~端口分类调研~

        端口，是英文port的意译，可以认为是设备与外界通讯交流的出口（CPU通过接口寄存器或特定电路与外设进行数据传送，这些寄存器或特定电路称之为端口）。端口可分为虚拟端口和物理端口，其中虚拟端口指计算机内部或交换机路由器内的端口，并不可见；物理端口又称为接口，是可见端口。

0.有效端口范围

   有效端口的范围为0~65535。

1.端口分类

a. 硬件端口

    硬件领域的端口又称接口，如：并行端口、串行端口等。

b. 网络端口

    在网络技术中，集线器、交换机、路由器的端口指的是连接其他网络设备的接口，如RJ-45端口等。我们 这里所指的端口特指TCP/IP协议中的端口，是逻辑意义上的端口。

c. 软件端口 

    主要是指缓冲区。

 

2.按端口号分类：

1.周知端口

    顾名思义，周知端口为众所周知的端口号，范围为0~1023。

2.注册端口

    该类端口主要用于分配给用户进程或应用程序。进程主要为用户选择安装的一些应用程序，并不是已经分配好公认端口的应用程序，这些端口在未被服务器资源占用的时候可为用户态动态选用，称之为源端口，范围为1024~49151。

3.动态端口

   由于该类端口一般不固定分配某种服务而是动态分配，故称之为动态分配，范围是49152~65535。

 

3.按协议类型分类

a. TCP端口

    TCP：Transmission Control Protocol（传输控制协议）。TCP是一种面向连接（连接导向）的、可靠的、基于字节流的传输层（Transport layer）通信协议，由IETF的RFC 793说明（specified）。在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功能，UDP是同一层内另一个重要的传输协议。

    TCP端口即传输控制协议端口，需要在客户端和服务器之间建立连接，可提供可靠的数据传输。

b. UDP端口

    UDP：User Datagram Protocol（用户数据报协议）。UDP是OSI参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。UDP 协议基本上是IP协议与上层协议的接口。UDP协议适用端口分别运行在同一台设备上的多个应用程序。

    UDP端口即数据用户包协议端口，无须在客户端与服务器之间建立连接，无法保障安全性。

 

4.网络服务常见端口

    端口：0
服务：Reserved
说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。
    端口：7
服务：Echo
说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。
   端口：21
服务：FTP
说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
   端口：22
服务：Ssh
说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。
   端口：23
服务：Telnet
说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
   端口：25
服务：SMTP
说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
   端口：31
服务：MSG Authentication
说明：木马Master Paradise、Hackers Paradise开放此端口。
   端口：42
服务：WINS Replication
说明：WINS复制
   端口：53
服务：Domain Name Server（DNS）
说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
   端口：67
服务：Bootstrap Protocol Server
说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址 255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。
   端口：69
服务：Trival File Transfer
说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。
   端口：79
服务：Finger Server
说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。