端口分为三类。 1 )公认端口(WellKnownPorts )从0到1023紧密连接到几个服务。 这些端口的通信通常清楚地表明了服务的协议。 例如,80端口实际上始终是HTTP通信。 2 )注册端口: 1024到49151。 它们松散地联系在一些服务上。 也就是说,这些端口绑定了许多服务,这些端口也用于许多其他目的。 例如,许多系统从1024左右开始处理动态端口。 3 )动态和/或专用端口(动态和/orprivateports ) :从49152到65535。 理论上,不要将这些端口分配给服务。 实际上,机器通常从1024开始分配动态端口。 但是有例外。 SUN的RPC端口从32768开始。 本节介绍TCP/UDP端口通常在防火墙日志中扫描的信息。 请注意,ICMP端口不存在。 如果您对解密ICMP数据感兴趣,请参阅本文的其他部分。 0通常用于分析操作系统。 这是因为某些系统上的端口“0”无效,而清爽的草丛在尝试使用常规闭合端口进行连接时会产生不同的结果。 一种典型的扫描是使用IP地址0.0.0.0设置ACK位并在以太网层进行广播。 1tcpmux这表明有人在找SGIIrix机器。 Irix是实现tcpmux的主要提供程序,默认情况下在这些系统上启用tcpmux。 Iris计算机上公开了多个默认的无密码帐户,包括lp、guest、uucp、nuucp、demos、tutor、诊断程序、EZsetup、OutOfBox和4Dgifts。 许多管理员在安装后忘记删除这些帐户。 因此,Hacker们在网上搜索tcpmux并使用这些帐户。 7搜索7echoFraggle放大器时,很多人可以看到发送到x.x.x.0和x.x.x.255的信息。 常见DoS攻击之一是echo循环,攻击者伪造从一台机器发送到另一个UDP分组的分组,两台机器分别以最快的速度对它们进行响应。 (请参阅Chargen )另一个是DoubleClick在字端口上建立的TCP连接。 有一种叫做“资源全球发现”的产品。 它连接到DNS上的此端口以确定最近的路由。 Harvest/squidcache通过3130端口发送UDPecho。 “如果选中cache的source_pingon选项,则HITreply将响应原始主机上的UDPecho端口。 ”会生成很多这样的数据包。 11sysstat这是UNIX服务,它列出计算机上运行的所有进程,以及这些进程启动的是什么。 这为入侵者提供了很多信息,包括已知漏洞和暴露帐户的过程,并威胁机器的安全。 这类似于UNIX系统上“ps”命令的结果。 ICMP没有端口。 ICMPport11通常是只发送ICMPtype=1119chargen这一字符的服务。 UDP版本在收到UDP包后对包含垃圾字符的包进行响应。 在TCP连接期间,会发送包含垃圾邮件的数据流,并显示连接已关闭。 Hacker可以利用IP欺骗发起DoS攻击。 伪造两个chargen服务器之间的UDP分组。 由于服务器试图支持两个服务器之间的无限往返数据通信,chargen和echo会导致服务器过载。 同样,fraggleDoS攻击在目标地址的这个端口上广播具有伪造受害者IP的分组,受害者为了响应这些数据而过载。 21ftp最常见的攻击者用于查找如何打开" anonymous " FTP服务器。 这些服务器有可读写的目录。
阅读全文