务器都同时支持 POP2 和 POP3 。客户端可以使用 POP3 协议来访问服务端的邮件服务,如今 ISP 的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候,会要求输入 POP3 服务器地址,默认情况下使用的就是 110 端口
端口漏洞:
POP2
、
POP3
在提供邮件接收服务的同时,也出现了不少的漏洞。单单
POP3
服务在用户名和密码交换缓冲区溢出的漏洞就不少于
20
个,比如
WebEasyMail POP3 Server
合法用户名信息泄露漏洞,通过该漏洞远程攻击者可以验证用户账户的存在。另外,
110
端口也被
ProMail trojan
等木马程序所利用,通过
110
端口可以窃取
POP
账号用户名和密码。
操作建议:如果是执行邮件服务器,可以打开该端口。
111
端口
端口说明: 111 端口是 SUN 公司的 RPC ( Remote Procedure Call ,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信, RPC 在多种网络服务中都是很重要的组件。常见的 RPC 服务有 rpc . mountd 、 NFS 、 rpc . statd 、 rpc . csmd 、 rpc . ttybd 、 amd 等等。在 Microsoft 的 Windows 中,同样也有 RPC 服务。
端口说明: 111 端口是 SUN 公司的 RPC ( Remote Procedure Call ,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信, RPC 在多种网络服务中都是很重要的组件。常见的 RPC 服务有 rpc . mountd 、 NFS 、 rpc . statd 、 rpc . csmd 、 rpc . ttybd 、 amd 等等。在 Microsoft 的 Windows 中,同样也有 RPC 服务。
端口漏洞:
SUN RPC
有一个比较大漏洞,就是在多个
RPC
服务时
xdr
_
array
函数存在远程缓冲溢出漏洞。
上面我们介绍了不知名但是容易受到木马攻击的
99
端口,常见的用于
POP
服务的
109
、
110
端口,以及用于
Sun
的
RPC
服务的
111
端口。下面将分别介绍与很多网络服务息息相关的
113
端口、用于
NEWS
新闻组传输的
119
端口以及遭遇
"
冲击波
"
攻击的
135
端口。
113
端口
端口说明: 113 端口主要用于 Windows 的 "Authentication Service" (验证服务),一般与网络连接的计算机都运行该服务,主要用于验证 TCP 连接的用户,通过该服务可以获得连接计算机的信息。在 Windows 2000/2003 Server 中,还有专门的 IAS 组件,通过该组件可以方便远程访问中进行身份验证以及策略管理。
端口说明: 113 端口主要用于 Windows 的 "Authentication Service" (验证服务),一般与网络连接的计算机都运行该服务,主要用于验证 TCP 连接的用户,通过该服务可以获得连接计算机的信息。在 Windows 2000/2003 Server 中,还有专门的 IAS 组件,通过该组件可以方便远程访问中进行身份验证以及策略管理。
端口漏洞:
113
端口虽然可以方便身份验证,但是也常常被作为
FTP
、
POP
、
SMTP
、
IMAP
以及
IRC
等网络服务的记录器,这样会被相应的木马程序所利用,比如基于
IRC
聊天室控制的木马。另外,
113
端口还是
Invisible Identd Deamon
、
Kazimas
等木马默认开放的端口。
操作建议:建议关闭该端口。
119
端口
端口说明: 119 端口是为 "Network News Transfer Protocol" (网络新闻组传输协议,简称 NNTP )开放的,主要用于新闻组的传输,当查找 USENET 服务器的时候会使用该端口。
端口说明: 119 端口是为 "Network News Transfer Protocol" (网络新闻组传输协议,简称 NNTP )开放的,主要用于新闻组的传输,当查找 USENET 服务器的时候会使用该端口。
端口漏洞:著名的
Happy99
蠕虫病毒默认开放的就是
119
端口,如果中了该病毒会不断发送电子邮件进行传播,并造成网络的堵塞。
操作建议:如果是经常使用
USENET
新闻组,就要注意不定期关闭该端口。
135
端口
端口说明: 135 端口主要用于使用 RPC ( Remote Procedure Call ,远程过程调用)协议并提供 DCOM (分布式组件对象模型)服务,通过 RPC 可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用 DCOM 可以通过网络直接进行通信,能够跨包括 HTTP 协议在内的多种网络传输。
端口说明: 135 端口主要用于使用 RPC ( Remote Procedure Call ,远程过程调用)协议并提供 DCOM (分布式组件对象模型)服务,通过 RPC 可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用 DCOM 可以通过网络直接进行通信,能够跨包括 HTTP 协议在内的多种网络传输。
端口漏洞:相信去年很多
Windows 2000
和
Windows XP
用户都中了
"
冲击波
"
病毒,该病毒就是利用
RPC
漏洞来攻击计算机的。
RPC
本身在处理通过
TCP/IP
的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到
RPC
与
DCOM
之间的一个接口,该接口侦听的端口就是
135
。
操作建议:为了避免
"
冲击波
"
病毒的攻击,建议关闭该端口。
通过上面的介绍想必大家已经了解到用于验证服务的
113
端口、用于网络新闻组的
119
端口,以及被
"
冲击波
"
病毒所利用的
135
端口。下面笔者将介绍用于
NetBIOS
名称服务的
137
端口,用于
Windows
文件和打印机共享的
139
端口以及
IMAP
协议的
143
端口。
137
端口
端口说明: 137 端口主要用于 "NetBIOS Name Service" ( NetBIOS 名称服务),属于 UDP 端口,使用者只需要向局域网或互联网上的某台计算机的 137 端口发送一个请求,就可以获取该计算机的名称、注册用户名,以及是否安装主域控制器、 IIS 是否正在运行等信息。
端口说明: 137 端口主要用于 "NetBIOS Name Service" ( NetBIOS 名称服务),属于 UDP 端口,使用者只需要向局域网或互联网上的某台计算机的 137 端口发送一个请求,就可以获取该计算机的名称、注册用户名,以及是否安装主域控制器、 IIS 是否正在运行等信息。
端口漏洞:因为是
UDP
端口,对于攻击者来说,通过发送请求很容易就获取目标计算机的相关信息,有些信息是直接可以被利用,并分析漏洞的,比如
IIS
服务。另外,通过捕获正在利用
137
端口进行通信的信息包,还可能得到目标计算机的启动和关闭的时间,这样就可以利用专门的工具来攻击。
操作建议:建议关闭该端口。
139
端口
端口说明: 139 端口是为 "NetBIOS Session Service" 提供的,主要用于提供 Windows 文件和打印机共享以及 Unix 中的 Samba 服务。在 Windows 中要在局域网中进行文件的共享,必须使用该服务。比如在 Windows 98 中,可以打开 " 控制面板 " ,双击 " 网络 " 图标,在 " 配置 " 选项卡中单击 " 文件及打印共享 " 按钮选中相应的设置就可以安装启用该服务;在 Windows 2000/XP 中,可以打开 " 控制面板 " ,双击 " 网络连接 " 图标,打开本地连接属性;接着,在属性窗口的 " 常规 " 选项卡中选择 "Internet 协议( TCP/IP ) " ,单击 " 属性 " 按钮;然后在打开的窗口中,单击 " 高级 " 按钮;在 " 高级 TCP/IP 设置 " 窗口中选择 "WINS" 选项卡,在 "NetBIOS 设置 " 区域中启用 TCP/IP 上的 NetBIOS 。
端口说明: 139 端口是为 "NetBIOS Session Service" 提供的,主要用于提供 Windows 文件和打印机共享以及 Unix 中的 Samba 服务。在 Windows 中要在局域网中进行文件的共享,必须使用该服务。比如在 Windows 98 中,可以打开 " 控制面板 " ,双击 " 网络 " 图标,在 " 配置 " 选项卡中单击 " 文件及打印共享 " 按钮选中相应的设置就可以安装启用该服务;在 Windows 2000/XP 中,可以打开 " 控制面板 " ,双击 " 网络连接 " 图标,打开本地连接属性;接着,在属性窗口的 " 常规 " 选项卡中选择 "Internet 协议( TCP/IP ) " ,单击 " 属性 " 按钮;然后在打开的窗口中,单击 " 高级 " 按钮;在 " 高级 TCP/IP 设置 " 窗口中选择 "WINS" 选项卡,在 "NetBIOS 设置 " 区域中启用 TCP/IP 上的 NetBIOS 。
端口漏洞:开启
139
端口虽然可以提供共享服务,但是常常被攻击者所利用进行攻击,比如使用流光、
SuperScan
等端口扫描工具,可以扫描目标计算机的
139
端口,如果发现有漏洞,可以试图获取用户名和密码,这是非常危险的。
操作建议:如果不需要提供文件和打印机共享,建议关闭该端口。
上面我们介绍了可以获取远程计算机名称等信息的
137
端口,为
Windows
提供文件和打印机共享的
139
端口。下面将介绍用于电子邮件接收服务(
IMAP
)的
143
端口,用于
SNMP
服务的
161
端口,以及用于
HTTPS
服务的
443
端口。
143
端口
端口说明: 143 端口主要是用于 "Internet Message Access Protocol"v2 ( Internet 消息访问协议,简称 IMAP ),和 POP3 一样,是用于电子邮件的接收的协议。通过 IMAP 协议我们可以在不接收邮件的情况下,知道信件的内容,方便管理服务器中的电子邮件。不过,相对于 POP3 协议要负责一些。如今,大部分主流的电子邮件客户端软件都支持该协议。
端口说明: 143 端口主要是用于 "Internet Message Access Protocol"v2 ( Internet 消息访问协议,简称 IMAP ),和 POP3 一样,是用于电子邮件的接收的协议。通过 IMAP 协议我们可以在不接收邮件的情况下,知道信件的内容,方便管理服务器中的电子邮件。不过,相对于 POP3 协议要负责一些。如今,大部分主流的电子邮件客户端软件都支持该协议。
端口漏洞:同
POP3
协议的
110
端口一样,
IMAP
使用的
143
端口也存在缓冲区溢出漏洞,通过该漏洞可以获取用户名和密码。另外,还有一种名为
"admv0rm"
的
Linux
蠕虫病毒会利用该端口进行繁殖。
操作建议:如果不是使用
IMAP
服务器操作,应该将该端口关闭。
161
端口
端口说明: 161 端口是用于 "Simple Network Management Protocol" (简单网络管理协议,简称 SNMP ),该协议主要用于管理 TCP/IP 网络中的网络协议,在 Windows 中通过 SNMP 服务可以提供关于 TCP/IP 网络上主机以及各种网络设备的状态信息。目前,几乎所有的网络设备厂商都实现对 SNMP 的支持。
端口说明: 161 端口是用于 "Simple Network Management Protocol" (简单网络管理协议,简称 SNMP ),该协议主要用于管理 TCP/IP 网络中的网络协议,在 Windows 中通过 SNMP 服务可以提供关于 TCP/IP 网络上主机以及各种网络设备的状态信息。目前,几乎所有的网络设备厂商都实现对 SNMP 的支持。
在
Windows 2000/XP
中要安装
SNMP
服务,我们首先可以打开
"Windows
组件向导
"
,在
"
组件
"
中选择
"
管理和监视工具
"
,单击
"
详细信息
"
按钮就可以看到
"
简单网络管理协议(
SNMP
)
"
,选中该组件;然后,单击
"
下一步
"
就可以进行安装。
端口漏洞:因为通过
SNMP
可以获得网络中各种设备的状态信息,还能用于对网络设备的控制,所以黑客可以通过
SNMP
漏洞来完全控制网络。
操作建议:建议关闭该端口。
443
端口
端口说明: 443 端口即网页浏览端口,主要是用于 HTTPS 服务,是提供加密和通过安全端口传输的另一种 HTTP 。在一些对安全性要求较高的网站,比如银行、证券、购物等,都采用 HTTPS 服务,这样在这些网站上的交换信息其他人都无法看到,保证了交易的安全性。网页的地址以 https:// 开始,而不是常见的 http:// 。
端口说明: 443 端口即网页浏览端口,主要是用于 HTTPS 服务,是提供加密和通过安全端口传输的另一种 HTTP 。在一些对安全性要求较高的网站,比如银行、证券、购物等,都采用 HTTPS 服务,这样在这些网站上的交换信息其他人都无法看到,保证了交易的安全性。网页的地址以 https:// 开始,而不是常见的 http:// 。
端口漏洞:
HTTPS
服务一般是通过
SSL
(安全套接字层)来保证安全性的,但是
SSL
漏洞可能会受到黑客的攻击,比如可以黑掉在线银行系统,盗取信用卡账号等。
操作建议:建议开启该端口,用于安全性网页的访问。另外,为了防止黑客的攻击,应该及时安装微软针对
SSL
漏洞发布的最新安全补丁。
554
端口
端口说明: 554 端口默认情况下用于 "Real Time Streaming Protocol" (实时流协议,简称 RTSP ),该协议是由 RealNetworks 和 Netscape 共同提出的,通过 RTSP 协议可以借助于 Internet 将流媒体文件传送到 RealPlayer 中播放,并能有效地、最大限度地利用有限的网络带宽,传输的流媒体文件一般是 Real 服务器发布的,包括有 .rm 、 .ram 。如今,很多的下载软件都支持 RTSP 协议,比如 FlashGet 、影音传送带等等。
端口说明: 554 端口默认情况下用于 "Real Time Streaming Protocol" (实时流协议,简称 RTSP ),该协议是由 RealNetworks 和 Netscape 共同提出的,通过 RTSP 协议可以借助于 Internet 将流媒体文件传送到 RealPlayer 中播放,并能有效地、最大限度地利用有限的网络带宽,传输的流媒体文件一般是 Real 服务器发布的,包括有 .rm 、 .ram 。如今,很多的下载软件都支持 RTSP 协议,比如 FlashGet 、影音传送带等等。
端口漏洞:目前,
RTSP
协议所发现的漏洞主要就是
RealNetworks
早期发布的
Helix Universal Server
存在缓冲区溢出漏洞,相对来说,使用的
554
端口是安全的。
操作建议:为了能欣赏并下载到
RTSP
协议的流媒体文件,建议开启
554
端口。
1024
端口
端口说明: 1024 端口一般不固定分配给某个服务,在英文中的解释是 "Reserved" (保留)。之前,我们曾经提到过动态端口的范围是从 1024 ~ 65535 ,而 1024 正是动态端口的开始。该端口一般分配给第一个向系统发出申请的服务,在关闭服务的时候,就会释放 1024 端口,等待其他服务的调用。
端口说明: 1024 端口一般不固定分配给某个服务,在英文中的解释是 "Reserved" (保留)。之前,我们曾经提到过动态端口的范围是从 1024 ~ 65535 ,而 1024 正是动态端口的开始。该端口一般分配给第一个向系统发出申请的服务,在关闭服务的时候,就会释放 1024 端口,等待其他服务的调用。
端口漏洞:著名的
YAI
木马病毒默认使用的就是
1024
端口,通过该木马可以远程控制目标计算机,获取计算机的屏幕图像、记录键盘事件、获取密码等,后果是比较严重的。
操作建议:一般的杀毒软件都可以方便地进行
YAI
病毒的查杀,所以在确认无
YAI
病毒的情况下建议开启该端口。
1080
端口
端口说明: 1080 端口是 Socks 代理服务使用的端口,大家平时上网使用的 WWW 服务使用的是 HTTP 协议的代理服务。而 Socks 代理服务不同于 HTTP 代理服务,它是以通道方式穿越防火墙,可以让防火墙后面的用户通过一个 IP 地址访问 Internet 。 Socks 代理服务经常被使用在局域网中,比如限制了 QQ ,那么就可以打开 QQ 参数设置窗口,选择 " 网络设置 " ,在其中设置 Socks 代理服务(如图 1 )。另外,还可以通过安装 Socks 代理软件来使用 QQ ,比如 Socks2HTTP 、 SocksCap32 等。
端口说明: 1080 端口是 Socks 代理服务使用的端口,大家平时上网使用的 WWW 服务使用的是 HTTP 协议的代理服务。而 Socks 代理服务不同于 HTTP 代理服务,它是以通道方式穿越防火墙,可以让防火墙后面的用户通过一个 IP 地址访问 Internet 。 Socks 代理服务经常被使用在局域网中,比如限制了 QQ ,那么就可以打开 QQ 参数设置窗口,选择 " 网络设置 " ,在其中设置 Socks 代理服务(如图 1 )。另外,还可以通过安装 Socks 代理软件来使用 QQ ,比如 Socks2HTTP 、 SocksCap32 等。
端口漏洞:著名的代理服务器软件
WinGate
默认的端口就是
1080
,通过该端口来实现局域网内计算机的共享上网。不过,如
Worm.Bugbear.B
(怪物
II
)、
Worm.Novarg.B
(
SCO
炸弹变种
B
)等蠕虫病毒也会在本地系统监听
1080
端口,给计算机的安全带来不利。
操作建议:除了经常使用
WinGate
来共享上网外,那么其他的建议关闭该端口。
1755
端口
端口说明: 1755 端口默认情况下用于 "Microsoft Media Server" (微软媒体服务器,简称 MMS ),该协议是由微软发布的流媒体协议,通过 MMS 协议可以在 Internet 上实现 Windows Media 服务器中流媒体文件的传送与播放。这些文件包括 .asf 、 .wmv 等,可以使用 Windows Media Player 等媒体播放软件来实时播放。其中,具体来讲, 1755 端口又可以分为 TCP 和 UDP 的 MMS 协议,分别是 MMST 和 MMSU ,一般采用 TCP 的 MMS 协议,即 MMST 。目前,流媒体和普通下载软件大部分都支持 MMS 协议。
端口说明: 1755 端口默认情况下用于 "Microsoft Media Server" (微软媒体服务器,简称 MMS ),该协议是由微软发布的流媒体协议,通过 MMS 协议可以在 Internet 上实现 Windows Media 服务器中流媒体文件的传送与播放。这些文件包括 .asf 、 .wmv 等,可以使用 Windows Media Player 等媒体播放软件来实时播放。其中,具体来讲, 1755 端口又可以分为 TCP 和 UDP 的 MMS 协议,分别是 MMST 和 MMSU ,一般采用 TCP 的 MMS 协议,即 MMST 。目前,流媒体和普通下载软件大部分都支持 MMS 协议。
端口漏洞:目前从微软官方和用户使用
MMS
协议传输、播放流媒体文件来看,并没有什么特别明显的漏洞,主要一个就是
MMS
协议与防火墙和
NAT
(网络地址转换)之间存在的兼容性问题。
操作建议:为了能实时播放、下载到
MMS
协议的流媒体文件,建议开启该端口。
下面将介绍
QQ
使用的
4000
端口,被
"
震荡波
"
病毒利用的
5554
端口,
pcAnywhere
使用的
5632
端口以及
WWW
代理服务使用的
8080
端口。
4000
端口
端口说明: 4000 端口是用于大家经常使用的 QQ 聊天工具的,再细说就是为 QQ 客户端开放的端口, QQ 服务端使用的端口是 8000 。通过 4000 端口, QQ 客户端程序可以向 QQ 服务器发送信息,实现身份验证、消息转发等, QQ 用户之间发送的消息默认情况下都是通过该端口传输的。 4000 和 8000 端口都不属于 TCP 协议,而是属于 UDP 协议。
端口说明: 4000 端口是用于大家经常使用的 QQ 聊天工具的,再细说就是为 QQ 客户端开放的端口, QQ 服务端使用的端口是 8000 。通过 4000 端口, QQ 客户端程序可以向 QQ 服务器发送信息,实现身份验证、消息转发等, QQ 用户之间发送的消息默认情况下都是通过该端口传输的。 4000 和 8000 端口都不属于 TCP 协议,而是属于 UDP 协议。
端口漏洞:因为
4000
端口属于
UDP
端口,虽然可以直接传送消息,但是也存在着各种漏洞,比如
Worm_Witty.A
(维迪)蠕虫病毒就是利用
4000
端口向随机
IP
发送病毒,并且伪装成
ICQ
数据包,造成的后果就是向硬盘中写入随机数据。另外,
Trojan.SkyDance
特洛伊木马病毒也是利用该端口的。
操作建议:为了用
QQ
聊天,
4000
大门敞开也无妨。
5554
端口
端口说明:在今年 4 月 30 日就报道出现了一种针对微软 lsass 服务的新蠕虫病毒 —— 震荡波( Worm.Sasser ),该病毒可以利用 TCP 5554 端口开启一个 FTP 服务,主要被用于病毒的传播。
端口说明:在今年 4 月 30 日就报道出现了一种针对微软 lsass 服务的新蠕虫病毒 —— 震荡波( Worm.Sasser ),该病毒可以利用 TCP 5554 端口开启一个 FTP 服务,主要被用于病毒的传播。
端口漏洞:在感染
"
震荡波
"
病毒后会通过
5554
端口向其他感染的计算机传送蠕虫病毒,并尝试连接
TCP 445
端口并发送攻击,中毒的计算机会出现系统反复重启、运行缓慢、无法正常上网等现象,甚至会被黑客利用夺取系统的控制权限。
操作建议:为了防止感染
"
震荡波
"
病毒,建议关闭
5554
端口。
5632
端口
端口说明: 5632 端口是被大家所熟悉的远程控制软件 pcAnywhere 所开启的端口,分 TCP 和 UDP 两种,通过该端口可以实现在本地计算机上控制远程计算机,查看远程计算机屏幕,进行文件传输,实现文件同步传输。在安装了 pcAnwhere 被控端计算机启动后, pcAnywhere 主控端程序会自动扫描该端口。
端口说明: 5632 端口是被大家所熟悉的远程控制软件 pcAnywhere 所开启的端口,分 TCP 和 UDP 两种,通过该端口可以实现在本地计算机上控制远程计算机,查看远程计算机屏幕,进行文件传输,实现文件同步传输。在安装了 pcAnwhere 被控端计算机启动后, pcAnywhere 主控端程序会自动扫描该端口。
端口漏洞:通过
5632
端口主控端计算机可以控制远程计算机,进行各种操作,可能会被不法分子所利用盗取账号,盗取重要数据,进行各种破坏。
操作建议:为了避免通过
5632
端口进行扫描并远程控制计算机,建议关闭该端口。
8080
端口
端口说明: 8080 端口同 80 端口,是被用于 WWW 代理服务的,可以实现网页浏览,经常在访问某个网站或使用代理服务器的时候,会加上 ":8080" 端口号,比如 http://www.cce.com.cn:8080 。
端口说明: 8080 端口同 80 端口,是被用于 WWW 代理服务的,可以实现网页浏览,经常在访问某个网站或使用代理服务器的时候,会加上 ":8080" 端口号,比如 http://www.cce.com.cn:8080 。
端口漏洞:
8080
端口可以被各种病毒程序所利用,比如
Brown Orifice
(
BrO
)特洛伊木马病毒可以利用
8080
端口完全遥控被感染的计算机。另外,
RemoConChubo
,
RingZero
木马也可以利用该端口进行攻击。
操作建议:一般我们是使用
80
端口进行网页浏览的,为了避免病毒的攻击,我们可以关闭该端口。