計算機"端口"是英文port的義譯,可以認為是計算機與外界通訊交流的出口。其中硬件領域的端口又稱接口,如:USB端口、串行端口等。軟件領域的端口壹般指網絡中面向連接服務和無連接服務的通信協議端口,是壹種抽象的軟件結構,包括壹些數據結構和I/O(基本輸入輸出)緩沖區。
可以先了解面向連接和無連接協議(Connection-OrientedandConnectionlessProtocols)面向連接服務的主要特點有:面向連接服務要經過三個階段:數據傳數前,先建立連接,連接建立後再傳輸數據,數據傳送完後,釋放連接。面向連接服務,可確保數據傳送的次序和傳輸的可靠性。無連接服務的特點是:無連接服務只有傳輸數據階段。消除了除數據通信外的其它開銷。只要發送實體是活躍的,無須接收實體也是活躍的。它的優點是靈活方便、迅速,特別適合於傳送少量零星的報文,但無連接服務不能防止報文的丟失、重復或失序。
區分"面向連接服務"和"無連接服務"的概念,特別簡單、形象的例子是:打電話和寫信。兩個人如果要通電話,必須先建立連接--撥號,等待應答後才能相互傳遞信息,最後還要釋放連接--掛電話。寫信就沒有那麽復雜了,地址姓名填好以後直接往郵筒壹扔,收信人就能收到。TCP/IP協議在網絡層是無連接的(數據包只管往網上發,如何傳輸和到達以及是否到達由網絡設備來管理)。而"端口",是傳輸層的內容,是面向連接的。協議裏面低於1024的端口都有確切的定義,它們對應著因特網上常見的壹些服務。
這些常見的服務可以劃分為使用TCP端口(面向連接如打電話)和使用UDP端口(無連接如寫信)兩種。
網絡中可以被命名和尋址的通信端口是操作系統的壹種可分配資源。由網絡OSI(開放系統互聯參考模型,OpenSystemInterconnectionReferenceModel)七層協議可知,傳輸層與網絡層最大的區別是傳輸層提供進程通信能力,網絡通信的最終地址不僅包括主機地址,還包括可描述進程的某種標識。所以TCP/IP協議提出的協議端口,可以認為是網絡通信進程的壹種標識符。
應用程序(調入內存運行後壹般稱為:進程)通過系統調用與某端口建立連接(binding,綁定)後,傳輸層傳給該端口的數據都被相應的進程所接收,相應進程發給傳輸層的數據都從該端口輸出。在TCP/IP協議的實現中,端口操作類似於壹般的I/O操作,進程獲取壹個端口,相當於獲取本地唯壹的I/O文件,可以用壹般的讀寫方式訪問類似於文件描述符,每個端口都擁有壹個叫端口號的整數描述符,用來區別不同的端口。由於TCP/IP傳輸層的TCP和UDP兩個協議是兩個完全獨立的軟件模塊,因此各自的端口號也相互獨立。如TCP有壹個255號端口,UDP也可以有壹個255號端口,兩者並不沖突。端口號有兩種基本分配方式:第壹種叫全局分配這是壹種集中分配方式,由壹個公認權威的中央機構根據用戶需要進行統壹分配,並將結果公布於眾,第二種是本地分配,又稱動態連接,即進程需要訪問傳輸層服務時,向本地操作系統提出申請,操作系統返回本地唯壹的端口號,進程再通過合適的系統調用,將自己和該端口連接起來(binding,綁定)。TCP/IP端口號的分配綜合了以上兩種方式,將端口號分為兩部分,少量的作為保留端口,以全局方式分配給服務進程。每壹個標準服務器都擁有壹個全局公認的端口叫周知口,即使在不同的機器上,其端口號也相同。剩余的為自由端口,以本地方式進行分配。TCP和UDP規定,小於256的端口才能作為保留端口。
按端口號可分為3大類:
(1)公認端口(WellKnownPorts):從0到1023,它們緊密綁定(binding)於壹些服務。通常這些端口的通訊明確表明了某種服務的協議。例如:80端口實際上總是HTTP通訊。
(2)註冊端口(RegisteredPorts):從1024到49151。它們松散地綁定於壹些服務。也就是說有許多服務綁定於這些端口,這些端口同樣用於許多其它目的。例如:許多系統處理動態端口從1024左右開始。
(3)動態和/或私有端口(Dynamicand/orPrivatePorts):從49152到65535。理論上,不應為服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也有例外:SUN的RPC端口從32768開始。
系統管理員可以"重定向"端口:壹種常見的技術是把壹個端口重定向到另壹個地址。例如默認的HTTP端口是80,不少人將它重定向到另壹個端口,如8080。如果是這樣改了,要訪問本文就應改用這個地址:8080。
端口漏洞:8080端口可以被各種病毒程序所利用,比如Brown Orifice(BrO)特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機。另外,RemoConChubo,RingZero木馬也可以利用該端口進行攻擊。
操作建議:壹般我們是使用80端口進行網頁瀏覽的,為了避免病毒的攻擊,我們可以關閉該端口。
端口:21
服務:FTP
說明:FTP服務器所開放的端口,用於上傳、下載。最常見的攻擊者用於尋找打開anonymous的FTP服務器的方法。這些服務器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的端口。
端口:22
服務:Ssh
說明:PcAnywhere建立的TCP和這壹端口的連接可能是為了尋找ssh。這壹服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
端口:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這壹端口是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個端口。
端口:25
服務:SMTP
說明:SMTP服務器所開放的端口,用於發送郵件。入侵者尋找SMTP服務器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL服務器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口。
端口:80
服務:HTTP
說明:用於網頁瀏覽。木馬Executor開放此端口。
端口:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
端口:109
服務:Post Office Protocol -Version3
說明:POP3服務器開放此端口,用於接收郵件,客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交 換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸後還有其他緩沖區溢出錯誤。
端口:110
服務:SUN公司的RPC服務所有端口
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個端口的連接通常是人們在尋找USENET服務器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務器,匿名發帖或發送SPAM。
端口:135
服務:Location Service
說明:Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper註冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個端口是為了找到這個計算機上運行Exchange Server嗎?什麽版本?還有些DOS攻擊直接針對這個端口。
端口:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP端口,當通過網上鄰居傳輸文件時用這個端口。而139端口:通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於windows文件和打印機***享和SAMBA。還有WINS Regisrtation也用它。
端口:161
服務:SNMP
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在數據庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網絡
什麽是端口?
在開始講什麽是端口之前,我們先來聊壹聊什麽是 port 呢?常常在網絡上聽說『我的主機開了多少的 port ,會不會被入侵呀!?』或者是說『開那個 port 會比較安全?又,我的服務應該對應什麽 port 呀!?』呵呵!很神奇吧!怎麽壹部主機上面有這麽多的奇怪的 port 呢?這個 port 有什麽作用呢?!
由於每種網絡的服務功能都不相同,因此有必要將不同的封包送給不同的服務來處理,所以啰,當妳的主機同時開啟了 FTP 與 WWW 服務的時候,那麽別人送來的資料封包,就會依照 TCP 上面的 port 號碼來給 FTP 這個服務或者是 WWW 這個服務來處理,當然就不會搞亂啰!(註:嘿嘿!有些很少接觸到網絡的朋友,常常會問說:『咦!為什麽妳的計算機同時有 FTP、WWW、E-Mail 這麽多服務,但是人家傳資料過來,妳的計算機怎麽知道如何判斷?計算機真的都不會誤判嗎?!』現在知道為什麽了嗎?!對啦!就是因為 port 不同嘛!妳可以這樣想啦,有壹天,妳要去銀行存錢,那個銀行就可以想成是『主機』,然後,銀行當然不可能只有壹種業務,裏頭就有相當多的窗口,那麽妳壹進大門的時候,在門口的服務人員就會問妳說:『嗨!妳好呀!妳要做些什麽事?』妳跟他說:『我要存錢呀!』,服務員接著就會告訴妳:『喝!那麽請前往三號窗口!那邊的人員會幫您服務!』這個時候妳總該不會往其它的窗口跑吧?! ""這些窗口就可以想成是『 port 』啰!所以啦!每壹種服務都有特定的 port 在監聽!您無須擔心計算機會誤判的問題呦!)
· 每壹個 TCP 聯機都必須由壹端(通常為 client )發起請求這個 port 通常是隨機選擇大於 1024 以上的 port 號來進行!其 TCP 封包會將(且只將) SYN 旗標設定起來!這是整個聯機的第壹個封包;
· 如果另壹端(通常為 Server ) 接受這個請求的話(當然啰,特殊的服務需要以特殊的 port 來進行,例如 FTP 的 port 21 ),則會向請求端送回整個聯機的第二個封包!其上除了 SYN 旗標之外同時還將 ACK 旗標也設定起來,並同時時在本機端建立資源以待聯機之需;
· 然後,請求端獲得服務端第壹個響應封包之後,必須再響應對方壹個確認封包,此時封包只帶 ACK 旗標(事實上,後繼聯機中的所有封包都必須帶有 ACK 旗標);
· 只有當服務端收到請求端的確認( ACK )封包(也就是整個聯機的第三個封包)之後,兩端的聯機才能正式建立。這就是所謂的 TCP 聯機的'三段式交握( Three-Way Handshake )'的原理。
經過三向交握之後,呵呵!妳的 client 端的 port 通常是高於 1024 的隨機取得的 port 至於主機端則視當時的服務是開啟哪壹個 port 而定,例如 WWW 選擇 80 而 FTP 則以 21 為正常的聯機信道!
總而言之,我們這裏所說的端口,不是計算機硬件的I/O端口,而是軟件形式上的概念.工具提供服務類型的不同,端口分為兩種,壹種是TCP端口,壹種是UDP端口。計算機之間相互通信的時候,分為兩種方式:壹種是發送信息以後,可以確認信息是否到達,也就是有應答的方式,這種方式大多采用TCP協議;壹種是發送以後就不管了,不去確認信息是否到達,這種方式大多采用UDP協議。對應這兩種協議的服務提供的端口,也就分為TCP端口和UDP端口。
那麽,如果攻擊者使用軟件掃描目標計算機,得到目標計算機打開的端口,也就了解了目標計算機提供了那些服務。我們都知道,提供服務就壹定有服務軟件的漏洞,根據這些,攻擊者可以達到對目標計算機的初步了解。如果計算機的端口打開太多,而管理者不知道,那麽,有兩種情況:壹種是提供了服務而管理者沒有註意,比如安裝IIS的時候,軟件就會自動增加很多服務,而管理員可能沒有註意到;壹種是服務器被攻擊者安裝木馬,通過特殊的端口進行通信。這兩種情況都是很危險的,說到底,就是管理員不了解服務器提供的服務,減小了系統安全系數。
//////////////////////////////////////////////////////////////////////////////////
什麽是“端口”?
在網絡技術中,端口(Port)有好幾種意思。集線器、交換機、路由 器的端口指的是連接其他網絡設備的接口,如RJ-45端口、Serial端口等。我們 這裏所指的端口不是指物理意義上的端口,而是特指TCP/IP協議中的端口,是邏 輯意義上的端口。
那麽TCP/IP協議中的端口指的是什麽呢?如果把IP地址比作壹間房子 ,端口就是出入這間房子的門。真正的房子只有幾個門,但是壹個IP地址的端口 可以有65536個之多!端口是通過端口號來標記的,端口號只有整數,範圍是從0 到65535。
端口有什麽用呢?我們知道,壹臺擁有IP地址的主機可以提供許多服 務,比如Web服務、FTP服務、SMTP服務等,這些服務完全可以通過1個IP地址來 實現。那麽,主機是怎樣區分不同的網絡服務呢?顯然不能只靠IP地址,因為IP 地址與網絡服務的關系是壹對多的關系。實際上是通過“IP地址+端口號”來區 分不同的服務的。
需要註意的是,端口並不是壹壹對應的。比如妳的電腦作為客戶機訪 問壹臺WWW服務器時,WWW服務器使用“80”端口與妳的電腦通信,但妳的電腦則 可能使用“3457”這樣的端口,如圖1所示。
按對應的協議類型,端口有兩種:TCP端口和UDP端口。由於TCP和UDP 兩個協議是獨立的,因此各自的端口號也相互獨立,比如TCP有235端口,UDP也 可以有235端口,兩者並不沖突。
1.周知端口(Well Known Ports)
周知端口是眾所周知的端口號,範圍從0到1023,其中80端口分配給W WW服務,21端口分配給FTP服務等。我們在IE的地址欄裏輸入壹個網址的時候( 比如www.cce.com.cn)是不必指定端口號的,因為在默認情況下WWW服務的端口 號是“80”。
網絡服務是可以使用其他端口號的,如果不是默認的端口號則應該在 地址欄上指定端口號,方法是在地址後面加上冒號“:”(半角),再加上端口 號。比如使用“8080”作為WWW服務的端口,則需要在地址欄裏輸入“www.cce.com.cn:8080”。
但是有些系統協議使用固定的端口號,它是不能被改變的,比如139 端口專門用於NetBIOS與TCP/IP之間的通信,不能手動改變。
2.動態端口(Dynamic Ports)
動態端口的範圍是從1024到65535。之所以稱為動態端口,是因為它 壹般不固定分配某種服務,而是動態分配。動態分配是指當壹個系統進程或應用 程序進程需要網絡通信時,它向主機申請壹個端口,主機從可用的端口號中分配 壹個供它使用。當這個進程關閉時,同時也就釋放了所占用的端口號。
怎樣查看端口
壹臺服務器有大量的端口在使用,怎麽來查看端口呢?有兩種方式: 壹種是利用系統內置的命令,壹種是利用第三方端口掃描軟件。
1.用“netstat -an”查看端口狀態
在Windows 2000/XP中,可以在命令提示符下使用“netstat -an”查 看系統端口狀態,可以列出系統正在開放的端口號及其狀態.
2.用第三方端口掃描軟件
第三方端口掃描軟件有許多,界面雖然千差萬別,但是功能卻是類似 的。這裏以“Fport” (可到/tools/index.php?type_t=7或/soft/cce下載)為例講解。“Fport”在命令提示符下使用,運行結果 與“netstat -an”相似,但是它不僅能夠列出正在使用的端口號及類型,還可 以列出端口被哪個應用程序使用.