80端口和8080端口

楼上没有回到到重点，什么是端口号，就像你进入一栋大楼，有很多入口，不同的人走不同的入口，那我们计算机网络服务程序要交换数据，每个网络服务程序都有自己的一个端口号。80是WWW的默认端口号，而8080并没有指定的网络服务程序使用的端口号，是用户自己定义的，WWW的端口号默认是80，也是可以更改的，比例你可以更改为8080，这样下次在打开你的网站的时候就要在域名后面加上端口号，所以说端口号也是可以根据用户需要更改的，如果您想了解更多的端口号 请参看

风行网络学校 计算机常用端口一览表http://wwwfxwxnet/Article_ShowaspArticleID=285

风行网络学校文章全面认识你的网络端口

http://wwwfxwxnet/Article_ShowaspArticleID=193

80端口实际上总是HTTP通讯

-- 电脑基础端口介绍

端口可分为3大类：

1） 公认端口（Well Known

Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。

2）

注册端口（Registered

Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

3） 动态和/或私有端口（Dynamic and/or Private

Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住：并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。

0

通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为0000，设置ACK位并在以太网层广播。

1 tcpmux 这显示有人在寻找SGI

Irix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp,

guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,

和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。

7 Echo

你能看到许多人们搜索Fraggle放大器时，发送到xxx0和xxx255的信息。

常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个机器的UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见Chargen）

另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global

Dispatch”，它与DNS的这一端口连接以确定最近的路由。

Harvest/squid cache将从3130端口发送UDP

echo：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat

这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似

再说一遍：ICMP没有端口，ICMP port 11通常是ICMP type=11

19 chargen

这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。

Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个

chargen和echo将导致服务器过载。同样fraggle

DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

21 ftp

最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers

利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

22 ssh

PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）

还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。

UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632（十六进制的0x1600）位交换后是0x0016（使进制的22）。

23 Telnet

入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。

25 smtp

攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单

的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由

是复杂的（暴露+复杂=弱点）。

53 DNS Hacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。

需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

67和68 Bootp和DHCP

UDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255255255255的数据。这些机

器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）

攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的

IP地址。

69 TFTP(UDP)

许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件。

79 finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序提供linux

boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid

root，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）

109 POP2 并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。

110 POP3

用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPC

PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有：rpcmountd, NFS,

rpcstatd, rpccsmd, rpcttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。

记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

113 Ident auth

这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的

记录器，尤其是FTP, POP, IMAP,

SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火

墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST，着将回停止这一缓慢的连接。

119 NNTP news 新闻组传输协议，承载USENET通讯。当你链接到诸如：news://compsecurityfirewalls/

的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point

mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point

mapper注册它们的位置。远端客户连接到机器时，它们查询end-point

mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运行Exchange Server吗？是什么版本？

这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。

137 NetBIOS

name service nbtstat (UDP) 这是防火墙管理员最常见的信息，请仔细阅读文章后面的NetBIOS一节

139

NetBIOS File and Print Sharing

通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。

大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasic

Scripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。

143 IMAP

和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁

殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。

Morris蠕虫以后这还是第一次广泛传播的蠕虫。

这一端口还被用于IMAP2，但并不流行。

已有一些报道发现有些0到143端口的攻击源于脚本。

161

SNMP(UDP)

入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于

Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。

SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote

management软件使用SNMP。HP OBJECT

IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem,

DSL）查询sysName和其它信息。

162 SNMP trap 可能是由于错误配置

177 xdmcp

许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。

513 rwho 可能是从使用cable

modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。

553 CORBA IIOP

(UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure

call）系统。Hacker会利用这些信息进入系统。

600 Pcserver backdoor 请查看1524端口

一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J Rosenthal

635 mountd Linux的mountd

Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP的mountd有所增加（mountd同时运行于两个端

口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常

运行于2049端口。

1024

许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配

从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个

窗口运行“natstat

-a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用

“netstat”查看，每个Web页需要一个新端口。

ersion 041, June 20, 2000

http://wwwrobertgrahamcom/pubs/firewall-seenhtml

Copyright 1998-2000 by Robert Graham

(mailtfirewall-seen1@robertgrahamcom

All rights reserved This

document．nbspmay only be reproduced (whole or

in part) for non-commercial

purposes All reproductions must

contain this copyright notice and must not

be altered, except by

permission of the author

1025 参见1024

1026

参见1024

1080 SOCKS

这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到

Internet。但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上

的计算机，从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这

种情况。

1114 SQL

系统本身很少扫描这个端口，但常常是sscan脚本的一部分。

1243 Sub-7木马（TCP）

参见Subseven部分。

1524 ingreslock后门

许多攻击脚本将安装一个后门Shll

于这个端口（尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本，如statd,

ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Shll

。连接到600/pcserver也存在这个问题。

2049 NFS

NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS

杏谡飧龆丝冢acker/Cracker因而可以闭开portmapper直接测试这个端口。

3128 squid

这是Squid

HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口：

8000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户（或服务器本身）Q9750406也会检验这个端口以

确定用户的机器是否支持代理。请查看53节。

5632 pcAnywere

你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指

agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的

扫描常包含端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact

这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。

因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控

制。）

6970 RealAudio

RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。

13223

PowWow

PowWow 是Tribal

Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成

类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用

“OPNG”作为其连接企图的前四个字节。

17027 Conducent

这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot"

的共享软件。Conducent

"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载：

机器会不断试图解析DNS名—adsconducentcom，即IP地址2163321040 ；2163319977

；2163319980 ；2163319981；2163321041。（译者：不知NetAnts使用的Radiate是否也有这种现象）

27374 Sub-7木马(TCP)

参见Subseven部分。

30100 NetSphere木马(TCP)

通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “elite”

Hacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即3=E, 1=L,

7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back

Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的木马程序越来越流行。

31789

Hack-a-tack

这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT, Remote Access

Trojan）。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连接意味着已经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接）

32770~32900 RPC服务

Sun

Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（251之前）将portmapper置于这一范围内，即使低端口被防

火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的

RPC服务。

33434~33600 traceroute

如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。参见traceroute部分。

41508

Inoculan

早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见

http://wwwcirclemudorg/~jelson/software/udpsendhtml

http://wwwccdbnlgov/nss/tips/inoculan/indexhtml

(二）

下面的这些源端口意味着什么？

端口1~1024是保留端口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。参见19。

常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。

Server Client 服务 描述

1-5/tcp 动态 FTP 1-5端口意味着sscan脚本

20/tcp 动态 FTP FTP服务器传送文件的端口

53

动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。

123 动态 S/NTP

简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播。

27910~27961/udp 动态 Quake

Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

61000以上

动态 FTP 61000以上的端口可能来自Linux NAT服务器（IP Masquerade）

apache安装后需要开放一个端口用来提供http服务，自己机器上架一个apache不用怕入侵，靠httpdconf的配置你可以限定通过apache只可以访问哪些文件路径，配好了就最多把你机器压死机，不会被偷东西。

php有个记事本都能写，但是想运行起来看效果就需要php环境和apache这种web server配合。

计算机“端口”是英文port的义译，可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口，如：USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。

按端口号可分为3大类：

（1）公认端口（Well Known Ports）：从0到1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。

（2）注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

（3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

一些端口常常会被黑客利用，还会被一些木马病毒利用，对计算机系统进行攻击，以下是计算机端口的介绍以及防止被黑客攻击的简要办法。

8080端口

端口说明：8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览，经常在访问某个网站或使用代理服务器的时候，会加上“:8080”端口号，比如http://wwwccecomcn:8080。

端口漏洞：8080端口可以被各种病毒程序所利用，比如Brown Orifice（BrO）特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外，RemoConChubo，RingZero木马也可以利用该端口进行攻击。

操作建议：一般我们是使用80端口进行网页浏览的，为了避免病毒的攻击，我们可以关闭该端口。

端口：21

服务：FTP

说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口：22

服务：Ssh

说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。

端口：23

服务：Telnet

说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

端口：25

服务：SMTP

说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口：80

服务：HTTP

说明：用于网页浏览。木马Executor开放此端口。

端口：102

服务：Message transfer agent(MTA)-X400 over TCP/IP

说明：消息传输代理。

端口：109

服务：Post Office Protocol -Version3

说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口：110

服务：SUN公司的RPC服务所有端口

说明：常见RPC服务有rpcmountd、NFS、rpcstatd、rpccsmd、rpcttybd、amd等

端口：119

服务：Network News Transfer Protocol

说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端口：135

服务：Location Service

说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。

端口：137、138、139

服务：NETBIOS Name Service

说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

端口：161

服务：SNMP

说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络

什么是端口？

在开始讲什么是端口之前，我们先来聊一聊什么是 port 呢？常常在网络上听说『我的主机开了多少的 port ，会不会被入侵呀！？』或者是说『开那个 port 会比较安全？又，我的服务应该对应什么 port 呀！？』呵呵！很神奇吧！怎么一部主机上面有这么多的奇怪的 port 呢？这个 port 有什么作用呢？！

由于每种网络的服务功能都不相同，因此有必要将不同的封包送给不同的服务来处理，所以啰，当你的主机同时开启了 FTP 与 WWW 服务的时候，那么别人送来的资料封包，就会依照 TCP 上面的 port 号码来给 FTP 这个服务或者是 WWW 这个服务来处理，当然就不会搞乱啰！（注：嘿嘿！有些很少接触到网络的朋友，常常会问说：『咦！为什么你的计算机同时有 FTP、WWW、E-Mail 这么多服务，但是人家传资料过来，你的计算机怎么知道如何判断？计算机真的都不会误判吗？！』现在知道为什么了吗？！对啦！就是因为 port 不同嘛！你可以这样想啦，有一天，你要去银行存钱，那个银行就可以想成是『主机』，然后，银行当然不可能只有一种业务，里头就有相当多的窗口，那么你一进大门的时候，在门口的服务人员就会问你说：『嗨！你好呀！你要做些什么事？』你跟他说：『我要存钱呀！』，服务员接着就会告诉你：『喝！那么请前往三号窗口！那边的人员会帮您服务！』这个时候你总该不会往其它的窗口跑吧？！ ""这些窗口就可以想成是『 port 』啰！所以啦！每一种服务都有特定的 port 在监听！您无须担心计算机会误判的问题呦！）

· 每一个 TCP 联机都必须由一端(通常为 client )发起请求这个 port 通常是随机选择大于 1024 以上的 port 号来进行！其 TCP 封包会将(且只将) SYN 旗标设定起来！这是整个联机的第一个封包；

· 如果另一端(通常为 Server ) 接受这个请求的话（当然啰，特殊的服务需要以特殊的 port 来进行，例如 FTP 的 port 21 ），则会向请求端送回整个联机的第二个封包！其上除了 SYN 旗标之外同时还将 ACK 旗标也设定起来，并同时时在本机端建立资源以待联机之需；

· 然后，请求端获得服务端第一个响应封包之后，必须再响应对方一个确认封包，此时封包只带 ACK 旗标(事实上，后继联机中的所有封包都必须带有 ACK 旗标)；

· 只有当服务端收到请求端的确认( ACK )封包(也就是整个联机的第三个封包)之后，两端的联机才能正式建立。这就是所谓的 TCP 联机的'三段式交握( Three-Way Handshake )'的原理。

经过三向交握之后，呵呵！你的 client 端的 port 通常是高于 1024 的随机取得的 port 至于主机端则视当时的服务是开启哪一个 port 而定，例如 WWW 选择 80 而 FTP 则以 21 为正常的联机信道！

总而言之,我们这里所说的端口，不是计算机硬件的I/O端口，而是软件形式上的概念工具提供服务类型的不同，端口分为两种，一种是TCP端口，一种是UDP端口。计算机之间相互通信的时候，分为两种方式：一种是发送信息以后，可以确认信息是否到达，也就是有应答的方式，这种方式大多采用TCP协议；一种是发送以后就不管了，不去确认信息是否到达，这种方式大多采用UDP协议。对应这两种协议的服务提供的端口，也就分为TCP端口和UDP端口。

那么，如果攻击者使用软件扫描目标计算机，得到目标计算机打开的端口，也就了解了目标计算机提供了那些服务。我们都知道，提供服务就一定有服务软件的漏洞，根据这些，攻击者可以达到对目标计算机的初步了解。如果计算机的端口打开太多，而管理者不知道，那么，有两种情况：一种是提供了服务而管理者没有注意，比如安装IIS的时候，软件就会自动增加很多服务，而管理员可能没有注意到；一种是服务器被攻击者安装木马，通过特殊的端口进行通信。这两种情况都是很危险的，说到底，就是管理员不了解服务器提供的服务，减小了系统安全系数。

//////////////////////////////////////////////////////////////////////////////////

什么是“端口”？

在网络技术中，端口（Port）有好几种意思。集线器、交换机、路由 器的端口指的是连接其他网络设备的接口，如RJ-45端口、Serial端口等。我们 这里所指的端口不是指物理意义上的端口，而是特指TCP/IP协议中的端口，是逻 辑意义上的端口。

那么TCP/IP协议中的端口指的是什么呢？如果把IP地址比作一间房子 ，端口就是出入这间房子的门。真正的房子只有几个门，但是一个IP地址的端口 可以有65536个之多！端口是通过端口号来标记的，端口号只有整数，范围是从0 到65535。

端口有什么用呢？我们知道，一台拥有IP地址的主机可以提供许多服 务，比如Web服务、FTP服务、SMTP服务等，这些服务完全可以通过1个IP地址来 实现。那么，主机是怎样区分不同的网络服务呢？显然不能只靠IP地址，因为IP 地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区 分不同的服务的。

需要注意的是，端口并不是一一对应的。比如你的电脑作为客户机访 问一台WWW服务器时，WWW服务器使用“80”端口与你的电脑通信，但你的电脑则 可能使用“3457”这样的端口，如图1所示。

按对应的协议类型，端口有两种：TCP端口和UDP端口。由于TCP和UDP 两个协议是独立的，因此各自的端口号也相互独立，比如TCP有235端口，UDP也 可以有235端口，两者并不冲突。

1周知端口（Well Known Ports）

周知端口是众所周知的端口号，范围从0到1023，其中80端口分配给W WW服务，21端口分配给FTP服务等。我们在IE的地址栏里输入一个网址的时候（ 比如wwwccecomcn）是不必指定端口号的，因为在默认情况下WWW服务的端口 号是“80”。

网络服务是可以使用其他端口号的，如果不是默认的端口号则应该在 地址栏上指定端口号，方法是在地址后面加上冒号“:”（半角），再加上端口 号。比如使用“8080”作为WWW服务的端口，则需要在地址栏里输入“wwwccecomcn:8080”。

但是有些系统协议使用固定的端口号，它是不能被改变的，比如139 端口专门用于NetBIOS与TCP/IP之间的通信，不能手动改变。

2动态端口（Dynamic Ports）

动态端口的范围是从1024到65535。之所以称为动态端口，是因为它 一般不固定分配某种服务，而是动态分配。动态分配是指当一个系统进程或应用 程序进程需要网络通信时，它向主机申请一个端口，主机从可用的端口号中分配 一个供它使用。当这个进程关闭时，同时也就释放了所占用的端口号。

怎样查看端口

一台服务器有大量的端口在使用，怎么来查看端口呢？有两种方式： 一种是利用系统内置的命令，一种是利用第三方端口扫描软件。

1用“netstat －an”查看端口状态

在Windows 2000/XP中，可以在命令提示符下使用“netstat -an”查 看系统端口状态，可以列出系统正在开放的端口号及其状态．

2用第三方端口扫描软件

第三方端口扫描软件有许多，界面虽然千差万别，但是功能却是类似 的。这里以“Fport” （可到http://wwwccerteducn/tools/indexphptype_t=7或http://wwwccidnetcom/soft/cce下载）为例讲解。“Fport”在命令提示符下使用，运行结果 与“netstat -an”相似，但是它不仅能够列出正在使用的端口号及类型，还可 以列出端口被哪个应用程序使用．

这种类型的攻击赫赫有名，频频出现在CERT、SANS、CSI等国际网络安全组织的最具威胁的攻击类型名单内。据统计，通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。这是一种渗透到系统中的攻击技术，其基本理是当来自某个程序的输入数据超出程序缓冲区能够处理的长度时会产生溢出，结果不受程序员的控制。当入侵者巧妙地安排代码后，被攻击的服务器还可能执行入侵者指定的程序代码，从而导致攻击者甚至可以获得系统中超级用户的权限。比如80年代的Morris蠕虫事件导致了当时Internet上1/3的计算机瘫痪，这种入侵方式就是采用了UNIX的Finger服务的一个缓存区溢出的漏洞；2001年的红色代码病毒在短短几个小时内传遍了全球，造成了数十亿美元的损失，也是采用了Windows服务器平台上的IIS服务的一个缓存区溢出漏洞。2003年的SQL Slammer蠕虫、2004年的震荡波等同样也是利用了这种漏洞。为什么这种攻击这么多呢？主要原因在于（单不仅限于）目前广泛用于系统编程的语言-- C语言本身的某些函数就存在着一些漏洞，造成了这种漏洞的广泛存在和难以彻底清查。

目前对这种攻击方式的防范方式主要有以下几种：第一，对存在溢出漏洞的程序打补丁。这是最常见的防范方式，需要依靠程序的厂商提供相应的补丁程序才能生效。但是随着网络攻击的频度不断加快，一个漏洞从被发现到运用在大规模的攻击中的时间大大缩短。往往程序厂商还没有发布相应的补丁程序，攻击就已经发生了。所以这种方式是非常被动的，无法防范新出现的漏洞入侵。第二，通过操作系统的设置使得缓冲区不可执行，从而阻止攻击者植入攻击代码。这种方式的主要问题在于首先可能和现有的应用程序存在冲突，其次对溢出攻击的防范不全面。因为有些攻击不需要进行攻击代码的植入过程。第三，采用专用的防范溢出的编译器对程序进行编译检查。这是一个比较完整的保护措施，但是却需要付出非常高昂的时间和费用的代价。

所有上述的办法都无法在现实的业务系统中顺利使用。主机入侵防御系统则提供了另一种切实可行、易于实施的防止堆栈溢出攻击的方法。主机入侵防御系统中具有一种STOP (STack Overflow Protection，堆栈溢出保护)技术，可以阻止这种入侵，防止用户或程序获得超级用户权限。

所有的缓冲区漏洞挖掘程序都基于以下一个假设，即：程序在每次运行时有问题的参数压入栈内的数据地址空间偏移量是一定的（或者相差较小）。如果在程序运行时由操作系统定义并且分配一个随机化的偏移给该应用程序，那么则专为此有缺陷的程序设计的溢出程序在溢出时就会返回一个错误的ret地址，而不能跳转到恶意构造的shellcode下。虽然大部分的缓冲区溢出程序也能提供可调整的offset变量，但由于每次有缺陷的程序运行时都将拥有一个随机化的偏移，因此通过上次不成功的溢出猜测所得到的地址空间和内容并不能来指导修正下次调整的offset。主机入侵防御系统提供了STOP技术在不改变操作系统内核下同级工作，能帮助定义并且分配一个随机化的偏移量，在不修改的系统内核的情况动态实现上述功能。

通过这种防范措施，用户不仅仅能够对所有已知和未知推栈溢出类型的攻击进行高强度防范，而且还不需要修改任何现有的操作系统和应用程序，保证原有系统的持续运行，保护了投资。 信息篡改破坏了信息的完整性，是入侵者攻击目的的一种。信息篡改主要有两种形式：信息传输中的篡改和信息存储时的篡改。信息传输中的篡改主要发生在在线的交易过程中对交易信息的篡改，将导致交易双方的严重经济损失；网络设备控制信息的篡改，可能导致网络工作异常、甚至导致信息传输途径的更改以至于失密。这种攻击行为的防范主要依靠信息交换双方对信息的加密和数字签名以及强验证方式来实现。信息存储时的篡改是最为常见的攻击方式，往往表现在对关键业务服务器上数据的更改，导致业务无法正常运行；对一些关键文件的篡改，比如针对网站主页的篡改，会导致被攻击者形象的损失和潜在的经济损失。比如一家在线交易单位如果网页被篡改，其后果可能会导致大量客户的流失，即使入侵行为没有危及到关键的交易数据。另外一种最具威胁的攻击手段是对可执行程序的篡改。入侵者通过对系统原有的可执行文件的篡改能够达到很多破坏目的。比如通过非法修改证券交易系统或者银行业务系统的程序以获取暴利；通过篡改某些关键应用程序导致系统无法正常运行。但是最常见的篡改目的是：通过篡改一些管理员或者用户经常使用的应用程序，使其在运行的时候除了执行正常的操作之外，同时运行一个入侵者放置的木马程序。这样，对管理员或者用户来说好像系统运行一切正常，但是却在不知不觉中运行了木马程序，导致后门洞开。这种入侵的后果是非常严重的，将可能导致严重的信息泄密。

主机入侵防御系统的解决方法就是从根本入手，大大细化了对资源的控制粒度。不管是UNIX还是Windows服务器操作系统，对文件和目录的安全许可权限都是非常有限的。但是通过主机入侵防御系统就能够使文件和目录的许可控制大大增强。如图所示，许可类型除了读、写、执行外，还额外添加了删除、重命名、模式更改、属主更改、时间更新、ACL更改、创建、更改目录等8项许可，为管理员提供了充分的授权空间，能够按照最贴切的方式对各个账户进行资源的授权，防止授权过大造成的内部安全隐患。同时，同样一个账户采用不同的应用程序访问资源也有可能获得不同级别的访问许可，这给某些行业的特殊需求提供了极大的便利。

有了文件许可的细化控制能够极大地减少由于授权原因造成的信息篡改事件。但是为了彻底杜绝对关键信息的篡改，主机入侵防御系统还提供了数字签名的功能，能够对普通文件、数据文件以及可执行文件特别是入侵者攻击的首要目标--UNIX中的suid和sgid类型的程序进行完整性校验。如果普通文件和数据文件发生了意外更改，主机入侵防御系统将会报警；如果可执行文件发生了意外更改，主机入侵防御系统将会自动拒绝这个可执行文件的执行，并且同时报警。这样，即使非法入侵者对目标文件进行了篡改，其目的也很难得逞。当然，如果实现利用主机入侵防御系统的文件保护功能对这些关键的文件进行了保护，入侵者是无法达到非法篡改的目的的。 特洛伊木马（以下简称木马），英文叫做Trojan horse，其名称取自古希腊的特洛伊木马攻城故事，相信大家都已经耳熟能详了。正是这种古老的攻城方式却成为了现在令人色变的网络入侵方式。

首先，主机入侵防御系统具有的程序访问控制列表(PACL)功能使得同样一个用户访问同样的资源的时候，如果采用不同的应用程序访问，将会得到不同的权限。也就是说，对于一些重要的资源，我们可以采用主机入侵防御系统这种功能限定不同应用程序的访问权限，只允许已知的合法的应用程序访问这些资源。这样，即使入侵者在被攻击的服务器上运行了木马程序，但是木马程序需要窃取关键信息的时候必须要经过主机入侵防御系统的安全验证。由于PACL中没有定义木马程序的访问权限，按照默认权限是不能够访问的，由此就起到了对木马信息窃取的防范。

另外，计算机一旦连结上了网络就融入了一个整体，需要对整体的安全性负责任。通过上文的分析我们已经发现，木马不仅仅会窃取本地信息，更严重的是入侵者能够通过本地计算机对网络中的其它计算机发起入侵，如DDoS攻击行为。美国G0vernment法律规定由于某台计算机的安全问题直接导致的其它联网计算机的入侵事件，这台具有安全问题的计算机的所有人是需要负责任的。目前其它国家也正在陆续出台相关的规定。所以，在网络上仅仅采取明哲保身的自保策略是不够的。为了避免被植入木马的服务器成为入侵者的跳板和傀儡，主机入侵防御系统还具备了网络访问控制的作用。网络访问控制规则不仅仅能够定义哪些人能够在什么时间从哪里访问本机的哪些服务，而且更为重要的是，它还能够定义从本机能够发出什么类型的网络连接。这样，凡是不符合规则的连结将不能够从本机发出。举例来说，在红色代码泛滥的时候，许多运行IIS服务的服务器感染病毒后会在网络中进行大范围的扫描，发现TCP 80端口开放的潜在受攻击者。但是Web服务器的这种行为明显地是非常异常的行为。所以通过在主机入侵防御系统中定义外出连结的类型，能够从根本上避免由木马发起的外部攻击行为，特别是避免成为DDoS攻击的傀儡。 在很多关键业务环境中，肯定都会有几种比较重要的服务在运行。比如一个电子商务交易Web站点，服务器上的HTTP服务或者守护进程就是非常关键的。而在后台的支撑环境中运行的数据库服务器上，数据库的守护进程就是这台服务器的灵魂。同样地，对于一个刚刚兴起的收费邮箱服务提供商来说，如果后台邮件服务器上的SMTP服务忽然停顿，势必会更加难以招徕用户。所以，信息化的社会的基石就是在关键服务器上运行的种种服务。一旦服务中止，上层的应用就会没有了根基。而在操作系统中，这些关键服务是以后台进程的方式存在。

目前，受到攻击最多的服务就是HTTP、SMTP以及数据库进程，当然也有其它的关键服务进程。入侵者对于这些进程的中止方式一般有两种：一种是利用这些服务本身存在的某些漏洞进行入侵，而另外一种则是首先获得操作系统中能够中止进程的权限，一般是超级用户的权限，然后再中止进程。

进程的安全性完全依赖于操作系统提供的安全级别。一般来说，进行进程中止的防止主要是采用Watchdog的技术。所谓Watchdog就是看门狗的意思，其主要功能是对进程进行看护，防止进程的意外中止。如果由于某些意外因素，进程非正常中断，Watchdog能够在很短时间内快速重新启动被看护的进程。

主机入侵防御系统就具备了这种Watchdog的功能。事实上，主机入侵防御系统本身提供的服务就是基于三个进程的。主机入侵防御系统要对操作系统进行安全保护，需要首先进行自身的保护，防止自己进程的意外中止。在实际运行当中，这三个进程出了各自完成自己的职能外，还存在一种互相看守的关系。就是进程一是进程二的Watchdog，而进程二又是进程三的Watchdog，进程三则是进程一的Watchdog。这样，如果其中一个进程意外中止了，总有一个进程会将其重新启动。即使在非常情况之下两个进程同时意外中断，剩下的一个进程依然能够将另一个进程启动，然后启动最后一个进程。所以，主机入侵防御系统的这种安全机制是非常严密的，不仅仅用来保护自己，而且还能够很好地应用于对关键服务进程的安全防护。 超级用户的存在为管理者带来了极大的方便，登录一次，就能够完成所有的管理工作，执行所有的命令，进行所有的系统维护。但是，同时正是因为有了超级用户无所不能的超级权限，也造成了很多的麻烦。

首先抛开入侵者的攻击不谈，仅仅管理员在执行正常的操作时，超级权限就带来了不少的问题。一旦使用超级用户登录，管理员在作各种操作的时候必须慎之又慎。系统中的很多动作是不可逆的，一旦管理员因为人为失误做出不当的操作，往往会造成不可挽回的损失。特别在关键的业务服务器系统上经常会出现这种类似的损失惨重的失误，我们经常能够在媒体上看到相关的一些报道。据统计，管理员的人为失误是对整个网络系统最大的安全威胁之一。实际上有一些操作是远远不需要超级用户的权限就能够完成的，但是绝大多数的人还是会选择采用超级用户的账户进行登录，究其原因，恐怕最根本的就是为了图方便，从而酿成大错。

其次，在操作系统中设置超级用户有其不合理的一面。一般来说，管理员的职责是维护系统的正常运行，建立和维护各种账户，对资源的访问权限进行分配等等，他们一般不应该具有读取甚至修改、删除某些存放在服务器上的机密信息的权利。但是在现实中，具有超级用户的权限者就能够任意地对这些数据进行处理，即使经过加密的数据他们也能够轻而易举地破坏甚至删除。这是不合乎正常的安全策略的，需要通过某种措施进行控制。

最后，在入侵者的世界里，恐怕再没有获取一个新的重要系统的超级用户的身份更加美好的事情了。几乎所有的攻击手段的终极目标就是要获得被攻击系统的完全控制权，而这一切基本上同于获得系统的超级用户的账户名称和密码。口令破解、堆栈溢出、网络窃听…等等，目的无不于此。一旦获得超级用户的权限，入侵者不仅仅能够完成上面所说的一系列行为，而且还能够任意地切换到其他人的身份，甚至不需要任何密码验证；能够随意地抹去对自己动作的一切审计记录，让审计人员无据可查。当然，超级用户的存在同样也使网络安全人员陷入了一种尴尬的境地。不管采用的防火墙是如何的牢不可破、IDS是如何地明察秋毫、加密算法是如何的先进，只要入侵者获得了超级用户的权限，这一切都形同虚设。

为了对于上述的种种情况，主机入侵防御系统在操作系统的层次对超级用户的特权进行了再分配，并且将所有的用户都同等对待，使得系统中不再有超级用户的概念存在。经过分权后，每一个管理员自能够在自己的职责范围内工作，而不具备其它的特权。比如安全管理员能够对资源进行许可的分配，但是不能够随意删除日志；安全审计员的职责就是分析日志，发现所有用户的可疑行为，但是却不具备其它所有的系统权利。这样就好像给一个保险箱加了三把锁一样，仅仅拿到一把钥匙是没有办法获得保险箱里面的东西的。为了用户能够按照自己的意愿进行分权，主机入侵防御系统还提供了权限分配（task delegation）的接口，以供更加细化的配置，让普通的用户具有某些超级用户才能够执行的权利。经过权力分配和细化后，可以大幅度避免管理员的人为误操作，并且防止入侵者一旦获得一个账户的所有权后就能够横行无阻的状况发生。

为了更加细致准确地跟踪系统上的活动，主机入侵防御系统提供了根据原始登录ID进行审计的功能。也就是说不论登录者后来通过su切换到哪一个登录ID号，在日志中始终以其原始的登录ID进行活动的跟踪和记录，而且入侵者即使获得了root的口令也无法对日志进行破坏。另外，主机入侵防御系统将ID的使用权限也作为一种资源进行管理，也就是说如果一个账号需要su到另外一个账号，必须经过主机入侵防御系统的授权，否则就不能成功。哪怕是root用户想要su到其它账户也是如此。这样就大大降低了通过切换 ID实现的假冒攻击行为。

主机入侵防御系统基于稳固的安全体系和全新的安全设计理念，具有稳固的运行特性和强大的安全性，为各种 UNIX平台以及Windows服务器平台提供了极大的安全保障，并且同大型机的安全机制兼容。该系统是对关键服务器资源进行重点保护的重要安全工具，正在越来越受到用户的重视。

当然，主机入侵防御系统提供的保护措施主要是集中在对服务器资源和行为的保护，不能替代所有的安全产品。防火墙、防病毒、网络入侵检测系统、***等都是对主机入侵防御系统的有益补充。只有将关键服务器的保护和整体的网络架构保护合理地结合在一起，才能够为我们的网络空间提供最为完善的保障。针对当前的病毒、蠕虫、入侵等种种威胁构成的混合型威胁，主机入侵防御系统无疑会给我们的关键资源提供更加主动的防御方式。

1，流量攻击，就是我们常说的DDOS和DOS等攻击，这种攻击属于最常见的流量攻击中的带宽攻击，一般是使用大量数据包淹没一个或多个路由器、服务器和防火墙，使你的网站处于瘫痪状态无法正常打开。但是这种攻击成本都会很高

2， CC攻击，也是流量攻击的一种，CC就是模拟多个用户（多少线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量CPU时间）的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。而CC攻击基本上都是针对端口的攻击，以上这两种攻击基本上都属于硬性流量的攻击

如果服务器（网站）被入侵了,一般都是服务器或者网站存在漏洞，被黑客利用并提权入侵的，导致服务器中木马，网站被挂黑链，被篡改，被挂马。解决办法：如果程序不是很大，可以自己比对以前程序的备份文件，然后就是修复，或者换个服务器，最好是独立服务器。也可以通过安全公司来解决，国内也就Sinesafe和绿盟等安全公司 比较专业