常见端口详解及攻击策略

177 xdmcp 许多Hacker通过它访问X-Windows控制台, 它同时需要打开6000端口。
194=Irc
443=Https
456=Hackers Paradise
513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很
有趣的信息。

553 CORBA
IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure
call)系统。Hacker会利用这些信息进入系统。
555=Stealth Spy(Phase)
600 Pcserver backdoor 请查看1524端口

一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP的
mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做
portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口。
666=Attack FTP
1001=Silencer
1001=WebEx
1010=Doly trojan v1.35
1011=Doly Trojan
1015=Doly trojan v1.5
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为
它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配
端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分
配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”
查看,每个Web页需要一个新端口。

1025 参见1024

1026 参见1024
1033=Netspy
1042=Bla1.1
1047=GateCrasher.b
1047=GateCrasher.c
1080 SOCKS
这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的
通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简
单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙,常会发
生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

1114 SQL
系统本身很少扫描这个端口,但常常是sscan脚本的一部分。

1243 Sub-7木马(TCP)
参见Subseven部分。
1245=Vodoo
1269=Maverick's Matrix
1492=FTP99CMP (BackOriffice.FTP)
1524 ingreslock后门
许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd,
ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试
Telnet到你的机器上的这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。
1807=SpySender
1981=ShockRave
1999=Backdoor (YAI)
1999=BackDoor.200
1999=BackDoor.201
1999=BackDoor.202
1999=BackDoor.203
1509=Streaming Server
1600=Shiv
2001=TrojanCow
2023=Pass Ripper
2049 NFS
NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS运行于
这个端口,Hacker/Cracker因而可以闭开portmapper直接测试这个端口。
2140=DeepThroat.10
2140=Invasor
2140=The Invasor
2283=Rat
2565=Striker
2583=Wincrash2
2801=Phineas
3128 squid
这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看
到搜索其它代理服务器的端口:8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户
(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。
3129=MastersParadise.92
3150=Deep Throat 1.0
3210=SchoolBus
4000=OICQ Client
4567=FileNail
4950=IcqTrojan
5000=Blazer 5
5190=ICQ Query
5321=Firehotcker
5400=BackConstruction1.2
5400=BladeRunner
5550=Xtcp
5569=RoboHack
5632 pcAnywere
你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能
得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。
一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。
5714=Wincrash3
5742=Wincrash
6400=The Thing
6669=Vampire
6670=Deep Throat
6711=SubSeven
6713=SubSeven
6767=NT Remote Control
6771=Deep Throat 3
6776 Sub-7 artifact
这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断
时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到
防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)
6883=DeltaSource
6939=Indoctrination
6969=Gatecrasher.a
6970 RealAudio
RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。
7306=NetMonitor (NetSpy)
7307=ProcSpy
7308=X Spy
7626=木马冰河
7789=ICQKiller
8000=OICQ Server
9400=InCommand
9401=InCommand
9402=InCommand
9872=Portal of Doom
9875=Portal of Doom
9989=InIkiller
10167=Portal Of Doom
10607=Coma
11000=Senna Spy Trojans
11223=ProgenicTrojan
12076=Gjamer
12076=MSH.104b
12223=Hack?9 KeyLogger
12345=NetBus 1.x
12346=NetBus 1.x
12631=WhackJob.NB1.7
13223 PowWow
PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。
它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中
“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四
个字节。
16969=Priotrity
17027 Conducent
这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件
显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP
地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:机器会不断试图解析DNS名-ads.conducent.com,
即IP地址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使
用的Radiate是否也有这种现象)
17300=Kuang2
20000=Millenium II (GrilFriend)
20001=Millenium II (GrilFriend)
20034=NetBus Pro
20331=Bla
21554=GirlFriend
21554=Schwindler 1.82
22222=Prosiak
23456=Evil FTP
23456=UglyFtp
23456=WhackJob
27374 Sub-7木马(TCP)
参见Subseven部分。
29891=The Unexplained
30029=AOLTrojan
30100 NetSphere木马(TCP)
通常这一端口的扫描是为了寻找中了NetSphere木马。
30303=Socket23

30999=Kuang
31337 Back Orifice “elite”
Hacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运
行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,
其它的木马程序越来越流行。
31339=NetSpy
31666=BO Whackmole
31787=Hack'a'tack
31789 Hack-a-tack
这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT, Remote Access Trojan)。这种木马包含内置的31790
端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文
件传输连接)

32770~32900 RPC服务
Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内,即使
低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了
寻找可被攻击的已知的RPC服务。
33333=Prosiak
33434~33600 traceroute
如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute部分。
33911=Trojan Spirit 2001 a
34324=TN
34324=Tiny Telnet Server
40412=TheSpy
40421=MastersParadise.96
40423=Master Paradise.97
41508 Inoculan
早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此
47878=BirdSpy2
50766=Fore
50766=Schwindler
53001=Remote Shutdown
54320=Back Orifice 2000
54321=SchoolBus 1.6
61466=Telecommando
65000=Devil

你可能感兴趣的:(linux,SQL Server,脚本,Solaris,防火墙)