读过一些黑客攻击知识的读者都会知道,其实那些所谓的黑客并不是人们想象中的从天而降,而是实际上从你电脑的‘大门’来去自如。计算机的“门”就是我们通常所说的“端口”,它包括计算机的物理端口,如串口、并口、输入输出设备、计算机的适配器接口等(这些端口都是可见的),但更多的是不可见的软件端口,在本文中均称为“软件端口”,但为了解释方便,仍统称为“端口”。本文仅介绍端口的基本知识,
一.港口介绍
随着计算机网络技术的发展,原有的物理接口(如键盘、鼠标、网卡、显示卡等输入输出接口)已经不能满足网络通信的要求。TCP/IP协议作为网络通信的标准协议,解决了这一通信问题。将TCP/IP协议集成到操作系统的内核中,相当于在操作系统中引入了一种新的输入输出接口技术,因为在TCP/IP协议中引入了一种叫做‘Socket’的应用程序接口。有了这样的接口技术,一台计算机就可以通过软件与任何具有Socket接口的计算机进行通信。在计算机编程中,端口也被称为“套接字接口”。
有了这些端口,这些端口是如何工作的?比如,为什么服务器可以是Web服务器、FTP服务器、邮件服务器等等?最重要的原因之一是不同的服务通过不同的端口提供不同的服务。比如TCP/IP协议通常规定Web使用端口80,FTP使用端口21,邮件服务器使用端口25。这样,通过不同的端口,计算机可以不受干扰地与外界通信。
据专家分析,服务器端口最多可以有65,535个,但实际上常用的端口只有几十个,可见未定义的端口相当多。这就是为什么这么多黑客程序可以用一些方法定义一个非常端口来达到入侵的目的。为了定义这个端口,需要依靠一定的程序在计算机启动前自动加载到内存中,并强制控制计算机打开那个非常端口。这个程序就是‘后门’程序,而这些后门程序往往被称为木马程序。简单来说,就是这些木马在入侵之前,通过某种手段将程序植入个人电脑,打开一个特定的端口(s),俗称“后门”,让这台电脑成为一台开放性极高(用户拥有极高权限)的FTP服务器,然后通过后门实现入侵。
二、港口的分类
;港口的分类根据其参考对象有不同的方法。如果按照港口的性质来划分,通常可以分为以下三类:
(1)众所周知的端口:这些端口也经常被称为“公共端口”。这些端口的端口号范围从0到1024,它们与一些特定的服务紧密绑定。通常,这些端口的通信清楚地表明了某个服务的协议,而这个端口是无法重新定义的对象。例如,端口80总是用于HTTP通信,而端口23专用于远程登录服务。这些端口通常不会被特洛伊木马等黑客利用。为了让大家更加熟悉这些常用的端口,本章后面会详细列出这些端口对应的服务,供大家理解和参考。
(2)注册端口:端口号从1025到49151。它们松散地绑定到一些服务。也就是说,许多服务绑定到这些端口,这些端口也用于许多其他目的。这些端口大多没有明确的服务对象定义,不同的程序可以根据实际需要进行定义。比如后面要介绍的远程控制软件和木马程序,都会有这些端口的定义。请记住,这些常见的程序端口在保护和杀死特洛伊木马时非常必要。常见特洛伊木马使用的端口将在后面列出。
(3)动态和/或专用端口:端口号范围从49152到65535。理论上,公共服务不应该在这些端口上分配。事实上,一些非常规程序,尤其是一些木马,非常喜欢使用这些端口,因为这些端口往往不被注意,容易被隐藏。
根据提供的服务模式不同,端口可分为TCP协议端口’和UDP协议端口’。因为计算机一般使用这两种通信协议来相互通信。前面介绍的“连接模式”是与接收器的直接连接。发送信息后,您可以确认信息是否已经到达。这种方法大多采用TCP协议。另一种是是否直接和接收者连接,只是把信息放到网上发送出去,不管信息是否到达,这就是前面介绍的‘无连接方式’。这种方法大多采用UDP协议,IP协议也是无连接的方法。对应于上述两种通信协议的服务所提供的端口被分类为“TCP”
协议端口"和"UDP协议端口 "。使用TCP协议的常见端口 主要有以下几种: (1) FTP:定义了文件传输协议,使用21端口。常说某某计算机开了FTP服务便是启动了文件传输服务。下载文件,上传主页,都要用到FTP服务。 (2) Telnet:它是一种用于远程登陆的端口,用户可以以自己的身份远程连接到计算机上,通过这种端口可以提供一种基于DOS模式下的通信服务。 如以前的BBS是纯字符界面的,支持BBS的服务器将23端口打开,对外提供服务。 (3) SMTP:定义了简单邮件传送协议,现在很多邮件服务器都用的是这个协议,用于发送邮件。如常见的免费邮件服务中用的就是这个邮件服务端口, 所以在电子邮件设置中常看到有这么SMTP端口设置这个栏,服务器开放的是25号端口。 (4) POP3:它是和SMTP对应,POP3用于接收邮件。通常情况下,POP3协议所用的是110端口。也是说,只要你有相应的使用POP3协议的程序(例如Foxmail或Outlook), 就可以不以Web方式登陆进邮箱界面,直接用邮件程序就可以收到邮件(如是163邮箱就没有必要先进入网易网站,再进入自己的邮箱来收信)。 使用UDP协议端口 常见的有: (1) HTTP:这是大家用得最多的协议,它就是常说的"超文本传输协议"。上网浏览网页时,就得在提供网页资源的计算机上打开80号端口以提供服务。常说"WWW服务"、 "Web服务器"用的就是这个端口。 (2) DNS:用于域名解析服务,这种服务在Windows NT系统中用得最多的。因特网上的每一台计算机都有一个网络地址与之对应,这个地址是常说的IP地址, 它以纯数字+"."的形式表示。然而这却不便记忆,于是出现了域名,访问计算机的时候只需要知道域名,域名和IP地址之间的变换由DNS服务器来完成。DNS用的是53号端口。 (3) SNMP:简单网络管理协议,使用161号端口,是用来管理网络设备的。由于网络设备很多,无连接的服务就体现出其优势。 (4) OICQ:OICQ程序既接受服务,又提供服务,这样两个聊天的人才是平等的。OICQ用的是无连接的协议,也是说它用的是UDP协议。OICQ服务器是使用8000号端口, 侦听是否有信息到来,客户端使用4000号端口,向外发送信息。如果上述两个端口正在使用(有很多人同时和几个好友聊天),就顺序往上加。 在计算机的6万多个端口,通常把端口号为1024以内的称之为常用端口,这些常用端口所对应的服务通常情况下是固定的。表1所列的都是服务器默认的端口, 不允许改变,一般通信过程都主要用到这些端口。 表1 服务类型默认端口服务类型默认端口 Echo 7 Daytime 13 FTP 21 Telnet 23 SMTP 25 Time 37 Whois 43 DNS 53 Gopher 70 Finger 79 WWW 80 POP3 110 NNTP 119 IRC 194 另外代理服务器常用以下端口: (1). HTTP协议代理服务器常用端口号:80/8080/3128/8081/9080 (2). SOCKS代理协议服务器常用端口号:1080 (3). FTP协议代理服务器常用端口号:21 (4). Telnet协议代理服务器常用端口:23