【分享】 5、个人电脑详细的安全设置方法(5)


            果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述

            原因。你 可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个

            Sh*ll 。连接到
            600/pcserver也存在这个问题。
            2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服

            务运行于
            哪个端口,但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可

            以闭开 portmapper直接测试这个端口。
            3128 squid
            这是Squid h++p代理服务器的默认端口。攻击者扫描这个端口是为了搜 寻一

            个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口

            :
            000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。

            其它用户
            (或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查

            看5.3节。
            5632
            pcAnywere你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打

            开
            pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent

            而不是
            proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种

            扫描的
            源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫

            描。
            6776 Sub-7 artifact
            这个端口是从Sub-7主端口分离出来的用于传送数据的端口。 例如当控制者

            通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。
            因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图

            。(译
            者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。

            )
            6970
            RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由

            TCP7070 端口外向控制连接设置13223 PowWow PowWow
            是Tribal Voice的聊天程序。它允许 用户在此端口打开私人聊天的接。这一

            程序对于建立连接非常具有“进攻性”。它
            会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果

            你是一个 拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发

            生:好象很多不同
            的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节

            。
            17027
            Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent

            "adbot" 的共享软件。
            Conducent
            "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件 是

            Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本

            身将会
            导致adbots持续在每秒内试图连接多次而导致连接过载:
            机器会不断试图解析DNS名─ads.conducent.com,即IP地址216.33.210.40

            ;
            216.33.199.77
            ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不
            知NetAnts使用的Radiate是否也有这种现象)
            27374 Sub-7木马(TCP) 参见Subseven部分。
            30100
            NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
            31337 Back Orifice
            “eliteHacker中31337读做“elite”/ei’li:t/(译者:* 语,译为中坚力

            量,精华。即 3=E, 1=L,
            7=T)。因此许多后门程序运行于这一端 口。其中最有名的是Back Orifice

            。曾经一段时间内这是Internet上最常见的扫描。
            现在它的流行越来越少,其它的 木马程序越来越流行。
            31789 Hack-a-tack
            这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马 (RAT,Remote

            Access
            Trojan)。这种木马包含内置的31790端口扫描器,因此任何 31789端口到

            317890端口的连 接意味着已经有这种入侵。(31789端口是控制连
            接,317890端口是文件传输连接)
            32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说:早

            期版本
            的Solaris(2.5.1之前)将 portmapper置于这一范围内,即使低端口被防火

            墙封闭 仍然允许Hacker/cracker访问这一端口。
            扫描这一范围内的端口不是为了寻找 portmapper,就是为了寻找可被攻击的

            已知的RPC服务。
            33434~33600 traceroute
            如果你看到这一端口范围内的UDP数据包(且只在此范围 之内)则可能是由

            于traceroute。参见traceroute分。
            41508
            Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。

            参见
            h++p://www.circlemud.org/~jelson/software/udpsend.html
            h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留

            端
            口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。

            常看见 紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连

            接的应用程序
            的“动态端口”。 Server Client 服务描述
            1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
            20/tcp 动态 FTP
            FTP服务器传送文件的端口
            53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP

            连 接。
            123 动态
            S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送 到这

            个端口的广播。
            27910~27961/udp 动态 Quake
            Quake或Quake引擎驱动的游戏在这一端口运行其 服务器。因此来自这一端口

            范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
            61000以上
            动态 FTP 61000以上的端口可能来自Linux NAT服务器
            #4

            补充、端口大全(中文翻译)1 tcpmux TCP Port Service
            Multiplexer  传输控制协议端口服务多路开关选择器
            2 compressnet Management Utility    
            compressnet 管理实用程序
            3 compressnet Compression Process    压缩进程
            5 rje Remote
            Job Entry         
            远程作业登录
            7 echo Echo               回显
            9 discard Discard            丢弃
            11 systat Active
            Users          在线用户
            13 daytime Daytime            时间
            17 qotd Quote of the
            Day         每日引用
            18 msp Message Send Protocol      
            消息发送协议
            19 chargen Character Generator      字符发生器
            20 ftp-data File Transfer
            [Default Data] 文件传输协议(默认数据口) 
            21 ftp File Transfer
            [Control]      文件传输协议(控制)
            22 ssh SSH Remote Login Protocol    
            SSH远程登录协议
            23 telnet Telnet             终端仿真协议
            24 ? any private mail
            system       预留给个人用邮件系统
            25 smtp Simple Mail Transfer      
            简单邮件发送协议
            27 nsw-fe NSW User System FE       NSW 用户系统现场工程师
            29 msg-icp MSG
            ICP            MSG ICP
            31 msg-auth MSG Authentication     
            MSG验证
            33 dsp Display Support Protocol     显示支持协议
            35 ? any private printer
            server     预留给个人打印机服务
            37 time Time               时间
            38 rap Route Access
            Protocol       路由访问协议
            39 rlp Resource Location
            Protocol    资源定位协议
            41 graphics Graphics           图形
            42 nameserver WINS
            Host Name Server   WINS 主机名服务
            43 nicname Who Is            "绰号" who
            is服务
            44 mpm-flags MPM FLAGS Protocol     MPM(消息处理模块)标志协

            议
            45 mpm Message
            Processing Module [recv] 消息处理模块 
            46 mpm-snd MPM [default
            send]      消息处理模块(默认发送口)
            47 ni-ftp NI FTP             NI
            FTP
            48 auditd Digital Audit Daemon      数码音频后台服务 
            49 tacacs Login Host
            Protocol (TACACS)  TACACS登录主机协议
            50 re-mail-ck Remote Mail Checking
            Protocol 远程邮件检查协议
            51 la-maint IMP Logical Address
            Maintenance IMP(接口信息处理机)逻辑地址维护
            52 xns-time XNS Time
            Protocol      施乐网络服务系统时间协议  
            53 domain Domain Name Server      
            域名服务器
            54 xns-ch XNS Clearinghouse       施乐网络服务系统票据交换
            55 isi-gl ISI
            Graphics Language     ISI图形语言
            56 xns-auth XNS Authentication     
            施乐网络服务系统验证
            57 ? any private terminal access     预留个人用终端访问
            58 xns-mail XNS
            Mail           施乐网络服务系统邮件
            59 ? any private file
            service      预留个人文件服务
            60 ? Unassigned             未定义
            61 ni-mail NI
            MAIL            NI邮件?
            62 acas ACA Services           异步通讯适配器服务
            63 whois+
            whois+              WHOIS+
            64 covia Communications Integrator
            (CI) 通讯接口 
            65 tacacs-ds TACACS-Database Service  
            TACACS数据库服务
            66 sql*net Oracle SQL*NET        Oracle
            SQL*NET
            67 bootps Bootstrap Protocol
            Server   引导程序协议服务端
            68 bootpc Bootstrap Protocol
            Client   引导程序协议客户端
            69 tftp Trivial File
            Transfer      小型文件传输协议
            70 gopher Gopher            
            信息检索协议
            71 netrjs-1 Remote Job Service      远程作业服务
            72 netrjs-2 Remote Job
            Service      远程作业服务
            73 netrjs-3 Remote Job Service     
            远程作业服务
            74 netrjs-4 Remote Job Service      远程作业服务
            75 ? any private dial
            out service    预留给个人拨出服务
            76 deos Distributed External Object Store
            分布式外部对象存储 
            77 ? any private RJE
            service      预留给个人远程作业输入服务
            78 vettcp vettcp            
            修正TCP?
            79 finger Finger             FINGER(查询远程主机在线

            用户等信息)
最后编辑2006-07-12 23:55:25.840000000