¿Qué son los puertos internos y los puertos externos?

I Resumen

II Qué es un puerto

III Clasificación de los puertos

IV El papel de los puertos en la intrusión

V Introducción a los puertos comunes

VI Herramientas relacionadas con los puertos

VII Proteja sus puertos

VIII Conclusión

I Resumen

Hacía tiempo que quería escribir un tutorial sobre puertos, y hoy por fin lo puse en práctica. De hecho, hay muchos tutoriales en Internet que presentan puertos, pero nunca he visto ninguno que realmente te diga qué es un puerto (tal vez realmente no lo haya visto si has leído muchos tutoriales). sobre puertos, entonces dime qué es exactamente el puerto. Jaja, tal vez no puedas contestar por un tiempo, no importa, ¡sígueme!

2. ¿Qué es un puerto?

En Internet, los hosts envían y reciben datagramas a través del protocolo TCP/TP. Cada datagrama se procesa en la red de interconexión según la dirección IP. de su host de destino. Se puede ver que no hay ningún problema en transmitir con éxito el datagrama al host de destino. ¿Cuál es el problema? Sabemos que la mayoría de los sistemas operativos admiten múltiples programas (procesos) que se ejecutan al mismo tiempo, entonces, ¿a cuál de los múltiples procesos que se ejecutan al mismo tiempo se debe enviar el datagrama recibido por el host de destino? Evidentemente, este problema había que solucionarlo, por eso se introdujo el mecanismo de puerto.

El sistema operativo local asignará puertos de protocolo (puertos de protocolo) a los procesos requeridos. Cada puerto se identifica mediante un número entero positivo, como 80, 139, 445, etc. Cuando el host de destino recibe el datagrama, enviará los datos al puerto correspondiente según el número de puerto de destino al comienzo del mensaje. El proceso correspondiente al puerto recibirá los datos y esperará la llegada del siguiente conjunto de. datos. En este punto, el concepto de puertos parece muy abstracto. Por favor, continúa escuchándome y no te vayas.

Un puerto es en realidad una cola, y el sistema operativo asigna una cola diferente a cada proceso. El datagrama será enviado a la cola correspondiente según el puerto de destino, esperando que el proceso lo obtenga. En circunstancias muy especiales, la cola puede desbordarse, pero el sistema operativo permite que los procesos especifiquen y ajusten sus propios tamaños de cola.

No sólo el proceso que recibe el datagrama necesita abrir su propio puerto, sino que el proceso que envía el datagrama también necesita abrir el puerto, de modo que el datagrama sea reconocido como el puerto de origen para que el receptor puede enviar exitosamente el datagrama y regresar a este puerto.

Tres clasificaciones de puertos

En Internet, los puertos se dividen en dos categorías según el tipo de protocolo: puertos TCP y puertos UDP. Aunque todos están identificados por números enteros positivos, esto no causa ambigüedad, como el puerto TCP 80 y el puerto UDP 80, porque el datagrama identifica el puerto así como el tipo de puerto.

Desde la perspectiva de la asignación de puertos, los puertos se pueden dividir en dos categorías principales: puertos fijos y puertos dinámicos (algunos tutoriales también clasifican los puertos de gama alta poco utilizados en una tercera categoría: puertos dedicados): < / p>

Puertos fijos (0-1023):

Utilizan un mecanismo de gestión centralizada, lo que significa que están sujetos a asignaciones de puertos por parte del organismo rector y son responsables de emitir estas asignaciones. Dado que estos puertos están estrechamente vinculados a ciertos servicios, a menudo escaneamos estos puertos para determinar si la otra parte ha abierto estos servicios, como TCP 21 (ftp), 80 (bios), UDP 7 (echo), 69 (tftp), etc., son algunos de los puertos con los que estamos familiarizados;

Puertos dinámicos (1024-49151)

Estos puertos no están vinculados a servicios, el sistema operativo los asignará dinámicamente; A un proceso, al mismo proceso se le pueden asignar dos puertos diferentes. Sin embargo, algunas aplicaciones no quieren utilizar los puertos dinámicos asignados por el sistema operativo, sino que tienen sus propios puertos "marca registrada", como el puerto 4000 para el cliente oicq y el puerto 7626 para Trojan Glacier, que son fijos y están bien configurados. conocido.

Las cuatro funciones de los puertos en intrusión

Alguien comparó una vez el servidor con una casa, y los puertos son las puertas que conducen a diferentes habitaciones (servicios). Detalles, esta es una buena metáfora.

Un intruso inevitablemente tendría que entrar si quisiera ocupar la casa (la invasión física es otra cuestión), por lo que el intruso tendría que saber cuántas puertas hay abiertas en la casa, qué tipo de puertas son y qué tipo de puertas hay. puertas que son. ¿Qué hay detrás?

El intruso suele utilizar un escáner para escanear los puertos del host de destino y determinar qué puertos están abiertos. A partir de los puertos abiertos, el intruso puede saber aproximadamente qué servicios proporciona el host de destino y luego adivinar qué servicios. pueden existir. Qué vulnerabilidades existen, por lo que escanear los puertos puede ayudarnos a comprender mejor el host de destino. Para los administradores, escanear los puertos abiertos de la máquina también es el primer paso para tomar precauciones de seguridad.

V

V Introducción a los puertos de uso común

Debido al conocimiento limitado del autor, aquí solo presento algunos contenidos simples.

1) 21 ftp

Este puerto está abierto para indicar que el servidor proporciona servicios FTP. Los intrusos generalmente escanean este puerto y determinan si se permite el inicio de sesión anónimo si se puede escribir en un directorio. encontrado, está bien. Cargue algunos programas de piratas informáticos para lograr una intrusión ilimitada. Para cerrar este puerto, es necesario desactivar el servicio FTP.

2) 23 Telnet

Abrir este puerto significa que el servidor proporciona un servicio de inicio de sesión remoto. Si tiene el nombre de usuario y la contraseña del administrador, puede utilizar este servicio para controlar completamente el host (. pero primero necesita autenticación NTLM) para obtener un shell de línea de comando. Para cerrar este puerto, debe desactivar el servicio Telnet.

3) 25 smtp

Si este puerto está abierto, significa que el servidor proporciona servicio SMTP. Algunos servidores que no admiten autenticación permiten a los intrusos enviar correo a cualquier lugar, y los servidores SMTP (especialmente sendmail) son una de las formas más comunes de ingresar a un sistema. Para cerrar este puerto, debe desactivar el servicio SMTP.

4) 69 TFTP (UDP)

Abrir este puerto significa que el servidor proporciona el servicio TFTP, lo que permite descargar y escribir archivos desde el servidor si el administrador lo configura incorrectamente. el intruso puede incluso descargar el archivo de contraseña. Muchos intrusos transfieren archivos a las máquinas de destino ejecutando el servicio en sus propias máquinas. Para cerrar este puerto, es necesario desactivar el servicio TFTP.

5) 79 Finger

Se utiliza para obtener información del usuario, consultar el sistema operativo, detectar errores conocidos de desbordamiento del búfer y responder a escaneos dactilares desde la propia máquina a otras máquinas.

6) 80 )

8) TCP 139 y 445

Mucha gente está muy preocupada por estos dos puertos. Los presentaré en detalle a continuación: <. /p>

Primero, comprendamos algunos conceptos básicos:

1 SMB: (Bloque de mensajes del servidor) familia de protocolos de Windows. Un servicio para disfrutar de la impresión de archivos;

2 NBT: (NETBios Over TCP/IP) utiliza el puerto 137 (UDP) 138 (UDP) 139 (TCP) para implementar TCP/IP basado en la interconexión de red NETBIOS sobre Protocolo IP.

3 En Windows NT, SMB se implementa en base a NBT, es decir, utilizando el puerto 139 (TCP), mientras que en Windows 2000, además de la implementación basada en NBT, SMB también se puede implementar directamente en puerto 445.

Con este conocimiento básico, podemos analizar más a fondo la selección del puerto para acceder al disfrute de la red:

Para cliente Win2000 (inicial):

1 Si está conectado a un servidor que permite NBT, el cliente intentará acceder a los puertos 139 y 445 al mismo tiempo. Si el puerto 445 responde, enviará un paquete RST al puerto 139 para desconectarse y usar el puerto 455 para la sesión. puerto 139 solo cuando el puerto no responde. Si ambos puertos no responden, la sesión falla;

2 Si se conecta al servidor con NBT deshabilitado, el cliente solo intentará acceder al puerto 445. Si no hay respuesta en el puerto 445, la sesión falla.

Para servidor win2000:

1 Si se permite NBT, se abrirán los puertos UDP 137, 138, TCP 139, 445 (ESCUCHA); Si NBT está deshabilitado, solo se abre el puerto 445.

Los principios para elegir un puerto para la sesión ipc$ que configuramos son los mismos que los anteriores. Obviamente, si el servidor remoto no está escuchando en el puerto 139 o 445, no se puede establecer la sesión ipc$. Entonces, ¿cómo cerrar estos dos puertos en el año 2000?

El puerto 139 se puede bloquear deshabilitando NBT

Conexión de área local - Propiedades de TCP/IT - Avanzado - WINS - Seleccione el elemento "Deshabilitar NETBIOS en TCP/IT". El puerto 445 de NETBIOS se puede bloquear modificando el registro.

Agregar valor de clave

Hive: HKEY_LOCAL_MACHINE

Clave: System\Controlset. \Services\ NetBT\Parameters

Nombre: SMBDeviceEnabled

Tipo: REG_DWORD

valor: 0

Reinicie la máquina después de la modificación

9) 3389 Terminal Service

Abrir este puerto significa que el servidor proporciona servicios de terminal. Si obtiene el nombre de usuario y la contraseña del administrador, puede utilizar este servicio para controlar completamente el host a través del. interfaz gráfica Esto es realmente algo deseable, pero si no puede obtener la contraseña y no puede encontrar la laguna del método de entrada, se sentirá impotente. Para cerrar este puerto, debe desactivar Terminal Services.

Seis herramientas relacionadas con puertos

1 netstat -an

De hecho, esto no es una herramienta, pero es la forma más conveniente de verificar qué puertos tiene Método abierto, simplemente escriba este comando en cmd. Como se muestra a continuación:

C:\>netstat -an

Conexiones activas

Proto dirección local Estado de dirección externa

TCP 0.0. 0.0:135 0.0.0.0:0 ESCUCHANDO

TCP 0.0.0.0:445 0.0.0.0:0 ESCUCHANDO

TCP 0.0.0:1025 0.0.0:0 ESCUCHANDO

TCP 0.0.0:1026 0.0.0:0 ESCUCHANDO

TCP 0.0.0:1026 0.0.0:0 ESCUCHANDO

TCP 0.0.0:1028 0.0. 0.0:0 ESCUCHANDO

TCP 0.0.0.0:3372 0.0.0.0:0 ESCUCHANDO

UDP 0.0.0.0:135 *:*

UDP 0.0.0.0 :445 *:*

UDP 0.0.0.0:1027 *:*

UDP 127.0.0.1:1029 *:*

UDP 127.0.0.0.1 :1030 *:*

Estos son los puertos abiertos en la máquina cuando no estoy en línea. Dos de ellos, 135 y 445, son puertos fijos y los puertos restantes son puertos dinámicos.

2 fport.exe y mport.exe

Estos también son dos pequeños programas para ver los puertos abiertos de la máquina bajo la línea de comando. De hecho, son similares a netstat. -un comando, excepto que se pueden mostrar el proceso de apertura de un puerto y la cantidad de información es mayor. Si sospecha que su puerto extraño puede ser un troyano, ¡úselos para verificarlo! Es una buena idea utilizarlos.

3 activeport.exe (también conocido como aports.exe)

Aún puede ver los puertos abiertos en la máquina local. Además de todas las características de los dos programas mencionados anteriormente, tiene dos características más atractivas: una interfaz gráfica y la capacidad de cerrar puertos. Este es un gran programa para principiantes y muy recomendable.

4 superscan3.0

Nunca debes haber oído hablar de su nombre. Es el software de escaneo de puertos puro número uno. Es rápido y no puede especificar el puerto de escaneo. , una herramienta absolutamente imprescindible.

7. Protege tus propios puertos

Los amigos que son nuevos en Internet generalmente son muy sensibles a sus propios puertos. Siempre temen que sus computadoras tengan demasiados puertos abiertos y. Tienen aún más miedo de cuáles hay puertos para programas de puerta trasera, pero como no estoy muy familiarizado con los puertos, no tengo ninguna solución y me siento asustado cuando me conecto. De hecho, proteger sus propios puertos no es tan difícil, siempre y cuando haga lo siguiente:

1 Verificar: use frecuentemente comandos o software para verificar los puertos abiertos localmente y ver si hay puertos sospechosos;

2 Juicio: si no está familiarizado con el puerto abierto, debe buscar inmediatamente el libro de puertos o los puertos troyanos de uso común y otra información (hay muchos en Internet) para ver cuál es el puerto sospechoso. le hace, o utiliza software para, o la función del puerto. -Opciones-Filtrado TCP/IP (Opción-Filtrado TCP/IP) habilita el mecanismo de filtrado para filtrar puertos;

Nota: tenga cuidado al juzgar, porque algunos puertos asignados dinámicamente también pueden causarle dudas innecesarias , y dichos puertos son generalmente de bajo nivel y continuos. Además, algunos software de puerta trasera astutos toman prestados algunos puertos comunes, como el 80, para la comunicación (cortafuegos penetrantes), lo cual es difícil de detectar, por lo que la clave es no ejecutar programas desconocidos fácilmente.

8. Conclusión

Solo responde

Leer el texto completo | Responder (0) | Notificación de citación |p>

Artículo anterior: Poniendo obstáculos para los hackers

Siguiente artículo: ¿Cómo configurar el soporte para leer y escribir archivos de texto FSO?

Tabla de comparación de puertos de uso común - -

Etiqueta: puerto

Tabla de comparación de puertos de uso común

Iniciar-Ejecutar-CMD, ingrese netstat - an y presione Enter para ver el puerto

Puerto: 0

Servicio:

Descripción: Generalmente se usa para analizar el sistema operativo. Este método funciona porque en algunos sistemas "0" es un puerto no válido y obtendrás resultados diferentes cuando intentes conectarte utilizando el puerto cerrado habitual. Un escaneo típico utiliza la dirección IP 0.0.0.0, establece el bit ACK y transmite en la capa Ethernet.

Puerto: 1

Servicio: tcpmux

Descripción: Esto indica que alguien está buscando una máquina SGI Irix. Irix es el principal proveedor de implementación de tcpmux y dichos sistemas tienen tcpmux habilitado de forma predeterminada. Las máquinas Irix se lanzan con múltiples cuentas sin contraseña de forma predeterminada, como IP, GUEST UUCP, NUUCP, DEMOS, TUTOR, DIAG, OUTOFBOX, etc. Muchos administradores olvidan eliminar estas cuentas después de la instalación. Por lo tanto, los piratas informáticos buscan tcpmux en Internet y utilizan estas cuentas.

Puerto: 7

Servicio: Echo

Descripción: Puedes ver que muchas personas están enviando a X.X.X.0 y X.X.X.255 cuando buscan información de amplificadores Fraggle.

Puerto: 19

Servicio: Generador de caracteres

Descripción: Este es un servicio de solo caracteres, la versión UDP responderá con caracteres basura recibidos en paquetes UDP. la conexión TCP enviará un flujo de datos que contiene caracteres basura hasta que se cierre la conexión. Falsifica paquetes UDP entre dos servidores de cargadores.

El mismo ataque Fraggle DoS transmitiría un paquete con una IP de víctima falsificada a ese puerto en la dirección de destino, y la víctima se sobrecargaría con los datos en respuesta.

Puerto: 21

Servicio: FTP

Descripción: El puerto abierto por el servidor FTP para cargas y descargas. Lo utilizan con mayor frecuencia los atacantes que buscan servidores FTP anónimos. Estos servidores vienen con directorios de lectura y escritura. Puertos abiertos por troyanos como Doly Trojan, Fore, Invisible FTP, WebEx, WinCrash y Blade Runner.

Puerto: 22

Servicio: ssh

Descripción: PcAnywhere establece conexiones con TCP y este puerto puede estar buscando ssh. El servicio tiene una serie de debilidades y muchas versiones que utilizan la biblioteca RSAREF tienen numerosas vulnerabilidades si se configuran en un modo específico.

Puerto: 23

Servicio: Telnet

Descripción: Inicio de sesión remoto, el intruso está buscando servicios UNIX de inicio de sesión remoto. La mayoría de las veces, este puerto se escanea para encontrar el sistema operativo que está ejecutando la máquina. Existen otras técnicas mediante las cuales los intrusos también pueden encontrar contraseñas. El servidor Trojan Tiny Telnet abre este puerto.

Puerto: 25

Servicio: SMTP

Descripción: El puerto abierto por el servidor SMTP para enviar correo. Los intrusos buscan servidores SMTP para enviar spam. La cuenta del intruso ha sido cerrada y necesita conectarse a un servidor de CORREO ELECTRÓNICO de gran ancho de banda para enviar correos electrónicos simples a diferentes direcciones. Los troyanos Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth, WinPC y WinSpy abren este puerto.

Puerto: 31

Servicio: Autenticación MSG

Descripción: Trojan Master Paradise, Hackers Paradise abrió este puerto.

Puerto: 42

Servicio: Replicación WINS

Descripción: Replicación WINS

Puerto: 53

Servicio : Servidor de nombres de dominio (DNS)

Descripción: un puerto abierto por un servidor DNS donde un intruso puede intentar realizar transferencia de zona (TCP), falsificar DNS (UDP) u ocultar otras comunicaciones. Por lo tanto, los cortafuegos suelen filtrar o registrar este puerto.

Puerto: 67

Servicio: Servidor de protocolo de arranque

Descripción: Los firewalls enviados a la dirección de transmisión 255.255.255.255 a través de módems DSL y de cable a menudo verán muchos datos. Estas máquinas solicitan una dirección de un servidor DHCP y los piratas informáticos a menudo ingresan a estas máquinas, asignan una dirección y actúan como un enrutador local, lanzando una serie de ataques de intermediario. El cliente transmite la solicitud de configuración al puerto 68 y el servidor transmite la respuesta a la solicitud al puerto 67. Esta respuesta utiliza una transmisión porque el cliente aún no conoce la dirección IP a la que puede enviar.

Puerto: 69

Servicio: Transferencia de archivos Trival

Descripción: Muchos servidores también brindan este servicio al mismo tiempo que brindan bootp para facilitar la descarga y el inicio desde el código del sistema. Sin embargo, a menudo están mal configurados, lo que permite a intrusos robar cualquier archivo del sistema. También se pueden utilizar para escribir archivos en el sistema.

Puerto: 79

Servicio: Finger Server

Descripción: Utilizado por intrusos para obtener información del usuario, consultar el sistema operativo y detectar desbordamientos de búfer conocidos Errores y respuestas a escaneos dactilares desde su propia máquina a otras máquinas.

Puerto: 80

Servicio: HTTP

Descripción: Se utiliza para navegación web. El ejecutor del troyano abre el puerto.

Puerto: 99

Servicio: metagram Relay

Descripción: El ejecutor troyano abre este puerto: El programa de puerta trasera ncx99 abre este puerto.

Puerto: 102

Servicio: Agente de Transferencia de Mensajes (MTA) - X.400 sobre TCP/IP

Descripción: Agente de Transferencia de Mensajes.

Puerto: 109

Servicio: Protocolo de Oficina Postal - Versión 3

Descripción: Agente de Transferencia de Mensajes: Protocolo de Oficina Postal - Versión 3

Descripción: El servidor POP3 abre este puerto: El servidor POP3 abre este puerto para el correo entrante y los clientes acceden al servicio de correo del lado del servidor. Al menos 20 de las debilidades involucran desbordamientos del buffer de intercambio de nombres de usuario y contraseñas, lo que significa que un intruso podría ingresar al sistema antes de iniciar sesión. Otros errores de desbordamiento del búfer ocurren después de un inicio de sesión exitoso.

Puerto: 110

Servicio: Todos los puertos del servicio RPC de SUN

Descripción: Los servicios RPC comunes incluyen rpc.mountd, NFS, rpc.statd, rpc. csmd, rpc.ttybd, amd, etc.

Puerto: 113

Servicio: Servicio de autenticación

Descripción: Este es un servidor que se ejecuta en muchas computadoras Protocolo Se utiliza para identificar a los usuarios de conexiones TCP. Se puede obtener información de muchas computadoras utilizando una versión estandarizada del servicio. Sin embargo, se puede utilizar como registrador para muchos servicios, especialmente FTP, POP, IMAP, SMTP e IRC. Normalmente, si tiene muchos clientes que acceden a estos servicios a través de un firewall, verá muchas solicitudes de conexión en este puerto. Recuerde, si bloquea este puerto, los clientes experimentarán una conexión lenta con el servidor de correo electrónico al otro lado del firewall. Muchos firewalls admiten el envío de retornos RST durante el bloqueo de conexiones TCP, lo que bloqueará las conexiones lentas.

Puerto: 119

Servicio: Protocolo de transferencia de noticias en red

Descripción: El protocolo de transferencia de grupos de noticias NEWS transporta tráfico USENET. Las conexiones en este puerto suelen ser usuarios que buscan un servidor USENET. La mayoría de los ISP restringen el acceso de los clientes a sus servidores de grupos de noticias. Abrir un servidor de grupos de noticias permitirá a cualquiera publicar/leer publicaciones, acceder a servidores de grupos de noticias restringidos, publicar de forma anónima o enviar spam.

Puerto: 135

Servicio: Servicios de ubicación

Descripción: Microsoft ejecuta el punto final DCE RPC en este puerto y proporciona su servicio DCOM en este asignador de puertos. Esto es muy similar a la funcionalidad del puerto 111 de UNIX. Los servicios que utilizan DCOM y RPC utilizan el asignador de puntos finales en la computadora para registrar su ubicación. Cuando los clientes remotos se conectan a una computadora, buscan el asignador de puntos finales para encontrar la ubicación del servicio. ¿Un pirata informático está escaneando este puerto en la computadora para descubrir que Exchange Server se está ejecutando en esta computadora? ¿Qué versión es? También hay algunos ataques de DOS que apuntan directamente a este puerto.

Puertos: 137, 138, 139

Servicio: servicio de nombres NETBIOS

Descripción: Los puertos 137 y 138 son puertos UDP, utilizados para transferir archivos a través de Internet barrio cuando se utiliza. Y puerto 139: las conexiones que lleguen a través de este puerto intentarán obtener servicios NetBIOS/SMB. Este protocolo lo utilizan Windows File and Printers *** y SAMBA, y también lo utilizan el registro WINS.

Puerto: 143

Servicio: Protocolo de acceso temporal al correo v2

Descripción: Al igual que con la seguridad POP3, muchos servidores IMAP están sujetos a una vulnerabilidad de desbordamiento del búfer. Recuerde: El gusano LINUX (admv0rm) se propaga a través de este puerto, por lo que muchos análisis de este puerto provienen de usuarios desprevenidos que han sido infectados. Estas vulnerabilidades se hicieron populares cuando REDHAT permitió IMAP de forma predeterminada en sus distribuciones LINUX. Este puerto también se utiliza para IMAP2, pero no es tan popular.

Puerto: 161

Servicio: SNMP

Descripción: SNMP permite la gestión remota de dispositivos. Toda la información operativa y de configuración se almacena en la base de datos y se proporciona a través de SNMP. Muchas configuraciones erróneas del administrador quedarán expuestas en Internet y los piratas informáticos intentarán acceder al sistema utilizando las contraseñas públicas y privadas predeterminadas. Pueden probar todas las combinaciones posibles. Los paquetes SNMP pueden estar mal dirigidos a la red del usuario.

Puerto: 177

Servicio: Protocolo de control de X Display Manager

Descripción: Muchos intrusos acceden al panel de control del operador de X-windows a través de él. También requiere puerto. 6000 para estar abierto.

Puerto: 389

Servicios: LDAP, ILS

Descripción: El protocolo ligero de acceso a directorios y el servidor de ubicación de Internet de NetMeeting*** utilizan este puerto.

Puerto: 443

Servicio: HTTPS

Descripción: Puerto de navegación web que proporciona cifrado y una alternativa a HTTP transmitido a través de un puerto seguro.

Puerto: 456

Servicio: [NULL]

Descripción: El troyano HACKERS PARADISE abrirá este puerto.

Puerto: 513

Servicio: Inicio de sesión, Telnet

Descripción: Transmisión desde una computadora UNIX iniciando sesión en la subred mediante un módem por cable o DSL. Estas transmisiones proporcionan información para que los intrusos obtengan acceso a sus sistemas.

Puerto: 544

Servicio: [NULL]

Descripción: kerberos kshell

Puerto: 548

Servicio: Macintosh, Servicios de Archivos (AFP/IP)

Descripción: ..

Puerto: 553

Servicio: CORBA IIOP (UDP)

Descripción: Las transmisiones se verán en este puerto mediante módem de cable, DSL o VLAN. CORBA es un sistema RPC orientado a objetos. Los intrusos pueden utilizar esta información para obtener acceso al sistema.

Puerto: 555

Servicio: DSF

Descripción: Trojan PhAse 1.0, Stealth Spy, IniKiller abre este puerto.

Puerto: 568

Servicio: DPA Miembro

Descripción: DPA Miembro.

Puerto: 569

Servicio: MSN Miembro

Descripción: MSN Miembro.

Puerto: 635

Servicio: mountd

Descripción: La mayoría de los escaneos de este puerto se basan en UDP, pero el mountd está basado en TCP (montado en ejecución en ambos puertos) también está aumentando. Tenga en cuenta que mountd puede ejecutarse en cualquier puerto (para ser específico, deberá realizar una búsqueda de mapa de puertos en el puerto 111), pero el puerto predeterminado de Linux es 635, al igual que NFS generalmente se ejecuta en el puerto 2049.

Puerto: 636

Servicio: LDAP

Descripción: SSL (Secure Socket Layer)

Puerto: 666

Servicio: Doom Id Software

Descripción: Troyano ataca FTP, la puerta trasera de Satanz abre este puerto

Puerto: 993

Servicio: IMAP

Descripción: SSL (Secure Sockets Layer)

Puertos: 1001, 1011

Servicio: [NULL]

Descripción: Trojan Silencer, WebEx abre el puerto 1001 . Trojan Doly Trojan abre el puerto 1011.

Puerto: 1024

Servicio: Reservado

Descripción: Este es el comienzo de los puertos dinámicos, a muchos programas no les importa qué puerto usan para conectarse la red, pero pide al sistema que les asigne el siguiente puerto libre. Por lo tanto, la asignación comienza en el puerto 1024. Esto significa que al primer programa que realice una solicitud al sistema se le asignará el puerto 1024. Puede reiniciar la máquina, abrir Telnet, luego abrir otra ventana y ejecutar natstat -a, y encontrará que Telnet está asignado al puerto 1024. Hay sesiones SQL que también utilizan este puerto y el puerto 5000.

Puertos: 1025, 1033

Servicio: 1025: Network Blackjack 1033: [NULL]

Descripción: El troyano netspy abrirá estos 2 puertos.

Puerto: 1080

Servicio: SOCKS

Descripción: En teoría solo debería permitir el acceso a INTERNET al tráfico interno, pero por una mala configuración puede Permitir ataques desde fuera del firewall puedan atravesarlo. Este error ocurre con frecuencia en WinGate y a menudo puede verse al unirse a una sala de chat IRC.

Puerto: 1170

Servicio: [NULL]

Descripción: Este puerto está abierto para Trojan Streaming Audio Trojan, Psyber Stream Server y Voice.

Puertos: 1234, 1243, 6711, 6776

Servicio: [NULL]

Descripción: Trojan SubSeven2.0, el troyano Ultors abre los puertos 1234 y 6776. Trojan SubSeven 1.0/1.9 ​​​​abre los puertos 1243, 6711, 6776.

Puerto: 1245

Servicio: [NULL]

Descripción: El troyano Vodoo abrió este puerto.

Puerto: 1433

Servicio: SQL

Descripción: El servicio SQL de Microsoft abrirá este puerto.

Puerto: 1492

Servicio: stone-design-1

Descripción: Puerto abierto por el troyano FTP-1: Puerto abierto por el troyano FTP99CMP.

Puerto: 1500

Servicio: Consulta de sesión de puerto fijo del cliente RPC

Descripción: Puerto abierto por el troyano FTP99CMP: NetMeeting T.120

Puerto: 1524

Servicio: ingreso

Descripción: Muchos scripts de ataque instalarán la puerta trasera SHELL en este puerto, especialmente aquellos que apuntan a vulnerabilidades en los servicios Sendmail y RPC en scripts de sistemas SUN. Si ve intentos de conexión en este puerto justo después de instalar su firewall, lo más probable es que se deba a los motivos enumerados anteriormente. Intente iniciar sesión en el puerto de forma remota en la computadora del usuario para ver si aparece SHELL.

Puerto: 1600

Servicio: issd

Descripción: El troyano Shivka-Burka abrirá este puerto.

Puerto: 1720

Servicio: netMeeting

Descripción: configuración de llamadas netMeeting H.233.

Puerto: 1731

Servicio: Control de llamadas de audio de netMeeting

Descripción: Configuración de llamadas H.233 de netMeeting: Control de llamadas de audio de NetMeeting.

Puerto: 1807

Servicio: [NULL]

Descripción: El troyano SpySender abre este puerto.

Puerto: 1981

Servicio: [NULL]

Descripción: El troyano ShockRave abrirá este puerto.

Puerto: 1999

Servicio: puerto identificado por Cisco

Descripción: Trojan BackDoor abre este puerto: Trojan BackDoor abre este puerto.

Puerto: 2000

Servicio: [NULL]

Descripción: Trojan GirlFriend 1.3, Millenium 1.0 abre este puerto.

Puerto: 2001

Servicio: [NULL]

Descripción: Trojan Millenium 1.0, Trojan Cow abre este puerto.

Puerto: 2023

Servicio: xinueexpansion 4

Descripción: Trojan Pass Ripper abre este puerto: Trojan Pass Ripper abre este puerto.

Puerto: 2049

Servicio: NFS

Descripción: Los programas NFS normalmente se ejecutan en este puerto. Normalmente necesitas acceder a Portmapper para saber en qué puerto se está ejecutando este servicio.

Puerto: 2115

Servicio: [NULL]

Descripción: Trojan Bugs abrirá este puerto.

Puertos: 2140, 3150

Servicio: [NULL]

Descripción: Trojan Deep Throat 1.0/3.0 abrirá este puerto.

Puerto: 2500

Servicio: Cliente RPC que usa replicación de sesión de puerto fijo

Descripción: Cliente RPC que usa replicación de sesión de puerto fijo

Puerto : 2583

Servicio: [NULL]

Descripción: El troyano Wincrash 2.0 abrirá este puerto.

Puerto: 2801

Servicio: [NULL]

Descripción: El troyano Phineas Phucker abrirá este puerto.

Puertos: 3024, 4092

Servicio: [NULL]

Descripción: El troyano WinCrash abrirá este puerto.

Puerto: 3128

Servicio: squid

Descripción: Trojan WinCrash abre este puerto: Este es el puerto predeterminado para el servidor proxy HTTP de squid. El atacante escanea el puerto en busca de un servidor proxy para acceder a Internet de forma anónima. También se puede ver a los atacantes buscando servidores proxy adicionales en los puertos 8000, 8001, 8080 y 8888. Otros usuarios también verifican el puerto para determinar si la máquina del usuario admite el proxy.

Puerto: 3129

Servicio: [NULL]

Descripción: Trojan Master Paradise abrirá este puerto.

Puerto: 3150

Servicio: [NULL]

Descripción: Caballo de Troya El Invasor abre este puerto.

Puerto: 3210, 4321

Servicio: [NULL]

Descripción: El Trojan SchoolBus abrirá este puerto

Puerto: 3333

Servicio: dec-notes

Descripción: Trojan Prosiak abrirá este puerto

Puerto: 3389

Servicio: [NULL]

p>

Servicio: [NULL]

Descripción: El troyano The Invasor abrirá este puerto: HyperTerminal

Descripción: El terminal WINDOWS 2000 abre este puerto .

Puerto: 3700

Servicio: [NULL]

Descripción: Trojan Portal of Doom abre este puerto

Puerto: 3996, 4060

Servicio: [NULL]

Descripción: Trojan RemoteAnything abre este puerto

Puerto: 4000

Servicio: Cliente QQ

Descripción: El cliente Tencent QQ abre este puerto: El cliente Tencent QQ abre este puerto.

Puerto: 4092

Servicio: [NULL]

Descripción: Trojan WinCrash abre este puerto: Trojan WinCrash abre este puerto.

Puerto: 4590

Servicio: [NULL]

Descripción: Trojan ICQTrojan abre este puerto.

Puertos: 5000, 5001, 5321, 50505

Servicio: [NULL]

Descripción: Trojan blazer5 abre el puerto 5000. Trojan Sockets de Troie Open