인터넷에서 각 호스트는 TCP/TP 프로토콜을 통해 데이터그램을 보내고 받습니다. 각 데이터그램은 대상 호스트의 IP 주소를 기반으로 인터넷에서 라우팅됩니다. 목적지 호스트로 데이터그램을 성공적으로 전송하는데는 문제가 없음을 알 수 있다. 문제는 어디에 있는가? 대부분의 운영 체제는 동시에 실행되는 여러 프로그램(프로세스)을 지원한다는 것을 알고 있는데, 동시에 실행되는 많은 프로세스 중 대상 호스트가 수신된 데이터그램을 전송해야 하는 것은 무엇입니까? 분명히 이 문제는 해결되어야 하며 포트 메커니즘이 도입됩니다.
로컬 운영 체제는 프로토콜 포트(종종 포트라고 부르는 프로토콜 포트)를 필요한 프로세스에 할당합니다. 각 프로토콜 포트는 80, 139, 445와 같은 양의 정수로 식별됩니다. , 등. 대상 호스트가 데이터그램을 수신하면 메시지 헤더의 대상 포트 번호를 기반으로 해당 포트로 데이터를 보내고 이 포트에 해당하는 프로세스는 데이터를 수신하고 다음 세트가 도착할 때까지 기다립니다. 데이터. 이 시점에서 포트의 개념은 여전히 추상적으로 느껴지므로 저를 계속 따라오시고 물러나지 마십시오.
포트는 실제로 대기열입니다. 운영 체제는 각 프로세스에 서로 다른 대기열을 할당합니다. 매우 특별한 상황에서는 데이터그램이 대상 포트에 따라 해당 대기열로 푸시됩니다. 대기열이 오버플로될 수 있지만 운영 체제에서는 각 프로세스가 자체 대기열의 크기를 지정하고 조정할 수 있습니다.
데이터그램을 수신하는 프로세스는 자신의 포트를 열어야 할 뿐만 아니라 데이터그램을 보내는 프로세스도 포트를 열어야 합니다. 이러한 방식으로 데이터그램에서 활성 포트가 식별됩니다. 수신자가 원활하게 데이터 보고서를 반환할 수 있도록 합니다.
포트 분류:
인터넷에서는 프로토콜 유형에 따라 포트가 TCP 포트와 UDP 포트의 두 가지 범주로 구분됩니다. 모두 양의 정수로 식별되지만 이는 포트입니다. 데이터그램은 포트를 표시하면서 포트 유형도 표시하므로 TCP 포트 80 및 UDP 포트 80과 같은 모호성을 유발하지 않습니다.
포트 할당의 관점에서 포트는 고정 포트와 동적 포트라는 두 가지 범주로 나뉩니다(일부 튜토리얼에서는 거의 사용되지 않는 포트를 세 번째 범주인 개인 포트로 나누기도 합니다).
고정 포트(0-1023):
중앙 집중식 관리 메커니즘을 사용합니다. 즉, 이러한 할당을 담당하는 관리 조직의 포트 할당을 따릅니다. 이러한 포트는 일부 서비스와 긴밀하게 연결되어 있으므로 TCP 21(ftp), 80(bios), UDP 7(echo), 69(tftp)와 같은 서비스를 상대방이 열었는지 확인하기 위해 종종 이러한 포트를 스캔합니다.
동적 포트(1024-49151):
이 포트는 특정 서비스에 고정적으로 바인딩되지 않으며 운영 체제가 동적으로 할당합니다. 이들 포트 각 프로세스에 대해 동일한 프로세스가 다른 포트에 두 번 할당될 수 있습니다. 그러나 일부 응용 프로그램은 운영 체제에서 할당한 동적 포트를 사용하려고 하지 않습니다. oicq 클라이언트의 포트 4000, Trojan Glacier의 포트 7626 등과 같은 자체 "상표" 포트가 있으며 모두 고정되어 있습니다. 유명한.
침입에서 포트의 역할:
누군가는 서버를 집에 비유하고 포트를 다른 방(서비스)으로 연결되는 문에 비유한 적이 있습니다. 이것은 좋은 은유입니다. 침입자가 이 집을 점유하려면 침입해야 합니다(물리적 침입은 별개의 문제입니다). 따라서 침입자에게는 집에 몇 개의 문이 열려 있는지, 어떤 문인지, 어떤 문인지 아는 것이 중요합니다. 문 뒤에요.
침입자는 일반적으로 스캐너를 사용하여 대상 호스트의 포트를 스캔하여 열려 있는 포트를 확인하고 대상 호스트가 제공하는 서비스가 무엇인지 대략적으로 알 수 있습니다. 기존 취약점이 있으므로 포트 스캐닝은 대상 호스트를 더 잘 이해하는 데 도움이 됩니다. 관리자의 경우 로컬 시스템의 열린 포트를 스캐닝하는 것도 보안 예방 조치를 취하는 첫 번째 단계입니다.
공통 포트 소개
저의 지식이 부족하여 간단한 내용만 소개합니다.
1) 21ftp
이 포트를 연다는 것은 서버가 FTP 서비스를 제공한다는 것을 의미합니다. 침입자는 일반적으로 이 포트를 스캔하여 쓰기 가능한 디렉토리를 찾을 수 있는지 여부를 결정합니다. 추가 침입을 위해 일부 해커 프로그램을 업로드할 수도 있습니다. 이 포트를 닫으려면 FTP 서비스를 꺼야 합니다.
2) 23 Telnet
이 포트를 열면 서버가 원격 로그인 서비스를 제공한다는 의미입니다. 관리자의 사용자 이름과 비밀번호가 있으면 이 서비스를 통해 호스트를 완전히 제어할 수 있습니다. 하지만 먼저 NTLM 인증을 받아야 합니다) 명령줄에서 셸을 가져옵니다. 많은 침입자들은 이 서비스를 백도어로 열고 싶어합니다. 이 포트를 닫으려면 Telnet 서비스를 닫아야 합니다.
3) 25 smtp
이 포트를 열면 서버가 SMTP 서비스를 제공한다는 의미입니다. 인증을 지원하지 않는 일부 서버에서는 침입자가 SMTP 서버(특히 sendmail)로 이메일을 보낼 수 있습니다. )은 또한 시스템에 들어가는 가장 일반적인 방법 중 하나입니다. 이 포트를 닫으려면 SMTP 서비스를 닫아야 합니다.
4) 69 TFTP(UDP)
이 포트를 열면 서버가 TFTP 서비스를 제공한다는 의미이며, 이를 통해 관리자가 잘못 구성한 경우 서버에서 파일을 다운로드하고 파일을 쓸 수 있습니다. , 침입자는 비밀번호 파일을 다운로드할 수도 있습니다. 많은 침입자는 자신의 컴퓨터에서 이 서비스를 실행하여 대상 컴퓨터로 파일을 전송함으로써 파일 전송을 실현합니다. 이 포트를 닫으려면 TFTP 서비스를 닫아야 합니다.
5) 79개 손가락
사용자 정보 획득, 운영 체제 쿼리, 알려진 버퍼 오버플로 오류 감지, 자신의 컴퓨터에서 다른 컴퓨터로의 지문 스캔에 응답하는 데 사용됩니다.
6) 80 stat -an
사실 이것은 도구는 아니지만 열려 있는 포트를 확인하는 가장 편리한 방법입니다. cmd에 이 명령을 입력하면 됩니다. . 다음과 같습니다:
C:\gt;netstat -an
활성 연결
프로토 로컬 주소 외부 주소 상태
TCP 0.0. 0.0 :135 0.0.0.0:0 듣기
TCP 0.0.0.0:445 0.0.0.0:0 듣기
TCP 0.0.0.0:1025 0.0.0.0:0 듣기
TCP 0.0.0.0:1026 0.0.0.0:0 듣기
TCP 0.0.0.0:1028 0.0.0.0:0 듣기
TCP 0.0.0.0:3372 0.0. 0.0 :0 듣기
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1027 * : *
UDP 127.0.0.1:1029 *:*
UDP 127.0.0.1:1030 *:*
내가 했을 때 기계가 열렸던 내용이다 온라인이 아닌 포트 중 135, 445 두 개가 고정 포트이고 나머지는 동적 포트입니다.
2 fport.exe 및 mport.exe
이것들은 명령줄에서 로컬 시스템의 열려 있는 포트를 보기 위한 두 개의 작은 프로그램이기도 합니다. netstat -an 명령(단, 포트를 여는 프로세스를 표시할 수 있으며 추가 정보가 있음) 이상한 포트가 트로이 목마일 수 있다고 의심되면 이를 사용하여 확인하십시오.
3 activeport.exe(aports.exe라고도 함)
위 두 가지 기능을 모두 갖는 것 외에도 로컬 시스템의 열려 있는 포트를 보는 데에도 사용됩니다. 프로그램에는 그래픽 인터페이스와 포트를 닫는 기능이라는 두 가지 더 매력적인 기능이 있습니다. 이것은 초보자에게 매우 유용한 도구이므로 사용하는 것이 좋습니다.
4 superscan3.0
이름을 들어보셨나요? No.1 순수 포트 스캐닝 소프트웨어로 속도가 빠르고 스캔할 포트를 지정할 수 있습니다. 말할 것도 없이 꼭 필요한 도구입니다.
자신의 포트를 보호하세요:
인터넷을 처음 접하는 친구들은 일반적으로 자신의 포트에 매우 민감합니다. 그들은 항상 자신의 컴퓨터가 너무 많은 포트를 열까 봐 두려워합니다. 그 중 하나가 백도어 프로그램을 포팅할까봐 더욱 두렵습니다. 하지만 포팅에 대해 잘 알지 못하기 때문에 해결책이 없어서 온라인에 접속할 때 매우 긴장됩니다. 실제로 자신의 포트를 보호하는 것은 그리 어렵지 않습니다.
1 확인: 종종 명령이나 소프트웨어를 사용하여 로컬로 열려 있는 포트를 확인하여 의심스러운 포트가 있는지 확인합니다.
2 판단: 익숙하지 않은 열려 있는 포트가 있으면 즉시 포트 백과사전이나 일반적인 트로이 목마 포트 및 기타 정보(인터넷에 많이 있음)를 찾아보고, 의심스러운 포트의 기능에 대한 설명을 보거나 소프트웨어를 사용하여 이 포트를 여는 과정을 확인하여 판단하십시오.
3 닫기: 실제로 트로이 목마 포트이거나 설명이 없는 경우; 정보에 이 포트가 있으면 이 포트를 닫아야 합니다. 방화벽을 사용하여 이 포트를 차단하거나 로컬 연결-TCP/IP-고급-옵션-TCP/IP 필터링을 사용하여 필터링 메커니즘을 활성화하여 포트를 필터링할 수 있습니다. ;