電腦連線埠

連線埠可分為3大類：

（Well Known Ports）：從0到1023，它們緊密綁定於一些服務。通常這些連線埠的通訊明確表明了某種服務的協定。例如：80連線埠實際上總是HTTP通訊。

（Registered Ports）：從1024到49151。它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些連線埠，這些連線埠同樣用於許多其它目的。例如：許多系統處理動態連線埠從1024左右開始。

（Dynamic and/or Private Ports）：從49152到65535。理論上，不應為服務分配這些連線埠。實際上，機器通常從1024起分配動態連線埠。但也有例外：SUN的RPC連線埠從32768開始。

本節講述通常TCP/UDP連線埠掃描在防火牆記錄中的信息。記住：並不存在所謂ICMP連線埠。如果你對解讀ICMP數據感興趣，請參看本文的其它部分。

在開始講什麼是連線埠之前，我們先來聊一聊什麼是 port呢？常常在網路上聽說『我的主機開了多少的 port ，會不會被入侵呀！？或者是說『開那個 port 會比較安全？又，我的服務應該對應什麼 port 呀？呵呵！很神奇吧！怎么一部主機上面有這么多的奇怪的port 呢？這個 port 有什麼作用呢？

由於每種網路的服務功能都不相同，因此有必要將不同的封包送給不同的服務來處理，所以囉，當你的主機同時開啟了FTP與WWW 服務的時候，那么別人送來的資料封包，就會依照 TCP 上面的 port 號碼來給 FTP 這個服務或者是 WWW 這個服務來處理，當然就不會搞亂囉！（註：嘿嘿！有些很少接觸到網路的朋友，常常會問說：咦！為什麼你的計算機同時有 FTP、WWW、E-Mail這么多服務，但是人家傳資料過來，你的計算機怎么知道如何判斷？計算機真的都不會誤判嗎？！現在知道為什麼了嗎？！對啦！就是因為 port 不同嘛！你可以這樣想啦，有一天，你要去銀行存錢，那個銀行就可以想成是主機，然後，銀行當然不可能只有一種業務，裡頭就有相當多的視窗，那么你一進大門的時候，在門口的服務人員就會問你說："嗨！你好呀！你要做些什麼事？"你跟他說："我要存錢呀！"，服務員接著就會告訴你：喝！那么請前往三號視窗！那邊的人員會幫您服務！這個時候你總該不會往其它的視窗跑吧？這些視窗就可以想成是port 囉！所以啦！每一種服務都有特定的 port 在監聽！您無須擔心計算機會誤判的問題呦！）

· 每一個 TCP 連線都必須由一端（通常為 client ）發起請求，這個 port 通常是隨機選擇大於 1024 以上（因為0-1023一般被用作知名伺服器的連線埠，被預定，如FTP、HTTP、SMTP等）的 port 號來進行！其 TCP 封包會將（且只將） SYN 旗標設定起來！這是整個在線上的第一個封包；

· 如果另一端（通常為 Server ） 接受這個請求的話（當然囉，特殊的服務需要以特殊的 port 來進行，例如 FTP 的 port 21 ），則會向請求端送回整個在線上的第二個封包！其上除了 SYN 旗標之外同時還將 ACK 旗標也設定起來，並同時在本機端建立資源以待在線上之需；

· 然後，請求端獲得服務端第一個回響封包之後，必須再回響對方一個確認封包，此時封包只帶 ACK 旗標（事實上，後繼在線上中的所有封包都必須帶有 ACK 旗標）；

· 只有當服務端收到請求端的確認（ ACK ）封包（也就是整個在線上的第三個封包）之後，兩端的在線上才能正式建立。這就是所謂的 TCP 在線上的'三次握手（ Three-Way Handshake）'的原理。

經過三向交握之後，呵呵！你的 client 端的 port 通常是高於 1024 的隨機取得的 port，至於主機端則視當時的服務是開啟哪一個 port 而定，例如 WWW 選擇 80 而 FTP 則以 21 為正常的在線上信道！

總而言之，我們這裡所說的連線埠，不是計算機硬體的I/O連線埠，而是軟體形式上的概念。根據提供服務類型的不同，連線埠分為兩種，一種是TCP連線埠，一種是UDP連線埠。計算機之間相互通信的時候，分為兩種方式：一種是傳送信息以後，可以確認信息是否到達，也就是有應答的方式，這種方式大多採用TCP協定；一種是傳送以後就不管了，不去確認信息是否到達，這種方式大多採用UDP協定。對應這兩種協定的服務提供的連線埠，也就分為TCP連線埠和UDP連線埠。

那么，如果攻擊者使用軟體掃描目標計算機，得到目標計算機打開的連線埠，也就了解了目標計算機提供了哪些服務。我們都知道，提供服務就一定有服務軟體的漏洞，根據這些，攻擊者可以達到對目標計算機的初步了解。如果計算機的連線埠打開太多，而管理者不知道，那么，有兩種情況：一種是提供了服務而管理者沒有注意，比如安裝IIS的時候，軟體就會自動增加很多服務，而管理員可能沒有注意到；一種是伺服器被攻擊者安裝木馬，通過特殊的連線埠進行通信。這兩種情況都是很危險的，說到底，就是管理員不了解伺服器提供的服務，減小了系統安全係數。

擴展接口是主機板上用於連線各種外部設備的接口。通過這些擴展接口，可以把印表機，外置Modem，掃瞄器，快閃記憶體盤，MP3播放機，DC,DV,移動硬碟，手機，寫字板等外部設備連線到電腦上。而且，通過擴展接口還能實現電腦間的互連。

常見的擴展接口有串列接口(Serial Port),並行接口(Parallel Port)，通用串列匯流排接口(USB),IEEE 1394接口等等。

0 通常用於分析作業系統。這一方法能夠工作是因為在一些系統中“0”是無效連線埠，當你試圖使用一種通常的閉合連線埠連線它時將產生不同的結果。一種典型的掃描：使用IP位址為0.0.0.0，設定ACK位並在乙太網層廣播。

1 tcpmux 這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者，預設情況下tcpmux在這種系統中被打開。Iris機器在發布時含有幾個預設的無密碼的帳戶，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。許多管理員安裝後忘記刪除這些帳戶。因此Hacker們在Internet上搜尋tcpmux並利用這些帳戶。

7 Echo 你能看到許多人們搜尋Fraggle放大器時，傳送到x.x.x.0和x.x.x.255的信息。

常見的一種DoS攻擊是echo循環（echo-loop），攻擊者偽造從一個機器傳送到另一個機器的UDP數據包，而兩個機器分別以它們最快的方式回應這些數據包。（參見Chargen）

另一種東西是由DoubleClick在詞連線埠建立的TCP連線。有一種產品叫做“Resonate Global Dispatch”，它與DNS的這一連線埠連線以確定最近的路由。

Harvest/squid cache將從3130連線埠傳送UDP echo：“如果將cache的source_ping on選項打開，它將對原始主機的UDP echo連線埠回應一個HIT reply。”這將會產生許多這類數據包。

11 sysstat 這是一種UNIX服務，它會列出機器上所有正在運行的進程以及是什麼啟動了這些進程。這為入侵者提供了許多信息而威脅機器的安全，如暴露已知某些弱點或帳戶的程式。這與UNIX系統中“ps”命令的結果相似

再說一遍：ICMP沒有連線埠，ICMP port 11通常是ICMP type=11

19 chargen 這是一種僅僅傳送字元的服務。UDP版本將會在收到UDP包後回應含有垃圾字元的包。TCP連線時，會傳送含有垃圾字元的數據流知道連線關閉。Hacker利用IP欺騙可以發動DoS攻擊。偽造兩個chargen伺服器之間的UDP包。由於伺服器企圖回應兩個伺服器之間的無限的往返數據通訊一個chargen和echo將導致伺服器過載。同樣fraggle DoS攻擊向目標地址的這個連線埠廣播一個帶有偽造受害者IP的數據包，受害者為了回應這些數據而過載。

21 ftp 最常見的攻擊者用於尋找打開“anonymous”的ftp伺服器的方法。這些伺服器帶有可讀寫的目錄。Hackers或Crackers 利用這些伺服器作為傳送warez (私有程式) 和pr0n(故意拼錯詞而避免被搜尋引擎分類)的節點。

22 ssh PcAnywhere建立TCP和這一連線埠的連線可能是為了尋找ssh。這一服務有許多弱點。如果配置成特定的模式，許多使用RSAREF庫的版本有不少漏洞。（建議在其它連線埠運行ssh）

還應該注意的是ssh工具包帶有一個稱為make-ssh-known-hosts的程式。它會掃描整個域的ssh主機。你有時會被使用這一程式的人無意中掃描到。

UDP（而不是TCP）與另一端的5632連線埠相連意味著存在搜尋pcAnywhere的掃描。5632（十六進制的0x1600）位交換後是0x0016（使進制的22）。

23 Telnet 入侵者在搜尋遠程登入UNIX的服務。大多數情況下入侵者掃描這一連線埠是為了找到機器運行的作業系統。此外使用其它技術，入侵者會找到密碼。

25 smtp 攻擊者（spammer）尋找SMTP伺服器是為了傳遞他們的spam。入侵者的帳戶總被關閉，他們需要撥號連線到高頻寬的e-mail伺服器上，將簡單的信息傳遞到不同的地址。SMTP伺服器（尤其是sendmail）是進入系統的最常用方法之一，因為它們必須完整的暴露於Internet且郵件的路由是複雜的（暴露+複雜=弱點）。