在Internet上,各主机间通过TCP/TP协议发送和接收数据报,各个数据报根据其目的主机的ip地址来进行互联网络中的路由选择。可见,把数据报顺利的传送到目的主机是没有问题的。问题出在哪里呢?我们知道大多数操作系统都支持多程序(进程)同时运行,那么目的主机应该把接收到的数据报传送给众多同时运行的进程中的哪一个呢?显然这个问题有待解决,端口机制便由此被引入进来。
本地操作系统会给那些有需求的进程分配协议端口(protocal port,即我们常说的端口),每个协议端口由一个正整数标识,如:80,139,445,等等。当目的主机接收到数据报后,将根据报文首部的目的端口号,把数据发送到相应端口,而与此端口相对应的那个进程将会领取数据并等待下一组数据的到来。说到这里,端口的概念似乎仍然抽象,那么继续跟我来,别走开。
端口其实就是队,操作系统为各个进程分配了不同的队,数据报按照目的端口被推入相应的队中,等待被进程取用,在极特殊的情况下,这个队也是有可能溢出的,不过操作系统允许各进程指定和调整自己的队的大小。
不光接受数据报的进程需要开启它自己的端口,发送数据报的进程也需要开启端口,这样,数据报中将会标识有源端口,以便接受方能顺利的回传数据报到这个端口。
端口的分类
在Internet上,按照协议类型分类,端口被分为TCP端口和UDP端口两类,虽然他们都用正整数标识,但这并不会引起歧义,比如TCP的80端口和UDP的80端口,因为数据报在标明端口的同时,还将标明端口的类型。
从端口的分配来看,端口被分为固定端口和动态端口两大类(一些教程还将极少被用到的高端口划分为第三类:私有端口):
固定端口(0-1023):
使用集中式管理机制,即服从一个管理机构对端口的指派,这个机构负责发布这些指派。由于这些端口紧绑于一些服务,所以我们会经常扫描这些端口来判断对方是否开启了这些服务,如TCP的21(FTP),80(http),139(netbios),UDP的7(echo),69(tftp)等等一些大家熟知的端口;
动态端口(1024-49151):
这些端口并不被固定的捆绑于某一服务,操作系统将这些端口动态的分配给各个进程,同一进程两次分配有可能分配到不同的端口。不过一些应用程序并不愿意使用操作系统分配的动态端口,他们有其自己的‘商标性’端口,如oicq客户端的4000端口,木马冰河的7626端口等都是固定而出名的。
端口在入侵中的作用
有人曾经把服务器比作房子,而把端口比作通向不同房间(服务)的门,如果不考虑细节的话,这是一个不错的比喻。入侵者要占领这间房子,势必要破门而入(物理入侵另说),那么对于入侵者来说,了解房子开了几扇门,都是什么样的门,门后面有什么东西就显得至关重要。
入侵者通常会用扫描器对目标主机的端口进行扫描,以确定哪些端口是开放的,从开放的端口,入侵者可以知道目标主机大致提供了哪些服务,进而猜测可能存在的漏洞,因此对端口的扫描可以帮助我们更好的了解目标主机,而对于管理员,扫描本机的开放端口也是做好安全防范的第一步。
常见端口的介绍
由于本人知识有限,在这里只介绍一些浅显的内容。
1)21 ftp
此端口开放表示服务器提供了FTP服务,入侵者通常会扫描此端口并判断是否允许匿名登陆,如果能找到可写目录,还可以上传一些黑客程序做近一步入侵。要想关闭此端口,需要关闭FTP服务。
2)23 Telnet
此端口开放表示服务器提供了远程登陆服务,如果你有管理员的用户名和密码,可以通过这个服务来完全控制主机(不过要先搞定NTLM身份认证),获得一个命令行下的shell。许多入侵者喜欢开启这个服务作为后门。要想关闭此端口,需要关闭Telnet服务。
3)25 smtp
此端口开放表示服务器提供了SMTP服务,一些不支持身份验证的服务器允许入侵者发送邮件到任何地点,SMTP服务器(尤其是sendmail)也是进入系统的最常用方法之一。要想关闭此端口,需要关闭SMTP服务。
4)69 TFTP(UDP)
此端口开放表示服务器提供了TFTP服务,它允许从服务器下载文件,也可以写入文件,如果管理员错误配置,入侵者甚至可以下载密码文件。许多入侵者通过在自己机器运行此服务来传文件到目标机器,从而实现文件的传输。要想关闭此端口,需要关闭TFTP服务。
5)79 finger
用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误, 回应从自己机器到其它机器finger扫描。
6)80 http
此端口开放表示服务器提供了HTTP服务,可以让访问者浏览其网页等,大部分针对IIS服务器的溢出攻击都是通过这个端口的,可以说是入侵者最常攻击的一个端口了。要想关闭此端口,需要关闭HTTP服务。
7)110 POP3
用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统,成功登陆后还有其它缓冲区溢出错误。
(本系列教程不定期更新,欲获得最新版本,请登陆官方网站:菜菜鸟社区 http://ccbirds.yeah.net)
8)TCP的139和445
许多人都很关心这两个端口,那我就来详细的介绍一下吧:
首先我们来了解一些基础知识:
1 SMB:(Server Message Block) Windows协议族,用于文件打印共享的服务;
2 NBT:(NETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口实现基于TCP/IP协议的NETBIOS网络互联。
3 在WindowsNT中SMB基于NBT实现,即使用139(TCP)端口;而在Windows2000中,SMB除了基于NBT实现,还可以直接通过445端口实现。
有了这些基础知识,我们就可以进一步来讨论访问网络共享对端口的选择了:
对于win2000客户端(发起端)来说:
1 如果在允许NBT的情况下连接服务器时,客户端会同时尝试访问139和445端口,如果445端口有响应,那么就发送RST包给139端口断开连接,用455端口进行会话,当445端口无响应时,才使用139端口,如果两个端口都没有响应,则会话失败;
2 如果在禁止NBT的情况下连接服务器时,那么客户端只会尝试访问445端口,如果445端口无响应,那么会话失败。
对于win2000服务器端来说:
1 如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放(LISTENING);
2 如果禁止NBT,那么只有445端口开放。
我们建立的ipc\$会话对端口的选择同样遵守以上原则。显而易见,如果远程服务器没有监听139或445端口,ipc\$会话是无法建立的。那么如何关闭2000上这两个端口呢?
139端口可以通过禁止NBT来屏蔽
本地连接-TCP/IT属性-高级-WINS-选‘禁用TCP/IT上的NETBIOS’一项
445端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWord
value: 0
修改完后重启机器
9)3389 Terminal Services
此端口开放表示服务器提供了终端服务,如果你获得了管理员的用户名和密码,那么你可以通过这个服务在图形界面下完全控制主机,这的确是一件令人向往的事情,但如果你得不到密码也找不到输入法漏洞,你会感到束手无策。要想关闭此端口,需要关闭终端服务。
端口的相关工具
1 netstat -an
的确,这并不是一个工具,但他是查看自己所开放端口的最方便方法,在cmd中输入这个命令就可以了。如下:
C:\>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1027 *:*
UDP 127.0.0.1:1029 *:*
UDP 127.0.0.1:1030 *:*
这是我没上网的时候机器所开的端口,两个135和445是固定端口,其余几个都是动态端口。
2 fport.exe和mport.exe
这也是两个命令行下查看本地机器开放端口的小程序,其实与netstat -an这个命令大同小异,只不过它能够显示打开端口的进程,信息更多一些而已,如果你怀疑自己的奇怪端口可能是木马,那就用他们查查吧。
3 activeport.exe(也称aports.exe)
还是用来查看本地机器开放端口的东东,除了具有上面两个程序的全部功能外,他还有两个更吸引人之处:图形界面以及可以关闭端口。这对菜鸟来说是个绝对好用的东西,推荐使用喔。
4 superscan3.0
它的大名你不会没听说过吧,纯端口扫描类软件中的NO.1,速度快而且可以指定扫描的端口,不多说了,绝对必备工具。
保护好自己的端口
刚接触网络的朋友一般都对自己的端口很敏感,总怕自己的电脑开放了过多端口,更怕其中就有后门程序的端口,但由于对端口不是很熟悉,所以也没有解决办法,上起网来提心吊胆。其实保护自己的端口并不是那么难,只要做好下面几点就行了:
1 查看:经常用命令或软件查看本地所开放的端口,看是否有可疑端口;
2 判断:如果开放端口中有你不熟悉的,应该马上查找端口大全或木马常见端口等资料(网上多的很),看看里面对你那个可疑端口的作用描述,或者通过软件查看开启此端口的进程来进行判断;
3 关闭:如果真是木马端口或者资料中没有这个端口的描述,那么应该关闭此端口,你可以用防火墙来屏蔽此端口,也可以用本地连接-TCP/IP-高级-选项-TCP/IP筛选,启用筛选机制来筛选端口;
注意:判断时候要慎重,因为一些动态分配的端口也容易引起你多余的怀疑,这类端口一般比较低,且连续。还有,一些狡猾的后门软件,他们会借用80等一些常见端口来进行通信(穿透了防火墙),令人防不胜防,因此不轻易运行陌生程序才是关键。
如何应对他人的攻击性言行?
1. 当别人用不礼貌的言语攻击你时,可以使用反问法来回应。例如:“你为什么这么说?是不是有什么误解?”或者“你这样说是出于无知,还是故意要伤害人?”这样的回应可以让对方反思自己的言行。2. 另一种方法是坦然接受这种侮辱,并用幽默来化解尴尬。你可以说:“哦,谢谢你的‘夸奖’,我尽量做到...
如果别人无缘无故故意打你,你会怎么办?
1. 寻求帮助:如果你正在被打击,请立即寻求帮助。你可以寻求教师、家长、警察或者校园保安的帮助。一旦人们知道你正遭受欺凌,他们通常就能够提供帮助和支持。2. 保持冷静:如果你遇到了暴力威胁或攻击,请尽量冷静。尽可能回避对方,并寻求帮助。不要试图与对方对抗或挑衅。3. 找到自己的角色:有时候,...
当别人用侮辱性的言语攻击你时,怎么做最好?
1. 当别人用侮辱性的言语攻击你时,保持冷静和幽默感是至关重要的。可以用机智的回应来化解尴尬,同时避免进一步的争执。2. 面对这样的情况,一种可能的回答是:“哦,看来你对我的评价挺高嘛,我得承认,你的描述能力确实一流!”这种回答既展现了你的幽默感,也避免了直接冲突。3. 另一种回答方...
怎样回应别人对你的人身攻击
1. 当对方用不尊重的言语攻击时,你可以冷静回应:“贬低他人并不能提升自己,我们都不应该陷入这样的恶性循环。”2. 如果你被称呼为“sb”,可以坚定地反驳:“我不接受这种侮辱性的称呼。我们应当相互尊重,有理有据地交流。”3. 面对无端的指责,你可以理智地解释:“体重、穿着、听歌习惯并不能...
当别人用语言攻击你的时候怎么办
当别人用语言攻击你的时候怎么办一、保持冷静并理性思考当遭遇到语言攻击时,我们的第一反应可能是生气、恼怒甚至是愤怒。然而,在这个时刻,我们必须做到保持冷静并理性思考。理智地分辨对方是否有理,是否有必要回击。在用言语作出反应之前,我们可以先花几秒钟时间呼吸深呼吸,以缓解情绪。二、不要掉进...
面对别人的恶意时应该如何处理呢?
1.保持冷静和理智:面对恶意攻击时,保持冷静是非常重要的。不要让情绪冲动或气愤驱使你的行动。试着保持理性思考,以便更好地处理局面。2.忽略和不予理会:有时候,恶意的目的是引起你的注意或激怒你。在这种情况下,最好的策略可能是选择忽略,并不予理会。不要让别人的恶意影响到你的情绪和生活。3...
如何高情商地回击别人的言语攻击?
1. 当别人进行言语攻击时,高情商的应对策略包括:1. 用自信和幽默的态度反击:以一种积极自信的方式回应攻击,同时用幽默化解紧张气氛。例如,你可以说:“哦,你的评论真有创意,但我还是觉得自己的想法更棒。”2. 选择忽略:言语攻击者通常希望引起你的注意和反应。如果你选择忽略他们,他们可能会...
如何对话,面对别人攻击的话应该怎么回应
1. 当别人用攻击性语言对待你时,保持沉默可能是最有力的回应。这表明你已经超出了他们的攻击范围,并且在情感上不受他们的影响。记住,他们的目标是激起你的情绪,保持冷静就是最大的胜利。2. 面对人身攻击,先深呼吸,保持镇定,然后用幽默化解对方的攻击。例如,你可以说:“我真心希望我能像你说...
面对别人的恶意中伤怎么办呢?
一、保持冷静 当听到别人的恶意中伤时,我们的第一反应可能是愤怒、难过或者想要立刻反击。然而,这样往往会让情况变得更糟。所以,首先要做的是保持冷静。深呼吸几次,让自己的情绪稳定下来,避免在冲动之下做出不理智的行为。二、不要回应攻击 有时候,我们会忍不住想要回应别人的恶意中伤,为自己辩护...
当别人侮辱我们的时候,如何应对?
1. 当别人以不礼貌的言语攻击你,称你为狗时,你可以幽默地回应:“狗叫谁?”这样的回答既展现了你的风度,也让对方感到尴尬。2. 如果对方是在叫你的名字,你可以自嘲地说:“乖狗狗,叫得不错,我就是你的主人。”这样的回答不仅化解了尴尬,还让对话变得更加轻松。3. 需要注意的是,回应侮辱...
