¿Qué es un puerto? y configuración del puerto? ¿Qué puerto es COM3?
1) Puertos conocidos: del 0 al 1023, estrechamente vinculados a algunos servicios. Normalmente, la comunicación en estos puertos indica claramente el protocolo para un determinado servicio. Por ejemplo, el puerto 80 siempre ha sido comunicación HTTP.
2) Puerto de registro: del 1024 al 49151. Están vagamente vinculados a algunos servicios. En otras palabras, hay muchos servicios vinculados a estos puertos y estos puertos también se utilizan para muchos otros fines. Por ejemplo, muchos sistemas manejan puertos dinámicos alrededor del 1024.
3) Puertos dinámicos y/o dedicados: del 49152 al 65535. En teoría, estos puertos no deberían asignarse a servicios. En la práctica, a las máquinas se les suele asignar puertos dinámicos a partir de 1024. Pero hay excepciones: el puerto RPC de SUN comienza en 32768.
Esta sección describe la información de escaneo de puertos TCP/UDP en los registros del firewall. Recuerde: no existe un puerto ICMP. Si está interesado en interpretar los datos ICMP, consulte las otras secciones de este artículo.
0 se suele utilizar para analizar sistemas operativos. Este método funciona porque "0" es un puerto no válido en algunos sistemas y producirá resultados diferentes cuando intente conectarse con un puerto cerrado normal. Escaneo típico: use la dirección IP 0.0.0.0, configure el bit ACK y transmita en la capa Ethernet.
1 tcpmux Esto significa que alguien está buscando la máquina SGIIrix. Irix es el principal proveedor de implementación de tcpmux y está habilitado de forma predeterminada en este sistema. La máquina Iris incluye varias cuentas predeterminadas sin contraseña cuando se lanza, como LP, Guest, UUCP, NuUCP, Demos, Tutor, Diag, EzSetup, OutofBox, 4Dgifts, etc. Muchos administradores olvidan eliminar estas cuentas después de la instalación. Entonces los piratas informáticos buscaron tcpmux en Internet y utilizaron estas cuentas.
7Echo puedes ver muchos mensajes enviados a x.x.x.0 y x.x.x.255 cuando las personas buscan el amplificador Fraggle. Un ataque DoS común es un bucle de eco, donde el atacante falsifica paquetes UDP enviados de una máquina a otra, y las dos máquinas responden a estos paquetes de la manera más rápida posible. (Ver Chargen) Otra cosa a hacer es hacer doble clic en la conexión TCP establecida en la palabra puerto. Existe un producto llamado Resonance Global Scheduling, que se conecta a este puerto de DNS para determinar la ruta más cercana. El caché Harvest/Squid enviará un eco UDP en el puerto 3130: "Si la opción source_ping on del caché está activada, enviará una respuesta exitosa al puerto de eco UDP del host de origen. Esto generará muchos de estos paquetes".
11 sysstat Este es un servicio UNIX que enumera todos los procesos en ejecución en la máquina y el motivo para iniciarlos. Esto proporciona a los intrusos una gran cantidad de información, lo que amenaza la seguridad de la máquina, como exponer algunas debilidades o cuentas conocidas. Esto es similar al resultado del comando "ps" en sistemas UNIX. Nuevamente: ICMP no tiene puerto, el puerto ICMP 11 suele ser del tipo ICMP = 1119. Este es un servicio sólo de personajes. La versión UDP responderá a los paquetes que contengan caracteres basura después de recibir paquetes UDP. Cuando TCP se conecta, envía un flujo de datos que contiene caracteres basura hasta que se cierra la conexión. Los piratas informáticos pueden utilizar la suplantación de IP para lanzar ataques DoS y falsificar UDP entre dos servidores cargados. Un cargo y un eco pueden sobrecargar el servidor porque el servidor está intentando responder a un tráfico de datos infinito de ida y vuelta entre los dos servidores. Del mismo modo, un ataque Fraggle DoS transmitirá un paquete con una IP de víctima falsa a este puerto de la dirección de destino, y la víctima se sobrecargará en respuesta a estos datos.
21 El atacante más común para ftp es encontrar una manera de abrir un servidor ftp "anónimo". Estos servidores tienen directorios de lectura y escritura. Los piratas informáticos o atacantes utilizan estos servidores como nodos para transmitir warez (programas propietarios) y pr0n (palabras deliberadamente mal escritas para evitar ser clasificadas por los motores de búsqueda).
22 sshPcAnywhere puede establecer una conexión entre TCP y este puerto para encontrar ssh. Este servicio tiene muchas debilidades. Muchas versiones que utilizan la biblioteca RSAREF tienen numerosas vulnerabilidades si se configuran en un modo específico. (Se recomienda ejecutar ssh en un puerto diferente) También debe tenerse en cuenta que el kit de herramientas ssh viene con un programa llamado ake-ssh-known-hosts. Escanea todo el dominio en busca de hosts ssh. En ocasiones, es posible que alguien que utilice este programa lo escanee sin querer. Una conexión UDP al puerto 5632 en el otro extremo (en lugar de TCP) significa que hay un escaneo buscando pcAnywhere. Después del intercambio de bits, 5632 (0x1600 hexadecimal) es 0x0016 (22 decimal).
Los intrusos de Telnet buscan servicios de inicio de sesión remoto en UNIX. En la mayoría de los casos, el intruso escaneará el puerto para encontrar el sistema operativo que se ejecuta en la máquina. Además, utilizando otras técnicas, los intrusos encontrarán la contraseña.
Los atacantes SMTP (spammers) buscan servidores SMTP para enviar su spam. La cuenta del intruso siempre está cerrada y necesita una conexión telefónica a un servidor de correo electrónico de gran ancho de banda para enviar mensajes simples a varias direcciones. Los servidores SMTP (especialmente sendmail) son una de las formas más comunes de ingresar a un sistema porque deben estar completamente expuestos a Internet y el enrutamiento del correo es complicado (exposición + complejidad = debilidad).
53 DNSHacker o pirata informático puede intentar pasar zona (TCP), falsificar DNS (UDP) u ocultar otras comunicaciones. Por lo tanto, los firewalls suelen filtrar o registrar el puerto 53. Algo a tener en cuenta es que normalmente se piensa en el puerto 53 como el puerto de origen UDP. Los firewalls inestables a menudo permiten esta comunicación y creen que es una respuesta a una consulta de DNS. Los piratas informáticos suelen utilizar este método para penetrar los cortafuegos.
Bootp/DHCP Bootp y DHCPUDP en 67 y 68: grandes cantidades de datos enviados a la dirección de transmisión 255.255.255.255 a menudo se pueden ver a través de firewalls de módem de cable y DSL. Estas máquinas solicitan asignaciones de direcciones del servidor DHCP. Los piratas informáticos suelen acceder a ellos, asignar una dirección y presentarse como un enrutador local para lanzar una serie de ataques de tipo "intermediario". El cliente transmite una solicitud de configuración (BOOTP) al puerto 68 y el servidor transmite una solicitud de respuesta (bootpc) al puerto 67. Esta respuesta utiliza difusión porque el cliente no conoce la dirección IP a la que puede enviar.
69 TFTP (UDP) Muchos servidores proporcionan este servicio junto con bootp, de modo que el código de inicio se puede descargar fácilmente desde el sistema. Pero normalmente están mal configurados y sirven cualquier archivo del sistema, como archivos de contraseñas. También se pueden utilizar para escribir archivos en el sistema.
79 Finger Hacker se utiliza para obtener información del usuario, consultar el sistema operativo, detectar errores conocidos de desbordamiento del búfer y responder a escaneos dactilares desde la propia máquina a otras máquinas.
98 El programa linuxconf proporciona una gestión sencilla de linuxboxen. Se proporciona un servicio basado en interfaz web a través del servidor HTTP integrado en el puerto 98. Encontró numerosos problemas de seguridad. Algunas versiones de setuidroot confían en la LAN, crean archivos accesibles desde Internet en /tmp y tienen desbordamientos de búfer en la variable de entorno LANG. Además, debido a que contiene un servidor integrado, pueden existir muchas vulnerabilidades HTTP típicas (desbordamiento de búfer, cruce de directorio, etc.).
109 POP2 no es tan conocido como POP3, pero muchos servidores ofrecen ambos. servicios (compatibles con versiones anteriores). En el mismo servidor, la vulnerabilidad POP3 también existe en POP2.
Los clientes utilizan 110 POP3 para acceder a los servicios de correo electrónico del lado del servidor. Los servicios POP3 tienen muchas debilidades reconocidas. Hay al menos 20 vulnerabilidades que involucran desbordamientos del búfer de intercambio de nombre de usuario y contraseña (lo que significa que un pirata informático puede ingresar al sistema antes de iniciar sesión). Hay otros errores de desbordamiento del búfer después de iniciar sesión correctamente.
111 Mapa de puertos Sun RPC Enlace RPC Asignador de puertos Sun RPC/enlace RPC Acceder al mapeador de puertos es el primer paso para escanear el sistema para ver qué servicios RPC están permitidos. Los servicios RPC comunes incluyen: PC.mountd, NFS, RPC.statd, RPC.csmd, RPC.ttybd, AMD, etc. El intruso descubrió una vulnerabilidad que permitía transferir los servicios RPC al puerto específico donde se proporcionaba el servicio para realizar pruebas. Recuerde registrar demonios, IDS o rastreadores para que pueda descubrir qué programa está utilizando el intruso para obtener acceso y comprender qué está pasando.
113 Verificación de Identidad. Este es un protocolo que se ejecuta en muchas máquinas y se utiliza para autenticar usuarios para conexiones TCP. Con este servicio estándar puede obtener información sobre muchas máquinas (que serán utilizadas por los piratas informáticos). Pero funciona como registrador de muchos servicios, especialmente FTP, POP, IMAP, SMTP e IRC. Normalmente, si muchos clientes acceden a estos servicios a través de un firewall, verá muchas solicitudes de conexión a este puerto. Tenga en cuenta que si bloquea este puerto, los clientes experimentarán una conexión lenta con el servidor de correo electrónico al otro lado del firewall. Muchos firewalls admiten el envío de T durante el proceso de bloqueo de las conexiones TCP en un intento de evitar esta conexión lenta.
119 Protocolo de transferencia de grupos de noticias NNTP, que transporta comunicaciones USENET. Este puerto se utiliza normalmente cuando se vincula a una dirección como news:p.security.firewalls/. Los intentos de conexión en este puerto suelen ser donde la gente busca un servidor USENET. La mayoría de los ISP sólo permiten a sus clientes acceder a los servidores de sus grupos de noticias. Abrir un servidor de grupos de noticias permitirá a cualquiera publicar/leer, acceder a servidores de grupos de noticias restringidos, publicar de forma anónima o enviar spam.
135 oc-servms Asignador de puntos finales RPC Microsoft ejecuta el asignador de puntos finales DCE RPC como su servicio DCOM en este puerto. Esto es similar a la funcionalidad del puerto 111 de UNIX. Los servicios que utilizan DCOM y/o RPC registran su ubicación con el asignador de puntos finales de la máquina. Cuando los clientes remotos se conectan a una máquina, consultan al asignador de puntos finales para encontrar la ubicación del servicio. Asimismo, Hacker escanea este puerto de la máquina en busca de cosas como: ¿Se está ejecutando Exchange Server en esta máquina? ¿Qué versión es? Este puerto se puede utilizar no solo para consultar servicios (como usar epdump), sino también para ataques directos. Hay algunos ataques DoS contra este puerto.
137 Servicio de nombres NetBIOS nbtstat (UDP) Esta es la información más común para los administradores de firewall. Lea atentamente la sección NetBIOS al final del artículo. 139 Compartir archivos e impresoras NetBIOS Las conexiones entrantes a través de este puerto intentan obtener servicios NetBIOS/SMB. Este protocolo se utiliza con "Compartir archivos e impresoras" de Windows y SAMBA. Compartir su propio disco duro en línea es probablemente el problema más común. El gran número de puertos comenzó en 1999 y posteriormente disminuyó gradualmente. Se recuperó de nuevo en 2000. Algunos VBS (IE5 VisualBasicScripting) comenzaron a copiarse a este puerto, intentando reproducirse en este puerto.
143 IMAP tiene los mismos problemas de seguridad que POP3 mencionado anteriormente. Muchos servidores IMAP tienen vulnerabilidades de desbordamiento del búfer que acceden durante el proceso de inicio de sesión. Recuerde: el gusano de Linux (admw0rm) se propagará a través de este puerto, por lo que muchos análisis de este puerto provienen de usuarios infectados desprevenidos. Estas vulnerabilidades se hicieron populares cuando RadHat permitió IMAP de forma predeterminada en sus distribuciones de Linux. Este fue el primer gusano extendido desde el gusano Morris. Este puerto también se utiliza para IMAP2, pero no es tan popular. Algunos informes han encontrado que algunos ataques a los puertos 0 a 143 se originan a partir de scripts.
El puerto 161 suele ser detectado por intrusos SNMP (UDP). SNMP permite la gestión remota de dispositivos. Toda la información operativa y de configuración se almacena en la base de datos y está disponible a través del cliente SNMP. Muchos administradores los configuran incorrectamente, dejándolos expuestos a Internet. Los piratas informáticos intentarán acceder al sistema utilizando las contraseñas predeterminadas "pública" y "privada". Intentan todas las combinaciones posibles. Es posible que los paquetes SNMP se dirijan incorrectamente a su red. Debido a una mala configuración, las máquinas con Windows suelen utilizar SNMP para el software de gestión remota HP JetDirect. El identificador de objetos de HP recibirá paquetes SNMP. La nueva versión de Win98 usa SNMP para resolver nombres de dominio. Verá este paquete (módem por cable, DSL) en la subred para consultar sysName y otra información.
162 Las capturas SNMP pueden deberse a errores de configuración.
Muchos piratas informáticos utilizan 177 xdmcp para acceder a la consola X-Windows y también necesita abrir 6000 puertos.
513 rwho puede ser una transmisión desde una computadora UNIX en una subred conectada mediante un módem de cable o DSL. Estas personas proporcionaron información muy interesante para que los piratas informáticos pudieran acceder a sus sistemas.
553 CORBA IIOP (UDP) Si estás utilizando un módem por cable o VLAN DSL, verás transmisiones en este puerto. CORBA es un sistema RPC (llamada a procedimiento remoto) orientado a objetos. Los piratas informáticos utilizarán esta información para acceder al sistema.
Puerta trasera de 600 PCserver, verifique el puerto 1524. Algunos niños que juegan script piensan que han roto completamente el sistema al modificar los archivos ingreslock y pcserver - Alan J. Rosenthal.
635 error montado en Linux. Este es un error popular que la gente analiza. El escaneo de este puerto se basa principalmente en UDP, pero se ha agregado mountd basado en TCP (mountd se ejecuta en ambos puertos simultáneamente). Recuerde, mountd puede ejecutarse en cualquier puerto (en qué puerto debe realizar una consulta de mapa de puertos en el puerto 111), pero el puerto predeterminado de Linux es 635, al igual que 2049 NFS generalmente se ejecuta en el puerto 1024. Mucha gente pregunta ¿para qué se utiliza este puerto? Este es el comienzo de los puertos dinámicos. A muchos programas no les importa qué puerto se utiliza para conectarse a la red. Piden al sistema operativo que les asigne el "siguiente puerto libre". En base a esto, la asignación comienza desde el puerto 1024. Esto significa que al primer programa que solicite una asignación de puerto dinámica del sistema se le asignará el puerto 1024. Para verificar esto, puede reiniciar su máquina, activar Telnet, luego abrir una ventana y ejecutar "natstat -a" y verá que Telnet tiene asignado el puerto 1024. Cuantos más programas lo soliciten, más puertos dinámicos habrá. El puerto asignado por el sistema operativo irá aumentando gradualmente. Asimismo, cuando navegue por la web, utilice "netstat" para verlos.
Cada página web requiere un nuevo puerto.
1080 SOCKS es un protocolo que crea un túnel a través de firewalls, lo que permite que muchas personas detrás del firewall accedan a Internet a través de una única dirección IP. En teoría, sólo debería permitir que el tráfico interno llegue a Internet. Sin embargo, debido a una mala configuración, los piratas informáticos/crackers fuera del firewall pueden atacar a través del firewall. O simplemente responda a la computadora en línea para encubrir su ataque directo hacia usted. WinGate es un firewall personal común de Windows y con frecuencia se produce la mala configuración anterior. Esto se ve a menudo al unirse a salas de chat de IRC.
1114 El sistema SQL en sí rara vez escanea este puerto, pero a menudo forma parte del script sscan.
1524 ingreslock backdoor Muchos scripts de ataque instalarán una puerta trasera Sh*ll en este puerto (especialmente aquellos scripts que apuntan a vulnerabilidades en los servicios Sendmail y RPC en sistemas Sun, como statd, ttdbserver y cmsd). Si acaba de instalar su firewall y ve intentos de conexión en este puerto, puede ser la causa mencionada anteriormente. Puede probar Telnet a este puerto en su máquina y ver si da un Sh*ll. La conexión al servidor 600/pcser también presenta este problema.
2049 NFS Los programas NFS a menudo se ejecutan en este puerto. Por lo general, necesitará acceder al asignador de puertos para saber en qué puerto se está ejecutando el servicio. Puede probar este puerto directamente apagando el asignador de puertos.
3128 squid Este es el puerto predeterminado del servidor proxy HTTP de Squid. El atacante escanea el puerto para buscar servidores proxy y acceder a Internet de forma anónima. También verás los puertos utilizados para buscar otros servidores proxy:
000/8001/8080/8888. Otra razón para escanear este puerto es si el usuario ingresa a una sala de chat. Otros usuarios (o el propio servidor) también comprobarán este puerto para determinar si la máquina del usuario admite el proxy.
5632 pcAnywere Dependiendo de su ubicación, verá múltiples escaneos para este puerto. Cuando un usuario abre pcAnywere, escanea automáticamente la LAN Clase C para encontrar posibles servidores proxy. Los hackers/crackers también buscarán máquinas con este servicio activado, por lo que debes verificar la dirección de donde proviene este escaneo. Algunos análisis que buscan pcAnywere suelen incluir paquetes UDP en el puerto 22. Consulte Escaneo de marcación.
6776 Artefacto Sub-7 Este puerto está separado del puerto principal Sub-7 y se utiliza para transmitir datos. Puede ver esto, por ejemplo, cuando un controlador controla otra máquina a través de una línea telefónica y la máquina que se está controlando cuelga. Entonces, cuando otra persona marca usando esta IP, verá intentos continuos de conexión en este puerto. (Traductor: cuando vea que el firewall informa intentos de conexión en este puerto, no significa que Sub-7 lo haya controlado).
6970 RealAudio El cliente RealAudio seguirá el UDP desde el servidor en 6970-7170 El puerto recibe el flujo de datos de audio. Esta es la configuración de conexión de control saliente para el puerto TCP7070. 13223 PowWow PowWow es el programa de chat de Voice of the Tribe. Permite a los usuarios abrir conexiones de chat privadas en este puerto. Este proceso es muy "grosero" para establecer una conexión. "Acampará" en este puerto TCP, esperando una respuesta. Esto dará como resultado intentos de conexión similares al intervalo de latidos. Esto sucede si usted es un usuario de acceso telefónico que "heredó" la dirección IP de otro chat: parece que hay muchas personas diferentes probando el puerto. Este protocolo utiliza "OPG" como los primeros cuatro bytes de su intento de conexión.
17027 Conductor Esta es una conexión de salida. Esto se debe a que alguien dentro de la empresa instaló *un software de disfrute que facilita el "adbot". Ayuda * * * a disfrutar de los servicios de publicidad gráfica de software. Un software popular que utiliza este servicio es Pkware. Alguien intentó esto: bloquear esta conexión saliente no causará ningún problema, pero bloquear la dirección IP en sí hará que los adbots intenten conectarse continuamente varias veces por segundo, lo que provocará que la conexión se sobrecargue: la máquina intentará constantemente resolver el nombre DNS. -ads.conducent.com, es decir, la dirección IP es 216. 33. 210.40
216.33.199.77; (Traductor: no sé si Radiate utilizado por NetAnts también tiene este fenómeno)
30100 Troyano de capa de red (TCP) Normalmente, este puerto se escaneará para encontrar troyanos de capa de red.
31337 Agujero trasero "Elite Hacker" 31337 se pronuncia "Elite" /ei 'li:t/ (Traductor: francés, traducido como columna vertebral, esencia. Es decir, 3=E, 1=L, 7=T). Se están ejecutando muchas puertas traseras en este puerto. El más famoso de ellos es el agujero dorsal. Hubo un tiempo en que este era el escaneo más común en Internet. Ahora su popularidad está disminuyendo mientras que otros programas troyanos están ganando popularidad.
El tráfico UDP en el puerto 31789 Hack-a-tack suele ser causado por el troyano de acceso remoto "Hack-a-tack". Este troyano contiene un escáner de puerto 31790 incorporado, por lo que cualquier conexión desde el puerto 31789 al puerto 317890 significa que se ha producido esta intrusión. (El puerto 31789 es la conexión de control y el puerto 317890 es la conexión de transferencia de archivos).
Servicio RPC 32770~32900 El servicio RPC de Sun Solaris se encuentra dentro de este rango. Para profundizar, las primeras versiones de Solaris (anteriores a 2.5.1) colocaban el asignador de puertos dentro de este rango, lo que permitía a los piratas informáticos acceder a este puerto incluso si el puerto de gama baja estaba bloqueado por el firewall. Los puertos en este rango se escanean en busca de asignadores de puertos o servicios RPC conocidos que puedan estar bajo ataque.
33434~33600 traceroute Si ve paquetes UDP en este rango de puertos (y solo en este rango), puede deberse a traceroute.
41508 Las primeras versiones de Inoculan generaban mucho tráfico UDP en la subred para identificarse entre sí. Ver
http://www.circlemud.org/~jelson/software/udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan /index.html
Los puertos 1~1024 son puertos reservados, por lo que casi no son puertos de origen. Existen algunas excepciones, como las conexiones desde máquinas NAT. A menudo vemos el puerto seguido de 1024, que es un "puerto dinámico" asignado por el sistema a aplicaciones a las que no les importa a qué puerto conectarse.
Descripción del servicio del cliente del servidor
1-5/tcp puerto FTP dinámico 1-5 representa el script sscan.
20/tcp FTP dinámico Puerto de transferencia de archivos del servidor FTP.
El DNS FTP dinámico envía respuestas UDP desde este puerto. También puede ver la conexión TCP en los puertos de origen/destino.
123 El puerto en el que se ejecuta un servidor dinámico S/NTP de protocolo simple de tiempo de red (S/NTP). También envían transmisiones al puerto.
27910~27961/udp Dynamic Quake (Quake) Los juegos Quake o basados en motor Quake ejecutan sus servidores en este puerto. Por lo tanto, los paquetes UDP que provienen de este rango de puertos o se envían a este rango de puertos suelen ser juegos.
61000 Los puertos FTP dinámicos superiores a 61000 pueden provenir del servidor NAT de Linux.