furongwei 2019-12-28
我们把服务器比作一个大房子,而端口就是通向不同房间(服务)的门,不考虑细节,这个比喻很恰当。
? 入侵者要占领这件房子,取得里面的东西,就要破门而入。那对于入侵者来说,就要事先了解这个房子开了几扇门,都是些什么样的门,门后面有些什么东西就显得至关重要。
? 入侵者通常会用一些扫描器来对目标主机的端口进行扫描,以确定哪些端口是开放的,从开放的端口,入侵者可以知道目标主机大致提供了哪些服务,进而猜疑可能存在的漏洞,因此,对端口的扫描可以更好的帮助我们了解目标主机。
? 而对于管理员,扫描本机的开放端口也是做好安全防范的第一步。
? 端口分为两种:TCP端口和UDP端口
? 计算机间相互通信的时候,分为两种方式:
? 一种是发送信息以后,需要确认发送的信息是否到达,也就是有应答的方式,这种方式就是采用TCP协议;
? 另一种就是发送信息以后就不管了,不去确认信息有没有到达,这种方式就是采用UDP协议;
? 对应这两种协议的服务提供的端口,也就是TCP端口和UDP端口。
? Windows查看端口号及状态:netstat -an
? 一个计算机最多有2^16=65535个端口,端口不能重复,按端口号可分为以下几类:
? (1)公认端口:0-1023
? (2)注册端口:1024-49151
? (3)动态/私有端口:49152-65536
? 服务:FTP(文件传输协议)
? 说明:FTP数据端口
? 服务:FTP
? 说明:FTP服务器所开放的端口,用于上传、下载。
? 最常见故障:用于攻击者寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口
? 服务:SSh(安全外壳协议)
? 说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
? 服务:Telnet(远程终端协议)
? 说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
? 服务:SMTP(简单邮件传输协议)
? 说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM(垃圾邮件)。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
? 服务:DNS(域名系统)
? 说明:UDP端口,DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
? 服务:DHCP(动态主机配置协议)
? 说明:UDP端口,67端口发放IP
? 服务:DHCP(动态主机配置协议)
? 说明:UDP端口,68端口发送成功和失败回应
? 服务:TFTP(简单文件传输协议)
? 说明:是TCP/IP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议,提供不复杂、开销不大的1文件传输服务
? 服务:HTTP(超文本传输协议)
? 说明:明文传输。用于网页浏览,互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准 。木马Executor开放此端口。
? 服务:pop3(邮局协议版本3)
? 说明:是TCP/IP协议族中的一员,主要用于支持使用客户端远程管理在服务器上的电子邮件。
? 服务:NTP(网络时间协议)
? 说明:用来使网络中的各个计算机时间同步的一种协议。它的用途是把计算机的时钟同步到世界协调时UTC,其精度在局域网内可达0.1ms,在互联网上绝大多数的地方其精度可以达到1-50ms。它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)进行时间同步,它可以提供高精准度的时间校正,而且可以使用加密确认的方式来防止病毒的协议攻击。
? 服务:SNMP(简单网络管理协议)
? 说明:SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
? 服务:LDAP(轻量级目录访问协议)、ILS(定位服务)
? 说明:LDAP是一种可让任何人找到网络中的组织,个人档案或装置等其他资源的一种软件协议不论是公共因特网或企业内网络。LDAP服务和ILS服务共用389端口。
? 服务:Https(超文本传输安全协议)
? 说明:加密传输。网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。 是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层(安全套接层),HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
? 服务:LDAPS
? 说明:通过安全套接字层的轻型目录访问协议 。
? 服务:rsync
? 说明:文件传输服务
? 服务:Oracle
? 服务:MySQL
? 说明:SQL连接端口,提供客户端连接服务端 。
? 服务:php-fpm
? 说明:PHP以daemon模式运行