本文详细介绍了网络中端口的分配原则,特别是1024以下的保留端口及动态端口的使用情况。文章列举了多个常见服务的端口号,并提供了检查潜在木马感染的方法,通过netstat命令监测特定端口的连接。
端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。参见1.9。
常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。
Server Client 服务描述
1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
20/tcp 动态 FTP FTP服务器传送文件的端口 53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。
27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一 端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
61000以上动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP Masquerade)
为了发现你的机器是否被种了木马,运行“NETSTAT -an”。查看是否出现下列端口的连接。 Port Trojan 555 phAse zero 1243 Sub-7, SubSeven 3129 Masters Paradise 6670 DeepThroat 6711 Sub-7, SubSeven 6969 GateCrasher 21544 GirlFriend 12345 NetBus 23456 EvilFtp 27374 Sub-7, SubSeven 30100 NetSphere 31789 Hack‘a‘Tack 31337 BackOrifice, and many others 50505 Sockets de Troie
常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。
Server Client 服务描述
1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
20/tcp 动态 FTP FTP服务器传送文件的端口 53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。
27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一 端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
61000以上动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP Masquerade)
为了发现你的机器是否被种了木马,运行“NETSTAT -an”。查看是否出现下列端口的连接。 Port Trojan 555 phAse zero 1243 Sub-7, SubSeven 3129 Masters Paradise 6670 DeepThroat 6711 Sub-7, SubSeven 6969 GateCrasher 21544 GirlFriend 12345 NetBus 23456 EvilFtp 27374 Sub-7, SubSeven 30100 NetSphere 31789 Hack‘a‘Tack 31337 BackOrifice, and many others 50505 Sockets de Troie
端口详解(3)-源端口(转)
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/7178747/viewspace-161998/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/7178747/viewspace-161998/
扫一扫
565
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
