江苏龙网

  1. 主页 > 生活百科 > >

电脑端口分类( 四 )

端口


1524 ingreslock后门
许多攻击脚本将安装一个后门Sh*ll 于这个端口(尤其是那些针对Sun系统中Sendmail
和RPC服务漏洞的
脚本,如statd, ttdbserver和cmsd) 。如果你刚刚安装了你的防火墙就看到在这个端
口上的连接企图,很
可能是上述原因 。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个
Sh*ll。连接到
600/pcserver也存在这个问题 。
2049 NFS
NFS程序常运行于这个端口 。通常需要访问portmapper查询这个服务运行于哪个端口,
但是大部分情况
是安装后NFS 杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端
口 。
3128 squid
这是Squid HTTP代理服务器的默认端口 。攻击者扫描这个端口是为了搜寻一个代理服务
器而匿名访问
Internet 。你也会看到搜索其它代理服务器的端口:8000/8001/8080/8888 。扫描这一
端口的另一原因是:
用户正在进入聊天室 。其它用户(或服务器本身)也会检验这个端口以确定用户的机器
是否支持代理 。请查
看5.3节 。
5632 pcAnywere
你会看到很多这个端口的扫描,这依赖于你所在的位置 。当用户打开pcAnywere时,它
会自动扫描局域
网C类网以寻找可能得代理(译者:指agent而不是proxy) 。Hacker/cracker也会寻找
开放这种服务的机
器,所以应该查看这种扫描的源地址 。一些搜寻pcAnywere的扫描常包含端口22的UDP数
据包 。参见拨号扫
描 。
6776 Sub-7 artifact
这个端口是从Sub-7主端口分离出来的用于传送数据的端口 。例如当控制者通过电话线
控制另一台机
器,而被控机器挂断时你将会看到这种情况 。因此当另一人以此IP拨入时,他们将会看
到持续的,在这个端
口的连接企图 。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被
Sub-7控制 。)
6970 RealAudio
RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流 。这是由TCP7070端口
外向控制连接设
置的 。
13223 PowWow
PowWow 是Tribal Voice的聊天程序 。它允许用户在此端口打开私人聊天的连接 。这一
程序对于建立连
接非常具有“进攻性” 。它会“驻扎”在这一TCP端口等待回应 。这造成类似心跳间隔
的连接企图 。如果你
是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多
不同的人在测试这一
端口 。这一协议使用“OPNG”作为其连接企图的前四个字节 。
17027 Conducent
这是一个外向连接 。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软
件 。Conducent
"adbot"是为共享软件显示广告服务的 。使用这种服务的一种流行的软件是Pkware 。有
人试验:阻断这一外
向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多
次而导致连接过载:
机器会不断试图解析DNS名─ads.conducent.com,即IP地址216.33.210.40 ;
216.33.199.77 ;
216.33.199.80 ;216.33.199.81;216.33.210.41 。(译者:不知NetAnts使用的
Radiate是否也有这种现
象)
技术文摘Page 5 of 5
mk:@MSITStore:F: oolshtoolsookook.chm::/MYWEB/hei.../safetv07.ht
2002-5-14
27374 Sub-7木马(TCP)
参见Subseven部分 。
30100 NetSphere木马(TCP)
通常这一端口的扫描是为了寻找中了NetSphere木马 。
31337 Back Orifice “elite”
Hacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华 。即
3=E, 1=L, 7=T) 。
因此许多后门程序运行于这一端口 。其中最有名的是Back Orifice 。曾经一段时间内这
是Internet上最常见
的扫描 。现在它的流行越来越少,其它的木马程序越来越流行 。
31789 Hack-a-tack
这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT, Remote Access
Trojan) 。这种木
马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有
这种入侵 。(31789
端口是控制连接,317890端口是文件传输连接)
32770~32900 RPC服务
Sun Solaris的RPC服务在这一范围内 。详细的说:早期版本的Solaris(2.5.1之前)将
portmapper置于
这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口 。扫描这
一范围内的端口不是


推荐阅读


上一篇:梦到和领导握手是什么意思? 梦见和领导握手是什么意思

下一篇:淘宝店铺降权会对店铺有什么影响 淘宝店铺降权是什么意思