WINDOWS系统端口祥解.pdf

### Windows系统端口详解 #### 一、引言 在计算机网络中，端口是用于标识特定服务或进程的一种逻辑结构。每个端口由一个16位数字标识，范围从0到65535。根据IANA（Internet Assigned Numbers Authority）的规定，0到1023之间的端口号被称为“公认端口”，主要由特定服务使用；1024到49151之间的是“注册端口”，49152到65535则为“动态或私有端口”。本文档将对Windows系统中部分常见端口及其用途进行详细介绍。 #### 二、具体端口及服务 ##### 1. 端口 0 - Reserved - **服务**：保留 - **说明**：通常用于分析操作系统。0端口在某些系统中被认为是无效端口，尝试使用常规方式连接时会产生不同结果。例如，可以通过设置ACK位并以太网层广播来扫描该端口。这种方法能够帮助识别系统类型和可能存在的漏洞。 ##### 2. 端口 1 - tcpmux - **服务**：TCP多路复用 - **说明**：显示了有人正在寻找SGI IRIX系统的迹象。IRIX是tcpmux的主要实现者之一，默认情况下tcpmux在该系统中是开启状态。IRIX系统在出厂时包含了一些默认的无密码账户，如IP、GUESTUUCP、NUUCP、DEMOS、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些账户，导致黑客可以在互联网上搜索tcpmux并利用这些账户进行非法活动。 ##### 3. 端口 7 - Echo - **服务**：回声服务 - **说明**：可以看到很多人在搜索Fraggle放大器时，向子网的X.X.X.0和X.X.X.255地址发送信息。 ##### 4. 端口 19 - Character Generator - **服务**：字符生成器 - **说明**：这是一种简单地发送字符的服务。UDP版本会在接收到UDP包后回应包含随机字符的包；TCP连接时则会持续发送垃圾字符直到连接关闭。黑客可以利用IP欺骗来发动DoS攻击，通过伪造两个chargen服务器之间的UDP包，或者发动Fraggle DoS攻击，即向目标地址的19端口广播带有伪造源IP的数据包，导致受害者系统因回应这些数据包而过载。 ##### 5. 端口 21 - FTP - **服务**：文件传输协议 - **说明**：FTP服务器开放的端口，用于文件上传和下载。黑客经常寻找开启了anonymous匿名访问权限的FTP服务器，这些服务器通常允许公开读写操作。木马如Doly Trojan、Fore、InvisibleFTP、WebEx、WinCrash以及BladeRunner都会开放此端口。 ##### 6. 端口 22 - SSH - **服务**：安全Shell - **说明**：PcAnywhere建立的TCP连接可能是为了寻找SSH服务。SSH协议具有多种弱点，特别是在配置不当的情况下，使用RSAREF库的SSH版本可能存在漏洞。 ##### 7. 端口 23 - Telnet - **服务**：远程登录 - **说明**：用于远程登录UNIX系统的端口。黑客扫描此端口主要是为了找出运行的操作系统。除了传统的技术手段外，黑客还可能通过其他方式获取密码。木马TinyTelnet Server会开放这个端口。 ##### 8. 端口 25 - SMTP - **服务**：简单邮件传输协议 - **说明**：SMTP服务器开放的端口，用于发送电子邮件。黑客寻找SMTP服务器的目的是为了传递垃圾邮件。黑客的账户被关闭后，他们会尝试连接到高带宽的邮件服务器，以便将简单的信息发送到多个地址。木马如Antigen、EmailPasswordSender、HaebuCoceda、Shtrilitz Stealth、WinPC、WinSpy都会开放这个端口。 ##### 9. 端口 31 - MSG Authentication - **服务**：消息认证 - **说明**：木马Master Paradise和Hacker's Paradise会开放此端口。 ##### 10. 端口 42 - WINS Replication - **服务**：WINS复制 - **说明**：用于WINS服务器之间的复制操作。 ##### 11. 端口 53 - Domain Name Server (DNS) - **服务**：域名系统 - **说明**：DNS服务器开放的端口，用于解析域名。黑客可能会试图进行区域传递(TCP)、欺骗DNS(UDP)或隐藏其他通信。因此，防火墙通常会过滤或记录此端口。 ##### 12. 端口 67 - Bootstrap Protocol Server - **服务**：引导协议服务器 - **说明**：通过DSL和Cablemodem的防火墙经常会看到大量发送到广播地址255.255.255.255的数据。这些机器正向DHCP服务器请求一个IP地址。黑客常常侵入这些机器，分配一个地址给自己，并发起中间人攻击。客户端向68端口广播请求配置，服务器则向67端口广播回应请求。这种回应使用广播是因为客户端尚不知道自己的IP地址。 ##### 13. 端口 69 - Trivial File Transfer Protocol (TFTP) - **服务**：简单文件传输协议 - **说明**：许多服务器与BootP一起提供TFTP服务，方便从系统下载启动代码。但由于配置错误，黑客可以从系统中窃取任何文件或向系统写入文件。 ##### 14. 端口 79 - Finger Server - **服务**：Finger服务器 - **说明**：黑客用来获取用户信息、查询操作系统、探测已知的缓冲区溢出错误，以及回应从自己机器到其他机器的Finger扫描。 ##### 15. 端口 80 - HTTP - **服务**：超文本传输协议 - **说明**：用于网页浏览。木马Executor会开放此端口。 ##### 16. 端口 99 - Metagram Relay - **服务**：元报文中继 - **说明**：后门程序ncx99会开放此端口。 ##### 17. 端口 102 - Message Transfer Agent (MTA) - X.400 over TCP/IP - **服务**：消息传输代理 - **说明**：用于支持X.400标准的消息传输代理服务。 ##### 18. 端口 109 - Post Office Protocol Version 2 (POP2) - **服务**：邮政办公协议第2版 - **说明**：早期版本的邮件接收协议，现已较少使用。尽管如此，某些老旧系统或配置仍然可能开放此端口。 #### 三、总结 通过对上述Windows系统中的端口进行分析，我们可以发现不同端口对应的服务及潜在的安全风险。了解这些端口和服务有助于网络安全管理员更好地保护系统免受攻击。在实际应用中，建议关闭不必要的端口，确保只有授权的用户才能访问特定服务，并定期更新软件以修复已知的安全漏洞。此外，使用防火墙和入侵检测系统也是有效防御策略的一部分。