컴퓨터의 포트는 무엇입니까?
포트는 3가지 주요 범주로 나뉩니다.
1) 잘 알려진 포트: 0부터 1023까지, 일부 서비스와 긴밀하게 연결되어 있습니다. 일반적으로 이러한 포트에서의 통신은 특정 서비스의 프로토콜을 명확하게 나타냅니다. 예: 포트 80은 실제로 항상 h++p 통신입니다.
2) 등록된 포트: 1024에서 49151까지. 일부 서비스와 느슨하게 연결되어 있습니다. 이는 이러한 포트에 많은 서비스가 바인딩되어 있으며 이러한 포트가 다른 많은 목적으로도 사용된다는 것을 의미합니다. 예: 많은 시스템이 1024 주변에서 시작하는 동적 포트를 처리합니다.
3) 동적 및/또는 개인 포트: 49152에서 65535까지. 이론적으로 이러한 포트는 서비스에 할당되어서는 안 됩니다. 실제로 컴퓨터에는 일반적으로 1024부터 시작하는 동적 포트가 할당됩니다. 그러나 예외도 있습니다. SUN의 RPC 포트는 32768에서 시작됩니다.
이 섹션에서는 TCP/UDP 포트 검사에 대한 방화벽 기록에서 일반적으로 발견되는 정보에 대해 설명합니다.
기억하세요: ICMP 포트 같은 것은 없습니다. ICMP 데이터 해석에 관심이 있다면 이 문서의 나머지 부분을 참조하세요.
0 일반적으로 운영 체제를 분석하는 데 사용됩니다. 이 **는 일부 시스템에서 "0"이 유효하지 않은 포트이고 일반적으로 닫힌 포트를 사용하여 연결을 시도할 때 다른 결과를 생성하기 때문에 작동합니다. 일반적인 스캔: IP 주소 0.0.0.0을 사용하고 ACK 비트를 설정하고 이더넷 계층에서 브로드캐스트합니다.
1 tcpmux 이는 누군가 SGIIrix 시스템을 찾고 있음을 나타냅니다. Irix는 이러한 시스템에서 기본적으로 활성화되는 tcpmux 구현의 주요 공급자입니다. Iris 시스템에는 lp, guest, uucp, nuucp, 데모, tutorial, diag, EZsetup, OutOfBox,
및 4Dgifts와 같은 여러 기본 비밀번호 없는 계정이 함께 제공됩니다. 많은 관리자는 설치 후 이러한 계정을 삭제하는 것을 잊어버립니다. 따라서 해커는 인터넷에서 tcpmux를 검색하고 이러한 계정을 악용합니다.
7Echo 사람들이 Fraggle 증폭기를 검색하면 x.x.x.0 및 x.x.x.255로 전송되는 많은 메시지를 볼 수 있습니다. 일반적인 DoS 공격은 공격자가 한 시스템에서 다른 시스템으로 전송된 UDP 패킷을 위조하고 두 시스템이 가장 빠른 방법으로 이러한 패킷에 응답하는 에코 루프(echo-loop)입니다. (Chargen 참조) 또 다른 것은 DoubleClick이 포트라는 단어에 설정한 TCP 연결입니다. 가장 가까운 경로를 결정하기 위해 DNS의 이 포트에 연결하는 Resonate Global Dispatch"라는 제품이 있습니다. Harvest/Squid 캐시는 포트 3130에서 UDP Echo를 보냅니다. "캐시의 source_ping on 옵션이 켜져 있으면 원래 호스트의 UDP 에코 포트에 응답합니다. HIT 응답으로 응답합니다. "이렇게 하면 이러한 패킷이 많이 생성됩니다.
11 sysstat 이것은 시스템에서 실행 중인 모든 프로세스와 이를 시작한 프로세스를 나열하는 UNIX 서비스입니다. 이는 침입자에게 보안을 위협하는 많은 정보를 제공합니다. 이는 알려진 취약점이나 계정이 있는 프로그램을 노출시키는 것과 같습니다. 이는 UNIX 시스템에서 "ps" 명령의 결과와 유사합니다. ICMP에는 포트가 없으며 ICMP 포트 11은 일반적으로 ICMPtype=1119입니다. UDP 버전은 UDP 패킷을 수신한 후 쓰레기 문자가 포함된 패킷에 응답합니다. TCP에 연결할 때 해커는 IP 스푸핑을 사용하여 DoS 공격을 시작할 수 있습니다. 두 개의 유료 서버 간에 UDP를 위조하면 서버가 두 서버 간의 무제한 왕복 데이터 통신에 응답하려고 시도하므로 서버에 과부하가 발생합니다.
마찬가지로, 프래글 DoS 공격은 가짜 피해자 IP가 포함된 패킷을 대상 주소의 이 포트로 브로드캐스트하고, 피해자는 이 데이터에 대한 응답으로 과부하를 받습니다.
21ftp는 "익명" FTP 서버*를 여는 방법을 찾는 공격자가 가장 일반적으로 사용합니다. 이러한 서버에는 읽고 쓸 수 있는 디렉터리가 있습니다. 해커나 태커는 이러한 서버를 warez(개인 프로그램) 및 pr0n(검색 엔진에서 분류되지 않도록 의도적인 철자 오류)을 전달하기 위한 노드로 사용합니다.
22 sshPcAnywhere는 SSH를 찾기 위해 TCP와 이 포트 사이에 연결을 설정할 수 있습니다. 이 서비스에는 많은 약점이 있습니다. RSAREF 라이브러리를 사용하는 많은 버전은 특정 모드로 구성된 경우 취약점이 있습니다. (ssh를 다른 포트에서 실행하는 것이 좋습니다.) 또한 ssh 툴킷에는 ake-ssh-known-hosts라는 프로그램이 함께 제공된다는 점에 유의해야 합니다. 전체 도메인에서 SSH 호스트를 검색합니다. 때때로 이 프로그램을 사용하는 누군가에 의해 실수로 스캔될 수도 있습니다. 상대방의 포트 5632에 연결된 UDP(TCP 아님)는 pcAnywhere를 검색하는 검사가 있음을 의미합니다. 5632(16진수 0x1600)는 비트 교환 후 0x0016(16진수 22)입니다.
23 Telnet 침입자는 UNIX에 대한 원격 로그인 서비스를 검색하고 있습니다. 대부분의 경우 침입자는 이 포트를 스캔하여 시스템이 실행 중인 운영 체제를 찾습니다. 추가적으로 침입자는 다른 기술을 사용하여 비밀번호를 알아낼 것입니다.
25명의 SMTP 공격자(스패머)는 스팸을 전달하기 위해 SMTP 서버를 찾습니다. 침입자의 계정은 항상 닫혀 있으며 간단한 메시지를 다른 주소로 전달하려면 고대역폭 전자 메일 서버에 전화 접속해야 합니다. SMTP 서버(특히 sendmail)는 인터넷에 완전히 노출되어야 하고 메일 라우팅이 복잡하기 때문에(노출 + 복잡성 = 취약성) 시스템에 들어가는 가장 일반적인 방법 중 하나입니다.
53 DNSHacker 또는 크래커는 영역 전송(TCP), DNS 스푸핑(UDP)을 수행하거나 기타 통신을 숨기려고 시도할 수 있습니다. 따라서 방화벽은 종종 포트 53을 필터링하거나 기록합니다. 포트 53이 UDP 소스 포트로 표시되는 경우가 많습니다. 불안정한 방화벽은 종종 이러한 통신을 허용하고 이를 DNS 쿼리에 대한 응답으로 가정합니다. 해커는 종종 이 방법을 사용하여 방화벽에 침투합니다.
67 및 68 이상의 Bootp/DHCP Bootp 및 DHCPUDP: DSL 및 케이블 모뎀을 통한 방화벽에서는 종종 브로드캐스트 주소 255.255.255.255로 전송된 대량의 데이터가 표시됩니다. 이 컴퓨터는 DHCP 서버에서 주소 할당을 요청하고 있습니다. 해커는 주소를 할당하기 위해 이러한 주소를 입력하고 자신을 로컬 라우터로 사용하여 수많은 "중간자" 공격을 실행하는 경우가 많습니다. 클라이언트는 포트 68(bootps)에 구성 요청을 브로드캐스트하고, 서버는 포트 67(bootpc)에 응답 요청을 브로드캐스트합니다. 클라이언트가 전송할 수 있는 IP 주소를 아직 모르기 때문에 이 응답에서는 브로드캐스트를 사용합니다. 69 TFTP(UDP) 많은 서버는 시스템에서 시작 코드를 쉽게 다운로드할 수 있도록 bootp와 함께 이 서비스를 제공합니다. 그러나 이들은 종종 잘못 구성되어 비밀번호 파일과 같은 시스템의 모든 파일을 제공합니다.
79 핑거 해커는 사용자 정보를 얻고, 운영 체제에 쿼리하고, 알려진 버퍼 오버플로 오류를 감지하고, 자신의 컴퓨터에서 핑거 스캔에 응답하는 데 사용됩니다. 다른 기계.
98 linuxconf 이 프로그램은 linuxboxen을 간단하게 관리할 수 있는 프로그램입니다. 웹 기반 인터페이스는 포트 98의 통합 h++p 서버를 통해 제공됩니다. 다양한 보안 문제가 있는 것으로 확인되었습니다. setuidroot의 일부 버전은 LAN을 신뢰하고 /tmp 아래에 인터넷에 액세스할 수 있는 파일을 생성하며 LANG 환경 변수에 버퍼 오버플로가 있습니다.
또한 통합 서버를 포함하고 있기 때문에 일반적인 h++p 취약점(버퍼 오버플로, 디렉터리 탐색 등)이 많이 존재할 수 있습니다. 109 POP2는 POP3만큼 유명하지는 않지만 두 서비스(역호환)를 모두 제공하는 서버가 많습니다. POP3의 취약점은 동일한 서버의 POP2에도 존재합니다.
110 POP3는 클라이언트가 서버측 이메일 서비스에 액세스하는 데 사용됩니다. POP3 서비스에는 알려진 약점이 많이 있습니다. 사용자 이름 및 비밀번호 교환 버퍼 오버플로(해커가 실제로 로그인하기 전에 시스템에 들어갈 수 있음을 의미)와 관련된 취약점이 최소 20개 있습니다. 로그인 성공 후 다른 버퍼 오버플로 오류가 발생했습니다.
111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND. portmapper에 액세스하는 것은 허용되는 RPC 서비스를 확인하기 위해 시스템을 검색하는 가장 빠른 단계입니다. 일반적인 RPC 서비스에는 pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd 등이 포함됩니다. 침입자는 서비스를 제공하기 위해 RPC 서비스를 특정 포트로 리디렉션할 수 있는 취약점을 발견했습니다. 해당 라인에
데몬, IDS 또는 스니퍼를 기록하는 것을 기억하십시오. 침입자가 액세스하고 무슨 일이 일어났는지 알아내기 위해 어떤 프로그램을 사용하고 있는지 알 수 있습니다.
113 Ident auth. 이것은 많은 시스템에서 실행되는 프로토콜이며 TCP 연결 사용자를 인증하는 데 사용됩니다. 이 표준 서비스를 사용하면 많은 기계에 대한 정보를 얻을 수 있습니다(해커가 악용할 수 있음). 그러나 이는 많은 서비스, 특히 FTP, POP, IMAP, SMTP 및 IRC와 같은 서비스에 대한 로거로 사용될 수 있습니다. 일반적으로 방화벽을 통해 이러한 서비스에 액세스하는 클라이언트가 많은 경우 이 포트에 대한 연결 요청이 많이 표시됩니다. 이 포트를 차단하면 클라이언트가 방화벽 반대편에 있는 전자 메일 서버에 대한 연결 속도가 느려진다는 점을 명심하세요. 많은 방화벽은 TCP 연결 차단 프로세스 중에 T 백 전송을 지원하여 느린 연결을 중지합니다.
119 USENET 통신을 전달하는 NNTP 뉴스그룹 전송 프로토콜입니다. 이 포트는 일반적으로 news:p.security.firewalls/와 같은 주소에 연결할 때 사용됩니다. 이 포트에 대한 연결 시도는 일반적으로 사람들이 USENET 서버를 찾는 곳입니다. 대부분의 ISP는 뉴스 그룹 서버에 대한 액세스를 고객에게만 제한합니다. 뉴스 그룹 서버를 열면 누구나 메시지를 게시/읽고, 제한된 뉴스 그룹 서버에 액세스하고, 익명으로 게시하고, 스팸을 보낼 수 있습니다.
135 oc-serv MS RPC 끝점 매퍼 Microsoft는 DCOM 서비스를 위해 이 포트에서 DCE RPC 끝점 매퍼를 실행합니다. 이는 UNIX 포트 111의 기능과 매우 유사합니다. DCOM 및/또는 RPC를 사용하는 서비스는 시스템의 끝점 매퍼에 해당 위치를 등록합니다. 원격 클라이언트가 시스템에 연결되면 엔드포인트 매퍼에 쿼리하여 서비스 위치를 찾습니다. 마찬가지로 해커는 컴퓨터의 포트를 검색하여 다음과 같은 질문을 찾습니다. Exchange Server가 이 컴퓨터에서 실행되고 있습니까? 어떤 버전인가요? 이 포트는 서비스 쿼리(예: epdump 사용)에 사용되는 것 외에도 직접 공격에도 사용될 수 있습니다. 이 포트를 직접 대상으로 하는 일부 DoS 공격이 있습니다.
137 NetBIOS 이름 서비스 nbtstat(UDP) 이는 방화벽 관리자를 위한 가장 일반적인 정보입니다. 기사 마지막 부분에 있는 NetBIOS 섹션을 주의 깊게 읽으십시오. 139 NetBIOS 파일 및 인쇄 공유
이 포트를 통해 들어오는 연결이 NetBIOS/SMB 서비스를 얻으려고 시도했습니다. 이 프로토콜은 Windows "파일 및 프린터 공유" 및 SAMBA에서 사용됩니다. 인터넷에서 하드 드라이브를 공유하는 것은 아마도 가장 일반적인 문제일 것입니다.
1999년에 이 항구에 대한 대규모 공격이 시작된 후 점차 빈도가 줄어들었습니다. 2000년에 다시 부활했습니다. 일부 VBS(IE5 VisualBasicScripting)는 이 포트에서 재현하기 위해 이 포트에 자신을 복사하기 시작했습니다.
143 IMAP은 위의 POP3와 동일한 보안 문제를 가지고 있습니다. 많은 IMAP 서버에는 로그인 과정에서 입력될 수 있는 버퍼 오버플로 취약점이 있습니다. 기억하세요: Linux 웜(admw0rm)은 이 포트를 통해 번식하므로 의심하지 않는 감염된 사용자가 이 포트를 검색하는 경우가 많습니다. 이러한 취약점은 RadHat이 Linux 배포판에서 기본적으로 IMAP을 허용했을 때 널리 알려졌습니다. 이는 Morris 웜 이후 처음으로 널리 확산된 웜입니다. 이 포트는 IMAP2에도 사용되지만 그다지 인기가 없습니다. 포트 0~143에 대한 일부 공격이 스크립트에서 시작되었다는 보고가 있습니다.
161 침입자가 자주 감지하는 SNMP(UDP) 포트입니다. SNMP를 사용하면 장치를 원격으로 관리할 수 있습니다. 모든 구성 및 운영 정보는 데이터베이스에 저장되며 SNMP 클라이언트를 통해 사용할 수 있습니다. 많은 관리자가 이를 잘못 구성하여 인터넷에 노출시킵니다. 크래커는 기본 비밀번호인 "public"과 "private"을 사용하여 시스템에 액세스하려고 시도합니다. 그들은 가능한 모든 조합을 실험해 볼 수 있습니다. SNMP 패킷이 네트워크로 잘못 전달될 수 있습니다. Windows 시스템은 HP JetDirect 원격 관리 소프트웨어와 함께 SNMP를 사용하도록 잘못 구성되는 경우가 많습니다. HP OBJECT IDENTIFIER는 SNMP 패킷을 수신합니다. 새 버전의 Win98에서는 도메인 이름을 확인하기 위해 SNMP를 사용하여 서브넷에서 sysName 및 기타 정보를 쿼리하는 이러한 종류의 패킷 브로드캐스팅(케이블 모뎀, DSL)을 볼 수 있습니다.
162 SNMP 트랩은 잘못된 구성으로 인해 발생할 수 있습니다.
177 많은 해커가 이를 통해 X-Windows 콘솔에 액세스하며 포트 6000도 열어야 합니다.
513 rwho는 케이블 모뎀이나 DSL을 사용하여 로그인한 서브넷의 UNIX 시스템에서 브로드캐스트될 수 있습니다. 이 사람들은 해커가 자신의 시스템에 액세스할 수 있도록 흥미로운 정보를 제공합니다.
553 CORBA IIOP(UDP) 케이블 모뎀이나 DSL VLAN을 사용하는 경우 이 포트에서 브로드캐스트를 볼 수 있습니다. CORBA는 객체 지향 RPC(원격 프로시저 호출) 시스템입니다. 해커는 이 정보를 사용하여 시스템에 침입합니다. 600 PCserver 백도어 포트 1524를 확인하십시오. 스크립트를 플레이하는 일부 어린이는 ingreslock 및 pcserver 파일을 수정하여 시스템에 완전히 침입했다고 생각합니다. - Alan J. Rosenthal
635 mountd Linux의 mountd 버그. 이것은 사람들이 스캔하는 인기 있는 버그입니다. 이 포트에 대한 대부분의 스캔은 UDP 기반이지만 TCP 기반 mountd가 증가했습니다(mountd가 두 포트에서 동시에 실행됨). mountd는 모든 포트(포트 111에서 포트맵 쿼리를 수행해야 하는 포트)에서 실행될 수 있지만 NFS가 일반적으로 2049에서 실행되는 것처럼 Linux의 기본 포트는 635입니다.
1024 많은 사람들이 이것을 묻습니다. 항구는 어디입니까? 이것이 다이나믹 포트의 시작이었습니다. 많은 프로그램은 네트워크에 연결하는 데 어떤 포트가 사용되는지 신경 쓰지 않고 운영 체제에 "다음 유휴 포트"를 할당하도록 요청합니다. 이 할당을 기반으로 포트 1024에서 시작됩니다. 이는 시스템에서 동적 포트를 요청하는 첫 번째 프로그램에 포트 1024가 할당된다는 의미입니다. 이를 확인하려면 컴퓨터를 다시 시작하고 Telnet을 연 다음 창을 열고 "natstat -a"를 실행하면 Telnet에 포트 1024가 할당된 것을 볼 수 있습니다. 요청하는 프로그램이 많을수록 동적 포트도 더 많아집니다. *운영 체제에서 할당하는 포트는 점차 커집니다.
다시 말하지만, 웹 페이지를 탐색하고 "netstat"로 확인할 때 각 웹 페이지에는 새 포트가 필요합니다. ?ersion 0.4.1, 2000년 6월 20일 h++p://www.robertgraham.com/ pubs/firewall-seen.html Copyright 1998-2000 by Robert Graham
(mailto:firewall-seen1 @robertgraham.com.
모든 권리 보유. 이 문서는 비상업적 목적으로만(전체 또는 일부) 복제할 수 있습니다.
이 저작권 고지는 포함되어서는 안 됩니다.
저작자의 허가를 제외하고는 변경될 수 있습니다.
1025 1024 참조
1026 1024 참조
1080 SOCKS 이 프로토콜은 파이프 방식은 방화벽을 통과하여 방화벽 뒤에 있는 많은 사람들이 하나의 IP 주소를 통해 인터넷에 접근할 수 있게 해줍니다. 이론적으로는 내부 통신만 인터넷에 도달하도록 허용해야 하지만 잘못된 구성으로 인해 해커가 허용하게 됩니다. 크래커는 방화벽 외부에서 공격하거나
인터넷상의 컴퓨터에 단순히 응답하여 사용자에 대한 직접적인 공격을 마스킹합니다.
WinGate는 위의 잘못된 구성이 흔히 발생하는 공격 유형입니다. Windows 개인 방화벽. 이 상황은 IRC 채팅방에 참여할 때 자주 나타납니다.
1114 SQL 시스템 자체는 이 포트를 거의 스캔하지 않지만 sscan 스크립트의 일부인 경우가 많습니다. 1243 Sub-7 Trojan(TCP) Subseven 섹션을 참조하세요.
1524 ingreslock 백도어 많은 공격 스크립트가 이 포트에 백도어를 설치합니다(특히 Sun 시스템을 대상으로 하는 스크립트). Sendmail 및 RPC에 취약한 스크립트 statd, ttdbserver 및 cmsd와 같은 서비스) 방금 방화벽을 설치했고 이 포트에서 연결 시도가 표시되는 경우 이는 위의 이유 때문일 가능성이 높습니다. Sh*ll이 발생하는지 확인하세요. 이 문제는 600/pcserver에 연결할 때도 발생합니다.
2049 NFS NFS 프로그램은 이 포트에서 실행되는 경우가 많습니다. 일반적으로 서비스가 어떤 포트에서 실행되고 있는지 확인하려면 portmapper에 접속해야 하지만, 대부분의 경우 설치 후 NFS acker/Cracker를 열고 portmapper를 꺼서 포트를 직접 테스트할 수 있습니다.
3128 squid 이는 Squid h++p 프록시 서버의 기본 포트입니다. 공격자는 익명으로 인터넷에 접속하기 위해 프록시 서버를 검색하기 위해 이 포트를 스캔합니다. 또한 다른 프록시 서버를 검색하기 위한 포트도 표시됩니다:
000/8001/8080/8888. 이 포트를 스캔하는 또 다른 이유는 사용자가 채팅방에 들어가는 경우입니다. 다른 사용자(또는 서버 자체)도 이 포트를 확인하여 사용자 컴퓨터가 프록시를 지원하는지 여부를 확인합니다. 섹션 5.3을 참조하세요.
5632 pcAnywere 현재 위치에 따라 이 포트에 대한 많은 검색이 표시됩니다. 사용자가 pcAnywere를 열면 자동으로 LAN 클래스 C 네트워크를 검색하여 가능한 에이전트를 찾습니다(번역기: 프록시가 아닌 에이전트를 나타냄).
해커/크래커는 이 서비스가 열려 있는 컴퓨터도 찾을 것이므로 이 스캔의 소스 주소를 확인해야 합니다. pcAny를 검색하는 일부 검사에는 종종 포트 22의 UDP 패킷이 포함됩니다. 다이얼 스캔을 참조하십시오.
6776 Sub-7 아티팩트 Sub-7 메인 포트와 분리되어 데이터를 전송하는데 사용되는 포트입니다. 예를 들어, 컨트롤러가 전화선을 통해 다른 기계를 제어하고 있는데 제어되는 기계가 끊어지는 경우에 이런 일이 발생하는 것을 볼 수 있습니다. 따라서 다른 사람이 이 IP에서 전화를 걸면 이 포트에서 계속 연결 시도가 표시됩니다. (번역자: 이 포트에 대한 연결 시도를 보고하는 방화벽이 보인다고 해서 Sub-7에 의해 제어되었다는 의미는 아닙니다.)
6970 RealAudio 클라이언트는 서버의 UDP 포트 6970-에서 수신합니다. 7170 오디오 데이터 스트림. 이는 TCP 포트 7070 아웃바운드 연결 설정 13223에 의해 제어됩니다. PowWow PowWow는 Tribal Voice의 채팅 프로그램입니다. 이를 통해 사용자는 이 포트에서 비공개 채팅 연결을 열 수 있습니다. 이 프로그램은 연결 설정에 있어서 매우 "공격적"입니다. 응답을 기다리는 이 TCP 포트에 "캠핑"됩니다. 이로 인해 하트비트와 같은 연결 시도 간격이 발생합니다. 이는 전화 접속 사용자이고 다른 채팅에서 IP 주소를 "상속"하는 경우 발생합니다. 많은 다른 사람들이 포트를 테스트하는 것처럼 보입니다. 이 프로토콜은 연결 시도의 처음 4바이트로 "OPG"를 사용합니다.
17027 Conducent 이것은 나가는 연결입니다. 이는 회사 내의 누군가가 Conductent "adbot"을 사용하여 무료 소프트웨어를 설치했기 때문입니다.
Conducent "adbot"은 *공유 소프트웨어에 대한 광고를 표시하는 역할을 합니다. 이 서비스를 사용하는 인기 있는 소프트웨어 중 하나는 Pkware입니다. 누군가 테스트했습니다. 이 나가는 연결을 차단하면 문제가 발생하지 않지만 IP 주소 자체를 차단하면 adbot이 초당 여러 번 연결을 계속 시도하여 연결 과부하가 발생합니다.
머신은 계속해서 연결을 시도하게 됩니다. DNS 이름(ads.conducent.com, IP 주소 216.33.210.40)을 확인해보세요.
216.33.199.80; 216.33.210.41; (번역자: NetAnts에서 사용하는 Radiate에도 이런 현상이 있는지 궁금합니다.)
27374 Sub-7 Trojan (TCP) Subseven 항목을 참고하세요.
30100 NetSphere 트로이 목마(TCP) 이 포트는 일반적으로 NetSphere 트로이 목마를 찾기 위해 검사됩니다.
31337 Back Orifice "eliteHacker의 31337은 "elite"/ei'li:t/로 발음됩니다. (번역자: * 언어, 백본, 본질로 번역됨. 즉, 3=E, 1=L, 7 =T) 따라서 이 포트에는 많은 백도어 프로그램이 실행되고 있습니다. 가장 유명한 것은 한동안 인터넷에서 가장 일반적으로 검색되었던 Back Orifice입니다. 이제는 인기가 점점 줄어들고 있으며 다른 트로이 목마도 있습니다.
31789 이 포트의 Hack-a-tack UDP 통신은 일반적으로 "Hack-a-tack" 원격 액세스 트로이 목마(RAT, Remote Access Trojan)에 의해 발생합니다. ) 이 트로이 목마에는 31790이 내장되어 있습니다. 포트 스캐너이므로 포트 31789에서 포트 317890으로의 모든 연결은 그러한 침입이 있었다는 것을 의미합니다(포트 31789는 제어 연결이고 포트 317890은 파일 전송 연결입니다)
32770~32900 RPC 서비스 Sun Solaris RPC 서비스는 이 범위에 속합니다. 자세히 설명하면 초기 버전의 Solaris(2.5.1 이전)는 이 범위에 portmapper를 추가하여 낮은 포트인 경우에도 해커/크래커가 이 포트에 액세스할 수 있도록 허용합니다. 방화벽에 의해 차단되었습니다.
이 범위의 포트는 포트 매퍼 또는 공격을 받을 수 있는 알려진 RPC 서비스에 대해 검색됩니다.
33434~33600 Traceroute 이 포트 범위(및 이 범위 내에서만)에 UDP 패킷이 표시되면 이는 Traceroute 때문일 수 있습니다. 추적 경로 지점을 참조하세요.
41508 Inoculan Inoculan의 초기 버전은 서로를 식별하기 위해 서브넷 내에서 다수의 UDP 통신을 생성합니다.
h++p://www.circlemud.org/~jelson/software/udpsend.html
h++p://www.ccd.bnl.gov를 참조하세요. /nss/tips/inoculan/index.html포트 1~1024는 예약된 포트이므로 소스 포트가 거의 없습니다. NAT 시스템의 연결과 같은 몇 가지 예외가 있습니다. 우리는 종종 1024 바로 다음에 오는 포트를 봅니다. 이는 연결에 어떤 포트가 사용되는지 상관하지 않는 응용 프로그램에 시스템에 의해 할당된 "동적 포트"입니다. 서버 클라이언트 서비스 설명
1-5/tcp 동적 FTP 1-5 포트는 sscan 스크립트를 의미합니다.
20/tcp 동적 FTP FTP 서버 전송 파일 포트
53 동적 FTP DNS는 이 포트에서 UDP 응답을 보냅니다. TCP 연결의 소스/대상 포트도 볼 수 있습니다.
123 동적 S/NTP S/NTP(Simple Network Time Protocol) 서버가 실행되는 포트입니다. 또한 이 포트로 브로드캐스트를 보냅니다.
27910~27961/udp Dynamic Quake Quake 또는 Quake 엔진 기반 게임은 이 포트에서 서버를 실행합니다. 따라서 이 포트 범위에서 나오거나 이 포트 범위로 전송되는 UDP 패킷은 일반적으로 게임입니다.
61000 이상의 동적 FTP 61000 이상의 포트는 Linux NAT 서버에서 제공될 수 있습니다.
포트 디렉터리(중국어)
1 tcpmux TCP 포트 서비스 멀티플렉서 전송 제어 프로토콜 포트 서비스 멀티플렉서 선택기
2 압축 네트워크 관리 유틸리티 압축 네트워크 관리 유틸리티
3 압축 네트워크 압축 프로세스 압축 프로세스
5 rje 원격 작업 항목 원격 작업 로그인
p>
7 에코 에코 에코
9 폐기 폐기 폐기
11 sysstat 활성 사용자 온라인 사용자
13 주간 주간 시간
17 qotd 오늘의 명언
18 msp 메시지 전송 프로토콜 메시지 전송 프로토콜
19 Chargen 문자 생성기 문자 생성기
20 ftp- 데이터 파일 전송 [기본 데이터] 파일 전송 프로토콜(기본 데이터 포트)
21 ftp 파일 전송 [제어] 파일 전송 프로토콜(제어)
22 ssh SSH 원격 로그인 프로토콜 SSH 원격 로그인 프로토콜
23 telnet Telnet 터미널 에뮬레이션 프로토콜
24 ? 모든 개인 메일 시스템 메일 시스템의 개인적인 사용을 위해 예약됨
25 smtp 단순 메일 전송 단순 메일 전송 프로토콜
27 nsw-fe NSW 사용자 시스템 FE NSW 사용자 시스템 현장 엔지니어
29 msg-icp MSG ICP MSG ICP
31 msg-auth MSG 인증 MSG 확인
33 dsp 디스플레이 지원 프로토콜 디스플레이 지원 프로토콜
35 개인 프린터 서비스용으로 예약된 개인 프린터 서버
37 시간 시간 시간
38 랩 루트 액세스 프로토콜 라우팅 액세스 프로토콜
39 rlp 리소스 위치 프로토콜 리소스 위치 프로토콜
41 그래픽 그래픽 그래픽
42 네임서버 WINS 호스트 네임 서버 WINS 호스트 이름 서비스
43 nicname 서비스인 "별명"은 누구입니까?
44 mpm-flags MPM FLAGS 프로토콜 MPM(메시지 처리 모듈) 플래그 프로토콜
45 mpm 메시지 처리 모듈 [recv] 메시지 처리 모듈
46 mpm-snd MPM [기본 보내기] 메시지 처리 모듈(기본 보내기 포트)
47 ni-ftp NI FTP &< /p >