计算机端口

计算机端口

计算机“端口”是英文port的义译，可以认为是计算机与外界通讯交流的出口。按 端口号可分为3大类：公认端口（Well Known Ports）;注册端口（Registered Ports）;动态和/或私有端口（Dynamic and/or Private Ports）

1概述编辑

计算机“端口”是英文port的义译，可以认为是计算机与外界通讯交流的出口.分 软件端口和硬件端口.

  模块化的计算机端口

2端口定义

硬件领域的端口又称接口，如： USB端口、 串行端口等。 软件领域的端口一般指网络中 面向连接服务和无连接服务的 通信协议端口，是一种抽象的 软件结构，包括一些 数据结构和I/O（基本输入输出） 缓冲区。

  计算机端口

3端口分类编辑

第一类

公认端口（Well Known Ports）：从0到1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明了某种服务的协议，例如：80端口实际上总是HTTP通讯。

第二类

注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

第三类

动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

一些端口常常会被 黑客利用，还会被一些 木马病毒利用，对 计算机系统进行攻击，以下是计算机端口的介绍以及防止被 黑客攻击的简要方法。

4常见端口编辑

（1） 8080端口

端口说明： 8080端口同80端口，是被用于WWW 代理服务的，可以实现网页浏览，经常在访问某个网站或使用 代理服务器的时候，会加上“:8080” 端口号。

  端口图

端口 漏洞： 8080端口可以被各种病毒程序所利用，比如Brown Orifice（BrO）特洛伊 木马病毒可以利用8080端口完全遥控被感染的计算机。另外，RemoConChubo，RingZero 木马也可以利用该端口进行攻击。

操作建议：一般我们是使用80端口进行网页浏览的，为了避免病毒的攻击，我们可以关闭该端口。

（2）端口：21

服务：FTP；

说明： FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方****。

（3）端口：22

服务：Ssh；

（4）端口：23

服务：Telnet；

（5）端口：25

服务：SMTP；

说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。 木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

（6）端口：80

服务：HTTP

说明：用于网页浏览。 木马Executor开放此端口。

（7）端口：102

服务：Message transfer agent(MTA)-X.400 over TCP/IP

说明：消息传输代理。

（8）端口：109

服务：Post Office Protocol -Version3

说明： POP3服务器开放此端口，用于接收邮件， 客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换 缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他 缓冲区溢出错误。

（9）端口：110

服务：SUN公司的RPC服务所有端口

说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

其他：POP3协议默认端口也是110

（10）端口：119

服务：Network News Transfer Protocol

说明：NEWS 新闻组 传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的 新闻组服务器。打开 新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

（11）端口：135

服务：Location Service

说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的 DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。

（12）端口：137、138、139

服务：NETBIOS Name Service

说明：其中137、138是UDP端口，当通过 网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和 打印机共享和SAMBA。还有WINS Regisrtation也用它。

（13）端口：161

服务：SNMP

说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多 管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络

5端口操作编辑

查看端口

Windows2000/XP/Server 2003中要查看端口，可以使用NETSTAT命令：

  查看端口

“开始">"运行”>“cmd”，打开 命令提示符窗口。在 命令提示符状态下键入“NETSTAT -a -n”，按下回车键后就可以看到以数字形式显示的TCP和UDP连接的 端口号及状态.

命令格式：Netstat ?－a? ?－e? ?－n? ?－o? ?－s?

－a 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口。

－e 表示显示 以太网发送和接收的字节数、数据包数等。

－n 表示只以数字形式显示所有活动的TCP连接的地址和 端口号。

－o 表示显示活动的TCP连接并包括每个连接的进程ID（PID）。

－s 表示按协议显示各种连接的统计信息，包括 端口号。

关闭端口

比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“ 控制面板”，双击“ 管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol （SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。

开启端口

如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。

另外在网络连接属性中，选择“ TCP/IP协议”属性，打开高级TCP/IP设置，在选项的那个页面打开TCP/IP筛选，在出现的设置窗口中也可以根据实现情况设置端口的打开和关闭，默认是未启用TCP/IP筛选。

6其他端口编辑

（1）被过滤广告端口：0

服务：Reserved

说明：通常用于分析 操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在 以太网层广播。

（2）端口：1

服务：tcpmux

说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、 NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多 管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。

（3）端口：7

服务：Echo

说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。

（4）端口：19

服务：Character Generator

说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

（5）端口：21

服务：FTP

说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

（6）端口：22

服务：Ssh

说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。

（7）端口：23

服务：Telnet

说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的 操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

（8）端口：25

服务：SMTP

（9）端口：31

服务：MSG Authentication

说明： 木马Master Paradise、Hackers Paradise开放此端口。

（10）端口：42

服务：WINS Replication

说明：WINS复制

（11）端口：53

服务：Domain Name Server（DNS）

说明： DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此 防火墙常常过滤或记录此端口。

（12）端口：67

服务：Bootstrap Protocol Server

说明：通过DSL和Cable modem的 防火墙常会看见大量发送到 广播地址255.255.255.255的数据。这些机器在向 DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部 路由器而发起大量中间人（man-in-middle）攻击。 客户端向68端口广播请求配置，服务器向 67端口广播回应请求。这种回应使用广播是因为 客户端还不知道可以发送的IP地址。

（13）端口：69

服务：Trival File Transfer

说明：许多服务器与bootp一起提供这项服务，便于从 系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。

（14）端口：79

服务：Finger Server

说明：入侵者用于获得用户信息，查询 操作系统， 探测已知的 缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。

（15）端口：80

服务：HTTP

说明：用于网页浏览。木马Executor开放此端口。

（16）端口：99

服务：Metagram Relay

说明：后门程序ncx99开放此端口。

（17）端口：102

服务：Message transfer agent(MTA)-X.400 over TCP/IP

说明：消息传输代理。

补充：

本地就是自己的电脑，远程就是其他电脑；没有什么绝对意义；对于一个服务器/客户端架构的应用，比如web服务，一般存在一个服务器，和客户端。

如果你的电脑扮演客户端的角色（大部分电脑都是如此），那么在你打开浏览器访问远端服务器的时候，电脑就是打开一个远程端口默认为80，IP为远端服务器的IP的连接，本地端口是随机分配的；

反过来，如果的电脑提供web服务，这本地端口就是80，（当然你也可以改成其他的）。别人会通过你的IP＋端口80来访问你。

不同的服务采用不同的服务端口；且知名的服务的端口一般都是固定的；比如telnet 23,ftp 20/21,dns 53等。

如果你的电脑没有提供web服务，却发现许多本地端口为80的连接，那说明你的电脑已经中的木马或病毒，请及时查杀。