2007-06-0210:53

計算機〃端口〃是英文port的義譯，可以認為是計算機與外界通訊交流的出口。

其中硬件領域的端口稱接口，如：USB端口、串行端口等。軟件領域的端口

-?般指網絡中面向連接服務和無連接服務的通

協議端口，是一種抽象的軟件結構，包括一些數據結構和I/O（基本輸入輸

出）緩沖區。

可以先了解而向連接和無連接協議（Connection—Orientedand

ConnectionlessProtocols）

面向連接服務的主要特點有：面向連接服務要經過三個階段：數據傳數前，先

建立連接，連接建立

后再傳輸數據，數據傳送完后，釋放連接。面向連接服務，可確保數據傳送的

次序和傳輸的可靠性。

無連接服務的特點是：無連接服務只有傳輸數據階段。消除了除數據通信外的

其它開銷。只要發送

實體是活躍的，無須接收實體也是活躍的。它的優點是靈活方便、迅速，特別

適合于傳送少量零星的報

文，但無連接服務不能防止報文的丟失、重復或失序。

區分“面向連接服務"和“無連接服務''的概念，特別簡單、形象的例子是：打電

話和寫信。兩個人如

果要通電話，必須先建立連接一撥號，等待應答后才能相互傳遞信息，最后還

要釋放連接一掛電話。寫

信就沒有那么復雜了，地址姓名填好以后直接往郵筒一扔，收信人就能收到。

TCP/IP協議在網絡層是無

連接的（數據包只管往網上發，如何傳輸和到達以及是否到達由網絡設備來管

理）。而〃端口”，是傳輸

層的內容，是面向連接的。協議里面低于1024的端口都有確切的定義，它們

對應著因特網上常見的一些

服務。

這些常見的服務可以劃分為使用TCP端口（面向連接如打電話）和使用UDP端

口（無連接如寫信）兩

種。

網絡中可以被命名和尋址的通信端口是操作系統的種可分配資源。由網絡

OSI（開放系統互聯參考

模型，OpenSysteminterconnectionReferenceModel）七層協議可知，傳輸

層與網絡層最大的區別是

傳輸層提供進程通信能力，網絡通信的最終地址不僅包括主機地址，還包括可

描述進程的某種標識。所

以TCP/IP協議提出的協議端口，可以認為是網絡通信進程的一種標識符。

應用程序（調入內存運行后一般稱為：進程）通過系統調用與某端口建立連接

（binding,綁定）后

，傳輸層傳給該端口的數據都被相應的進程所接收，相應進程發給傳輸層的數

據都從該端口輸出。在

TCP/IP協議的實現中，端口操作類似于一?般的I/O操作，進程獲取一個端

口，相當于獲取本地唯一的

I/O文件，可以用一般的讀寫方式訪問類似于文件描述符，每個端口都擁有一

個叫端口號的整數描述符

，用來區別不同的端口。由于TCP/IP傳輸層的TCP和UDP兩個協議是兩個完

全獨立的軟件模塊，因此各自

的端口號也相互獨立。如TCP有一個255號端口，UDP也可以有一個255號端

口，兩者并不沖突。

端口號有兩種基本分配方式：第一種叫全局分配這是一種集中分配方式，由一

個公認權威的中央機

構根據用戶需要進行統一分配，并將結果公布于眾，第二種是本地分配，又稱

動態連接，即進程需要訪

問傳輸層服務時，向本地操作系統提出申請，操作系統返回本地唯一的端口

號，進程再通過合適的系統

調用，將自己和該端口連接起來（binding,綁定）。TCP/IP端口號的分配綜

合了以上兩種方式，將端

口號分為兩部分，少量的作為保留端口，以全局方式分配給服務進程。每一個

標準服務器都擁有一個全

局公認的端口叫周知口，即使在不同的機器上，其端口號也相同。剩余的為自

由端口，以本地方式進行

分配。TCP和UDP規定，小于256的端口才能作為保留端口。

按端口號可分為3大類:

(1)公認端口(WellKnownPorts)：從0到1023,它們緊密綁定

(binding)于一些服務。通常這

些端口的通訊明確表明了某種服務的協議。例如：80端口實際上總是HTTP通

訊。

(2)注冊端口(RegisteredPorts)：從1024到49151。它們松散地綁定于

一些服務。也就是說有

許多服務綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統

處理動態端口從1024左右

開始。

(3)動態和/或私有端口(Dynamicand/orPrivatePorts)：從49152到

65535o理論上，不應為

服務分配這些端口。實際上，機器通常從1024起分配動態端口。但也有例

外:SUN的RPC端口從32768開

始O

系統管理員可以〃重定向"端口:

一種常見的技術是把一個端口重定向到另一個地址。例如默認的HTTP端口是

80,不少人將它重定向

到另一個端口，如8080。如果是這樣改了，要訪問本文就應改用這個地址

http://wwd.3322.net:8080/net/port.htm（當然，這僅僅是理論上的舉

例）。

實現重定向是為了隱藏公認的默認端口，降低受破壞率。這樣如果有人要對一

個公認的默認端口進

行攻擊則必須先進行端口掃描。大多數端口重定向與原端口有相似之處，例如

多數HTTP端口由80變化而

來：81,88,8000,8080,8888。同樣POP的端口原來在110,也常被重定向

到1100。也有不少情況是選

取統計上有特別意義的數，象1234,23456,34567等。許多人有其它原因選

擇奇怪的數，42,69,

666,31337o近來，越來越多的遠程控制木馬(RemoteAccessTrojans,

RATs)采用相同的默認端口。

如NetBus的默認端口是12345。BlakeR.Swopes指出使用重定向端口還有一

個原因，在UNIX系統上，如

果你想偵聽1024以下的端口需要有root權限。如果你沒有root權限而又想

開web服務，你就需要將其安

裝在較高的端口。此外，一些ISP的防火墻將阻擋低端口的通訊，這樣的話即

使你擁有整個機器你還是

得重定向端口。

計算機常用端口一覽表:

1傳輸控制協議端口服務多路開關選擇器

2compressnet管理實用程序

3壓縮進程

5遠程作業登錄

7回顯（Echo）

9丟棄

11在線用戶

13時間

15netstat

17每日引用

18消息發送協議

19字符發生器

20文件傳輸協議（默認數據口）

21文件傳輸協議（控制）

22SSH遠程登錄協議

23telnet終端仿真協議

24預留給個人用郵件系統

25smtp簡單郵件發送協議

27NSW用戶系統現場工程師

29MSGICP

31MSG驗證

33顯示支持協議

35預留給個人打印機服務

37時間

38路由訪問協議

39資源定位協議

41圖形

42WINS主機名服務

43"綽號"whois服務

44MPM（消息處理模塊）標志協議

45消息處理模塊

46消息處理模塊（默認發送口）

47NIFTP

48數碼音頻后臺服務

49TACACS登錄主機協議

50遠程郵件檢查協議

51IMP（接口信息處理機）邏輯地址維護

52施樂網絡服務系統時間協議

53域名服務器

54施樂網絡服務系統票據交換

55ISI圖形語言

56施樂網絡服務系統驗證

57預留個人用終端訪問

58施樂網絡服務系統郵件

59預留個人文件服務

60未定義

61NI郵件？

62異步通訊適配器服務

63WHOIS+

64通訊接口

65TACACS數據庫服務

66OracleSQL*NET

67引導程序協議服務端

68引導程序協議客戶端

69小型文件傳輸協議

70信息檢索協議

71遠程作業服務

72遠程作業服務

73遠程作業服務

74遠程作業服務

75預留給個人撥出服務

76分布式外部對象存儲

77預留給個人遠程作業輸入服務

78修正TCP

79Finger（查詢遠程主機在線用戶等信息）

80全球信息網超文本傳輸協議（WWW）

81H0ST2名稱服務

82傳輸實用程序

83模塊化智能終端ML設備

84公用追蹤設備

85模塊化智能終端ML設備

86MicroFocusCobol編程語言

87預留給個人終端連接

88Kerberros安全認證系統

89SU/MIT終端仿真網關

90DNSIX安全屬性標記圖

91MITDover假脫機

92網絡打印協議

93設備控制協議

94Tivoli對象調度

95SUPDUP

96DIXIE協議規范

97快速遠程虛擬文件協議

98TAC（東京大學自動計算機）新聞協議

101usuallyfromsri-nic

102iso-tsap

103ISOMail

104x400-snd

105csnet-ns

109PostOffice

HOPop3服務器（郵箱發送服務器）

111portmap或sunrpc

113身份查詢

115sftp

117path或uucp-path

119新聞服務器

121BOjammerkillah

123networktimeprotocol(exp)

135DCEendpointresolutionnetbios-ns

137NetBios-NS

138NetBios-DGN

139win98共享資源端口(NetBios-SSN)

143IMAP電子郵件

144NeWS-news

153sgmp-sgmp

158PCMAIL

161snmp-snmp

162snmp-trap-snmp

170networkPostScript

175vmnet

194Ire

315load

400vmnetO

443安全服務

456HackersParadise

500sytek

512exec

513login

514shell-emd

515printer-spooler

517talk

518ntalk

520efs

526tempo-newdate

530courier-rpc

531conference-chat

532netnews-readnews

533netwall

540uucp-uucpd543klogin

544kshell

550new-rwho-new-who

555StealthSpy(Phase)

556remotefs-rfs_server

600garcon

666AttackFTP

750kerberos-kdc

751kerberos_master

754krb_prop

888erlogin

1001Silencer或WebEx

1010Dolytrojanvl.35

1011DolyTrojan

1024NetSpy.698(YAI)

1025NetSpy.698

1033Netspy

1042Blal.1

1047GateCrasher

1080Wingate

1109kpop

1243SubSeven

1245Vodoo

1269MavericksMatrix

1433MicrosoftSQLServer數據庫服務

1492FTP99CMP(BackOriffice.FTP)

1509StreamingServer

1524ingreslock

1600Shiv

1807SpySender

1981ShockRave

1999Backdoor

2000黑洞（木馬）默認端口

2001黑洞（木馬）默認端口

2023PassRipper

2053knetd

2140DeepThroat.10或Invasor

2283Rat

2565Striker

2583Wincrash2

2801Phineas

3129MastersParadise.92

3150DeepThroat1.0

3210SchoolBus

3389Win2000遠程登陸端口

4000OICQClient

4567FileNai1

4950IcqTrojan

5000WindowsXP默認啟動的UPNP服務

5190ICQQuery

5321Firehotcker

5400BackConstructionl.2或BladeRunner

5550Xtcp

5555rmt-rmtd

5556mtb-mtbd

5569RoboHack

5714Wincrash3

5742Wincrash

6400TheThing

6669Vampire

6670DeepThroat

6711SubSeven

6713SubSeven

6767NTRemoteControl

6771DeepThroat3

6776SubSeven

6883DeltaSource

6939Indoctrination

6969Gatecrasher,a

7306網絡精靈（木馬）

7307ProcSpy

7308XSpy

7626冰河（木馬）默認端口

7789ICQKiller

8000OICQServer

9400InCommand

9401InCommand

9402InCommand

9535man

9536w

9537mantst

9872PortalofDoom

9875PortalofDoom

9989Inlkiller

10000bnews

10001queue

10002poker

10167PortalOfDoom

10607Coma

11000SennaSpyTrojans

11223ProgenicTrojan

12076Gjamer或MSH.104b

12223Hack?9KeyLogger

12345netbus木馬默認端口

12346netbus木馬默認端口

12631Whackjob.NB1.7

16969Priotrity

17300Kuang2

20000MilleniumII(GrilFriend)

20001Mi1leniumII(GrilFriend)

20034NetBusPro

20331Bia

21554GirlFriend或Schwindler1.82

22222Prosiak

23456EvilFTP或UglyFtp或Whackjob

27374SubSeven

29891TheUnexplained

30029AOLTrojan

30100NetSphere

30303Socket23

30999Kuang

31337BackOriffice

31339NetSpy

31666B0Whackmole

31787Hackatack

33333Prosiak

33911TrojanSpirit2001a

34324TN或TinyTelnetServer

40412TheSpy

40421MastersParadise.96

40423MasterParadise.97

47878BirdSpy2

50766Fore或Schwindler

53001RemoteShutdown

54320BackOrifice2000

54321SchoolBus1.6

61466Telecommando

65000Devil

計算機“端口”是英文port的義譯，可以認為是計算機與外界通訊交流的出

口。其中硬件領域的端口又稱接口，如：USB端口、串行端口等。軟件領域的

端口i般指網絡中面向連接服務和無連接服務的通信協議端口，是一種抽象的

軟件結構，包括一些數據結構和I/O(基本輸入輸出)緩沖區。

按端口號可分為3大類:

(1)公認端口(WellKnownPorts)：從0到1023,它們緊密綁定

(binding)于一些服務。通常這些端口的通訊明確表明了某種服務的協議。例

如：80端口實際上總是HTTP通訊。

(2)注冊端口(RegisteredPorts)：從1024到49151。它們松散地綁定于

一些服務。也就是說有許多服務綁定于這些端口，這些端口同樣用于許多其它

目的。例如：許多系統處理動態端口從1024左右開始。

(3)動態和/或私有端口(Dynamicand/orPrivatePorts)：從49152到

655350理論上，不應為服務分配這些端口。實際上，機器通常從1024起分配

動態端口。但也有例外：SUN的RPC端口從32768開始。

一些端口常常會被黑客利用，還會被一些木馬病毒利用，對計算機系統進行攻

擊，以下是計算機端口的介紹以及防止被黑客攻擊的簡要辦法。

8080端口

端口說明：8080端口同80端口，是被用于WWW代理服務的，可以實現網頁瀏

覽，經常在訪問某個網站或使用代理服務器的時候，會加上“：8080”端口號,

比如http://www.cce.com.cn:8080o

端口漏洞：8080端口可以被各種病毒程序所利用,比如BrownOrifice(BrO)

特洛伊木馬病毒可以利用8080端口完全遙控被感染的計算機。另外，

RemoConChubo,RingZero木馬也可以利用該端口進行攻擊。

操作建議：一般我們是使用80端口進行網頁瀏覽的，為了避免病毒的攻擊，我

們可以關閉該端口。

端口:21

服務：FTP

說明：FTP服務器所開放的端口，用于上傳、下載。最常見的攻擊者用于尋找

打開anonymous的FTP服務器的方法。這些服務器帶有可讀寫的目錄。木馬

DolyTrojan^Fore^InvisibleFTP、WebEx、WinCrash和BladeRunner所開

放的端口。

端口:22

服務：Ssh

說明：PcAnywhere建立的TCP和這一端口的連接可能是為了尋找ssh。這一，服

務有許多弱點，如果配置成特定的模式，許多使用RSAREF庫的版本就會有不少

的漏洞存在。

端口:23

服務：Telnet

說明：遠程登錄，入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一

端口是為了找到機器運行的操作系統。還有使用其他技術，入侵者也會找到密

碼。木馬TinyTelnetServer就開放這個端口。

端口:25

服務：SMTP

說明：SMTP服務器所開放的端口，用于發送郵件。入侵者尋找SMTP服務器是

為了傳遞他們的SPAM。入侵者的帳戶被關閉，他們需要連接到高帶寬的E-

MAIL服務器上，將簡單的信息傳遞到不同的地址。木馬Antigen、Email

PasswordSender、HaebuCoceda、ShtrilitzStealth、WinPC、WinSpy都開

放這個端口。

端口：80

服務：HTTP

說明：用于網頁瀏覽。木馬Executor開放此端口。

端口：102

服務：Messagetransferagent(MTA)-X.400overTCP/IP

說明：消息傳輸代理。

端口：109

服務：PostOfficeProtocol-Versions

說明：POP3服務器開放此端口，用于接收郵件，客戶端訪問服務器端的郵件服

務。POP3服務有許多公認的弱點。關于用戶名和密碼交換緩沖區溢出的弱點

至少有20個，這意味著入侵者可以在真正登陸前進入系統。成功登陸后還有其

他緩沖區溢出錯誤。

端口：110

服務：SUN公司的RPC服務所有端口

說明：常見RPC服務有rpc.mountd、NFS、rpc.statd>rpc.csmd>

rpc.ttybd、amd等

端口:119

服務：NetworkNewsTransferProtocol

說明：NEWS新聞組傳輸協議，承載USENET通信。這個端口的連接通常是人們

在尋找USENET服務器。多數ISP限制，只有他們的客戶才能訪問他們的新聞組

服務器。打開新聞組服務器將允許發/讀任何人的帖子，訪問被限制的新聞組服

務器，匿名發帖或發送SPAM。

端口：135

月艮務：LocationService

說明：Microsoft在這個端口運行DCERPCend-pointmapper為它的DCOM服

務。這與UNIX111端口的功能很相似。使用DCOM和RPC的服務利用計算機上

的end-pointmapper注冊它們的位置。遠端客戶連接到計算機時，它們查找

end-pointmapper找到服務的位置。HACKER掃描計算機的這個端口是為了找到

這個計算機上運行ExchangeServer嗎？什么版本？還有些DOS攻擊直接針對

這個端口。

端口：137、138、139

服務：NETBIOSNameService

說明：其中137、138是UDP端口，當通過網上鄰居傳輸文件時用這個端口。而

139端口：通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被

用于windows文件和打印機共享和SAMBA0還有WINSRegisrtation也用它。

端口：161

服務：SNMP

說明：SNMP允許遠程管理設備。所有配置和運行信息的儲存在數據庫中，通過

SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers

將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能

的組合。SNMP包可能會被錯誤的指向用戶的網絡

什么是端口？

在開始講什么是端口之前，我們先來聊一聊什么是port呢？常常在網絡上聽

說f我的主機開了多少的port,會不會被入侵呀！？』或者是說f開那個

port會比較安全？又，我的服務應該對應什么port呀！？』呵呵！很神奇

吧！怎么一部主機上面有這么多的奇怪的port呢？這個port有什么作用

呢？！

由于每種網絡的服務功能都不相同，因此有必要將不同的封包送給不同的服務

來處理，所以啰，當你的主機同時開啟了FTP與WWW服務的時候，那么別人

送來的資料封包，就會依照TCP上面的port號碼來給FTP這個服務或者是

WWW這個服務來處理，當然就不會搞亂啰！（注：嘿嘿！有些很少接觸到網絡

的朋友，常常會問說：『咦！為什么你的計算機同時有FTP、WWW、E-Mail這

么多服務，但是人家傳資料過來，你的計算機怎么知道如何判斷？計算機真的

都不會誤判嗎？！』現在知道為什么了嗎？！對啦！就是因為port不同嘛！

你可以這樣想啦，有一天，你要去銀行存錢，那個銀行就可以想成是r主

機』，然后，銀行當然不可能只有一種業務，里頭就有相當多的窗口，那么你

一進大門的時候，在門口的服務人員就會問你說：「嗨！你好呀！你要做些什

么事？』你跟他說：f我要存錢呀！』，服務員接著就會告訴你：f喝！那么

請前往三號窗口！那邊的人員會幫您服務！』這個時候你總該不會往其它的窗

口跑吧？！“〃這些窗口就可以想成是FportJ啰！所以啦！每一種服務都有

特定的port在監聽！您無須擔心計算機會誤判的問題呦！）

?每一個TCP