网络-02-端口号-linux端口详解大全

⽹络-02-端⼝号-linux端⼝详解⼤全
端⼝详解
1　tcpmux　TCP Port Service Multiplexer 传输控制协议端⼝服务多路开关选择器
2　compressnet　Management Utility compressnet 管理实⽤程序
3　compressnet　Compression Process 压缩进程
5　rje　Remote Job Entry 远程作业登录
7　echo　Echo 回显
9　discard　Discard 丢弃
11　systat　Active Users 在线⽤户
13　daytime　Daytime 时间
17　qotd　Quote of the Day 每*引⽤
18　msp　Message Send Protocol 消息发送协议
19　chargen　Character Generator 字符发⽣器
20　ftp-data　File Transfer [Default Data]　⽂件传输协议(默认数据⼝)　
21　ftp　File Transfer [Control] ⽂件传输协议(控制)
22　ssh　SSH Remote Login Protocol SSH远程登录协议
23　telnet　Telnet 终端仿真协议
24　?　any private mail system 预留给个⼈⽤邮件系统
25　smtp　Simple Mail Transfer 简单邮件发送协议
27　nsw-fe　NSW User System FE NSW ⽤户系统现场⼯程师
29　msg-icp　MSG ICP MSG　ICP
31　msg-auth　MSG Authentication MSG验证
33　dsp　Display Support Protocol 显⽰⽀持协议
35　?　any private printer server 预留给个⼈打印机服务
37　time　Time 时间
38　rap　Route Access Protocol 路由访问协议
39　rlp　Resource Location Protocol 资源定位协议
41　graphics　Graphics 图形
42　nameserver　WINS Host Name Server WINS 主机名服务
43　nicname　Who Is "绰号" who is服务
44　mpm-flags　MPM FLAGS Protocol MPM(消息处理模块)标志协议
45　mpm　Message Processing Module [recv]　消息处理模块　
46　mpm-snd　MPM [default send] 消息处理模块(默认发送⼝)
47　ni-ftp　NI FTP NI FTP
48　auditd　Digital Audit Daemon 数码⾳频后台服务　
49　tacacs　Login Host Protocol (TACACS) TACACS登录主机协议
50　re-mail-ck　Remote Mail Checking Protocol　远程邮件检查协议
51　la-maint　IMP Logical Address Maintenance　IMP(接⼝信息处理机)逻辑地址维护
52　xns-time　XNS Time Protocol 施乐⽹络服务系统时间协议
53　domain　Domain Name Server 域名服务器
54　xns-ch　XNS Clearinghouse 施乐⽹络服务系统票据交换
55　isi-gl　ISI Graphics Language ISI图形语⾔
56　xns-auth　XNS Authentication 施乐⽹络服务系统验证
57　?　any private terminal access 预留个⼈⽤终端访问
58　xns-mail　XNS Mail 施乐⽹络服务系统邮件
59　?　any private file service 预留个⼈⽂件服务
60　?　Unassigned 未定义
61　ni-mail　NI MAIL NI邮件?
62　acas　ACA Services 异步通　
63　whois+ whois+ WHOIS+
64　covia　Communications Integrator (CI)　通讯接⼝　
65　tacacs-ds　TACACS-Database Service TACACS数据库服务
66　sql*net　Oracle SQL*NET Oracle SQL*NET
67　bootps　Bootstrap Protocol Server 引导程序协议服务端
68　bootpc　Bootstrap Protocol Client 引导程序协议客户端
69　tftp　Trivial File Transfer ⼩型⽂件传输协议
70　gopher　Gopher 信息检索协议
71　netrjs-1　Remote Job Service 远程作业服务
72　netrjs-2　Remote Job Service 远程作业服务
73　netrjs-3　Remote Job Service 远程作业服务
74　netrjs-4　Remote Job Service 远程作业服务
75　?　any private dial out service 预留给个⼈拨出服务
76　deos　Distributed External Object Store 分布式外部对象存储　
77　?　any private RJE service 预留给个⼈远程作业输⼊服务
78　vettcp　vettcp 修正TCP?
79　finger　Finger FINGER(查询远程主机在线⽤户等信息)
80　http　World Wide Web HTTP 全球信息⽹超⽂本传输协议
81　hosts2-ns　HOSTS2 Name Server HOST2名称服务
82　xfer　XFER Utility 传输实⽤程序
83　mit-ml-dev　MIT ML Device 模块化智能终端ML设备
84　ctf　Common Trace Facility 公⽤追踪设备
85　mit-ml-dev　MIT ML Device 模块化智能终端ML设备
86　mfcobol　Micro Focus Cobol Micro Focus Cobol编程语⾔
87　?　any private terminal link 预留给个⼈终端连接
88　kerberos　Kerberos Kerberros安全认证系统
89　su-mit-tg　SU/MIT Telnet Gateway SU/MIT终端仿真⽹关
90　dnsix　DNSIX Securit Attribute Token Map　DNSIX 安全属性标记图　
91　mit-dov　MIT Dover Spooler MIT Dover假脱机
92　npp　Network Printing Protocol ⽹络打印协议
93　dcp　Device Control Protocol 设备控制协议
94　objcall　Tivoli Object Dispatcher Tivoli对象调度
95　supdup　SUPDUP
96　dixie　DIXIE Protocol Specification DIXIE协议规范
97　swift-rvf　Swift Remote Virtural File Protocol　快速远程虚拟⽂件协议　
98　tacnews　TAC News TAC(东京⼤学⾃动计算机?)新闻协议 99　metagram　Metagram Relay
101/tcp hostname NIC Host Name Server
102/tcp iso-tsap ISO-TSAP Class 0
103/tcp gppitnp Genesis Point-to-Point Trans Net
104/tcp acr-nema ACR-NEMA Digital Imag. & Comm. 300
105/tcp cso CCSO name server protocol
105/tcp csnet-ns Mailbox Name Nameserver
106/tcp 3com-tsmux 3COM-TSMUX
107/tcp rtelnet Remote Telnet Service
108/tcp snagas SNA Gateway Access Server
109/tcp pop2 Post Office Protocol - Version 2
110/tcp pop3 Post Office Protocol - Version 3
111/tcp sunrpc SUN Remote Procedure Call
112/tcp mcidas McIDAS Data Transmission Protocol
113/tcp ident
114/tcp audionews Audio News Multicast
115/tcp sftp Simple File Transfer Protocol
116/tcp ansanotify ANSA REX Notify
117/tcp uucp-path UUCP Path Service
118/tcp sqlserv SQL Services
119/tcp nntp Network News Transfer Protocol
120/tcp cfdptkt CFDPTKT
121/tcp erpc Encore Expedited Remote Pro.Call
122/tcp smakynet SMAKYNET
123/tcp ntp Network Time Protocol
124/tcp ansatrader ANSA REX Trader
125/tcp locus-map Locus PC-Interface Net Map Ser
126/tcp unitary Unisys Unitary Login
127/tcp locus-con Locus PC-Interface Conn Server
128/tcp gss-xlicen GSS X License Verification
129/tcp pwdgen Password Generator Protocol
130/tcp cisco-fna cisco FNATIVE
131/tcp cisco-tna cisco TNATIVE
132/tcp cisco-sys cisco SYSMAINT
133/tcp statsrv Statistics Service
134/tcp ingres-net INGRES-NET Service
135/tcp epmap DCE endpoint resolution
136/tcp profile PROFILE Naming System
137/tcp netbios-ns NETBIOS Name Service
138/tcp netbios-dgm NETBIOS Datagram Service
139/tcp netbios-ssn NETBIOS Session Service
140/tcp emfis-data EMFIS Data Service
141/tcp emfis-cntl EMFIS Control Service
142/tcp bl-idm Britton-Lee IDM
143/tcp imap Internet Message Access Protocol
144/tcp uma Universal Management Architecture
145/tcp uaac UAAC Protocol
146/tcp iso-tp0 ISO-IP0
147/tcp iso-ip ISO-IP
148/tcp jargon Jargon
149/tcp aed-512 AED 512 Emulation Service
150/tcp sql-net SQL-NET
151/tcp hems HEMS
152/tcp bftp Background File Transfer Program
153/tcp sgmp SGMP
154/tcp netsc-prod NETSC
155/tcp netsc-dev NETSC
156/tcp sqlsrv SQL Service
157/tcp knet-cmp KNET/VM Command/Message Protocol
158/tcp pcmail-srv PCMail Server
159/tcp nss-routing NSS-Routing
160/tcp sgmp-traps SGMP-TRAPS
161/tcp snmp SNMP
162/tcp snmptrap SNMPTRAP
163/tcp cmip-man CMIP/TCP Manager
164/tcp cmip-agent CMIP/TCP Agent
165/tcp xns-courier Xerox
166/tcp s-net Sirius Systems
167/tcp namp NAMP
168/tcp rsvd RSVD
169/tcp send SEND
170/tcp print-srv Network PostScript
171/tcp multiplex Network Innovations Multiplex
172/tcp cl/1 Network Innovations CL/1
173/tcp xyplex-mux Xyplex
174/tcp mailq MAILQ
175/tcp vmnet VMNET
176/tcp genrad-mux GENRAD-MUX
177/tcp xdmcp X Display Manager Control Protocol
178/tcp nextstep NextStep Window Server
179/tcp bgp Border Gateway Protocol
180/tcp ris Intergraph
181/tcp unify Unify
182/tcp audit Unisys Audit SITP
183/tcp ocbinder OCBinder
184/tcp ocserver OCServer
185/tcp remote-kis Remote-KIS
186/tcp kis KIS Protocol
187/tcp aci Application Communication Interface
188/tcp mumps Plus Five磗 MUMPS
189/tcp qft Queued File Transport
190/tcp gacp Gateway Access Control Protocol
191/tcp prospero Prospero Directory Service
192/tcp osu-nms OSU Network Monitoring System
193/tcp srmp Spider Remote Monitoring Protocol
194/tcp irc Internet Relay Chat Protocol
195/tcp dn6-nlm-aud DNSIX Network Level Module Audit
196/tcp dn6-smm-red DNSIX Session Mgt Module Audit Redir 197/tcp dls Directory Location Service
198/tcp dls-mon Directory Location Service Monitor
199/tcp smux SMUX
200/tcp src IBM System Resource Controller
201/tcp at-rtmp AppleTalk Routing Maintenance
202/tcp at-nbp AppleTalk Name Binding
203/tcp at-3 AppleTalk Unused
204/tcp at-echo AppleTalk Echo
205/tcp at-5 AppleTalk Unused
206/tcp at-zis AppleTalk Zone Information
207/tcp at-7 AppleTalk Unused
208/tcp at-8 AppleTalk Unused
209/tcp qmtp The Quick Mail Transfer Protocol
210/tcp z39.50 ANSI Z39.50
211/tcp 914c/g Texas Instruments 914C/G Terminal
212/tcp anet ATEXSSTR
214/tcp vmpwscs VM PWSCS
215/tcp softpc Insignia Solutions
216/tcp CAIlic Computer Associates Int磍 License Server
217/tcp dbase dBASE Unix
218/tcp mpp Netix Message Posting Protocol
219/tcp uarps Unisys ARPs
220/tcp imap3 Interactive Mail Access Protocol v3
221/tcp fln-spx Berkeley rlogind with SPX auth
222/tcp rsh-spx Berkeley rshd with SPX auth
223/tcp cdc Certificate Distribution Center
242/tcp direct Direct
243/tcp sur-meas Survey Measurement
244/tcp dayna Dayna
245/tcp link LINK
246/tcp dsp3270 Display Systems Protocol
247/tcp subntbcst_tftp SUBNTBCST_TFTP
248/tcp bhfhs bhfhs
256/tcp rap RAP
257/tcp set Secure Electronic Transaction
258/tcp yak-chat Yak Winsock Personal Chat
259/tcp esro-gen Efficient Short Remote Operations
260/tcp openport Openport
263/tcp hdap HDAP
264/tcp bgmp BGMP
280/tcp http-mgmt http-mgmt
309/tcp entrusttime EntrustTime
310/tcp bhmds bhmds
312/tcp vslmp VSLMP
315/tcp dpsi DPSI
316/tcp decauth decAuth
317/tcp zannet Zannet
321/tcp pip PIP
344/tcp pdap Prospero Data Access Protocol
345/tcp pawserv Perf Analysis Workbench
346/tcp zserv Zebra server
347/tcp fatserv Fatmen Server
348/tcp csi-sgwp Cabletron Management Protocol
349/tcp mftp mftp
351/tcp matip-type-b MATIP Type B
351/tcp bhoetty bhoetty (added 5/21/97)
353/tcp ndsauth NDSAUTH
354/tcp bh611 bh611
357/tcp bhevent bhevent
362/tcp srssend SRS Send
365/tcp dtk DTK
366/tcp odmr ODMR
368/tcp qbikgdp QbikGDP
371/tcp clearcase Clearcase
372/tcp ulistproc ListProcessor
373/tcp legent-1 Legent Corporation
374/tcp legent-2
以下是bingtang补充：
0 通常⽤于分析操作系统。

这⼀⽅法能够⼯作是因为在⼀些系统中“0”是⽆效端⼝，当你试图使⽤⼀种通常的闭合端⼝连接它时将产⽣不同的结果。

⼀种典型的扫描：使⽤IP地址为0.0.0.0，设置ACK位并在以太⽹层⼴播。

??1 tcpmux 这显⽰有⼈在寻找SGI Irix机器。

Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。

Iris机器在发布时含有⼏个缺省的⽆密码的帐户，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。

许多管理员安装后忘记删除这些帐户。

因此Hacker们在Internet上搜索tcpmux并利⽤这些帐户。

??7 Echo 你能看到许多⼈们搜索Fraggle放⼤器时，发送到x.x.x.0和x.x.x.255的信息。

常见的⼀种DoS攻击是echo循环（echo-loop），攻击者伪造从⼀个机器发送到另⼀个机器的UDP数据包，⽽两个机器分别以它们最快的⽅式回应这些数据包。

另⼀种东西是由DoubleClick在词端⼝建⽴的TCP连接。

有⼀种产品叫做“Resonate Global Dispatch”，它与DNS的这⼀端⼝连接以确定最近的路由。

Harvest/squid cache将从3130端⼝发送UDP echo：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端⼝回应⼀个HIT reply。

”这将会产⽣许多这类数据包。

??11 sysstat 这是⼀种UNIX服务，它会列出机器上所有正在运⾏的进程以及是什么启动了这些进程。

这为⼊侵者提供了许多信息⽽威胁机器的安全，如暴露已知某些弱点或帐户的程序。

这与UNIX系统中“ps”命令的结果相似。

再说⼀遍：ICMP没有端⼝，ICMP port 11通常是ICMP type=11。

??19 chargen 这是⼀种仅仅发送字符的服务。

UDP版本将会在收到UDP包后回应含有垃圾字符的包。

TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。

Hacker利⽤IP欺骗可以发动DoS攻击。

伪造两个chargen服务器之间的UDP包。

由于服务器企图回应两个服务器之间的⽆限的往返数据通讯⼀个chargen和echo将导致服务器过载。

同样fraggle DoS攻击向⽬标地址的这个端⼝⼴播⼀个带有伪造受害者IP 的数据包，受害者为了回应这些数据⽽过载。

??21 ftp 最常见的攻击者⽤于寻找打开“anonymous”的ftp服务器的⽅法。

这些服务器带有可读写的⽬录。

Hackers或Crackers 利⽤这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词⽽避免被搜索引擎分类)的节点。

??22 ssh PcAnywhere 建⽴TCP和这⼀端⼝的连接可能是为了寻找ssh。

这⼀服务有许多弱点。

如果配置成特定的模式，许多使⽤RSAREF库的版本有不少漏洞。

（建议在其它端⼝运⾏ssh）。

还应该注意的是ssh⼯具包带有⼀个称为make-ssh-known-hosts的程序。

它会扫描整个域的ssh主机。

你有时会被使⽤这⼀程序的⼈⽆意中扫描到。

UDP（⽽不是TCP）与另⼀端的5632端⼝相连意味着存在搜索pcAnywhere的扫描。

5632（⼗六进制的0x1600）位交换后是0x0016（使进制的22）。

??23 Telnet ⼊侵者在搜索远程登陆UNIX的服务。

⼤多数情况下⼊侵者扫描这⼀端⼝是为了找到机器运⾏的操作系统。

此外使⽤其它技术，⼊侵者会找到密码。

??25 smtp 攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。

⼊侵者的帐户总被关闭，他们需要拨号连接到⾼带宽的e-mail服务器上，将简单的信息传递到不同的地址。

SMTP服务器（尤其是sendmail）是进⼊系统的最常⽤⽅法之⼀，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。

??53 DNS Hacker或crackers可能是试图进⾏区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。

因此防⽕墙常常过滤或记录53端⼝。

需要注意的是你常会看到53端⼝做为UDP源端⼝。

不稳定的防⽕墙通常允许这种通讯并假设这是对DNS查询的回复。

Hacker常使⽤这种⽅法穿透防⽕墙。

??67&68 Bootp和DHCP UDP上的Bootp/DHCP：通过DSL和cable-modem的防⽕墙常会看见⼤量发送到⼴播地址255.255.255.255的数据。

这些机器在向DHCP服务器请求⼀个地址分配。

Hacker常进⼊它们分配⼀个地址把⾃⼰作为局部路由器⽽发起⼤量的“中间⼈”（man-in-middle）攻击。

客户端向68端⼝（bootps）⼴播请求配置，服务器向67端⼝（bootpc）⼴播回应请求。

这种回应使⽤⼴播是因为客户端还不知道可以发送的IP地址。

??69 TFTP(UDP) 许多服务器与bootp⼀起提供这项服务，便于从系统下载启动代码。

但是它们常常错误配置⽽从系统提供任何⽂件，如密码⽂件。

它们也可⽤于向系统写⼊⽂件。

??79 finger Hacker⽤于获得⽤户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从⾃⼰机器到其它机器finger扫描。

??98 linuxconf 这个程序提供linux boxen的简单管理。

通过整合的HTTP服务器在98端⼝提供基于Web界⾯的服务。

它已发现有许多安全问题。

⼀些版本setuid root，信任局域⽹，在/tmp下建⽴Internet可访问的⽂件，LANG环境变量有缓冲区溢出。

此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍⽬录等）
??109 POP2 并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。

在同⼀个服务器上POP3的漏洞在POP2中同样存在。

??110 POP3 ⽤于客户端访问服务器端的邮件服务。

POP3服务有许多公认的弱点。

关于⽤户名和密码交换缓冲区溢出的弱点⾄少有20个（这意味着Hacker可以在真正登陆前进⼊系统）。

成功登陆后还有其它缓冲区溢出错误。

??111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。

访问portmapper是扫描系统查看允许哪些RPC服务的最早的⼀步。

常见RPC服务有：rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。

⼊侵者发现了允许的RPC服务将转向提供服务的特定端⼝测试漏洞。

记住⼀定要记录线路中的daemon, IDS, 或sniffer，你可以发现⼊侵者正使⽤什么程序访问以便发现到底发⽣了什么。

??113 Ident auth 这是⼀个许多机器上运⾏的协议，⽤于鉴别TCP连接的⽤户。

使⽤标准的这种服务可以获得许多机器的信息（会被Hacker利⽤）。

但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。

通常如果有许多客户通过防⽕墙访问这些服务，你将会看到许多这个端⼝的连接请求。

记住，如果你阻断这个端⼝客户端会感觉到在防⽕墙另⼀边与e-mail服务器的缓慢连接。

许多防⽕墙⽀持在TCP连接的阻断过程中发回RST，着将回停⽌这⼀缓慢的连接。

??119 NNTP news 新闻组传输协议，承载USENET通讯。

当你链接到诸如：. 的地址时通常使⽤这个端⼝。

这个端⼝的连接企图通常是⼈们在寻找USENET服务器。

多数ISP限制只有他们的客户才能访问他们的新闻组服务器。

打开新闻组服务器将允许发/读任何⼈的帖⼦，访问被限制的新闻组服务器，匿名发帖或发送spam。

??135 oc-serv MS RPC end-point mapper Microsoft在这个端⼝运⾏DCE RPC end-point mapper为它的DCOM服务。

这与UNIX 111端⼝的功能很相似。

使⽤DCOM和/或RPC的服务利⽤机器上的end-point mapper注册它们的位置。

远端客户连接到机器时，它们查询end-point mapper找到服务的位置。

同样Hacker扫描机器的这个端⼝是为了找到诸如：这个机器上运⾏Exchange Server吗？是什么版本？这个端⼝除了被⽤来查询服务（如使⽤epdump）还可以被⽤于直接攻击。

有⼀些DoS攻击直接针对这个端⼝。

??137 NetBIOS name service nbtstat (UDP) 这是防⽕墙管理员最常见的信息。

??139 NetBIOS File and Print Sharing 通过这个端⼝进⼊的连接试图获得NetBIOS/SMB服务。

这个协议被⽤于Windows“⽂件和打印机共享”和SAMBA。

在Internet上共享⾃⼰的硬盘是可能是最常见的问题。

⼤量针对这⼀端⼝始于1999，后来逐渐变少。

2000年⼜有回升。

⼀些VBS（IE5 VisualBasic Scripting）开始将它们⾃⼰拷贝到这个端⼝，试图在这个端⼝繁殖。

??143 IMAP 和上⾯POP3的安全问题⼀样，许多IMAP服务器有缓冲区溢出漏洞运⾏登陆过程中进⼊。

记住：⼀种Linux蠕⾍
（admw0rm）会通过这个端⼝繁殖，因此许多这个端⼝的扫描来⾃不知情的已被感染的⽤户。

当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流⾏起来。

Morris蠕⾍以后这还是第⼀次⼴泛传播的蠕⾍。

这⼀端⼝还被⽤于IMAP2，但并不流⾏。

已有⼀些报道发现有些0到143端⼝的攻击源于脚本。

??161 SNMP(UDP) ⼊侵者常探测的端⼝。

SNMP允许远程管理设备。

所有配置和运⾏信息都储存在数据库中，通过SNMP客获得这些信息。

许多管理员错误配置将它们暴露于Internet。

Crackers将试图使⽤缺省的密码“public”“private”访问系统。

他们可能会试验所有可能的组合。

SNMP包可能会被错误的指向你的⽹络。

Windows机器常会因为错误配置将HP JetDirect remote management软件使⽤SNMP。

HP OBJECT IDENTIFIER将收到SNMP包。

新版的Win98使⽤SNMP解析域名，你会看见这种包在⼦⽹内⼴播（cable modem, DSL）查询sysName和其它信息。

??162 SNMP trap 可能是由于错误配置
??177 xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端⼝。

??513 rwho 可能是从使⽤cable modem或DSL登陆到的⼦⽹中的UNIX机器发出的⼴播。

这些⼈为Hacker进⼊他们的系统提供了很有趣的信息。

??553 CORBA IIOP (UDP) 如果你使⽤cable modem或DSL VLAN，你将会看到这个端⼝的⼴播。

CORBA是⼀种⾯向对象的
RPC（remote procedure call）系统。

Hacker会利⽤这些信息进⼊系统。

??600 Pcserver backdoor 请查看1524端⼝。

⼀些玩script的孩⼦认为他们通过修改ingreslock和pcserver⽂件已经完全攻破了系统-- Alan J. Rosenthal.
??635 mountd Linux的mountd Bug。

这是⼈们扫描的⼀个流⾏的Bug。

⼤多数对这个端⼝的扫描是基于UDP的，但基于TCP的mountd 有所增加（mountd同时运⾏于两个端⼝）。

记住，mountd可运⾏于任何端⼝（到底在哪个端⼝，需要在端⼝111做portmap查询），只是Linux默认为635端⼝，就象NFS通常运⾏于2049端⼝。

??1024 许多⼈问这个端⼝是⼲什么的。

它是动态端⼝的开始。

许多程序并不在乎⽤哪个端⼝连接⽹络，它们请求操作系统为它们分
配“下⼀个闲置端⼝”。

基于这⼀点分配从端⼝1024开始。

这意味着第⼀个向系统请求分配动态端⼝的程序将被分配端⼝1024。

为了验证这⼀点，你可以重启机器，打开Telnet，再打开⼀个窗⼝运⾏“natstat -a”，你将会看到Telnet被分配1024端⼝。

请求的程序越多，动态端⼝也越多。

操作系统分配的端⼝将逐渐变⼤。

再来⼀遍，当你浏览Web页时⽤“netstat”查看，每个Web页需要⼀个新端⼝。

??1025，1026 参见1024
??1080 SOCKS 这⼀协议以管道⽅式穿过防⽕墙，允许防⽕墙后⾯的许多⼈通过⼀个IP地址访问Internet。

理论上它应该只允许内部的通信向外达到Internet。

但是由于错误的配置，它会允许Hacker/Cracker的位于防⽕墙外部的攻击穿过防⽕墙。

或者简单地回应位于Internet 上的计算机，从⽽掩饰他们对你的直接攻击。

WinGate是⼀种常见的Windows个⼈防⽕墙，常会发⽣上述的错误配置。

在加⼊IRC聊天室时常会看到这种情况。

??1114 SQL 系统本⾝很少扫描这个端⼝，但常常是sscan脚本的⼀部分。

??1243 Sub-7⽊马（TCP）
??1524 ingreslock 后门许多攻击脚本将安装⼀个后门Shell于这个端⼝（尤其是那些针对Sun系统中sendmail和RPC服务漏洞的脚本，如statd, ttdbserver和cmsd）。

如果你刚刚安装了你的防⽕墙就看到在这个端⼝上的连接企图，很可能是上述原因。

你可以试试Telnet到你的机器上的这个端⼝，看看它是否会给你⼀个Shell。

连接到600/pcserver也存在这个问题。

??2049 NFS NFS程序常运⾏于这个端⼝。

通常需要访问portmapper查询这个服务运⾏于哪个端⼝，但是⼤部分情况是安装后NFS运⾏于这个端⼝，Hacker/Cracker因⽽可以闭开portmapper直接测试这个端⼝。

??3128 squid 这是Squid HTTP代理服务器的默认端⼝。

攻击者扫描这个端⼝是为了搜寻⼀个代理服务器⽽匿名访问Internet。

你也会看到搜索其它代理服务器的端⼝：8000/8001/8080/8888。

扫描这⼀端⼝的另⼀原因是：⽤户正在进⼊聊天室。

其它⽤户（或服务器本⾝）也会检验这个端⼝以确定⽤户的机器是否⽀持代理。

??5632 pcAnywere 你会看到很多这个端⼝的扫描，这依赖于你所在的位置。

当⽤户打开pcAnywere时，它会⾃动扫描局域⽹C类⽹以寻找可能得代理（译者：指agent⽽不是proxy）。

Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。

⼀些搜寻pcAnywere的扫描常包含端⼝22的UDP数据包。

??6776 Sub-7 artifact 这个端⼝是从Sub-7主端⼝分离出来的⽤于传送数据的端⼝。

例如当控制者通过电话线控制另⼀台机器，⽽被控机器挂断时你将会看到这种情况。

因此当另⼀⼈以此IP拨⼊时，他们将会看到持续的，在这个端⼝的连接企图。

（译者：即看到防⽕墙报告这⼀端⼝的连接企图时，并不表⽰你已被Sub-7控制。

）
??6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端⼝接收⾳频数据流。

这是由TCP7070端⼝外向控制连接设置的。

??13223 PowWow PowWow 是Tribal Voice的聊天程序。

它允许⽤户在此端⼝打开私⼈聊天的连接。

这⼀程序对于建⽴连接⾮常具
有“进攻性”。

它会“驻扎”在这⼀TCP端⼝等待回应。

这造成类似⼼跳间隔的连接企图。

如果你是⼀个拨号⽤户，从另⼀个聊天者⼿中“继承”了IP地址这种情况就会发⽣：好象很多不同的⼈在测试这⼀端⼝。

这⼀协议使⽤“OPNG”作为其连接企图的前四个字节。

??17027 Conducent 这是⼀个外向连接。

这是由于公司内部有⼈安装了带有Conducent "adbot" 的共享软件。

Conducent "adbot"是为共享软件显⽰⼴告服务的。

使⽤这种服务的⼀种流⾏的软件是Pkware。

有⼈试验：阻断这⼀外向连接不会有任何问题，但是封掉IP地址本⾝将会导致adbots持续在每秒内试图连接多次⽽导致连接过载：
机器会不断试图解析DNS名—，即IP地址216.33.210.40 ；216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。

（译者：不知NetAnts使⽤的Radiate是否也有这种现象）
??27374 Sub-7⽊马(TCP)
??30100 NetSphere⽊马(TCP) 通常这⼀端⼝的扫描是为了寻找中了NetSphere⽊马。

??31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚⼒量，精华。

即3=E, 1=L, 7=T）。

因此许多后门程序运⾏于这⼀端⼝。

其中最有名的是Back Orifice。

曾经⼀段时间内这是Internet上最常见的扫描。

现在它的流⾏越来越少，其它的⽊马程序越来越流⾏。

??31789 Hack-a-tack 这⼀端⼝的UDP通讯通常是由于"Hack-a-tack"远程访问⽊马（RAT, Remote Access Trojan）。

这种⽊马包含内置的31790端⼝扫描器，因此任何31789端⼝到317890端⼝的连接意味着已经有这种⼊侵。

（31789端⼝是控制连接，317890端⼝是⽂件传输连接）
??32770~32900 RPC服务 Sun Solaris的RPC服务在这⼀范围内。

详细的说：早期版本的Solaris（2.5.1之前）将portmapper置于这⼀范围内，即使低端⼝被防⽕墙封闭仍然允许Hacker/cracker访问这⼀端⼝。

扫描这⼀范围内的端⼝不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。

??33434~33600 traceroute 如果你看到这⼀端⼝范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。

参见本站相关部分。

374/tcp legent-2 Legent Corporation
375/tcp hassle Hassle
376/tcp nip Amiga Envoy Network Inquiry Proto
377/tcp tnETOS NEC Corporation
378/tcp dsETOS NEC Corporation
379/tcp is99c TIA/EIA/IS-99 modem client
380/tcp is99s TIA/EIA/IS-99 modem server
381/tcp hp-collector hp performance data collector
383/tcp hp-alarm-mgr hp performance data alarm manager
384/tcp arns A Remote Network Server System
385/tcp ibm-app IBM Application
386/tcp asa ASA Message Router Object Def.
387/tcp aurp Appletalk Update-Based Routing Pro.
388/tcp unidata-ldm Unidata LDM Version 4
389/tcp ldap Lightweight Directory Access Protocol
390/tcp uis UIS
391/tcp synotics-relay SynOptics SNMP Relay Port
393/tcp dis Data Interpretation System
394/tcp embl-ndt EMBL Nucleic Data Transfer
395/tcp netcp NETscout Control Protocol
396/tcp netware-ip Novell Netware over IP
397/tcp mptn Multi Protocol Trans. Net.
398/tcp kryptolan Kryptolan
399/tcp iso-tsap-c2 ISO Transport Class 2 Non-Control over TCP 400/tcp work-sol Workstation Solutions
401/tcp ups Uninterruptible Power Supply
402/tcp genie Genie Protocol
403/tcp decap decap
404/tcp nced nced
405/tcp ncld ncld
406/tcp imsp Interactive Mail Support Protocol
407/tcp timbuktu Timbuktu
408/tcp prm-sm Prospero Resource Manager Sys. Man.
409/tcp prm-nm Prospero Resource Manager Node Man.
410/tcp decladebug DECLadebug Remote Debug Protocol
411/tcp rmt Remote MT Protocol
412/tcp synoptics-trap Trap Convention Port
413/tcp smsp SMSP
414/tcp infoseek InfoSeek
415/tcp bnet BNet
416/tcp silverplatter Silverplatter
417/tcp onmux Onmux
418/tcp hyper-g Hyper-G
419/tcp ariel1 Ariel
420/tcp smpte SMPTE
421/tcp ariel2 Ariel
422/tcp ariel3 Ariel
423/tcp opc-job-start IBM Operations Planning and Control Start 424/tcp opc-job-track IBM Operations Planning and Control Track 425/tcp icad-el ICAD
426/tcp smartsdp smartsdp
427/tcp svrloc Server Location
428/tcp ocs_cmu OCS_CMU
429/tcp ocs_amu OCS_AMU
430/tcp utmpsd UTMPSD
431/tcp utmpcd UTMPCD
432/tcp iasd IASD
433/tcp nnsp NNSP
434/tcp mobileip-agent MobileIP-Agent
435/tcp mobilip-mn MobilIP-MN
436/tcp dna-cml DNA-CML
437/tcp comscm comscm
438/tcp dsfgw dsfgw
439/tcp dasp dasp Thomas Obermair
440/tcp sgcp sgcp
441/tcp decvms-sysmgt decvms-sysmgt
442/tcp cvc_hostd cvc_hostd
443/tcp https http protocol over TLS/SSL
444/tcp snpp Simple Network Paging Protocol
445/tcp microsoft-ds Microsoft-DS
446/tcp ddm-rdb DDM-RDB
447/tcp ddm-dfm DDM-RFM
448/tcp ddm-ssl DDM-SSL
449/tcp as-servermap AS Server Mapper
450/tcp tserver TServer
451/tcp sfs-smp-net Cray Network Semaphore server
453/tcp creativeserver CreativeServer
454/tcp contentserver ContentServer
455/tcp creativepartnr CreativePartnr
456/tcp macon-tcp macon-tcp
457/tcp scohelp scohelp
458/tcp appleqtc apple quick time
459/tcp ampr-rcmd ampr-rcmd
460/tcp skronk skronk
461/tcp datasurfsrv DataRampSrv
462/tcp datasurfsrvsec DataRampSrvSec
463/tcp alpes alpes
464/tcp kpasswd kpasswd
465/tcp smtps smtp protocol over TLS/SSL (was ssmtp)
466/tcp digital-vrc digital-vrc
467/tcp mylex-mapd mylex-mapd
468/tcp photuris proturis
469/tcp rcp Radio Control Protocol
470/tcp scx-proxy scx-proxy
471/tcp mondex Mondex
472/tcp ljk-login ljk-login
473/tcp hybrid-pop hybrid-pop
474/tcp tn-tl-w1 tn-tl-w1
475/tcp tcpnethaspsrv tcpnethaspsrv
476/tcp tn-tl-fd1 tn-tl-fd1
477/tcp ss7ns ss7ns
478/tcp spsc spsc
479/tcp iafserver iafserver
480/tcp iafdbase iafdbase
481/tcp ph Ph service
482/tcp bgs-nsi bgs-nsi
483/tcp ulpnet ulpnet
484/tcp integra-sme Integra Software Management Environment 485/tcp powerburst Air Soft Power Burst
486/tcp avian avian
487/tcp saft saft Simple Asynchronous File Transfer
488/tcp gss-http gss-http
489/tcp nest-protocol nest-protocol
490/tcp micom-pfs micom-pfs
491/tcp go-login go-login
492/tcp ticf-1 Transport Independent Convergence for FNA
493/tcp ticf-2 Transport Independent Convergence for FNA
494/tcp pov-ray POV-Ray
495/tcp intecourier intecourier
496/tcp pim-rp-disc PIM-RP-DISC
497/tcp dantz dantz
498/tcp siam siam
499/tcp iso-ill ISO ILL Protocol
500/tcp isakmp isakmp
501/tcp stmf STMF
502/tcp asa-appl-proto asa-appl-proto
503/tcp intrinsa Intrinsa
504/tcp citadel citadel
505/tcp mailbox-lm mailbox-lm
506/tcp ohimsrv ohimsrv
507/tcp crs crs
508/tcp xvttp xvttp
509/tcp snare snare
510/tcp fcp FirstClass Protocol
511/tcp passgo PassGo
512/tcp exec remote process execution;
513/tcp login remote login a la telnet;
514/tcp shell cmd
515/tcp printer spooler
516/tcp videotex videotex
517/tcp talk like tenex link, but across
518/tcp ntalk
519/tcp utime unixtime
520/tcp efs extended file name server
521/tcp ripng ripng
522/tcp ulp ULP
523/tcp ibm-db2 IBM-DB2
524/tcp ncp NCP
525/tcp timed timeserver
526/tcp tempo newdate
527/tcp stx Stock IXChange
528/tcp custix Customer IXChange
529/tcp irc-serv IRC-SERV
530/tcp courier rpc
531/tcp conference chat
532/tcp netnews readnews
533/tcp netwall for emergency broadcasts
534/tcp mm-admin MegaMedia Admin
535/tcp iiop iiop
536/tcp opalis-rdv opalis-rdv
537/tcp nmsp Networked Media Streaming Protocol
538/tcp gdomap gdomap
539/tcp apertus-ldp Apertus Technologies Load Determination 540/tcp uucp uucpd
541/tcp uucp-rlogin uucp-rlogin
542/tcp commerce commerce
543/tcp klogin
544/tcp kshell krcmd
545/tcp appleqtcsrvr appleqtcsrvr
546/tcp dhcpv6-client DHCPv6 Client
547/tcp dhcpv6-server DHCPv6 Server
548/tcp afpovertcp AFP over TCP
549/tcp idfp IDFP
550/tcp new-rwho new-who
551/tcp cybercash cybercash
552/tcp deviceshare deviceshare
553/tcp pirp pirp
554/tcp rtsp Real Time Stream Control Protocol
555/tcp dsf
556/tcp remotefs rfs server
557/tcp openvms-sysipc openvms-sysipc
558/tcp sdnskmp SDNSKMP
559/tcp teedtap TEEDTAP
560/tcp rmonitor rmonitord
561/tcp monitor
562/tcp chshell chcmd
563/tcp nntps nntp protocol over TLS/SSL (was snntp)
564/tcp 9pfs plan 9 file service
565/tcp whoami whoami
566/tcp streettalk streettalk
567/tcp banyan-rpc banyan-rpc
568/tcp ms-shuttle microsoft shuttle
569/tcp ms-rome microsoft rome
570/tcp meter demon
571/tcp meter udemon
572/tcp sonar sonar
573/tcp banyan-vip banyan-vip
574/tcp ftp-agent FTP Software Agent System
575/tcp vemmi VEMMI
576/tcp ipcd ipcd
577/tcp vnas vnas
578/tcp ipdd ipdd
579/tcp decbsrv decbsrv
581/tcp bdp Bundle Discovery Protocol
588/tcp cal CAL
589/tcp eyelink EyeLink
590/tcp tns-cml TNS CML
593/tcp http-rpc-epmap HTTP RPC Ep Map
594/tcp tpip TPIP
596/tcp smsd SMSD
599/tcp acp Aeolon Core Protocol
600/tcp ipcserver Sun IPC server
606/tcp urm Cray Unified Resource Manager
607/tcp nqs nqs
608/tcp sift-uft Sender-Initiated/Unsolicited File Transfer
609/tcp npmp-trap npmp-trap
610/tcp npmp-local npmp-local
611/tcp npmp-gui npmp-gui
613/tcp hmmp-op HMMP Operation
620/tcp sco-websrvrmgr SCO WebServer Manager
621/tcp escp-ip ESCP
625/tcp dec_dlm DEC DLM
626/tcp asia ASIA
628/tcp qmqp QMQP
630/tcp rda RDA
631/tcp ipp IPP (Internet Printing Protocol)
632/tcp bmpp bmpp
634/tcp ginad ginad
635/tcp rlzdbase RLZ DBase
636/tcp ldaps ldap protocol over TLS/SSL (was sldap)
637/tcp lanserver lanserver
639/tcp msdp MSDP
666/tcp doom doom Id Software
667/tcp disclose campaign contribution disclosures - SDR Technologies 668/tcp mecomm MeComm
669/tcp meregister MeRegister
670/tcp vacdsm-sws VACDSM-SWS
671/tcp vacdsm-app VACDSM-APP
672/tcp vpps-qua VPPS-QUA
673/tcp cimplex CIMPLEX
674/tcp acap ACAP
675/tcp dctp DCTP
704/tcp elcsd errlog copy/server daemon
705/tcp agentx AgentX
709/tcp entrust-kmsh Entrust Key Management Service Handler
710/tcp entrust-ash Entrust Administration Service Handler
729/tcp netviewdm1 IBM NetView DM/6000 Server/Client
730/tcp netviewdm2 IBM NetView DM/6000 send/tcp
731/tcp netviewdm3 IBM NetView DM/6000 receive/tcp
741/tcp netgw netGW
742/tcp netrcs Network based Rev. Cont. Sys.
744/tcp flexlm Flexible License Manager
747/tcp fujitsu-dev Fujitsu Device Control
748/tcp ris-cm Russell Info Sci Calendar Manager
749/tcp kerberos-adm kerberos administration
750/tcp rfile
751/tcp pump
752/tcp qrh
753/tcp rrh
754/tcp tell send
758/tcp nlogin
759/tcp con
760/tcp ns
761/tcp rxe
762/tcp quotad
763/tcp cycleserv
764/tcp omserv
765/tcp webster
769/tcp vid
770/tcp cadlock
771/tcp rtip
772/tcp cycleserv2
773/tcp submit
774/tcp rpasswd
776/tcp wpages
780/tcp wpgs
786/tcp concert Concert
787/tcp qsc QSC
801/tcp device
873/tcp rsync rsync
886/tcp iclcnet-locate ICL coNETion locate server
887/tcp iclcnet_svinfo ICL coNETion server info
888/tcp accessbuilder AccessBuilder
900/tcp omginitialrefs OMG Initial Refs
911/tcp xact-backup xact-backup
990/tcp ftps ftp protocol, control, over TLS/SSL
991/tcp nas Netnews Administration System
992/tcp telnets telnet protocol over TLS/SSL
993/tcp imaps imap4 protocol over TLS/SSL
994/tcp ircs irc protocol over TLS/SSL
995/tcp pop3s pop3 protocol over TLS/SSL (was spop3)
996/tcp vsinet vsinet
997/tcp maitrd
998/tcp busboy
999/tcp garcon
1000/tcp cadlock
1010/tcp surf surf
1023/tcp Reserved Reserved
1030/tcp iad1 BBN IAD
1031/tcp iad2 BBN IAD
1032/tcp iad3 BBN IAD
1047/tcp neod1 Sun‘s NEO Object Request Broker
1048/tcp neod2 Sun‘s NEO Object Request Broker
1058/tcp nim nim
1059/tcp nimreg nimreg
1067/tcp instl_boots Installation Bootstrap Proto. Serv.
1068/tcp instl_bootc Installation Bootstrap Proto. Cli.
1080/tcp socks Socks
1083/tcp ansoft-lm-1 Anasoft License Manager
1084/tcp ansoft-lm-2 Anasoft License Manager
1123/tcp murray Murray
1155/tcp nfa Network File Access
1212/tcp lupa lupa
1222/tcp nerv SNI R&D network
1239/tcp nmsd NMSD
1248/tcp hermes
1313/tcp bmc_patroldb BMC_PATROLDB
1314/tcp pdps Photoscript Distributed Printing System
1321/tcp pip PIP
1345/tcp vpjp VPJP
1346/tcp alta-ana-lm Alta Analytics License Manager
1347/tcp bbn-mmc multi media conferencing
1348/tcp bbn-mmx multi media conferencing
1349/tcp sbook Registration Network Protocol
1350/tcp editbench Registration Network Protocol
1352/tcp lotusnote Lotus Note
1353/tcp relief Relief Consulting
1354/tcp rightbrain RightBrain Software
1355/tcp intuitive-edge Intuitive Edge
1356/tcp cuillamartin CuillaMartin Company
1357/tcp pegboard Electronic PegBoard
1358/tcp connlcli CONNLCLI
1359/tcp ftsrv FTSRV
1360/tcp mimer MIMER
1361/tcp linx LinX
1362/tcp timeflies TimeFlies
1363/tcp ndm-requester Network DataMover Requester
1364/tcp ndm-server Network DataMover Server
1365/tcp adapt-sna Network Software Associates
1366/tcp netware-csp Novell NetWare Comm Service Platform 1367/tcp dcs DCS
1368/tcp screencast ScreenCast
1369/tcp gv-us GlobalView to Unix Shell
1370/tcp us-gv Unix Shell to GlobalView
1371/tcp fc-cli Fujitsu Config Protocol
1372/tcp fc-ser Fujitsu Config Protocol
1373/tcp chromagrafx Chromagrafx
1374/tcp molly EPI Software Systems
1375/tcp bytex Bytex
1376/tcp ibm-pps IBM Person to Person Software
1377/tcp cichlid Cichlid License Manager
1378/tcp elan Elan License Manager
1379/tcp dbreporter Integrity Solutions
1380/tcp telesis-licman Telesis Network License Manager
1381/tcp apple-licman Apple Network License Manager
1382/tcp udt_os
1383/tcp gwha GW Hannaway Network License Manager
1384/tcp os-licman Objective Solutions License Manager
1385/tcp atex_elmd Atex Publishing License Manager
1386/tcp checksum CheckSum License Manager
1387/tcp cadsi-lm Computer Aided Design Software Inc LM
1388/tcp objective-dbc Objective Solutions DataBase Cache 1389/tcp iclpv-dm document．nbspManager。