版权声明:本文为博主原创文章未经博主允许不得转载。 /u/article/details/
}
7 echo echo 回显
9 discard discard 丢弃
23 telnet telnet 终端仿真协议
37 time time 时间
58 xns-mail xns mail 施乐网络服务系统邮件
60 ? unassigned 未定义
70 gopher gopher 信息检索协议
79 finger finger finger(查询远程主机在线用户等信息)
98 tacnews tac news tac(东京大学自动计算机?)新闻协议
通常这一端口嘚扫描是为了寻找中了NetSphere木马
Hacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量精华。即3=E, 1=L, 7=T)因此许多后门程序运行于这一端口。其中最囿名的是Back Orifice曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少其它的木马程序越来越流行。
这一端口的UDP通讯通常是由于"Hack-a-tack"遠程访问木马(RAT, Remote Access Trojan)这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵(31789端口是控制连接,317890端口是文件传输连接)
Sun Solaris的RPC服务在这一范围内详细的说:早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的 RPC服务
如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute部分
早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见
(二) 下面的这些源端口意味着什么
端口1~1024是保留端口,所以它们几乎不会是源端口但有一些例外,例如来自NAT机器的连接参见1.9。
常看见紧接着1024的端口它们是系統分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。
53 动态 FTP DNS从这个端口发送UDP回应你也可能看见源/目标端口的TCP连接。
123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口它们也会发送到这个端口的广播。
/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
本文来自ChinaUnix博客如果查看原文请点:
}