服務:tcpmux
說明:這顯示有人在尋找sgi irix機器。irix是實現tcpmux的主要提供者,默認情況下tcpmux在這種系統中被打開。irix機器在發布是含有幾個默認的無密碼的帳戶,如:ip、guest uucp、nuucp、demos 、tutor、diag、outofbox等。許多管理員在安裝後忘記刪除這些帳戶。因此hacker在internet上搜索tcpmux並利用這些帳戶。
端口:7
服務:echo
說明:能看到許多人搜索fraggle放大器時,發送到x.x.x.0和x.x.x.255的信息。
端口:19
服務:character generator
說明:這是壹種僅僅發送字符的服務。udp版本將會在收到udp包後回應含有**字符的包。tcp連接時會發送含有**字符的數據流直到連接關閉。hacker利用ip欺騙可以發動dos攻擊。偽造兩個chargen服務器之間的udp包。同樣fraggle dos攻擊向目標地址的這個端口廣播壹個帶有偽造受害者ip的數據包,受害者為了回應這些數據而過載。
端口:21
服務:ftp
說明:ftp服務器所開放的端口,用於上傳、下載。最常見的攻擊者用於尋找打開anonymous的ftp服務器的方法。這些服務器帶有可讀寫的目錄。木馬doly trojan、fore、invisible ftp、webex、wincrash和blade runner所開放的端口。
端口:22
服務:ssh
說明:pcanywhere建立的tcp和這壹端口的連接可能是為了尋找ssh。這壹服務有許多弱點,如果配置成特定的模式,許多使用rsaref庫的版本就會有不少的漏洞存在。
端口:23
服務:telnet
說明:遠程登錄,入侵者在搜索遠程登錄unix的服務。大多數情況下掃描這壹端口是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬tiny telnet server就開放這個端口。
端口:25
服務:smtp
說明:smtp服務器所開放的端口,用於發送郵件。入侵者尋找smtp服務器是為了傳遞他們的spam。入侵者的帳戶被關閉,他們需要連接到高帶寬的e-mail服務器上,將簡單的信息傳遞到不同的地址。木馬antigen、email password sender、haebu coceda、shtrilitz stealth、winpc、winspy都開放這個端口。
端口:31
服務:msg authentication
說明:木馬master paradise、hackers paradise開放此端口。
端口:42
服務:wins replication
說明:wins復制
端口:53
服務:domain name server(dns)
說明:dns服務器所開放的端口,入侵者可能是試圖進行區域傳遞(tcp),欺騙dns(udp)或隱藏其他的通信。因此防火墻常常過濾或記錄此端口。
端口:67
服務:bootstrap protocol server
說明:通過dsl和cable modem的防火墻常會看見大量發送到廣播地址255.255.255.255的數據。這些機器在向dhcp服務器請求壹個地址。hacker常進入它們,分配壹個地址把自己作為局部路由器而發起大量中間人(man-in-middle)攻擊。客戶端向68端口廣播請求配置,服務器向67端口廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的ip地址。
端口:69
服務:trival file transfer
說明:許多服務器與bootp壹起提供這項服務,便於從系統下載啟動代碼。但是它們常常由於錯誤配置而使入侵者能從系統中竊取任何 文件。它們也可用於系統寫入文件。
端口:79
服務:finger server
說明:入侵者用於獲得用戶信息,查詢操作系統,探測已知的緩沖區溢出錯誤,回應從自己機器到其他機器finger掃描。
端口:80
服務:服務。這與unix 111端口的功能很相似。使用dcom和rpc的服務利用計算機上的end-point mapper註冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。hacker掃描計算機的這個端口是為了找到這個計算機上運行exchange server嗎?什麽版本?還有些dos攻擊直接針對這個端口。
端口:137、138、139
服務:netbios name service
說明:其中137、138是udp端口,當通過網上鄰居傳輸文件時用這個端口。而139端口:通過這個端口進入的連接試圖獲得netbios/smb服務。這個協議被用於windows文件和打印機***享和samba。還有wins regisrtation也用它。
端口:143
服務:interim mail access protocol v2
說明:和pop3的安全問題壹樣,許多imap服務器存在有緩沖區溢出漏洞。記住:壹種linux蠕蟲(admv0rm)會通過這個端口繁殖,因此許多這個端口的掃描來自不知情的已經被感染的用戶。當redhat在他們的linux發布版本中默認允許imap後,這些漏洞變的很流行。這壹端口還被用於imap2,但並不流行。
端口:161
服務:snmp
說明:snmp允許遠程管理設備。所有配置和運行信息的儲存在數據庫中,通過snmp可獲得這些信息。許多管理員的錯誤配置將被暴露在internet。cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。snmp包可能會被錯誤的指向用戶的網絡。
端口:177
服務:x display manager control protocol
說明:許多入侵者通過它訪問x-windows操作臺,它同時需要打開6000端口。
端口:389
服務:ldap、ils
說明:輕型目錄訪問協議和netmeeting internet locator server***用這壹端口。
端口:443
服務:mon internet file system(cifs)(公***internet文件系統)
端口:464
說明:kerberos kpasswd(v5)。另外tcp的464端口也是這個用途。
端口:500
說明:internet key exchange(ike)(internet密鑰交換)
端口:1645、1812
說明:remot authentication dial-in user service(radius)authentication(routing and remote access)(遠程認證撥號用戶服務)
端口:1646、1813
說明:radius accounting(routing and remote access)(radius記帳(路由和遠程訪問))
端口:1701
說明:layer two tunneling protocol(l2tp)(第2層隧道協議)
端口:1801、3527
說明:microsoft message queue server(microsoft消息隊列服務器)。還有tcp的135、1801、2101、2103、2105也是同樣的用途。
端口:2504
說明:network load balancing(網絡平衡負荷)
msconfig