不安全的網路埠有哪些

① 常見的高危埠有哪些

1、8080埠

埠說明：8080埠同80埠，是被用於WWW代理服務的，可以實現網頁瀏覽，經常在訪問某個網站或使用代理伺服器的時候，會加上「：8080」埠號。

埠漏洞：8080埠可以被各種病毒程序所利用，比如Brown Orifice（BrO）特洛伊木馬病毒可以利用8080埠完全遙控被感染的計算機。另外，RemoConChubo，RingZero木馬也可以利用該埠進行攻擊。

操作建議：一般我們是使用80埠進行網頁瀏覽的，為了避免病毒的攻擊，我們可以關閉該埠。

2、埠：21

服務：FTP

說明：FTP伺服器所開放的埠，用於上傳、下載。最常見的攻擊者用於尋找打開anonymous的FTP伺服器的方法。這些伺服器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的埠。

3、埠：22

服務：Ssh

說明：PcAnywhere建立的TCP和這一埠的連接可能是為了尋找ssh。這一服務有許多弱點，如果配置成特定的模式，許多使用RSAREF庫的版本就會有不少的漏洞存在。

4、埠：23

服務：Telnet

說明：遠程登錄，入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一埠是為了找到機器運行的操作系統。還有使用其他技術，入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個埠。

5、埠：25

服務：SMTP

說明：SMTP伺服器所開放的埠，用於發送郵件。入侵者尋找SMTP伺服器是為了傳遞他們的SPAM。入侵者的帳戶被關閉，他們需要連接到高帶寬的E-MAIL伺服器上，將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠。

6、埠：80

服務：HTTP

說明：用於網頁瀏覽。木馬Executor開放此埠。

7、埠：102

服務：Message transfer agent(MTA)-X.400 over TCP/IP

說明：消息傳輸代理。

8、埠：110

服務：Post Office Protocol -Version3

說明：POP3伺服器開放此埠，用於接收郵件，客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交 換緩沖區溢出的弱點至少有20個，這意味著入侵者可以在真正登陸前進入系統。成功登陸後還有其他緩沖區溢出錯誤。

9、埠：111

服務：SUN公司的RPC服務所有埠

說明：常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

10、埠：119

服務：Network News Transfer Protocol

說明：NEWS新聞組傳輸協議，承載USENET通信。這個埠的連接通常是人們在尋找USENET伺服器。多數ISP限制，只有他們的客戶才能訪問他們的新聞組伺服器。打開新聞組伺服器將允許發/讀任何人的帖子，訪問被限制的新聞組伺服器，匿名發帖或發送SPAM。

11、埠：135

服務：Location Service

說明：Microsoft在這個埠運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時，它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個埠是為了找到這個計算機上運行Exchange Server嗎？什麼版本？還有些DOS攻擊直接針對這個埠。

12、埠：137、138、139

服務：NETBIOS Name Service

說明：其中137、138是UDP埠，當通過網上鄰居傳輸文件時用這個埠。而139埠：通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於windows文件和列印機共享和SAMBA。還有WINS Regisrtation也用它。

13、埠：161

服務：SNMP

說明：SNMP允許遠程管理設備。所有配置和運行信息的儲存在資料庫中，通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網路

14、埠：177

服務：X Display Manager Control Protocol

說明：許多入侵者通過它訪問X-windows操作台，它同時需要打開6000埠。

15、埠：389

服務：LDAP、ILS

說明：輕型目錄訪問協議和NetMeeting Internet Locator Server共用這一埠。

(1)不安全的網路埠有哪些擴展閱讀

一些埠常常會被黑客利用，還會被一些木馬病毒利用，對計算機系統進行攻擊。一般來說，採用一些功能強大的反黑軟體和防火牆來保證系統安全。

有人曾經把伺服器比作房子，而把埠比作通向不同房間（服務）的門，如果不考慮細節的話，這是一個不錯的比喻。入侵者要佔領這間房子，勢必要破門而入（物理入侵另說），那麼對於入侵者來說，了解房子開了幾扇門，都是什麼樣的門，門後面有什麼東西就顯得至關重要。

入侵者通常會用掃描器對目標主機的埠進行掃描，以確定哪些埠是開放的，從開放的埠，入侵者可以知道目標主機大致提供了哪些服務，進而猜測可能存在的漏洞，因此對埠的掃描可以幫助我們更好的了解目標主機，而對於管理員，掃描本機的開放埠也是做好安全防範的第一步。

② 不常用的網路危險埠有那些例如445等越全越好本人電腦專玩游戲不上網

教你如何在電腦上關閉一些危險埠

摘要：默認情況下，Windows有很多埠是開放的，在你上網的時候，網路和黑客可以通過這些埠連上你的電腦。為了讓你的系統變為銅牆鐵壁，應該封閉這些埠，主要有：TCP 135、139、445、593、1025 埠和 UDP 135、137、138、445 埠，一些流行的後門埠（如 TCP 2745、3127、6129 埠），以及遠程服務埠3389。

標簽：Windows安全 埠 黑客


默認情況下，Windows有很多埠是開放的，在你上網的時候，網路和黑客可以通過這些埠連上你的電腦。為了讓你的系統變為銅牆鐵壁，應該封閉這些埠，主要有：TCP 135、139、445、593、1025 埠和 UDP 135、137、138、445 埠，一些流行的後門埠（如 TCP 2745、3127、6129 埠），以及遠程服務埠3389。
1.在Windows XP/2000/2003下關閉這些網路埠：
第一步，「開始」菜單/設置/控制面板/管理工具，雙擊打開「本地策略」，選中「IP 策略，在本地計算機」，在右邊窗格的空白
位置右擊滑鼠，彈出快捷菜單，選擇「創建 IP 安全策略」於是彈出一個向導。在向導中「下一步」按鈕，為新的安全策略命名；再按「下一步」，則顯示「安全通信請求」畫面，在畫面上把「激活默認相應規則」左邊的鉤去掉，「完成」按鈕就創建了一個新的IP 安全策略。
第二步，右擊該IP安全策略，在「屬性」對話框中，把「使用添加向導」左邊的鉤去掉，然後單擊「添加」按鈕添加新的規則，隨後彈出「新規則屬性」對話框，在畫面上「添加」按鈕，彈出IP篩選器列表窗口；在列表中，首先把「使用添加向導」左邊的鉤去掉，然後再右邊的「添加」按鈕添加新的篩選器。
第三步，進入「篩選器屬性」對話框，首先看到的是定址，源地址選「任何 IP 地址」，目標地址選「我的 IP 地址」；「協議」選項卡，在「選擇協議類型」的下拉列表中選擇「TCP」，然後在「到此埠」下的文本框中輸入「135」，「確定」按鈕（如左圖），這樣就添加了一個屏蔽 TCP 135（RPC）埠的篩選器，它可以防止外界通過135埠連上你的電腦。
首先「確定」後回到篩選器列表的對話框，可以看到已經添加了一條策略，重復以上步驟繼續添加 TCP 137、139、445、593 埠和 UDP 135、139、445 埠，為它們建立相應的篩選器。
重復以上步驟添加TCP 1025、2745、3127、6129、3389 埠的屏蔽策略，建立好上述埠的篩選器，最後「確定」按鈕。 第四步，在「新規則屬性」對話框中，選擇「新 IP 篩選器列表」，然後其左邊的圓圈上加一個點，表示已經激活，最後「篩選器操作」選項卡。在「篩選器操作」選項卡中，把「使用添加向導」左邊的鉤去掉，「添加」按鈕，添加「阻止」操作（右圖）：在「新篩選器操作屬性」的「安全措施」選項卡中，選擇「阻止」，然後「確定」按鈕。
第五步、進入「新規則屬性」對話框，「新篩選器操作」，其左邊的圓圈會加了一個點，表示已經激活，「關閉」按鈕，關閉對話框；最後回到「新IP安全策略屬性」對話框，在「新的IP篩選器列表」左邊打鉤，按「確定」按鈕關閉對話框。在「本地安全策略」窗口，用滑鼠右擊新添加的 IP 安全策略，然後選擇「指派」。
於是重新啟動後，電腦中上述網路埠就被關閉了，病毒和黑客再也不能連上這些埠，從而保護了你的電腦。 2.在Widows2008下關閉135埠
首先Windows系統下的135埠主要用於使用RPC（Remote Procere Call，遠程過程調用）協議並提供DCOM（分布式組件對象模型）服務，通過RPC可以保證在一台計算機上運行的程序可以順利地執行遠程計算機上的代碼；使用DCOM可以通過網路直接進行通信，能夠跨包括HTTP協議在內的多種網路傳輸。
埠漏洞：相信去年很多使用Windows 2000/Windows XP和Windows 2008的用戶都中了「沖擊波」病毒，該病毒就是利用RPC漏洞來攻擊計算機的。RPC本身在處理通過TCP/IP的消息交換部分有一個漏洞，該漏洞是由於錯誤地處理格式不正確的消息造成的。該漏洞會影響到RPC與DCOM之間的一個介面，該介面偵聽的埠就是135。
操作建議：為了避免以上所說的「沖擊波」病毒攻擊和破壞，建議您最好是關閉了該埠。

③ 寫出網路中不安全埠，以及對應不安全埠的不安全因素

容易受攻擊的埠號：

1. 135埠開放實際上是一個WINNT漏洞,開放的135的埠情況容易引起自外部的」Snork」攻擊;

2. 139埠,NetBIOS提供服務的tcp埠;

3. 445埠，埠說明:用來傳輸文件和NET遠程管理，埠漏洞:黑客喜歡掃描掃描的漏洞,也是震盪病毒掃描的.

4. 554埠 ，埠說明：554埠默認情況下用於「Real Time Streaming Protocol」（實時流協議，簡稱RTSP）。埠漏洞：目前，RTSP協議所發現的漏洞主要就是RealNetworks早期發布的Helix Universal Server存在緩沖區溢出漏洞，相對來說，使用的554埠是安全的。

5. 1029埠和20168埠： 埠說明:這兩個埠是lovgate蠕蟲所開放的後門埠。

6. 1080埠 埠說明：1080埠是Socks代理服務使用的埠，大家平時上網使用的WWW服務使用的是HTTP協議的代理服務。

7. 3389埠， 首先說明3389埠是windows的遠程管理終端所開的埠，它並不是一個木馬程序，請先確定該服務是否是你自己開放的。

8. 4899埠，首先說明4899埠是一個遠程式控制制軟體（remote administrator)服務端監聽的埠，他不能算是一個木馬程序，但是具有遠程式控制制功能，通常殺毒軟體是無法查出它來的.

9. 4000埠，埠說明：4000埠是用於大家經常使用的qq聊天工具的，再細說就是為qq客戶端開放的埠，qq服務端使用的埠是8000。

10. 5554埠。 埠說明一種針對微軟lsass服務的新蠕蟲病毒——震盪波（Worm.Sasser），該病毒可以利用TCP 5554埠開啟一個FTP服務，主要被用於病毒的傳播。

11. 5632埠 埠說明：5632埠是被大家所熟悉的遠程式控制制軟體pcAnywhere所開啟的埠，分TCP和UDP兩種，通過該埠可以實現在本地計算機上控制遠程計算機，查看遠程計算機屏幕，進行文件傳輸，實現文件同步傳輸。
    

④ 正常的安全通信埠有哪些

0 通常用於分析操作系統。這一方法能夠工作是因為在一些系統中「0」是無效埠，當你試圖使用一種通常的閉合埠連接它時將產生不同的結果。一種典型的掃描：使用IP地址為0.0.0.0，設置ACK位並在乙太網層廣播。

1 tcpmux 這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者，預設情況下tcpmux在這種系統中被打開。Iris機器在發布時含有幾個預設的無密碼的帳戶，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。許多管理員安裝後忘記刪除這些帳戶。因此Hacker們在Internet上搜索tcpmux並利用這些帳戶。

7 Echo 你能看到許多人們搜索Fraggle放大器時，發送到x.x.x.0和x.x.x.255的信息。

常見的一種DoS攻擊是echo循環（echo-loop），攻擊者偽造從一個機器發送到另一個機器的UDP數據包，而兩個機器分別以它們最快的方式回應這些數據包。（參見Chargen）

另一種東西是由DoubleClick在詞埠建立的TCP連接。有一種產品叫做「Resonate Global Dispatch」，它與DNS的這一埠連接以確定最近的路由。

Harvest/squid cache將從3130埠發送UDP echo：「如果將cache的source_ping on選項打開，它將對原始主機的UDP echo埠回應一個HIT reply。」這將會產生許多這類數據包。

11 sysstat 這是一種UNIX服務，它會列出機器上所有正在運行的進程以及是什麼啟動了這些進程。這為入侵者提供了許多信息而威脅機器的安全，如暴露已知某些弱點或帳戶的程序。這與UNIX系統中「ps」命令的結果相似

再說一遍：ICMP沒有埠，ICMP port 11通常是ICMP type=11

19 chargen 這是一種僅僅發送字元的服務。UDP版本將會在收到UDP包後回應含有垃圾字元的包。TCP連接時，會發送含有垃圾字元的數據流知道連接關閉。Hacker利用IP欺騙可以發動DoS攻擊。偽造兩個chargen伺服器之間的UDP包。由於伺服器企圖回應兩個伺服器之間的無限的往返數據通訊一個chargen和echo將導致伺服器過載。同樣fraggle DoS攻擊向目標地址的這個埠廣播一個帶有偽造受害者IP的數據包，受害者為了回應這些數據而過載。

21 ftp 最常見的攻擊者用於尋找打開「anonymous」的ftp伺服器的方法。這些伺服器帶有可讀寫的目錄。Hackers或Crackers 利用這些伺服器作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜索引擎分類)的節點。

22 ssh PcAnywhere建立TCP和這一埠的連接可能是為了尋找ssh。這一服務有許多弱點。如果配置成特定的模式，許多使用RSAREF庫的版本有不少漏洞。（建議在其它埠運行ssh）

還應該注意的是ssh工具包帶有一個稱為make-ssh-known-hosts的程序。它會掃描整個域的ssh主機。你有時會被使用這一程序的人無意中掃描到。

UDP（而不是TCP）與另一端的5632埠相連意味著存在搜索pcAnywhere的掃描。5632（十六進制的0x1600）位交換後是0x0016（使進制的22）。

23 Telnet 入侵者在搜索遠程登陸UNIX的服務。大多數情況下入侵者掃描這一埠是為了找到機器運行的操作系統。此外使用其它技術，入侵者會找到密碼。

25 smtp 攻擊者（spammer）尋找SMTP伺服器是為了傳遞他們的spam。入侵者的帳戶總被關閉，他們需要撥號連接到高帶寬的e-mail伺服器上，將簡單的信息傳遞到不同的地址。SMTP伺服器（尤其是sendmail）是進入系統的最常用方法之一，因為它們必須完整的暴露於Internet且郵件的路由是復雜的（暴露+復雜=弱點）。

53 DNS Hacker或crackers可能是試圖進行區域傳遞（TCP），欺騙DNS（UDP）或隱藏其它通訊。因此防火牆常常過濾或記錄53埠。

需要注意的是你常會看到53埠做為UDP源埠。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回復。Hacker常使用這種方法穿透防火牆。

67和68 Bootp和DHCP UDP上的Bootp/DHCP：通過DSL和cable-modem的防火牆常會看見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP伺服器請求一個地址分配。Hacker常進入它們分配一個地址把自己作為局部路由器而發起大量的「中間人」（man-in-middle）攻擊。客戶端向68埠（bootps）廣播請求配置，伺服器向67埠（bootpc）廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的IP地址。

69 TFTP(UDP) 許多伺服器與bootp一起提供這項服務，便於從系統下載啟動代碼。但是它們常常錯誤配置而從系統提供任何文件，如密碼文件。它們也可用於向系統寫入文件。

79 finger Hacker用於獲得用戶信息，查詢操作系統，探測已知的緩沖區溢出錯誤，回應從自己機器到其它機器finger掃描。

98 linuxconf 這個程序提供linux boxen的簡單管理。通過整合的HTTP伺服器在98埠提供基於Web界面的服務。它已發現有許多安全問題。一些版本setuid root，信任區域網，在/tmp下建立Internet可訪問的文件，LANG環境變數有緩沖區溢出。此外因為它包含整合的伺服器，許多典型的HTTP漏洞可能存在（緩沖區溢出，歷遍目錄等）

109 POP2 並不象POP3那樣有名，但許多伺服器同時提供兩種服務（向後兼容）。在同一個伺服器上POP3的漏洞在POP2中同樣存在。

110 POP3 用於客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交換緩沖區溢出的弱點至少有20個（這意味著Hacker可以在真正登陸前進入系統）。成功登陸後還有其它緩沖區溢出錯誤。

111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。訪問portmapper是掃描系統查看允許哪些RPC服務的最早的一步。常見RPC服務有：rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提供服務的特定埠測試漏洞。

記住一定要記錄線路中的daemon, IDS, 或sniffer，你可以發現入侵者正使用什麼程序訪問以便發現到底發生了什麼。

113 Ident auth 這是一個許多機器上運行的協議，用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多機器的信息（會被Hacker利用）。但是它可作為許多服務的記錄器，尤其是FTP, POP, IMAP, SMTP和IRC等服務。通常如果有許多客戶通過防火牆訪問這些服務，你將會看到許多這個埠的連接請求。記住，如果你阻斷這個埠客戶端會感覺到在防火牆另一邊與e-mail伺服器的緩慢連接。許多防火牆支持在TCP連接的阻斷過程中發回RST，著將回停止這一緩慢的連接。

119 NNTP news 新聞組傳輸協議，承載USENET通訊。當你鏈接到諸如：news://comp.security.firewalls/. 的地址時通常使用這個埠。這個埠的連接企圖通常是人們在尋找USENET伺服器。多數ISP限制只有他們的客戶才能訪問他們的新聞組伺服器。打開新聞組伺服器將允許發/讀任何人的帖子，訪問被限制的新聞組伺服器，匿名發帖或發送spam。

135 oc-serv MS RPC end-point mapper Microsoft在這個埠運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和/或RPC的服務利用機器上的end-point mapper注冊它們的位置。遠端客戶連接到機器時，它們查詢end-point mapper找到服務的位置。同樣Hacker掃描機器的這個埠是為了找到諸如：這個機器上運行Exchange Server嗎？是什麼版本？

這個埠除了被用來查詢服務（如使用epmp）還可以被用於直接攻擊。有一些DoS攻擊直接針對這個埠。

137 NetBIOS name service nbtstat (UDP) 這是防火牆管理員最常見的信息，請仔細閱讀文章後面的NetBIOS一節

139 NetBIOS
File and Print Sharing 通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於Windows「文件和列印機共享」和SAMBA。在Internet上共享自己的硬碟是可能是最常見的問題。

大量針對這一埠始於1999，後來逐漸變少。2000年又有回升。一些VBS（IE5 VisualBasic Scripting）開始將它們自己拷貝到這個埠，試圖在這個埠繁殖。

143 IMAP 和上面POP3的安全問題一樣，許多IMAP伺服器有緩沖區溢出漏洞運行登陸過程中進入。記住：一種Linux蠕蟲（admw0rm）會通過這個埠繁殖，因此許多這個埠的掃描來自不知情的已被感染的用戶。當RadHat在他們的Linux發布版本中默認允許IMAP後，這些漏洞變得流行起來。Morris蠕蟲以後這還是第一次廣泛傳播的蠕蟲。

這一埠還被用於IMAP2，但並不流行。

已有一些報道發現有些0到143埠的攻擊源於腳本。

161 SNMP(UDP) 入侵者常探測的埠。SNMP允許遠程管理設備。所有配置和運行信息都儲存在資料庫中，通過SNMP客獲得這些信息。許多管理員錯誤配置將它們暴露於Internet。Crackers將試圖使用預設的密碼「public」「private」訪問系統。他們可能會試驗所有可能的組合。

SNMP包可能會被錯誤的指向你的網路。Windows機器常會因為錯誤配置將HP JetDirect remote management軟體使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名，你會看見這種包在子網內廣播（cable modem, DSL）查詢sysName和其它信息。

162 SNMP trap 可能是由於錯誤配置

177 xdmcp 許多Hacker通過它訪問X-Windows控制台， 它同時需要打開6000埠。

513 rwho 可能是從使用cable modem或DSL登陸到的子網中的UNIX機器發出的廣播。這些人為Hacker進入他們的系統提供了很有趣的信息。

553 CORBA
IIOP (UDP) 如果你使用cable modem或DSL VLAN，你將會看到這個埠的廣播。CORBA是一種面向對象的RPC（remote procere call）系統。Hacker會利用這些信息進入系統。

600 Pcserver backdoor 請查看1524埠

一些玩script的孩子認為他們通過修改ingreslock和pcserver文件已經完全攻破了系統-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數對這個埠的掃描是基於UDP的，但基於TCP的mountd有所增加（mountd同時運行於兩個埠）。記住，mountd可運行於任何埠（到底在哪個埠，需要在埠111做portmap查詢），只是Linux默認為635埠，就象NFS通常運行於2049埠。

1024 許多人問這個埠是干什麼的。它是動態埠的開始。許多程序並不在乎用哪個埠連接網路，它們請求操作系統為它們分配「下一個閑置埠」。基於這一點分配從埠1024開始。這意味著第一個向系統請求分配動態埠的程序將被分配埠1024。為了驗證這一點，你可以重啟機器，打開Telnet，再打開一個窗口運行「natstat -a」，你將會看到Telnet被分配1024埠。請求的程序越多，動態埠也越多。操作系統分配的埠將逐漸變大。再來一遍，當你瀏覽Web頁時用「netstat」查看，每個Web頁需要一個新埠。

1025 參見1024

1026 參見1024

1080 SOCKS
這一協議以管道方式穿過防火牆，允許防火牆後面的許多人通過一個IP地址訪問Internet。理論上它應該只允許內部的通信向外達到Internet。但是由於錯誤的配置，它會允許Hacker/Cracker的位於防火牆外部的攻擊穿過防火牆。或者簡單地回應位於Internet上的計算機，從而掩飾他們對你的直接攻擊。WinGate是一種常見的Windows個人防火牆，常會發生上述的錯誤配置。在加入IRC聊天室時常會看到這種情況。

1114 SQL
系統本身很少掃描這個埠，但常常是sscan腳本的一部分。

1243 Sub-7木馬（TCP）

1524 ingreslock後門
許多攻擊腳本將安裝一個後門Shell於這個埠（尤其是那些針對Sun系統中Sendmail和RPC服務漏洞的腳本，如statd, ttdbserver和cmsd）。如果你剛剛安裝了你的防火牆就看到在這個埠上的連接企圖，很可能是上述原因。你可以試試Telnet到你的機器上的這個埠，看看它是否會給你一個Shell。連接到600/pcserver也存在這個問題。

2049 NFS
NFS程序常運行於這個埠。通常需要訪問portmapper查詢這個服務運行於哪個埠，但是大部分情況是安裝後NFS運行於這個埠，Hacker/Cracker因而可以閉開portmapper直接測試這個埠。

3128 squid
這是Squid HTTP代理伺服器的默認埠。攻擊者掃描這個埠是為了搜尋一個代理伺服器而匿名訪問Internet。你也會看到搜索其它代理伺服器的埠：8000/8001/8080/8888。掃描這一埠的另一原因是：用戶正在進入聊天室。其它用戶（或伺服器本身）也會檢驗這個埠以確定用戶的機器是否支持代理。請查看5.3節。

5632 pcAnywere
你會看到很多這個埠的掃描，這依賴於你所在的位置。當用戶打開pcAnywere時，它會自動掃描區域網C類網以尋找可能得代理（譯者：指agent而不是proxy）。Hacker/cracker也會尋找開放這種服務的機器，所以應該查看這種掃描的源地址。一些搜尋pcAnywere的掃描常包含埠22的UDP數據包。參見撥號掃描。

6776 Sub-7 artifact
這個埠是從Sub-7主埠分離出來的用於傳送數據的埠。例如當控制者通過電話線控制另一台機器，而被控機器掛斷時你將會看到這種情況。因此當另一人以此IP撥入時，他們將會看到持續的，在這個埠的連接企圖。（譯者：即看到防火牆報告這一埠的連接企圖時，並不表示你已被Sub-7控制。）

6970 RealAudio
RealAudio客戶將從伺服器的6970-7170的UDP埠接收音頻數據流。這是由TCP7070埠外向控制連接設置的。

13223 PowWow
PowWow 是Tribal Voice的聊天程序。它允許用戶在此埠打開私人聊天的連接。這一程序對於建立連接非常具有「進攻性」。它會「駐扎」在這一TCP埠等待回應。這造成類似心跳間隔的連接企圖。如果你是一個撥號用戶，從另一個聊天者手中「繼承」了IP地址這種情況就會發生：好象很多不同的人在測試這一埠。這一協議使用「OPNG」作為其連接企圖的前四個位元組。

17027 Concent
這是一個外向連接。這是由於公司內部有人安裝了帶有Concent "adbot" 的共享軟體。Concent "adbot"是為共享軟體顯示廣告服務的。使用這種服務的一種流行的軟體是Pkware。有人試驗：阻斷這一外向連接不會有任何問題，但是封掉IP地址本身將會導致adbots持續在每秒內試圖連接多次而導致連接過載：
機器會不斷試圖解析DNS名—ads.concent.com，即IP地址216.33.210.40 ；216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（譯者：不知NetAnts使用的Radiate是否也有這種現象）

27374 Sub-7木馬(TCP)

30100 NetSphere木馬(TCP)
通常這一埠的掃描是為了尋找中了NetSphere木馬。

31337 Back Orifice 「elite」
Hacker中31337讀做「elite」/ei』li:t/（譯者：法語，譯為中堅力量，精華。即3=E, 1=L, 7=T）。因此許多後門程序運行於這一埠。其中最有名的是Back Orifice。曾經一段時間內這是Internet上最常見的掃描。現在它的流行越來越少，其它的木馬程序越來越流行。

31789 Hack-a-tack
這一埠的UDP通訊通常是由於"Hack-a-tack"遠程訪問木馬（RAT, Remote Access Trojan）。這種木馬包含內置的31790埠掃描器，因此任何31789埠到317890埠的連接意味著已經有這種入侵。（31789埠是控制連接，317890埠是文件傳輸連接）

32770~32900 RPC服務
Sun Solaris的RPC服務在這一范圍內。詳細的說：早期版本的Solaris（2.5.1之前）將portmapper置於這一范圍內，即使低埠被防火牆封閉仍然允許Hacker/cracker訪問這一埠。掃描這一范圍內的埠不是為了尋找portmapper，就是為了尋找可被攻擊的已知的RPC服務。

33434~33600 traceroute
如果你看到這一埠范圍內的UDP數據包（且只在此范圍之內）則可能是由於traceroute。參見traceroute部分。

⑤ 哪些埠屬於危險埠.需要關閉

為了讓你的系統變為銅牆鐵壁，應該封閉這些埠，主要有：TCP 135、139、445、593、1025 埠和 UDP 135、137、138、445 埠，一些流行病毒的後門埠（如 TCP 2745、3127、6129 埠），以及遠程服務訪問埠3389

113埠木馬的清除（僅適用於windows系統）：
這是一個基於irc聊天室控制的木馬程序。
1.首先使用netstat -an命令確定自己的系統上是否開放了113埠
2.使用fport命令察看出是哪個程序在監聽113埠
fport工具下載
例如我們用fport看到如下結果：
Pid Process Port Proto Path
392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe

我們就可以確定在監聽在113埠的木馬程序是vhos.exe而該程序所在的路徑為
c:\winnt\system32下。
3.確定了木馬程序名（就是監聽113埠的程序）後，在任務管理器中查找到該進程，
並使用管理器結束該進程。
4.在開始-運行中鍵入regedit運行注冊表管理程序，在注冊表裡查找剛才找到那個程序，
並將相關的鍵值全部刪掉。
5.到木馬程序所在的目錄下刪除該木馬程序。（通常木馬還會包括其他一些程序，如
rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根據
木馬程序不同，文件也有所不同，你可以通過察看程序的生成和修改的時間來確定與
監聽113埠的木馬程序有關的其他程序）
6.重新啟動機器。

3389埠的關閉：
首先說明3389埠是windows的遠程管理終端所開的埠，它並不是一個木馬程序，請先
確定該服務是否是你自己開放的。如果不是必須的，請關閉該服務。

win2000關閉的方法：
win2000server 開始-->程序-->管理工具-->服務里找到Terminal Services服務項，
選中屬性選項將啟動類型改成手動，並停止該服務。
win2000pro 開始-->設置-->控制面板-->管理工具-->服務里找到Terminal Services
服務項，選中屬性選項將啟動類型改成手動，並停止該服務。
winxp關閉的方法：
在我的電腦上點右鍵選屬性-->遠程，將裡面的遠程協助和遠程桌面兩個選項框里的勾去掉。

4899埠的關閉：
首先說明4899埠是一個遠程式控制制軟體（remote administrator)服務端監聽的埠，他不能
算是一個木馬程序，但是具有遠程式控制制功能，通常殺毒軟體是無法查出它來的，請先確定該服
務是否是你自己開放並且是必需的。如果不是請關閉它。

關閉4899埠：
請在開始-->運行中輸入cmd(98以下為command),然後cd C:\winnt\system32(你的系統
安裝目錄），輸入r_server.exe /stop後按回車。
然後在輸入r_server /uninstall /silence

到C:\winnt\system32(系統目錄）下刪除r_server.exe admdll.dll radbrv.dll三個文件

5800，5900埠：

1.首先使用fport命令確定出監聽在5800和5900埠的程序所在位置（通常會是c:\winnt\fonts\
explorer.exe)
2.在任務管理器中殺掉相關的進程（注意有一個是系統本身正常的，請注意！如果錯殺可以重新
運行c:\winnt\explorer.exe)
3.刪除C:\winnt\fonts\中的explorer.exe程序。
4.刪除注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的
Explorer項。
5.重新啟動機器。

6129埠的關閉：

首先說明6129埠是一個遠程式控制制軟體（dameware nt utilities)服務端監聽得埠，他不是
一個木馬程序，但是具有遠程式控制制功能，通常的殺毒軟體是無法查出它來的。請先確定該服務
是否是你自己安裝並且是必需的，如果不是請關閉。

關閉6129埠：
選擇開始-->設置-->控制面板-->管理工具-->服務
找到DameWare Mini Remote Control項點擊右鍵選擇屬性選項，將啟動類型改成禁用後
停止該服務。
到c:\winnt\system32(系統目錄）下將DWRCS.EXE程序刪除。
到注冊表內將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表項刪除。

1029埠和20168埠：

這兩個埠是lovgate蠕蟲所開放的後門埠。
蠕蟲相關信息請參見：Lovgate蠕蟲：http://it.rising.com.cn/newSite/ ... rus/Antivirus_Base/
TopicExplorerPagePackage/lovgate.htm
你可以下載專殺工具：http://it.rising.com.cn/service/ ... ovGate_download.htm
使用方法：下載後直接運行，在該程序運行結束後重起機器後再運行一遍該程序。

45576埠：

這是一個代理軟體的控制埠，請先確定該代理軟體並非你自己安裝（代理軟體會給你的機器帶
來額外的流量）

關閉代理軟體：
1.請先使用fport察看出該代理軟體所在的位置
2.在服務中關閉該服務（通常為SkSocks），將該服務關掉。
3.到該程序所在目錄下將該程序刪除

還有本人也從個個地方搜集的資料顯示137，138，1025，2475，3127，6129，3389，還有tcp.（不安全埠）
埠也可在自身防火牆中設置IP規則，防火牆會自動攔截不可信的，和想入侵計算機的不安全埠，比如（7306,7307,7308,12345,12346）等。

⑥ 目前電腦中的哪些埠不安全，最好關閉

135.系統埠139.445.1433.3389.8080就這么多…

⑦ 什麼埠是最安全的

沒有什麼絕對安全的服務埠（包括TCP/IP 埠、UDP 埠等）。從信息安全和網路安全的角度上講，安全從來都是相對的，而不安全才是絕對的！
之所以感覺到自己使用的電腦是安全的，那是因為自己的電腦還沒有被網路高手注意到。如果一旦被網路高手注意到，那麼自己的電腦肯定就不安全了。

⑧ 網路中常用的埠號有哪些

21/tcp FTP 文件傳輸協議
22/tcp SSH 安全登錄、文件傳送(SCP)和埠重定向
23/tcp Telnet 不安全的文本傳送
25/tcp SMTP Simple Mail Transfer Protocol (E-mail)
69/udp TFTP Trivial File Transfer Protocol
79/tcp finger Finger
80/tcp HTTP 超文本傳送協議 (WWW)
88/tcp Kerberos Authenticating agent
110/tcp POP3 Post Office Protocol (E-mail)
113/tcp ident old identification server system
119/tcp NNTP used for usenet newsgroups
220/tcp IMAP3
443/tcp HTTPS used for securely transferring web pages

⑨ 網路中常用的埠號有哪些

埠號小於256的一般為常用埠號。其中常用的保留TCP埠號有HTTP 80、FTP 20/21、Telnet 23、SMTP 25、DNS 53等；常用的保留UDP埠號有DNS 53、BootP 67（server）/ 68（client）、TFTP 69、SNMP 161等。

TCP與UDP段結構中埠地址都是16比特，可以有在0-65535范圍內的埠號。任何TCP/IP實現所提供的服務都用1-1023之間的埠號，是由ICANN來管理的。埠號從1024-49151是被注冊的埠號，被IANA指定為特殊服務使用。從49152-65535是動態或私有埠號。

(9)不安全的網路埠有哪些擴展閱讀：

各個埠及埠號的實際用途

1、1系埠

POP3伺服器開放102埠，用於接收郵件，客戶端訪問伺服器端的郵件服務；NEWS新聞組傳輸協議，承載USENET通信。這個埠的連接通常是人們在尋找USENET伺服器；137、138是UDP埠，當通過網上鄰居傳輸文件時用這個埠。

2、2系埠

FTP伺服器開放的21埠，用於上傳、下載。最常見的攻擊者用於尋找打開anonymous的FTP伺服器的方法。這些伺服器帶有可讀寫的目錄；PcAnywhere建立的TCP和22埠的連接可能是為了尋找ssh；掃描23埠是為了找到機器運行的操作系統。

3、3系埠

輕型目錄訪問協議和NetMeeting Internet Locator Server共用389埠。

4、4系埠

網頁瀏覽443埠，能提供加密和通過安全埠傳輸的另一種HTTP；木馬HACKERS PARADISE開放456埠。

⑩ 常用的網路埠號有哪幾個

網際網路上最流行的協議是TCP/IP協議，需要說明的是，TCP/IP協議在網路層是無連接的（數據包只管往網上發，如何傳輸和到達以及是否到達由網路設備來管理）。而我們一旦談「埠」，就已經到了傳輸層。協議裡面低於1024的埠都有確切的定義，它們對應著網際網路上常見的一些服務。這些常見的服務可以劃分為使用TCP埠（面向連接如打電話）和使用UDP埠（無連接如寫信）兩種。
使用TCP埠常見的有：
ftp：定義了文件傳輸協議,使用21埠。常說某某主機開了 ftp服務便是文件傳輸服務。下載文件，上傳主頁，都要用到ftp服務。
telnet：你上BBS嗎？以前的BBS是純字元界面的，支持BBS的伺服器將23埠打開，對外提供服務。其實Telnet的真正意思是遠程登陸：用戶可以以自己的身份遠程連接到主機上。
smtp：定義了簡單郵件傳送協議。現在很多郵件伺服器都用的是這個協議，用於發送郵件。伺服器開放的是25埠。
http：這可是大家用得最多的協議了——超文本傳送協議。上網瀏覽網頁就需要用到它，那麼提供網頁資源的主機就得打開其80埠以提供服務。我們常說「提供www服務」、「Web伺服器」就是這個意思。
pop3：和smtp對應，pop3用於接收郵件。通常情況下，pop3協議所用的是110埠。在263等免費郵箱中，幾乎都有pop3收信功能。也就是說，只要你有相應的使用pop3協議的程序（例如Foxmail或Outlook），不需要從Web方式登陸進郵箱界面，即可以收信。
使用UDP埠常見的有：
DNS：域名解析服務。網際網路上的每一台計算機都有一個網路地址與之對應，這個地址就是我們常說的IP地址，它以純數字的形式表示。然而這卻不便記憶，於是出現了域名。訪問主機的時候只需要知道域名，域名和IP地址之間的變換由DNS伺服器來完成。DNS用的是53埠。
snmp：簡單網路管理協議，使用161埠，是用來管理網路設備的。由於網路設備很多，無連接的服務就體現出其優勢。
聊天軟體QQ：QQ的程序既接受服務，又提供服務，這樣兩個聊天的人才是平等的。QQ用的是無連接的協議，其伺服器使用8000埠，偵聽是否有信息到來;客戶端使用4000埠，向外發送信息。如果上述兩個埠正在使用（有很多人同時和幾個好友聊天），就順序往上加。