网络端口分类调研

一.端口的概念

在网络技术中，端口(Port)包括逻辑端口和物理端口两种类型。物理端口指的是物理存在的端口，如ADSL Modem、集线器、交换机、路由器上用 于连接其他网络设备的接口，如RJ-45端口、SC端口等等。逻辑端口是指逻辑意义上用于区分服务的端口，如TCP/IP协议中的服务端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等。由于物理端口和逻辑端口数量较多，为了对端口进行区分，将每个端口进行了编号，这就是端口号。

网络通信的实质是两台主机上的进程进行通信，IP地址标识了互联网中的唯一一台主机，而端口号标识某台特定主机的特定进程，由此我们可以用 IP+端口号 来标识互联网中的唯一进程。

二 、端口分类

TCP/IP中协议字段占2个字节16个比特位。即0-65535，端口号用来表示和区别网络中的不同应用程序。

（1）公认端口

公认端口（Well Known Ports）：0-1023之间的端口号，也叫Well Known ports。这些端口由IANA分配管理。IANA把这些端口分配给最重要的一些应用程序，让所有的用户都知道，当一种新的应用程序出现后，IANA必须为它指派一个公认端口。

常用的公认端口有：
FTP : 21
TELNET : 23
SMTP : 25
DNS : 53
TFTP : 69
HTTP : 80
SNMP : 161

（2）注册端口

注册端口（Registered Ports）：从1024-49151。是公司和其他用户向互联网名称与数字地址分配机构（ICANN）登记的端口号，利用因特网的传输控制协议（TCP）和用户数据报协议（UDP）进行通信的应用软件需要使用这些端口。在大多数情况下，这些应用软件和普通程序一样可以被非特权用户打开。

（3）客户端使用的端口号

客户端使用的端口号：49152~65535.这类端口号仅在客户进程运行时才动态选择，因此又叫做短暂端口号。被保留给客户端进程选择暂时使用的。也可以理解为，客户端启动的时候操作系统随机分配一个端口用来和服务器通信，客户端进程关闭下次打开时，又重新分配一个新的端口

三、常用端口

8080端口 　　
端口说明：8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览，经常在访问某个网站或使用代理服务器的时候，会加上“:8080”端口号，比如 http://www.cce.com.cn:8080。 　　
端口漏洞：8080端口可以被各种病毒程序所利用，比如Brown Orifice（BrO）特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外，RemoConChubo，RingZero木马也可以利用该端口进行攻击。 　
操作建议：一般我们是使用80端口进行网页浏览的，为了避免病毒的攻击，我们可以关闭该端口。 　　
端口：21 　　
服务：FTP
说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。 　
端口：22 　　
服务：Ssh 　　
说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。 　　
端口：23 　　
服务：Telnet 　　
说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。 　　
端口：25 　　
服务：SMTP 　　
说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。 　　
端口：80 　　
服务：HTTP 　　
说明：用于网页浏览。木马Executor开放此端口。 　　
端口：102 　　
服务：Message transfer agent(MTA)-X.400 over TCP/IP 　　
说明：消息传输代理。 　　
端口：109 　　
服务：Post Office Protocol -Version3 　　
说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 　　
端口：110 　　
服务：SUN公司的RPC服务所有端口 　　
说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
查看编辑
一台服务器有大量的端口在使用，怎么来查看端口呢？有两种方式： 一种是利用系统内置的命令，一种是利用第三方端口扫描软件。
1.用“netstat ”查看端口状态
在Windows 2000/XP中，可以在命令提示符下使用“netstat ”查 看系统端口状态，可以列出系统正在开放的端口号及其状态．
2.用第三方端口扫描软件
第三方端口扫描软件有许多，界面虽然千差万别，但是功能却是类似 的。这里以“Fport” （可到?type_t=7或下载）为例讲解。“Fport”在命令提示符下使用，运行结果 与“netstat -an”相似，但是它不仅能够列出正在使用的端口号及类型，还可 以列出端口被哪个应用程序使用。
3.用“netstat -n”命令，以数字格式显示地址和端口信息。
如果仔细检查这些标准的简单服务以及其他标准的TCP/IP服务（如Telnet、FTP、 SMTP等）的端口号时，我们发现它们都是奇数。这是有历史原因的，因为这些端口号都是从NCP端口号派生出来的（NCP，即网络控制协议，是ARPANET的运输层协议，是TCP的前身）。NCP是半双工的，不是全双工的，因此每个应用程序需要两个连接，需预留一对奇数和偶数端口号。当TCP和UDP成为标准的运输层协议时，每个应用程序只需要一个端口号，因此就使用了NCP中的奇数。