137 NetBIOS name service nbtstat (UDP) 
　　這是防火墻管理員最常見的信息，請仔細閱讀文章后面的NetBIOS一節 
　　 
　　139 NetBIOS　File and Print Sharing 
　　通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用于Windows“文件和打印機共享”和SAMBA。在Internet上共享自己的硬盤是可能是最常見的問題。 大量針對這一端口始于1999，后來逐漸變少。2000年又有回升。一些VBS（IE5 VisualBasics cripting）開始將它們自己拷貝到這個端口，試圖在這個端口繁殖。 
　　 
　　143 IMAP 

　　和上面POP3的安全問題一樣，許多IMAP服務器有緩沖區溢出漏洞運行登陸過程中進入。記住：一種Linux蠕蟲（admw0rm）會通過這個端口繁殖，因此許多這個端口的掃描來自不知情的已被感染的用戶。當RadHat在他們的Linux發布版本中默認允許IMAP后，這些漏洞變得流行起來。Morris蠕蟲以后這還是第一次廣泛傳播的蠕蟲。這一端口還被用于IMAP2，但并不流行。 已有一些報道發現有些0到143端口的攻擊源于腳本。 
　　 
　　161 SNMP(UDP) 
　　入侵者常探測的端口。SNMP允許遠程管理設備。所有配置和運行信息都儲存在數據庫中，通過SNMP客獲得這些信息。許多管理員錯誤配置將它們暴露于Internet。Crackers將試圖使用缺省的密碼“public”“private”訪問系統。他們可能會試驗所有可能的組合。 SNMP包可能會被錯誤的指向你的網絡。Windows機器常會因為錯誤配置將HP JetDirect remote management軟件使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名，你會看見這種包在子網內廣播 （cable modem, DSL）查詢sysName和其它信息。 
　　 
　　162 SNMP trap 
　　可能是由于錯誤配置。 
　　 
　　177 xdmcp 
　　許多Hacker通過它訪問X-Windows控制臺，它同時需要打開6000端口。 
　　 
　　513 
　　rwho 可能是從使用cable modem或DSL登陸到的子網中的UNIX機器發出的廣播。這些人為Hacker進入他們的系統提供了很有趣的信息。 
　　 
　　553 CORBA IIOP (UDP) 
　　如果你使用cable modem或DSL VLAN，你將會看到這個端口的廣播。CORBA是一種面向對象的RPC（remote procedure call）系統。Hacker會利用這些信息進入系統。 
　　 
　　600 Pcserver backdoor 
　　請查看1524端口一些玩s cript的孩子認為他們通過修改ingreslock和pcserver文件已經完全攻破了系統-- Alan J. Rosenthal. 
　　 
　　635 mountd 
　　Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數對這個端口的掃描是基于UDP的，但基于TCP 的mountd有所增加（mountd同時運行于兩個端口）。記住，mountd可運行于任何端口（到底在哪個端口，需要在端口111做portmap查詢），只是Linux默認為635端口，就象NFS通常運行于2049端口。 

　　1024 

　　許多人問這個端口是干什么的。它是動態端口的開始。許多程序并不在乎用哪個端口連接網絡，它們請求操作系統為它們分配“下一個閑置端口”。基于這一點分配從端口1024開始。這意味著第一個向系統請求分配動態端口的程序將被分配端口1024。為了驗證這一點，你可以重啟機器，打開Telnet，再打開一個窗口運行“natstat -a”，你將會看到Telnet被分配1024端口。請求的程序越多，動態端口也越多。操作系統分配的端口將逐漸變大。再來一遍，當你瀏覽Web頁時用“netstat”查看，每個Web頁需要一個新 
端口。 
　?ersion 0.4.1, June 20, 2000 
　http://www.robertgraham.com/pubs/firewall-seen.html 
　　Copyright 1998-2000 by Robert Graham 
(mailto:firewall-seen1@robertgraham.com. 
　　All rights reserved. This document may only be reproduced (whole or 
in part) for non-commercial purposes. All reproductions must 
contain this copyright notice and must not be altered, except by 
permission of the author. 
　　1025 參見1024 
　　1026 參見1024 　　 
　　1080 SOCKS 
　　 
　　這一協議以管道方式穿過防火墻，允許防火墻后面的許多人通過一個IP地址訪問Internet。理論上它應該只允許內部的通信向外達到Internet。但是由于錯誤的配置，它會允許Hacker/Cracker的位于防火墻外部的攻擊穿過防火墻。或者簡單地回應位于Internet上的計算機，從而掩飾他們對你的直接攻擊。WinGate是一種常見的Windows個人防火墻，常會發生上述的錯誤配置。在加入IRC聊天室時常會看到這種情況。 

　　1114 SQL 
　　 
　　系統本身很少掃描這個端口，但常常是sscan腳本的一部分。 
　 
　　1243 Sub-7木馬（TCP） 
　　 
　　參見Subseven部分。 
　　 
　　1524 ingreslock后門 
　　 
　　許多攻擊腳本將安裝一個后門Sh*ll 于這個端口（尤其是那些針對Sun系統中Sendmail和RPC服務漏洞的腳本，如statd,ttdbserver和cmsd）。如果你剛剛安裝了你的防火墻就看到在這個端口上的連接企圖，很可能是上述原因。你可以試試Telnet到你的機器上的這個端口，看看它是否會給你一個Sh*ll 。連接到600/pcserver也存在這個問題。 
　 
　　2049 NFS 
　　 
　　NFS程序常運行于這個端口。通常需要訪問portmapper查詢這個服務運行于哪個端口，但是大部分情況是安裝后NFS杏謖飧齠絲冢?acker/Cracker因而可以閉開portmapper直接測試這個端口。 　　 
　　3128 squid 
　　 
　　這是Squid HTTP代理服務器的默認端口。攻擊者掃描這個端口是為了搜尋一個代理服務器而匿名訪問Internet。你也會看到搜索其它代理服務器的端口：8000/8001/8080/8888。掃描這一端口的另一原因是：用戶正在進入聊天室。其它用戶（或服務器本身）也會檢驗這個端口以確定用戶的機器是否支持代理。請查看5.3節。 
　　5632 pcAnywere 
　　 
　　你會看到很多這個端口的掃描，這依賴于你所在的位置。當用戶打開pcAnywere時，它會自動掃描局域網C類網以尋找可能得代理（譯者：指agent而不是proxy）。Hacker/cracker也會尋找開放這種服務的機器，所以應該查看這種掃描的源地址。一些搜尋pcAnywere的掃描常包含端口22的UDP數據包。參見撥號掃描。 　　 
　　6776 Sub-7 artifact 
　　 
　　這個端口是從Sub-7主端口分離出來的用于傳送數據的端口。例如當控制者通過電話線控制另一臺機器，而被控機器掛斷時你將會看到這種情況。因此當另一人以此IP撥入時，他們將會看到持續的，在這個端口的連接企圖。（譯者：即看到防火墻報告這一端口的連接企圖時，并不表示你已被Sub-7控制。） 　　 
　　6970 RealAudio 
　　 
　　RealAudio客戶將從服務器的6970-7170的UDP端口接收音頻數據流。這是由TCP7070端口外向控制連接設置的。 
　 
　　13223 PowWow 
　　 
　　PowWow 是Tribal Voice的聊天程序。它允許用戶在此端口打開私人聊天的連接。這一程序對于建立連接非常具有“進攻性”。它會“駐扎”在這一TCP端口等待回應。這造成類似心跳間隔的連接企圖。如果你是一個撥號用戶，從另一個聊天者手中“繼承”了IP地址這種情況就會發生：好象很多不同的人在測試這一端口。這一協議使用“OPNG”作為其連接企圖的前四個字節。

希望與更多計算機等級考試的網友交流，請進入計算機等級考試論壇

更多信息請訪問：考試吧計算機等級考試欄目