Concepto de puerto
En tecnología de redes, puerto tiene dos significados: uno es un puerto en el sentido físico, como módem ADSL, concentrador, conmutador, enrutador Interfaces para conectar otra red. dispositivos, como puertos RJ-45, puertos SC, etc. El segundo es el puerto en el sentido lógico, que generalmente se refiere al puerto en el protocolo TCP/IP. El número de puerto varía de 0 a 65535, como el puerto 80 para navegar por servicios web, el puerto 21 para servicios FTP, etc. Lo que vamos a presentar aquí es el puerto en el sentido lógico.
Ver puerto
Para ver el puerto en Windows 2000/XP/Server 2003, puede utilizar el comando Netstat:
Haga clic en "Inicio → Ejecutar" y escriba "cmd" y presione Entrar para abrir la ventana del símbolo del sistema. Escriba "netstat -a -n" en el símbolo del sistema y presione la tecla Intro para ver el número de puerto y el estado de las conexiones TCP y UDP que se muestran en forma numérica.
Cerrar/Abrir Puertos
Antes de presentar las funciones de varios puertos, aquí hay una introducción a cómo cerrar/abrir puertos en Windows, porque de forma predeterminada, hay muchos inseguros Algunos o Los puertos inútiles están abiertos, como el puerto 23 del servicio Telnet, el puerto 21 del servicio FTP, el puerto 25 del servicio SMTP, el puerto 135 del servicio RPC, etc. Para garantizar la seguridad del sistema, podemos cerrar/abrir el puerto mediante los siguientes métodos.
Cerrar el puerto
Por ejemplo, para cerrar el puerto 25 del servicio SMTP en Windows 2000/XP, puede hacer esto: primero abra el "Panel de control", haga doble clic "Herramientas administrativas" y luego haga doble clic en " Servir". Luego busque y haga doble clic en el servicio "Protocolo simple de transferencia de correo (SMTP)" en la ventana de servicio que se abre, haga clic en el botón "Detener" para detener el servicio, luego seleccione "Deshabilitado" en el "Tipo de inicio" y finalmente haga clic Botón "Aceptar"”. De esta forma, cerrar el servicio SMTP equivale a cerrar el puerto correspondiente.
Abrir el puerto
Si desea abrir el puerto, simplemente seleccione "Automático" en el "Tipo de inicio", haga clic en el botón "Aceptar" y luego abra el servicio. En el "Estado del servicio", haga clic en el botón "Inicio" para habilitar el puerto y, finalmente, haga clic en el botón "Aceptar".
Consejo: No existe la opción "Servicio" en Windows 98. Puede utilizar la función de configuración de reglas del firewall para cerrar/abrir el puerto.
Clasificación de puertos
Existen muchos estándares de clasificación para puertos en un sentido lógico. A continuación se presentarán dos clasificaciones comunes:
1.
(1) Puertos conocidos
Los puertos conocidos son números de puerto conocidos, que van del 0 al 1023. Estos números de puerto generalmente se asignan a algunos servicios. Por ejemplo, el puerto 21 está asignado al servicio FTP, el puerto 25 está asignado al servicio SMTP (Protocolo simple de transferencia de correo), el puerto 80 está asignado al servicio HTTP, el puerto 135 está asignado al servicio RPC (llamada a procedimiento remoto), etcétera.
(2) Puertos Dinámicos (Dynamic Ports)
Los puertos dinámicos van del 1024 al 65535. Estos números de puerto generalmente no están asignados a un determinado servicio, lo que significa que muchos servicios sí lo están. Se pueden utilizar puertos. Siempre que el programa en ejecución solicite al sistema que acceda a la red, el sistema puede asignar uno de estos números de puerto para que lo utilice el programa. Por ejemplo, el puerto 1024 se asigna al primer programa que se aplica al sistema. Una vez cerrado el proceso del programa, se liberará el número de puerto ocupado.
Sin embargo, los virus troyanos suelen utilizar puertos dinámicos. Por ejemplo, el puerto de conexión predeterminado de Glacier es 7626, WAY 2.4 es 8011, Netspy 3.0 es 7306, el virus YAI es 1024, etc.
2. Dividido por tipo de protocolo
Dividido por tipo de protocolo, se puede dividir en puertos como TCP, UDP, IP e ICMP (Protocolo de mensajes de control de Internet). A continuación se presentan principalmente los puertos TCP y UDP:
(1) Puerto TCP
El puerto TCP, el puerto del protocolo de control de transmisión, necesita establecer una conexión entre el cliente y el servidor, que puede proporcionar una transferencia de datos confiable. Los más comunes incluyen el puerto 21 del servicio FTP, el puerto 23 del servicio Telnet, el puerto 25 del servicio SMTP y el puerto 80 del servicio HTTP, etc.
(2) Puerto UDP
El puerto UDP, que es el puerto del protocolo de paquetes de datos del usuario, no necesita establecer una conexión entre el cliente y el servidor, y no se puede garantizar la seguridad. . Los más comunes incluyen el puerto 53 del servicio DNS, el puerto 161 del servicio SNMP (Protocolo simple de administración de red), los puertos 8000 y 4000 utilizados por QQ, etc.
Puertos de red comunes
Conceptos básicos de red! Comparación de puertos
Puerto: 0
Servicio: Reservado
Descripción : Generalmente se utiliza para analizar sistemas operativos. Este método funciona porque "0" es un puerto no válido en algunos sistemas y producirá resultados diferentes cuando intente conectarse utilizando un puerto normalmente cerrado. Un escaneo típico utiliza la dirección IP 0.0.0.0, establece el bit ACK y transmite en la capa Ethernet.
Puerto: 1
Servicio: tcpmux
Descripción: Esto muestra que alguien está buscando una máquina SGI Irix. Irix es el principal proveedor de implementación de tcpmux, que está activado de forma predeterminada en dichos sistemas. Las máquinas Irix se lanzan con varias cuentas sin contraseña predeterminadas, como: IP, GUEST UUCP, NUUCP, DEMOS, TUTOR, DIAG, OUTOFBOX, etc. Muchos administradores olvidan eliminar estas cuentas después de la instalación. Entonces HACKER busca tcpmux en INTERNET y explota estas cuentas.
Puerto: 7
Servicio: Echo
Descripción: Puedes ver la información enviada a X.X.X.0 y X.X.X.255 cuando muchas personas buscan el amplificador Fraggle.
Puerto: 19
Servicio: Generador de Caracteres
Descripción: Este es un servicio que solo envía caracteres. La versión UDP responderá a los paquetes que contengan caracteres basura después de recibir paquetes UDP. Cuando se establece una conexión TCP, se enviará un flujo de datos que contiene caracteres basura hasta que se cierre la conexión. HACKER puede utilizar la suplantación de IP para lanzar ataques DoS. Forja paquetes UDP entre dos servidores cargados. El mismo ataque Fraggle DoS transmite un paquete con una IP de víctima falsa a este puerto de la dirección de destino, y la víctima se sobrecarga en respuesta a estos datos.
Puerto: 21
Servicio: FTP
Descripción: El puerto abierto por el servidor FTP se utiliza para carga y descarga. Los atacantes más comunes suelen encontrar formas de abrir servidores FTP anónimos. Estos servidores vienen con directorios que se pueden leer y escribir. Puertos abiertos por Doly Trojan, Fore, Invisible FTP, WebEx, WinCrash y Blade Runner.
Puerto: 22
Servicio: Ssh
Explicación: La conexión TCP establecida por PcAnywhere y este puerto puede ser para buscar ssh. Este servicio tiene muchas debilidades. Si se configura en un modo específico, muchas versiones que utilizan la biblioteca RSAREF tendrán muchas vulnerabilidades.
Puerto: 23
Servicio: Telnet
Descripción: Inicio de sesión remoto, el intruso está buscando servicios UNIX de inicio de sesión remoto. En la mayoría de los casos, este puerto se escanea para encontrar el sistema operativo que está ejecutando la máquina. Existen otras técnicas en las que los intrusos también pueden encontrar contraseñas. El servidor Trojan Tiny Telnet abre este puerto.
Puerto: 25
Servicio: SMTP
Descripción: El puerto abierto por el servidor SMTP se utiliza para enviar correos electrónicos. Los intrusos buscan servidores SMTP para entregar su SPAM. La cuenta del intruso está cerrada y necesita conectarse a un servidor de CORREO ELECTRÓNICO de gran ancho de banda para enviar mensajes simples a diferentes direcciones. Los troyanos Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth, WinPC y WinSpy abren este puerto.
Puerto: 31
Servicio: Autenticación MSG
Descripción: Los Trojans Master Paradise y Hackers Paradise abren este puerto.
Puerto: 42
Servicio: Replicación WINS
Descripción: Replicación WINS
Puerto: 53
Servicio : Servidor de nombres de dominio (DNS)
Descripción: El puerto abierto por el servidor DNS, el intruso puede intentar realizar transferencia de zona (TCP), falsificar DNS (UDP) u ocultar otras comunicaciones. Por lo tanto, los cortafuegos suelen filtrar o registrar este puerto.
Puerto: 67
Servicio: Servidor de protocolo Bootstrap
Nota: Los firewalls a través de DSL y módem por cable a menudo ven una gran cantidad de datos enviados a la dirección de transmisión 255.255 .255.255 . Estas máquinas solicitan una dirección del servidor DHCP. Los HACKER a menudo ingresan en ellos, les asignan una dirección, actúan como enrutador local y lanzan una gran cantidad de ataques de intermediario. El cliente transmite una solicitud de configuración al puerto 68 y el servidor transmite una solicitud de respuesta al puerto 67. Esta respuesta utiliza una transmisión porque el cliente aún no conoce la dirección IP a la que puede enviar.
Puerto: 69
Servicio: Trival File Transfer
Descripción: Muchos servidores proporcionan este servicio junto con bootp para facilitar la descarga del código de inicio del sistema. Pero a menudo están mal configurados, lo que permite a los intrusos robar cualquier archivo del sistema. El sistema también puede utilizarlos para escribir archivos.
Puerto: 79
Servicio: Finger Server
Descripción: Los intrusos lo utilizan para obtener información del usuario, consultar el sistema operativo y detectar errores conocidos de desbordamiento del búfer. , responda a los escaneos dactilares desde su propia máquina a otras máquinas.
Puerto: 80
Servicio: HTTP
Descripción: Se utiliza para navegación web. Trojan Executor abre este puerto.
Puerto: 99
Servicio: Metagram Relay
Descripción: El programa de puerta trasera ncx99 abre este puerto.
Puerto: 102
Servicio: Agente de transferencia de mensajes (MTA)-X.400 sobre TCP/IP
Descripción: Agente de transferencia de mensajes.
Puerto: 109
Servicio: Protocolo de oficina postal -Versión 3
Descripción: El servidor POP3 abre este puerto para recibir correo y el cliente accede al correo en el lado del servidor Servir. Los servicios POP3 tienen muchas debilidades reconocidas. Hay al menos 20 vulnerabilidades relacionadas con desbordamientos del buffer de intercambio de nombres de usuario y contraseñas, lo que significa que un intruso puede ingresar al sistema antes de iniciar sesión. Hay otros errores de desbordamiento del búfer después de iniciar sesión correctamente.
Puerto: 110
Servicio: todos los puertos del servicio RPC de SUN
Nota: Los servicios RPC comunes incluyen rpc.mountd, NFS, rpc.statd, rpc. csmd, rpc.ttybd, amd, etc.
Puerto: 113
Servicio: Servicio de autenticación
Descripción: Este es un protocolo que se ejecuta en muchas computadoras, se utiliza Se utiliza para identificar usuarios de conexiones TCP. Se puede obtener información sobre muchas computadoras utilizando este servicio estándar. Pero puede usarse como registrador para muchos servicios, especialmente servicios como FTP, POP, IMAP, SMTP e IRC. Normalmente, si tiene muchos clientes que acceden a estos servicios a través de un firewall, verá muchas solicitudes de conexión para este puerto. Recuerde, si bloquea este puerto, el cliente experimentará una conexión lenta con el servidor de CORREO ELECTRÓNICO al otro lado del firewall. Muchos firewalls admiten el envío de RST durante el bloqueo de conexiones TCP. Esto detendrá las conexiones lentas.
Puerto: 119
Servicio: Protocolo de transferencia de noticias en red
Descripción: Protocolo de transferencia de grupo de noticias NEWS, que transporta comunicación USENET. Este puerto suele ser donde la gente busca servidores USENET para conectarse. La mayoría de los ISP restringen el acceso a los servidores de sus grupos de noticias únicamente a sus clientes. Abrir un servidor de grupos de noticias permitirá a cualquiera publicar/leer mensajes, acceder a servidores de grupos de noticias restringidos, publicar de forma anónima o enviar mensajes SPAM.
Puerto: 135
Servicio: Servicio de ubicación
Descripción: Microsoft ejecuta el asignador de puntos finales DCE RPC en este puerto para su servicio DCOM. Esto es muy similar a la función del puerto 111 de UNIX. Los servicios que utilizan DCOM y RPC registran sus ubicaciones con el asignador de puntos finales en la computadora. Cuando los clientes remotos se conectan a una computadora, buscan el asignador de puntos finales para encontrar la ubicación del servicio. ¿HACKER está escaneando este puerto de la computadora para encontrar Exchange Server ejecutándose en esta computadora? ¿Qué versión? También hay algunos ataques de DOS que apuntan directamente a este puerto.
Puertos: 137, 138, 139
Servicio: NETBIOS Name Service
Descripción: 137 y 138 son puertos UDP, al transferir archivos a través de Network Neighborhood Utilice esto puerto. Y puerto 139: las conexiones que ingresan a través de este puerto intentan obtener servicios NetBIOS/SMB. Este protocolo se utiliza para compartir archivos e impresoras de Windows y SAMBA. El registro WINS también lo utiliza.
Puerto: 143
Servicio: Protocolo provisional de acceso al correo v2
Nota: al igual que los problemas de seguridad de POP3, muchos servidores IMAP tienen vulnerabilidades de desbordamiento del búfer. Recuerde: un gusano LINUX (admv0rm) se reproduce a través de este puerto, por lo que muchos análisis de este puerto provienen de usuarios desprevenidos que ya están infectados. Estas vulnerabilidades se hicieron populares cuando REDHAT permitió IMAP de forma predeterminada en sus distribuciones de Linux. Este puerto también se utiliza para IMAP2, pero no es muy popular.
Puerto: 161
Servicio: SNMP
Descripción: SNMP permite la gestión remota de dispositivos. Toda la información operativa y de configuración se almacena en una base de datos y está disponible a través de SNMP. Muchas configuraciones erróneas del administrador quedarán expuestas a Internet. Los cackers intentarán acceder al sistema utilizando las contraseñas públicas y privadas predeterminadas. Pueden experimentar con todas las combinaciones posibles. Los paquetes SNMP pueden dirigirse incorrectamente a la red del usuario.
Puerto: 177
Servicio: Protocolo de control X Display Manager
Descripción: Muchos intrusos acceden a la consola X-windows a través de él y necesita abrir 6000 al mismo tiempo puerto.
Puerto: 389
Servicios: LDAP, ILS
Descripción: El protocolo ligero de acceso a directorios y el servidor de localización de Internet NetMeeting utilizan este puerto.
Puerto: 443
Servicio: HTTPS
Descripción: Puerto de navegación web, que puede proporcionar cifrado y otro tipo de HTTP transmitido a través de un puerto seguro.
Puerto: 456
Servicio: [NULL]
Descripción: El troyano HACKERS PARADISE abre este puerto.
Puerto: 513
Servicio: Inicio de sesión, inicio de sesión remoto
Descripción: Es una transmisión enviada desde una computadora UNIX que inicia sesión en la subred mediante cable módem o ADSL. Estos individuos proporcionan información para que los intrusos obtengan acceso a sus sistemas.
Puerto: 544
Servicio: [NULL]
Descripción: kerberos kshell
Puerto: 548
Servicio: Macintosh, Servicios de Archivos (AFP/IP)
Descripción: Macintosh, Servicios de Archivos.
Puerto: 553
Servicio: CORBA IIOP (UDP)
Descripción: Usando cable módem, DSL o VLAN verá la transmisión de este puerto. CORBA es un sistema RPC orientado a objetos. Los intrusos pueden utilizar esta información para acceder al sistema.
Puerto: 555
Servicio: DSF
Descripción: Los troyanos PhAse1.0, Stealth Spy e IniKiller abren este puerto.
Puerto: 568
Servicio: Membresía DPA
Descripción: Membresía DPA.
Puerto: 569
Servicio: Membresía MSN
Descripción: Membresía MSN.
Puerto: 635
Servicio: mountd
Descripción: Error en Linux mountd. Este es un error común en el escaneo. La mayoría de los escaneos de este puerto están basados en UDP, pero ha habido un aumento en el mountd basado en TCP (mountd se ejecuta en ambos puertos simultáneamente). Recuerde que mountd puede ejecutarse en cualquier puerto (qué puerto necesita para realizar una consulta de mapa de puertos en el puerto 111), pero el puerto predeterminado de Linux es 635, al igual que NFS generalmente se ejecuta en el puerto 2049.
Puerto: 636
Servicio: LDAP
Descripción: SSL (Secure Sockets Layer)
Puerto: 666
Servicio: Doom Id Software
Descripción: Trojan Attack FTP y Satanz Backdoor abren este puerto
Puerto: 993
Servicio: IMAP
Descripción: SSL (capa de sockets seguros)
Puertos: 1001, 1011
Servicio: [NULL]
Descripción: Trojan Silencer, puerto abierto de WebEx 1001. El troyano Doly abre el puerto 1011.
Puerto: 1024
Servicio: Reservado
Descripción: Es el comienzo de un puerto dinámico A muchos programas no les importa qué puerto se utiliza para conectarse. la red. Solicitan al sistema que les asigne el siguiente puerto libre. Según esta asignación, comienza en el puerto 1024. Esto significa que a la primera solicitud al sistema se le asignará el puerto 1024. Puede reiniciar la máquina, abrir Telnet y luego abrir una ventana para ejecutar natstat -a. Verá que Telnet tiene asignado el puerto 1024. También hay sesiones SQL que también utilizan este puerto y el puerto 5000.
Puertos: 1025, 1033
Servicio: 1025: blackjack de red 1033: [NULL]
Descripción: El troyano netspy abre estos 2 puertos.
Puerto: 1080
Servicio: SOCKS
Descripción: Este protocolo hace un túnel a través del firewall, permitiendo a las personas detrás del firewall acceder a INTERNET a través de una dirección IP. En teoría sólo debería permitir que la comunicación interna llegue a INTERNET. Pero debido a una configuración incorrecta, puede permitir que ataques ubicados fuera del firewall pasen a través del firewall. Este error ocurre a menudo en WinGate y suele verse al unirse a una sala de chat IRC.
Puerto: 1170
Servicio: [NULL]
Descripción: Trojan Streaming Audio Trojan, Psyber Stream Server y Voice abren este puerto.
Puertos: 1234, 1243, 6711, 6776
Servicio: [NULL]
Descripción: El troyano SubSeven2.0 y el troyano Ultors abren los puertos 1234 y 6776 . El troyano SubSeven1.0/1.9 abre los puertos 1243, 6711 y 6776.
Puerto: 1245
Servicio: [NULL]
Descripción: El troyano Vodoo abre este puerto.
Puerto: 1433
Servicio: SQL
Descripción: El puerto abierto por el servicio SQL de Microsoft.
Puerto: 1492
Servicio: stone-design-1
Descripción: El troyano FTP99CMP abre este puerto.
Puerto: 1500
Servicio: consultas de sesión de puerto fijo del cliente RPC
Descripción: consultas de sesión de puerto fijo del cliente RPC
Puerto: 1503
Servicio: NetMeeting T.120
Descripción: NetMeeting T.120
Puerto: 1524
Servicio: ingreso
Nota: Muchos scripts de ataque instalarán un SHELL de puerta trasera en este puerto, especialmente los scripts dirigidos a las vulnerabilidades de los servicios Sendmail y RPC en sistemas SUN. Si ve intentos de conexión en este puerto justo después de instalar el firewall, probablemente se deba a los motivos anteriores. Puede probar Telnet a este puerto en la computadora del usuario y ver si le proporciona un SHELL. Este problema también existe al conectarse al servidor 600/pcser.