在网路技术中,连线埠(Port)大致有两种意思:一是物理意义上的连线埠,比如,ADSL Modem、集线器、交换机、路由器用于连线其他网路设备的接口,如RJ-45连线埠、SC连线埠等等;二是逻辑意义上的连线埠,一般是指TCP/IP协定中的连线埠,连线埠号的範围从0到65535,比如用于浏览网页服务的80连线埠,用于FTP服务的21连线埠等等。
基本介绍
- 中文名:网路连线埠
- 外文名:port
- 意义:物理或逻辑意义上的连线埠
- 方法:用于网路通信
连线埠含义
软硬体连线埠含义
计算机“连线埠”是英文port的义译,可以认为是计算机与外界通讯交流的出口。其中硬体领域的连线埠又称接口,如:USB连线埠、串列连线埠等。软体领域的连线埠一般指网路中面向连线服务和无连线服务的通信协定连线埠,是一种抽象的软体结构,包括一些数据结构和I/O(基本输入输出)缓冲区。
面向连线服务TCP协定和无连线服务UDP协定使用16bits连线埠号来表示和区别网路中的不同应用程式,网路层协定IP使用特定的协定号(TCP 6,UDP 17)来表示和区别传输层协定。
任何TCP/IP实现所提供的服务都是1-1023之间的连线埠号,这些连线埠号由IANA分配管理。其中,低于255的连线埠号保留用于公共套用;255到1023的连线埠号分配给各个公司,用于特殊套用;对于高于1023的连线埠号,称为临时连线埠号,IANA未做规定。
常用的保留TCP连线埠号有:
HTTP 80,FTP 20/21,Telnet 23,SMTP 25,DNS 53等。
常用的保留UDP连线埠号有:
DNS 53,BootP 67(server)/ 68(client),TFTP 69,SNMP 161等。
每个TCP报文头部都包含源连线埠号(source port)和目的连线埠号(destination port),用于标识和区分源端设备和目的端设备的套用进程。
在TCP/IP协定栈中,源连线埠号和目的连线埠号分别与源IP位址和目的IP位址组成套接字(socket),唯一的确定一条TCP连线。
相对于TCP报文,UDP报文只有少量的栏位:源连线埠号、目的连线埠号、长度、校验和等,各个栏位功能和TCP报文相应栏位一样。
下面以TCP报文为例说明连线埠号的作用:
假设PC1向PC2发起Telnet远程连线,其中目的连线埠号为知名连线埠号23,源连线埠号为1028。源连线埠号没有特别的要求,只需保证该连线埠号在本机上是唯一的。
PC2收到数据包后,根据目的连线埠为23判断出该数据包是Telnet数据包,将数据包转发到上层Telnet协定。
连线埠分类
按连线埠号可分为3大类:
(1)公认连线埠(Well Known Ports):从0到1023,它们紧密绑定(binding)于一些服务。通常这些连线埠的通讯明确表明了某种服务的协定。例如:80连线埠实际上总是HTTP通讯。
(2)注册连线埠(Registered Ports):从1024到49151。它们鬆散地绑定于一些服务。也就是说有许多服务绑定于这些连线埠,这些连线埠同样用于许多其它目的。例如:许多系统处理动态连线埠从1024左右开始。
(3)动态和/或私有连线埠(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些连线埠。实际上,机器通常从1024起分配动态连线埠。但也有例外:SUN的RPC连线埠从32768开始。
各个连线埠的实际用途
一些连线埠常常会被黑客利用,还会被一些木马病毒利用,对计算机系统进行攻击,以下是计算机连线埠的介绍以及防止被黑客攻击的简要办法。
1系连线埠含义
连线埠:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:讯息传输代理。
连线埠:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此连线埠,用于接收邮件,客户端访问伺服器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登入前进入系统。成功登入后还有其他缓冲区溢出错误。
连线埠:110
服务:SUN公司的RPC服务所有连线埠
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
连线埠:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协定,承载USENET通信。这个连线埠的连线通常是人们在寻找USENET伺服器。多数ISP限制,只有他们的客户才能访问他们的新闻组伺服器。打开新闻组伺服器将允许发/读任何人的帖子,访问被限制的新闻组伺服器,匿名发帖或传送SPAM。
连线埠:135
服务:Location Service
说明:Microsoft在这个连线埠运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111连线埠的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连线到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个连线埠是为了找到这个计算机上运行Exchange Server吗?什幺版本?还有些DOS攻击直接针对这个连线埠。
连线埠:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP连线埠,当通过网上邻居传输档案时用这个连线埠。而139连线埠:通过这个连线埠进入的连线试图获得NetBIOS/SMB服务。这个协定被用于windows档案和印表机共享和SAMBA。还有WINS Regisrtation也用它。
连线埠:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在资料库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网路
连线埠:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000连线埠。
2系连线埠含义
连线埠:21
服务:FTP
说明:FTP伺服器所开放的连线埠,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP伺服器的方法。这些伺服器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的连线埠。
连线埠:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一连线埠的连线可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
连线埠:23
服务:Telnet
说明:远程登录,入侵者在搜寻远程登录UNIX的服务。大多数情况下扫描这一连线埠是为了找到机器运行的作业系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个连线埠。黑客行为经常利用这个连线埠。
连线埠:25
服务:SMTP
说明:SMTP伺服器所开放的连线埠,用于传送邮件。入侵者寻找SMTP伺服器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连线到高频宽的E-MAIL伺服器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个连线埠。
3系连线埠含义
连线埠:389
服务:LDAP、ILS
说明:轻型目录访问协定和NetMeeting Internet Locator Server共用这一连线埠。
4系连线埠含义
连线埠:443
服务:Https
说明:网页浏览连线埠,能提供加密和通过安全连线埠传输的另一种HTTP。
连线埠:456
服务:[NULL]
说明:木马HACKERS PARADISE开放此连线埠。
5系连线埠含义
连线埠:513
服务:Login,remote login
说明:是从使用cable modem或DSL登入到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
连线埠:544
服务:[NULL]
说明:kerberos kshell
连线埠:548
服务:Macintosh,File Services(AFP/IP)
说明:Macintosh,档案服务。
连线埠:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个连线埠的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
连线埠:555
服务:DSF
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此连线埠。
连线埠:568
服务:Membership DPA
说明:成员资格 DPA。
连线埠:569
服务:Membership MSN
说明:成员资格 MSN。
6系连线埠含义
连线埠:635
服务:mountd
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个连线埠的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个连线埠)。记住mountd可运行于任何连线埠(到底是哪个连线埠,需要在连线埠111做portmap查询),只是Linux默认连线埠是635,就像NFS通常运行于2049连线埠。
连线埠:636
服务:LDAP
说明:SSL(Secure Sockets layer)
连线埠:666
服务:Doom Id Software
说明:木马Attack FTP、Satanz Backdoor开放此连线埠。
8系连线埠含义
连线埠:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此连线埠。
8080连线埠
连线埠说明:8080连线埠同80连线埠,是被用于WWW代理服务的,可以实现网页浏览,经常在访问某个网站或使用代理伺服器的时候,会加上“:8080”连线埠号。
连线埠漏洞:8080连线埠可以被各种病毒程式所利用,比如Brown Orifice(BrO)特洛伊木马病毒可以利用8080连线埠完全遥控被感染的计算机。另外,RemoConChubo,RingZero木马也可以利用该连线埠进行攻击。
操作建议:一般我们是使用80连线埠进行网页浏览的,为了避免病毒的攻击,我们可以关闭该连线埠。
9系连线埠含义
连线埠:993
服务:IMAP
说明:SSL(Secure Sockets layer)
10系连线埠含义
连线埠:1001、1011
服务:[NULL]
说明:木马Silencer、WebEx开放1001连线埠。木马Doly Trojan开放1011连线埠。
连线埠:1024
服务:Reserved
说明:它是动态连线埠的开始,许多程式并不在乎用哪个连线埠连线网路,它们请求系统为它们分配下一个闲置连线埠。基于这一点分配从连线埠1024开始。这就是说第一个向系统发出请求的会分配到1024连线埠。你可以重启机器,打开Telnet,再打开一个视窗运行netstat -a 将会看到Telnet被分配1024连线埠。还有SQL session也用此连线埠和5000连线埠。
连线埠:1025、1033
服务:1025:network blackjack 1033:[NULL]
说明:木马netspy开放这2个连线埠。
连线埠:1080
服务:SOCKS
说明:这一协定以通道方式穿过防火墙,允许防火墙后面的人通过一个IP位址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。
11系连线埠含义
连线埠:1170
服务:[NULL]
说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此连线埠。
12系连线埠含义
连线埠:1234、1243、6711、6776
服务:[NULL]
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776连线埠。木马SubSeven1.0/1.9开放1243、6711、6776连线埠。
连线埠:1245
服务:[NULL]
说明:木马Vodoo开放此连线埠。
14系连线埠含义
连线埠:1433
服务:SQL
说明:Microsoft的SQL服务开放的连线埠。
连线埠:1492
服务:stone-design-1
说明:木马FTP99CMP开放此连线埠。
15系连线埠含义
连线埠:1500
服务:RPC client fixed port session queries
说明:RPC客户固定连线埠会话查询
连线埠:1503
服务:NetMeeting T.120
说明:NetMeeting T.120
连线埠:1524
服务:ingress
说明:许多攻击脚本将安装一个后门SHELL于这个连线埠,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个连线埠上的连线企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个连线埠,看看它是否会给你一个SHELL。连线到600/pcserver也存在这个问题。
16系连线埠含义
连线埠:1600
服务:issd
说明:木马Shivka-Burka开放此连线埠。
17系连线埠含义
连线埠:1720
服务:NetMeeting
说明:NetMeeting H.233 call Setup。
连线埠:1731
服务:NetMeeting Audio Call Control
说明:NetMeeting音频调用控制。
18系连线埠含义
连线埠:1807
服务:[NULL]
说明:木马SpySender开放此连线埠。
19系连线埠含义
连线埠:1981
服务:[NULL]
说明:木马ShockRave开放此连线埠。
连线埠:1999
服务:cisco identification port
说明:木马BackDoor开放此连线埠。
20系连线埠含义
连线埠:2000
服务:[NULL]
说明:木马GirlFriend 1.3、Millenium 1.0开放此连线埠。
连线埠:2001
服务:[NULL]
说明:木马Millenium 1.0、Trojan Cow开放此连线埠。
连线埠:2023
服务:xinuexpansion 4
说明:木马Pass Ripper开放此连线埠。
连线埠:2049
服务:NFS
说明:NFS程式常运行于这个连线埠。通常需要访问Portmapper查询这个服务运行于哪个连线埠。
21系连线埠含义
连线埠:2115
服务:[NULL]
说明:木马Bugs开放此连线埠。
连线埠:2140、3150
服务:[NULL]
说明:木马Deep Throat 1.0/3.0开放此连线埠。
25系连线埠含义
连线埠:2500
服务:RPC client using a fixed port session replication
说明:套用固定连线埠会话複製的RPC客户
连线埠:2583
服务:[NULL]
说明:木马Wincrash 2.0开放此连线埠。
28系连线埠含义
连线埠:2801
服务:[NULL]
说明:木马Phineas Phucker开放此连线埠。
30系连线埠含义
连线埠:3024、4092
服务:[NULL]
说明:木马WinCrash开放此连线埠。
31系连线埠含义
连线埠:3128
服务:squid
说明:这是squid HTTP代理伺服器的默认连线埠。攻击者扫描这个连线埠是为了搜寻一个代理伺服器而匿名访问Internet。也会看到搜寻其他代理伺服器的连线埠8000、8001、8080、8888。扫描这个连线埠的另一个原因是用户正在进入聊天室。其他用户也会检验这个连线埠以确定用户的机器是否支持代理。
连线埠:3129
服务:[NULL]
说明:木马Master Paradise开放此连线埠。
连线埠:3150
服务:[NULL]
说明:木马The Invasor开放此连线埠。
32系连线埠含义
连线埠:3210、4321
服务:[NULL]
说明:木马SchoolBus开放此连线埠
33系连线埠含义
连线埠:3333
服务:dec-notes
说明:木马Prosiak开放此连线埠
连线埠:3389
服务:超级终端
说明:WINDOWS 2000终端开放此连线埠。
37系连线埠含义
连线埠:3700
服务:[NULL]
说明:木马Portal of Doom开放此连线埠
39系连线埠含义
连线埠:3996、4060
服务:[NULL]
说明:木马RemoteAnything开放此连线埠
40系连线埠含义
连线埠:4000
服务:QQ客户端
说明:腾讯QQ客户端开放此连线埠。
连线埠:4092
服务:[NULL]
说明:木马WinCrash开放此连线埠。
45系连线埠含义
连线埠:4590
服务:[NULL]
说明:木马ICQTrojan开放此连线埠。
50系连线埠含义
连线埠:5000、5001、5321、50505 服务:[NULL]
说明:木马blazer5开放5000连线埠。木马Sockets de Troie开放5000、5001、5321、50505连线埠。
54系连线埠含义
连线埠:5400、5401、5402
服务:[NULL]
说明:木马Blade Runner开放此连线埠。
55系连线埠含义
连线埠:5550
服务:[NULL]
说明:木马xtcp开放此连线埠。
连线埠:5569
服务:[NULL]
说明:木马Robo-Hack开放此连线埠。
56系连线埠含义
连线埠:5632
服务:pcAnywere
如何查看连线埠
在Windows 2000/XP/Server 2003中要查看连线埠,可以使用NETSTAT命令:
“开始">"运行”>“cmd”,打开命令提示符视窗。在命令提示符状态下键入“NETSTAT -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连线的连线埠号及状态.
命令格式:Netstat ?-a? ?-e? ?-n? ?-o? ?-s?
-a 表示显示所有活动的TCP连线以及计算机监听的TCP和UDP连线埠。
-e 表示显示乙太网传送和接收的位元组数、数据包数等。
-n 表示只以数字形式显示所有活动的TCP连线的地址和连线埠号。
-o 表示显示活动的TCP连线并包括每个连线的进程ID(PID)。
-s 表示按协定显示各种连线的统计信息,包括连线埠号。
如何关闭连线埠
比如在Windows 2000/XP中关闭SMTP服务的25连线埠,可以这样做:首先打开“控制台”,双击“管理工具”,再双击“服务”。接着在打开的服务视窗中找到并双击“Simple Mail Transfer Protocol (SMTP)”服务,单击“停止”按钮来停止该服务,然后在“启动类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了SMTP服务就相当于关闭了对应的连线埠。
如何开启连线埠
如果要开启该连线埠只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该服务,在“服务状态”中单击“启动”按钮即可启用该连线埠,最后,单击“确定”按钮即可。
另外在网路连线属性中,选择“TCP/IP协定”属性,打开高级TCP/IP设定,在选项的那个页面打开TCP/IP筛选,在出现的设定视窗中也可以根据实现情况设定连线埠的打开和关闭,默认是未启用TCP/IP筛选。