系统常见端口及部分攻击策略

来源：作者：黑客基地出处：巧巧读书 2006-11-25 进入讨论组

　　119 NNTP news

　　新闻组传输协议，承载USENET通讯。当你链接到诸如：news://comp.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。

打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。　　　　

　　135 oc-serv MS RPC end-point mapper Microsoft

　　在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运行Exchange Server吗？是什么版本？这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。　　　　

　　137 NetBIOS name service nbtstat (UDP)

　　这是防火墙管理员最常见的信息，请仔细阅读文章后面的NetBIOS一节

　　139 NetBIOS　File and Print Sharing

　　通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasic

　　s cripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。　　　　

　　143 IMAP

　　和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2，但并不流行。已有一些报道发现有些0到143端口的攻击源于脚本。　　

　　161 SNMP(UDP)

　　入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播

　　（cable modem, DSL）查询sysName和其它信息。　　

　　162 SNMP trap

　　可能是由于错误配置　　

　　177 xdmcp

　　许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。　　　　

　　513

　　rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。　　　　

　　553 CORBA IIOP (UDP)

　　如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会利用这些信息进入系统。　　　　

　　600 Pcserver backdoor

　　请查看1524端口一些玩s cript的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal. 　　　　

　　635 mountd

　　Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP 的mountd有所增加（mountd同时运行于两个端口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口。　　

　　1024

　　许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新

　　端口。

　　?ersion 0.4.1, June 20, 2000

　　http://www.robertgraham.com/pubs/firewall-seen.html

　　Copyright 1998-2000 by Robert Graham

　　(mailto:firewall-seen1@robertgraham.com.

　　All rights reserved. This document may only be reproduced (whole or

　　in part) for non-commercial purposes. All reproductions must

　　contain this copyright notice and must not be altered, except by

　　permission of the author.

　　1025 参见1024

　　1026 参见1024URl收藏 http://www.qqread.com/safe-tech/z282332.html