文档介绍:常见的入侵端口详解常见的入侵端口: 端口: 0 服务: Reserved 说明: 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用 IP 地址为 ,设置 ACK 位并在以太网层广播。端口: 1 服务: tcpmux 说明:这显示有人在寻找 SGI Irix 机器。 Irix 是实现 tcpmux 的主要提供者, 默认情况下 tcpmux 在这种系统中被打开。 Irix 机器在发布是含有几个默认的无密码的帐户,如: IP、 GUEST UUCP 、 NUUCP 、 DEMOS 、 TUTOR 、 DIAG 、 OUTOFBOX 等。许多管理员在安装后忘记删除这些帐户。因此 HACKER 在 上搜索 tcpmux 并利用这些帐户。端口: 7 服务: Echo 说明:能看到许多人搜索 Fraggle 放大器时,发送到 和 的信息。端口: 19 服务: Character Generator 说明: 这是一种仅仅发送字符的服务。 UDP 版本将会在收到 UDP 包后回应含有垃圾字符的包。 TCP 连接时会发送含有垃圾字符的数据流直到连接关闭。 HACKER 利用 IP 欺骗可以发动 DoS 攻击。伪造两个 chargen 服务器之间的 UDP 包。同样 Fraggle DoS 攻击向目标地址的这个端口广播一个带有伪造受害者 IP 的数据包,受害者为了回应这些数据而过载。端口: 21 服务: FTP 说明: FTP 服务器所开放的端口, 用于上传、下载。最常见的攻击者用于寻找打开 anonymous 的 FTP 服务器的方法。这些服务器带有可读写的目录。木马 Doly Trojan 、 Fore 、 Invisible FTP 、 WebEx 、 WinCras h 和 Blade Runner 所开放的端口。端口: 22 服务: Ssh 说明: PcAnywher e 建立的 TCP 和这一端口的连接可能是为了寻找 ssh 。这一服务有许多弱点,如果配置成特定的模式,许多使用 RSAREF 库的版本就会有不少的漏洞存在。端口: 23 服务: 说明:远程登录,入侵者在搜索远程登录 UNIX 的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马 Tiny Server 就开放这个端口。端口: 25 服务: SMTP 说明: SMTP 服务器所开放的端口,用于发送邮件。入侵者寻找 SMT P 服务器是为了传递他们的 SPAM 。入侵者的帐户被关闭,他们需要连接到高带宽的 E-MAIL 服务器上,将简单的信息传递到不同的地址。木马 Antigen 、 Email Password Sender 、 Haebu Coceda 、 Shtrilitz Stealth 、 WinPC 、 WinSpy 都开放这个端口。端口: 31 服务: MSG Authentication 说明:木马 Master Paradise 、 Hackers Paradise 开放此端口。端口: 42 服务: WINS Replication 说明: WINS 复制端口: 53 服务: Domain Name Server ( DNS ) 说明: DNS 服务器所开放的端口,入侵者可能是试图进行区域传递( TCP ) ,欺骗 DNS ( UDP )或隐藏其他的通信。因此防火墙常常过滤或记录此端口。端口: 67 服务: Bootstrap Protocol Server 说明: 通过 DSL 和 Cable modem 的防火墙常会看见大量发送到广播地址 的数据。这些机器在向 DHCP 服务器请求一个地址。 HACKER 常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人( man-in-middle ) 攻击。客户端向 68 端口广播请求配置,服务器向 67 端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的 IP 地址。端口: 69 服务: Trival File Transfer 说明: 许多服务器与 bootp 一起提供这项服务, 便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。端口: 79 服务: Finger Server 说明: 入侵者用于获得用户信息, 查询操作系统, 探测已知的缓冲区溢出错误,回应从自己机器到其他机器 Finger 扫描。端口: 80 服务: HTTP 说明:用于网页浏览。木马 Executor 开放此端口。端口: 99