¿Qué es un puerto HTTP?
Los puertos se pueden dividir en tres categorías:
1) Puertos de identificación (puertos conocidos): del 0 al 1023, con algunos servicios estrechamente vinculados. Normalmente, la comunicación en estos puertos indica claramente el protocolo para un determinado servicio. Por ejemplo, el puerto 80 siempre ha sido comunicación HTTP.
2)
Puerto registrado (puerto
registrado): de 1024 a 49151. Están vagamente vinculados a algunos servicios. En otras palabras, hay muchos servicios vinculados a estos puertos y estos puertos también se utilizan para muchos otros fines. Por ejemplo, muchos sistemas manejan puertos dinámicos alrededor de 1024.
3) Puertos dinámicos y/o dedicados (puertos dinámicos y/o dedicados): de 49152 a 65535. En teoría, estos puertos no deberían asignarse a servicios. En la práctica, a las máquinas se les suele asignar puertos dinámicos a partir de 1024. Pero hay excepciones: el puerto RPC de SUN comienza en 32768.
Esta sección describe la información de escaneo de puertos TCP/UDP en los registros del firewall. Recuerde: no existe un puerto ICMP. Si está interesado en interpretar los datos ICMP, consulte las otras secciones de este artículo.
Suele utilizarse para analizar sistemas operativos. Este método funciona porque "0" es un puerto no válido en algunos sistemas y producirá resultados diferentes cuando intente conectarse con un puerto cerrado normal. Escaneo típico: use la dirección IP 0.0.0.0, configure el bit ACK y transmita en la capa Ethernet.
1 tcpmux Esto significa que alguien está buscando SGI.
Máquina Irix Irix es el principal proveedor de tcpmux y está habilitado por defecto en este sistema. La máquina Iris se envía con varias cuentas predeterminadas sin contraseña, como lp,
guest, uucp, nuucp, demo, teacher, diagnostic, EZsetup, OutOfBox y 4d gift. Muchos administradores olvidan eliminar estas cuentas después de la instalación. Entonces los piratas informáticos buscaron tcpmux en Internet y utilizaron estas cuentas.
7 Echo
Al buscar amplificadores Fraggle, puedes ver muchos mensajes enviados a x.x.x.0 y x.x.x.255.
Un ataque DoS común es el bucle de eco, donde el atacante falsifica paquetes UDP enviados de una máquina a otra, y las dos máquinas responden a estos paquetes de la manera más rápida posible. (Ver Chargen)
Otra cosa que podemos hacer es hacer doble clic en la conexión TCP establecida en la palabra puerto. Existe un producto llamado Resonance Global.
Dispatch", que se conecta con este puerto de DNS para determinar la ruta más cercana.
La caché Harvest/Squid enviará UDP desde el puerto 3130.
Echo : "Si la opción source_ping on del caché está activada, enviará una respuesta de éxito al puerto de eco UDP del host de origen. "Esto generará muchos paquetes de este tipo.
11 sysstat
Este es un servicio UNIX que enumera todos los procesos en ejecución en la máquina y el motivo para iniciarlos. Esto proporciona una gran cantidad de información al intruso, amenazando la seguridad de la máquina, como exponer algunas debilidades o cuentas conocidas. Esto es similar al resultado del comando "ps" en los sistemas UNIX.
Nuevamente: ICMP no lo hace. Puerto, el puerto ICMP 11 suele ser tipo ICMP=11.
19 cargos
Este es un servicio de solo caracteres que responderá con basura después de recibir un paquete de caracteres UDP. Se establece una conexión TCP, enviará un flujo de datos que contiene caracteres basura hasta que se cierre la conexión.
Los piratas informáticos pueden utilizar la suplantación de IP para lanzar paquetes DoS
Chargen y echo. puede sobrecargar el servidor mientras intenta responder al interminable tráfico de datos de ida y vuelta. De manera similar, Flagler
Ataques DoS. Este puerto de la dirección transmite paquetes con IP de víctima falsa y la víctima se sobrecarga en respuesta a estos. data
21 ftp
Los atacantes más comunes buscan abrir un método de servidor ftp anónimo. Estos servidores tienen directorios de lectura y escritura. Los hackers o crackers utilizan estos servidores como nodos para transmitir warez. (programas propietarios) y pr0n (error ortográfico intencional de palabras para evitar ser clasificado por los motores de búsqueda).
22Sh
PcAnywhere puede establecer una conexión entre TCP y este puerto para ssh. tiene una serie de debilidades si se configura en un modo específico, muchas de las versiones que usan la biblioteca RAREF tienen muchas vulnerabilidades (se recomienda ejecutar ssh en un puerto diferente)
También se debe tener en cuenta que ssh. El kit de herramientas viene con un programa llamado make-ssh-known-hosts que escanea todo el dominio ssh en formato .
En ocasiones, es posible que alguien que utilice este programa lo escanee sin querer.
Conectarse a UDP (no TCP) en el puerto 5632 en el otro extremo significa que hay un escaneo buscando pcAnywhere. Después del intercambio de bits, 5632 (0x1600 hexadecimal) es 0x0016 (22 decimal).
23 Inicio de sesión remoto
El intruso está buscando un servicio de inicio de sesión remoto en UNIX. En la mayoría de los casos, el intruso escaneará el puerto para encontrar el sistema operativo que se ejecuta en la máquina. Además, utilizando otras técnicas, los intrusos encontrarán la contraseña.
25 smtp
Los atacantes (spammers) buscan servidores SMTP para enviar su spam. La cuenta del intruso siempre está cerrada y necesita una conexión telefónica a un servidor de correo electrónico de gran ancho de banda, lo cual sería sencillo.
Diferentes direcciones. Los servidores SMTP (especialmente sendmail) son una de las formas más comunes de ingresar a un sistema porque deben estar completamente expuestos a Internet y al enrutamiento del correo.
Es complicado (expuesto + complicado = débil).
53 Los hackers o crackers de DNS pueden intentar pasar zonas (TCP), falsificar DNS (UDP) u ocultar otras comunicaciones. Por lo tanto, los firewalls suelen filtrar o registrar el puerto 53.
Es importante tener en cuenta que normalmente se piensa en el puerto 53 como el puerto de origen UDP. Los firewalls inestables a menudo permiten esta comunicación y piensan que es una respuesta a una consulta DNS. Los piratas informáticos suelen utilizar este método para penetrar los cortafuegos.
67 y 68 Bootp y DHCP
Bootp/DHCP sobre UDP: grandes cantidades de datos enviados a la dirección de transmisión 255.255.255.255 a menudo se pueden ver a través de firewalls de módem de cable y DSL. Los servidores de estas máquinas
están solicitando la asignación de direcciones del servidor DHCP. Los piratas informáticos a menudo entran en ellos, asignan una dirección y actúan como un enrutador local para lanzar una gran cantidad de "intermediarios".
Ataque. El cliente transmite una solicitud de configuración (BOOTP) al puerto 68 y el servidor transmite una solicitud de respuesta (bootpc) al puerto 67. Esta respuesta se difunde porque el cliente aún no sabe que se puede enviar.
Dirección IP.
69 TFTP (Partido Demócrata)
Muchos servidores proporcionan este servicio y bootp, lo que facilita la descarga del código de inicio del sistema. Pero normalmente están mal configurados y sirven cualquier archivo del sistema, como archivos de contraseñas. También se pueden utilizar para escribir archivos en el sistema.
79 Finger Hacker se utiliza para obtener información del usuario, consultar el sistema operativo, detectar errores conocidos de desbordamiento del búfer y responder a escaneos dactilares desde la propia máquina a otras máquinas.
98 El programa linuxconf proporciona linux.
La gestión sencilla de Bosen. Se proporciona un servicio basado en interfaz web a través del servidor HTTP integrado en el puerto 98. Encontró numerosos problemas de seguridad. Algunas versiones de setuid
Root, confían en la LAN, crean un archivo accesible desde Internet en /tmp y la variable de entorno LANG tiene un desbordamiento del búfer. Además, debido a que contiene un servidor integrado, pueden existir muchas vulnerabilidades HTTP típicas (desbordamiento de búfer, cruce de directorio, etc.).
109 POP2 no es tan conocido como POP3, pero muchos servidores ofrecen ambos. servicios (compatibles con versiones anteriores). En el mismo servidor, la vulnerabilidad POP3 también existe en POP2.
110 POP3
Se utiliza para que los clientes accedan a servicios de correo del lado del servidor. Los servicios POP3 tienen muchas debilidades reconocidas. Hay al menos 20 vulnerabilidades que involucran desbordamientos del búfer de intercambio de nombre de usuario y contraseña (lo que significa que un pirata informático puede ingresar al sistema antes de iniciar sesión). Hay otros errores de desbordamiento del búfer después de iniciar sesión correctamente.
111 Mapa de puertos de Sun RPC Enlace RPC a Sun RPC
Portmapper/RPCBIND es el primer paso para escanear el sistema para ver qué servicios RPC están permitidos. Los servicios RPC comunes incluyen: rpc.mountd, NFS,
Rpc.statd, rpc.csmd, rpc.ttybd, amd, etc. El intruso descubrió una vulnerabilidad que permitía transferir los servicios RPC al puerto específico donde se proporcionaba el servicio para realizar pruebas.
Recuerde registrar el demonio, IDS o sniffer, podrá descubrir qué programa está utilizando el intruso para obtener acceso y comprender qué está pasando.
113 Autenticación
Este es un protocolo que se ejecuta en muchas máquinas y se utiliza para identificar a los usuarios de conexiones TCP. Con este servicio estándar puede obtener información sobre muchas máquinas (que serán utilizadas por los piratas informáticos). Pero se puede utilizar para muchos servicios.
Grabadores de vídeo, especialmente servicios como FTP, POP, IMAP,
SMTP e IRC. Normalmente, si muchos clientes acceden a estos servicios a través de un firewall, verá muchos puertos para esta conexión. pedido.
Recuerde, si bloquea este puerto, los clientes sentirán el fuego.
Conexión lenta con el servidor de correo electrónico al otro lado de la pared. Muchos firewalls admiten el envío de RST cuando se bloquea una conexión TCP, para detener conexiones tan lentas.
119 Protocolo de transferencia de grupos de noticias NNTP, que transporta comunicaciones USENET. Cuando se vincula a news://comp.security.firewalls/.
Este puerto se suele utilizar al realizar direccionamiento. Los intentos de conexión en este puerto suelen ser donde la gente busca un servidor USENET. La mayoría de los ISP sólo permiten a sus clientes acceder a los servidores de sus grupos de noticias. Abrir un servidor de grupos de noticias permitirá a cualquiera publicar/leer, acceder a servidores de grupos de noticias restringidos, publicar de forma anónima o enviar spam.
135 oc-servms Asignador de puntos finales RPC Microsoft ejecuta el punto final DCE RPC en este puerto.
Mapper sirve su DCOM. Esto es similar a la funcionalidad del puerto 111 de UNIX. Los servicios que utilizan DCOM y/o RPC utilizan puntos finales en la máquina.
Los cartógrafos registran sus posiciones. Cuando los clientes remotos se conectan a la máquina, consultan el punto final.
El mapeador encontró la ubicación del servicio. Asimismo, Hacker escanea este puerto de la máquina en busca de cosas como: ¿Se está ejecutando Exchange Server en esta máquina? ¿Qué versión es?
Este puerto se puede utilizar no solo para consultar servicios (como usar epdump), sino también para ataques directos. Hay algunos ataques DoS contra este puerto.
137 NetBIOS
Servicio de nombres nbtstat (UDP) Esta es la información más común para los administradores de firewall. Lea atentamente la sección NetBIOS al final del artículo.
139
Compartir archivos e impresoras NetBIOS
Las conexiones que llegan a través de este puerto intentan obtener servicios NetBIOS/SMB. Este protocolo se utiliza en "Compartir archivos e impresoras" de Windows y SAMBA. Compartir su propio disco duro en línea es probablemente el problema más común.
La gran cantidad de puertos comenzó en 1999 y luego disminuyó gradualmente. Se recuperó de nuevo en 2000. Algunos scripts VBS (IE5 VisualBasic)
) comenzaron a copiarse a sí mismos en este puerto, intentando reproducirse en este puerto.
143 IMAP
De manera similar a los problemas de seguridad de POP3 mencionados anteriormente, muchos servidores IMAP tienen vulnerabilidades de desbordamiento del búfer que se ingresan durante el inicio de sesión. Recuerde: el gusano de Linux (admw0rm) se propagará a través de este puerto.
Breed, muchos análisis de este puerto provienen de usuarios infectados que no lo saben. Estas vulnerabilidades se hicieron populares cuando RadHat permitió IMAP de forma predeterminada en sus distribuciones de Linux.
Este es el primer gusano extendido desde el gusano Morris.
Este puerto también se utiliza para IMAP2, pero no es tan popular.
Algunos informes han encontrado que algunos ataques a los puertos 0 a 143 se originan a partir de scripts.
161
Protocolo simple de administración de red
Un puerto frecuentemente detectado por intrusos. SNMP permite la gestión remota de dispositivos. Toda la información operativa y de configuración se almacena en la base de datos y se obtiene a través del cliente SNMP. Muchos administradores lo configuran mal y lo exponen a Internet. Los piratas informáticos intentarán acceder al sistema utilizando las contraseñas predeterminadas "pública" y "privada". Intentan todas las combinaciones posibles.
Es posible que los paquetes SNMP se dirijan incorrectamente a su red. Las máquinas con Windows a menudo se conectan al control remoto HP JetDirect debido a una mala configuración.
El software de gestión utiliza SNMP. El identificador de objeto HP
recibirá paquetes SNMP. La nueva versión de Win98 usa SNMP para resolver nombres de dominio y verá paquetes transmitidos dentro de la subred (módem por cable,
DSL) para consultar sysName y otra información.
162 Las capturas SNMP pueden deberse a errores de configuración.
177 xdmcp
Muchos piratas informáticos lo utilizan para acceder a la consola X-Windows y también necesita abrir 6000 puertos.
513 puede provenir del uso de cables.
Transmisiones desde máquinas UNIX en la subred donde está conectado el módem o DSL. Estas personas proporcionaron información muy interesante para que los piratas informáticos pudieran acceder a sus sistemas.
IIOP Calle Colba 553
(UDP) Si estás utilizando un cable módem o VLAN DSL, verás transmisiones en este puerto. CORBA es un sistema RPC (Procedimiento Remoto) orientado a objetos. Los piratas informáticos utilizarán esta información para acceder al sistema.
Puerta trasera de 600 PCserver, verifique el puerto 1524.
Algunos niños que juegan script piensan que han roto completamente el sistema al modificar los archivos ingreslock y pcserver - Alan J. Rosenthal.
Instalación de Linux montada en 635
Error Este es un error popular que la gente busca. El escaneo de este puerto se basa principalmente en UDP, con la adición de mountd basado en TCP (mountd se ejecuta en ambos lados.
mountd) Recuerde, mountd se puede ejecutar en cualquier puerto (qué puerto requiere una consulta de mapa de puertos). en el puerto 111), pero Linux utiliza por defecto el puerto 635, tal como lo hace normalmente NFS.
Ejecutar en el puerto 2049.
1024
Mucha gente pregunta ¿para qué se utiliza este puerto? Este es el comienzo de los puertos dinámicos. A muchos programas no les importa qué puerto se utiliza para conectarse a la red. Piden al sistema operativo que les asigne el "siguiente puerto libre". Basado en esta distribución
Comienza desde el puerto 1024. Esto significa que al primer programa que solicite una asignación de puerto dinámica del sistema se le asignará el puerto 1024. Para verificar esto, puede reiniciar su máquina, abrir Telnet y luego otro.
Aparecerá una ventana ejecutando "natstat"
-a ", verá que a Telnet se le asigna el puerto 1024. Cuantos más programas lo soliciten, más puertos dinámicos asignará el operador. system. El puerto aumentará gradualmente a medida que navegue por la web.
Cada página web en la vista "netstat" requiere un nuevo puerto.
Versión 1, 20 de junio de 2000.
/pubs/firewall-seen.html
Copyright 1998-2000 Robert Graham
(mailtfirewall-seen1@robertgraham.com
Copyright Este
documento.nbspsolo puede reproducirse (en su totalidad o
parcialmente) para uso no comercial
Propósito Todas las reproducciones deben
.contiene este aviso de derechos de autor y no
ser modificado excepto con el permiso del
autor. 1025 Consulte 1024.
1026
<. p>Ver 1024.1080 Socks
Este protocolo pasa a través del firewall y permite que muchas personas detrás del firewall accedan a Internet. permitir que el tráfico interno llegue a Internet exterior, pero debido a una mala configuración, permitirá que los piratas informáticos fuera del firewall ataquen o simplemente respondan en Internet para encubrir sus ataques directos. es un firewall personal común de Windows que a menudo se configura mal cuando te unes a una sala de chat IRC.
Este es el caso
1114 SQL
El sistema en sí rara vez. escanea este puerto, pero generalmente es parte del script sscan
Troyano 1243 Sub-7 (TCP)
Consulte la sección
Puerta trasera 1524 ingreslock
Muchos scripts de ataque instalan puertas traseras
En este puerto (especialmente aquellos scripts que apuntan a las vulnerabilidades de los servicios Sendmail y RPC en sistemas Sun, como statd,
Ttdbserver y cmsd) Si acaba de instalar su firewall y ve. Para conectarse en este puerto, podría ser la razón mencionada anteriormente. Puede probar Telnet a este puerto en su máquina y ver si da un Sh*ll. /pcserver también tiene este problema.
NFS en 2049
Los programas NFS a menudo se ejecutan en este puerto. Generalmente necesitas acceder al asignador de puertos para saber en qué puerto se está ejecutando el servicio. Sí, pero la mayoría de las veces es NFS después de la instalación.
¿Tumba de Albaricoque? Por lo tanto, Acker/Cracker puede apagar el mapeador de puertos y probar el puerto directamente.
3128 Squid
Este es el puerto predeterminado de Squid
servidor proxy HTTP. El atacante escanea el puerto para buscar servidores proxy y acceder a Internet de forma anónima. También verás los puertos utilizados para buscar otros servidores proxy:
8000/8001/8080/8888. Otra razón para escanear este puerto es si el usuario ingresa a una sala de chat. Otros usuarios (o el servidor mismo) Q9750406 también verifican este puerto para
determinar si la computadora del usuario admite el proxy. Consulte la Sección 5.3.
5632 personas
Dependiendo de su ubicación, verá múltiples escaneos de este puerto.
Cuando un usuario abre pcAnywere, escanea automáticamente la red LAN Clase C en busca de posibles servidores proxy.
Proxy en lugar de agente). Los hackers/crackers también buscarán máquinas con este servicio activado, por lo que debes verificar la dirección de donde proviene este escaneo. Algunas personas buscan que Panda
escanee paquetes UDP que normalmente contienen el puerto 22. Consulte Escaneo de marcación.
Artefacto 6776 Sub-7
Este puerto está separado del puerto principal Sub-7 y se utiliza para transmitir datos. Puede ver esto, por ejemplo, cuando un controlador controla otra máquina a través de una línea telefónica y la máquina que se está controlando cuelga.
Entonces, cuando otra persona marca usando esta IP, verá intentos continuos de conexión en este puerto. (Traductor: Cuando vea el firewall informando intentos de conexión en este puerto, no significa que haya sido controlado por Sub-7.
Sistema.)
6970 Real Audio
p>El cliente RealAudio recibirá el flujo de datos de audio desde el puerto UDP del servidor en 6970-7170. Esto lo establece la conexión de control de salida del puerto TCP7070.
13223
Rituales
Los rituales de los magos son tribales.
Programa de chat de voz. Permite a los usuarios abrir conexiones de chat privadas en este puerto. Este proceso es muy "grosero" para establecer una conexión. "Acampará" en este puerto TCP, esperando una respuesta. Esto da como resultado
intentos de conexión similares al intervalo de latidos. Esto sucede si usted es un usuario de acceso telefónico que "heredó" la dirección IP de otro chat: parece que hay muchas personas diferentes probando el puerto. Este protocolo utiliza
"OPNG" como los primeros cuatro bytes de su intento de conexión.
Conductor 17027
Esta es una conexión saliente. Esto se debe a que alguien dentro de la empresa instaló un "robot publicitario" utilizando conductores.
* * *Disfruta del software. Conductivo
"adbot" es un servicio de software de publicidad gráfica para que disfrute ***. Un software popular que utiliza este servicio es Pkware. Algunas personas no tienen ningún problema al intentar bloquear esta conexión saliente, pero bloquear la dirección IP en sí hará que los adbots continúen intentando conectarse varias veces por segundo, sobrecargando así la conexión:
La máquina intentará resolver constantemente el nombre DNS: ads.conducent.com, es decir, la dirección IP es 216. 33. 26438+00.40; 216.33.199.77
; (Traductor: No sé si el Radiate utilizado por NetAnts también tiene este fenómeno)
Troyano 27374 Sub-7 (TCP)
Consulte la subsección.
30100 Network World Trojan (TCP)
Este puerto generalmente se analiza en busca de troyanos de red.
31337 placa con orificio trasero "elite"
En Hacker, 31337 se pronuncia "elite" /ei 'li:t/ (Traductor: francés, traducido como columna vertebral, esencia. Eso es, 3=E, 1=L,
7=T). Se están ejecutando muchos programas de puerta trasera en este puerto. El más famoso de todos ha vuelto.
Orificio. Hubo un tiempo en que este era el escaneo más común en Internet. Ahora su popularidad está disminuyendo mientras que otros programas troyanos están ganando popularidad.
31789
Cortar un bordillo
El tráfico UDP en este puerto generalmente es causado por un troyano de acceso remoto (RAT) "pirateado".
Trojan). Este troyano contiene un escáner de puerto 31790 incorporado, por lo que cualquier conexión desde el puerto 31789 al puerto 317890 significa que se ha producido esta intrusión. (El puerto 31789 es la conexión de control y el puerto 317890 es la conexión de transferencia de archivos).
Servicio RPC 32770~32900
Sun
El servicio RPC de Solaris está dentro de este rango. Específicamente, las versiones anteriores de Solaris (anteriores a la 2.5.1) colocaban el asignador de puertos dentro de este rango, aunque los puertos de gama baja estaban protegidos.
Tener el firewall apagado aún permite que los piratas informáticos accedan a este puerto. Los puertos en este rango se escanean en busca de mapeadores de puertos o puertos que se sabe que son vulnerables.
Servicio RPC.
33434~33600 traceroute
Si ve paquetes UDP en este rango de puertos (y solo en este rango), puede deberse a traceroute. Consulte la sección de seguimiento de rutas.
41508
Inoculum
Las versiones anteriores de Inoculan generaban una gran cantidad de tráfico UDP en la subred para identificarse entre sí.
Ver
http://www.circlemud.org/~jelson/software/udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan /index.html
(2)
¿Qué significan los siguientes puertos de origen?
Los puertos 1~1024 son puertos reservados, por lo que casi no son puertos de origen. Existen algunas excepciones, como las conexiones desde máquinas NAT. Ver 1.9.
A menudo vemos el puerto seguido de 1024, que es un "puerto dinámico" asignado por el sistema a las aplicaciones, y a estas aplicaciones no les importa a qué puerto conectarse.
Descripción del servicio del cliente del servidor
1-5/el puerto FTP dinámico tcp 1-5 representa el script sscan.
20/tcp FTP dinámico Puerto de transferencia de archivos del servidor FTP.
53
El DNS FTP dinámico envía respuestas UDP desde este puerto. También puede ver la conexión TCP en los puertos de origen/destino.
123 S/NTP dinámico
El puerto en el que se ejecuta el servidor del Protocolo de tiempo de red simple (S/NTP). También envían transmisiones al puerto.
27910~27961/udpDynamic Quake
Los juegos con motor Quake o Quake ejecutan sus servidores en este puerto. Por lo tanto, los paquetes UDP que provienen de este rango de puertos o se envían a este rango de puertos suelen ser juegos.
Por encima de 61000
Los puertos FTP dinámicos por encima de 61000 pueden provenir del servidor NAT de Linux (enmascaramiento de IP).