1) 잘 알려진 포트: 0 부터 1023 까지 일부 서비스와 밀접하게 연결되어 있습니다. 일반적으로 이러한 포트의 통신은 특정 서비스에 대한 프로토콜을 명확하게 나타냅니다. 예를 들어, 80 포트는 항상 HTTP 통신이었습니다.
2) 등록 포트: 1024 부터 49 15 1 까지. 그들은 느슨하게 일부 서비스에 바인딩됩니다. 즉, 이러한 포트에 바인딩된 많은 서비스가 있으며 이러한 포트는 여러 가지 다른 용도로 사용됩니다. 예를 들어 많은 시스템에서 약 1024 의 동적 포트를 처리합니다.
3) 동적 및/또는 전용 포트: 49 152 에서 65535 까지. 이론적으로 이러한 포트는 서비스에 할당해서는 안됩니다. 실제로 시스템은 일반적으로 1024 에서 동적 포트를 할당합니다. 단, SUN 의 RPC 포트는 32768 로 시작합니다.
0 은 일반적으로 운영 체제를 분석하는 데 사용됩니다. 이 방법이 효과적인 이유는 "0" 이 일부 시스템에서 유효하지 않기 때문입니다. 일반 닫힌 포트로 연결하려고 하면 다른 결과가 발생합니다. 일반적인 스캔: IP 주소 0.0.0.0 을 사용하여 ACK 비트를 설정하고 이더넷 레이어에서 브로드캐스트합니다.
1 tcpmux 누군가가 SGI Irix 기계를 찾고 있음을 보여줍니다. Irix 는 tcpmux 구현을 위한 주요 공급업체로 이 시스템에서는 기본적으로 켜집니다. Iris machine 에는 LP, 게스트, UUCP, NuUCP, Demos, Tutor, Diag, EzSetup, OutofBox, 4Dgifts 등 몇 가지 기본 비밀번호가 없는 계정이 포함되어 있습니다 많은 관리자가 설치 후 이러한 계정을 삭제하는 것을 잊었습니다. 그래서 해커는 인터넷에서 tcpmux 를 검색해서 이 계정을 사용한다.
7 Echo Fraggle 증폭기를 검색할 때 많은 사람들이 x.x.x.0 과 x.x.x.255 로 보낸 메시지를 볼 수 있습니다.
일반적인 DoS 공격은 echo-loop 입니다. 공격자는 한 시스템에서 다른 시스템으로 전송된 UDP 패킷을 위조하여 두 시스템이 가장 빠른 방식으로 해당 패킷에 응답합니다. (Chargen 참조)
또 다른 것은 word 포트에 설정된 TCP 연결을 두 번 클릭하는 것입니다. DNS 의 이 포트에 연결하여 가장 가까운 경로를 결정하는' 공감글로벌 파견' 이라는 제품이 있습니다.
Harvest/squid 캐시는 포트 3 130 에서 UDP echo 를 보냅니다. "캐시에 source_ping on 옵션이 설정되어 있으면 원래 호스트의 UDP echo 포트로 적중 응답을 보냅니다." 이렇게 하면 이러한 패킷이 많이 생성됩니다.
1 1 sysstat 시스템에서 실행 중인 모든 프로세스와 시작 이유를 나열하는 UNIX 서비스입니다. 이것은 침입자에게 많은 정보를 제공하고, 기계의 안전을 위협한다. 예를 들면 알려진 약점이나 계정을 폭로하는 것과 같다. 이는 UNIX 시스템에서 "PS" 명령의 결과와 유사합니다.
다시 한 번 말하지만 ICMP 에는 포트가 없습니다. ICMP 포트 1 1 보통 ICMP 유형 = 1 1 입니다.
19 chargen 문자만 보내는 서비스입니다. UDP 버전은 UDP 패킷을 받은 후 스팸 문자가 포함된 패킷에 응답합니다. TCP 가 연결되면 연결이 닫힐 때까지 가비지 문자가 포함된 데이터 스트림을 보냅니다. 해커는 IP 스푸핑을 이용하여 DoS 공격을 개시할 수 있다. 두 chargen 서버 간의 UDP 패킷을 위조합니다. 서버가 두 서버 간의 무제한 왕복 데이터 통신에 응답하려고 시도하므로 chargen 과 echo 로 인해 서버에 과부하가 발생할 수 있습니다. 마찬가지로 fraggle DoS 공격은 대상 주소의 이 포트에 위조 피해자 IP 가 있는 패킷을 브로드캐스트하며, 피해자는 이 데이터에 응답하기 위해 과부하됩니다.
2 1 FTP 의 가장 일반적인 공격자는' 익명' 을 여는 방법을 찾는 FTP 서버입니다. 이 서버에는 읽기 및 쓰기 디렉토리가 있습니다. 해커 또는 크래커는 이러한 서버를 노드로 사용하여 warez (독점 프로그램) 및 pr0n (검색 엔진에 의해 분류되지 않도록 의도적으로 잘못된 단어를 철자합니다.)
22 ssh PcAnywhere 는 ssh 를 찾기 위해 TCP 와 이 포트 사이에 연결을 설정할 수 있습니다. 이 서비스에는 많은 약점이 있다. 특정 모드로 구성된 경우 RSAREF 라이브러리를 사용하는 많은 버전에는 많은 취약점이 있습니다. (다른 포트에서 ssh 를 실행하는 것이 좋습니다.)
또한 ssh 키트에는 make-ssh-known-hosts 라는 프로그램이 포함되어 있습니다. 도메인 전체에서 ssh 호스트를 검색합니다. 너는 때때로 이 프로그램을 사용하는 사람이 무심코 스캔하기도 한다.
반대쪽 끝에서 포트 5632 에 연결된 UDP (TCP 아님) 는 pcAnywhere 를 검색하는 스캔이 있음을 의미합니다. 비트 스위칭 후 5632 (16 진수 0x 1600) 는 0x00 16 (10 진수 22) 입니다.
텔넷 침입자가 원격으로 UNIX 에 로그인하는 서비스를 검색하고 있습니다. 대부분의 경우 침입자는 이 포트를 스캔하여 시스템에서 실행 중인 운영 체제를 찾습니다. 또한 다른 기술을 사용하면 침입자가 비밀번호를 찾을 수 있습니다.
SMTP 공격자 (스팸메이커) 는 스팸을 전달하기 위해 SMTP 서버를 찾습니다. 침입자의 계정은 항상 폐쇄되어 있으며, 고대역폭 이메일 서버에 전화를 걸어 다른 주소로 간단한 정보를 보내야 합니다. SMTP 서버, 특히 sendmail 은 인터넷에 완전히 노출되어야 하고 메시지 라우팅도 복잡하기 때문에 시스템에 들어가는 가장 일반적인 방법 중 하나입니다 (노출+복잡 = 약점).
53 DNS 해커 또는 크래커는 영역 (TCP) 을 통해 DNS(UDP) 를 속이거나 다른 통신을 숨기려고 할 수 있습니다. 따라서 방화벽은 일반적으로 포트 53 을 필터링하거나 기록합니다.
일반적으로 포트 53 을 UDP 소스 포트로 간주합니다. 불안정한 방화벽은 일반적으로 이러한 통신을 허용하며 DNS 쿼리에 대한 응답이라고 생각합니다. 해커들은 종종 이 방법을 사용하여 방화벽을 관통한다.
67 과 68 의 Bootp/DHCP Bootp 및 DHCP UDP: 브로드캐스트 주소 255.255.255.255 로 전송되는 대량의 데이터는 DSL 및 케이블 모뎀의 방화벽을 통해 자주 볼 수 있습니다. 이들 시스템은 DHCP 서버에 주소 할당을 요청하고 있습니다. 해커들은 종종 그들을 입력하고, 주소를 할당하고, 자신을 지역 라우터로 삼아 대량의' 중개인' 공격을 개시한다. 클라이언트는 68 개 포트에 요청 구성 (BOOTP) 을 브로드캐스트하고 서버는 67 개 포트에 응답 요청 (bootpc) 을 브로드캐스트합니다. 이 응답은 클라이언트가 전송할 수 있는 IP 주소를 모르기 때문에 브로드캐스트를 사용합니다.
69 TFTP(UDP) 많은 서버가 BOOTP 와 함께 이 서비스를 제공하므로 시스템에서 시작 코드를 쉽게 다운로드할 수 있습니다. 그러나 일반적으로 잘못 구성되고 시스템의 모든 파일 (예: 암호 파일) 을 제공합니다. 시스템에 파일을 쓰는 데도 사용할 수 있습니다.
79 finger Hacker 는 사용자 정보를 얻고, 운영 체제를 쿼리하고, 알려진 버퍼 오버플로 오류를 감지하고, 자신의 시스템에서 다른 시스템으로의 손가락 스캔에 응답하는 데 사용됩니다.
98 linuxconf 이 프로그램은 Linux boxen 에 대한 간단한 관리를 제공합니다. 통합 HTTP 서버를 통해 포트 98 에서 웹 인터페이스 기반 서비스를 제공합니다. 많은 보안 문제를 발견했습니다. 일부 버전의 setuid root 는 LAN 을 신뢰하고 인터넷에서 액세스할 수 있는 파일을 /tmp 아래에 작성하며 LANG 환경 변수에는 버퍼 오버플로가 있습니다. 또한 통합 서버가 포함되어 있기 때문에 많은 일반적인 HTTP 취약점 (버퍼 오버플로우, 디렉토리 트래버스 등) 이 있을 수 있습니다. ).
109 POP2 는 POP3 으로 유명하지는 않지만 많은 서버가 이 두 가지 서비스를 모두 제공합니다 (이전 버전과의 호환성). 동일한 서버에서 POP3 의 취약점도 POP2 에 존재합니다.
1 10 POP3 클라이언트가 서버측 메일 서비스에 액세스하는 데 사용됩니다. POP3 서비스에는 많은 인정 된 약점이 있습니다. 사용자 이름 및 비밀번호 교환 버퍼 오버플로에 대한 약점이 최소 20 개 이상 있습니다 (즉, 해커가 실제로 로그인하기 전에 시스템에 들어갈 수 있음). 로그인에 성공한 후 다른 버퍼 오버플로 오류가 있습니다.
1 1 1 sunRPC 포트 매퍼 rpcbind Sun RPC 포트 매퍼 /RPCBIND. 포트 매퍼 액세스는 시스템을 스캔하여 허용되는 RPC 서비스를 확인하는 가장 빠른 단계입니다. 일반적인 RPC 서비스에는 RPC.mountd, NFS, RPC.statd, RPC.csmd, RPC.ttybd, AMD 등이 있습니다. 침입자는 허용된 RPC 서비스가 해당 서비스를 제공하는 특정 포트 테스트로 옮겨지는 취약점을 발견했습니다.
데몬, IDS 또는 스니퍼를 기록하면 침입자가 어떤 프로그램을 사용하여 액세스하고 있는지 알 수 있습니다.
1 13 Ident auth TCP 접속 사용자를 식별하기 위해 많은 시스템에서 실행되는 프로토콜입니다. 이 표준 서비스를 사용하면 해커가 사용할 수 있는 많은 기계에 대한 정보를 얻을 수 있습니다. 그러나 많은 서비스, 특히 FTP, POP, IMAP, SMTP 및 IRC 에 대한 레코더로 사용할 수 있습니다. 일반적으로 많은 고객이 방화벽을 통해 이러한 서비스에 액세스하는 경우 이 포트에 대한 많은 접속 요청을 볼 수 있습니다. 이 포트를 차단하면 클라이언트는 방화벽 반대편에 있는 e-메일 서버와의 연결 속도가 느려지는 것을 느낄 수 있습니다. 많은 방화벽은 TCP 연결이 차단되면 RST 를 다시 보내 느린 연결을 중지할 수 있도록 지원합니다.
1 19 NNTP 뉴스 뉴스 그룹 전송 프로토콜, USENET 통신 호스팅. 이 포트는 일반적으로 news://comp.security.firewalls/와 같은 주소에 연결할 때 사용됩니다. 이 포트의 연결 시도는 보통 사람들이 USENET 서버를 찾고 있다. 대부분의 ISP 는 고객만 뉴스 그룹 서버에 액세스할 수 있도록 합니다. 뉴스그룹 서버를 열면 누구나 제한된 뉴스그룹 서버에 게시/읽기, 액세스, 익명 게시 또는 스팸을 보낼 수 있습니다.
135 oc-servms RPC endmap Microsoft 는 이 포트에서 DCE RPC endmap 을 DCOM 서비스로 실행합니다. 이는 UNIX 1 1 1 포트의 기능과 유사합니다. DCOM 및/또는 RPC 의 서비스를 사용하여 시스템의 엔드포인트 매퍼에 해당 위치를 등록합니다. 원격 고객이 시스템에 연결되면 엔드포인트 매퍼를 쿼리하여 서비스 위치를 찾습니다. 마찬가지로, Hacker 는 시스템의 이 포트를 스캔하여 다음과 같은 내용을 찾습니다. Exchange 서버가 이 시스템에서 실행 중입니까? 어떤 버전입니까?
이 포트는 epdump 사용과 같은 쿼리 서비스뿐만 아니라 직접 공격에도 사용할 수 있습니다. 이 포트에 대한 DoS 공격이 있습니다.
137 NetBIOS 이름 서비스 nbtstat (UDP) 방화벽 관리자에게 가장 일반적인 정보입니다. 문장 뒤의 NetBIOS 부분을 자세히 읽어 주세요.
139 NetBIOS 파일 및 인쇄 공유는 이 포트를 통해 입력된 연결을 통해 NetBIOS/SMB 서비스를 얻으려고 시도합니다. 이 프로토콜은 Windows 파일 및 프린터 공유 및 삼바에 사용됩니다. 인터넷에서 자신의 하드 드라이브를 공유하는 것이 가장 흔한 문제일 수 있습니다.
많은 수의 포트가 1999 부터 시작하여 점차 줄어든다. 그것은 2000 년에 다시 반등했다. 일부 VBS(IE5 VisualBasic Scripting) 는 이 포트에 자신을 복사하여 이 포트에서 복제를 시도하기 시작했다.
143 IMAP 은 위 POP3 의 보안 문제와 같습니다. 많은 IMAP 서버에는 로그인 과정에서 들어오는 버퍼 오버플로우 취약점이 있습니다. Linux 웜 (admw0rm) 은 이 포트를 통해 전달되므로 이 포트에 대한 많은 스캔은 알 수 없는 감염된 사용자로부터 온 것임을 기억하십시오. 이러한 취약점은 RadHat 가 Linux 릴리스에서 IMAP 를 기본적으로 허용할 때 유행하고 있습니다. 모리스 웜 이후 처음으로 널리 퍼진 웜이다.
이 포트는 IMAP2 에도 사용되지만 널리 사용되지 않습니다.
일부 보고서에서는 포트 0 에서 143 에 대한 일부 공격이 스크립트에서 발생한 것으로 나타났습니다.
SNMP (UDP) 침입자가 자주 감지하는 16 1 포트. SNMP 를 사용하면 디바이스를 원격으로 관리할 수 있습니다. 모든 구성 및 운영 정보는 데이터베이스에 저장되며 SNMP 클라이언트를 통해 얻을 수 있습니다. 많은 관리자들이 인터넷에 노출되도록 잘못 구성했다. 해커는 기본 비밀번호' public' 과' private' 를 사용하여 시스템에 액세스하려고 시도합니다. 그들은 가능한 모든 조합을 시도할 것이다.
SNMP 패킷이 네트워크에 잘못 전달될 수 있습니다. 구성 오류로 인해 Windows 시스템에서는 일반적으로 SNMP 를 HP JetDirect 원격 관리 소프트웨어로 사용합니다. HP 개체 식별자는 SNMP 패킷을 수신합니다. Win98 의 새 버전은 SNMP 를 사용하여 도메인 이름을 확인합니다. 서브넷에서 이 패킷 cable modem, DSL) 을 보고 sysName 등을 조회할 수 있습니다.
162 SNMP 트랩은 구성 오류로 인해 발생할 수 있습니다.
177 xdmcp 많은 해커들이 이를 통해 X-Windows 콘솔에 액세스하며 6,000 개의 포트를 열어야 합니다.
5 13 rwho 는 케이블 모뎀 또는 DSL 을 사용하여 로그인한 서브넷의 UNIX 컴퓨터에서 브로드캐스팅될 수 있습니다. 이들은 해커들이 그들의 시스템에 접근하는 데 매우 흥미로운 정보를 제공했다.
553 CORBA IIOP (UDP) 케이블 모뎀이나 DSL VLAN 을 사용하면 이 포트의 방송을 볼 수 있습니다. CORBA 는 객체 지향 RPC (원격 프로시저 호출) 시스템입니다. 해커는 이 정보를 이용하여 시스템에 들어갈 것이다.
600 PC 서버 뒷문, 포트 1524 를 확인하십시오.
스크립트를 하는 일부 어린이들은 ingreslock 과 PC 서버 파일을 수정하여 시스템을 완전히 깨뜨렸다고 생각합니다. 애륜 J 로젠탈.
635 mountd Linux 용 Mountd Bug. 이것은 사람들이 스캔하는 인기있는 버그입니다. 이 포트의 스캔은 대부분 UDP 를 기반으로 하지만 TCP 기반 mountd 가 증가했습니다 (mountd 는 두 포트에서 동시에 실행됨). Mountd 는 모든 포트 (어느 포트에서 1 1 1 portmap 쿼리를 해야 함) 에서 실행할 수 있지만 Linux 는 기본적으로 635 포트로 설정되어 있습니다
1024 많은 사람들이 이 포트가 무엇을 하는지 물어본다. 이것은 동적 포트의 시작입니다. 많은 프로그램은 네트워크에 연결하는 데 사용할 포트에 신경 쓰지 않습니다. 그들은 운영 체제에' 다음 유휴 포트' 를 할당하라고 요청했다. 이를 기반으로 할당은 포트 1024 로 시작합니다. 즉, 시스템에 동적 포트 할당을 요청하는 첫 번째 프로그램에는 1024 포트가 할당됩니다. 이를 확인하기 위해 시스템을 재부팅하고 텔넷을 연 다음 창을 열어' natstat -a' 를 실행하면 텔넷에 포트 1024 가 할당되어 있음을 확인할 수 있습니다. 요청한 프로그램이 많을수록 동적 포트가 많아집니다. 운영 체제에서 할당한 포트가 점차 커질 것입니다. 마찬가지로 웹 페이지를 탐색할 때 "netstat" 을 사용하여 볼 수 있습니다. 각 웹 페이지에는 새 포트가 필요합니다.
-응? 버전 0.4. 1, 2000 년 6 월 20 일
/pubs/firewall-seen.html
판권 소유 1998-2000 로버트 그레이엄 (mailto: firewall-seen1@ Robert graham.com).
저작권 이 문서는 복사만 가능합니다 (전체 또는
일부) 는 비상업적 목적으로 사용됩니다. 모든 복제품은
본 저작권 고지가 포함되어 있으며, 다음과 같은 경우를 제외하고는 수정할 수 없습니다
작가의 허가.
1025 1024 를 참조하십시오.
1026 1024 를 참조하십시오.
1080 양말
이 프로토콜은 방화벽을 통해 방화벽 뒤의 많은 사람들이 하나의 IP 주소를 통해 인터넷에 액세스할 수 있도록 합니다. 이론적으로, 그것은 내부 통신만 인터넷에 도착할 수 있도록 허용해야 한다. 그러나 구성 오류로 방화벽 외부의 해커/해독자 공격이 방화벽을 통과할 수 있습니다. 아니면 아예 인터넷에서 컴퓨터에 답장을 해서 그들이 당신에 대한 직접적인 공격을 가릴 수도 있다. (윌리엄 셰익스피어, 햄릿, 컴퓨터명언) WinGate 는 일반적인 Windows 개인 방화벽으로, 이러한 잘못된 구성이 자주 발생합니다. IRC 대화방에 가입하면 이런 상황이 자주 보입니다.
1 1 14 SQL
시스템 자체는 이 포트를 거의 스캔하지 않지만 일반적으로 sscan 스크립트의 일부입니다.
1243 하위 7 트로이 말 (TCP)
섹션을 참조하십시오.
1524 ingreslock 백도어
많은 공격 스크립트는 이 포트에 백도어 Sh*ll 을 설치합니다 (특히 Sun 시스템의 Sendmail 및 RPC 서비스 취약점에 대한 스크립트 (예: statd, TTDBSER 및 cmsd). 방금 방화벽을 설치했는데 이 포트에 대한 연결 시도가 보이면 위와 같은 원인일 수 있습니다. 텔넷을 컴퓨터의 이 포트로 시도해 보면 Sh*ll 이 제공될지 확인할 수 있습니다. 600/PC 서버에 연결하는 데도 이 문제가 발생합니다.
2049 년 NFS
NFS 프로그램은 종종이 포트에서 실행됩니다. 일반적으로 포트 매퍼를 액세스하여 서비스가 실행 중인 포트를 찾아야 하지만 대부분의 경우 설치 후 NFS 가 실패합니다. 따라서 Acker/Cracker 는 포트 매퍼를 닫고 포트를 직접 테스트할 수 있습니다.
3 128 오징어
Squid HTTP 프록시 서버의 기본 포트입니다. 공격자는 이 포트를 스캔하여 프록시 서버를 검색하고 익명으로 인터넷에 액세스합니다. 다른 프록시 서버를 검색하기 위한 포트도 표시됩니다. 8000/800 1/8080/8888. 이 포트를 스캔하는 또 다른 이유는 사용자가 대화방에 들어가고 있기 때문입니다. 다른 사용자 (또는 서버 자체) 도 이 포트를 검사하여 사용자의 시스템이 프록시를 지원하는지 확인합니다. 섹션 5.3 을 참조하십시오.
5632 명
해당 위치에 따라 해당 포트에 대한 여러 검색이 표시됩니다. 사용자가 pcAnywere 를 열면 LAN c 클래스를 자동으로 검색하여 가능한 에이전트를 찾습니다. 해커/해커도 이 서비스를 여는 시스템을 찾기 때문에 이 스캔의 소스 주소를 확인해야 합니다. PcAnywere 를 검색하는 일부 스캔에는 일반적으로 포트 22 의 UDP 패킷이 포함됩니다. 전화 접속 스캔을 참조하십시오.
6776 아들 7 신기
이 포트는 Sub-7 주 포트와 분리되어 데이터 전송에 사용됩니다. 예를 들어, 컨트롤러가 전화선을 통해 다른 시스템을 제어하고 제어되는 기계가 끊어질 때 이러한 상황이 나타납니다. 따라서 다른 사람이 이 IP 를 사용하여 전화를 걸 때 이 포트에서 지속적인 연결 시도를 볼 수 있습니다. (번역자: 방화벽이 이 포트의 연결 시도를 보고하는 것을 볼 때, 당신이 이미 Sub-7 에 의해 통제되었다는 뜻은 아닙니다. ) 을 참조하십시오
6970 리얼 오디오
RealAudio 클라이언트는 서버의 UDP 포트에서 6970-7 170 의 오디오 데이터 스트림을 수신합니다. 이는 TCP7070 포트의 출력 제어 연결에 의해 설정됩니다.
13223 마법사 의식
PowWow 는 부족 목소리의 채팅 프로그램이다. 이 포트에서 개인 채팅 연결을 열 수 있습니다. 이 과정은 연결을 설정하는 데 있어서 매우 무례하다. 이 TCP 포트에 "주둔" 하여 응답을 기다리고 있습니다. 이로 인해 하트비트 간격과 유사한 연결 시도가 발생합니다. 전화 접속 사용자라면 다른 채팅에서 IP 주소를 "상속" 하면 이런 상황이 발생할 수 있습니다. 많은 다른 사람들이 이 포트를 테스트하고 있는 것 같습니다. 이 프로토콜은 접속 시도의 처음 4 바이트로' OPNG' 를 사용합니다.
17027 도체
이것은 나가는 연결입니다. 사내 누군가가' adbot' 에 도움이 되는 * * * 소프트웨어를 설치했기 때문이다. 소프트웨어 전시 광고 서비스를 * * * 즐길 수 있도록 도와줍니다. 이 서비스를 이용하는 인기 소프트웨어 중 하나는 Pkware 입니다. 어떤 사람들은 이러한 아웃바운드 연결을 차단하려고 해도 문제가 없지만 IP 주소 자체를 차단하면 adbots 가 초당 여러 번 계속 연결을 시도하므로 연결 과부하가 발생할 수 있습니다.
시스템은 계속해서 DNS name-ads.conducent.com, 즉 IP 주소가 216.33.26438+00.40 인 DNS name-ads.conducent.com 을 확인하려고 시도합니다. 2 16.33. 199.77; 2 16.33. 199.80; 216.33.199.81; 216.33.210.41. (번역자: 네이터스가 사용한 레이디에게도 이런 현상이 있는지 모르겠네요.)
27374 하위 7 트로이 (TCP)
섹션을 참조하십시오.
30 100 네트워크 세계 트로이 (TCP)
일반적으로 이 포트는 네트워크 트로이를 찾기 위해 스캔됩니다.
3 1337 오리피스 판 "엘리트"
Hacker 에서 3 1337 은' 엘리트' /ei 'li: t/ (프랑스어, 백본, 에센스) 로 읽혀집니다. 즉 3=E, 1=L, 7=T) 입니다. 이렇게 많은 뒷문 프로그램이 이 포트에서 실행됩니다. 그중에서 가장 유명한 것은 등구멍이다. 예전에는 인터넷에서 가장 흔한 스캔이었습니다. 현재 그것의 인기는 점점 낮아지고 있지만, 다른 트로이 프로그램은 갈수록 인기를 끌고 있다.
3 1789 블랙 네일
이 포트의 UDP 통신은 일반적으로' 해커 공격' 원격 액세스 트로이 (RAT) 로 인해 발생합니다. 이 트로이에는 내장 3 1790 포트 스캐너가 포함되어 있으므로 3 1789 포트에서 3 17890 포트로의 연결은 이 침입이 발생했음을 의미합니다. 포트 3 1789 는 제어 연결이고 포트 3 17890 은 파일 전송 연결입니다.
32770~32900 RPC 서비스
Sun Solaris 의 RPC 서비스는 이 범위 내에 있습니다. 자세히 말하자면, 이전 버전의 Solaris(2. 5. 1 이전) 는 포트 매퍼를 이 범위 내에 배치했으며, 로우엔드 포트가 방화벽에 의해 차단되어도 해커/크래커가 이 포트에 액세스할 수 있었습니다. 범위 내 포트를 스캔하여 공격받을 수 있는 포트 매퍼 또는 알려진 RPC 서비스를 찾습니다.
33434~33600 traceroute
이 포트 범위 내에서 (이 범위 내에서만) UDP 패킷을 볼 경우 traceroute 때문일 수 있습니다. Traceroute 섹션을 참조하십시오.
4 1508 접종제
이전 버전의 Inoculan 은 서브넷에서 많은 UDP 통신을 생성하여 서로를 식별했습니다. 참조
설명: 원격 로그인, 침입자가 원격으로 UNIX 에 로그인하는 서비스를 검색하고 있습니다. 대부분의 경우 이 포트는 기계가 실행 중인 운영 체제를 찾기 위해 스캔됩니다. 그리고 다른 기술을 이용하면 침입자도 비밀번호를 찾을 수 있다. 트로이 미니텔넷 서버가 이 포트를 열었다.
포트: 25
서비스: SMTP
설명: SMTP 서버가 메일을 보내기 위해 연 포트입니다. 침입자는 스팸을 보낼 SMTP 서버를 찾고 있다. 침입자의 계정이 닫히고 고대역폭 이메일 서버에 연결하여 간단한 정보를 다른 주소로 보내야 합니다. 트로이 목마 항원, e-메일 암호 송신기, Haebu Coceda, Shtrilitz Stealth, WinPC, WinSpy 가 모두 이 포트를 열었다.
포트: 3 1
서비스: 메시지 인증
설명: 트로이 마스터랜드와 해커랜드는 이 포트를 개방한다.
포트: 42
서비스: WINS 복제
설명: WINS 복사
포트: 53
서비스: 도메인 이름 서버 (DNS)
설명: DNS 서버가 열린 포트의 경우 침입자는 TCP 를 전달하거나 DNS(UDP) 를 속이거나 다른 통신을 숨기려고 할 수 있습니다. 따라서 방화벽은 일반적으로 이 포트를 필터링하거나 기록합니다.
항구: 67
서비스: 부트 프로토콜 서버
설명: 브로드캐스트 주소 255.255.255.255 로 전송되는 대량의 데이터는 DSL 및 케이블 모뎀의 방화벽을 통해 볼 수 있습니다. 이 시스템들은 DHCP 서버로부터 주소를 요청하고 있다. 해커는 종종 그들을 입력, 주소를 할당, 지역 라우터로 자신을 사용 하 여 브로커의 많은 공격을 시작 합니다. 클라이언트는 요청 구성을 포트 68 로 브로드캐스트하고 서버는 응답 요청을 포트 67 로 브로드캐스트합니다. 이 응답은 클라이언트가 전송할 수 있는 IP 주소를 모르기 때문에 브로드캐스트를 사용합니다.
항구: 69
서비스: 번거로운 파일 전송
설명: 많은 서버가 BOOTP 와 함께 이 서비스를 제공하며 시스템에서 시작 코드를 쉽게 다운로드할 수 있습니다. 그러나 구성 오류로 인해 침입자가 시스템에서 파일을 훔칠 수 있는 경우가 많습니다. 시스템 쓰기 파일에도 사용할 수 있습니다.
포트: 79
서비스: 손가락 서버
설명: 침입자는 사용자 정보를 얻고, 운영 체제를 쿼리하고, 알려진 버퍼 오버플로 오류를 감지하고, 자신의 시스템에서 다른 시스템으로의 손가락 스캔에 응답하는 데 사용됩니다.
포트: 80
서비스: HTTP
설명: 웹 브라우징에 사용됩니다. 트로이 집행자 번호가 이 항구를 열었다.
포트: 99
서비스: 메타 구문 릴레이
설명: 백도어 프로그램 ncx99 가 이 포트를 엽니다.
포트: 102
서비스: MTA (message transfer agent)-TCP/IP 의 x.400.
설명: 메시지 전달 에이전트입니다.
포트: 109
서비스: 우체국 계약-버전 3
설명: POP3 서버는 메시지를 받기 위해 이 포트를 열고 클라이언트는 서버측 메일 서비스에 액세스합니다. POP3 서비스에는 많은 인정 된 약점이 있습니다. 사용자 이름 및 비밀번호 교환 버퍼 오버플로에 대해 최소 20 개의 약점이 있습니다. 즉, 침입자가 실제로 로그인하기 전에 시스템에 들어갈 수 있습니다. 로그인에 성공한 후 다른 버퍼 오버플로 오류가 있습니다.
포트: 1 10
서비스: SUN 의 RPC 서비스에 대한 모든 포트입니다.
설명: 일반적인 RPC 서비스에는 rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd 등이 포함됩니다.
포트: 1 13
서비스: 인증 서비스
설명: TCP 접속 사용자를 식별하기 위해 많은 컴퓨터에서 실행되는 프로토콜입니다. 이 표준 서비스를 사용하면 많은 컴퓨터에 대한 정보를 얻을 수 있습니다. 그러나 많은 서비스, 특히 FTP, POP, IMAP, SMTP 및 IRC 에 대한 레코더로 사용할 수 있습니다. 일반적으로 많은 고객이 방화벽을 통해 이러한 서비스에 액세스하는 경우 이 포트에 대한 많은 접속 요청을 볼 수 있습니다. 이 포트를 차단하면 클라이언트는 방화벽 반대편에 있는 e-메일 서버와의 연결 속도가 느려지는 것을 느낄 수 있습니다. 많은 방화벽이 TCP 연결이 차단되는 동안 RST 로 다시 전송을 지원합니다. 이렇게 하면 느린 연결이 중지됩니다.
포트: 1 19
서비스: 온라인 뉴스 전송 프로토콜
설명: 뉴스 그룹 전송 프로토콜로, USENET 통신을 호스팅합니다. 이 포트에 대한 연결은 보통 사람들이 USENET 서버를 찾을 때이다. 대부분의 ISP 는 고객만 뉴스 그룹 서버에 액세스할 수 있도록 합니다. 뉴스그룹 서버를 열면 누구나 제한된 뉴스그룹 서버에 게시/읽기, 액세스, 익명 게시 또는 스팸을 보낼 수 있습니다.
포트: 135
서비스: 위치 지정 서비스
설명: Microsoft 는 DCOM 서비스로 이 포트에서 DCE RPC 끝점 매퍼를 실행합니다. 이는 UNIX 1 1 1 포트의 기능과 유사합니다. DCOM 및 RPC 의 서비스를 사용하여 컴퓨터의 엔드포인트 매퍼에 해당 위치를 등록합니다. 원격 고객이 컴퓨터에 연결되면 엔드포인트 매퍼를 찾아 서비스 위치를 찾습니다. 해커가 컴퓨터의 이 포트를 스캔하여 이 컴퓨터에서 실행 중인 익스체인지 서버를 찾습니까? 어떤 버전입니까? 이 포트에 대한 DOS 공격도 있습니다.
포트: 137, 138, 139
서비스: NETBIOS 이름 서비스
참고: 여기서 137 과 138 은 UDP 포트이며 인터넷 이웃을 통해 파일을 전송할 때 사용됩니다. 및 포트 139: 이 포트를 통해 들어오는 연결은 NetBIOS/SMB 서비스를 얻으려고 시도합니다. 이 프로토콜은 windows 파일 및 프린터 공유와 삼바에 사용됩니다. WINS Regisrtation 도 이 기능을 사용합니다.
포트: 143
서비스: 임시 메일 액세스 프로토콜 v2.
설명: POP3 의 보안 문제와 마찬가지로 많은 IMAP 서버에는 버퍼 오버플로우 취약점이 있습니다. LINUX 웜 (admv0rm) 은 이 포트를 통해 전달되므로 이 포트에 대한 많은 스캔은 알 수 없는 감염된 사용자로부터 온 것임을 기억하십시오. 이러한 취약점은 REDHAT 가 LINUX 릴리스에서 IMAP 를 기본적으로 허용할 때 유행하고 있습니다. 이 포트는 IMAP2 에도 사용되지만 널리 사용되지 않습니다.
포트: 16 1
서비스: SNMP
설명: SNMP 를 사용하면 디바이스를 원격으로 관리할 수 있습니다. 모든 구성 및 운영 정보는 데이터베이스에 저장되며 SNMP 를 통해 얻을 수 있습니다. 많은 관리자의 잘못된 구성은 다음과 같습니다