3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
K`0'2 000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。
#F=!g? 5632 pcAnywere你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。
5{xK&[wR* 6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)6970 RealAudio
eakQZ-Q RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。
r3NdE~OAi 17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。
"x0/i?pqa Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
D0}r4eA 机器会不断试图解析DNS名—ads.conducent.com,即IP地址216.33.210.40 ;
kQ`p\}7_ 216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象)
:Vy*MPS5 27374 Sub-7木马(TCP) 参见Subseven部分。
m%cwhH_B 30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
FL{$9o\@ 31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即 3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的 木马程序越来越流行。
?J@P0(M# 31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT,Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连 接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接)
G ?Hx"3:? 32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将 portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。
5uX-onP\[ 33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute分。
W6s-epsRmT 0VZC7@ 41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见
4(dgunP http://www.circlemud.org/~jelson/software/udpsend.html mpNS}n6 http://www.ccd.bnl.gov/nss/tips/ino...NAT机器的连接。 常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务描述
? _7iL? 1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
&;naaV_2T 20/tcp 动态 FTP FTP服务器传送文件的端口
7Bym? 53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
1+#E|YWJ 123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。
5.LfN{gE) 27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
lhPxMMS`j 61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP asquerade)
M0$_x~ 查看的方法:
FR']Rj Windows本身自带的netstat命令
NM"5.
关于netstat命令,我们先来看看windows帮助文件中的介绍:
6 Nws>(Ij 7]_zWx,r Netstat
"r~/E|Da< 显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。
ffMk.SqI F/cA tT.M? netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
-wr_x<7 g`w46X 参数
iwy;9x B- D&1gO -a
Oye6IT" $)eS Gslz 显示所有连接和侦听端口。服务器连接通常不显示。
@*roW{?! U4[GA4DZ -e
1ozb
tn #5=W[+4eN 显示以太网统计。该参数可以与 -s 选项结合使用。
CFUn1^?0 [1mEdtqf* -n
V`8\)FFG ]=p^32 以数字格式显示地址和端口号(而不是尝试查找名称)。
"yc|ng I+,CiJ|4 -s
c^<~Y$i ]_j={0% 显示每个协议的统计。默认情况下,显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。
p=m:^9/ !4T!@"# -p protocol
B1A:}# lL&U
ioo}D 显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。
s!S_Bt):3 DYoGtks( -r
dQz#&&s-
[FZq'E"87 显示路由表的内容。
TPs
]n7]: ,M~> t7+ interval
_'4S1 }kF?9w 重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。
k?rJGc G ]:;dJc' *I[tIO\ 好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。现在就让我们现学现用,用这个命令看一下自己的机器开放的端口。进入到命令行下,使用netstat命令的a和n两个参数:
: H:Se C:\>netstat -an
aU@1j;se@ E
$P?%<o Active Connections
]V)*WP#a #q>\6} ) Proto Local Address Foreign Address State
E3]
8(P%D- TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
]57yorc` TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
0gGr/78
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
;XQ27,K& UDP 0.0.0.0:445 0.0.0.0:0
!zsrORF{ UDP 0.0.0.0:1046 0.0.0.0:0
{
'402 UDP 0.0.0.0:1047 0.0.0.0:0
@j"6f|d `(ik2#B`} T2n3g|4 解释一下,Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的 IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP 连接的状态,你可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。看!我的机器的7626端口已经开放,正在监听等待连接,像这样的情况极有可能是已经感染了冰河!急忙断开网络,用杀毒软件查杀病毒是正确的做法。
S>)[n]f %WC^aKfY 2.工作在windows2000下的命令行工具fport
#h P>IU 2m"cK^ 使用windows2000的朋友要比使用windows9X的幸运一些,因为可以使用fport这个程序来显示本机开放端口与进程的对应关系。
pSI8"GwQ Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口,以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用,请看例子:
p I~;3T:! D:\>fport.exe
-:kIIK
FPort v1.33 - TCP/IP Process to Port Mapper
J"Fp), Copyright 2000 by Foundstone, Inc.
7<Qmpcp = http://www.foundstone.com wFMw&=j 4*D"*kR; Pid Process Port Proto Path
/2
hk 9XM 748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe
&po!X ) 748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
9 r&JsCc 748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
~ivOSr7s} 416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
gX7R-&[UD )Ay 90Wt .lq83;
k 是不是一目了然了。这下,各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口,可千万不要大意哦,也许那就是一只狡猾的木马!
&r,)4q+ Fport的最新版本是2.0。在很多网站都提供下载,但是为了安全起见,当然最好还是到它的老家去下:
http://www.foundstone.com/knowledge/zips/fport.zip g~$UU(HX 3.与Fport功能类似的图形化界面工具Active Ports
`/?'^A%Ik =6+99<G|%M Active Ports为SmartLine出品,你可以用来监视电脑所有打开的TCP/IP/UDP端口,不但可以将你所有的端口显示出来,还显示所有端口所对应的程序所在的路径,本地IP和远端IP(试图连接你的电脑IP)是否正在活动。
+xgP&nw[- 3Fxr= E N CWOj 更棒的是,它还提供了一个关闭端口的功能,在你用它发现木马开放的端口时,可以立即将端口关闭。这个软件工作在Windows NT/2000/XP平台下。你可以在
http://www.smartline.ru/software/aports.zip得到它。
T--%UZD]W 其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出端口与进程的对应来。
$7ix(WL<% 上面介绍了几种查看本机开放端口,以及端口和进程对应关系的方法,通过这些方法可以轻松的发现基于TCP/UDP协议的木马,希望能给你的爱机带来帮助。但是对木马重在防范,而且如果碰上反弹端口木马,利用驱动程序及动态链接库技术制作的新木马时,以上这些方法就很难查出木马的痕迹了。所以我们一定要养成良好的上网习惯,不要随意运行邮件中的附件,安装一套杀毒软件,像国内的瑞星就是个查杀病毒和木马的好帮手。从网上下载的软件先用杀毒软件检查一遍再使用,在上网时打开网络防火墙和病毒实时监控,保护自己的机器不被可恨的木马入侵。
N!MDD?0 怎样关掉端口
1/~=61msc 每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。 “控制面板”的“管理工具”中的“服务”中来配置。
L`e19I$ 1、关闭7.9等等端口:关闭Simple TCP/IP Service,支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
:5.F 2、关闭80口:关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service",通过 Internet 信息服务的管理单元提供 Web 连接和管理。
~@)s)K 3、关掉25端口:关闭Simple Mail Transport Protocol (SMTP)服务,它提供的功能是跨网传送电子邮件。
/[D_9 4、关掉21端口:关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
U82mO+} 5、关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
J3(E{w8Q 6、还有一个很重要的就是关闭server服务,此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。
4 R(m$!E! H Tv#2WX 7、还有一个就是139端口,139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。 关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
#0hqfs 隐秘的几种端口的入侵方法
znPh7{|<