找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 3488|回复: 9

[系统] 关闭系统常见端口的方法

[复制链接]
Seven 发表于 2010-7-27 10:09:27 | 显示全部楼层 |阅读模式
在DOS命令行下用netstat -na命令可以看到本机所有打开的端口
(1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口的。
(2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地硬盘上,这些端口都是1025以上的连续端口。
(3)4000端口:这是OICQ的通讯端口。
(4)6667端口:这是IRC的通讯端口。除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。

我相信有很多人都不知道自己开了什么端口.更加不知道怎么关闭端口.
你可以用查看端口的软件查看.
也可以通过在运行里输入"cmd"
在弹出的cmd命令行里输入
netstat -an 来查看自己开放端口.ip地址的后面的就是端口号.
以下是我自己写的一篇关于关闭端口的详细步骤和多种方法
有很多人问我如何关闭端口,所以我(流云)整理了一下关于关闭端口的资料,并给大家写这篇文章介绍关于关闭端口的多种方法(包括系统的方法:修改注册表和关闭服务;通过创建 IP 安全策略来屏蔽端口的方法;增加防火墙的规则屏蔽端口;通过本地连接的TCP/IP筛选来过滤端口;)由于入侵的基础就在于端口,所以关闭掉可能会被入侵的端口,这样你的电脑的安全悉数就提高了.这里先介绍一下,关于入侵最多的几个端口的系统关闭方法.

1.系统关闭方法:

(1)21端口:
端口说明: ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。
    这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器
    作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分
    类)的节点。

关闭方法:控制面板--管理工具--服务
    关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务
    的管理单元提供 FTP 连接和管理。

(2)23端口
端口说明:Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫
    描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入
    侵者会找到密码。

关闭方法:控制面板--管理工具--服务
    关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控
    制台程序。

(3)25端口
端口说明:smtp 攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。
    入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器
    上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)
    是进入系统的最常用方法之一,因为它们必须完整的暴露于Internet且
    邮件的路由是复杂的(暴露+复杂=弱点)。

关闭方法:控制面板--管理工具--服务
    关闭Simple Mail Transport Protocol (SMTP)服务,它提供的功能是
    跨网传送电子邮件.

(4)80端口
端口说明:80端口是为HTTP(HyperText Transport Protocol,超文本传输协
    议)开放的,这是上网冲浪使用最多的协议,主要用于在WWW
    (World Wide Web,万维网)服务上传输信息的协议。
 楼主| Seven 发表于 2010-7-27 10:09:41 | 显示全部楼层
关闭方法:控制面板--管理工具--服务
    关掉WWW服务。在“服务”中显示名称为"World Wide Web
    Publishing Service",通过Internet 信息服务的管理单元提供 Web
    连接和管理。

(5)135端口——看不懂的,看以下6楼http://www.chenyu.me/read.php?tid=7060#1354
端口说明c-serv MS RPC end-point mapper Microsoft在这个端口运行DCE
    RPC end-point mapper为它的DCOM服务。这与UNIX 111 端口的功
    能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper
    注册它们的位置。远端客户连接到机器时,它们查询end-point
    mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到
    诸如:这个机器上运行ExchangeServer吗?是什么版本?

关闭方法:用一款16为编辑软件(推荐UltraEdit)打开你系统
    winnt\\system32   或者 x:\\windows\\system32下的rpcss.dll文件。
      查找31 00 33 00 35
      替换为30 00 30 00 30
    查找3100330035,将其替换为3000300030,意思就是将135端口
    改为000。至此修改的任务已经完成,下面将面临一个保存的问题。
    因为该文件正在运行,在Windows环境下是不能覆盖的。如果你是
    FAT32文件系统,那么直接引导进DOS环境,将修改好的文件覆盖掉
    原来的文件。
    如果是NTFS格式,相对就麻烦一些。进安全模式。然后启动pulist列
    出进程,然后用pskill这个程序(黑客网站有下的)杀掉svchost.exe
    程序。然后在COPY过去。
    覆盖后重新启动,使用netstat -an命令,可以看到Windows 2000下
    已经没有135端口了。XP系统还有TCP的135,但是UDP里面已经没有
    135端口了。
   

(6)139端口——看不懂的,看以下6楼http://www.chenyu.me/read.php?tid=7060#1354
端口说明: File and Print Sharing 通过这个端口进入的连接试图获
    NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”
    和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。
    Ipc$就是要依赖这个端口的.
   
关闭方法:139端口可以通过禁止NBT来屏蔽
    本地连接-TCP/IT属性-高级-WINS-选‘禁用TCP/IT上的NETBIOS’
    一项

(7)445端口:
端口说明: 445端口是般是信息流通数据的端口,一般黑客都是通过这个端口对你
    的计算机或木马的控制,windows2000以后的版本都会自动打开这个
    端口。一般流行性病毒,如冲击波,震荡婆,灾飞都是从这个端口对
    计算机开始攻击!

关闭方法:445端口可以通过修改注册表来屏蔽
    添加一个键值
    Hive: HKEY_LOCAL_MACHINE
    Key: System\\Controlset\\Services\\NetBT\\Parameters
    Name: SMBDeviceEnabled
    Type: REG_DWORD
    Value: 0
    修改完后重启机器
 楼主| Seven 发表于 2010-7-27 10:09:56 | 显示全部楼层
(8)3389端口
端口说明: 3389又称Terminal Service,服务终端。在WindowsNT中最先开始使
    用的一种终端,在Win2K的Professional版本中不可以安装,在Server
    或以上版本才可以安装这个服务,其服务端口为3389。由于使用简
    单,方便等特点,一直受系统管理员的青昧。也正式因为他的简便,
    不产生交互式登陆,可以在后台操作,因此也受到了黑客朋友的喜
    爱,事实可以说明,现在大多数朋友在入侵之后,都想打开windows
    终端服务,甚至不惜重启对方的计算机,也要把终端服务安装上,由
    此可见他的普遍性。另,在在XP系统中又叫做“远程桌面”。

关闭方法:首先说明3389端口是windows的远程管理终端所开的端口,它并不是
    一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须
    的,请关闭该服务。

win2000关闭的方法:
win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,
选中属性选项将启动类型改成手动,并停止该服务。
win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services
服务项,选中属性选项将启动类型改成手动,并停止该服务。
winxp关闭的方法:
在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。

(9)4489端口
端口说明: 首先说明4899端口是一个远程控制软件(remote administrator)服务
    端监听的端口,他不能 算是一个木马程序,但是具有远程控制功能,
    通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放
    并且是必需的。如果不是请关闭它。

关闭方法:请在开始-->运行中输入cmd(98以下为command),然后cd
    C:\\winnt\\system32(你的系统安装目录),输入r_server.exe /stop
    后按回车然后在输入r_server /uninstall /silence 到C:\\winnt\\system32
    (系统目录)下删除r_server.exe admdll.dll radbrv.dll三个文件

(10)默认共享:
很多人根本就还不知道有默认共享这么一回事,其实系统一装好都是打开默认共享的.把c,d默认共享为c$,d$.其实这个是相当危险的,这个就相当于开着门让黑课进来.可以通过很多种方法入侵.其中以ipc$最为著名.所以一定关闭它.关闭的方法有很多种.

端口说明:这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访
    问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考
    虑,最好关闭这个“默认共享”,以保证系统安全。

关闭方法:关于默认共享的关闭方法有很多种方法.我这里根据自己所知的,归纳
    了4种最常用的方法.
    1.DOS下删除共享
    单击“开始/运行”,在运行窗口中输入“cmd”(98则是command),打开cmd命令行.用net share 命令查看自己是否开了默认共享和ipc$,所有的共享信息都可以在里面显示.选择你要的删除的共享.用net share xx /delete(此处的xx表示你要删除的共享文件)例如:net share c$ /delete 表示删除c盘的默认共享(根据我的经验net share c:\\ /delete 其实也是一样删除c盘的默认共享的).
    2.盘符属性
    确定你要删除的盘符,单击鼠标右键选择共享和安全的选项.在弹出的窗口中选择不共享此文件夹.然后点确定.这样就关闭了共享(包括默认共享).
    3.控制面板中删除
    控制面板—管理工具—计算机管理—共享文件夹—共享
    关闭里面的默认共享(包括admin$的删除)
    4. 修改注册表
单击“开始/运行”,在运行窗口中输入“Regedit”,打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Lanmanworkstation\\parameters”,在右侧窗口中创建一个名为“AutoShareWks”的双字节值,将其值设置为0,(win2000 专业版 win xp);[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\
lanmanserver\\parameters]"AutoShareServer"=dword:00000000   (win2000 server、win2003 server)这样就可以彻底关闭“默认共享”。
 楼主| Seven 发表于 2010-7-27 10:10:10 | 显示全部楼层
以上几个端口都是最常入侵的端口,也是最适合一般用户的电脑.至于其他特定软件所开放的端口可以根据通过创建 IP 安全策略来屏蔽端口的方法;增加防火墙的规则屏蔽端口;通过本地连接的TCP/IP筛选来过滤端口的方法来关闭端口.以下介绍一下通过创建 IP 安全策略来屏蔽端口的方法的方法来关闭端口,由于增加防火墙的规则屏蔽端口;通过本地连接的TCP/IP筛选来过滤端口的方法和过创建 IP 安全策略来屏蔽端口的方法差不多,所以就不重复讲了.这里就先介绍一下创建 IP 安全策略来屏蔽端口的方法.

2.创建 IP 安全策略来屏蔽端口:
关闭的端口有,135,137,138,139,445,1025,2475,3127,6129,3389,593,还有tcp.
具体操作如下:
默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口:

  第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”(如右图),于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。

  第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,
随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”
左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。

  第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;
点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击
“确定”按钮(如左图),这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑 。
  点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593
端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。
  重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。

  第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,
最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加
“阻止”操作(右图):在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。

  第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。
 楼主| Seven 发表于 2010-7-27 10:10:24 | 显示全部楼层
在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
  于是重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再
也不能连上这些端口,从而保护了你的电脑。

本人建议:如果你要关闭的端口是比较常见的入侵端口的话,我建议你采用系统的关闭方法.这样更加直接和有效.而一般的端口的话,你不想开可以采用ip安全策略或者防火墙或者TCP\\IP筛选来关闭.将来你想开这个端口或者软件需要用的时候,只要去掉规则就可以了.这里还有提醒大家一点,端口从1024开始到65535都是应用程序所开启的端口(当然也包括木马和病毒).除非你很确定这个端口是木马或者病毒或者是没用途的端口,不然不建议关闭.不然会出现很多问题.
以下是电脑端口基础知识
  端口可分为3大类:
  1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。

  2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。

  3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。
由于时间的关系,稍微就介绍以上的几种方法.其实关闭端口还有很多种方法.这里就先介绍到这里吧.
 楼主| Seven 发表于 2010-7-27 10:13:00 | 显示全部楼层
关闭445端口的方法:由于TCP 445端口在Windows 2000、XP以及Windows Server 2003系统中,是专门通过TCP/IP协议直接运行SMB来共享文件、打印机、以及串行端口,而对于普通的个人用户来说,我们根本不需要使用这个端口。运行注册表编辑器,在编辑器中找到:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters,接着在编辑窗口的右边空白处点击鼠标右键,出现的“新建”菜单中选择“DWORD值”,将新建的DWORD参数命名为“SMBDeviceEnabled”,数值为缺省的“0”。设置完成后重新启动电脑,系统的445端口已经关闭了。
 楼主| Seven 发表于 2010-7-27 10:14:33 | 显示全部楼层
——如何关闭135端口

  运行dcomcnfg,展开“组件服务”→“计算机”,在“我的电脑”上点右键选“属性”,切换到“默认属性”,取消“启用分布式COM”;然后切换到“默认协议”,删除“面向连接的TCP/IP”。

  重启之后, 135端口就没有了。

——如何关闭139端口

  139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。

  关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。

  对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
 楼主| Seven 发表于 2010-7-27 10:19:48 | 显示全部楼层
天网之类的防火墙,可以很简单的关闭端口。
或者干脆在系统的网卡属性,tcp/ip高级,选项,tcp/ip筛选。都可以关闭端口。
 楼主| Seven 发表于 2010-7-27 10:21:22 | 显示全部楼层
如何关闭系统端口?
我的机器中了冲击波病毒,用专杀工具杀毒,提示说,需要关闭某某端口。请问,怎么关?用软件吗?有没有简便的方法?
最佳答案
可以在控制面板->管理工具->打开服务

端口地址如下,你可以关闭一些服务

端口0

服务Reserved

说明通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。

端口1

服务tcpmux

说明这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。

端口7

服务Echo

说明能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。

端口19

服务Character Generator

说明这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。

端口21

服务FTP

说明FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口22

服务Ssh

说明PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。

端口23

服务Telnet

说明远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

端口25

服务SMTP

说明SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口31

服务MSG Authentication

说明木马Master Paradise、Hackers Paradise开放此端口。

端口42

服务WINS Replication

说明WINS复制

端口53

服务Domain Name Server(DNS)

说明DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。

端口67

服务Bootstrap Protocol Server

说明通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

端口69

服务Trival File Transfer

说明许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。

端口79

服务Finger Server

说明入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。

端口80

服务HTTP

说明用于网页浏览。木马Executor开放此端口。

端口99

服务Metagram Relay

说明后门程序ncx99开放此端口。

端口102

服务Message transfer agent(MTA)-X.400 over TCP/IP

说明消息传输代理。

端口109

服务Post Office Protocol -Version3

说明POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口110

服务SUN公司的RPC服务所有端口

说明常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

端口113

服务Authentication Service

说明这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。

端口119

服务Network News Transfer Protocol

说明NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。

端口135

服务Location Service

说明Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。

端口137、138、139

服务NETBIOS Name Service

说明其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139

端口通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

端口143

服务Interim Mail Access Protocol v2

说明和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。

端口161

服务SNMP

说明SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

端口177

服务X Display Manager Control Protocol

说明许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。

端口389

服务LDAP、ILS

说明轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。

端口443

服务Https

说明网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。

端口456

服务

说明木马HACKERS PARADISE开放此端口。

端口513

服务Login,remote login

说明是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

端口544

服务

说明kerberos kshell

端口548

服务Macintosh,File Services(AFP/IP)

说明Macintosh,文件服务。

端口553

服务CORBA IIOP (UDP)

说明使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口555

服务DSF

说明木马PhAse1.0、Stealth Spy、IniKiller开放此端口。

端口568

服务Membership DPA

说明成员资格 DPA。

端口569

服务Membership MSN

说明成员资格 MSN。

端口635

服务mountd

说明Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。

端口636

服务LDAP

说明SSL(Secure Sockets layer)

端口666

服务Doom Id Software

说明木马Attack FTP、Satanz Backdoor开放此端口

端口993

服务IMAP

说明SSL(Secure Sockets layer)

端口1001、1011

服务

说明木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。

端口1024

服务Reserved

说明它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。

端口1025、1033

服务1025:network blackjack 1033:

说明木马netspy开放这2个端口。

端口1080

服务SOCKS

说明这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。

端口1170

服务

说明木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。

端口1234、1243、6711、6776

服务

说明木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。

端口1245

服务

说明木马Vodoo开放此端口。

端口1433

服务SQL

说明Microsoft的SQL服务开放的端口。

端口1492

服务stone-design-1

说明木马FTP99CMP开放此端口。

端口1500

服务RPC client fixed port session queries

说明RPC客户固定端口会话查询

端口1503

服务NetMeeting T.120

说明NetMeeting T.120

端口1524

服务ingress

说明许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。

端口1600

服务issd

说明木马Shivka-Burka开放此端口。

端口1720

服务NetMeeting

说明NetMeeting H.233 call Setup。

端口1731

服务NetMeeting Audio Call Control

说明NetMeeting音频调用控制。

端口1807

服务

说明木马SpySender开放此端口。

端口1981

服务

说明木马ShockRave开放此端口。

端口1999

服务cisco identification port

说明木马BackDoor开放此端口。

端口2000

服务

说明木马GirlFriend 1.3、Millenium 1.0开放此端口。

端口2001

服务

说明木马Millenium 1.0、Trojan Cow开放此端口。

端口2023

服务xinuexpansion 4

说明木马Pass Ripper开放此端口。
 楼主| Seven 发表于 2010-7-27 10:39:47 | 显示全部楼层
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表