17027 Conducent
這是一個外向連接。這是由于公司內部有人安裝了帶有Conducent "adbot" 的共享軟件。Conducent "adbot"是為共享軟件顯示廣告服務的。使用這種服務的一種流行的軟件是Pkware。有人試驗:阻斷這一外向連接不會有任何問題,但是封掉IP地址本身將會導致adbots持續(xù)在每秒內試圖連接多次而導致連接過載:
機器會不斷試圖解析DNS名─ads.conducent.com,即IP地址
216.33.210.40 ;
216.33.199.77 ;
216.33.199.80 ;
216.33.199.81 ;
216.33.210.41 。
。ㄗg者:不知NetAnts使用的Radiate是否也有這種現象)
27374 Sub-7木馬(TCP)
參見Subseven部分。
30100 NetSphere木馬(TCP)
通常這一端口的掃描是為了尋找中了NetSphere木馬。
31337 Back Orifice “elite”
Hacker中31337讀做“elite”/ei’li:t/(譯者:法語,譯為中堅力量,精華。即 3=E, 1=L, 7=T)。因此許多后門程序運行于這一端口。其中最有名的是Back Orifice。曾經一段時間內這是Internet上最常見的掃描。現在它的流行越來越少,其它的 木馬程序越來越流行。
31789 Hack-a-tack
這一端口的UDP通訊通常是由于"Hack-a-tack"遠程訪問木馬(RAT, Remote Access Trojan)。這種木馬包含內置的31790端口掃描器,因此任何31789端口到317890端口的連 接意味著已經有這種入侵。(31789端口是控制連接,317890端口是文件傳輸連接)
32770~32900 RPC服務
Sun Solaris的RPC服務在這一范圍內。詳細的說:早期版本的Solaris(2.5.1之前)將 portmapper置于這一范圍內,即使低端口被防火墻封閉仍然允許Hacker/cracker訪問這一端口。 掃描這一范圍內的端口不是為了尋找portmapper,就是為了尋找可被攻擊的已知的RPC服務。
33434~33600 traceroute
如果你看到這一端口范圍內的UDP數據包(且只在此范圍之內)則可能是由于traceroute。參見traceroute部分。
41508 Inoculan
早期版本的Inoculan會在子網內產生大量的UDP通訊用于識別彼此。參見 http//www.circlemud.org/~jelson/software/udpsend.html
[urlhttp://www.ccd.bnl.gov/nss/tips/inoculan/index.html[/url
端口1~1024是保留端口,所以它們幾乎不會是源端口。但有一些例外,例如來自NAT機器的連接。 ?匆娋o接著1024的端口,它們是系統(tǒng)分配給那些并不在乎使用哪個端口連接的應用程序的“動態(tài)端口”。 Server Client 服務描述:
1-5/tcp 動態(tài) FTP 1-5端口意味著sscan腳本
20/tcp 動態(tài) FTP FTP服務器傳送文件的端口
53 動態(tài) FTP DNS從這個端口發(fā)送UDP回應。你也可能看見源/目標端口的TCP連接。
123 動態(tài) S/NTP 簡單網絡時間協議(S/NTP)服務器運行的端口。它們也會發(fā)送到這個端口的廣播。
27910~27961/udp 動態(tài) Quake Quake或Quake引擎驅動的游戲在這一端口運行其服務器。因此來自這一端口范圍的UDP包或發(fā)送至這一端口范圍的UDP包通常是游戲。
61000以上 動態(tài) FTP 61000以上的端口可能來自Linux NAT服務器(IP Masquerade)
希望與更多計算機等級考試的網友交流,請進入計算機等級考試論壇
更多信息請訪問:考試吧計算機等級考試欄目
北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內蒙古 |