端口对照表
端口可分为3大类:
*公认端口(Well Know Ports): 从0~1023, 它们紧密绑定于一些服务. 通常这些端口的通信明确了某种服务的协议.
*注册的端口(Registered Ports): 从1024~49151. 它们松散地绑定于一些服务. 也就是说许多服务绑定于这些端口,
这些端口同意用于许多其他目的.
*动态/私有端口(Dynamic and/or Private Ports ): 从49152~65535. 理论上部应为服务分配这些端口. 实际上.
计算机同常从1024起分配动态端口.

接下来看看端口的分配很***者的利用,
端口         @                服务               @                                             说明
0  @ Reserved  @   通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,
当你试 图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为 0.0.0.0,设置ACK位并在以太网层广播。
1   @ tcpmux     @     这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,
缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,
如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。
许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。
7    @ Echo      @      你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息
19  @ character generator  @  这是一种仅仅发送字符的服务.UDP版本将会在收到UDP包后回应含有垃圾字符的包.
TCP连接时会发送含有垃圾字符的数据流直到关闭.Hacker利用IP欺骗可以发动DoS***. 伪造两个chargen服务器之间的UDP包.
同样fraggle DoS ***向目标地址的这两个端口广播一个带有伪造受害者IP的数据包. 受害者为了回应这些数据而超载.
21  @  FTP     @  FTP服务器所开放的端口, 用于上传, 下载. ftp最常见的***者用于寻找打开“anonymous”的ftp服务器的方法。
这些服务器带有可读写的目录. ***Blade Runner,Doly Trojan ,Fore , Ivisible FTP, WebEx, Win Crash 所开放的端口
22  @  Ssh    @  PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,
许多使用RSAREF库的版本有不少漏洞。
23  @  Telnet @  远程登录,***者在搜索远程登陆UNIX的服务。大多数情况下***者扫描这一端口是为了找到机器运行的操作系统。
此外使用其它技术,***者会找到密码。***Tiny Server 所开放的端口.
25   @ SMTP@SMTP服务器所开放的端口, ***者寻找SMTP服务器是为了传递他们的spam。***者的帐户总被关闭,
他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。 
***Antigen ,Email Password Sender, Haebu Coceda ,Shtrilitz ,Stealth, Terminator, WinPC, WinSpy  所开放的端口.
31 @  MSG Authentication   @  ***Master  Paradise  ,  Hackers  Paradise 所开放的端口.
53 @   Domain  Name  Server  @  DSN  服务所开放的端口, ***者 可能是试图进行区域传递(TCP),
欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口.    
67 @  Bootstrap Protocol Server@  通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。
这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”
(man-in-middle)***。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。
这种回应使用广播是因为客户端还不知道可以发送的IP地址
69  @Trivial File  Transfer  @ 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。
但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件.
79  @Finger server  @ ***者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描
80  @ HTTP   @用于网页浏览, ***Executor所开放的端口.
99   @ Metagram Relay@ 后面程序ncx99开放的端口.
109  @ Post Office Protocol Version 2 @ POP2 端口, 并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。
在同一个服务器上POP3的漏洞在POP2中同样存在.
110  @  Post Office Protocol Version  3 @ POP3服务器所开放的端口, 用于客户端访问服务器端的邮件服务。
POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。
成功登陆后还有其它缓冲区溢出错误.
111  @SUN公司的RPC服务所用的端口 @常见PRC服务有 rpc.mountd  ,NFS  ,rpc.csmd  ,rpc.ttybd  ,amd等
113  @Authentication Service  @   这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。
使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,
尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。
记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST,
这将会停止缓慢的连接.
119  @ Network News Transfer Protocol @ news新闻组传输协议,承载USENET通讯。当你链接到诸如:news:p.security.firewalls/.
的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。
多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,
匿名发帖或发送spam.
135  @  Location Service  @  Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。
这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。
远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:
这个机器上运 行Exchange Server吗?是什么版本? 这个端口除了被用来查询服务(如使用epdump)还可以被用于直接***。
有一些DoS***直接针对这个端口.
137  @NETBIOS  name  Service @  Udp端口, 当通过网络邻居传输文件时用到这个端口.
138 @ NETBIOS Datagram Service @ Udp端口, 当通过网络邻居传输文件时用到这个端口.
139 @ NETBIOS  session service  @通过这个端口进入的连接试图获得 NetBIOS/SMB服务.
这个协议被用于Windows文件的打印机共享和SAMBA. 在Internet上共享自己的硬盘可能是最常见的问题.
143@ Interim Mail Access Protocol v2  @和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。
记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。
当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。
这一端口还被用于IMAP2,但并不流行。 已有一些报道发现有些0到143端口的***源于脚本.
161   @  SNMP @***者常探测的端口.SNMP允许远程管理设备. 所有配置和运行信息都储存在数据库中, 通过SNMP可获得这些信息.
许多管理员的错误配置将它们暴露于Internet . Crackers将试图使用默认的密码public, private访问系统.
他们可能会试验所有可能的组合.SNMP包可能会被错误的指向用户的网络.
Windows计算机常会因为错误配置将HP jetDirect remote management软件使用SNMP. HP PBJECT IDENTIFIER将收到 SNMP包.
新版的Window 98使用SNMP解析域名.,会看见这种包在子网内广播(cable modem DSL) 查询SYSName和其他信息.
177 @  X Disply Manager Control Protocol  @许多***者通过它访问X-Windows控制台. 它同时需要打开6000端口.
433@ https @网页浏览端口
456@          @*** Hackers Paradise 所开放的端口.
513@ login , remote login @是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。
这些人为Hacker进入他们的系统提供了很有趣的信息.

533@ CORBA IIOP (UDP) @使用cable modem或DSL VLAN, 将会看到这个端口的广播. CORBA是一种面向对象的RPC系统.
***者会利用这些信息进入系统.
555@ dsf  @***PhAse 1.0 , Stealth Spy , IniKiller所开放的端口
635@ mountd @ Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,
但基于TCP 的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口
(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口.
666@ Doom Id Software @***Attadk FTP , atanz Backdoor所开放的端口
1001@            @***Silencer , WebEx所开放的端口.
1011@            @***Doly Trojan   所开放的端口.
1024@ Reserved @许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,
它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。
这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,
打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。
操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口.
1025@ network blackjack @    ***netspy 所开放的端口.
1033@               @***netspy 所开放的端口.
1080@  SOCKS @这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。
理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,
它会允许Hacker/Cracker的位于防火墙外部的***穿过防火墙。或者简单地回应位于Internet上的计算机,
从而掩饰他们对你的直接***。WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。
在加入IRC聊天室时常会看到这种情况. 1170@           @   *** streaming Audio Trojan , Psyber Server , Voice所开放的端口
1234@           @   *** SubSeven 2.0 , Ultors Trojan所开放的端口
1243@           @ 木 马 SubSeven 1.0/1.9 所开放的端口.
1245@           @  *** Vodoo  所开放的端口
1433@ SQL @ 微软公司SQL服务所开放的端口
1492@ stone – design –1 @ ***FTP99 CMP 所开放的端口.
1524@ ingress @  许多***脚本将安装一个后门Sh*ll 于这个端口
(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd,ttdbserver和cmsd)。
如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,
看看它是否会给你一个Shell 。连接到600/pcserver也存在这个问题.
1600@ issd    @ *** Shivka-Burka所开放的端口.
1807@           @  *** SpySender  所开放的端口.
1981@           @*** Shock Rave所开放的端口.
1999@  cisco identification port @***  BackDoor  所开放的端口
2000@           @  *** GirlFriend 1.3 , Millenium 1.0所开放的端口
2001@           @*** Millenium 1.0 , Trojan Cow  所开放的端口
2023@xinuexpansion 4  @*** Pass Ripper  所开放的端口.
2049@ NFS    @NFS程序常运行于这个端口, 通常需要访问portmapper查询这个服务运行于哪个端口.
2115@           @***Bugs  所开放的端口
2140@           @***Deep Throat 1.0/3.0  所开放的端口.
2583@           @*** Wincrash 2.0  所开放的端口
2801@           @  ***Phineas Phucker  所开放的端口
3024@           @***  WinCrash  所开放的端口
3128@ squid @这是Squid HTTP代理服务器的默认端口。***者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。
你也会看到搜索其它代理服务器的端口: 000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。
其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理.

3129@           @  *** Masters Paradise所开放的端口
3150@           @*** Deep Throat  1.0 /3.0 , The Invasor  所开放的端口
3210@           @  *** School Bus 所开放的端口
3333@  dec-notes  @ ***  Prosiak  所开放的端口
3389@  超级终端  @  Windows 2000 Server 版超级终端所开放的端口
3700@            @ *** portal of Doom  所开放的端口
3996@            @  ***  RemoteAnything所开放的端口
4000@ OICQ   @腾迅 OICQ客户端
4060@            @*** RemoteAnything  所开放的端口
4092@            @  *** WinCrash  所开放的端口
4321@            @***   School Bus  所开放的端口
4590@            @***   ICQ Trojan  所开放的端口
5000@            @***  blazer5 , Sockets de Troie  所开放的端口
5001@            @*** Sockets de Troie所开放的端口
5321@            @*** Sockets de Troie所开放的端口
5400@            @*** Blade Runner  所开放的端口
5401@            @*** Blade Runner  所开放的端口
5402@            @*** Blade Runner  所开放的端口
5550@            @ *** xtcp  所开放的端口
5569@            @ *** Robo –Hacker 所开放的端口
5632@ pcAnywere @有时会看到很多这个端口的扫描, 这依赖于你所在的位置。当用户打开pcAnywere时,
它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,
所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包.
5742@             @***WinCrash 1.03 所开放的端口.
6267@             @*** 广外女生 所开放的端口.
6400@             @ ***the tHing  所开放的端口
6670@             @***Deep Throat 所开放的端口.
6671@             @***Deep Thtoat 3.0 所开放的端口
6711@             @ ***SubSeven 1.0/1.9 所开放的端口
6776@             @***SubSeven 1.0/1.9 /2.0 所开放的端口
6883@             @***DeltaSource 所开放的端口
6969@             @ ***Gatecrasher, Priority 所开放的端口
6970 @RealAudio @RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置.
7000@            @*** Remote Grab 所开放的端口
7300@            @***NetMonitor 所开放的端口
7301@            @***NetMonitor 所开放的端口
7306@            @***NetSpy1.0 (网络间谍), NetMonitor 所开放的端口
7307@            @***NetMonitor  所开放的端口
7308@            @***NetMonitor  所开放的端口
7323@            @Sygate 服务端
7626@            @***Giscier (冰河) 所开放的端口
7789@            @***ICKiller 所开放的端口
8000@  OICQ  @腾迅OICQ服务器端
8010@  Wingate   @Wingate代理开放的端口.
8080@ 代理端口 @WWW代理端口
9400@            @*** Incommand 1.0 所开放的端口
9401@            @*** Incommand 1.0 所开放的端口
9402@            @*** Incommand 1.0 所开放的端口
9872@            @*** Portal of Doom 所开放的端口
9873@            @*** Portal of Doom 所开放的端口
9874@            @*** Portal of Doom 所开放的端口
9875@            @*** Portal of Doom 所开放的端口
9989@            @*** iNi-Killer 所开放的端口
10067@           @***Portal of Doom 所开放的端口
10167@           @***Portal of Doom 所开放的端口
11000@           @***SennaSpy 所开放的端口
11223@           @***Progenic trojan所开放的端口
12076@           @***Telecommando 所开放的端口
12223@           @***Hack'99 KeyLogger所开放的端口
12345@           @***Netbus 1.60/1.70 , GabanBus 所开放的端口
12346@           @***Netbus 1.60/1.70 , GabanBus 所开放的端口
12361@           @***Whack-a-mole所开放的端口
13223@ PowWow    @PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。
这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。
如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。
这一协议使用“OPNG”作为其连接企图的前四个字节.
16969@             @***priotrity所开放的端口
17027@ Conducent @这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。
Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。
有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
机器会不断试图解析DNS名─ads.conducent.com,即IP地址216.33.210.40 ;
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41.
19191@            @***蓝色火焰 所开放的端口
20000@            @*** millennium 所开放的端口
20001@            @*** millennium 所开放的端口
20034@            @*** NetBus Pro  所开放的端口
21554@            @***GirlFriend 所开放的端口
22222@            @***Prosiak 所开放的端口
23456@            @***Evil FTP , Ugly FTP 所开放的端口
26274@            @***Delta 所开放的端口
27374@            @***Subseven 2.1所开放的端口
30100@            @***NetSphere所开放的端口
30303@            @***Socket23所开放的端口
30999@            @***Kuang所开放的端口
31337@            @***BO(Back Orifice)所开放的端口
31338@            @***BO(Back Orifice),DeepBO所开放的端口
31339@            @***NetSpy DK所开放的端口
31666@            @***BOWhack所开放的端口
33333@            @***Prosiak所开放的端口
34324@            @***Tiny Telnet Server, BigGluck ,TN 所开放的端口
40412@            @***The Spy 所开放的端口
40421@            @***Masters paradise所开放的端口
40422@            @***Masters paradise所开放的端口
40423@            @***Masters paradise所开放的端口
40426@            @***Masters paradise所开放的端口
43210@            @***SchoolBus 1.0/2.0所开放的端口
44445@            @***Happypig所开放的端口
47262@            @***Delta所开放的端口
50505@            @***Sockets de Troie所开放的端口
50766@            @***Fore所开放的端口
53001@            @***Remote Windows Shutdown所开放的端口
54321@            @***SchoolBus 1.0/2.0 所开放的端口
61466@            @***Telecommando所开放的端口
65000@            @***Devil 1.03 所开放的端口