计算机端口概念理解

（一）　
有过一些黑客攻击方面知识的读者都会知道，其实那些所谓的黑客并不是像人们想象那样从天而降，而是实实在在从您的计算机"大门"中自由出入。计算机的"大门"就是我们平常所说的"端口"，它包括计算机的物理端口，如计算机的串口、并口、输入/输出设备以及适配器接口等（这些端口都是可见的），但更多的是不可见的软件端口，在本文中所介绍的都是指"软件端口"，但为了说明方便，仍统称为"端口"。本文仅就端口的基础知识进行介绍，
　　一、端口简介
　　随着计算机网络技术的发展，原来物理上的接口（如键盘、鼠标、网卡、显示卡等输入/输出接口）已不能满足网络通信的要求，TCP/IP协议作为网络通信的标准协议就解决了这个通信难题。TCP/IP协议集成到操作系统的内核中，这就相当于在操作系统中引入了一种新的输入/输出接口技术，因为在TCP/IP协议中引入了一种称之为"Socket（套接字）"应用程序接口。有了这样一种接口技术，一台计算机就可以通过软件的方式与任何一台具有Socket接口的计算机进行通信。端口在计算机编程上也就是"Socket接口"。
　　有了这些端口后，这些端口又是如何工作呢？例如一台服务器为什么可以同时是Web服务器，也可以是FTP服务器，还可以是邮件服务器等等呢？其中一个很重要的原因是各种服务采用不同的端口分别提供不同的服务，比如：通常TCP/IP协议规定Web采用80号端口，FTP采用21号端口等，而邮件服务器是采用25号端口。这样，通过不同端口，计算机就可以与外界进行互不干扰的通信。
　　据专家们分析，服务器端口数最大可以有65535个，但是实际上常用的端口才几十个，由此可以看出未定义的端口相当多。这是那么多黑客程序都可以采用某种方法，定义出一个特殊的端口来达到入侵的目的的原因所在。为了定义出这个端口，就要依*某种程序在计算机启动之前自动加载到内存，强行控制计算机打开那个特殊的端口。这个程序就是"后门"程序，这些后门程序就是常说的木马程序。简单的说，这些木马程序在入侵前是先通过某种手段在一台个人计算机中植入一个程序，打开某个（些）特定的端口，俗称"后门"（BackDoor），使这台计算机变成一台开放性极高（用户拥有极高权限）的FTP服务器，然后从后门就可以达到侵入的目的。

二、端口的分类
　　端口的分类根据其参考对象不同有不同划分方法，如果从端口的性质来分，通常可以分为以下三类：
　　（1）公认端口（Well Known Ports）：这类端口也常称之为"常用端口"。这类端口的端口号从0到1024，它们紧密绑定于一些特定的服务。通常这些端口的通信明确表明了某种服务的协议，这种端口是不可再重新定义它的作用对象。例如：80端口实际上总是HTTP通信所使用的，而23号端口则是Telnet服务专用的。这些端口通常不会像木马这样的黑客程序利用。为了使大家对这些常用端口多一些认识，在本章后面将详细把这些端口所对面应的服务进行列表，供各位理解和参考。
　　（2） 注册端口（Registered Ports）：端口号从1025到49151。它们松散地绑定于一些服务。也是说有许多服务绑定于这些端口，这些端口同样用于许多其他目的。这些端口多数没有明确的定义服务对象，不同程序可根据实际需要自己定义，如后面要介绍的远程控制软件和木马程序中都会有这些端口的定义的。记住这些常见的程序端口在木马程序的防护和查杀上是非常有必要的。常见木马所使用的端口在后面将有详细的列表。
　　（3） 动态和/或私有端口（Dynamic and/or Private Ports）：端口号从49152到65535。理论上，不应把常用服务分配在这些端口上。实际上，有些较为特殊的程序，特别是一些木马程序就非常喜欢用这些端口，因为这些端口常常不被引起注意，容易隐蔽。
　　如果根据所提供的服务方式的不同，端口又可分为"TCP协议端口"和"UDP协议端口"两种。因为计算机之间相互通信一般采用这两种通信协议。前面所介绍的"连接方式"是一种直接与接收方进行的连接，发送信息以后，可以确认信息是否到达，这种方式大多采用TCP协议；另一种是不是直接与接收方进行连接，只管把信息放在网上发出去，而不管信息是否到达，也就是前面所介绍的"无连接方式"。这种方式大多采用UDP协议，IP协议也是一种无连接方式。对应使用以上这两种通信协议的服务所提供的端口，也就分为"TCP协议端口"和"UDP协议端口"。
　　使用TCP协议的常见端口主要有以下几种：
　　（1） FTP：定义了文件传输协议，使用21端口。常说某某计算机开了FTP服务便是启动了文件传输服务。下载文件，上传主页，都要用到FTP服务。
　　（2） Telnet：它是一种用于远程登陆的端口，用户可以以自己的身份远程连接到计算机上，通过这种端口可以提供一种基于DOS模式下的通信服务。如以前的BBS是纯字符界面的，支持BBS的服务器将23端口打开，对外提供服务。
　　（3） SMTP：定义了简单邮件传送协议，现在很多邮件服务器都用的是这个协议，用于发送邮件。如常见的免费邮件服务中用的就是这个邮件服务端口，所以在电子邮件设置中常看到有这么SMTP端口设置这个栏，服务器开放的是25号端口。
　　（4） POP3：它是和SMTP对应，POP3用于接收邮件。通常情况下，POP3协议所用的是110端口。也是说，只要你有相应的使用POP3协议的程序（例如Foxmail或Outlook），就可以不以Web方式登陆进邮箱界面，直接用邮件程序就可以收到邮件（如是163邮箱就没有必要先进入网易网站，再进入自己的邮箱来收信）。
　　使用UDP协议端口常见的有：
　　（1） HTTP：这是大家用得最多的协议，它就是常说的"超文本传输协议"。上网浏览网页时，就得在提供网页资源的计算机上打开80号端口以提供服务。常说"WWW服务"、"Web服务器"用的就是这个端口。
　　（2） DNS：用于域名解析服务，这种服务在Windows NT系统中用得最多的。因特网上的每一台计算机都有一个网络地址与之对应，这个地址是常说的IP地址，它以纯数字+"."的形式表示。然而这却不便记忆，于是出现了域名，访问计算机的时候只需要知道域名，域名和IP地址之间的变换由DNS服务器来完成。DNS用的是53号端口。
　　（3） SNMP：简单网络管理协议，使用161号端口，是用来管理网络设备的。由于网络设备很多，无连接的服务就体现出其优势。
　　（4） OICQ：OICQ程序既接受服务，又提供服务，这样两个聊天的人才是平等的。OICQ用的是无连接的协议，也是说它用的是UDP协议。OICQ服务器是使用8000号端口，侦听是否有信息到来，客户端使用4000号端口，向外发送信息。如果上述两个端口正在使用（有很多人同时和几个好友聊天），就顺序往上加。
　　在计算机的6万多个端口，通常把端口号为1024以内的称之为常用端口，这些常用端口所对应的服务通常情况下是固定的。表1所列的都是服务器默认的端口，不允许改变，一般通信过程都主要用到这些端口。

服务类型            默认端口                     服务类型           默认端口

Echo                         7                                 Daytime              13
FTP                         21                                Telnet                  23
SMTP                      25                                Time                   37
Whois                       43                               DNS                   53
Gopher                     70                               Finger                  79
WWW                     80                               POP3                  110
NNTP                    119                               IRC                     194

　　另外代理服务器常用以下端口：
　　（1）. HTTP协议代理服务器常用端口号：80/8080/3128/8081/9080
　　（2）. SOCKS代理协议服务器常用端口号：1080
　　（3）. FTP协议代理服务器常用端口号：21
　　（4）. Telnet协议代理服务器常用端口：23

三、端口在黑客中的应用
　　像木马之类的黑客程序，就是通过对端口的入侵来实现其目的的。在端口的利用上，黑客程序通常有两种方式，那就是"端口侦听"和"端口扫描"。
　　"端口侦听"与"端口扫描"是黑客攻击和防护中经常要用到的两种端口技术，在黑客攻击中利用它们可以准确地寻找攻击的目标，获取有用信息，在个人及网络防护方面通过这种端口技术的应用可以及时发现黑客的攻击及一些安全漏洞。下面首先简单介绍一下这两种端口技术的异同。
　　"端口侦听"是利用某种程序对目标计算机的端口进行监视，查看目标计算机上有哪能些端口是空闲、可以利用的。通过侦听还可以捕获别人有用的信息，这主要是用在黑客软件中，但对于个人来说也是非常有用的，可以用侦听程序来保护自己的计算机，在自己计算机的选定端口进行监视，这样可以发现并拦截一些黑客的攻击。也可以侦听别人计算机的指定端口，看是否空闲，以便入侵。
　　"端口扫描"（port scanning）是通过连接到目标系统的TCP协议或UDP协议端口，来确定什么服务正在运行，然后获取相应的用户信息。现在有许多人把"端口侦听"与"端口扫描"混为一谈，根本分不清什么样的情况下要用侦听技术，什么样的情况下要用扫描技术。不过，现在的这类软件也似乎对这两种技术有点模糊了，有的干脆把两个功能都集成在一块。
　　"端口侦听"与"端口扫描"有相似之处，也有区别的地方，相似的地方是都可以对目标计算机进行监视，区别的地方是"端口侦听"属于一种被动的过程，等待别人的连接的出现，通过对方的连接才能侦听到需要的信息。在个人应用中，如果在设置了当侦听到有异常连接立即向用户报告这个功能时，就可以有效地侦听黑客的连接企图，及时把驻留在本机上的木马程序清除掉。这个侦听程序一般是安装在目标计算机上。用在黑客中的"端口侦听"通常是黑客程序驻留在服务器端等待服务器端在进行正常活动时捕获黑客需要的信息，然后通过UDP协议无连接方式发出去。而"端口扫描"则是一种主动过程，它是主动对目标计算机的选定端口进行扫描，实时地发现所选定端口的所有活动（特别是对一些网上活动）。扫描程序一般是安装在客户端，但是它与服务器端的连接也主要是通过无连接方式的UDP协议连接进行。
　　在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在侦听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。端口侦听在网络中的任何一个位置模式下都可实施进行，而黑客一般都是利用端口侦听来截取用户口令。

四、端口侦听原理
　　以太网（Ethernet）协议的工作方式是将要发送的数据包发往连接在一起的所有计算机。在包头中包括有应该接收数据包的计算机的正确地址，因为只有与数据包中目标地址一致的那台计算机才能接收到信息包。但是当计算机工作在侦听模式下，不管数据包中的目标物理地址是什么，计算机都将可以接收到。当同一网络中的两台计算机通信的时候，源计算机将写有目的计算机地址的数据包直接发向目的计算机，或者当网络中的一台计算机同外界的计算机通信时，源计算机将写有目的计算机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP协议层交给网络接口--数据链路层。网络接口不会识别IP地址的，在网络接口中，由IP协议层来的带有IP地址的数据包又增加了一部分以太网的帧头信息。在帧头中，有两个域分别为只有网络接口才能识别的源计算机和目的计算机的物理地址，这是一个48位的地址，这个48位的地址是与IP地址相对应的。换句话说，一个IP地址也会对应一个物理地址。对于作为网关的计算机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的帧中继携带的是网关的物理地址。
　　以太网中填写了物理地址的帧从网络端口中（或者从网关端口中）发送出去，传送到物理的线路上。如果局域网是由一条粗同轴电缆或细同轴电缆连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台计算机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个计算机了。当数字信号到达一台计算机的网络接口时，正常状态下网络接口对读入数据帧进行检查，如数据帧中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据帧交给IP协议层软件。对于每个到达网络接口的数据帧都要进行这个过程的。但是当计算机工作在侦听模式下，所有的数据帧都将被交给上层协议软件处理。
　　当连接在同一条电缆或集线器上的计算机被逻辑地分为几个子网的时候，那么要是有一台计算机处于侦听模式，它可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的计算机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。
　　在UNIX系统上，当拥有超级权限的用户要想使自己所控制的计算机进入侦听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使计算机设置成侦听模式了。而在Windows 9x的系统中则不论用户是否有权限都将可以通过直接运行侦听工具就可以实现。
　　在端口处于侦听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量的整理，这样就会使正在侦听的计算机对其他用户的请求响应变的很慢。同时侦听程序在运行的时候需要消耗大量的处理器时间，如果在这时就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以侦听程序很多时候就会将侦听得到的包存放在文件中等待以后分析。分析侦听到的数据包是很头疼的事情，因为网络中的数据包都非常之复杂。两台计算机之间连续发送和接收数据包，在侦听到的结果中必然会加一些别的计算机交互的数据包。侦听程序将同一TCP协议会话的包整理到一起就相当不容易，如果还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。
　　现在网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行端口侦听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以轻松的侦听到想要的信息的。
  五、端口扫描原理
　　"端口扫描"通常指用同一信息对目标计算机的所有所需扫描的端口进行发送，然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。"端口扫描"行为的一个重要特征是：在短时期内有很多来自相同的信源地址传向不同的目的地端口的包。
　　对于用端口扫描进行攻击的人来说，攻击者总是可以做到在获得扫描结果的同时，使自己很难被发现或者说很难被逆向跟踪。为了隐藏攻击，攻击者可以慢慢地进行扫描。除非目标系统通常闲着（这样对一个没有listen端口的数据包都会引起管理员的注意），有很大时间间隔的端口扫描是很难被识别的。隐藏源地址的方法是发送大量的欺骗性的端口扫描包（1000个），其中只有一个是从真正的源地址来的。这样，即使全部包（1000）都被察觉，被记录下来，也没有人知道哪个是真正的信源地址。能发现的仅仅是"曾经被扫描过"。也正因为这样那些黑客们才乐此不彼地继续大量使用这种端口扫描技术来达到他们获取目标计算机信息、并进行恶意攻击。
　　通常进行端口扫描的工具目前主要采用的是端口扫描软件，也通称之为"端口扫描器"，端口扫描可以为提供三个用途：
　　（1）识别目标系统上正在运行的TCP协议和UDP协议服务。
　　（2）识别目标系统的操作系统类型（Windows 9x, Windows NT，或UNIX，等）。
　　（3）识别某个应用程序或某个特定服务的版本号。
　　端口扫描器是一种自动检测远程或本地计算机安全性弱点的程序，通过使用扫描器你可不留痕迹的发现远程服务器的各种TCP协议端口的分配及提供的服务，还可以得知它们所使用的软件版本！这就能让间接的了解到远程计算机所存在的安全问题。
　　端口扫描器通过选用远程TCP/IP协议不同的端口的服务，记录目标计算机端口给予的回答的方法，可以搜集到很多关于目标计算机的各种有用信息（比如：是否有端口在侦听？是否允许匿名登陆？是否有可写的FTP目录，是否能用TELNET等。
　　端口扫描器并不是一个直接攻击网络漏洞的程序，它仅仅能帮助发现目标机的某些内在的弱点。一个好的扫描器还能对它得到的数据进行分析，帮助查找目标计算机的漏洞。但它不会提供一个系统的详细步骤。
　　端口扫描器在扫描过程中主要具有以下三个方面的能力：
　　（1） 发现一个计算机或网络的能力；
　　（2） 一旦发现一台计算机，就有发现目标计算机正在运行什么服务的能力；
　　（3） 通过测试目标计算机上的这些服务，发现存在的漏洞的能力。
　　编写扫描器程序必须要很多TCP/IP协议程序编写和C，Perl和或SHELL语言的知识。需要一些Socket编程的背景，一种在开发客户/服务应用程序的方法。

五、常用端口
　　在计算机的6万多个端口，通常把端口号为1024以内的称之为常用端口，这些常用端口所对应的服务通常情况下是固定的，所以了解这些常用端口在一定程序上是非常必要的，下表2列出了计算机的常用端口所对应的服务（注：在这列表中各项"="前面的数字为端口号，"="后面的为相应端口服务。）。

1=tcpmux（TCP协议 Port Service Multiplexer）

2=compressnet=Management Utility

3=compressnet=Compression Process

5=rje（Remote Job Entry）

7=echo=Echo

9=discard

11=systat,Active Users

13=daytime

17=qotd（Quote of the Day）

18=msp（Message Send Protocol）

19=Character Generator

20=FTP-data（File Transfer [Default Data]）

21=FTP（File Transfer [Control]）

22=ssh

23=telnet

24=private mail system

25=smtp（Simple Mail Transfer）

27=nsw-fe（NSW User System FE）

29=msg-icp

31=msg-auth

33=Display Support Protocol

35=private printer server

37=time

38=rap（Route Access Protocol）

39=rlp（Resource Location Protocol）

41=graphics

42=nameserver（WINS Host Name Server）

43=nicname（Who Is）

44=mpm-flags（MPM FLAGS Protocol）

45=mpm（Message Processing Module [recv]）

46=mpm-snd（MPM [default send]）

47=ni-ftp

48=Digital Audit Daemon

49=tacacs（Login Host Protocol （TACACS））

50=re-mail-ck（Remote Mail Checking Protocol）

51=la-maint（IMP Logical Address Maintenance）

52=xns-time（XNS Time Protocol）

53=Domain Name Server

54=xns-ch（XNS Clearinghouse）

55=isi-gl（ISI Graphics Language）

56=xns-auth（XNS Authentication）

57= private terminal access

58=xns-mail（XNS Mail）

59=private file service

61=ni-mail（NI MAIL）

62=acas（ACA Services）

63=whois+whois+

64=covia（Communications Integrator （CI））

65=tacacs-ds（TACACS-Database Service）

66=sql*net（Oracle SQL*NET）

67=bootps（Bootstrap Protocol Server）

68=bootpc（Bootstrap Protocol Client）

69=tftp（Trivial File Transfer）

70=gopher

71=netrjs-1,Remote Job Service

72=netrjs-2,Remote Job Service

73=netrjs-3,Remote Job Service

74=netrjs-4,Remote Job Service

75=private dial out service

76=deos（Distributed External Object Store）

77=private RJE service

78=vettcp

79=finger

80=http（World Wide Web HTTP）

81=hosts2-ns（HOSTS2 Name Server）

82=xfer（XFER Utility）

83=mit-ml-dev（MIT ML Device）

84=ctf（Common Trace Facility）

85=mit-ml-dev（MIT ML Device）

86=mfcobol（Micro Focus Cobol）

87= private terminal link

88=kerberos

89=su-mit-tg（SU/MIT Telnet Gateway）

90=dnsix（DNSIX Securit Attribute Token Map）

91=mit-dov（MIT Dover Spooler）

92=npp（Network Printing Protocol）

93=dcp（Device Control Protocol）

94=objcall（Tivoli Object Dispatcher）

95=supdup

96=dixie（DIXIE Protocol Specification）

97=swift-rvf（Swift Remote Virtural File Protocol）

98=tacnews

99=metagram,Metagram Relay

100=newacct,[unauthorized use]

101=hostname,NIC Host Name Server

102=iso-tsap（ISO-TSAP Class 0）

103=gppitnp（Genesis Point-to-Point Trans Net）

104=acr-nema（ACR-NEMA Digital Imag. & Comm. 300）

105=Mailbox Name Nameserver

106=3com-tsmux（3COM-TSMUX）

107=rtelnet（Remote Telnet Service）

108=snagas（SNA Gateway Access Server）

109=pop2（Post Office Protocol - Version 2）

110=pop3（Post Office Protocol - Version 3）

111=sunrpc（SUN Remote Procedure Call）

112=mcidas（McIDAS Data Transmission Protocol）

113=auth（Authentication Service）

114=audionews（Audio News Multicast）

115=sftp（Simple File Transfer Protocol）

116=ansanotify（ANSA REX Notify）

117=uucp-path（UUCP Path Service）

118=sqlserv

119=nntp（Network News Transfer Protocol）

120=cfdptkt

121=erpc（Encore Expedited Remote Pro.Call）

122=smakynet

123=ntp（Network Time Protocol）

124=ansatrader（ANSA REX Trader）

125=locus-map（Locus PC-Interface Net Map Ser）

126=unitary（Unisys Unitary Login）

127=locus-con（Locus PC-Interface Conn Server）

128=gss-xlicen（GSS X License Verification）

129=pwdgen（Password Generator Protocol）

130=cisco-fna（cisco FNATIVE）

131=cisco-tna（cisco TNATIVE）

132=cisco-sys（cisco SYSMAINT）

133=statsrv（Statistics Service）

134=ingres-net（INGRES-NET Service）

135=epmap（DCE endpoint resolution）

136=profile（PROFILE Naming System）

137=netbios-ns（NETBIOS Name Service）

138=netbios-dgm（NETBIOS Datagram Service）

139=netbios-ssn（NETBIOS Session Service）

140=emfis-data（EMFIS Data Service）

141=emfis-cntl（EMFIS Control Service）

142=bl-idm（Britton-Lee IDM）

143=imap（Internet Message Access Protocol）

144=news

145=uaac（UAAC Protocol）

146=iso-tp0

147=iso-ip

148=jargon

149=aed-512（AED 512 Emulation Service）

150=sql-net

151=hems

152=bftp（Background File Transfer Program）

153=sgmp

154=netsc-prod,NETSC

155=netsc-dev,NETSC

156=sqlsrv（SQL Service）

157=knet-cmp（KNET/VM Command/Message Protocol）

158=pcmail-srv

159=nss-routing

160=sgmp-traps

161=snmp

162=snmptrap

163=cmip-man

164=cmip-agent

165=xns-courier（Xerox）

166=s-net（Sirius Systems）

167=namp

168=rsvd

169=send

170=print-srv（Network PostScript）

171=multiplex（Network Innovations Multiplex）

172=cl/1（Network Innovations CL/1）

173=xyplex-mux（Xyplex）

174=mailq

175=vmnet

176=genrad-mux

177=xdmcp（X Display Manager Control Protocol）

178=nextstep（NextStep Window Server）

179=bgp（Border Gateway Protocol）

180=ris（Intergraph）

181=unify

182=audit（Unisys Audit SITP）

183=ocbinder

184=ocserve

185=remote-kis

186=kis（KIS Protocol）

187=aci（Application Communication Interface）

188=mumps（Plus Five‘s MUMPS）

189=qft（Queued File Transport）

190=gacp（Gateway Access Control Protocol）

191=prospero（Prospero Directory Service）

192=osu-nms（OSU Network Monitoring System）

193=srmp（Spider Remote Monitoring Protocol）

194=irc（Internet Relay Chat Protocol）

195=dn6-nlm-aud（DNSIX Network Level Module Audit）

196=dn6-smm-red（DNSIX Session Mgt Module Audit Redir）

197=dls（Directory Location Service）

198=dls-mon（Directory Location Service Monitor）

199=smux

200=src（IBM System Resource Controller）

201=at-rtmp（AppleTalk Routing Maintenance）

202=at-nbp（AppleTalk Name Binding）

203=at-3（AppleTalk Unused）

204=at-echo（AppleTalk Echo）

205=at-5（AppleTalk Unused）

206=at-zis（AppleTalk Zone Information）

207=at-7（AppleTalk Unused）

208=at-8（AppleTalk Unused）

209=qmtp（The Quick Mail Transfer Protocol）

210=z39.50（ANSI Z39.50）

211=914c/g（Texas Instruments 914C/G Terminal）

212=anet（ATEXSSTR）

213=ipx

214=vmpwscs

215=softpc（Insignia Solutions）

216=CAIlic（Computer Associates Int‘l License Server）

217=dbase（dBASE Unix）

218=mpp（Netix Message Posting Protocol）

219=uarps（Unisys ARPs）

220=imap3（Interactive Mail Access Protocol v3）

221=fln-spx（Berkeley rlogind with SPX auth）

222=rsh-spx（Berkeley rshd with SPX auth）

223=cdc（Certificate Distribution Center）

242=direct

243=sur-meas（Survey Measurement）

244=dayna

245=link

246=dsp3270（Display Systems Protocol）

256=rap

257=set（Secure Electronic Transaction）

258=yak-chat（Yak Winsock Personal Chat）

259=esro-gen（Efficient Short Remote Operations）

260=openport

261=naming-iiop-ssl（IIOP Naming Service （SSL））

262=arcisdms

263=hdap

280=http-mgmt

281=personal-link

282=cableport-ax

309=entrusttime

344=pdap（Prospero Data Access Protocol）

345=pawserv（Perf Analysis Workbench）

346=zserv（Zebra server）

347=fatserv（Fatmen Server）

348=csi-sgwp（Cabletron Management Protocol）

349=mftp

350=matip-type-a

351=matip-type-b

371=clearcase

372=ulistproc（ListProcessor）

373=legent-1（Legent Corporation）

374=legent-2（Legent Corporation）

375=hassle

376=nip（Amiga Envoy Network Inquiry Proto）

377=tnETOS（NEC Corporation）

378=dsETOS（NEC Corporation）

379=is99c（TIA/EIA/IS-99 modem client）

380=is99s（TIA/EIA/IS-99 modem server）

381=hp-collector（hp performance data collector）

382=hp-managed-node（hp performance data managed node）

383=hp-alarm-mgr（hp performance data alarm manager）

384=arns（A Remote Network Server System）

385=ibm-app（IBM Application）

386=asa（ASA Message Router Object Def.）

387=aurp（Appletalk Update-Based Routing Pro.）

388=unidata-ldm（Unidata LDM Version 4）

389=ldap（Lightweight Directory Access Protocol）

390=uis

391=synotics-relay（SynOptics SNMP Relay Port）

392=synotics-broker（SynOptics Port Broker Port）

393=dis（Data Interpretation System）

394=embl-ndt（EMBL Nucleic Data Transfer）

395=netcp（NETscout Control Protocol）

396=netware-ip（Novell Netware over IP协议）

397=mptn（Multi Protocol Trans. Net.）

398=kryptolan

399=iso-tsap-c2（ISO Transport Class 2 Non-Control over TCP协议）

400=work-sol（Workstation Solutions）

401=ups（Uninterruptible Power Supply）

402=genie（Genie Protocol）

403=decap

404=nced

405=ncld

406=imsp（Interactive Mail Support Protocol）

407=timbuktu

408=prm-sm（Prospero Resource Manager Sys. Man.）

409=prm-nm（Prospero Resource Manager Node Man.）

410=decladebug（DECLadebug Remote Debug Protocol）

411=rmt（Remote MT Protocol）

412=synoptics-trap（Trap Convention Port）

413=smsp

414=infoseek

415=bnet

416=silverplatter

417=onmux

418=hyper-g

419=ariel1

420=smpte

421=ariel2

422=ariel3

423=opc-job-start（IBM Operations Planning and Control Start）

424=opc-job-track（IBM Operations Planning and Control Track）

425=icad-el（ICAD）

426=smartsdp

427=svrloc（Server Location）

428=ocs_cmu

429=ocs_amu

430=utmpsd

431=utmpcd

432=iasd

433=nnsp

434=mobileip-agent

435=mobilip-mn

436=dna-cml

437=comscm

438=dsfgw

439=dasp（dasp Thomas Obermair）

440=sgcp

441=decvms-sysmgt

442=cvc_hostd

443=https（https Mcom）

444=snpp（Simple Network Paging Protocol）

445=microsoft-ds

446=ddm-rdb

447=ddm-dfm

448=ddm-byte

449=as-servermap

450=tserver

451=sfs-smp-net（Cray Network Semaphore server）

452=sfs-config（Cray SFS config server）

453=creativeserver

454=contentserver

455=creativepartnr

456=macon-tcp

457=scohelp

458=appleqtc（apple quick time）

459=ampr-rcmd

460=skronk

461=datasurfsrv

462=datasurfsrvsec

463=alpes

464=kpasswd

465=ssmtp

466=digital-vrc

467=mylex-mapd

468=photuris

469=rcp（Radio Control Protocol）

470=scx-proxy

471=mondex

472=ljk-login

473=hybrid-pop

474=tn-tl-w1

475=tcpnethaspsrv

476=tn-tl-fd1

477=ss7ns

478=spsc

479=iafserver

480=iafdbase

481=ph（Ph service）

482=bgs-nsi

483=ulpnet

484=integra-sme（Integra Software Management Environment）

485=powerburst（Air Soft Power Burst）

486=avian

487=saft

488=gss-http

489=nest-protocol

490=micom-pfs

491=go-login

492=ticf-1（Transport Independent Convergence for FNA）

493=ticf-2（Transport Independent Convergence for FNA）

494=pov-ray

495=intecourier

496=pim-rp-disc

497=dantz

498=siam

499=iso-ill（ISO ILL Protocol）

500=isakmp

501=stmf

502=asa-appl-proto

503=intrinsa

504=citadel

505=mailbox-lm

506=ohimsrv

507=crs

508=xvttp

509=snare

510=fcp（FirstClass Protocol）

511=mynet（mynet-as）

512=exec（remote process execution）

513=login（remote login a la telnet）

514=shell,cmd

515=printer,spooler

516=videotex

517=talk（like tenex link）

518=ntalk

519=utime（unixtime）

520=efs（extended file name server）

521=ripng

522=ulp

523=ibm-db2

524=ncp

525=timed（timeserver）

526=tempo（newdate）

527=stx（Stock IXChange）

528=custix（Customer IXChange）

529=irc-serv

530=courier,rpc

531=conference,chat

532=netnews

533=netwall（for emergency broadcasts）

534=mm-admin（MegaMedia Admin）

535=iiop

536=opalis-rdv

537=nmsp（Networked Media Streaming Protocol）

538=gdomap

539=apertus-ldp（Apertus Technologies Load Determination）

540=uucp

541=uucp-rlogin

542=commerce

543=klogin

544=kshell,krcmd

545=appleqtcsrvr

546=dhcpv6-client

547=dhcpv6-server

548=afpovertcp（AFP over TCP协议）

549=idfp

550=new-rwho

551=cybercash

552=deviceshare

553=pirp

554=rtsp（Real Time Stream Control Protocol）

555=dsf

556=remotefs（rfs server）

557=openvms-sysipc

558=sdnskmp

559=teedtap

560=rmonitor

561=monitor,?

562=chshell,chcmd

563=snews

564=9pfs（plan 9 file service）

565=whoami

566=streettalk

567=banyan-rpc

568=ms-shuttle（microsoft shuttle）

569=ms-rome（microsoft rome）

570=meter,demon

571=meter,udemon

572=sonar

573=banyan-vip

574=ftp-agent（FTP Software Agent System）

575=vemmi

576=ipcd

577=vnas

578=ipdd

579=decbsrv

580=sntp-heartbeat=SNTP HEARTBEAT

581=bdp（Bundle Discovery Protocol）

600=ipcserver（Sun IP协议C server）

606=urm（Cray Unified Resource Manager）

607=nqs

608=nsift-uft（Sender-Initiated/Unsolicited File Transfer）

609=npmp-trap

610=npmp-local

611=npmp-gui

612=hmmp-ind（HMMP Indication）

613=hmmp-op（HMMP Operation）

614=sshell（SSLshell）

615=sco-inetmgr（Internet Configuration Manager）

616=sco-sysmgr（SCO System Administration Server）

617=sco-dtmgr（SCO Desktop Administration Server）

618=dei-icda

619=digital-evm

620=sco-websrvrmgr（SCO WebServer Manager）

633=servstat（Service Status update （Sterling Software））

634=ginad

635=rlzdbase

636=ssl-ldap

637=lanserver

666=mdqs

667=disclose（campaign contribution disclosures - SDR Technologies）

668=mecomm

669=meregister

670=vacdsm-sws

671=vacdsm-app

672=vpps-qua

673=cimplex

674=acap

704=elcsd（errlog copy/server daemon）

705=agentx

709=entrust-kmsh（Entrust Key Management Service Handler）

710=entrust-ash（Entrust Administration Service Handler）

729=netviewdm1（IBM NetView DM/6000 Server/Client）

730=netviewdm2（IBM NetView DM/6000 send）

731=netviewdm3（IBM NetView DM/6000 receive）

741=netgw

742=netrcs（Network based Rev. Cont. Sys.）

744=flexlm（Flexible License Manager）

747=fujitsu-dev（Fujitsu Device Control）

748=ris-cm（Russell Info Sci Calendar Manager）

749=kerberos-adm（kerberos administration）

750=rfile

751=pump

752=qrh

753=rrh

754=tell,send

758=nlogin

759=con

760=ns

761=rxe

762=quotad

763=cycleserv

764=omserv

765=webster

767=phonebook,phone

769=vid

770=cadlock

771=rtip

772=cycleserv2

773=submit

774=rpasswd

775=entomb

776=wpages

780=wpgs

786=concert

800=mdbs_daemon

801=device

886=iclcnet-locate（ICL coNETion locate server）

887=iclcnet_svinfo（ICL coNETion server info）

888=accessbuilder

911=xact-backup

991=nas（Netnews Administration System）

995=spop3（SSL based POP3）

996=vsinet

997=maitrd

998=busboy

999=garcon

1000=cadlock

1023=Reserved（保留）

1024=Reserved（保留 ）

1435=ibm-cics

七、常见木马使用的端口
　　木马程序通常都是通过特定的端口对目标计算机进行攻击的，所以了解一些常见木马程序所用的计算机端口，对于防范木马黑客程序的攻击非常有用，下表3列出了当前常见的一些木马程序所使用的端口。

国产常见木马使用端口：

19191=蓝色火焰

2000=黑洞2000

2001=黑洞2001

23444=网络公牛，netbull

23445=网络公牛，netbull

27374=Sub Seven 2.0+，77，东方魔眼

31338=Back Orifice

31338=DeepBO

31339=NetSpy DK

31666=BOWhack

34324= BigGluck

40412 =The Spy

40421= Masters Paradise

40422= Masters Paradise 1.x

40423= Masters Paradise 2.x

40426= Masters Paradise 3.x

50505 =Sockets de Troie

50766 =Fore

6267=广外女生

7306=网络精灵3.0，netspy3.0

7626=冰河

8011=wry，赖小子，火凤凰

8102=网络神偷

国外常见木马使用端口：

1001 =WebEx

1001= Silencer

1001= Silencer

1001= Silencer

1001= WebEx

10067 =Portal of Doom 4.x

1011= Doly Trojan

1011= Doly Trojan

10167= Portal of Doom 5.x

1033 =Netspy

11000 =Senna Spy

11000 =Senna Spy Trojans

11223 = Progenic Trojan

11223= Progenic trojan

1170 =Psyber Stream Server

1170 =Streaming Audio Trojan

12076 =Gjamer

121 =BO jammerkillahV

12223 = Hack?99 KeyLogger

12223= Hack?99 KeyLogger

1234= Ultors Trojan

12346 =NetBus 1.x

12361 =Whack-a-mole

12362 =Whack-a-mole 1.x

1243 =SubSeven

1245 = Vodoo

1245 =VooDoo Doll

1245= GabanBus

1245= NetBus

1492 =FTP99CMP

1492= FTP99CMP

1509 =Psyber Streaming Server

1600 =Shivka-Burka

1600= Shiva Burka

16969 =Priority

16969= Priotrity

1807= SpySender

1981 = ShockRave

1981= Shockrave

1999 =BackDoor

1999 =Backdoor

20000= Millenium

20001 =Millennium

2001 = TrojanCow

2001= Trojan Cow

20034 = NetBus Pro

20034= NetBus 2 Pro

2023 =Pass Ripper

2023= Ripper

2115= Bugs

2140 =Deep Throat

2140= The Invasor

21544＝GirlFriend

21554 =GirlFriend

22222= Prosiak 0.47

22222=Prosiak

23456 = UglyFtp

23456＝ Ugly FTP

23456= WhackJob

23456＝Evil FTP

2565 = Striker

2583 = Wincrash2

26274＝ Delta

2801 =Phineas

2801= Phineas Phucker

30100= NetSphere

30129 =Masters Paradise

30303 =Socket23

30999= Kuang

31337 ＝Back Orifice

31339 =NetSpy DK

33333＝Prosiak

34324= BigGluck=

34324= Tiny Telnet Server

3700= Portal of Doom

40412 = TheSpy

40423= Master Paradise

4092 =WinCrash

456 =Hackers Paradise

4590 =ICQTrojan

4950 = IcqTrojan

4950= IcqTrojen

5000 =Sockets de Troie

5001 =Sockets de Troie 1.x

50766 =Fore= Schwindler

53001 = Remote Windows Shutdown

53001 = Remote Windows Shutdown

53001 =Remote Windows Shutdown

5321 = Firehotcker

5321= Firehotcker

5400 = Blade Runner

5400 =Blade Runner

5401= Blade Runner 1.x

5402 =Blade Runner 2.x

555= Phase0

555= Stealth Spy

5569 =Robo-Hack

5569= RoboHack

5742 = Wincrash

61466 =Telecommando

61466= Telecommando

6400= The tHing

65000 =Devil

65000= Devil 1.03

666 =Attack FTP

666 =Satanz Backdoor

6670 =DeepThroat

6771= DeepThroat

6939 =Indoctrination

6969 =Gatecrasher

6969 =Priority

6969= GateCrasher

7000= Remote Grab

7300 =NetMonitor

7301= NetMonitor 1.x

7306 =NetMonitor 2.x

7306= NetMonitor

7307= NetMonitor 3.x

7308 =NetMonitor 4.x

7789 =ICQKiller

7789= ICKiller

9872 = Portal Of Doom

9872 =Portal of Doom

9873 =Portal of Doom 1.x

9874 =Portal of Doom 2.x

9875 =Portal of Doom 3.x

9875=Portal of Doom

9989 = InIkiller

9989 =iNi-Killer

9989= iNi-Killer

七、常见端口详解及部分攻击策略
端口可分为3大类：
1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服 务的协议。例如：80端口实际上总是HTTP通讯。
2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。
3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

 
端口1~1024是保留端口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。 常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务描述
　　1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
　　20/tcp 动态 FTP FTP服务器传送文件的端口
　　53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
　　123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播。
　　27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
　　61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器（IP Masquerade）

• 0      通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。
• 1      tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4     Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。
• 7     Echo 你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。
  常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个机器的UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见Chargen）
  另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。
  Harvest/squid cache将从3130端口发送UDP echo：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo 端口回应一个HIT reply。”这将会产生许多这类数据包。
• 11   sysstat 这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似。再说一遍：ICMP没有端口，ICMP port 11通常是ICMP type=11
• 19    chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。
• 21    ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。
• 22    ssh PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）
  还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。
  UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632（十六进制的0x1600）位交换后是0x0016 （使进制的22）。
• 23    Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。
• 25    smtp 攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。
• 53    DNS Hacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。
  需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。
• 67和68 Bootp和DHCP UDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。
  这种回应使用广播是因为客户端还不知道可以发送的IP地址。
• 69    TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件。
• 79     finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。
• 98    linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）
• 109    POP2 并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。
• 110    POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。
• 111    sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。
  常见RPC服务有：rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。
  记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。
• 113     Ident auth 这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST，着将回停止这一缓慢的连接。
• 119 NNTP news 新闻组传输协议，承载USENET通讯。当你链接到诸如：news://comp.security.firewalls/. 的地址
  时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。
• 135    oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运行Exchange Server吗？是什么版本？
  这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。
• 137   NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息，请仔细阅读文章后面的NetBIOS一节
• 139   NetBIOS
  File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。
  大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasic s cripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。
  143 IMAP 和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP 后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。
  这一端口还被用于IMAP2，但并不流行。
  已有一些报道发现有些0到143端口的攻击源于脚本。
• 161     SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。
  SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。
  HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。
• 162    SNMP trap 可能是由于错误配置
• 177    xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。
• 513    rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。
• 553    CORBA
  IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会利用这些信息进入系统。
• 600    Pcserver backdoor 请查看1524端口一些玩s cript的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.
• 635    mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口。
• 1024    许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat” 查看，每个Web页需要一个新端口。
• 1025 参见1024
• 1026 参见1024
• 1080 SOCKS
  这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
• 1114    SQL
  系统本身很少扫描这个端口，但常常是sscan脚本的一部分。
• 1243    Sub-7木马（TCP）
  参见Subseven部分。
• 1524    ingreslock后门
  许多攻击脚本将安装一个后门Shell于这个端口（尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本，如statd, ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。
• 2049    NFS
  NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS运行于这个端口，Hacker/Cracker因而可以闭开portmapper直接测试这个端口。
• 3128    squid
  这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口：8000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。
• 5632    pcAnywere
  你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。
  一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。
• 6776     Sub-7 artifact
  这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。）
• 6970       RealAudio
  RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。
• 13223     PowWow
  PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。
  它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。
• 17027     Conducent
  这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载：机器会不断试图解析DNS名—ads.conducent.com，即IP地址216.33.210.40 ；216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使用的Radiate是否也有这种现象）
• 27374     Sub-7木马(TCP)
  参见Subseven部分。
• 30100     NetSphere木马(TCP)
  通常这一端口的扫描是为了寻找中了NetSphere木马。
• 31337     Back Orifice “elite”
  Hacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的木马程序越来越流行。
• 31789      Hack-a-tack
  这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT, Remote Access Trojan）。这种木马包含内置的31790 端口扫描器，因此任何31789端口到317890端口的连接意味着已经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接）
• 32770~32900     RPC服务
  Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。
• 33434~33600     traceroute
  如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。参见traceroute部分。
• 41508 Inoculan
  早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此