¿Qué son los puertos internos y los puertos externos?
/2446270.html ¡Consulte!
1 Resumen
2. ¿Qué es un puerto?
3.
El papel de cuatro puertos en intrusión
Introducción a cinco puertos comunes
Herramientas relacionadas para seis puertos
Siete protegen sus propios puertos
8 Conclusión
1 Resumen
Hacía mucho tiempo que quería escribir un tutorial sobre puertos y finalmente lo puse en práctica hoy. De hecho, hay muchos tutoriales en Internet sobre puertos, pero no he visto ninguno que realmente te diga qué es un puerto (tal vez realmente no lo haya visto si has leído muchos tutoriales sobre). puertos, entonces dime qué es exactamente el puerto. Jaja, tal vez no puedas responder por un tiempo, está bien, ¡sígueme!
2. ¿Qué es un puerto?
En Internet, los hosts envían y reciben datagramas a través del protocolo TCP/TP. Cada datagrama se interconecta según la dirección IP de su host de destino. selección de ruta en . Se puede ver que no hay ningún problema en transmitir con éxito el datagrama al host de destino. ¿Dónde radica el problema? Sabemos que la mayoría de los sistemas operativos admiten múltiples programas (procesos) ejecutándose al mismo tiempo, entonces, ¿a cuál de los muchos procesos que se ejecutan al mismo tiempo debería transferir el host de destino el datagrama recibido? Obviamente es necesario resolver este problema e introducir el mecanismo de puerto.
El sistema operativo local asignará puertos de protocolo (protocal ports, que a menudo llamamos puertos) a aquellos procesos que los requieran. Cada puerto de protocolo se identifica mediante un número entero positivo, como por ejemplo: 80, 139, 445. , etc. Cuando el host de destino recibe el datagrama, enviará los datos al puerto correspondiente según el número de puerto de destino en el encabezado del mensaje, y el proceso correspondiente a este puerto recibirá los datos y esperará la llegada del siguiente conjunto. de datos. En este punto, el concepto de puertos todavía parece abstracto, así que sigueme y no te alejes.
Los puertos son en realidad colas. El sistema operativo asigna diferentes colas a cada proceso. Los datagramas se envían a las colas correspondientes según el puerto de destino, esperando ser tomados por el proceso. También es posible que una cola se desborde, pero el sistema operativo permite que cada proceso especifique y ajuste el tamaño de su propia cola.
No sólo el proceso que recibe el datagrama necesita abrir su propio puerto, sino que el proceso que envía el datagrama también necesita abrir el puerto. De esta forma, el puerto activo quedará identificado en el datagrama. para que el receptor pueda devolverlo sin problemas. Los informes de datos llegan a este puerto.
Clasificación de tres puertos
En Internet, según la clasificación del tipo de protocolo, los puertos se dividen en dos categorías: puertos TCP y puertos UDP, aunque todos están identificados mediante números enteros positivos. Esto no significa que no causará ambigüedad, como el puerto TCP 80 y el puerto UDP 80, porque el datagrama también indicará el tipo de puerto al indicar el puerto.
Desde la perspectiva de la asignación de puertos, los puertos se dividen en dos categorías: puertos fijos y puertos dinámicos (algunos tutoriales también dividen los puertos altos raramente utilizados en una tercera categoría: puertos privados):
Puerto fijo (0-1023):
Utilizar un mecanismo de gestión centralizado, es decir, obedecer la asignación de puertos por parte de una organización de gestión, que es la responsable de emitir estas asignaciones. Dado que estos puertos están estrechamente vinculados a algunos servicios, a menudo los escaneamos para determinar si la otra parte ha abierto estos servicios, como TCP 21 (ftp), 80 (bios), UDP 7 (echo), 69 (tftp). , etc. Espere a que aparezcan algunos puertos conocidos;
Puertos dinámicos (1024-49151):
Estos puertos no están vinculados de forma fija a un determinado servicio y el sistema operativo los asigna dinámicamente. estos puertos Para cada proceso, el mismo proceso puede asignarse a diferentes puertos dos veces. Sin embargo, algunas aplicaciones no están dispuestas a utilizar los puertos dinámicos asignados por el sistema operativo. Tienen sus propios puertos "marcados", como el puerto 4000 del cliente oicq, el puerto 7626 de Trojan Glacier, etc., que son todos fijos y fijos. famoso.
El papel de los cuatro puertos en la intrusión
Alguien comparó una vez el servidor con una casa y los puertos con puertas que conducen a diferentes habitaciones (servicios). Ésta es una buena metáfora. Si un intruso quiere ocupar esta casa, debe entrar por la fuerza (la intrusión física es otra cuestión). Por eso, para el intruso es importante saber cuántas puertas se abren en la casa, qué tipo de puertas son y qué son. detrás de la puerta. Es importante.
El intruso suele utilizar un escáner para escanear los puertos del host de destino y determinar qué puertos están abiertos. A partir de los puertos abiertos, el intruso puede saber aproximadamente qué servicios proporciona el host de destino y luego adivinar los posibles. Existen vulnerabilidades, por lo que el escaneo de puertos puede ayudarnos a comprender mejor el host de destino. Para los administradores, escanear los puertos abiertos de la máquina local también es el primer paso para tomar precauciones de seguridad.
Cinco introducciones a puertos comunes
Debido a mi conocimiento limitado, aquí solo presento algunos contenidos simples.
1) 21 ftp
Abrir este puerto significa que el servidor proporciona un servicio FTP. Los intrusos generalmente escanean este puerto y determinan si permiten el inicio de sesión anónimo. Si se puede encontrar un directorio grabable. También pueden cargar algunos programas de piratas informáticos para una mayor intrusión. Para cerrar este puerto, debe desactivar el servicio FTP.
2) 23 Telnet
Abrir este puerto significa que el servidor proporciona un servicio de inicio de sesión remoto. Si tiene el nombre de usuario y la contraseña del administrador, puede controlar completamente el host a través de este servicio (. pero primero necesita obtener autenticación NTLM) y obtener un shell en la línea de comando. A muchos intrusos les gusta habilitar este servicio como puerta trasera. Para cerrar este puerto, debe cerrar el servicio Telnet.
3) 25 smtp
Abrir este puerto significa que el servidor proporciona servicios SMTP. Algunos servidores que no admiten autenticación permiten a los intrusos enviar correos electrónicos a cualquier ubicación (especialmente sendmail). ) es también una de las formas más comunes de ingresar al sistema. Para cerrar este puerto, debe cerrar el servicio SMTP.
4) 69 TFTP (UDP)
Abrir este puerto significa que el servidor proporciona un servicio TFTP, que permite descargar archivos desde el servidor y escribir archivos si el administrador lo configura incorrectamente. Los intrusos pueden incluso descargar archivos de contraseñas. Muchos intrusos ejecutan este servicio en sus propias máquinas para transferir archivos a la máquina de destino, realizando así la transferencia de archivos. Para cerrar este puerto, debe cerrar el servicio TFTP.
5) 79 dedos
Se utiliza para obtener información del usuario, consultar el sistema operativo, detectar errores conocidos de desbordamiento del búfer y responder a escaneos dactilares desde su propia máquina a otras máquinas.
6) 80)
8) TCP 139 y 445
Muchas personas están muy preocupadas por estos dos puertos, así que los presentaré en detalle Barra:
Primero, comprendamos algunos conocimientos básicos:
1 SMB: (Server Message Block) familia de protocolos de Windows, un servicio único para la impresión de archivos;
2 NBT : (NETBios Over TCP/IP) utiliza puertos 137 (UDP) 138 (UDP) 139 (TCP) para implementar la interconexión de red NETBIOS basada en el protocolo TCP/IP.
3 En Windows NT, SMB se implementa en base a NBT, es decir, utilizando el puerto 139 (TCP), en Windows 2000, además de estar basado en NBT, SMB también se puede implementar directamente a través del puerto 445; .
Con estos conocimientos básicos, podemos analizar más a fondo la elección del puerto para acceder a la red compartida:
Para el cliente win2000 (iniciador):
1 Si NBT Si se le permite conectarse al servidor, el cliente intentará acceder a los puertos 139 y 445 al mismo tiempo. Si el puerto 445 responde, enviará un paquete RST al puerto 139 para desconectarse y utilizar el puerto 455. Para una sesión, cuando el puerto. 445 no responde, se usa el puerto 139. Si ambos puertos no responden, la sesión falla.
2 Si el servidor está conectado cuando NBT está deshabilitado, el cliente solo intentará acceder al puerto 445. El puerto 445 no responde, la sesión fallará.
Para servidor win2000:
1 Si se permite NBT, entonces los puertos UDP 137, 138, los puertos TCP 139, 445 estarán abiertos (ESCUCHA);
2 Si NBT está deshabilitado, solo el puerto 445 está abierto.
La selección de puerto para la sesión ipc$ que establecimos también sigue los principios anteriores. Obviamente, si el servidor remoto no está escuchando en el puerto 139 o 445, no se puede establecer la sesión ipc$.
Entonces, ¿cómo cerrar estos dos puertos en el año 2000?
El puerto 139 se puede bloquear desactivando NBT
Conexión local-Propiedades TCP/IT-Avanzadas-WINS-Seleccione el elemento 'Desactivar NETBIOS en TCP/IT'
El puerto 445 se puede bloquear modificando el registro
Agregar una clave
Hive: HKEY_LOCAL_MACHINE
Clave: System\Controlset\Services\NetBT\ Parameters
Nombre: SMBDeviceEnabled
Tipo: REG_DWORD
valor: 0
Reinicie la máquina después de la modificación
9) 3389 Terminal Services
Abrir este puerto significa que el servidor proporciona servicios de terminal. Si obtiene el nombre de usuario y la contraseña del administrador, puede controlar completamente el host a través de este servicio a través de la interfaz gráfica. Pero si no puede obtener la contraseña y encuentra la vulnerabilidad del método de entrada, se sentirá impotente. Para cerrar este puerto, debe desactivar Terminal Services.
Herramientas relacionadas con seis puertos
1 netstat -an
De hecho, esto no es una herramienta, pero es la forma más conveniente de verificar los puertos que ha abierto. , simplemente ingrese este comando en cmd. De la siguiente manera:
C:\>netstat -an
Conexiones activas
Proto dirección local Estado de dirección externa
TCP 0.0.0.0 : 135 0.0.0.0:0 ESCUCHANDO
TCP 0.0.0.0:445 0.0.0.0:0 ESCUCHANDO
TCP 0.0.0.0:1025 0.0.0.0:0 ESCUCHANDO
TCP 0.0.0.0:1026 0.0.0.0:0 ESCUCHANDO
TCP 0.0.0.0:1028 0.0.0.0:0 ESCUCHANDO
TCP 0.0.0.0:3372 0.0.0.0 : 0 ESCUCHANDO
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1027 *: *
UDP 127.0.0.1:1029*:*
UDP 127.0.0.1:1030*:*
Esto es lo que abrió la máquina cuando yo no estaba Puertos en línea, dos 135 y 445 son puertos fijos y los puertos restantes son puertos dinámicos.
2 fport.exe y mport.exe
Estos también son dos pequeños programas para ver los puertos abiertos de la máquina local bajo la línea de comando. De hecho, son similares a. netstat -un comando, excepto que puede mostrar el proceso de apertura del puerto, que tiene más información. Si sospecha que su puerto extraño puede ser un troyano, utilícelo para verificar.
3 activeport.exe (también llamado aports.exe)
También se utiliza para ver los puertos abiertos de la máquina local además de tener todas las funciones de los dos anteriores. programas, también hay dos características más atractivas: la interfaz gráfica y la capacidad de cerrar puertos. Esta es una herramienta absolutamente útil para principiantes y se recomienda utilizarla.
4 superscan3.0
¿No has oído hablar de su nombre? Es el software de escaneo de puertos puro número uno. Es rápido y puede especificar el puerto que no se va a escanear. Hay mucho que decir, es una herramienta absolutamente imprescindible.
Siete protege tus propios puertos
Los amigos que son nuevos en Internet generalmente son muy sensibles a sus propios puertos. Siempre tienen miedo de que su computadora abra demasiados puertos y lo hacen. Tengo aún más miedo de que uno de ellos El puerto del programa de puerta trasera, pero como no estoy muy familiarizado con el puerto, no hay solución, por lo que me pongo muy nervioso cuando me conecto.
De hecho, no es tan difícil proteger sus propios puertos. Simplemente haga lo siguiente:
1 Verificar: use frecuentemente comandos o software para verificar los puertos abiertos localmente para ver si hay puertos sospechosos;
2 Juicio: Si hay puertos abiertos con los que no está familiarizado, debe buscar inmediatamente la enciclopedia de puertos o los puertos troyanos comunes y otra información (hay muchos de ellos en Internet), y mire la descripción de la función de su puerto sospechoso, o use el software para verificar el proceso de apertura de este puerto para juzgar;
3 Cerrar: si realmente es un puerto troyano o no hay descripción de este puerto en los datos, entonces este puerto debe cerrarse. Puede usar un firewall para bloquear este puerto, o puede usar Conexión local-TCP/IP-Opciones avanzadas-Filtrado TCP/IP para habilitar el mecanismo de filtrado para filtrar puertos.
Nota: tenga cuidado al hacer su juicio, porque algunos puertos asignados dinámicamente pueden causar fácilmente que usted sea innecesario. Sospecho que dichos puertos son generalmente bajos y continuos. Además, algunos software de puerta trasera astutos utilizarán algunos puertos comunes, como el 80, para comunicarse (penetrante en el firewall), lo cual es difícil de detectar, por lo que es clave no ejecutar fácilmente programas desconocidos.
Ocho Conclusión
Por favor responde si quieres
Leer el texto completo | Responder (0) | Cita Editar
Publicación anterior : Establecer obstáculos para los piratas informáticos
Siguiente artículo: ¿Cómo configurar el soporte para leer y escribir archivos de texto FSO?
Tabla de comparación de puertos comunes - -
Etiqueta: puerto
Tabla de comparación de puertos comunes
Iniciar-Ejecutar-CMD, ingrese netstat - an y luego presione Enter para ver el puerto
Puerto: 0
Servicio: Reservado
Descripción: Generalmente se usa para analizar el sistema operativo. Este método funciona porque "0" es un puerto no válido en algunos sistemas y producirá resultados diferentes cuando intente conectarse utilizando un puerto normalmente cerrado. Un escaneo típico utiliza la dirección IP 0.0.0.0, establece el bit ACK y transmite en la capa Ethernet.
Puerto: 1
Servicio: tcpmux
Descripción: Esto muestra que alguien está buscando una máquina SGI Irix. Irix es el principal proveedor de implementación de tcpmux, que está activado de forma predeterminada en dichos sistemas. Las máquinas Irix se lanzan con varias cuentas sin contraseña predeterminadas, como: IP, GUEST UUCP, NUUCP, DEMOS, TUTOR, DIAG, OUTOFBOX, etc. Muchos administradores olvidan eliminar estas cuentas después de la instalación. Entonces HACKER busca tcpmux en INTERNET y explota estas cuentas.
Puerto: 7
Servicio: Echo
Descripción: Puedes ver la información enviada a X.X.X.0 y X.X.X.255 cuando muchas personas buscan el amplificador Fraggle.
Puerto: 19
Servicio: Generador de Caracteres
Descripción: Este es un servicio que solo envía caracteres. La versión UDP responderá a los paquetes que contengan caracteres basura después de recibir paquetes UDP. Cuando se establece una conexión TCP, se enviará un flujo de datos que contiene caracteres basura hasta que se cierre la conexión. HACKER puede utilizar la suplantación de IP para lanzar ataques DoS. Forja paquetes UDP entre dos servidores cargados. El mismo ataque Fraggle DoS transmite un paquete con una IP de víctima falsa a este puerto de la dirección de destino, y la víctima se sobrecarga en respuesta a estos datos.
Puerto: 21
Servicio: FTP
Descripción: El puerto abierto por el servidor FTP se utiliza para carga y descarga. Los atacantes más comunes suelen encontrar formas de abrir servidores FTP anónimos. Estos servidores vienen con directorios que se pueden leer y escribir. Puertos abiertos por Doly Trojan, Fore, Invisible FTP, WebEx, WinCrash y Blade Runner.
Puerto: 22
Servicio: Ssh
Explicación: La conexión TCP establecida por PcAnywhere y este puerto puede ser para buscar ssh. Este servicio tiene muchas debilidades. Si se configura en un modo específico, muchas versiones que utilizan la biblioteca RSAREF tendrán muchas vulnerabilidades.
Puerto: 23
Servicio: Telnet
Descripción: Inicio de sesión remoto, el intruso está buscando servicios UNIX de inicio de sesión remoto. En la mayoría de los casos, este puerto se escanea para encontrar el sistema operativo que está ejecutando la máquina. También existen otras técnicas mediante las cuales los intrusos pueden encontrar contraseñas. El servidor Trojan Tiny Telnet abre este puerto.
Puerto: 25
Servicio: SMTP
Descripción: El puerto abierto por el servidor SMTP se utiliza para enviar correos electrónicos.
Los intrusos buscan servidores SMTP para entregar su SPAM. La cuenta del intruso está cerrada y necesita conectarse a un servidor de CORREO ELECTRÓNICO de gran ancho de banda para enviar mensajes simples a diferentes direcciones. Los troyanos Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth, WinPC y WinSpy abren este puerto.
Puerto: 31
Servicio: Autenticación MSG
Descripción: Los Trojans Master Paradise y Hackers Paradise abren este puerto.
Puerto: 42
Servicio: Replicación WINS
Descripción: Replicación WINS
Puerto: 53
Servicio : Servidor de nombres de dominio (DNS)
Descripción: El puerto abierto por el servidor DNS, el intruso puede intentar realizar transferencia de zona (TCP), falsificar DNS (UDP) u ocultar otras comunicaciones. Por lo tanto, los cortafuegos suelen filtrar o registrar este puerto.
Puerto: 67
Servicio: Servidor de protocolo Bootstrap
Nota: Los firewalls a través de DSL y módem por cable a menudo ven una gran cantidad de datos enviados a la dirección de transmisión 255.255 .255.255 . Estas máquinas solicitan una dirección del servidor DHCP. Los HACKER a menudo ingresan en ellos, les asignan una dirección, actúan como enrutador local y lanzan una gran cantidad de ataques de intermediario. El cliente transmite una solicitud de configuración al puerto 68 y el servidor transmite una solicitud de respuesta al puerto 67. Esta respuesta utiliza una transmisión porque el cliente aún no conoce la dirección IP a la que puede enviar.
Puerto: 69
Servicio: Trival File Transfer
Descripción: Muchos servidores proporcionan este servicio junto con bootp para facilitar la descarga del código de inicio del sistema. Pero a menudo están mal configurados, lo que permite a los intrusos robar cualquier archivo del sistema. El sistema también puede utilizarlos para escribir archivos.
Puerto: 79
Servicio: Finger Server
Descripción: Los intrusos lo utilizan para obtener información del usuario, consultar el sistema operativo y detectar errores conocidos de desbordamiento del búfer. , responda a los escaneos dactilares desde su propia máquina a otras máquinas.
Puerto: 80
Servicio: HTTP
Descripción: Se utiliza para navegación web. Trojan Executor abre este puerto.
Puerto: 99
Servicio: metagram Relay
Descripción: El programa de puerta trasera ncx99 abre este puerto.
Puerto: 102
Servicio: Agente de transferencia de mensajes (MTA)-X.400 sobre TCP/IP
Descripción: Agente de transferencia de mensajes.
Puerto: 109
Servicio: Protocolo de oficina postal -Versión 3
Descripción: El servidor POP3 abre este puerto para recibir correo y el cliente accede al correo en el lado del servidor Servir. Los servicios POP3 tienen muchas debilidades reconocidas. Hay al menos 20 vulnerabilidades relacionadas con desbordamientos del buffer de intercambio de nombres de usuario y contraseñas, lo que significa que un intruso puede ingresar al sistema antes de iniciar sesión. Hay otros errores de desbordamiento del búfer después de iniciar sesión correctamente.
Puerto: 110
Servicio: todos los puertos del servicio RPC de SUN
Nota: Los servicios RPC comunes incluyen rpc.mountd, NFS, rpc.statd, rpc. csmd, rpc.ttybd, amd, etc.
Puerto: 113
Servicio: Servicio de autenticación
Descripción: Este es un protocolo que se ejecuta en muchas computadoras, se utiliza Se utiliza para identificar usuarios de conexiones TCP. Se puede obtener información sobre muchas computadoras utilizando este servicio estándar. Pero puede usarse como registrador para muchos servicios, especialmente servicios como FTP, POP, IMAP, SMTP e IRC. Normalmente, si tiene muchos clientes que acceden a estos servicios a través de un firewall, verá muchas solicitudes de conexión para este puerto. Recuerde, si bloquea este puerto, el cliente experimentará una conexión lenta con el servidor de CORREO ELECTRÓNICO al otro lado del firewall. Muchos firewalls admiten el envío de RST durante el bloqueo de conexiones TCP. Esto detendrá las conexiones lentas.
Puerto: 119
Servicio: Protocolo de transferencia de noticias en red
Descripción: Protocolo de transferencia de grupo de noticias NEWS, que transporta comunicación USENET. Este puerto suele ser donde la gente busca servidores USENET para conectarse.
La mayoría de los ISP restringen el acceso a los servidores de sus grupos de noticias únicamente a sus clientes. Abrir un servidor de grupos de noticias permitirá a cualquiera publicar/leer mensajes, acceder a servidores de grupos de noticias restringidos, publicar de forma anónima o enviar mensajes SPAM.
Puerto: 135
Servicio: Servicio de ubicación
Descripción: Microsoft ejecuta el asignador de puntos finales DCE RPC en este puerto para su servicio DCOM. Esto es muy similar a la función del puerto 111 de UNIX. Los servicios que utilizan DCOM y RPC registran sus ubicaciones con el asignador de puntos finales en la computadora. Cuando los clientes remotos se conectan a una computadora, buscan el asignador de puntos finales para encontrar la ubicación del servicio. ¿HACKER está escaneando este puerto de la computadora para encontrar Exchange Server ejecutándose en esta computadora? ¿Qué versión? También hay algunos ataques de DOS que apuntan directamente a este puerto.
Puertos: 137, 138, 139
Servicio: NETBIOS Name Service
Descripción: 137 y 138 son puertos UDP, al transferir archivos a través de Network Neighborhood Utilice esto puerto. Y puerto 139: las conexiones que ingresan a través de este puerto intentan obtener servicios NetBIOS/SMB. Este protocolo se utiliza para compartir archivos e impresoras de Windows y SAMBA. El registro WINS también lo utiliza.
Puerto: 143
Servicio: Protocolo provisional de acceso al correo v2
Nota: al igual que los problemas de seguridad de POP3, muchos servidores IMAP tienen vulnerabilidades de desbordamiento del búfer. Recuerde: un gusano LINUX (admv0rm) se reproduce a través de este puerto, por lo que muchos análisis de este puerto provienen de usuarios desprevenidos que ya están infectados. Estas vulnerabilidades se hicieron populares cuando REDHAT permitió IMAP de forma predeterminada en sus distribuciones de Linux. Este puerto también se utiliza para IMAP2, pero no es muy popular.
Puerto: 161
Servicio: SNMP
Descripción: SNMP permite la gestión remota de dispositivos. Toda la información operativa y de configuración se almacena en una base de datos y está disponible a través de SNMP. Muchas configuraciones erróneas del administrador quedarán expuestas a Internet. Cackers intentará acceder al sistema utilizando las contraseñas predeterminadas pública y privada. Pueden experimentar con todas las combinaciones posibles. Los paquetes SNMP pueden dirigirse incorrectamente a la red del usuario.
Puerto: 177
Servicio: Protocolo de control X Display Manager
Descripción: Muchos intrusos acceden a la consola X-windows a través de él y necesita abrir 6000 al mismo tiempo puerto.
Puerto: 389
Servicios: LDAP, ILS
Descripción: El protocolo ligero de acceso a directorios y el servidor de localización de Internet NetMeeting utilizan este puerto.
Puerto: 443
Servicio: HTTPS
Descripción: Puerto de navegación web, otro tipo de HTTP que puede proporcionar cifrado y transmisión a través de un puerto seguro.
Puerto: 456
Servicio: [NULL]
Descripción: El troyano HACKERS PARADISE abre este puerto.
Puerto: 513
Servicio: Inicio de sesión, inicio de sesión remoto
Descripción: Es una transmisión enviada desde una computadora UNIX que inicia sesión en la subred mediante cable módem o ADSL. Estos individuos proporcionan información para que los intrusos obtengan acceso a sus sistemas.
Puerto: 544
Servicio: [NULL]
Descripción: kerberos kshell
Puerto: 548
Servicio: Macintosh, Servicios de Archivos (AFP/IP)
Descripción: Macintosh, Servicios de Archivos.
Puerto: 553
Servicio: CORBA IIOP (UDP)
Descripción: Usando cable módem, DSL o VLAN verá la transmisión de este puerto. CORBA es un sistema RPC orientado a objetos. Los intrusos pueden utilizar esta información para acceder al sistema.
Puerto: 555
Servicio: DSF
Descripción: Los troyanos PhAse1.0, Stealth Spy e IniKiller abren este puerto.
Puerto: 568
Servicio: Membresía DPA
Descripción: Membresía DPA.
Puerto: 569
Servicio: Membresía MSN
Descripción: Membresía MSN.
Puerto: 635
Servicio: mountd
Descripción: Error en Linux mountd. Este es un error común en el escaneo. La mayoría de los escaneos de este puerto están basados en UDP, pero ha habido un aumento en el mountd basado en TCP (mountd se ejecuta en ambos puertos simultáneamente). Recuerde que mountd puede ejecutarse en cualquier puerto (qué puerto necesita para realizar una consulta de mapa de puertos en el puerto 111), pero el puerto predeterminado en Linux es 635, al igual que NFS generalmente se ejecuta en el puerto 2049.
Puerto: 636
Servicio: LDAP
Descripción: SSL (Secure Sockets Layer)
Puerto: 666
Servicio: Doom Id Software
Descripción: Trojan Attack FTP y Satanz Backdoor abren este puerto
Puerto: 993
Servicio: IMAP
Descripción: SSL (capa de sockets seguros)
Puertos: 1001, 1011
Servicio: [NULL]
Descripción: Trojan Silencer, puerto abierto de WebEx 1001. El troyano Doly abre el puerto 1011.
Puerto: 1024
Servicio: Reservado
Descripción: Es el comienzo de un puerto dinámico A muchos programas no les importa qué puerto se utiliza para conectarse. la red. Solicitan al sistema que asigne el siguiente puerto libre. Según esta asignación, comienza en el puerto 1024. Esto significa que a la primera solicitud al sistema se le asignará el puerto 1024. Puede reiniciar la máquina, abrir Telnet y luego abrir una ventana para ejecutar natstat -a. Verá que Telnet tiene asignado el puerto 1024. También hay sesiones SQL que también utilizan este puerto y el puerto 5000.
Puertos: 1025, 1033
Servicio: 1025: blackjack de red 1033: [NULL]
Descripción: El troyano netspy abre estos 2 puertos.
Puerto: 1080
Servicio: SOCKS
Descripción: Este protocolo hace un túnel a través del firewall, permitiendo a las personas detrás del firewall acceder a INTERNET a través de una dirección IP. En teoría sólo debería permitir que la comunicación interna llegue a INTERNET. Pero debido a una configuración incorrecta, puede permitir que ataques ubicados fuera del firewall pasen a través del firewall. Este error ocurre a menudo en WinGate y suele verse al unirse a una sala de chat IRC.
Puerto: 1170
Servicio: [NULL]
Descripción: Trojan Streaming Audio Trojan, Psyber Stream Server y Voice abren este puerto.
Puertos: 1234, 1243, 6711, 6776
Servicio: [NULL]
Descripción: El troyano SubSeven2.0 y el troyano Ultors abren los puertos 1234 y 6776 . El troyano SubSeven1.0/1.9 abre los puertos 1243, 6711 y 6776.
Puerto: 1245
Servicio: [NULL]
Descripción: El troyano Vodoo abre este puerto.
Puerto: 1433
Servicio: SQL
Descripción: El puerto abierto por el servicio SQL de Microsoft.
Puerto: 1492
Servicio: stone-design-1
Descripción: El troyano FTP99CMP abre este puerto.
Puerto: 1500
Servicio: consultas de sesión de puerto fijo del cliente RPC
Descripción: consultas de sesión de puerto fijo del cliente RPC
Puerto: 1503
Servicio: NetMeeting T.120
Descripción: NetMeeting T.120
Puerto: 1524
Servicio: ingreso
Nota: Muchos scripts de ataque instalarán un SHELL de puerta trasera en este puerto, especialmente los scripts dirigidos a las vulnerabilidades de los servicios Sendmail y RPC en sistemas SUN. Si ve intentos de conexión en este puerto justo después de instalar el firewall, probablemente se deba a los motivos anteriores.
Puede probar Telnet a este puerto en la computadora del usuario y ver si le proporciona un SHELL. Este problema también existe al conectarse al servidor 600/pcser.
Puerto: 1600
Servicio: issd
Descripción: El troyano Shivka-Burka abre este puerto.
Puerto: 1720
Servicio: NetMeeting
Descripción: Configuración de llamada NetMeeting H.233.
Puerto: 1731
Servicio: Control de llamadas de audio de NetMeeting
Descripción: Control de llamadas de audio de NetMeeting.
Puerto: 1807
Servicio: [NULL]
Descripción: El troyano SpySender abre este puerto.
Puerto: 1981
Servicio: [NULL]
Descripción: El troyano ShockRave abre este puerto.
Puerto: 1999
Servicio: puerto de identificación de Cisco
Descripción: El troyano BackDoor abre este puerto.
Puerto: 2000
Servicio: [NULL]
Descripción: El troyano GirlFriend 1.3 y Millenium 1.0 abren este puerto.
Puerto: 2001
Servicio: [NULL]
Descripción: Trojan Millenium 1.0 y Trojan Cow abren este puerto.
Puerto: 2023
Servicio: xinueexpansion 4
Descripción: Trojan Pass Ripper abre este puerto.
Puerto: 2049
Servicio: NFS
Descripción: Los programas NFS suelen ejecutarse en este puerto. Normalmente es necesario acceder a Portmapper para consultar en qué puerto se está ejecutando este servicio.
Puerto: 2115
Servicio: [NULL]
Descripción: Trojan Bugs abre este puerto.
Puerto: 2140, 3150
Servicio: [NULL]
Descripción: Trojan Deep Throat 1.0/3.0 abre este puerto.
Puerto: 2500
Servicio: Cliente RPC que utiliza una replicación de sesión de puerto fijo
Descripción: Cliente RPC que utiliza una replicación de sesión de puerto fijo
Puerto: 2583
Servicio: [NULL]
Descripción: Trojan Wincrash 2.0 abre este puerto.
Puerto: 2801
Servicio: [NULL]
Descripción: El troyano Phineas Phucker abre este puerto.
Puerto: 3024, 4092
Servicio: [NULL]
Descripción: El troyano WinCrash abre este puerto.
Puerto: 3128
Servicio: squid
Descripción: Este es el puerto predeterminado del servidor proxy HTTP de squid. El atacante escanea este puerto en busca de un servidor proxy para acceder a Internet de forma anónima. También verá los puertos 8000, 8001, 8080 y 8888 para buscar otros servidores proxy. Otra razón para escanear este puerto es si el usuario ingresa a una sala de chat. Otros usuarios también comprobarán este puerto para determinar si la máquina del usuario admite el proxy.
Puerto: 3129
Servicio: [NULL]
Descripción: Trojan Master Paradise abre este puerto.
Puerto: 3150
Servicio: [NULL]
Descripción: El troyano The Invasor abre este puerto.
Puerto: 3210, 4321
Servicio: [NULL]
Descripción: El Trojan SchoolBus abre este puerto
Puerto: 3333
p>
Servicio: dec-notes
Descripción: Trojan Prosiak abre este puerto
Puerto: 3389
Servicio: HyperTerminal
Nota: El terminal WINDOWS 2000 abre este puerto.
Puerto: 3700
Servicio: [NULL]
Descripción: El Trojan Portal of Doom abre este puerto
Puertos: 3996, 4060
Servicio: [NULL]
Descripción: Trojan RemoteAnything abre este puerto
Puerto: 4000
Servicio: cliente QQ p> p>
Nota: El cliente Tencent QQ abre este puerto.
Puerto: 4092
Servicio: [NULL]
Descripción: El troyano WinCrash abre este puerto.
Puerto: 4590
Servicio: [NULL]
Descripción: El troyano ICQTrojan abre este puerto.
Puertos: 5000, 5001, 5321, 50505
Servicio: [NULL]
Descripción: Trojan blazer5 abre el puerto 5000.
Trojan Sockets de Troie está abierto