端口分类调研

在一台主机上运行了多个服务，主机为了区分这些服务，所以给每个服务都分配一个端口号，端口号唯一的标识这台主机上的某个服务。 IP地址唯一标识网络上的一台主机，服务器用通过端口号来区分不同的网络服务。所以IP地址+端口号就表示网络中唯一的一个服务。 客户端通常对它所使用的端口号并不关心，只要保证该端口在本主机上是唯一的就可以了。所以客户端端口号又叫做临时端口号，这是因为他们通常只是在用户运行该客户程序时临时分配的。而服务器则不同，因为服务器是要被许多客户进行访问的，所以服务器的端口号应该是众所周知的。 端口号的范围从0~65535。任何TCP/IP实现所提供的服务都使用1~1023之间的端口，大多数TCP/IP实现给临时端口分配1023~5000之间的端口号，大于5000的端口号是为其他服务器预留的。 

　　比如：http端口号是80，ftp端口号是21,ssh是22。由于端口号数量比较多，所以要对端口号进行分类管理。 

　　在/etc/services中保存着各种服务的端口号。

根据端口的性质来分，通常可以分为三类 
首先了解，端口号的理论值范围是从0到65535，公认的是0-1023，注册端口是1024-49152，还有随机动态端口是49152-65535，共是65536个端口 
1. 公认端口（Well Known Ports） 
这类端口也常称之为”常用端口”。这类端口的端口号从0到1024，它们紧密绑定于一些特定的服务。通常这些端口的通信明确表明了某种服务的协议，这种端口是不可再重新定义它的作用对象。例如：80端口实际上总是HTTP通信所使用的，而23号端口则是Telnet服务专用的。这些端口通常不会像木马这样的黑客程序利用。 
2. 注册端口（Registered Ports） 
端口号从1025到49151。它们松散地绑定于一些服务。也是说有许多服务绑定于这些端口，这些端口同样用于许多其他目的。这些端口多数没有明确的定义服务对象，不同程序可根据实际需要自己定义，如远程控制软件和木马程序中都会有这些端口的定义的。记住这些常见的程序端口在木马程序的防护和查杀上是非常有必要的。 
3. 动态和/或私有端口（Dynamic and/or Private Ports） 
端口号从49152到65535。理论上，不应把常用服务分配在这些端口上。实际上，有些较为特殊的程序，特别是一些木马程序就非常喜欢用这些端口，因为这些端口常常不被引起注意，容易隐蔽。

根据所提供的服务方式的不同，端口又可分为”TCP协议端口”和”UDP协议端口”两种。因为计算机之间相互通信一般采用这两种通信协议。 
1. TCP协议端口 
当”连接方式”是一种直接与接收方进行的连接时，发送信息以后，可以确认信息是否到达，这种方式大多采用TCP协议 
2. UDP协议端口 
采用不直接与接收方进行连接，只管把信息放在网上发出去，而不管信息是否到达，也就是前面所介绍的”无连接方式”。这种方式大多采用UDP协议，IP协议也是一种无连接方式。

网络服务中常用的端口，及其端口号

• 21端口：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务。 
• 23端口：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。
• 25端口：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。
• 53端口：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。 
• 67、68端口：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。 
• 69端口：TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。 
• 79端口：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。 
• 80端口：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。 
• 99端口：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。 
• 109、110端口：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的。 
• 111端口：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。
• 113端口：113端口主要用于Windows的“Authentication Service”（验证服务）。 
• 119端口：119端口是为“Network News Transfer Protocol”（网络新闻组传输协议，简称NNTP）开放的。
• 135端口：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。 
• 137端口：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务）
• 139端口：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。 
• 143端口：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息访问协议，简称IMAP）。
• 161端口：161端口是用于“Simple Network Management Protocol”（简单网络管理协议，简称SNMP）。
• 443端口：443端口即网页浏览端口，主要是用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP。 
• 554端口：554端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP）。
• 1024端口：1024端口一般不固定分配给某个服务，在英文中的解释是“Reserved”（保留）。 
• 1080端口：1080端口是Socks代理服务使用的端口，大家平时上网使用的WWW服务使用的是HTTP协议的代理服务。 
• 1755端口：1755端口默认情况下用于“Microsoft Media Server”（微软媒体服务器，简称MMS）。
• 4000端口：4000端口是用于大家经常使用的QQ聊天工具的，再细说就是为QQ客户端开放的端口，QQ服务端使用的端口是8000。 
• 5554端口：在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波（Worm.Sasser），该病毒可以利用TCP 5554端口开启一个FTP服务，主要被用于病毒的传播。
• 5632端口：5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口。
• 8080端口：8080端口同80端口，是被用于WWW代理服务的，可以实现网页