學習資源:
http://www.cnblogs.com/KeenLeung/p/3482530.html
http://www.cnblogs.com/KeenLeung/p/3482526.html
http://www.cnblogs.com/KeenLeung/p/3482517.html
http://www.cnblogs.com/KeenLeung/p/3482510.html
1】端口分類:
1) 公認端口(Well Known Ports):從0到1023,它們緊密綁定于一些服務。通常這些端口的通訊明確表明了某種服 務的協議。例如:80端口實際上總是HTTP通訊。
2) 注冊端口(Registered Ports):從1024到49151。它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口,這些端口同樣用于許多其它目的。例如:許多系統處理動態端口從1024左右開始。
3) 動態和/或私有端口(Dynamic and/or Private Ports):從49152到65535。理論上,不應為服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也有例外:SUN的RPC端口從32768開始。
2】常用端口
端口: 0
服務: Reserved
說明:通常用于分析操作系統。這一方法能夠工作是因為在一些系統中 “0” 是無效端口,當你試圖使用通常的閉合端 口連接它時將產生不同的結果。一種典型的掃描,使用 IP地址為 0.0.0 .0 ,設置 ACK 位并在以太網層廣播。
端口: 21
服務: FTP
說明: FTP 服務器所開放的端口,用于上傳、下載。最常見的攻擊者用于尋找打開 anonymous 的 FTP 服務器的方法。這些服務器帶有可讀寫 的目錄。木馬 Doly Trojan 、 Fore 、 Invisible FTP 、 WebEx 、 WinCrash 和 Blade Runner 所開放的端口。
端口: 23
服務: Telnet
說明:遠程登錄,入侵者在搜索遠程登錄 UNIX 的服務。大多數情況下掃描這一端口 是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬 Tiny Telnet Server 就開放這個端口。
端口: 25
服務: SMTP
說明: SMTP 服務器所開放的端口,用于發送郵件。入侵者尋找 SMTP 服務器是為了傳遞他們的 SPAM 。入侵者的帳戶被關閉,他們需要連 接到高帶寬的 E-MAIL 服務器上,將簡單的信息傳遞到不同的地址。木馬 Antigen 、 Email Password Sender、 Haebu Coceda 、 Shtrilitz Stealth 、 WinPC 、 WinSpy 都開放這個端口。
端口: 53
服務: Domain Name Server ( DNS )
說 明: DNS 服務器 所開放的端口,入侵者可能是試圖進行區域傳遞( TCP ),欺騙 DNS ( UDP )或隱藏其他的通信。因此防火墻常常過濾或記錄此端口。
端 口: 80
服務: HTTP
說明:用于網頁瀏覽。木馬 Executor 開放此端口。
端 口: 102
服務: Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
端口: 1024
服務: Reserved
說明:它是動態端口的開始,許多程序并不在乎用哪個端口連接網絡,它們請求系統為它們分配下一個閑置端口。基于這一點分配從端口 1024 開始。這就是說第一個向系統發出請 求的會分配到 1024 端口。你可以重啟機器,打開 Telnet ,再打開一個窗口運行 natstat -a 將會看到 Telnet 被分配 1024 端口。還有 SQL session 也用此端口和 5000 端口。
3】查看并關閉端口的方法
一、查看已開放的端口:
1、借助系統自帶MS-DOS命令查看開放的端口(Win2000/XP/server2003)
在開始-運行-輸入cmd,打入netstat -an(注意-前有個小空格),在IP地址“,”后面就是端口號了。(-a表示顯示當前所有連接和偵聽端口,-n表示以數字格式顯示地址和端口號)
小常識:TCP(Transmission Control Protocol,傳輸控制協議)和UDP(User Datagram Protocol,用戶數據包協議)都是網絡上傳輸數據的通信協議,UDP協議面向非連接,而TCP協議面向連接,他們各自的端口號是相互獨立的,列如TCP可以有個255端口,UDP也可以有個255端口,他們兩者并不沖突的。
2、借助第三方軟件查看開放的端口
(1)例如:Active Ports(SmartLine出品):可以用來監視所有打開的TCP/IP/UDP端口,將你所有端口顯示出來,還顯示所有端口以及對應的程序所在的路徑,查看本地IP和遠端IP(試圖連接你電腦的IP)是否正在活動。
(2)列如:fpor命令行工具:特點小巧,但功能不亞于Active Ports哦,同樣可以查看端口與相應程序路徑。顯示模式為:Pid Process Port Proto Path ,392 svchost -> 113 TCP,C:\WINNT\system32\vhos.exe 。
(3)例如:防火墻或反毒工具的網絡活動顯示:比如瑞星防火墻就能及時刷新開放的端口和相關進程,反間諜專家也有此功能,這樣的軟件很多,就不一一舉出了。
二、限制或關閉端口的方法:
1、通過系統自帶功能“限制開放”需要的端口(Win2000/XP/server2003)
通過系統自有的“TCP/IP篩選功能”限制服務器端口,控制面板-網絡連接-“本地連接”-右鍵-屬性,然后選擇internet(tcp/ip)-屬性-高級-選項-選中TCP/IP篩選-屬性,在這里分為3項,分別是TCP、UDP、IP協議,假設我的系統只想開放21、80、25、110這4個端口(qq為4000端口),只要在“TCP端口”上勾選“只允許”然后點擊“添加”依次把這些端口添加到里面,然后確定,重新啟動后生效。
2、通過系統自帶防火墻增加“允許通過”的端口
(1)未升級SP2的WINXP/Server2003
控制面板-網絡連接-本地連接-屬性-高級,把“Inernet連接防火墻”下面的選項勾選上,這樣防火墻就自動啟動了,點擊“設置”,我們可以在“高級設置”窗口的“服務”選項卡中點擊“添加”按鈕,在“服務設置”對話框中,把服務描述、計算機名或IP地址、端口號、是TCP or UDP,填完后打勾確認,如果不需要了去掉勾確認。(防火墻啟動以后“本地連接”圖標會出現一個可愛的小鎖頭。)
(2)升級WIin XP SP2的Windows XP
控制面版-windows防火墻-例外-添加端口,在取名后,輸入端口號,確認TCP或者UDP協議,然后確認,在你取名的這個設置前打勾,表示允許通過此端口,不打勾表示不例外。
文章列表
留言列表
