《常见端口介绍》由会员分享,可在线阅读,更多相关《常见端口介绍(6页珍藏版)》请在金锄头文库上搜索。
1、常见端口的介绍1) 21 ftp此端口开放表示服务器提供了 FTP 服务,入侵者通常会扫描此端 口并判断是否允许匿名登陆,如果能找到可写目录,还可以上传一些 黑客程序做近一步入侵。要想关闭此端口,需要关闭FTP服务。2) 23 Telnet此端口开放表示服务器提供了远程登陆服务,如果你有管理员的用户名和密码,可以通过这个服务来完全控制主机(不过要先搞定 NTLM身份认证),获得一个命令行下的shell。许多入侵者喜欢开启这 个服务作为后门。要想关闭此端口,需要关闭Telnet服务。3) 25 smtp此端口开放表示服务器提供了 SMTP 服务,一些不支持身份验证 的服务器允许入侵者发送邮件到任
2、何地点, SMTP 服务器(尤其是 sendmail)也是进入系统的最常用方法之一。要想关闭此端口,需要关 闭 SMTP 服务。4) 69 TFTP(UDP)此端口开放表示服务器提供了 TFTP服务,它允许从服务器下载文 件,也可以写入文件,如果管理员错误配置,入侵者甚至可以下载密 码文件。许多入侵者通过在自己机器运行此服务来传文件到目标机器, 从而实现文件的传输。要想关闭此端口,需要关闭TFTP服务。5) 79 finger用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器 finger 扫描。6) 80 http此端口开放表示服务器提供了 HTTP 服务,可
3、以让访问者浏览其 网页等,大部分针对 IIS 服务器的溢出攻击都是通过这个端口的,可以 说是入侵者最常攻击的一个端口了。要想关闭此端口,需要关闭 HTTP 服务。7) 110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱 点。关于用户名和密码交换缓冲区溢出的弱点至少有20 个,这意味着 入侵者可以在真正登陆前进入系统,成功登陆后还有其它缓冲区溢出 错误。8) TCP 的 139 和 445 许多人都很关心这两个端口,这里详细介绍一下: 首先我们来了解一些基础知识:1 SMB:(Server Message Block) Windows 协议族,用于文件打印共 享的服务;
4、2 NBT:(NETBios Over TCP/IP)使用 137 (UDP) 138 (UDP) 139 (TCP)端口实现基于TCP/IP协议的NETBIOS网络互联。3在 WindowsNT中SMB基于NBT实现,即使用139 (TCP)端 口;而在 Windows2000 中, SMB 除了基于 NBT 实现,还可以直接通 过 445 端口实现。有了这些基础知识,我们就可以进一步来讨论访问网络共享对端 口的选择了:对于 win2000 客户端(发起端)来说:1 如果在允许 NBT 的情况下连接服务器时,客户端会同时尝试访 问 139 和 445 端口,如果 445 端口有响应,那么就发
5、送 RST 包给 139 端口断开连接,用 455 端口进行会话,当 445 端口无响应时,才使用 139 端口,如果两个端口都没有响应,则会话失败;2 如果在禁止 NBT 的情况下连接服务器时,那么客户端只会尝试 访问 445 端口,如果 445 端口无响应,那么会话失败。对于 win2000 服务器端来说:1 如果允许 NBT, 那么 UDP 端口 137, 138, TCP 端口 139, 445 将 开放(LISTENING);2如果禁止NBT,那么只有445端口开放。我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见, 如果远程服务器没有监听139或445端口,ipc$会话
6、是无法建立的。那 么如何关闭 2000 上这两个端口呢?139 端口可以通过禁止 NBT 来屏蔽本地连接一TCP/IT属性一高级一WINS-选禁用TCP/IT上的NETBIOS 项445 端口可以通过修改注册表来屏蔽添加一个键值Hive: HKEY_LOCAL_MACHINEKey: SystemControlsetServicesNetBTParametersName: SMBDeviceEnabledType: REG_DWORDvalue: 0修改完后重启机器9) 3389 Terminal Services此端口开放表示服务器提供了终端服务,如果你获得了管理员的 用户名和密码,那么你可
7、以通过这个服务在图形界面下完全控制主机 但如果你得不到密码也找不到输入法漏洞,你会感到束手无策。要想 关闭此端口,需要关闭终端服务。与端口有关的的工具1 netstat - -n的确,这并不是一个工具,但他是查看自己所开放端口的最方便方法,在 cmd 中输入这个命令就可以了。如下:C:netstat -anActive ConnectionsProto Local Address Foreign Address StateTCP 0.0.0.0:135 0.0.0.0:0 LISTENINGTCP 0.0.0.0:445 0.0.0.0:0 LISTENINGTCP 0.0.0.0:1025
8、0.0.0.0:0 LISTENINGTCP 0.0.0.0:1026 0.0.0.0:0 LISTENINGTCP 0.0.0.0:1028 0.0.0.0:0 LISTENINGTCP 0.0.0.0:3372 0.0.0.0:0 LISTENINGUDP 0.0.0.0:135 *:*UDP 0.0.0.0:445 *:*UDP 0.0.0.0:1027 *:*UDP 127.0.0.1:1029 *:*UDP 127.0.0.1:1030 *:*这是我没上网的时候机器所开的端口,两个 135 和 445 是固定端 口,其余几个都是动态端口。2 fport.exe 和 mport.exe
9、 这也是两个命令行下查看本地机器开放端口的小程序,其实与 netstat -an 这个命令大同小异,只不过它能够显示打开端口的进程,信 息更多一些而已,如果你怀疑自己的奇怪端口可能是木马,那就用他 们查查吧。3 activeport.exe (也称 aports.exe) 还是用来查看本地机器开放端口的工具,除了具有上面两个程序的全部功能外,他还有两个更吸引人之处:图形界面以及可以关闭端 口。这对菜鸟来说是个绝对好用的东西,推荐使用喔。4 superscan3.0端口扫描类软件,速度快而且可以指定扫描的端口。保护好自己的端口: 刚接触网络的朋友一般都对自己的端口很敏感,总怕自己的电脑 开放了过多端口,更怕其中就有后门程序的端口,但由于对端口不是 很熟悉,所以也没有解决办法,上起网来提心吊胆。其实保护自己的 端口并不是那么难,只要做好下面几点就行了:1 查看:经常用命令或软件查看本地所开放的端口,看是否有可疑端口;2 判断:如果开放端口中有你不熟悉的,应该马上查找端口大全 或木马常见端口等资料(网上多的很),看看里面对你那个可疑端口的 作用描述,或者通过软件查看开启此端口的进程来进行判断;3 关闭:如果真是木马端口或者资料中没有这个端口的描述,那 么应该关闭此端口,你可以用防火墙来屏蔽此端口,也可以用本地连 接一TCP/IP 高级一选项一TCP/IP筛选,启用筛选机制来筛选端口;
