Listar puertos

El número anterior es el número de puerto.

El 0 se suele utilizar para analizar el sistema operativo. Este método funciona porque "0" es un puerto no válido en algunos sistemas y producirá resultados diferentes cuando intente conectarse utilizando un puerto normalmente cerrado. Un escaneo típico: use la dirección IP 0.0.0.0, configure el bit ACK y transmita en la capa Ethernet.

1 tcpmux Esto muestra que alguien está buscando una máquina SGI Irix. Irix es el principal proveedor de implementación de tcpmux, que está activado de forma predeterminada en dichos sistemas. Las máquinas Iris se entregan con varias cuentas sin contraseña predeterminadas, como lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox y 4Dgifts. Muchos administradores olvidan eliminar estas cuentas después de la instalación. Entonces los piratas informáticos buscan tcpmux en Internet y explotan estas cuentas.

7 Echo Puedes ver muchos mensajes enviados a x.x.x.0 y x.x.x.255 cuando las personas buscan amplificadores Fraggle. Un ataque DoS común es el bucle de eco (echo-loop), donde el atacante falsifica paquetes UDP enviados de una máquina a otra, y las dos máquinas responden a estos paquetes de la manera más rápida. Otra cosa es la conexión TCP que establece DoubleClick en el puerto de palabras. Existe un producto llamado "Resonate Global Dispatch" que interactúa con este puerto de DNS para determinar la ruta más cercana. El caché Harvest/squid enviará eco UDP en el puerto 3130: "Si la opción source_ping on del caché está activada, responderá con una respuesta HIT al puerto de eco UDP del host original".

11 sysstat Este es un servicio UNIX que enumera todos los procesos en ejecución en la máquina y qué los inició. Esto proporciona al intruso información que podría amenazar la seguridad de la máquina, como exponer programas con vulnerabilidades o cuentas conocidas. Esto es similar al resultado del comando "ps" en sistemas UNIX. Nuevamente: ICMP no tiene puertos, el puerto ICMP 11 suele ser tipo ICMP=11.

19 chargen Este es un servicio sólo de personajes. La versión UDP responderá a los paquetes que contengan caracteres basura después de recibir paquetes UDP. Cuando TCP se conecta, se enviará un flujo de datos que contiene caracteres basura hasta que se cierre la conexión. Los piratas informáticos pueden utilizar la suplantación de IP para lanzar ataques DoS. Forja paquetes UDP entre dos servidores cargados. Una carga y un eco harán que el servidor se sobrecargue cuando el servidor intente responder al tráfico de datos infinito de ida y vuelta entre los dos servidores. El mismo ataque Fraggle DoS transmite un paquete con una IP de víctima falsa a este puerto de la dirección de destino, y la víctima se sobrecarga en respuesta a estos datos.

21 ftp Más utilizado por atacantes que buscan formas de abrir servidores ftp "anónimos". Estos servidores vienen con directorios que se pueden leer y escribir. Los hackers o crackers utilizan estos servidores como nodos para entregar warez (programas privados) y pron.

22 ssh PcCualquier lugar que establezca una conexión TCP a este puerto puede estar buscando ssh. Este servicio tiene muchas debilidades. Muchas versiones que utilizan la biblioteca RSAREF tienen vulnerabilidades si se configuran en un modo específico. (Se recomienda ejecutar ssh en otros puertos). También cabe señalar que el kit de herramientas ssh viene con un programa llamado make-ssh-known-hosts. Escanea todo el dominio en busca de hosts ssh. En ocasiones, es posible que alguien que utilice este programa lo escanee accidentalmente. UDP (no TCP) conectado al puerto 5632 en el otro extremo significa que hay un escaneo buscando pcAnywhere. 5632 (hexadecimal 0x1600) es 0x0016 (hexadecimal 22) después del intercambio de bits.

23 Telnet El intruso está buscando un servicio de inicio de sesión remoto en UNIX. En la mayoría de los casos, un intruso escanea este puerto para encontrar el sistema operativo que está ejecutando la máquina. Utilizando también otras técnicas, el intruso encontrará la contraseña.

25 smtp Los atacantes (spammers) buscan servidores SMTP para entregar su spam. Las cuentas de los intrusos siempre están cerradas y necesitan conectarse a un servidor de correo electrónico de gran ancho de banda para pasar mensajes simples a diferentes direcciones. Los servidores SMTP (especialmente sendmail) son uno de los métodos más comunes para ingresar a un sistema porque deben estar completamente expuestos a Internet y el enrutamiento del correo es complejo (exposición + complejidad = vulnerabilidad).

53 Los piratas informáticos o crackers de DNS pueden estar intentando realizar transferencias de zona (TCP), falsificar DNS (UDP) u ocultar otras comunicaciones. Por lo tanto, los cortafuegos suelen filtrar o registrar el puerto 53. Cabe señalar que a menudo verá el puerto 53 como el puerto de origen UDP. Los firewalls inestables a menudo permiten esta comunicación y asumen que es una respuesta a una consulta DNS. Los piratas informáticos suelen utilizar este método para penetrar los cortafuegos.

67&68 Bootp y DHCP Bootp/DHCP sobre UDP: Los cortafuegos a través de DSL y módem por cable a menudo ven una gran cantidad de datos enviados a la dirección de transmisión 255.255.255.255. Estas máquinas solicitan una asignación de dirección del servidor DHCP. Los piratas informáticos suelen acceder a ellos para asignar una dirección y utilizarlos como enrutadores locales para lanzar una gran cantidad de ataques de "intermediario". El cliente transmite una solicitud de configuración al puerto 68 (bootps) y el servidor transmite una solicitud de respuesta al puerto 67 (bootpc). Esta respuesta utiliza una transmisión porque el cliente aún no conoce la dirección IP a la que puede enviar.

69 TFTP (UDP) Muchos servidores proporcionan este servicio junto con bootp para facilitar la descarga del código de inicio del sistema. Pero a menudo están mal configurados y sirven archivos del sistema, como archivos de contraseñas. También se pueden utilizar para escribir archivos en el sistema.

79 Finger Hacker se utiliza para obtener información del usuario, consultar el sistema operativo, detectar errores conocidos de desbordamiento del búfer y responder a escaneos dactilares desde su propia máquina a otras máquinas.

80 El puerto utilizado por el servidor HTTP.

98 linuxconf Este programa proporciona una gestión sencilla de Linux Boxen. Se proporciona una interfaz basada en web a través de un servidor HTTP integrado en el puerto 98. Se ha descubierto que tiene numerosos problemas de seguridad. Algunas versiones tienen setuid root, confían en la LAN, crean archivos accesibles desde Internet en /tmp y tienen desbordamientos de búfer en la variable de entorno LANG. Además, debido a que contiene un servidor integrado, pueden existir muchas vulnerabilidades HTTP típicas (desbordamiento de búfer, recorrido de directorio, etc.)

109 POP2 no es tan conocido como POP3, pero muchos servidores brindan ambos servicios (al revés). compatibilidad). La vulnerabilidad de POP3 también existe en POP2 en el mismo servidor.

110 Los clientes utilizan POP3 para acceder a los servicios de correo electrónico del lado del servidor. Los servicios POP3 tienen muchas debilidades reconocidas. Hay al menos 20 vulnerabilidades relacionadas con desbordamientos del búfer de intercambio de nombres de usuario y contraseñas (lo que significa que un pirata informático puede obtener acceso al sistema antes de iniciar sesión). Hay otros errores de desbordamiento del búfer después de iniciar sesión correctamente.

111 mapa de puertos sunrpc rpcbind Sun RPC PortMapper/RPCBIND. Acceder al mapeador de puertos es el primer paso para escanear el sistema para ver qué servicios RPC están permitidos. Los servicios RPC comunes incluyen: rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd, etc. El intruso descubrió una vulnerabilidad que permitía redirigir los servicios RPC a un puerto específico para brindar el servicio. Recuerde registrar el demonio, IDS o sniffer en la línea. Puede averiguar qué programa está utilizando el intruso para acceder y descubrir qué sucedió.

113 Autenticación de identidad Este es un protocolo que se ejecuta en muchas máquinas y se utiliza para identificar a los usuarios de conexiones TCP. Utilizando servicios estándar como este se puede obtener información sobre muchas máquinas (que pueden ser explotadas por piratas informáticos). Pero funciona como registrador de muchos servicios, especialmente servicios como FTP, POP, IMAP, SMTP e IRC. Normalmente, si hay muchos clientes que acceden a estos servicios a través de un firewall, verá muchas solicitudes de conexión para este puerto. Tenga en cuenta que si bloquea este puerto, el cliente experimentará una conexión lenta con el servidor de correo electrónico al otro lado del firewall. Muchos firewalls admiten el envío de RST durante el proceso de bloqueo de una conexión TCP, lo que detendrá la conexión lenta.

119 NNTP noticias Protocolo de transferencia de grupos de noticias, que transporta comunicaciones USENET. Este puerto generalmente se usa cuando se vincula a una dirección como: news://news.hackervip.com/. Los intentos de conexión en este puerto suelen ser donde la gente busca servidores USENET. La mayoría de los ISP restringen el acceso a los servidores de sus grupos de noticias únicamente a sus clientes. Abrir un servidor de grupos de noticias permitirá a cualquiera publicar/leer mensajes, acceder a servidores de grupos de noticias restringidos, publicar de forma anónima o enviar spam.

135 oc-serv Asignador de puntos finales MS RPC Microsoft ejecuta el asignador de puntos finales DCE RPC en este puerto para su servicio DCOM.

Esto es muy similar a la función del puerto 111 de UNIX. Los servicios que utilizan DCOM y/o RPC registran sus ubicaciones con el asignador de puntos finales de la máquina. Cuando los clientes remotos se conectan a una máquina, consultan al asignador de puntos finales para encontrar la ubicación del servicio. De manera similar, Hacker escanea este puerto de la máquina para encontrar preguntas como: ¿Se está ejecutando Exchange Server en esta máquina? ¿Qué versión es? Además de usarse para consultar servicios (como usar epdump), este puerto también se puede usar para ataques directos. Hay algunos ataques DoS que apuntan directamente a este puerto.

137 Servicio de nombres NetBIOS nbtstat (UDP) Este es el mensaje más común para los administradores de firewall.

139 Las conexiones para compartir archivos e impresoras NetBIOS que llegan a través de este puerto intentan obtener servicios NetBIOS/SMB. Este protocolo se utiliza en Windows "Compartir archivos e impresoras" y SAMBA. Compartir su disco duro en Internet es probablemente el problema más común. Un gran número de ataques a este puerto comenzaron en 1999, y luego gradualmente fueron menos frecuentes. Se recuperó de nuevo en 2000. Algunos VBS (IE5 VisualBasic Scripting) comenzaron a copiarse a sí mismos en este puerto en un intento de reproducirse en este puerto.

143 IMAP es el mismo problema de seguridad de POP3 mencionado anteriormente. Muchos servidores IMAP tienen vulnerabilidades de desbordamiento del búfer a las que se puede ingresar durante el proceso de inicio de sesión. Recuerde: un gusano de Linux (admw0rm) se reproduce a través de este puerto, por lo que muchos análisis de este puerto provienen de usuarios infectados desprevenidos. Estas vulnerabilidades se hicieron populares cuando RadHat permitió IMAP de forma predeterminada en sus distribuciones de Linux. Este es el primer gusano ampliamente difundido desde el gusano Morris. Este puerto también se utiliza para IMAP2, pero no es muy popular. Ha habido algunos informes de que algunos ataques a los puertos 0 a 143 se originaron a partir de scripts.

161 Puerto SNMP(UDP) que los intrusos suelen sondear. SNMP permite la gestión remota de dispositivos. Toda la información de configuración y funcionamiento se almacena en la base de datos y se obtiene a través del cliente SNMP. Muchos administradores los configuran mal para exponerlos a Internet. Los crackers intentarán acceder al sistema utilizando las contraseñas predeterminadas "pública" y "privada". Pueden experimentar con todas las combinaciones posibles. Es posible que los paquetes SNMP se dirijan incorrectamente a su red. Las máquinas con Windows a menudo están mal configuradas para usar SNMP con el software de administración remota HP JetDirect. HP OBJECT IDENTIFIER recibirá paquetes SNMP. La nueva versión de Win98 usa SNMP para resolver nombres de dominio. Verá este tipo de transmisión de paquetes (módem por cable, DSL) en la subred para consultar sysName y otra información.

162 La trampa SNMP puede deberse a una mala configuración.

177 xdmcp Muchos hackers lo utilizan para acceder a la consola X-Windows y también necesita abrir el puerto 6000.

513 rwho puede transmitirse desde una máquina UNIX en la subred conectada mediante un módem de cable o DSL. Estas personas proporcionan información interesante para que los piratas informáticos obtengan acceso a sus sistemas.

553 CORBA IIOP (UDP) Si utilizas un módem por cable o VLAN DSL, verás las retransmisiones en este puerto. CORBA es un sistema RPC (llamada a procedimiento remoto) orientado a objetos. Los piratas informáticos utilizarán esta información para ingresar al sistema.

Puerta trasera de 600 Pcserver. Verifique el puerto 1524.

Algunos script kids piensan que han irrumpido completamente en el sistema modificando los archivos ingreslock y pcserver - Alan J. Rosenthal

635 error montado en Linux. Este es un error popular que la gente analiza. La mayoría de los escaneos de este puerto están basados ​​en UDP, pero hay un aumento en el mountd basado en TCP (mountd se ejecuta en ambos puertos simultáneamente). Recuerde, mountd puede ejecutarse en cualquier puerto (qué puerto necesita para realizar una consulta de mapa de puertos en el puerto 111), pero Linux utiliza de manera predeterminada el puerto 635, al igual que NFS generalmente se ejecuta en el puerto 2049.

1024 Mucha gente pregunta para qué sirve este puerto. Fue el comienzo de los puertos dinámicos. A muchos programas no les importa qué puerto se utiliza para conectarse a la red; le piden al sistema operativo que les asigne el "siguiente puerto libre". Según esta asignación, comienza en el puerto 1024.

Esto significa que al primer programa que solicite un puerto dinámico del sistema se le asignará el puerto 1024. Para verificar esto, puede reiniciar la máquina, abrir Telnet, luego abrir una ventana y ejecutar "natstat -a", verá que Telnet tiene asignado el puerto 1024. Cuantos más programas soliciten, más puertos dinámicos habrá. El puerto asignado por el sistema operativo irá aumentando gradualmente. Nuevamente, cuando navega por páginas web y consulta con "netstat", cada página web requiere un nuevo puerto.

1025, 1026 Ver 1024

1080 SOCKS Este protocolo atraviesa el firewall, permitiendo que muchas personas detrás del firewall accedan a Internet a través de una única dirección IP. En teoría sólo debería permitir que la comunicación interna llegue a Internet. Sin embargo, debido a una configuración incorrecta, puede permitir que ataques de piratas informáticos/crackers ubicados fuera del firewall atraviesen el firewall. O simplemente responder a computadoras ubicadas en Internet, enmascarando así su ataque directo hacia usted. WinGate es un firewall personal común de Windows y con frecuencia se produce la mala configuración anterior. Esto se ve a menudo al unirse a una sala de chat IRC.

1114 SQL El sistema en sí rara vez escanea este puerto, pero a menudo forma parte del script sscan.

1243 Troyano Sub-7 (TCP)

1433 Puerto de servicio de base de datos MSSQL

1524 puerta trasera ingreslock Muchos scripts de ataque instalarán un Shell de puerta trasera en este puerto (especialmente son scripts que apuntan a vulnerabilidades en los servicios sendmail y RPC en sistemas Sun, como statd, ttdbserver y cmsd). Si acaba de instalar su firewall y ve intentos de conexión en este puerto, lo más probable es que se deba a los motivos anteriores. Puede probar Telnet a este puerto en su máquina y ver si le proporciona un shell. Este problema también existe al conectarse al servidor 600/pcser.

161 Puerto SNMP(UDP) a menudo sondeado por intrusos. SNMP permite la gestión remota de dispositivos. Toda la información de configuración y funcionamiento se almacena en la base de datos y se obtiene a través del cliente SNMP. Muchos administradores los configuran mal para exponerlos a Internet. Los crackers intentarán acceder al sistema utilizando las contraseñas predeterminadas "pública" y "privada". Pueden experimentar con todas las combinaciones posibles. Es posible que los paquetes SNMP se dirijan incorrectamente a su red. Las máquinas con Windows a menudo están mal configuradas para usar SNMP con el software de administración remota HP JetDirect. HP OBJECT IDENTIFIER recibirá paquetes SNMP. La nueva versión de Win98 usa SNMP para resolver nombres de dominio. Verá este tipo de transmisión de paquetes (módem por cable, DSL) en la subred para consultar sysName y otra información.

162 La trampa SNMP puede deberse a una mala configuración.

177 xdmcp Muchos hackers lo utilizan para acceder a la consola X-Windows y también necesita abrir el puerto 6000.

513 rwho puede transmitirse desde una máquina UNIX en la subred conectada mediante un módem de cable o DSL. Estas personas proporcionaron información interesante para que los piratas informáticos obtuvieran acceso a sus sistemas.

553 CORBA IIOP (UDP) Si utilizas un módem por cable o VLAN DSL, verás las retransmisiones en este puerto. CORBA es un sistema RPC (llamada a procedimiento remoto) orientado a objetos. Los piratas informáticos utilizarán esta información para ingresar al sistema.

Puerta trasera de 600 Pcserver. Verifique el puerto 1524.

Algunos script kids piensan que han irrumpido completamente en el sistema modificando los archivos ingreslock y pcserver - Alan J. Rosenthal

635 error montado en Linux. Este es un error popular que la gente analiza. La mayoría de los escaneos de este puerto están basados ​​en UDP, pero ha habido un aumento en el mountd basado en TCP (mountd se ejecuta en ambos puertos simultáneamente). Recuerde, mountd puede ejecutarse en cualquier puerto (qué puerto necesita para realizar una consulta de mapa de puertos en el puerto 111), pero Linux utiliza de manera predeterminada el puerto 635, al igual que NFS generalmente se ejecuta en el puerto 2049.

1024 Mucha gente pregunta para qué sirve este puerto. Fue el comienzo de los puertos dinámicos. A muchos programas no les importa qué puerto se utiliza para conectarse a la red; le piden al sistema operativo que les asigne el "siguiente puerto libre". Según esta asignación, comienza en el puerto 1024.

Esto significa que al primer programa que solicite un puerto dinámico del sistema se le asignará el puerto 1024. Para verificar esto, puede reiniciar la máquina, abrir Telnet, luego abrir una ventana y ejecutar "natstat -a", verá que Telnet tiene asignado el puerto 1024. Cuantos más programas soliciten, más puertos dinámicos habrá. El puerto asignado por el sistema operativo irá aumentando gradualmente. Nuevamente, cuando navega por páginas web y consulta con "netstat", cada página web requiere un nuevo puerto.

1025, 1026 Ver 1024

1080 SOCKS Este protocolo atraviesa el firewall, permitiendo que muchas personas detrás del firewall accedan a Internet a través de una única dirección IP. En teoría sólo debería permitir que la comunicación interna llegue a Internet. Sin embargo, debido a una configuración incorrecta, puede permitir que ataques de piratas informáticos/crackers ubicados fuera del firewall atraviesen el firewall. O simplemente responder a computadoras ubicadas en Internet, enmascarando así su ataque directo hacia usted. WinGate es un firewall personal común de Windows y con frecuencia se produce la mala configuración anterior. Esto se ve a menudo al unirse a una sala de chat IRC.

1114 SQL El sistema en sí rara vez escanea este puerto, pero a menudo forma parte del script sscan.

1243 Troyano Sub-7 (TCP)

1433 Puerto de servicio de base de datos MSSQL

1524 puerta trasera ingreslock Muchos scripts de ataque instalarán un Shell de puerta trasera en este puerto (especialmente son scripts que apuntan a vulnerabilidades en los servicios sendmail y RPC en sistemas Sun, como statd, ttdbserver y cmsd). Si acaba de instalar su firewall y ve intentos de conexión en este puerto, lo más probable es que se deba a los motivos anteriores. Puede probar Telnet a este puerto en su máquina y ver si le proporciona un shell. Este problema también existe al conectarse al servidor 600/pcser.