本地操作系統會給那些有需求的進程分配協議端口(protocal port,即我們常說的端口),每個協議端口由壹個正整數標識,如:80,139,445,等等。當目的主機接收到數據報後,將根據報文首部的目的端口號,把數據發送到相應端口,而與此端口相對應的那個進程將會領取數據並等待下壹組數據的到來。說到這裏,端口的概念似乎仍然抽象,那麽繼續跟我來,別走開。
端口其實就是隊,操作系統為各個進程分配了不同的隊,數據報按照目的端口被推入相應的隊中,等待被進程取用,在極特殊的情況下,這個隊也是有可能溢出的,不過操作系統允許各進程指定和調整自己的隊的大小。
不光接受數據報的進程需要開啟它自己的端口,發送數據報的進程也需要開啟端口,這樣,數據報中將會標識有源端口,以便接受方能順利的回傳數據報到這個端口。
端口的分類:
在Internet上,按照協議類型分類,端口被分為TCP端口和UDP端口兩類,雖然他們都用正整數標識,但這並不會引起歧義,比如TCP的80端口和UDP的80端口,因為數據報在標明端口的同時,還將標明端口的類型。
從端口的分配來看,端口被分為固定端口和動態端口兩大類(壹些教程還將極少被用到的高端口劃分為第三類:私有端口):
固定端口(0-1023):
使用集中式管理機制,即服從壹個管理機構對端口的指派,這個機構負責發布這些指派。由於這些端口緊綁於壹些服務,所以我們會經常掃描這些端口來判斷對方是否開啟了這些服務,如TCP的21(ftp),80(bios),UDP的7(echo),69(tftp)等等壹些大家熟知的端口;
動態端口(1024-49151):
這些端口並不被固定的捆綁於某壹服務,操作系統將這些端口動態的分配給各個進程,同壹進程兩次分配有可能分配到不同的端口。不過壹些應用程序並不願意使用操作系統分配的動態端口,他們有其自己的‘商標性’端口,如oicq客戶端的4000端口,木馬冰河的7626端口等都是固定而出名的。
端口在入侵中的作用:
有人曾經把服務器比作房子,而把端口比作通向不同房間(服務)的門,如果不考慮細節的話,這是壹個不錯的比喻。入侵者要占領這間房子,勢必要破門而入(物理入侵另說),那麽對於入侵者來說,了解房子開了幾扇門,都是什麽樣的門,門後面有什麽東西就顯得至關重要。
入侵者通常會用掃描器對目標主機的端口進行掃描,以確定哪些端口是開放的,從開放的端口,入侵者可以知道目標主機大致提供了哪些服務,進而猜測可能存在的漏洞,因此對端口的掃描可以幫助我們更好的了解目標主機,而對於管理員,掃描本機的開放端口也是做好安全防範的第壹步。
常見端口的介紹
由於本人知識有限,在這裏只介紹壹些淺顯的內容。
1)21 ftp
此端口開放表示服務器提供了FTP服務,入侵者通常會掃描此端口並判斷是否允許匿名登陸,如果能找到可寫目錄,還可以上傳壹些黑客程序做近壹步入侵。要想關閉此端口,需要關閉FTP服務。
2)23 Telnet
此端口開放表示服務器提供了遠程登陸服務,如果妳有管理員的用戶名和密碼,可以通過這個服務來完全控制主機(不過要先搞定NTLM身份認證),獲得壹個命令行下的shell。許多入侵者喜歡開啟這個服務作為後門。要想關閉此端口,需要關閉Telnet服務。
3)25 smtp
此端口開放表示服務器提供了SMTP服務,壹些不支持身份驗證的服務器允許入侵者發送郵件到任何地點,SMTP服務器(尤其是sendmail)也是進入系統的最常用方法之壹。要想關閉此端口,需要關閉SMTP服務。
4)69 TFTP(UDP)
此端口開放表示服務器提供了TFTP服務,它允許從服務器下載文件,也可以寫入文件,如果管理員錯誤配置,入侵者甚至可以下載密碼文件。許多入侵者通過在自己機器運行此服務來傳文件到目標機器,從而實現文件的傳輸。要想關閉此端口,需要關閉TFTP服務。
5)79 finger
用於獲得用戶信息,查詢操作系統,探測已知的緩沖區溢出錯誤, 回應從自己機器到其它機器finger掃描。
6)80 stat -an
的確,這並不是壹個工具,但他是查看自己所開放端口的最方便方法,在cmd中輸入這個命令就可以了。如下:
C:\>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1027 *:*
UDP 127.0.0.1:1029 *:*
UDP 127.0.0.1:1030 *:*
這是我沒上網的時候機器所開的端口,兩個135和445是固定端口,其余幾個都是動態端口。
2 fport.exe和mport.exe
這也是兩個命令行下查看本地機器開放端口的小程序,其實與netstat -an這個命令大同小異,只不過它能夠顯示打開端口的進程,信息更多壹些而已,如果妳懷疑自己的奇怪端口可能是木馬,那就用他們查查吧。
3 activeport.exe(也稱aports.exe)
還是用來查看本地機器開放端口的東東,除了具有上面兩個程序的全部功能外,他還有兩個更吸引人之處:圖形界面以及可以關閉端口。這對菜鳥來說是個絕對好用的東西,推薦使用喔。
4 superscan3.0
它的大名妳不會沒聽說過吧,純端口掃描類軟件中的NO.1,速度快而且可以指定掃描的端口,不多說了,絕對必備工具。
保護好自己的端口:
剛接觸網絡的朋友壹般都對自己的端口很敏感,總怕自己的電腦開放了過多端口,更怕其中就有後門程序的端口,但由於對端口不是很熟悉,所以也沒有解決辦法,上起網來提心吊膽。其實保護自己的端口並不是那麽難,只要做好下面幾點就行了:
1 查看:經常用命令或軟件查看本地所開放的端口,看是否有可疑端口;
2 判斷:如果開放端口中有妳不熟悉的,應該馬上查找端口大全或木馬常見端口等資料(網上多的很),看看裏面對妳那個可疑端口的作用描述,或者通過軟件查看開啟此端口的進程來進行判斷;
3 關閉:如果真是木馬端口或者資料中沒有這個端口的描述,那麽應該關閉此端口,妳可以用防火墻來屏蔽此端口,也可以用本地連接-TCP/IP-高級-選項-TCP/IP篩選,啟用篩選機制來篩選端口;