常见的⽹络服务端⼝
常见的⽹络服务端⼝
⼴泛公认的端⼝列表
1. ⼴泛公认的端⼝,是⼤部分⼴泛使⽤的程序或协议的默认端⼝,但实际使⽤时,由于安全等原因,系统管理员可以⾃⾏指定端⼝号。
端⼝。⽽本机的36406则只是临时端⼝。
原来心疼是种惩罚端⼝
0-1023是公认端⼝号,即已经公认定义或为将要公认定义的软件保留的,⽽1024-65535是并没有公共定义的端⼝号,⽤户可以⾃⼰定义这些端⼝的作⽤。
那么端⼝号到底有什么作⽤呢?
当⼀台电脑启动了⼀个可以让远程其他电脑访问的程序,那么它就要开启⾄少⼀个端⼝号来让外界访问。我们可以把没有开启端⼝号的电脑看作是⼀个密封的房间,密封的房间当然不可能接受外界的访问,所以当系统开启了⼀个可以让外界访问的程序后它⾃然需要在房间上开⼀个窗⼝来接受来⾃外界的访问,这个窗⼝就是端⼝。
那么为什么要给端⼝编号来区分它们呢,既然⼀个程序开了⼀个端⼝,那么不是外部信息都可以通过这个开启的端⼝来访问了吗?答案是不可以。为什么呢?因为数据是⽤端⼝号来通知传输层协议送给哪个软件来处理的,数据是没有智慧的,如果很多的程序共⽤⼀个端⼝来接受数据的话,那么当外界的⼀个数据包送来后传输层就不知道该送给哪⼀个软件来处理,这样势必将导致混乱。
源端⼝号⼀般是由系统⾃⼰动态⽣成的⼀个从1024-65535的号码,当⼀台计算机A通过⽹络访问计算机B时,如果它需要对⽅返回数据的话,它也会随机创建⼀个⼤于1023的端⼝,告诉B返回数据时把数据送到⾃⼰的哪个端⼝,然后软件开始侦听这个端⼝,等待数据返回。⽽B收到数据后会读取数据包的源端⼝号和⽬的端⼝号,然后记录下来,当软件创建了要返回的数据后就把原来数据包中的原端⼝号作为⽬的端⼝号,⽽把⾃⼰的端⼝号作为原端⼝号,也就是说把收到的数据包中的原和⽬的反过来,然后再送回A,A再重复这个过程如此反复直到数据传输完成。当数据全部传输完A就把源端⼝释放出来,所以同⼀个软件每次传输数据时不⼀定是同⼀个源端⼝号。
TCP/UDP
TCP(Transmission Control Protocol,传输控制协议)是⾯向连接的协议,也就是说,在收发数据前,必须和对⽅建⽴可靠的连接。
UDP(User Data Protocol,⽤户数据报协议)⾮连接的协议,传输数据之前源端和终端不建⽴连接,尽快交付,不保证可靠交付。
> TCP就好⽐打电话: 可靠,相对消耗资源也更多.
拨通电话,且对⽅接听了电话,才算建⽴连接成功,这时候就可以聊天了。TCP数据才开始发送。
电话拨通了,但对⽅没接,建⽴连接失败;需要重拨...
若中途掉线,即连接断开,聊天也中断了。连接断开;需要重拨...
> UDP就好⽐发送短消息: 快速节能但不可靠.
只管发出去,不管对⽅能不能看到。更不会考虑对⽅是否有拦截短信等软件。
对⽅没带⼿机,⼿机没电关机...与我⽆关,我已发送完成。
端⼝号的分配
端⼝号基于三个范围以各种⽅式分配。这些范围的差异⽤途描述于[RFC6335]。根据[RFC6335]的8.1.2节:
系统端⼝:(0-1023)是由“IETF审查”或“IESG批准”程序分配[RFC8126]。
⽤户端⼝:(1024-49151)由IANA使⽤“IETF审核”流程分配,根据“IESG批准”流程或“专家审核”流程[RFC6335]。
动态端⼝:(49152-65535)或称私有端⼝, 根据定义,没有端⼝可以被正式地注册占⽤。
windows常见⽹络端⼝
在cmd中输⼊netstat -ano查看开放端⼝信息
netstat -anob查看端⼝对应的服务信息
端⼝服务描述
20/TCP,UDP FTP [Default Data]⽂件传输协议 - 默认数据端⼝
21/TCP,UDP FTP [Control]⽂件传输协议 - 控制端⼝
22/TCP,UDP SSH SSH(Secure Shell) - 远程登录协议,⽤于安全登录⽂件传输(SCP,SFTP)及端⼝重新定向
23/TCP,UDP Telnet Telnet终端仿真协议 - 未加密⽂本通信
25/TCP,UDP SMTP SMTP(简单邮件传输协议) - ⽤于邮件服务器间的电⼦邮件传递43/TCP WHOIS WHOIS协议
53/TCP,UDP DNS DNS(域名服务系统)
67/UDP BOOTPs BOOTP(BootStrap协议)服务;同时⽤于动态主机设置协议
67/UDP BOOTPs BOOTP(BootStrap协议)服务;同时⽤于动态主机设置协议
68/UDP BOOTPc BOOTP客户端;同时⽤于动态主机设定协议
69/UDP TFTP⼩型⽂件传输协议(⼩型⽂件传输协议)
80/TCP Http超⽂本传输协议(超⽂本传输协议)- ⽤于传输⽹页
110/TCP POP3邮局协议,“邮局协议”,第3版 - ⽤于接收电⼦邮件
113/TCP Windows验证服务Ident - 旧的服务器⾝份识别系统,仍然被IRC服务器⽤来认证它的⽤户123/UDP NTP NTP(Network Time Protocol) - ⽤于时间同步
137/TCP,UDP NetBIOS Name Service NetBIOS NetBIOS 名称服务
138/TCP,UDP NetBIOS Datagram
Service
NetBIOS NetBIOS 数据报⽂服务
139/TCP,UDP NetBIOS Session Service NetBIOS NetBIOS 会话服务
143/TCP,UDP IMAP因特⽹信息访问协议(Internet信息访问协议 4) - ⽤于检索电⼦邮件s 161/TCP,UDP SNMP简单⽹络管理协议 (简单⽹络管理协议)
179/TCP Bgp边界⽹关协议 (边界⽹关协议)
194/TCP IRC(互联⽹中继聊天)
220/TCP,UDP IMAP3因特⽹信息访问协议,交互邮件访问协议第3版
389/TCP,UDP LDAP轻型⽬录访问协议 LDAP
443/TCP Https超⽂本传输安全协议 - 超⽂本传输协议 over TLS/SSL(加密传输)546/TCP,UDP DHCPv6客户端
547/TCP,UDP DHCPv6服务器
631/TCP,UDP CUPS互联⽹打印协议
636/TCP,UDP LDAPS LDAP over SSL(加密传输,也被称为LDAPS)
山东限电991/TCP,UDP NAS (Netnews Admin System)
1080/tcp SOCKS SOCKS代理
1194/udp OpenVPN
1433/tcp,udp SQL Server Microsoft SQL 数据库系统
1434/tcp,udp SQL Server monitor Microsoft SQL 活动监视器
1521/tcp Oracle Oracle数据库 default listener, in future releases official port 2483 3306/tcp,udp MySQL MySQL数据库系统
3389/tcp RDP远程桌⾯协议(RDP)
5432/tcp PostgreSQL PostgreSQL database system
linux常⽤端⼝
使⽤“ cat /etc/services ”命令,可以查看所有服务默认的端⼝列表信息。
$ cat /etc/services |wc -l
11410 //1⾏就是1个tcp或udp端⼝对照
Linux系统nftables防⽕墙的端⼝映射
name port name port name port name port
tcpmux1exec512cfinger2003x11-66006
echo7login513search2010x11-76007
discard9shell514nfs2049gnutella-svc6346
systat11printer515knetd2053gnutella-rtr6347
daytime13talk517gnunet2086sge-qmaster6444
netstat15ntalk518rtcm-sc1042101sge-execd6445
qotd17route520zephyr-srv2102mysql-proxy6446
msp18timed525zephyr-clt2103syslog-tls6514
chargen19tempo526zephyr-hm2104sane-port6566
ftp-data20courier530eklogin2105ircd6667
ftp21conference531kx2111afs3-fileserver7000
ssh22netnews532gsigatekeeper2119afs3-callback7001
telnet23netwall533iprop2121afs3-prserver7002
smtp25gdomap538gris2135afs3-vlserver7003
time37uucp540ninstall2150afs3-kaserver7004
rlp39klogin543cvspserver2401afs3-volser7005
nameserver42kshell544venus2430afs3-errors7006
whois43dhcpv6-client546venus-se2431afs3-bos7007
whois43dhcpv6-client546venus-se2431afs3-bos7007 tacacs49dhcpv6-server547codasrv2432afs3-update7008 re-mail-ck50afpovertcp548codasrv-se2433afs3-rmtsys7009 domain53idfp549mon2583font-service7100 mtp57rtsp554zebrasrv2600zope-ftp8021 tacacs-ds65remotefs556zebra2601http-alt8080 bootps67nntps563ripd2602tproxy8081 bootpc68submission587ripngd2603omniorb8088 tftp69nqs607ospfd2604clc-build-daemon8990 gopher70npmp-local610bgpd2605xinetd9098 rje77npmp-gui611ospf6d2606bacula-dir9101 finger79hmmp-ind612ospfapi2607bacula-fd9102 http80asf-rmcp623isisd2608bacula-sd9103 link87qmqp628dict2628mandelspawn9359 kerberos88ipp631f5-globalsite2792git9418 supdup95ldaps636gsiftp2811xmms29667 linuxconf98tinc655gpsd2947zope9673 hostnames101silc
706afbackup2988webmin10000 iso-tsap102kerberos-adm749afmbackup2989zabbix-agent10050 acr-nema104kerberos4750gds-db3050zabbix-trapper10051 csnet-ns105kerberos-master751icpv23130amanda10080 poppassd106passwd-server752iscsi-target3260kamanda10081 rtelnet107krb-prop754mysql3306amandaidx10082 pop2109krbupdate760nut3493amidxtape10083 pop3110webster765distcc3632nbd10809 sunrpc111moira-db775daap3689dicom11112 auth113moira-update777svn3690smsqp11201 sftp115moira-ureg779suucp4031hkp11371 uucp-path117spamd783sysrqd4094bprd13720 nntp119omirr808sieve4190bpdbm13721 ntp123supfilesrv871xtell4224bpjava-msvc13722 pwdgen129rsync873f5-iquery4353vnetd13724 loc-srv135swat901epmd4369bpcd13782 netbios-ns137ftps-data989remctl4373vopied13783 netbios-dgm138ftps990ipsec-nat-t4500xpilot15345 netbios-ssn139telnets992fax4557sgi-cmsd17001 imap2143imaps993hylafax4559sgi-crsd17002 snmp161ircs994iax4569sgi-gcd17003 snmp-trap162pop3s995distmp34600sgi-cad17004 cmip-man163customs1001mtn4691db-lsp17500 cmip-agent164socks1080radmin-port4899isdnlog20011 mailq174proofd1093munin4949vboxd20012 xdmcp177rootd1094rfe5002dcap22125 nextstep178rmiregistry1099mmcc5050gsidcap22128 bgp179kpop1109enbd-cstatd5051wnn622273 prospero191supfiledbg1127enbd-sstatd5052binkp24554 irc194skkserv1178sip5060asp27374 smux199openvpn1194sip-tls5061csync230865 at-rtmp201predict1210pcrd5151
at-nbp202kazaa1214aol5190
at-echo204rmtcfg1236xmpp-client5222
at-zis206nessus1241xmpp-server5269
qmtp209wipld1300cfengine5308
z3950210xtel1313mdns5353
ipx213xtelw1314noclog5354
imap3220lotusnote1352hostmon5355
pawserv345ms-sql-s1433postgresql5432
张翰郑爽zserv346ms-sql-m1434rplay5555
fatserv347ingreslock1524freeciv5556
rpc2portmap369prospero-np1525nrpe5666
codaauth2370support1529nsca5667
clearcase371datametrics1645amqps5671
ulistserv372sa-msg-port1646amqp5672
ldap389kermit1649mrtd5674
imsp406groupwise1677bgpsim5675
svrloc427l2f1701canna5680
https443radius1812ggz5688
snpp444radius-acct1813x116000
microsoft-ds445msnp1863x11-16001
kpasswd464unix-status1957x11-26002
urd465log-server1958x11-36003锺采羲
saft487remoteping1959x11-46004
isakmp500cisco-sccp2000x11-56005
端⼝说明
蛇果与苹果的区别端⼝:0
服务:Reserved
说明:通常⽤于分析操作系统。这⼀⽅法能够⼯作是因为在⼀些系统中“0”是⽆效端⼝,当你试图使⽤通常的闭合端⼝连接它时将产⽣不同的结果。⼀种典型的扫描,使⽤IP地址为0.0.0.0,设置ACK位并在以太⽹层⼴播。
端⼝:1
服务:tcpmux
说明:这显⽰有⼈在寻SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有⼏个默认的⽆密码的帐户,如:IP、GUEST UUCP、NUUCP、D
EMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利⽤这些帐户。
端⼝:7
服务:Echo
说明:能看到许多⼈搜索Fraggle放⼤器时,发送到X.X.X.0和X.X.X.255的信息。
端⼝:19
服务:Character Generator
说明:这是⼀种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利⽤IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向⽬标地址的这个端⼝⼴播⼀个带有伪造受害者IP的数据包,受害者为了回应这些数据⽽过载。
端⼝:21
服务:FTP
说明:FTP服务器所开放的端⼝,⽤于上传、下载。最常见的攻击者⽤于寻打开anonymous的FTP服务器的⽅法。这些服务器带有可读写的⽬录。⽊马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端⼝。
端⼝:22
服务:Ssh
说明:PcAnywhere建⽴的TCP和这⼀端⼝的连接可能是为了寻ssh。这⼀服务有许多弱点,如果配置成特定的模式,许多使⽤RSAREF库的版本就会有不少的漏洞存在。
端⼝:23
服务:Telnet
说明:远程登录,⼊侵者在搜索远程登录UNIX的服务。⼤多数情况下扫描这⼀端⼝是为了到机器运⾏的操作系统。还有使⽤其他技术,⼊侵者也会到密码。⽊马Tiny Telnet Server就开放这个端⼝。
端⼝:25
服务:SMTP
说明:SMTP服务器所开放的端⼝,⽤于发送邮件。⼊侵者寻SMTP服务器是为了传递他们的SPAM。⼊侵者的帐户被关闭,他们需要连接到⾼带宽的E-MAIL 服务器上,将简单的信息传递到不同的地址。⽊马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端⼝。
端⼝:31
服务:MSG Authentication
说明:⽊马Master Paradise、Hackers Paradise开放此端⼝。
端⼝:42
服务:WINS Replication
说明:WINS复制
端⼝:53
服务:Domain Name Server(DNS)
说明:DNS服务器所开放的端⼝,⼊侵者可能是试图进⾏区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防⽕墙常常过滤或记录此端⼝。
端⼝:67
服务:Bootstrap Protocol Server
说明:通过DSL和Cable modem的防⽕墙常会看见⼤量发送到⼴播地址255.255.255.255的数据。这些机器在向DHCP服务器请求⼀个地址。HACKER常进⼊它们,分配⼀个地址把⾃⼰作为局部路由器⽽发起⼤量中间⼈(man-in-middle)攻击。客户端向68端⼝⼴播请求配置,服务器向67端⼝⼴播回应请求。这种回应使⽤⼴播是因为客户端还不知道可以发送的IP地址。
端⼝:69
服务:Trival File Transfer
说明:许多服务器与bootp⼀起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置⽽使⼊侵者能从系统中窃取任何⽂件。它们也可⽤于系统
写⼊⽂件。
端⼝:79
服务:Finger Server
说明:⼊侵者⽤于获得⽤户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从⾃⼰机器到其他机器Finger扫描。
端⼝:80
服务:HTTP
说明:⽤于⽹页浏览。⽊马Executor开放此端⼝。
端⼝:99
服务:gram Relay
说明:后门程序ncx99开放此端⼝。
端⼝:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端⼝:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端⼝,⽤于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于⽤户名和密码交换缓冲区溢出的弱点⾄少有20个,这意味着⼊侵者可以在真正登陆前进⼊系统。成功登陆后还有其他缓冲区溢出错误。
端⼝:110
服务:SUN公司的RPC服务所有端⼝
说明:常见RPC服务有untd、NFS、rpc.statd、rpc.csmd、bd、amd等
端⼝:113
服务:Authentication Service
说明:这是⼀个许多计算机上运⾏的协议,⽤于鉴别TCP连接的⽤户。使⽤标准的这种服务可以获得
许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防⽕墙访问这些服务,将会看到许多这个端⼝的连接请求。记住,如果阻断这个端⼝客户端会感觉到在防⽕墙另⼀边与E-MAIL服务器的缓慢连接。许多防⽕墙⽀持TCP连接的阻断过程中发回RST。这将会停⽌缓慢的连接。
端⼝:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端⼝的连接通常是⼈们在寻USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何⼈的帖⼦,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端⼝:135
服务:Location Service
说明:Microsoft在这个端⼝运⾏DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端⼝的功能很相似。使⽤DCOM和RPC的服务利⽤计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查end-point mapper到服务的位置。HACKER扫描计算机的这个端⼝是
为了到这个计算机上运⾏Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端⼝。
端⼝:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端⼝,当通过⽹上邻居传输⽂件时⽤这个端⼝。⽽139端⼝:通过这个端⼝进⼊的连接试图获得NetBIOS/SMB服务。这个协议被⽤于windows⽂件和打印机共享和SAMBA。还有WINS Regisrtation也⽤它。
端⼝:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题⼀样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:⼀种LINUX蠕⾍(admv0rm)会通过这个端⼝繁殖,因此许多这个端⼝的扫描来⾃不知情的已经被感染的⽤户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流⾏。这⼀端⼝还被⽤于IMAP2,但并不流⾏。
端⼝:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运⾏信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使⽤默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向⽤户的⽹络。
端⼝:177
服务:X Display Manager Control Protocol
说明:许多⼊侵者通过它访问X-windows操作台,它同时需要打开6000端⼝。
端⼝:389
服务:LDAP、ILS
说明:轻型⽬录访问协议和NetMeeting Internet Locator Server共⽤这⼀端⼝。
端⼝:443
服务:Https
说明:⽹页浏览端⼝,能提供加密和通过安全端⼝传输的另⼀种HTTP。
端⼝:456
服务:[NULL]
说明:⽊马HACKERS PARADISE开放此端⼝。
端⼝:513
服务:Login,remote login
说明:是从使⽤cable modem或DSL登陆到⼦⽹中的UNIX计算机发出的⼴播。这些⼈为⼊侵者进⼊他们的系统提供了信息。
>万国觉醒
发布评论