linux网络编程之端口分类调研

一.端口的概念

在网络技术中，端口(Port)包括逻辑端口和物理端口两种类型。物理端口指的是物理存在的端口，如ADSL Modem、集线器、交换机、路由器上用 于连接其他网络设备的接口，如RJ-45端口、SC端口等等。逻辑端口是指逻辑意义上用于区分服务的端口，如TCP/IP协议中的服务端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等。由于物理端口和逻辑端口数量较多，为了对端口进行区分，将每个端口进行了编号，这就是端口号。

使用

TCP与UDP段结构中端口地址都是16比特，可以有在0—65535范围内的端口号。对于这65536个端口号有以下的使用规定：
（1）端口号小于256的定义为常用端口，服务器一般都是通过常用端口号来识别的。任何TCP/IP实现所提供的服务都用1—1023之间的端口号，是由ICANN来管理的；
（2）客户端只需保证该端口号在本机上是惟一的就可以了。客户端口号因存在时间很短暂又称临时端口号；
（3）大多数TCP/IP实现给临时端口号分配1024—5000之间的端口号。大于5000的端口号是为其他服务器预留的。

逻辑端口

计算机端口可分为3大类：
1) 公认端口(Well Known Ports):从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服 务的协议。例如:80端口实际上总是HTTP通讯。

　2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。

　3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。

二.常用端口

8080端口 　　
端口说明：8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览，经常在访问某个网站或使用代理服务器的时候，会加上“:8080”端口号，比如 http://www.cce.com.cn:8080。 　　
端口漏洞：8080端口可以被各种病毒程序所利用，比如Brown Orifice（BrO）特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外，RemoConChubo，RingZero木马也可以利用该端口进行攻击。 　
操作建议：一般我们是使用80端口进行网页浏览的，为了避免病毒的攻击，我们可以关闭该端口。 　　
端口：21 　　
服务：FTP
说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。 　
端口：22 　　
服务：Ssh 　　
说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。 　　
端口：23 　　
服务：Telnet 　　
说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。 　　
端口：25 　　
服务：SMTP 　　
说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。 　　
端口：80 　　
服务：HTTP 　　
说明：用于网页浏览。木马Executor开放此端口。 　　
端口：102 　　
服务：Message transfer agent(MTA)-X.400 over TCP/IP 　　
说明：消息传输代理。 　　
端口：109 　　
服务：Post Office Protocol -Version3 　　
说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 　　
端口：110 　　
服务：SUN公司的RPC服务所有端口 　　
说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
查看编辑
一台服务器有大量的端口在使用，怎么来查看端口呢？有两种方式： 一种是利用系统内置的命令，一种是利用第三方端口扫描软件。
1.用“netstat ”查看端口状态
在Windows 2000/XP中，可以在命令提示符下使用“netstat ”查 看系统端口状态，可以列出系统正在开放的端口号及其状态．
2.用第三方端口扫描软件
第三方端口扫描软件有许多，界面虽然千差万别，但是功能却是类似 的。这里以“Fport” （可到?type_t=7或下载）为例讲解。“Fport”在命令提示符下使用，运行结果 与“netstat -an”相似，但是它不仅能够列出正在使用的端口号及类型，还可 以列出端口被哪个应用程序使用。
3.用“netstat -n”命令，以数字格式显示地址和端口信息。
如果仔细检查这些标准的简单服务以及其他标准的TCP/IP服务（如Telnet、FTP、 SMTP等）的端口号时，我们发现它们都是奇数。这是有历史原因的，因为这些端口号都是从NCP端口号派生出来的（NCP，即网络控制协议，是ARPANET的运输层协议，是TCP的前身）。NCP是半双工的，不是全双工的，因此每个应用程序需要两个连接，需预留一对奇数和偶数端口号。当TCP和UDP成为标准的运输层协议时，每个应用程序只需要一个端口号，因此就使用了NCP中的奇数。