上网之端口知识

计算机之间通信是通过端口进行的，例如：访问一个网站时，Windows就会在本机开一个端口（例如1025端口），然后去连接远方网站服务器的一个端口，别人访问你时也是如此。默认状态下，Windows会打开许多服务端口，黑客常常利用这些端口来实施入侵，因此掌握端口方面的知识，是安全上网必备的技能。

一、常用端口及其分类

电脑在Internet上相互通信需要使用TCP/IP协议，根据TCP/IP协议规定，电脑有256×256(65536)个端口，这些端口可分为TCP端口和UDP端口两种。按照端口号划分，它们又可以分为以下两大类：

1.系统保留端口（从0到1023）

这些端口不允许使用，它们都有确切的定义，对应着因特网上常见的一些服务，每一个打开的此类端口，都代表一个系统服务，例如：80端口就代表Web服务。21对应着FTP，25对应着SMTP（发邮件）、110对应着POP3（收邮件）等。
HTTP:80：www服务。
DHCP：服务器端的端口号是67
DHCP：客户机端的端口号是68
POP3：POP3仅仅是接收协议，POP3客户端使用SMTP向服务器发送邮件。POP3所用的端口号是110。
SMTP： 端口号是25。SMTP真正关心的不是邮件如何被传送，而只关心邮件是否能顺利到达目的地。SMTP具有健壮的邮件处理特性，这种特性允许邮件依据一定标 准自动路由，SMTP具有当邮件地址不存在时立即通知用户的能力，并且具有在一定时间内将不可传输的邮件返回发送方的特点。
Telnet：端口号是23。Telnet是一种最老的Internet应用，起源于ARPNET。它的名字是“电信网络协议（Telecommunication Network Protocol）”的缩写。
FTP：FTP使用的端口有20和21。20端口用于数据传输，21端口用于控制信令的传输，控制信息和数据能够同时传输，这是FTP的特殊这处。FTP采用的是TCP连接。
TFTP：端口号69，使用的是UDP的连接。
DNS:53，名称服务
NetBIOS: 137,138,139,其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得 NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
NNTP 网络新闻传输协议:119
SNMP（简单网络管理协议）:161端口
RPC（远程过程调用）服务:135端口
QQ:使用8000(服务端)和4000端口（客户端）
21 端口：21 端口主要用于FTP（File Transfer Protocol，文件传输协议）服务。
23 端口：23 端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序,最初设计被用来方便管理员远程管理计算机,可现在真正将其发挥到极致的是"黑客"!
25 端口：25 端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。
53 端口：53 端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS 服务在NT 系统中使用的最为广泛。
67、68 端口：67、68 端口分别是为Bootp 服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。
69 端口：TFTP 是Cisco 公司开发的一个简单文件传输协议，类似于FTP。
79 端口：79 端口是为Finger 服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。
80 端口：80 端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。
99 端口：99 端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。
109、110 端口：109 端口是为POP2（Post Office Protocol Version2，邮局协议2）服务开放的，110 端口是为POP3（邮件协议3）服务开放的，POP2、POP3 都是主要用于接收邮件的。
111 端口：111 端口是SUN 公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC 在多种网络服务中都是很重要的组件。
113 端口：113 端口主要用于Windows 的“Authentication Service”（验证服务）。
119 端口：119 端口是为“Network News Transfer Protocol”（网络新闻组传输协议，简称NNTP）开放的。
135 端口：135 端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。
137 端口：137 端口主要用于“NetBIOS Name Service”（NetBIOS名称服务）。
139 端口：139 端口是为“NetBIOS Session Service”提供的，主要用于提供Windows 文件和打印机共享以及Unix 中的Samba 服务。
143 端口：143 端口主要是用于“Internet Message Access Protocol”v2（Internet 消息访问协议，简称IMAP）。
161 端口：161 端口是用于“Simple Network Management Protocol”（简单网络管理协议，简称SNMP）。
443 端口：443 端口即网页浏览端口，主要是用于HTTPS 服务，是提供加密和通过安全端口传输的另一种HTTP。
554 端口：554 端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP）。

2.动态端口（从1024到65535）

需要与别人通信时，Windows会从1024起，在本机上分配一个动态端口，如果1024端口未关闭，再需要端口时就会分配1025端口供使用，依此类推。

但是有个别的系统服务会绑定在1024到49151的端口上，例如3389端口（远程终端服务）。从49152到65535这一段端口，通常没有捆绑系统服务，允许Windows动态分配给你使用。
1024 端口：1024 端口一般不固定分配给某个服务，在英文中的解释是“Reserved”（保留）。
1080 端口：1080 端口是Socks 代理服务使用的端口，大家平时上网使用的WWW 服务使用的是HTTP 协议的代理服务。
1755 端口：1755 端口默认情况下用于“Microsoft Media Server”（微软媒体服务器，简称MMS）。
3389端口：远程桌面 (嘿嘿!3389入侵就是用的这个口)

二、如何查看本机开放了哪些端口

默认状态下，Windows会打开很多“服务端口”，如果想查看本机打开了哪些端口、有哪些网站正在与本机连接，可以用netstat命令：

Windows提供了netstat命令，能够显示当前的TCP/IP网络连接情况。

操作方法：单击“开始→程序→附件→命令提示符”，进入DOS窗口，输入netstat-na回车，就会显示本机连接情况及打开的端口。其中 LocalAddress代表本机IP地址和打开的端口号，ForeignAddress是远程计算机IP地址和端口号，State表明当前TCP的连接状态。

在DOS窗口中输入了netstat-nab命令，还将显示每个连接都是由哪些程序创建的。如果发现本机打开了可疑的端口，就可以用该命令察看它调用了哪些组件，然后再检查各组件的创建时间和修改时间，如果发现异常，就可能是中了木马。

三、关闭本机不用的端口

默认情况下Windows有很多端口是开放的，联网后黑客可以通过这些端口连上你的电脑，因此，应该封闭这些端口。主要有：TCP139、445、593、 1025端口和UDP123、137、138、445、1900端口、一些流行病毒的后门端口（如：TCP2513、2745、3127、6129端口），以及远程服务访问端口3389。

关闭的方法是：

①137、138、 139、445端口：它们都是为共享而开放的，应该禁止别人共享你的机器，所以要把这些端口全部关闭，方法是：单击“开始→控制面板→系统→硬件→设备管理器”，单击“查看”菜单下的“显示隐藏的设备”，双击“非即插即用驱动程序”，找到并双击NetBiosoverTcpip，在打开的 “NetBiosoverTcpip属性”窗口，单击选中“常规”标签下的“不要使用这个设备（停用）”，“确定”按钮后重新启动后即可。

关闭135端口
WindowsXP系统(关闭135端口)
运行dcomcnfg，展开“组件服务”→“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认属性”，取消“启用分布式COM”；然后切换到“默认协议”，删除“面向连接的TCP/IP”。
以上选项有对应的注册表键值，因此也可通过注册表来修改：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Ole:EnableDCOM的值改为“N”

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Rpc:DCOMProtocols中删除“ncacn_ip_tcp”
此外，需要停用“DistributedTransactionCoordinator”服务。服务停用方法这里系统服务优化
重启电脑后，135端口就关闭了。

关闭139端口
控制面板-网络和拨号连接-本地连接-属性，双击Internet协议(TCP/IP)-高级-WINS-点选禁用TCP/IP上的NetBIOS-确定。

关闭445端口
运行regedit，打开到HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/NetBT/Parameters

将新建的DWORD参数命名为“SMBDeviceEnabled”，数值为缺省的“0”。

②关闭UDP123端口：单击“开始→设置→控制面板”，双击“管理工具→服务”，停止WindowsTime服务即可。关闭UDP123端口，可以防范某些蠕虫病毒。

③关闭UDP1900端口：在控制面板中双击“管理工具→服务”，停止SSDPDiscoveryService服务。关闭这个端口，可防范DDoS攻击。

④其他端口：可以用网络防火墙来关闭，或者在“控制面板”中，双击“管理工具→本地安全策略”，选中“IP安全策略，在本地计算机”，创建IP安全策略来关闭。

四、重定向本机默认端口，保护系统安全

如果，本机的默认端口不能关闭，应该将它“重定向”。把该端口重定向到另一个地址，这样即可隐藏公认的默认端口，降低受破坏机率，保护系统安全。

例如：你的电脑上开放了远程终端服务（TerminalServer）端口（默认是3389），可以将它重定向到另一个端口（例如1123），方法：

1.在本机上（服务器端）修改

定位到下列两个注册表项，将其中的PortNumber，全部改成自定义的端口（例如1123）即可：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/Wds/rdpwd/Tds/tcp

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/WinStations/RDP-Tcp

2.在客户端上修改

依次打开：“开始→程序→附件→通讯→远程桌面连接”，打开“远程桌面连接”窗口，单击“选项”按钮扩展窗口，填写完相关参数后，单击“常规”下的“另存为”按钮，将该连接参数导出为.rdp文件。用记事本打开该文件，在文件最后添加一行：serverport:i:1123（这里填写你服务器自定义的端口）。以后，直接双击这个.rdp文件即可连接到服务器这个自定义端口了。