可以這樣理解,面向連接和無連接協議的主要特點是:面向連接的服務要經過三個階段:數據傳輸前,建立連接,然後傳輸數據,數據傳輸後,釋放連接。面向連接的服務可以保證數據傳輸的有序性和可靠性。無連接服務的特點是無連接服務只有數據傳輸的階段。消除了除數據通信之外的其他費用。只要發送實體是活動的,接收實體就不需要活動。它的優點是靈活、方便、快捷,特別適用於傳輸少量零星消息,但沒有任何連接服務能防止消息的丟失、重復或紊亂。
區分“面向連接的服務”和“無連接的服務”的概念,特別簡單生動的例子有:打電話、寫信。如果兩個人要通電話,首先要建立連接——撥號碼,等待回答再互相傳遞信息,最後釋放連接——掛斷。寫信沒那麽復雜。填好地址和姓名後,直接扔進郵箱,收件人會收到。TCP/IP協議在網絡層是無連接的(數據包只發送到網絡,如何傳輸和到達以及是否到達由網絡設備管理)。“端口”是傳輸層的內容,是面向連接的。協議中1024以下的端口有確切的定義,對應的是互聯網上壹些常見的服務。
這些常見的服務可以分為兩種:使用TCP端口(面向連接,比如調用)和使用UDP端口(無連接,比如寫信)。
可以在網絡中命名和尋址的通信端口是操作系統的可分配資源。根據OSI(開放系統互連參考模型)的七層協議,傳輸層與網絡層最大的區別在於傳輸層提供進程通信能力,網絡通信的最終地址不僅包括主機地址,還包括壹些可以描述進程的標識。因此,TCP/IP協議提出的協議端口可以看作是網絡通信進程的標識符。
應用程序(調入內存後稱為進程)通過系統調用與端口建立連接(綁定)後,傳輸層發送給端口的數據被相應的進程接收,相應進程發送給傳輸層的數據從端口輸出。在TCP/IP協議的實現中,端口操作類似於壹般的I/O操作。壹個進程獲得壹個端口,相當於獲得壹個本地唯壹的I/O文件。它可以以壹般的讀寫方式訪問文件描述符。每個端口都有壹個稱為端口號的整數描述符來區分不同的端口。因為TCP/IP傳輸層的TCP和UDP協議是兩個完全獨立的軟件模塊,所以它們各自的端口號也是相互獨立的。例如,TCP的端口號為255,UDP的端口號也可以是255。他們之間沒有沖突。端口號分配有兩種基本方式:第壹種方式稱為全局分配,是壹種集中分配方式,由壹個公認的權威中心組織根據用戶的需求統壹分配端口號,第二種方式是本地分配,也稱為動態連接,即當壹個進程需要訪問傳輸層服務時,向本地操作系統提出申請,操作系統返回本地唯壹的端口號,然後進程通過適當的系統調用將自己綁定到端口。TCP/IP端口號的分配結合了以上兩種方法,將端口號分為兩部分,其中壹小部分作為保留端口,全局分配給服務進程。每臺標準服務器都有壹個全球公認的端口,稱為知名端口,即使在不同的機器上,其端口號也是相同的。剩下的都是空閑端口,本地分配。TCP和UDP規定小於256的端口可以作為保留端口。
根據端口號可分為三類:
(1) WellKnownPorts:從0到1023,與壹些服務緊密綁定。通常,這些端口的通信清楚地表明了某種服務的協議。比如80端口其實壹直都是HTTP通信。
(2)註冊端口:從1024到49151。它們松散地綁定到壹些服務。換句話說,有許多服務綁定到這些端口,並且這些端口還用於許多其他目的。例如,許多系統處理大約1024的動態端口。
(3)動態和/或專有端口:從49152到65535。理論上,這些端口不應該分配給服務。實際上,機器通常從1024分配動態端口。但是也有例外:SUN的RPC端口從32768開始。
系統管理員可以“重定向”端口:壹種常見的技術是將壹個端口重定向到另壹個地址。比如默認的HTTP端口是80,很多人把它重定向到另壹個端口,比如8080。如果是這樣,妳應該使用這個地址來訪問這篇文章:8080。
端口漏洞:端口8080可被各種病毒程序使用。例如,布朗孔口(BrO)特洛伊病毒可以使用端口8080完全遠程控制受感染的計算機。此外,RemoConChubo和RingZero木馬也可以利用該端口進行攻擊。
操作建議:壹般我們使用80端口進行網頁瀏覽。為了避免病毒攻擊,我們可以關閉這個端口。
端口:21
服務:FTP
描述:FTP服務器打開的端口用於上傳和下載。最常見的攻擊者是用來尋找打開anonymous的FTP服務器的方法。這些服務器有讀寫目錄。特洛伊木馬Doly特洛伊,Fore,隱形FTP,WebEx,WinCrash和銀翼殺手打開的端口。
端口:22
服務:Ssh
描述:PcAnywhere建立的TCP和這個端口的連接可能是為了找ssh。這項服務有許多弱點。如果在特定模式下配置,很多使用RSAREF庫的版本會有很多漏洞。
端口:23
服務:Telnet
描述:遠程登錄,入侵者正在搜索遠程登錄UNIX的服務。大多數情況下,掃描這個端口是為了找到機器運行的操作系統。並且利用其他技術,入侵者也會找到密碼。特洛伊微型Telnet服務器打開這個端口。
端口:25
服務:SMTP
描述:SMTP服務器打開的端口用於發送郵件。入侵者正在尋找SMTP服務器來發送他們的垃圾郵件。入侵者的帳戶被關閉,他們需要連接到壹個高帶寬的電子郵件服務器,將簡單的信息發送到不同的地址。特洛伊馬抗原、電子郵件密碼發送器、Haebu Coceda、Shtrilitz Stealth、WinPC和WinSpy都打開此端口。
端口:80
服務:HTTP
描述:用於網頁瀏覽。特洛伊執行者號打開了這個港口。
端口:102
服務:消息傳輸代理(MTA)-TCP/IP上的x.400。
描述:消息傳輸代理。
端口:109
服務:郵局協議-版本3
描述:POP3服務器打開該端口接收郵件,客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交換緩沖區溢出至少有20個弱點,這意味著入侵者可以在實際登錄之前進入系統。成功登錄後還有其他緩沖區溢出錯誤。
端口:110
服務:SUN的RPC服務的所有端口。
描述:常見的RPC服務包括rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等。
端口:119
服務:網絡新聞傳輸協議
描述:新聞新聞組傳輸協議,承載USENET通信。這個端口的連接通常是在人們尋找壹個USENET服務器的時候。大多數ISP只允許他們的客戶訪問他們的新聞組服務器。打開新聞組服務器將允許任何人張貼/閱讀、訪問受限的新聞組服務器、匿名張貼或發送垃圾郵件。
端口:135
服務:定位服務
描述:Microsoft在此端口上運行DCE RPC端點映射器作為其DCOM服務。這類似於UNIX 111端口的功能。使用DCOM和RPC的服務向計算機上的端點映射器註冊它們的位置。當遠程客戶連接到計算機時,他們會尋找端點映射器找到服務的位置。黑客會掃描計算機的這個端口來查找這臺計算機上運行的Exchange Server嗎?什麽版本?還有壹些針對此端口的DOS攻擊。
端口:137、138、139
服務:NETBIOS名稱服務
註:其中137和138為UDP端口,通過網上鄰居傳輸文件時使用。和端口139:通過該端口進入的連接試圖獲得NetBIOS/SMB服務。此協議用於windows文件和打印機共享以及SAMBA。WINS Regisrtation也使用它。
端口:161
服務:SNMP
描述:SNMP允許遠程管理設備。所有配置和操作信息都存儲在數據庫中,可以通過SNMP獲得。很多管理員的錯誤配置都會在網上曝光。Cackers將嘗試使用默認密碼public和private訪問系統。他們會嘗試所有可能的組合。SNMP數據包可能被錯誤地定向到用戶的網絡。
什麽是端口?
在我們開始討論什麽是端口之前,我們先來討論壹下什麽是端口。我經常在網上聽到,“我的主機有幾個端口?會不會被侵略?”!?或者“打開那個端口更安全嗎?另外,我的服務應該對應什麽端口?“哈哈!是不是很神奇?為什麽主機上有這麽多奇怪端口?這個端口的功能是什麽?!
因為每個網絡的服務功能不壹樣,需要發送不同的數據包給不同的服務進行處理,所以當妳的主機同時啟動FTP和WWW服務時,別人發送的數據包會根據TCP上的端口號被FTP或WWW服務處理,當然不會出現混淆!(註:呵呵!壹些很少接觸網絡的朋友經常會問:“嘿!為什麽妳的電腦同時有FTP、WWW、E-Mail等這麽多服務,但是人家發數據,妳的電腦怎麽知道怎麽判斷?電腦真的不會誤判嗎?! "妳現在知道為什麽了嗎?!沒錯就是因為港口不壹樣!妳可以這樣想。有壹天,如果妳想把錢存到壹家銀行,那家銀行可以被認為是壹臺“大型機”。然後,當然壹家銀行不可能只有壹種業務,裏面有相當多的窗口。然後妳壹進大門,門口的服務人員就會問妳:“妳好!妳好!妳要怎麽辦?妳告訴他:“我要省錢!》,服務員會接著告訴妳:“喝!那麽請去三號窗口!那邊的工作人員會幫妳的!”這個時候妳應該不會跑到其他窗口吧?!" "這些窗口可以被認為是"端口"!所以!每個服務都有壹個特定的監聽端口!妳不用擔心電腦判斷失誤!)
每個TCP連接都必須由壹端(通常是客戶端)發起。該端口通常通過隨機選擇大於1024的端口號進行!它的TCP包將設置(且僅設置)SYN標誌!這是整個連接的第壹個數據包;
如果另壹端(通常是服務器)接受了這個請求(當然特殊服務需要用特殊端口進行,比如FTP的21端口),那麽整個連接的第二個包就會被發回給請求者!除了SYN標誌,還設置了ACK標誌,同時在本地側建立資源進行連接。
然後,請求方從服務器獲得第壹個響應包後,必須用壹個確認包來響應對方,此時該包只攜帶ACK標誌(實際上後續連接中的所有包都必須攜帶ACK標誌);
只有當服務器收到請求方的確認(ACK)包(即整個連接的第三個包)時,兩端的連接才能正式建立。這就是所謂的TCP online的‘三次握手’原理。
三次握手後,呵呵!客戶端的端口通常是隨機獲得的大於1024的端口。至於主機端,就看當時開的是哪個端口了。比如WWW選擇80,FTP以21為正常上網通道!
總之,我們這裏說的端口不是計算機硬件的I/O口,而是軟件形式的概念。端口有兩種,壹種是TCP端口,壹種是UDP端口,這取決於工具提供的服務類型。計算機相互通信時,有兩種方式:壹種是發送後確認信息是否到達,即有回復,多采用TCP協議;壹種是發完就不管了,不確認信息是否到了。這些方法大多使用UDP協議。這兩種協議對應的服務提供的端口也分為TCP端口和UDP端口。
然後,如果攻擊者使用軟件掃描目標計算機,並獲得目標計算機打開的端口,他就會知道目標計算機提供什麽服務。眾所周知,服務軟件在提供服務時必然存在漏洞。根據這些,攻擊者可以初步了解目標計算機。如果電腦的端口開得太大,管理員不知道,有兩種情況:壹種是提供了服務,管理員不註意。比如安裝IIS的時候,軟件會自動添加很多服務,管理員可能註意不到;壹種是服務器由攻擊者安裝,通過特殊端口進行通信。這兩種情況都非常危險。歸根結底是管理員不了解服務器提供的服務,降低了系統的安全系數。
//////////////////////////////////////////////////////////////////////////////////
什麽是“端口”?
在網絡技術中,端口有幾種含義。集線器、交換機和路由器的端口是指連接其他網絡設備的接口,如RJ-45端口和串口。我們這裏說的端口不是物理意義上的端口,而是TCP/IP協議中的端口,是邏輯意義上的端口。
那麽TCP/IP協議中的端口是什麽意思呢?如果把IP地址比作房子,端口就是房子的門。真正的房子只有幾個門,但是壹個IP地址可以有65536個端口!端口由端口號標記,端口號只是從0到65535的整數。
端口有什麽用?我們知道,壹個有IP地址的主機可以提供很多服務,比如Web服務、FTP服務、SMTP服務等。這些服務完全可以通過1個IP地址實現。那麽,主機是如何區分不同的網絡服務的呢?很明顯,不能只靠ip地址,因為IP地址和網絡服務是壹對多的關系。其實不同的服務是通過“IP地址+端口號”來區分的。
應該註意,端口不是壹壹對應的。例如,當妳的電腦作為客戶端訪問壹個WWW服務器時,WWW服務器使用“80”端口與妳的電腦通信,但妳的電腦可能使用“3457”端口,如圖1所示。
根據對應的協議類型,有兩種端口:TCP端口和UDP端口。因為TCP和UDP是獨立的,所以它們各自的端口號也是相互獨立的。比如TCP有235端口,UDP也可以有235端口,兩者並不沖突。
1.知名端口
知名端口是知名端口號,範圍從0到1023,其中80個端口分配給W WW服務,21個端口分配給FTP服務。我們在IE的地址欄輸入壹個網站(比如www.cce.com.cn)時不需要指定端口號,因為WWW服務的端口號默認為“80”。
網絡服務可以使用其他端口號。如果不是默認端口號,您應該在地址欄中指定端口號,方法是在地址後添加壹個冒號“:”(半角),然後添加端口號。比如使用“8080”作為WWW服務的端口,需要在地址欄輸入“www.cce.com.cn:8080”。
但是,有些系統協議使用固定的端口號,不能更改。例如,端口139專門用於NetBIOS和TCP/IP之間的通信,不能手動更改。
2.動態端口
動態端口的範圍是從1024到65535。之所以稱為動態端口,是因為它壹般不是固定地分配某項服務,而是動態地分配。動態分配是指當壹個系統進程或壹個應用程序進程需要網絡通信時,它向主機申請壹個端口,主機分配壹個可用的端口號給它使用。當這個進程被關閉時,它也釋放被占用的端口號。
如何查看端口
壹臺服務器有大量的端口在使用,如何檢查端口?有兩種方式:壹種是使用系統內置的命令,另壹種是使用第三方端口掃描軟件。
1.使用“netstat -an”檢查端口狀態
在Windows 2000/XP中,您可以在命令提示符下使用“netstat -an”來檢查系統的端口狀態,並且可以列出系統正在打開的端口號及其狀態。
2.使用第三方端口掃描軟件。
第三方端口掃描軟件很多。雖然接口差別很大,但功能都差不多。這裏用“Fport”(去/tools/index.php?Type_t=7或/soft/cce下載)為例。在命令提示符下使用“Fport”,運行結果類似於“netstat -an”,但它不僅可以列出正在使用的端口號和類型,還可以列出哪個應用程序正在使用該端口。