跟我学TCP端口:作用,漏洞,操作详析

魏绪明

  在上网的时候，我们经常会看到“端口”这个词，也会经常用到端口号，比如在FTP地址后面增加的“

魏绪明

25端口：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。 % t: K# D) F5 y5 T7 r

: L% o* j. Y8 U# c5 U  u" X端口说明：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候，在创建账户时会要求输入SMTP服务器地址，该服务器地址默认情况下使用的就是25端口。
6 T+ M( y. G, d
; Y# V- T7 V' J: b! s( B8 l+ \- ~端口漏洞： ' e3 B4 r, q7 L& C9 x" e' J6 F: Y
% m& g0 I9 r0 D* b3 B4 |0 W
1. 利用25端口，黑客可以寻找SMTP服务器，用来转发垃圾邮件。 # l9 C( K6 ~# {1 D9 y! M

2 m, K; X' z. ?  M3 B* `2. 25端口被很多木马程序所开放，比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说，通过开放25端口，可以监视计算机正在运行的所有窗口和模块。 + ]' K- E; @2 i2 z

! j% s) j) `" o: Q; Z7 e操作建议：如果不是要架设SMTP邮件服务器，可以将该端口关闭。 * Z) [: w: Q- ~( z2 k

+ V" i. G& @$ H6 q% o53端口：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。
8 _# d3 ]+ w  h6 R3 S. x2 Q' t* A  y3 E4 m0 n
端口说明：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换，只要记住域名就可以快速访问网站。 ; K/ U! W6 O0 f, {& o, w& M

2 ]6 K6 ~5 R  k$ s  Q. {端口漏洞：如果开放DNS服务，黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址，再利用53端口突破某些不稳定的防火墙，从而实施攻击。近日，美国一家公司也公布了10个最易遭黑客攻击的漏洞，其中第一位的就是DNS服务器的BIND漏洞。
. ^# S4 P6 h6 S: C
- o$ T, m; ~5 O/ s操作建议：如果当前的计算机不是用于提供域名解析服务，建议关闭该端口。 ; f' ~3 X+ m6 A" l
8 G& Q) ^9 u9 {2 z) L
67、68端口：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。 8 V. d; j  ?5 u* q
6 x# }- I# M) c* }( `' ?
端口说明：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议，我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址，而不需要每个用户去设置静态IP地址。
' |# E% C2 ~9 O) G& z! S; }4 C. r& a$ L# o! `! T2 T3 b
端口漏洞：如果开放Bootp服务，常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”（man-in-middle）方式进行攻击。
  P9 R) P, o# O1 Z7 c  {* {5 k% q" t# _8 `) p/ @6 j8 t# u* `! o
操作建议：建议关闭该端口。

魏绪明

69端口：TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。 1 D/ s* A6 I$ e5 \; j& M* v, X  g
2 t5 |* y+ n0 Q1 M" ^
端口说明：69端口是为TFTP（Trival File Tranfer Protocol，次要文件传输协议）服务开放的，TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。不过与FTP相比，TFTP不具有复杂的交互存取接口和认证控制，该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。
. ^+ t" ^- u+ N5 Y3 m+ Z4 f/ V% ^' Y" J4 E- o* B. }
端口漏洞：很多服务器和Bootp服务一起提供TFTP服务，主要用于从系统下载启动代码。可是，因为TFTP服务可以在系统中写入文件，而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。
$ k; K* s% B% u! u1 G- L
3 f4 y" ?% l& w& ^: o2 S操作建议：建议关闭该端口。 + t8 O) ]% p" q
5 i; z- l4 A- U6 C
79端口：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。
: k3 ~2 b; f1 m4 q& j6 @
/ z7 r! J! H2 S* V& v! q端口说明：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机www.abc.com上的user01用户的信息，可以在命令行中键入“finger user01@www.abc.com”即可。
) B( J" S( V% e  i# h0 L2 U( {- }3 a: P8 I; Q4 e
端口漏洞：一般黑客要攻击对方的计算机，都是通过相应的端口扫描工具来获得相关信息，比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本，获得用户信息，还能探测已知的缓冲区溢出错误。这样，就容易遭遇到黑客的攻击。而且，79端口还被Firehotcker木马作为默认的端口。 , [9 M% N' X! P3 l9 t2 H2 H
, D3 F  v! L2 m' F- {0 `0 V
操作建议：建议关闭该端口。
9 `) I7 b) O. F1 b  w) d% d: ?, h$ G" O& c
80端口：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。
) ]. P! M- B5 u9 y% @' ]
7 }2 \3 _7 ~% }端口说明：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。我们可以通过HTTP地址加“:80”（即常说的“网址”）来访问网站的，比如http://www.cce.com.cn:80，因为浏览网页服务默认的端口号是80，所以只要输入网址，不用输入“:80”。
$ s1 P' x0 v1 [6 Z; r6 ~" I8 E( `% W, p6 ^7 i; {! q' k0 ]
端口漏洞：有些木马程序可以利用80端口来攻击计算机的，比如Executor、RingZero等。
+ v1 d+ \' p( k% ?  O! D' m+ ?2 P* {- V" R8 i6 \
操作建议：为了能正常上网冲浪，我们必须开启80端口。 & m% p, N9 S" b5 n3 t6 k. w$ y% d" K
, w& H9 I7 H+ z, {" A
99端口：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。 ' B* N$ N. X$ x! t  p% \/ ~
8 X5 x1 s) x$ I; l
端口说明：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。 7 W/ J" i. D5 q9 s2 |

. t, T, z! y% f端口漏洞：虽然“Metagram Relay”服务不常用，可是Hidden Port、NCx99等木马程序会利用该端口，比如在Windows 2000中，NCx99可以把cmd．exe程序绑定到99端口，这样用Telnet就可以连接到服务器，随意添加用户、更改权限。 ; O$ V. p+ _+ g# I8 H9 v

' P$ c3 Z; `" B1 c* E. Z$ ~操作建议：建议关闭该端口。

魏绪明

109、110端口：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的。 1 v: }: g! H& d$ Q# j
7 e6 S; y+ D% O1 Y. H3 Y
端口说明：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的，目前POP3使用的比较多，许多服务器都同时支持POP2和POP3。客户端可以使用POP3协议来访问服务端的邮件服务，如今ISP的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候，会要求输入POP3服务器地址，默认情况下使用的就是110端口。
" I9 Q3 B/ r# L, {1 i( V1 G9 r$ V; j. u9 {# m0 f7 ~! [4 X
端口漏洞：POP2、POP3在提供邮件接收服务的同时，也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个，比如WebEasyMail POP3 Server合法用户名信息泄露漏洞，通过该漏洞远程攻击者可以验证用户账户的存在。另外，110端口也被ProMail trojan等木马程序所利用，通过110端口可以窃取POP账号用户名和密码。
* y5 u" }) k) g: f. f8 u% r
1 k. u: i' H. O操作建议：如果是执行邮件服务器，可以打开该端口。 ( i0 w% j6 f3 D  K5 n' g% p1 D( I# v
! s6 S3 b3 T* F  Q% P: o. E
111端口：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。 $ K1 |$ g- V0 U2 Q
$ T' C+ Q4 U' N, D7 j) m
端口说明：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。常见的RPC服务有rpc．mountd、NFS、rpc．statd、rpc．csmd、rpc．ttybd、amd等等。在Microsoft的Windows中，同样也有RPC服务。
0 ~! v/ I/ l  {  ~& i+ S. g$ L+ T; @' O9 c" ^* v
端口漏洞：SUN RPC有一个比较大漏洞，就是在多个RPC服务时xdr＿array函数存在远程缓冲溢出漏洞，通过该漏洞允许攻击者传递超 & n' b% [+ B1 B1 C! W; Q
! D$ `4 O* O- v  v* [; e. I
113端口：113端口主要用于Windows的“Authentication Service”（验证服务）。 9 ]  w0 a/ N# q
# j# n! \" g: T- P" T( |! X& F
端口说明：113端口主要用于Windows的“Authentication Service”（验证服务），一般与网络连接的计算机都运行该服务，主要用于验证TCP连接的用户，通过该服务可以获得连接计算机的信息。在Windows 2000/2003 Server中，还有专门的IAS组件，通过该组件可以方便远程访问中进行身份验证以及策略管理。
" c, t% k! R6 A: Z3 ?/ o
8 |0 K9 Y1 T, D端口漏洞：113端口虽然可以方便身份验证，但是也常常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器，这样会被相应的木马程序所利用，比如基于IRC聊天室控制的木马。另外，113端口还是Invisible Identd Deamon、Kazimas等木马默认开放的端口。' t0 i& B8 [0 t, M: q  S0 X9 R

1 z6 Q2 f. b" s5 R; |$ r4 b操作建议：建议关闭该端口。

魏绪明

119端口：119端口是为“Network News Transfer Protocol”（网络新闻组传输协议，简称NNTP）开放的。 * N: \9 E5 b% x! x) c
. w& o& N1 R3 b& M
端口说明：119端口是为“Network News Transfer Protocol”（网络新闻组传输协议，简称NNTP）开放的，主要用于新闻组的传输，当查找USENET服务器的时候会使用该端口。
& l. {+ c" h6 J; p" c
% y. a$ H! p' j) g7 r& w端口漏洞：著名的Happy99蠕虫病毒默认开放的就是119端口，如果中了该病毒会不断发送电子邮件进行传播，并造成网络的堵塞。 3 e/ o5 i" }3 C

4 n9 j# n7 [7 I操作建议：如果是经常使用USENET新闻组，就要注意不定期关闭该端口。
7 a1 N/ s9 v2 K1 J3 T
/ k! U8 W8 }: q3 M0 B135端口：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。
( c" b" q) ^) k* |# L5 k6 {" q
: X* k1 m, D+ R8 `端口说明：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。 0 X, b2 x+ ]4 ?" r0 g

. z  g  c" Z" c( Z9 b5 ^7 g3 R/ d端口漏洞：相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒，该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口，该接口侦听的端口就是135。 2 |) ~. U- E5 \  I2 v: `

% L2 k! Y0 b# F2 U8 ?操作建议：为了避免“冲击波”病毒的攻击，建议关闭该端口。 3 `1 C& g7 D) E  V. \2 {5 w0 A+ \

2 h3 Q4 z$ m& X; A5 n137端口：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务）。 5 y( `, C0 |$ E/ g
5 E" ]. _! f" ~5 n- N7 |
端口说明：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务），属于UDP端口，使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求，就可以获取该计算机的名称、注册用户名，以及是否安装主域控制器、IIS是否正在运行等信息。 7 [; Y/ O, m% y* r8 _
- ~, k5 J+ M9 S( t! A2 g. J
端口漏洞：因为是UDP端口，对于攻击者来说，通过发送请求很容易就获取目标计算机的相关信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS服务。另外，通过捕获正在利用137端口进行通信的信息包，还可能得到目标计算机的启动和关闭的时间，这样就可以利用专门的工具来攻击。 & q+ C6 l( i) `& Q  g+ y. y0 j
8 @* Z+ b: y! c7 d: s
操作建议：建议关闭该端口。

魏绪明

139端口：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。 0 ^$ y' D) m, P8 f$ v  p3 `" h+ e3 a
$ h& G# v2 Y4 w9 _( U) U
端口说明：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享，必须使用该服务。比如在Windows 98中，可以打开“控制面板”，双击“网络”图标，在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务；在Windows 2000/XP中，可以打开“控制面板”，双击“网络连接”图标，打开本地连接属性；接着，在属性窗口的“常规”选项卡中选择“Internet协议（TCP/IP）”，单击“属性”按钮；然后在打开的窗口中，单击“高级”按钮；在“高级TCP/IP设置”窗口中选择“WINS”选项卡，在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。
1 N8 ~8 x3 v8 ?, s' l$ X7 I7 z, {
9 v/ @- F# q9 y/ ~1 f0 G端口漏洞：开启139端口虽然可以提供共享服务，但是常常被攻击者所利用进行攻击，比如使用流光、SuperScan等端口扫描工具，可以扫描目标计算机的139端口，如果发现有漏洞，可以试图获取用户名和密码，这是非常危险的。
% r8 z1 o/ _* m- Z- Q) ]3 m/ ~4 `. [2 h5 Z9 ^/ [; `5 c
操作建议：如果不需要提供文件和打印机共享，建议关闭该端口。
' V- l7 F0 \1 w, H
5 [* Z' A7 h, o2 w5 j  m" y( X143端口：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息访问协议，简称IMAP）。
/ z/ u$ {+ H$ y+ k3 g: C
) H9 I% M  E* [; E2 B4 U端口说明：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息访问协议，简称IMAP），和POP3一样，是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接收邮件的情况下，知道信件的内容，方便管理服务器中的电子邮件。不过，相对于POP3协议要负责一些。如今，大部分主流的电子邮件客户端软件都支持该协议。
& ^+ v1 A7 b0 P
5 X$ u/ o' M. |# T4 n  z; F: E端口漏洞：同POP3协议的110端口一样，IMAP使用的143端口也存在缓冲区溢出漏洞，通过该漏洞可以获取用户名和密码。另外，还有一种名为“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。   h, X$ J' \6 u6 b" W' v+ S

7 s$ e6 ^# m/ P& H+ ~! f  A9 E" `操作建议：如果不是使用IMAP服务器操作，应该将该端口关闭。   t, ?( {4 A# Q! ]+ L; C
. L- {/ Y' S* l8 @( K9 \1 j
161端口：161端口是用于“Simple Network Management Protocol”（简单网络管理协议，简称SNMP）。 $ x  [4 {9 k5 X7 y7 }# P

) I$ K8 W) Y* j$ z端口说明：161端口是用于“Simple Network Management Protocol”（简单网络管理协议，简称SNMP），该协议主要用于管理TCP/IP网络中的网络协议，在Windows中通过SNMP服务可以提供关于TCP/IP网络上主机以及各种网络设备的状态信息。目前，几乎所有的网络设备厂商都实现对SNMP的支持。

魏绪明

443端口：443端口即网页浏览端口，主要是用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP。
5 T/ J% i3 \2 t0 J, i+ B7 O+ A9 M- f
端口说明：443端口即网页浏览端口，主要是用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站，比如银行、证券、购物等，都采用HTTPS服务，这样在这些网站上的交换信息其他人都无法看到，保证了交易的安全性。网页的地址以https://开始，而不是常见的http://。 / T+ S3 R/ |- O0 l
0 W6 J$ e4 G% d2 k3 K
端口漏洞：HTTPS服务一般是通过SSL（安全套接字层）来保证安全性的，但是SSL漏洞可能会受到黑客的攻击，比如可以黑掉在线银行系统，盗取信用卡账号等。 2 |' {: v8 R. o6 q# W( D; W

  P' r- G/ Q% M6 }) a0 k5 E操作建议：建议开启该端口，用于安全性网页的访问。另外，为了防止黑客的攻击，应该及时安装微软针对SSL漏洞发布的最新安全补丁。
+ r/ ?: S- S, b# B# Y; p. p3 h/ X* q' n) n; _& R/ V
554端口：554端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP）。 ' m8 p4 z0 s: ^" s

5 ]+ c0 Q* h1 e  h端口说明：554端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP），该协议是由RealNetworks和Netscape共同提出的，通过RTSP协议可以借助于Internet将流媒体文件传送到RealPlayer中播放，并能有效地、最大限度地利用有限的网络带宽，传输的流媒体文件一般是Real服务器发布的，包括有.rm、.ram。如今，很多的下载软件都支持RTSP协议，比如FlashGet、影音传送带等等。

ˇ貓|ぢ.

too much.... >.<