瑞星卡卡安全论坛

如
            果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述

            原因。你 可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个

            Sh*ll 。连接到
            600/pcserver也存在这个问题。
            2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服

            务运行于
            哪个端口，但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可

            以闭开 portmapper直接测试这个端口。
            3128 squid
            这是Squid h++p代理服务器的默认端口。攻击者扫描这个端口是为了搜 寻一

            个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口

            ：
            000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。

            其它用户
            （或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。请查

            看5.3节。
            5632
            pcAnywere你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打

            开
            pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent

            而不是
            proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种

            扫描的
            源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫

            描。
            6776 Sub-7 artifact
            这个端口是从Sub-7主端口分离出来的用于传送数据的端口。 例如当控制者

            通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。
            因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图

            。（译
            者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。

            ）
            6970
            RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由

            TCP7070 端口外向控制连接设置13223 PowWow PowWow
            是Tribal Voice的聊天程序。它允许 用户在此端口打开私人聊天的接。这一

            程序对于建立连接非常具有“进攻性”。它
            会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果

            你是一个 拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发

            生：好象很多不同
            的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节

            。
            17027
            Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent

            "adbot" 的共享软件。
            Conducent
            "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件 是

            Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本

            身将会
            导致adbots持续在每秒内试图连接多次而导致连接过载：
            机器会不断试图解析DNS名─ads.conducent.com，即IP地址216.33.210.40

            ；
            216.33.199.77
            ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不
            知NetAnts使用的Radiate是否也有这种现象）
            27374 Sub-7木马(TCP) 参见Subseven部分。
            30100
            NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
            31337 Back Orifice
            “eliteHacker中31337读做“elite”/ei’li:t/（译者：* 语，译为中坚力

            量，精华。即 3=E, 1=L,
            7=T）。因此许多后门程序运行于这一端 口。其中最有名的是Back Orifice

            。曾经一段时间内这是Internet上最常见的扫描。
            现在它的流行越来越少，其它的 木马程序越来越流行。
            31789 Hack-a-tack
            这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马 （RAT,Remote

            Access
            Trojan）。这种木马包含内置的31790端口扫描器，因此任何 31789端口到

            317890端口的连 接意味着已经有这种入侵。（31789端口是控制连
            接，317890端口是文件传输连接）
            32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早

            期版本
            的Solaris（2.5.1之前）将 portmapper置于这一范围内，即使低端口被防火

            墙封闭 仍然允许Hacker/cracker访问这一端口。
            扫描这一范围内的端口不是为了寻找 portmapper，就是为了寻找可被攻击的

            已知的RPC服务。
            33434~33600 traceroute
            如果你看到这一端口范围内的UDP数据包（且只在此范围 之内）则可能是由

            于traceroute。参见traceroute分。
            41508
            Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。

            参见
            h++p://www.circlemud.org/~jelson/software/udpsend.html
            h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留

            端
            口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。

            常看见 紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连

            接的应用程序
            的“动态端口”。 Server Client 服务描述
            1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
            20/tcp 动态 FTP
            FTP服务器传送文件的端口
            53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP

            连 接。
            123 动态
            S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送 到这

            个端口的广播。
            27910~27961/udp 动态 Quake
            Quake或Quake引擎驱动的游戏在这一端口运行其 服务器。因此来自这一端口

            范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
            61000以上
            动态 FTP 61000以上的端口可能来自Linux NAT服务器
            #4

            补充、端口大全（中文翻译）1　tcpmux　TCP Port Service
            Multiplexer　　传输控制协议端口服务多路开关选择器
            2　compressnet　Management Utility　　　　
            compressnet 管理实用程序
            3　compressnet　Compression Process　　　　压缩进程
            5　rje　Remote
            Job Entry　　　　　　　　　
            远程作业登录
            7　echo　Echo　　　　　　　　　　　　　　　回显
            9　discard　Discard　　　　　　　　　　　　丢弃
            11　systat　Active
            Users　　　　　　　　　 在线用户
            13　daytime　Daytime　　　　　　　　　　　 时间
            17　qotd　Quote of the
            Day　　　　　　　　 每日引用
            18　msp　Message Send Protocol　　　　　　
            消息发送协议
            19　chargen　Character Generator　　　　　 字符发生器
            20　ftp-data　File Transfer
            [Default Data]　文件传输协议(默认数据口)　
            21　ftp　File Transfer
            [Control]　　　　　　文件传输协议(控制)
            22　ssh　SSH Remote Login Protocol　　　　
            SSH远程登录协议
            23　telnet　Telnet　　　　　　　　　　　　 终端仿真协议
            24　?　any private mail
            system　　　　　　 预留给个人用邮件系统
            25　smtp　Simple Mail Transfer　　　　　　
            简单邮件发送协议
            27　nsw-fe　NSW User System FE　　　　　　 NSW 用户系统现场工程师
            29　msg-icp　MSG
            ICP　　　　　　　　　　　 MSG　ICP
            31　msg-auth　MSG Authentication　　　　　
            MSG验证
            33　dsp　Display Support Protocol　　　　　显示支持协议
            35　?　any private printer
            server　　　　　预留给个人打印机服务
            37　time　Time　　　　　　　　　　　　　　 时间
            38　rap　Route Access
            Protocol　　　　　　 路由访问协议
            39　rlp　Resource Location
            Protocol　　　　资源定位协议
            41　graphics　Graphics　　　　　　　　　　 图形
            42　nameserver　WINS
            Host Name Server　　　WINS 主机名服务
            43　nicname　Who Is　　　　　　　　　　　　"绰号" who
            is服务
            44　mpm-flags　MPM FLAGS Protocol　　　　　MPM(消息处理模块)标志协

            议
            45　mpm　Message
            Processing Module [recv]　消息处理模块　
            46　mpm-snd　MPM [default
            send]　　　　　　消息处理模块(默认发送口)
            47　ni-ftp　NI FTP　　　　　　　　　　　　 NI
            FTP
            48　auditd　Digital Audit Daemon　　　　　 数码音频后台服务　
            49　tacacs　Login Host
            Protocol (TACACS)　 TACACS登录主机协议
            50　re-mail-ck　Remote Mail Checking
            Protocol　远程邮件检查协议
            51　la-maint　IMP Logical Address
            Maintenance　IMP(接口信息处理机)逻辑地址维护
            52　xns-time　XNS Time
            Protocol　　　　　　施乐网络服务系统时间协议　　
            53　domain　Domain Name Server　　　　　　
            域名服务器
            54　xns-ch　XNS Clearinghouse　　　　　　　施乐网络服务系统票据交换
            55　isi-gl　ISI
            Graphics Language　　　　　ISI图形语言
            56　xns-auth　XNS Authentication　　　　　
            施乐网络服务系统验证
            57　?　any private terminal access　　　　 预留个人用终端访问
            58　xns-mail　XNS
            Mail　　　　　　　　　　 施乐网络服务系统邮件
            59　?　any private file
            service　　　　　　预留个人文件服务
            60　?　Unassigned　　　　　　　　　　　　　未定义
            61　ni-mail　NI
            MAIL　　　　　　　　　　　 NI邮件?
            62　acas　ACA Services　　　　　　　　　　 异步通讯适配器服务
            63　whois+
            whois+　　　　　　　　　　　　　 WHOIS+
            64　covia　Communications Integrator
            (CI)　通讯接口　
            65　tacacs-ds　TACACS-Database Service　　
            TACACS数据库服务
            66　sql*net　Oracle SQL*NET　　　　　　　　Oracle
            SQL*NET
            67　bootps　Bootstrap Protocol
            Server　　　引导程序协议服务端
            68　bootpc　Bootstrap Protocol
            Client　　　引导程序协议客户端
            69　tftp　Trivial File
            Transfer　　　　　　小型文件传输协议
            70　gopher　Gopher　　　　　　　　　　　　
            信息检索协议
            71　netrjs-1　Remote Job Service　　　　　 远程作业服务
            72　netrjs-2　Remote Job
            Service　　　　　 远程作业服务
            73　netrjs-3　Remote Job Service　　　　　
            远程作业服务
            74　netrjs-4　Remote Job Service　　　　　 远程作业服务
            75　?　any private dial
            out service　　　　预留给个人拨出服务
            76　deos　Distributed External Object Store
            分布式外部对象存储　
            77　?　any private RJE
            service　　　　　　预留给个人远程作业输入服务
            78　vettcp　vettcp　　　　　　　　　　　　
            修正TCP?
            79　finger　Finger　　　　　　　　　　　　 FINGER(查询远程主机在线

            用户等信息)