计算机端口详解与常见端口入侵方法

《计算机端口详解与常见端口入侵方法》由会员分享，可在线阅读，更多相关《计算机端口详解与常见端口入侵方法（21页珍藏版）》请在金锄头文库上搜索。

1、计算机“端口”是英文 port 的义译，可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口，如：USB 端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。 可以先了解 面向连接和无连接协议（ConnectionOriented and Connectionless Protocols）面向连接服务的主要特点有：面向连接服务要经过三个阶段：数据传数前，先建立连接，连接建立后再传输数据，数据传送完后，释放连接。面向连接服务，可确保数据传送的次序和传输的可靠性 无连接服务的特点是：

2、无连接服务只有传输数据阶段。消除了除数据通信外的其它开销。只要发送实体是活跃的，无须接收实体也是活跃的。它的优点是灵活方便、迅速，特别适合于传送少量零星的报文，但无连接服务不能防止报文的丢失、重复或失序。 区分“面向连接服务”和“无连接服务”的概念，特别简单、形象的例子是：打电话和写信。两个人如果要通电话，必须先建立连接拨号，等待应答后才能相互传递信息，最后还要释放连接挂电话。写信就没有那么复杂了，地址姓名填好以后直接往邮筒一扔，收信人就能收到。TCP/IP 协议在网络层是无连接的（数据包只管往网上发，如何传输和到达以及是否到达由网络设备来管理）。而“端口”，是传输层的内容，是面向连接的。协议

3、里面低于 1024 的端口都有确切的定义，它们对应着因特网上常见的一些服务。这些常见的服务可以划分为使用 TCP 端口（面向连接如打电话）和使用 UDP 端口（无连接如写信）两种。 网络中可以被命名和寻址的通信端口是操作系统的一种可分配资源。由网络 OSI（开放系统互联参考模型，Open System Interconnection Reference Model）七层协议可知，传输层与网络层最大的区别是传输层提供进程通信能力， 网络通信的最终地址不仅包括主机地址，还包括可描述进程的某种标识。所以 TCP/IP 协议提出的协议端口，可以认为是网络通信进程的一种标识符 应用程序（调入内存运行后

4、一般称为：进程）通过系统调用与某端口建立连接（binding，绑定）后，传输层传给该端口的数据都被相应的进程所接收，相应进程发给传输层的数据都从该端口输出。在 TCP/IP 协议的实现中，端口操作类似于一般的 I/O 操作，进程获取一个端口，相当于获取本地唯一的 I/O 文件，可以用一般的读写方式访问 类似于文件描述符，每个端口都拥有一个叫端口号的整数描述符，用来区别不同的端口。由于 TCP/IP 传输层的 TCP 和 UDP 两个协议是两个完全独立的软件模块，因此各自的端口号也相互独立。如 TCP 有一个 255 号端口，UDP 也可以有一个 255 号端口，两者并不冲突 端口号有两种基本

5、分配方式：第一种叫全局分配这是一种集中分配方式，由一个公认权威的中央机构根据用户需要进行统一分配，并将结果公布于众，第二种是本地分配，又称动态连接，即进程需要访问传输层服务时，向本地操作系统提出申请，操作系统返回本地唯一的端口号，进程再通过合适的系统调用，将自己和该端口连接起来（binding，绑定）。TCP/IP 端口号的分配综合了以上两种方式，将端口号分为两部分，少量的作为保留端口，以全局方式分配给服务进程。每一个标准服务器都拥有一个全局公认的端口叫周知口，即使在不同的机器上，其端口号也相同。剩余的为自由端口，以本地方式进行分配。TCP 和UDP 规定，小于 256 的端口才能作为保留端口

6、。 按端口号可分为 3 大类：（1）公认端口（Well Known Ports）：从 0 到 1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80 端口实际上总是 HTTP 通讯。 （2）注册端口（Registered Ports）：从 1024 到 49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从 1024 左右开始。 （3）动态和/或私有端口（Dynamic and/or Private Ports）：从 49152 到 65535。理论上，不应为服务分配

7、这些端口。实际上，机器通常从 1024 起分配动态端口。但也有例外：SUN 的 RPC 端口从 32768 开始。 系统管理员可以“重定向”端口：一种常见的技术是把一个端口重定向到另一个地址。例如默认的 HTTP 端口是 80，不少人将它重定向到另一个端口，如 8080。如果是这样改了，要访问本文就应改用这个地址http:/:8080/net/port.htm（当然，这仅仅是理论上的举例） 实现重定向是为了隐藏公认的默认端口，降低受破坏率。这样如果有人要对一个公认的默认端口进行攻击则必须先进行端口扫描。大多数端口重定向与原端口有相似之处，例如多数 HTTP 端口由 80 变化而来：81，88，

8、8000，8080，8888。同样 POP的端口原来在 110，也常被重定向到 1100。也有不少情况是选取统计上有特别意义的数，象 1234，23456，34567 等。许多人有其它原因选择奇怪的数，42，69，666，31337。近来，越来越多的远程控制木马( Remote Access Trojans, RATs )采用相同的默认端口。如NetBus 的默认端口是 12345。Blake R. Swopes 指出使用重定向端口还有一个原因，在UNIX 系统上，如果你想侦听 1024 以下的端口需要有 root 权限。如果你没有 root 权限而又想开 web 服务，你就需要将其安装在较高

9、的端口。此外，一些 ISP 的防火墙将阻挡低端口的通讯，这样的话即使你拥有整个机器你还是得重定向端口。 网络端口详解 0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用 IP 地址为 0.0.0.0，设置 ACK 位并在以太网层广播。 1 tcpmux 这显示有人在寻找 SGI Irix 机器。Irix 是实现 tcpmux 的主要提供者，缺省情况下 tcpmux 在这种系统中被打开。Iris 机器在发布时含有几个缺省的无密码的帐户，如lp, guest, uucp, nuucp, demo

10、s, tutor, diag, EZsetup, OutOfBox, 和 4Dgifts。许多管理员安装后忘记删除这些帐户。因此 Hacker 们在 Internet 上搜索 tcpmux 并利用这些帐户。 7 Echo 你能看到许多人们搜索 Fraggle 放大器时，发送到 x.x.x.0 和 x.x.x.255 的信息。常见的一种 DoS 攻击是 echo 循环（echo-loop），攻击者伪造从一个机器发送到另一个机器的 UDP 数据包，而两个机器分别以它们最快的方式回应这些数据包。另一种东西是由DoubleClick 在词端口建立的 TCP 连接。有一种产品叫做“Resonate Gl

11、obal Dispatch”，它与 DNS 的这一端口连接以确定最近的路由。Harvest/squid cache 将从 3130 端口发送UDP echo：“如果将 cache 的 source_ping on 选项打开，它将对原始主机的 UDP echo 端口回应一个 HIT reply。”这将会产生许多这类数据包。 11 sysstat 这是一种 UNIX 服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与 UNIX 系统中“ps”命令的结果相似。再说一遍：ICMP 没有端口，ICMP port

12、11 通常是 ICMP type=11。 19 chargen 这是一种仅仅发送字符的服务。UDP 版本将会在收到 UDP 包后回应含有垃圾字符的包。TCP 连接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker 利用 IP 欺骗可以发动 DoS 攻击。伪造两个 chargen 服务器之间的 UDP 包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个 chargen 和 echo 将导致服务器过载。同样 fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者 IP 的数据包，受害者为了回应这些数据而过载。 21 ftp 最常见的攻击者用于寻找打开“anonymou

13、s”的 ftp 服务器的方法。这些服务器带有可读写的目录。Hackers 或 Crackers 利用这些服务器作为传送 warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。 22 ssh PcAnywhere 建立 TCP 和这一端口的连接可能是为了寻找 ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用 RSAREF 库的版本有不少漏洞。（建议在其它端口运行 ssh）。还应该注意的是 ssh 工具包带有一个称为 make-ssh-known-hosts 的程序。它会扫描整个域的 ssh 主机。你有时会被使用这一程序的人无意中扫描到。UDP（而不是 TCP）与

14、另一端的 5632 端口相连意味着存在搜索 pcAnywhere 的扫描。5632（十六进制的0x1600）位交换后是 0x0016（使进制的 22）。 23 Telnet 入侵者在搜索远程登陆 UNIX 的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。 25 smtp 攻击者（ spammer）寻找 SMTP 服务器是为了传递他们的 spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的 e-mail 服务器上，将简单的信息传递到不同的地址。SMTP 服务器（尤其是 sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴

15、露于 Internet 且邮件的路由是复杂的（暴露+复杂=弱点）。 53 DNS Hacker 或 crackers 可能是试图进行区域传递（TCP），欺骗 DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录 53 端口。需要注意的是你常会看到 53 端口做为 UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对 DNS 查询的回复。Hacker 常使用这种方法穿透防火墙。 67&68 Bootp 和 DHCP UDP 上的 Bootp/DHCP：通过 DSL 和 cable-modem 的防火墙常会看见大量发送到广播地址 255.255.255.255 的数据。这些机器在向 DHC

16、P 服务器请求一个地址分配。Hacker 常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。客户端向 68 端口（bootps）广播请求配置，服务器向 67 端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的 IP 地址。 69 TFTP(UDP) 许多服务器与 bootp 一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件。79 finger Hacker 用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器 finger 扫描。 80 web 站点默认 80 为服务端口，采用 tcp 或 udp 协议。 98 linuxconf 这个程序提供 linux boxen 的简单管理。通过整合的 H