¿Qué puertos son susceptibles de recibir visitas de mérito?

Servicio: Reservado

Descripción: Normalmente se utiliza para analizar sistemas operativos. Este método funciona porque en algunos sistemas "0" es un puerto no válido y obtendrá resultados diferentes cuando intente conectarse utilizando el puerto cerrado habitual. Un escaneo típico utiliza la dirección IP 0.0.0.0, establece el bit ACK y transmite en la capa Ethernet.

Puerto: 1

Servicio: tcpmux

Descripción: Esto indica que alguien está buscando una máquina SGI Irix. Irix es el principal proveedor de implementaciones de tcpmux y dichos sistemas tienen tcpmux habilitado de forma predeterminada. Las máquinas Irix se lanzan con múltiples cuentas sin contraseña de forma predeterminada, como IP, GUEST UUCP, NUUCP, DEMOS, TUTOR, DIAG, OUTOFBOX, etc. Muchos administradores olvidan eliminar estas cuentas después de la instalación. Por lo tanto, los piratas informáticos buscan tcpmux en Internet y utilizan estas cuentas.

Puerto: 7

Servicio: Echo

Descripción: Puedes ver que muchas personas están enviando a X.X.X.0 y X.X.X.255 cuando buscan información de amplificadores Fraggle.

Puerto: 19

Servicio: Generador de caracteres

Descripción: Este es un servicio de solo caracteres, la versión UDP responderá con caracteres basura recibidos en paquetes UDP. la conexión TCP enviará un flujo de datos que contiene caracteres basura hasta que se cierre la conexión. Falsifica paquetes UDP entre dos servidores de cargadores. El mismo ataque Fraggle DoS transmitiría un paquete con una IP de víctima falsificada a ese puerto en la dirección de destino, y la víctima se sobrecargaría con los datos en respuesta.

Puerto: 21

Servicio: FTP

Descripción: El puerto abierto por el servidor FTP para cargas y descargas. Lo utilizan con mayor frecuencia los atacantes que buscan servidores FTP anónimos. Estos servidores vienen con directorios de lectura y escritura. Puertos abiertos por troyanos como Doly Trojan, Fore, Invisible FTP, WebEx, WinCrash y Blade Runner.

Puerto: 22

Servicio: ssh

Descripción: PcAnywhere establece conexiones con TCP y este puerto puede estar buscando ssh. El servicio tiene una serie de debilidades y muchas versiones que utilizan la biblioteca RSAREF tienen numerosas vulnerabilidades si se configuran en un modo específico.

Puerto: 23

Servicio: Telnet

Descripción: Inicio de sesión remoto, el intruso está buscando servicios UNIX de inicio de sesión remoto. La mayoría de las veces, este puerto se escanea para encontrar el sistema operativo que está ejecutando la máquina. Existen otras técnicas mediante las cuales los intrusos también pueden encontrar contraseñas. El servidor Trojan Tiny Telnet abre este puerto.

Puerto: 25

Servicio: SMTP

Descripción: El puerto abierto por el servidor SMTP para enviar correo. Los intrusos buscan servidores SMTP para enviar sus correos electrónicos no deseados. La cuenta del intruso se cerró y necesitaban conectarse a un servidor de CORREO ELECTRÓNICO de gran ancho de banda para enviar correos electrónicos simples a diferentes direcciones. Trojan Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth, WinPC y WinSpy abren este puerto.

Puerto: 31

Servicio: Autenticación MSG

Descripción: Trojan Master Paradise, Hackers Paradise abrió este puerto.

Puerto: 42

Servicio: Replicación WINS

Descripción: Replicación WINS

Puerto: 53

Servicio : Servidor de nombres de dominio (DNS)

Descripción: un puerto abierto por un servidor DNS donde un intruso puede intentar realizar transferencia de zona (TCP), falsificar DNS (UDP) u ocultar otras comunicaciones. Por lo tanto, los cortafuegos suelen filtrar o registrar este puerto.

Puerto: 67

Servicio: Servidor de protocolo de arranque

Descripción: Los firewalls enviados a la dirección de transmisión 255.255.255.255 a través de módems DSL y de cable a menudo verán muchos datos. Estas máquinas solicitan una dirección de un servidor DHCP y los piratas informáticos a menudo ingresan a estas máquinas, asignan una dirección y actúan como un enrutador local, lanzando una serie de ataques de intermediario. El cliente transmite la solicitud de configuración al puerto 68 y el servidor transmite la respuesta a la solicitud al puerto 67. Esta respuesta utiliza una transmisión porque el cliente aún no conoce la dirección IP a la que puede enviar.

Puerto: 69

Servicio: Transferencia de archivos Trival

Descripción: Muchos servidores también brindan este servicio al mismo tiempo que brindan bootp para facilitar la descarga y el inicio desde el código del sistema. Sin embargo, a menudo están mal configurados, lo que permite a intrusos robar cualquier archivo del sistema. También se pueden utilizar para escribir archivos en el sistema.

Puerto: 79

Servicio: Finger Server

Descripción: Utilizado por intrusos para obtener información del usuario, consultar el sistema operativo y detectar desbordamientos de búfer conocidos Errores y respuestas a escaneos dactilares desde su propia máquina a otras máquinas.

Puerto: 80

Servicio: HTTP

Descripción: Se utiliza para navegación web. El ejecutor del troyano abre el puerto.

Puerto: 99

Servicio: Metagram Relay

Descripción: La puerta trasera ncx99 abre este puerto: La puerta trasera ncx99 abre este puerto.

Puerto: 102

Servicio: Agente de Transferencia de Mensajes (MTA) - X.400 sobre TCP/IP

Descripción: Agente de Transferencia de Mensajes: Agente de Transferencia de Mensajes.

Puerto: 109

Servicio: Protocolo de Oficina Postal - Versión 3

Descripción: Agente de Transferencia de Mensajes: Protocolo de Oficina Postal - Versión 3

Descripción: El servidor POP3 abre este puerto: El servidor POP3 abre este puerto para el correo entrante y los clientes acceden al servicio de correo del lado del servidor. Al menos 20 de las debilidades involucran desbordamientos del buffer de intercambio de nombres de usuario y contraseñas, lo que significa que un intruso podría ingresar al sistema antes de iniciar sesión. Otros errores de desbordamiento del búfer ocurren después de un inicio de sesión exitoso.

Puerto: 110

Servicio: Todos los puertos del servicio RPC de SUN

Descripción: Los servicios RPC comunes incluyen rpc.mountd, NFS, rpc.statd, rpc. csmd, rpc.ttybd, amd, etc.

Puerto: 113

Servicio: Servicio de Autenticación

Descripción: Este es un protocolo que se ejecuta en muchas computadoras y se utiliza para identificar a los usuarios de conexiones TCP. Se puede obtener información de muchas computadoras utilizando una versión estandarizada del servicio. Sin embargo, se puede utilizar como registrador para muchos servicios, especialmente FTP, POP, IMAP, SMTP e IRC. Normalmente, si tiene muchos clientes que acceden a estos servicios a través de un firewall, verá muchas solicitudes de conexión en este puerto. Recuerde, si bloquea este puerto, los clientes experimentarán una conexión lenta con el servidor de correo electrónico al otro lado del firewall. Muchos firewalls admiten el envío de retornos RST durante el bloqueo de conexiones TCP, lo que bloqueará las conexiones lentas.

Puerto: 119

Servicio: Protocolo de transferencia de noticias en red

Descripción: El protocolo de transferencia de grupos de noticias NEWS transporta tráfico USENET. Las conexiones en este puerto suelen ser usuarios que buscan un servidor USENET. La mayoría de los ISP restringen el acceso de los clientes a sus servidores de grupos de noticias. Abrir un servidor de grupos de noticias permitirá que cualquiera pueda publicar/leer publicaciones, acceder a servidores de grupos de noticias restringidos, publicar de forma anónima o enviar spam.

Puerto: 135

Servicio: Servicios de ubicación

Descripción: Microsoft ejecuta el punto final DCE RPC en este puerto y proporciona su servicio DCOM en este asignador de puertos. Esto es muy similar a la funcionalidad del puerto 111 de UNIX. Los servicios que utilizan DCOM y RPC utilizan el asignador de puntos finales en la computadora para registrar su ubicación. Cuando los clientes remotos se conectan a una computadora, buscan el asignador de puntos finales para encontrar la ubicación del servicio. ¿Un pirata informático está escaneando este puerto en la computadora para descubrir que Exchange Server se está ejecutando en esta computadora? ¿Qué versión es? También hay algunos ataques de DOS que apuntan directamente a este puerto.

Puertos: 137, 138, 139

Servicio: NETBIOS Name Service

Descripción: Los puertos 137 y 138 son puertos UDP utilizados para la transmisión a través del documento de vecindad de Internet . Y puerto 139: las conexiones que lleguen a través de este puerto intentarán obtener servicios NetBIOS/SMB. Este protocolo lo utilizan Windows File and Printers *** y SAMBA, y también lo utilizan el registro WINS.

Puerto: 143

Servicio: Protocolo de acceso temporal al correo v2

Descripción: Al igual que con la seguridad POP3, muchos servidores IMAP están sujetos a una vulnerabilidad de desbordamiento del búfer. Recuerde: El gusano LINUX (admv0rm) se propaga a través de este puerto, por lo que muchos análisis de este puerto provienen de usuarios desprevenidos que han sido infectados. Estas vulnerabilidades se hicieron populares cuando REDHAT permitió IMAP de forma predeterminada en sus distribuciones LINUX. Este puerto también se utiliza para IMAP2, pero no es tan popular.

Puerto: 161

Servicio: SNMP

Descripción: SNMP permite la gestión remota de dispositivos. Toda la información operativa y de configuración se almacena en la base de datos y se proporciona a través de SNMP. Muchas configuraciones erróneas del administrador quedarán expuestas en Internet y los piratas informáticos intentarán acceder al sistema utilizando las contraseñas públicas y privadas predeterminadas. Pueden probar todas las combinaciones posibles. Los paquetes SNMP pueden estar mal dirigidos a la red del usuario.

Puerto: 177

Servicio: Protocolo de control de X Display Manager

Descripción: Muchos intrusos acceden al panel de control del operador de X-windows a través de él. También requiere puerto. 6000 para estar abierto.

Puerto: 389

Servicios: LDAP, ILS

Descripción: El protocolo ligero de acceso a directorios y el servidor de ubicación de Internet de NetMeeting*** utilizan este puerto.

Puerto: 443

Servicio: HTTPS

Descripción: Puerto de navegación web que proporciona cifrado y una alternativa a HTTP transmitido a través de un puerto seguro.

Puerto: 456

Servicio: [NULL]

Descripción: El troyano HACKERS PARADISE abrirá este puerto.

Puerto: 513

Servicio: Inicio de sesión, Telnet

Descripción: Transmisión desde una computadora UNIX iniciando sesión en la subred mediante un módem por cable o DSL. Estas transmisiones proporcionan información para que los intrusos obtengan acceso a sus sistemas.

Puerto: 544

Servicio: [NULL]

Descripción: kerberos kshell

Puerto: 548

Servicio: Macintosh, Servicios de Archivos (AFP/IP)

Descripción: ..

Puerto: 553

Servicio: CORBA IIOP (UDP)

Descripción: Las transmisiones se verán en este puerto mediante módem de cable, DSL o VLAN. CORBA es un sistema RPC orientado a objetos. Los intrusos pueden utilizar esta información para obtener acceso al sistema.

Puerto: 555

Servicio: DSF

Descripción: Trojan PhAse 1.0, Stealth Spy, IniKiller abre este puerto.

Puerto: 568

Servicio: DPA Miembro

Descripción: DPA Miembro.

Puerto: 569

Servicio: MSN Miembro

Descripción: MSN Miembro.

Puerto: 635

Servicio: mountd

Descripción: La mayoría de los escaneos de este puerto se basan en UDP, pero el mountd está basado en TCP (montado en ejecución en ambos puertos) también está aumentando. Tenga en cuenta que mountd puede ejecutarse en cualquier puerto (específicamente, deberá realizar una búsqueda en el mapa de puertos para el puerto 111), solo que el puerto predeterminado de Linux es 635, al igual que NFS generalmente se ejecuta en el puerto 2049.

Puerto: 636

Servicio: LDAP

Descripción: SSL (Secure Socket Layer)

Puerto: 666

Servicio: Doom Id Software

Descripción: Troyano ataca FTP, la puerta trasera de Satanz abre este puerto

Puerto: 993

Servicio: IMAP

Descripción: SSL (Secure Sockets Layer)

Puertos: 1001, 1011

Servicio: [NULL]

Descripción: Trojan Silencer, WebEx abre el puerto 1001 . Trojan Doly Trojan abre el puerto 1011.

Puerto: 1024

Servicio: Reservado

Descripción: Este es el comienzo de los puertos dinámicos, a muchos programas no les importa qué puerto usan para conectarse la red, pero pide al sistema que les asigne el siguiente puerto libre. Por lo tanto, la asignación comienza en el puerto 1024. Esto significa que al primer programa que realice una solicitud al sistema se le asignará el puerto 1024. Puede reiniciar la máquina, abrir Telnet, luego abrir otra ventana y ejecutar natstat -a, y encontrará que Telnet está asignado al puerto 1024. Hay sesiones SQL que también utilizan este puerto y el puerto 5000.

Puertos: 1025, 1033

Servicio: 1025: Network Blackjack 1033: [NULL]

Descripción: El troyano netspy abrirá estos 2 puertos.

Puerto: 1080

Servicio: SOCKS

Descripción: En teoría solo debería permitir el acceso a INTERNET al tráfico interno, pero por una mala configuración puede Permitir ataques desde fuera del firewall puedan atravesarlo. Este error ocurre con frecuencia en WinGate y a menudo puede verse al unirse a una sala de chat IRC.

Puerto: 1170

Servicio: [NULL]

Descripción: Este puerto está abierto para Trojan Streaming Audio Trojan, Psyber Stream Server y Voice.

Puertos: 1234, 1243, 6711, 6776

Servicio: [NULL]

Descripción: Trojan SubSeven2.0, el troyano Ultors abre los puertos 1234 y 6776. Trojan SubSeven 1.0/1.9 ​​​​abre los puertos 1243, 6711, 6776.

Puerto: 1245

Servicio: [NULL]

Descripción: El troyano Vodoo abrió este puerto.

Puerto: 1433

Servicio: SQL

Descripción: El servicio SQL de Microsoft abrirá este puerto.

Puerto: 1492

Servicio: stone-design-1

Descripción: Puerto abierto por el troyano FTP-1: Puerto abierto por el troyano FTP99CMP.

Puerto: 1500

Servicio: Consulta de sesión de puerto fijo del cliente RPC

Descripción: Puerto abierto por el troyano FTP99CMP: NetMeeting T.120

Puerto: 1524

Servicio: ingreso

Descripción: Muchos scripts de ataque instalarán la puerta trasera SHELL en este puerto, especialmente aquellos que apuntan a vulnerabilidades en los servicios Sendmail y RPC en scripts de sistemas SUN. Si ve intentos de conexión en este puerto justo después de instalar su firewall, lo más probable es que se deba a los motivos enumerados anteriormente. Intente iniciar sesión en el puerto de forma remota en la computadora del usuario para ver si aparece SHELL.

Puerto: 1600

Servicio: issd

Descripción: El troyano Shivka-Burka abrirá este puerto.

Puerto: 1720

Servicio: netMeeting

Descripción: configuración de llamadas netMeeting H.233.

Puerto: 1731

Servicio: Control de llamadas de audio de netMeeting

Descripción: Configuración de llamadas H.233 de netMeeting: Control de llamadas de audio de NetMeeting.

Puerto: 1807

Servicio: [NULL]

Descripción: El troyano SpySender abre este puerto.

Puerto: 1981

Servicio: [NULL]

Descripción: El troyano ShockRave abrirá este puerto.

Puerto: 1999

Servicio: puerto identificado por Cisco

Descripción: Trojan BackDoor abre este puerto: Trojan BackDoor abre este puerto.

Puerto: 2000

Servicio: [NULL]

Descripción: Trojan GirlFriend 1.3, Millenium 1.0 abre este puerto.

Puerto: 2001

Servicio: [NULL]

Descripción: Trojan Millenium 1.0, Trojan Cow abre este puerto.

Puerto: 2023

Servicio: xinueexpansion 4

Descripción: Trojan Pass Ripper abre este puerto: Trojan Pass Ripper abre este puerto.

Puerto: 2049

Servicio: NFS

Descripción: Los programas NFS normalmente se ejecutan en este puerto. Normalmente necesitas acceder a Portmapper para saber en qué puerto se está ejecutando el servicio.

Puerto: 2115

Servicio: [NULL]

Descripción: Trojan Bugs abre este puerto.

Puertos: 2140, 3150

Servicio: [NULL]

Descripción: Trojan Deep Throat 1.0/3.0 abrirá este puerto.

Puerto: 2500

Servicio: Cliente RPC que usa replicación de sesión de puerto fijo

Descripción: Cliente RPC que usa replicación de sesión de puerto fijo

Puerto : 2583

Servicio: [NULL]

Descripción: El troyano Wincrash 2.0 abrirá este puerto.

Puerto: 2801

Servicio: [NULL]

Descripción: El troyano Phineas Phucker abrirá este puerto.

Puertos: 3024, 4092

Servicio: [NULL]

Descripción: El troyano WinCrash abrirá este puerto.

Puerto: 3128

Servicio: squid

Descripción: Trojan WinCrash abre este puerto: Este es el puerto predeterminado para el servidor proxy HTTP de squid. El atacante escanea el puerto en busca de un servidor proxy para acceder a Internet de forma anónima. También se puede ver a los atacantes buscando servidores proxy adicionales en los puertos 8000, 8001, 8080 y 8888. Otros usuarios también verifican este puerto para determinar si la máquina del usuario admite servidores proxy.

Puerto: 3129

Servicio: [NULL]

Descripción: Trojan Master Paradise abrirá este puerto.

Puerto: 3150

Servicio: [NULL]

Descripción: Caballo de Troya El Invasor abre este puerto.

Puerto: 3210, 4321

Servicio: [NULL]

Descripción: El Trojan SchoolBus abrirá este puerto

Puerto: 3333

Servicio: dec-notes

Descripción: Trojan Prosiak abrirá este puerto

Puerto: 3389

Servicio: [NULL]

p>

Servicio: [NULL]

Descripción: El troyano The Invasor abrirá este puerto: HyperTerminal

Descripción: El terminal WINDOWS 2000 abre este puerto .

Puerto: 3700

Servicio: [NULL]

Descripción: Trojan Portal of Doom abre este puerto

Puerto: 3996, 4060

Servicio: [NULL]

Descripción: Trojan RemoteAnything abre este puerto

Puerto: 4000

Servicio: Cliente QQ

Descripción: El cliente Tencent QQ abre este puerto: El cliente Tencent QQ abre este puerto.

Puerto: 4092

Servicio: [NULL]

Descripción: Trojan WinCrash abre este puerto: Trojan WinCrash abre este puerto.

Puerto: 4590

Servicio: [NULL]

Descripción: Trojan ICQTrojan abre este puerto.

Puertos: 5000, 5001, 5321, 50505

Servicio: [NULL]

Descripción: Trojan blazer5 abrió el puerto 5000. Sockets de Troie abre los puertos 5000, 5001, 5321 y 50505.

Puertos: 5400, 5401, 5402

Servicio: [NULL]

Descripción: Trojan Blade Runner abre este puerto.

Puerto: 5550

Servicio: [NULL]

Descripción: Trojan Blade abrirá este puerto: [NULL]

Descripción: Trojan xtcp abrirá este puerto.

Puerto: 5569

Servicio: [NULL]

Descripción: Trojan xtcp abre este puerto: [NULL]

Descripción: Trojan Robo-Hack abrirá este puerto: Trojan Robo-Hack abrirá este puerto.

Puerto: 5632

Servicio: pcAnywere

Descripción: Trojan Robo-Hack abrió este puerto: A veces, verá muchos escaneos en este puerto. dependiendo de la ubicación del usuario. Cuando un usuario abre pcAnywere, automáticamente escanea la red LAN Clase C en busca de posibles servidores proxy (aquí, servidores proxy en lugar de servidores proxy). Los intrusos también buscarán ordenadores que tengan este servicio activado. Por lo tanto, debe verificar la dirección de origen de dichos análisis. Algunos paquetes de escaneo que buscan pcAnywere suelen contener paquetes UDP en el puerto 22.

Puerto: 5742

Servicio: [NULL]

Descripción: El troyano WinCrash 1.03 abre este puerto.

Puerto: 6267

Servicio: [NULL]

Descripción: El troyano Hiromi Girls abrirá este puerto.

Puerto: 6400

Servicio: [NULL]

Descripción: Trojan The Thing abre este puerto.

Puerto: 6670, 6671

Servicio: [NULL]