计算机常用端口对照表.doc

如果有不明白的地方或者陌生的端口可以在这里查到。以便于检查系统是否感染病毒或木马。但是在有防火墙的情况下，一般的防火墙都是严格审核程序的网络连接的，所以会预先封闭所有的端口，有需要访问网络的程序会预先向防火墙提出申请，防火墙做出响应，并弹出提示，要求用户做出选择，这时候我们就要认真看了，是哪一个程序，在文件夹的哪一个位置，要做一个估计，陌生程序就更要检查。这样才能不给恶意程序任何余地。同时系统自动升级最好打开，或者定期到windows的微软网站下载系统更新程序，这样也非常有利于系统安全。系统漏洞可能会使恶意程序通过系统漏洞绕过防火墙连接到网络。. m- K! Q9 x( F; h+ 5 Y, ) Z6 ?6 O# |以下端口只做研究之用（一般有了防火墙了以后，会有一定的保障了）8 u5 Z0 v2 C3 h% P( ?1 m& n- c5 l2 b H5 T( ?* T. ; Y( o端口：1 / c! v: |5 s/ f% z/ H服务：tcpmux : F; Z, z, 4 n说明：这显示有人在寻找sgi irix机器。irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。irix机器在发布是含有几个默认的无密码的帐户，如：ip、guest uucp、nuucp、demos 、tutor、diag、outofbox等。许多管理员在安装后忘记删除这些帐户。因此hacker在internet上搜索tcpmux并利用这些帐户。 4 f3 q# R) H+ e$ E1 q! k8 o% J+ c) D0 S) R W* N% 端口：7 7 E9 T) V) S- l( 服务：echo ( Z8 J3 # 0 H! Z0 k# 说明：能看到许多人搜索fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。 2 G6 W( o& X3 p& G0 z0 : Z1 l端口：19 , Q. K9 I$ v9 q) w9 I服务：character generator 1 # N) O: Y. O0 p/ Ho说明：这是一种仅仅发送字符的服务。udp版本将会在收到udp包后回应含有*字符的包。tcp连接时会发送含有*字符的数据流直到连接关闭。hacker利用ip欺骗可以发动dos攻击。伪造两个chargen服务器之间的udp包。同样fraggle dos攻击向目标地址的这个端口广播一个带有伪造受害者ip的数据包，受害者为了回应这些数据而过载。 # V. & c4 / b. k# 3 # H2 F: q4 p( m端口：21 : S# O4 b* _2 U 1 e# Q服务：ftp ; L! J+ y, S7 d9 D) A6 H说明：ftp服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的ftp服务器的方法。这些服务器带有可读写的目录。木马doly trojan、fore、invisible ftp、webex、wincrash和blade runner所开放的端口。 9 X$ x* V! u1 g0 r$ Q$ V- |/ J- p+ 端口：22 q. m& 4 z/ P0 Z i% 服务：ssh * M- h7 d. Sj O% v说明：pcanywhere建立的tcp和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用rsaref库的版本就会有不少的漏洞存在。 8 2 M/ n ?$ J( w7 h5 O+ e: k6 ?& v& & q r端口：23 / |9 A7 9 7 d% 6 ) 6 g+ I服务：telnet G) $ ?: W0 m! E+ R说明：远程登录，入侵者在搜索远程登录unix的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马tiny telnet server就开放这个端口。 % t+ 1 g5 9 I, q) f9 y% C) H. _2 k+ M! g端口：25 ( e_ d( x* o, F服务：smtp 6 % ; A% f, q2 d A y& 1 M5 C1 v7 P说明：smtp服务器所开放的端口，用于发送邮件。入侵者寻找smtp服务器是为了传递他们的spam。入侵者的帐户被关闭，他们需要连接到高带宽的email服务器上，将简单的信息传递到不同的地址。木马antigen、email password sender、haebu coceda、shtrilitz stealth、winpc、winspy都开放这个端口。 2 r& a! N7 0 ?1 V5 R4 l- nj Q4 端口：31 , g8 ) u: J( |6 G6 p服务：msg authentication . Y: E# M1 M* b5 T1 Z0 W- : v3 x说明：木马master paradise、hackers paradise开放此端口。 2 ?4 B$ F% e* d S1 z4 m j9 e* I2 P* + g0 Q9 S) r6 h! q$ G6 S端口：42 5 J( a|3 k, I% S2 B# f: h% 服务：wins replication - E- j) ?9 V3 q: s1 G说明：wins复制 z. f/ y/ N n. g( g9 U2 7 O U0 a2 p5 V端口：53 U# ; ; D, D3 p8 O服务：domain name server（dns） + E X4 A# z- q: / i( T( 说明：dns服务器所开放的端口，入侵者可能是试图进行区域传递（tcp），欺骗dns（udp）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。 ; K( G3 x5 N9 T; n3 a7 h2 D8 I; t3 ?! k端口：67 & F0 + E3 4 h3 Y1 v. u9 服务：bootstrap protocol server m+ |Y/ Q: T( N说明：通过dsl和cable modem的防火墙常会看见大量发送到广播地址55的数据。这些机器在向dhcp服务器请求一个地址。hacker常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（maninmiddle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的ip地址。 4 J* d: z) q: d9 x. l+ E?( v1 ?( e% |端口：69 ; i4 o4 U2 D. H+ M服务：trival file transfer ) E4 J1 $ 6 6 l6 P说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 9 5 R% _* l1 q( w4 + / ) b& E0 Y/ K8 c端口：79 ( L- g8 7 tQb0 i6 K服务：finger server + O! r D; L! I, Z% J9 i: Z说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器finger扫描。 0 k6 O3 a# M. ) o$ s* l, Q C Z x# D Z2 g端口：80 $ W& h p* n. I1 b- U0 服务：http 0 l/ D+ 5 n$ v$ x) q( y9 X说明：用于网页浏览。木马executor开放此端口。 , e a M, P; H! m9 |: U0 K% C2 n/ 端口：99 : Z) C X7 8 Q! z- _6 f E5 B服务：metagram relay 4 l. Y5 w( U: : K说明：后门程序ncx99开放此端口。 * F- C7 G% R* ( L+ n+ w8 2 A& h% A+ P8 F M端口：102 , _8 S- Q , t服务：message transfer agent(mta)x.400 over tcp/ip 6 o4 e3 ?) Q5 T- 4 j3 O说明：消息传输代理。 R3 - Za* N1 q7 x j& v( s& e G: h7 c( - x. _端口：109 ; 5 j: c* ?8 z( L/ M1 n& 服务：post office protocol version3 2 w% K# v2 Y5 n. U- G# r6 H% n) v6 U说明：pop3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。pop3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 4 F- ( z/ n- Z$ jf# l w/ c I8 Q4 P9 端口：110 # | A# Q& g3 U& J+ u4 d$ Q服务：sun公司的rpc服务所有端口 1 E. N3 M, t7 U说明：常见rpc服务有rpc.mountd、nfs、rpc.statd、rpc.csmd、rpc.ttybd、amd等 . f6 l/ D& # W) f! i5 w h; T0 C7 U9 U+ H3 g: e- M- # ?, p端口：113 * L# c# t4 c# X% t6 _5 W6 服务：authentication service + ?1 X5 s7 h# W, h y说明：这是一个许多计算机上运行的协议，用于鉴别tcp连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是ftp、pop、imap、smtp和irc等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与email服务器的缓慢连接。许多防火墙支持tcp连接的阻断过程中发回rst。这将会停止缓慢的连接。 7 * C& o; - M. E. _A2 |+ u7 U) Q( o0 v, 端口：119 5 S4 v/ # x! p: J$ v5 g服务：network news transfer protocol 9 f$ E+ & 3 h8 s说明：news新闻组传输协议，承载usenet通信。这个端口的连接通常是人们在寻找usenet服务器。多数isp限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。 8 q/ j( |1 H& 8 2 l& n% Q. A1 ) e* r) w6 6 I6 P! u I端口：135 ! c! bj: X4 1 : T服务：本地 service 3 x; h2 C& h4 n. D0 g% B说明：microsoft在这个端口运行dce rpc endpoint mapper为它的dcom服务。这与unix 111端口的功能很相似。使用dcom和rpc的服务利用计算机上的endpoint mapper注册它们的位置。远端客户连接到计算机时，它们查找endpoint mapper找到服务的位置。hacker扫描计算机的这个端口是为了找到这个计算机上运行exchange server吗？什么版本？还有些dos攻击直接针对这个端口。 # O$ H5 |* M; B% f$ K5 B ?( y/ c: K A& l& O. ?0 w& x端口：137、138、139 ) A5 S5 u! p% AZ, o5 W# P服务：netbios name service X8 n6 m: |; _1 c7 T/ o说明：其中137、138是udp端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得netbios/smb服务。这个协议被用于windows文件和打印机共享和samba。还有wins regisrtation也用它。 5 M! V$ u. Y+ z9 n1 l% n$ e( f7 Q- ! x8 c端口：143 6 X9 o. M8 g( 3 c* ?# z! T3 r服务：interim mail access protocol v2 # U W8 7 f6 i说明：和pop3的安全问题一样，许多imap服务器存在有缓冲区溢出漏洞。记住：一种linux蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当redhat在他们的linux发布版本中默认允许imap后，这些漏洞变的很流行。这一端口还被用于imap2，但并不流行。 ; z. _, M, K) ah0 o& g1 4 M A3 Y端口：161 & A2 E. D# & x0 n- G! l+ E服务：snmp 9 R1 RQ% e3 T% ; R说明：snmp允许远程管理设备。所有配置和运行信息的储存在数据库中，通过snmp可获得这些信息。许多管理员的错误配置将被暴露在internet。cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。snmp包可能会被错误的指向用户的网络。 # F( Q4 J& g! L, t0 . i# x3 g) M! t$ u( Z2 V, P- C端口：177 5 O9 e# ?- t% 2 V/ _0 / b服务：x display manager control protocol w M; L( W! z1 l) v说明：许多入侵者通过它访问xwindows操作台，它同时需要打开6000端口。 , P) 0 b?% N+ |* + / W% w A, ?, t+ e% R# d1 E1 G( U端口：389 # j) c, 2 n2 _$ O: q服务：ldap、ils 9 i. ox; p; U( 7 E& B& R说明：轻型目录访问协议和netmeeting internet locator server共用这一端口。 v, V) k- X$ M7 j; |* x8 g8 c! F3 t- u9 e9 v1 h! e端口：443 . R! Y0 . v i1 G$ x1 b8 |3 / q服务：https ( D3 J! ?5 Z, o/ M说明：网页浏览端口，能提供加密和通过安全端口传输的另一种http。 7 n; a. N; m& I% K5 |1 r4 r% X, A) z8 w端口：456 5 6 - V: n& e服务：【null】 $ u$ % b4 k; _- B4 T7 : t说明：木马hackers paradise开放此端口。 1 o E6 + h+ _* _) H. e8 g+ F9 2 p3 I$ J端口：513 ! R# M1 X) K( i服务：login,remote login & F1 K- a& d! / A9 W1 G1 ; H说明：是从使用cable modem或dsl登陆到子网中的unix计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。 5 ?7 t1 o% E% c- N|0 | a) N D0 R: a# O f4 O$ a- U7 L$ I# 1 z/ q端口：544 # Q7 N+ I8 I. j4 V0 # 服务：【null】 8 X5 N. Y0 l3 l说明：kerberos kshell & m7 n- H! I, e# v/ T H9 C S0 VR* H8 A; Q端口：548 . x/ M: w! H4 u服务：macintosh,file services(afp/ip) . u7 U7 g4 m& H& K8 V说明：macintosh,文件服务。 U7 _9 k1 g# O0 2 E+ N6 h6 Y( M! E# L9 s端口：553 1 f- A* d% w& S8 m3 |服务：corba iiop （udp） . ?( 0 w9 P# U1 g+ ! 说明：使用cable modem、dsl或vlan将会看到这个端口的广播。corba是一种面向对象的rpc系统。入侵者可以利用这些信息进入系统。 7 G o) u; i( E A! + C/ z6 W R! o- L& X: t7 ! Y& g端口：555 ! $ R) V# A( U3 d服务：dsf 9 p0 n8 b5 7 P% ?2 ?4 U* 说明：木马phase1.0、stealth spy、inikiller开放此端口。 / G_- i1 F/ D, ( y: Z0 R2 N7 e端口：568 4 Xs i) x6 l0 m6 T% b! Z服务：membership dpa b4 ! m6 * q( . l0 m9 W/ W! MB说明：成员资格 dpa。 C- u; o% L/ U: Q6 s S+ J8 T( i0 z+ C( _4 t) 端口：569 ) H% E* B& a K9 kH5 s C: w2 T服务：membership msn 8 5 s7 K7 H4 z5 ?1 v0 Q* D; r$ B- r说明：成员资格 msn。 4 n3 : e0 X j( z r9 ! x9 Y0 JX端口：635 4 3 m6 E0 I8 ?4 j+ 6 y% D服务：mountd ! X: ( Z% K( c说明：linux的mountd bug。这是扫描的一个流行bug。大多数对这个端口的扫描是基于udp的，但是基于tcp的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是linux默认端口是635，就像nfs通常运行于2049端口。 |) r3 D; K( q6 j+ S: A5 m# J( s0 h8 d$ p8 |7 K9 t端口：636 # & n8 G* T) _& K! Z服务：ldap ; T / y6 B0 K说明：ssl（secure sockets layer） % j0 J$ H( e$ f* V0 d4 l0 Y5 T; F8 q* O% J端口：666 q& d: T% / 5 q服务：doom id software 5 S- u# N0 ; i* 3 u$ r说明：木马attack ftp、satanz backdoor开放此端口 9 C2 g% z, c/ x) i+ f6 O* t. S( k/ D- U( & p) e端口：993 ) 6 i5 5 h* D. % V. 服务：imap * s; _+ : x4 , v: Q- s说明：ssl（secure sockets layer） 1 O+ J1 L/ Hy5 e& ox, n0 ?! W0 3 F- k4 e! t( z8 G- 端口：1001、1011 * * 2 0 z5 x: C& V服务：【null】 5 Wj& S( l& B2 c, l x& m3 P0 c说明：木马silencer、webex开放1001端口。木马doly trojan开放1011端口。 V8 s$ v, k: $ $ i: A. o/ l+ Z- l! P# ( _0 D5 b% U. 端口：1024 1 L_3 h- : p4 p1 v) N服务：reserved + A9 d e( $ 说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开telnet，再打开一个窗口运行natstat a 将会看到telnet被分配1024端口。还有sql session也用此端口和5000端口。 2 c$ , M5 n3 . x/ w/ _5 + r% L% d M- g1 n, h) X& E端口：1025、1033 Q6 C/ ?! b* _3 M. _6 r. t服务：1025：network blackjack 1033：【null】 e! | a9 $ ) P2 w/ m; B w说明：木马netspy开放这2个端口。 ( p! U/ W. 0 2 q9 N3 S6 ?4 U- , l: ! d8 G8 g端口：1080 f9 . t* e& P$ G. q服务：socks 3 x6 R2 t1 0 f0 Q S说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个ip地址访问internet。理论上它应该只允许内部的通信向外到达internet。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。wingate常会发生这种错误，在加入irc聊天室时常会看到这种情况。6 C) _ ?$ w, E6 J: j; 端口：1170 1 v3 + U1 / n; H! B2 J+ j. u服务：【null】 / # l6 Y% m) _说明：木马streaming audio trojan、psyber stream server、voice开放此端口。 0 3 b8 _! ! 5 I* M) y+ y) C( J h. a/ ! w端口：1234、1243、6711、6776 : K. T* w7 j _$ _! v服务：【null】 + X; ) ?# A2 N5 O: N$ O5 c说明：木马subseven2.0、ultors trojan开放1234、6776端口。木马subseven1.0/1.9开放1243、6711、6776端口。 t. S( z: J) 7 X+ L, F2 1 d. K# w1 HK端口：1245 ) o) iXx7 TW! 服务：【null】 / M) y* d T8 p1 说明：木马vodoo开放此端口。 : m& F7 d# W( p! 3 I% t) I3 A6 k! u5 X- U端口：1433 $ 8 Y4 D5 y& P0 h5 P服务：sql ; A( , 1 v% i7 e6 u8 M说明：microsoft的sql服务开放的端口。 C9 j7 F( 4 _Y& E T8 S4 E) ?/ E; O* H! 9 o- I. k端口：1492 + P; R0 s4 Y1 S8 b5 J8 h服务：stonedesign1 5 _. o) K, q; X5 I说明：木马ftp99cmp开放此端口。 # v: D! P8 J& L% g/ u2 A: T, j6 X2 j; a9 y端口：1500 $ U. m% m& G0 j+ i0 o$ R服务：rpc client fixed port session queries ; C9 d( H r5 WBc说明：rpc客户固定端口会话查询 # b* E0 K) i6 B( I. t5 s: T0 I% D, R: U6 F# * T2 j: f3 W端口：1503 7 v7 h g4 Q; h1 - L+ X5 S+ P, l服务：netmeeting t.120 ( q3 9 O( : u说明：netmeeting t.120 ! G6 m7 i# 1 _( Y l3 h, g4 z& L- q R6 M* H g端口：1524 0 E; R6 T2 : | r; F$ P服务：ingress ( # N, J5 j% u9 C7 o* V2 Z说明：许多攻击脚本将安装一个后门shell于这个端口，尤其是针对sun系统中sendmail和rpc服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试telnet到用户的计算机上的这个端口，看看它是否会给你一个shell。连接到600/pcserver也存在这个问题。 ; L, _0 M8 r8 W2 y9 Q3 k5 p l/ W8 M1 m1 N. 0 , w7 Q端口：1600 ! j- ! I: u: / o$ c3 i5 ?! 7 C服务：issd * V+ L3 2 I2 aV/ * L说明：木马shivkaburka开放此端口。 0 S C9 j0 1 f8 0 % h T( W) y5 V* # d端口：1720 $ E. / Y3 v2 s- $ O& g服务：netmeeting 6 H$ u5 i* w# ) b8 D0 B3 b说明：netmeeting h.233 call setup。 ! X5 j/ % U5 i 1 X; l! A; V) ) K- ! V端口：1731 . h# D- H6 f6 G% * S9 O, t服务：netmeeting audio call control & r: B/ o t/ $ P说明：netmeeting音频调用控制。 ; Q9 6 ?: Q p+ Z6 9 Z y v: B$ m% J) G# U% F- f: N端口：1807 2 c# R. T- m; J3 Y6 h& d, F, Z服务：【null】 _7 S7 c7 n7 Q% Z 9 z% E3 l& ) B说明：木马spysender开放此端口。 1 V) 5 ( g; i1 U( |4 e5 Y# ?% |! j, s8 T! j5 h+ 5 u端口：1981 1 x0 G/ w5 e; ! C1 d服务：【null】 1 8 I2 ; T4 L7 7 U# d说明：木马shockrave开放此端口。 7 # w, M: s/ H2 |+ ( h6 p) , i7 G4 y I1 G* Y: J; K0 i端口：1999 8 Q4 4 r8 p( aT1 L4 S服务：cisco identification port 2 - J: x) g. a, Z# t8 t说明：木马backdoor开放此端口。 cEE3 X. i, ?9 H. W2 Y: I Zm端口：2000 8 |6 l7 r. F+ z服务：【null】 - g) X2 k. R+ z# ! w$ f说明：木马girlfriend 1.3、millenium 1.0开放此端口。 + W1 O2 r% a7 ( S# c* f( R& X( 5 r( e* # W. t3 U端口：2001 + ) q8 , n6 c0 o* 服务：【null】 : 2 r1 i$ V说明：木马millenium 1.0、trojan cow开放此端口。 1 q* # T) o ( Z% P4 lN; S& L7 v3 |端口：2023 & t+ K% I7 M7 E0 $ _5 # a- y服务：xinuexpansion 4 t- i4 z5 1 B7 j2 说明：木马pass ripper开放此端口。 / Q. r$ U: L9 s8 I3 l% n4 k0 n/ G8 F端口：2049 + ! M( & ( Y9 y服务：nfs % D! W : j. V说明：nfs程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口。 3 W9 M: U$ % G z2 F! _, WC- M, a# T. u$ ) Y端口：2115 ( n# Z9 _( q! d! C/ _: C7 m# i服务：【null】 - U8 j% h: v8 ?% x) E1 w4 S3 U0 说明：木马bugs开放此端口。 R/ o; m7 L1 D4 2 M; D, 6 r0 x1 a端口：2140、3150 - r( i1 L9 y8 : t7 A r服务：【null】 9 2 * Na1 k K说明：木马deep throat 1.0/3.0开放此端口。 - |0 Q4 r2 e/ Q# 1 c1 5 / . d( v4 D; 端口：2500 7 H9 ?0 % H0 服务：rpc client using a fixed port session replication * |5 n0 W% s/ B, J( c1 ?& f说明：应用固定端口会话复制的rpc客户 ) $ Y; P1 m U8 ( r2 h6 _ x- D# D8 n0 h s# Y% i端口：2583 % K1 ) ! l8 L! r5 |1 L/ M8 h4 I服务：【null】 w5 9 t) e7 _说明：木马wincrash 2.0开放此端口。 ( o8 g- Aj$ S5 U. Y5 o. ! ?% $ - M: V) j: X# W端口：2801 : S5 P7 2 E2 W) z服务：【null】 + A0 L: O?3 h* j. t说明：木马phineas phucker开放此端口。 ! n: j% Z. 2 _; 0 W3 j ?( Y) M1 & D端口：3024、4092 8 K* c5 g( Y5 I1 I8 c- g8 C1 e服务：【null】 ) e% |: F! A1 6 0 w2 I. h说明：木马wincrash开放此端口。 4 P8 P0 p0 x% y# J9 H8 b. , A端口：3128 , WR( x7 T/ p- A0 5 n服务：squid ; v! s2 U, L; T/ r9 说明：这是squid http代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。 1 |+ * 7 i t$ G: x9 F( T& q1 Z. & t1 N) ?端口：3129 4 b4 w; l, t) Y8 d+ E服务：【null】 & Z% p0 c* s* a说明：木马master paradise开放此端口。 4 ?! ! R* s- 7 c% 6 c+ N, J8 s# B. S0 F q, b端口：3150 % E G! H/ |! q/ G! p3 N. X服务：【null】 - A) e/ a0 F3 J0 L W) r说明：木马the invasor开放此端口。 $ P9 y2 _ e; y7 m$ _( * T8 h* I2 a* o w: N- s# D端口：3210、4321 2 R7 : J- q$ q服务：【null】 : F7 c, s7 h# F8 Bt; C说明：木马schoolbus开放此端口 ! & E4 j5 _/ a2 ?( h$ V* i; X d6 0 H- n8 I/ J( % C6 t# 端口：3333 1 k; R% O0 8 h6 Z服务：decnotes ! |. w5 2 w- _1 _# C1 B8 I说明：木马prosiak开放此端口 2 E) c) H7 |% u& X. t2 _& f) 8 j w- v端口：3389 0 P p. i2 aF s服务：超级终端 4 U0 A$ g* h, D3 O% : g! d9 H说明：windows 2000终端开放此端口。 * I* G8 Z5 u! Y5 a6 Y! J# y1 a1 o; j& r端口：3700 3 8 K9 a& g/ C* s8 N! X1 0 d/ G服务：【null】 - y. M1 l: w2 c* A说明：木马portal of doom开放此端口 ( K% GU- c% F* 1 D( E- t3 4 M, J0 j4 J4 r J端口：3996、4060 0 i: b& b& t8 p! r+ r3 8 6 K5 V服务：【null】 9 - b( Z0 v2 o0 K3 说明：木马remoteanything开放此端口 5 2 s1 y* % t! A! R2 v8 N4 C( j& K2 ?/ n端口：4000 4 b, ?1 Q* J, w服务：qq客户端 # u4 k$ q N( l7 V& / q说明：腾讯qq客户端开放此端口。 8 E; p& Z+ J, mQ5 I# H% sm* n0 |端口：4092 8 U4 j3 R( C服务：【null】 # x. B2 d! ?) H5 C |说明：木马wincrash开放此端口。 _% S3 R4 B) n# z+ R1 w4 o8 e, r( m( ! K# y端口：4590 ; N# C1 U% w1 B% M) 服务：【null】 8 |9 q8 _1 ?& e: c! m: |说明：木马icqtrojan开放此端口。 / X W6 3 P; wI3 p6 R1 z: V9 e x0 w+ Y. c端口：5000、5001、5321、50505 $ M& M+ C3 E& D0 服务：【null】 + q3 C/ i; ?/ D说明：木马blazer5开放5000端口。木马sockets de troie开放5000、5001、5321、50505端口。 $ N6 P. h5 2 1 G6 g7 G1 M/ Bx8 p1 _8 M& 端口：5400、5401、5402 ( ?: k7 g4 u8 L* H- O0 V服务：【null】 9 W+ x! s9 eE4 R. x u说明：木马blade runner开放此端口。 $ C1 V: r- Kb6 k9 N8 6 J t( R/ t$ I Z/ a|. w X8 S端口：5550 5 o7 n% Y3 S& p( t服务：【null】 9 S( S% V% w7 $ S/ 8 6 g说明：木马xtcp开放此端口。 * m2 ?$ Q* r! + l+ m$ R3 |4 7 n6 9 h: q/ l端口：5569 ( b, N3 nc! w k! ; y服务：【null】 e7 x l. O5 Z+ y8 ( 6 h# z说明：木马robohack开放此端口。 . w+ U% Q: m4 O n- W! S! l/ 7 n. U9 E端口：5632 4 p+ s+ v4 8 N+ D4 Z/ 服务：pcanywere z+ B! z! W! j6 H3 p说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcanywere时，它会自动扫描局域网c类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcanywere的扫描包常含端口22的udp数据包。 ) H1 K2 G/ H2 u ) L* |0 L% G+ u7 Q* f9 n- e6 B端口：5742 # a/ ! n# G P- ?/ P n服务：【null】 # & o; $ 1 |% M5 l& P. f说明：木马wincrash1.03开放此端口。 + M- S8 s8 s2 i* I/ g2 W! B1 Q c3 k# x U- C* O/ x/ 端口：6267 , O9 7 k6 T* ! v$ |1 e+ 2 服务：【null】 ( y$ h6 s: q1 e5 6 6 9 e7 W说明：木马广外女生开放此端口。 ; F: A5 T5 e! j7 r$ y4 |2 y* E0 G4 T% o5 g3 P端口：6400 0 2 V( c7 V4 I+ n4 r) s. : 服务：【null】 . r) A # j5 e1 i4 c - H说明：木马the thing开放此端口。 . M J, S X2 * j. X( 3 r8 9 S6 C0 f7 W) I/ t0 W0 ) 端口：6670、6671 7 |+ X B2 a3 R服务：【null】 4 5 ( P7 r( & ?( g8 T1 说明：木马deep throat开放6670端口。而deep throat 3.0开放6671端口。 ) T; ?: J- Z; P$ Y, : g) I q4 x9 F# x/ X3 x端口：6883 * X* r+ e6 D$ Z服务：【null】 $ 9 3 N/ X7 l3 z7 Q8 |说明：木马deltasource开放此端口。 6 j, o; j/ O+ - P# l: ) Q d s0 m. T8 P端口：6969 0 O0 e% _6 3 a4 M服务：【null】 . Z4 % o I Y说明：木马gatecrasher、priority开放此端口。 & l) K+ : x, t! u; j1 |+ ?& V0 T4 | X& M8 |2 _端口：6970 1 p f1 w6 N& R$ c; W服务：realaudio . 5 s- |5 n& r K0 i说明：realaudio客户将从服务器的69707170的udp端口接收音频数据流。这是由tcp7070端口外向控制连接设置的。 X1 X1 7 q$ ( - C. E 2 p5 N% F! L r4 y6 端口：7000 4 m4 C q+ T, k4 F3 I5 k服务：【null】 ( c% % l8 0 m: H6 u说明：木马remote grab开放此端口。 1 8 J0 g j, R- Z0 u9 X5 f% a/ / |5 F端口：7300、7301、7306、7307、7308 / . l7 v5 b3 J; p0 M3 w. : _: K5 x服务：【null】 4 f2 W; m. . k说明：木马netmonitor开放此端口。另外netspy1.0也开放7306端口。 k! W5 W, x y; O4 U8 I. Z0 . t# O, S, d! b端口：7323 8 We( e s# K* ( s/ U服务：【null】 - Z% z; P7 z6 u ?说明：sygate服务器端。 9 p+ A! r$ o! / y, t s* Q% J4 Y5 U. K7 ; f3 x端口：7626 & ?! T, : s/ i, 4 B- N3 r; O服务：【null】 & F% ?! Nj; + . k2 ( l说明：木马giscier开放此端口。 0 T) d1 E( Z7 V. _0 M( ( k; i6 7 z端口：7789 5 z; w8 U7 l+ # e服务：【null】 ) U- T8 J# j! Y8 e) U; 说明：木马ickiller开放此端口。 ; s# T: P n( r: m0 V3 I5 X* T& w+ |8 端口：8000 6 N. q, c: r7 So( T2 ) A8 k服务：oicq S, ! X, G* m, A. I/ K3 I说明：腾讯qq服务器端开放此端口。 2 O+ U G7 O* W* Z2 W( D# 7 H& f$ e8 y% V3 _$ c%