포트는
의 세 가지 범주로 나눌 수 있습니다1) 공인 포트 (Well Known Ports): 0 에서 1023 까지 일부 서비스에 긴밀하게 연결되어 있습니다. 일반적으로 이러한 포트의 통신은 특정 서비스에 대한 프로토콜을 명확하게 나타냅니다. 예: 80 포트는 실제로 항상 HTTP 통신입니다.
2) 등록 포트: 1024 에서 49151 까지. 그들은 느슨하게 일부 서비스에 바인딩됩니다. 즉, 이러한 포트에 바인딩된 많은 서비스가 있으며 이러한 포트는 다른 많은 목적에도 사용됩니다. 예: 많은 시스템이 1024 정도부터 동적 포트를 처리합니다.
3) 동적 및/또는 전용 포트: 49152 ~ 65535. 이론적으로 이러한 포트는 서비스에 할당해서는 안됩니다. 실제로 시스템은 일반적으로 1024 부터 동적 포트를 할당합니다. 단, SUN 의 RPC 포트는 32768 로 시작합니다.
0 은 일반적으로 운영 체제를 분석하는 데 사용됩니다. 이 방법은 일부 시스템에서 "0" 이 유효하지 않기 때문에 작동합니다. 일반적인 닫힌 포트를 사용하여 연결하려고 하면 다른 결과가 발생합니다. 일반적인 스캔: IP 주소 0.0.0.0 을 사용하여 ACK 비트를 설정하고 이더넷 계층에서 브로드캐스팅합니다.
1 tcpmux 이것은 누군가가 SGI Irix 기계를 찾고 있음을 보여줍니다. Irix 는 tcpmux 를 구현하는 주요 제공자로, 기본적으로 tcpmux 가 이 시스템에서 열립니다. Iris 시스템에는 LP, 게스트, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 4Dgifts 등 몇 가지 기본 비밀번호가 없는 계정이 포함되어 있습니다. 많은 관리자가 설치 후 이러한 계정을 삭제하는 것을 잊었습니다. 그래서 Hacker 들은 인터넷에서 tcpmux 를 검색하고 이 계정을 이용한다.
7 Echo 많은 사람들이 Fraggle 증폭기를 검색할 때 x.x.x.0 과 x.x.x.255 로 전송되는 정보를 볼 수 있습니다.
일반적인 DoS 공격은 echo 루프 (echo-loop) 로 공격자가 한 시스템에서 다른 시스템으로 전송된 UDP 패킷을 위조하고 두 시스템이 각각 가장 빠른 방식으로 해당 패킷에 응답하는 것입니다. (chargen 참조)
또 다른 것은 DoubleClick 이 단어 포트에서 설정한 TCP 연결입니다. "Resonate Global Dispatch" 라는 제품이 있는데, 이 제품은 DNS 의 이 포트에 연결되어 가장 가까운 경로를 결정합니다.
Harvest/squid cache 는 포트 3130 에서 UDP echo 를 보냅니다. "cache 의 source_ping on 옵션을 켜면 원래 호스트의 UDP echo 포트에 HIT reply 에 응답합니다." 이로 인해 이러한 패킷이 많이 생성됩니다.
11 sysstat 시스템에서 실행 중인 모든 프로세스와 프로세스를 시작한 것을 나열하는 UNIX 서비스입니다. 이것은 침입자에게 많은 정보를 제공하고 기계의 안전을 위협한다. 예를 들면, 알려진 어떤 약점이나 계정을 폭로하는 절차이다.
이는 UNIX 시스템에서' PS' 명령의 결과와 유사합니다.
다시 한 번 말하지만 ICMP 에는 포트가 없습니다. ICMP port 11 은 보통 ICMP type=11
입니다19 chargen 이것은 문자만 보내는 서비스입니다. UDP 버전은 UDP 패키지를 받은 후 가비지 문자가 포함된 패키지에 응답합니다. TCP 가 연결되면 스팸문자가 포함된 데이터 스트림이 전송되어 연결이 해제되었음을 알 수 있습니다. Hacker 는 IP 스푸핑을 이용하여 DoS 공격을 개시할 수 있다. 두 chargen 서버 간의 UDP 패킷을 위조합니다. 서버가 두 서버 간의 무제한 왕복 데이터 통신에 응답하려고 시도하므로 chargen 과 echo 가 서버 과부하를 초래할 수 있습니다. 마찬가지로 fraggle DoS 공격은 대상 주소의 이 포트에 위조 피해자 IP 가 있는 패킷을 브로드캐스트하는데, 피해자는 이 데이터에 응답하기 위해 과부하를 일으킨다.
21 FTP 의 가장 일반적인 공격자는' anonymous' 를 여는 FTP 서버를 찾는 방법을 찾는 데 사용됩니다. 이러한 서버에는 읽기/쓰기 가능한 디렉토리가 있습니다. Hackers 또는 Crackers 는 이러한 서버를 warez (개인 프로그램) 및 pr0n (검색 엔진에 의해 분류되지 않도록 의도적으로 잘못된 단어를 철자하는 노드) 으로 사용합니다.
22 ssh PcAnywhere 는 ssh 를 찾기 위해 TCP 와 이 포트를 연결합니다. 이 서비스에는 많은 약점이 있다. 특정 모드로 구성된 경우 RSAREF 라이브러리를 사용하는 많은 버전에는 많은 취약점이 있습니다. (다른 포트에서 ssh 실행 권장)
또한 ssh 키트에는 make-ssh-known-hosts 라는 프로그램이 있습니다. 전체 도메인의 ssh 호스트를 검색합니다. 너는 때때로 이 프로그램을 사용하는 사람이 무심코 스캔한다.
UDP (TCP 아님) 가 다른 쪽 끝에 있는 5632 포트에 연결된다는 것은 pcAnywhere 를 검색하는 스캔이 있음을 의미합니다. 5632 (16 진수 0x1600) 비트 스위칭 후 0x0016 (이진 22) 입니다.
23 텔넷 침입자가 원격으로 UNIX 에 로그인하는 서비스를 검색하고 있다. 대부분의 경우 침입자는 기계가 실행 중인 운영 체제를 찾기 위해 이 포트를 스캔합니다. 또한 다른 기술을 사용하면 침입자가 암호를 찾을 수 있습니다.
25 SMTP 공격자 (spammer) 는 spam 을 전달하기 위해 SMTP 서버를 찾습니다. 침입자의 계정은 항상 폐쇄되며, 고대역폭 e-mail 서버에 전화를 걸어 간단한 정보를 다른 주소로 전달해야 합니다. SMTP 서버, 특히 sendmail 은 인터넷에 완전히 노출되어야 하고 메시지 라우팅이 복잡하기 때문에 시스템에 들어가는 가장 일반적인 방법 중 하나입니다 (노출+복잡 = 약점).
53 DNS Hacker 또는 crackers 는 TCP (지역 전송) 를 시도하거나, DNS(UDP) 를 속이거나, 다른 통신을 숨기는 것일 수 있습니다. 따라서 방화벽은 종종 53 포트를 필터링하거나 기록합니다.
53 포트를 UDP 소스 포트로 자주 볼 수 있다는 점에 유의해야 합니다. 불안정한 방화벽은 일반적으로 이러한 통신을 허용하며 DNS 쿼리에 대한 응답이라고 가정합니다. Hacker 는 종종 이 방법을 사용하여 방화벽을 관통한다.
67 및 68 Bootp 및 DHCP UDP 의 Bootp/DHCP: DSL 및 케이블 모델을 통한 방화벽은 브로드캐스트 주소 255.255.255.255 로 전송되는 대량의 데이터를 자주 볼 수 있습니다. 이 시스템들은 DHCP 서버에 주소 할당을 요청하고 있다. Hacker 는 종종 주소를 할당하여 자신을 로컬 라우터로 지정하여 대량의' 중매인' 공격을 개시한다. (존 F. 케네디, Northern Exposure (미국 TV 드라마), 명예명언)
클라이언트는 요청 구성을 68 포트 (bootps) 에 브로드캐스트하고 서버는 67 포트 (bootpc) 에 응답 요청을 브로드캐스트합니다. 이 응답은 클라이언트가 보낼 수 있는 IP 주소를 아직 모르기 때문에 브로드캐스트를 사용합니다.
69 TFTP(UDP) 많은 서버가 BOOTP 와 함께 이 서비스를 제공하여 시스템에서 부트 코드를 쉽게 다운로드할 수 있습니다. 그러나 암호 파일과 같은 모든 파일을 시스템에서 제공하기 위해 잘못 구성된 경우가 많습니다. 또한 시스템에 파일을 쓰는 데도 사용할 수 있습니다.
79 finger Hacker 는 사용자 정보를 얻고, 운영 체제를 쿼리하고, 알려진 버퍼 오버플로 오류를 탐지하고, 자신의 시스템에서 다른 시스템 finger 스캔에 응답하는 데 사용됩니다.
98 linuxconf 이 프로그램은 Linux boxen 의 간단한 관리를 제공합니다. 통합 HTTP 서버를 통해 98 포트에서 웹 인터페이스 기반 서비스를 제공합니다. 많은 보안 문제가 발견되었습니다. 일부 버전의 setuid root, 신뢰할 수 있는 LAN, /tmp 아래에 인터넷 액세스 가능 파일 설정, LANG 환경 변수에 버퍼 오버플로가 있습니다. 또한 통합 서버가 포함되어 있기 때문에 많은 일반적인 HTTP 취약점이 존재할 수 있습니다 (버퍼 오버플로, 트래버스 디렉토리 등)
109 POP2 는 POP3 만큼 유명하지는 않지만 많은 서버가 두 가지 서비스 (이전 버전과의 호환성) 를 동시에 제공합니다. 동일한 서버에서 POP3 의 취약점은 POP2 에도 존재합니다.
110 POP3 은 클라이언트가 서버측 메일 서비스에 액세스하는 데 사용됩니다. POP3 서비스에는 많은 인정 된 약점이 있습니다. 사용자 이름 및 비밀번호 교환 버퍼 오버플로에 대한 취약점은 최소 20 개 (즉, Hacker 가 실제로 로그인하기 전에 시스템에 들어갈 수 있음) 입니다. 로그인에 성공한 후 다른 버퍼 오버플로 오류가 있습니다.
111 sun RPC portmap rpcbind sun RPC portmap per/rpcbind. Portmapper 에 액세스하는 것은 시스템을 스캔하여 허용되는 RPC 서비스를 확인하는 가장 빠른 단계입니다. 일반적인 RPC 서비스는 rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd 등입니다. 침입자는 허용된 RPC 서비스가 서비스를 제공하는 특정 포트 테스트 취약점으로 전환된다는 사실을 발견했습니다.
라인의 데몬, IDS 또는 스니퍼를 기록해 두십시오. 침입자가 무슨 일이 일어나고 있는지 알아내기 위해 어떤 프로그램 액세스를 사용하고 있는지 알 수 있습니다. (존 F. 케네디, Northern Exposure (미국 TV 드라마), 전쟁명언)
113 Ident auth TCP 연결 사용자를 인증하는 많은 시스템에서 실행되는 프로토콜입니다. 표준 서비스를 사용하면 많은 기계에 대한 정보를 얻을 수 있습니다 (Hacker 에 의해 이용될 것입니다). 그러나 많은 서비스의 레코더, 특히 FTP, POP, IMAP, SMTP, IRC 등의 서비스로 사용할 수 있습니다. 일반적으로 방화벽을 통해 이러한 서비스에 액세스하는 고객이 많은 경우 이 포트에 대한 접속 요청을 볼 수 있습니다. 이 포트 클라이언트를 차단하면 방화벽 반대편에서 전자 메일 서버와의 느린 연결이 느껴진다는 것을 기억하십시오. 많은 방화벽이 TCP 연결을 차단하는 동안 RST 를 반송하여 느린 연결을 다시 중지할 수 있도록 지원합니다.
119 NNTP news 뉴스그룹 전송 프로토콜, USENET 통신을 호스팅합니다. 이 포트는 일반적으로 news://comp.security.firewalls/.와 같은 주소에 연결할 때 사용됩니다. 이 포트의 연결 시도는 보통 사람들이 USENET 서버를 찾고 있다. 대부분의 ISP 는 고객만 뉴스 그룹 서버에 액세스할 수 있도록 제한합니다. 뉴스그룹 서버를 열면 누군가의 게시물을 보내거나 읽을 수 있고, 제한된 뉴스그룹 서버에 액세스하거나, 익명으로 게시하거나 spam 을 보낼 수 있습니다.
135 oc-serv ms RPC end-point mapper Microsoft 는 이 포트에서 DCE RPC end-point mapper 를 실행하여 DCOM 서비스를 제공합니다. 이는 UNIX 111 포트의 기능과 매우 유사합니다. DCOM 및/또는 RPC 를 사용하는 서비스는 시스템의 end-point mapper 를 사용하여 해당 위치를 등록합니다. 원격 고객은 시스템에 연결할 때 end-point mapper 를 쿼리하여 서비스 위치를 찾습니다. 같은 Hacker 스캔 시스템의 이 포트는 이 시스템에서 Exchange 서버를 실행하기 위한 것입니까? 어떤 버전입니까?
이 포트는 조회 서비스 (예: epdump 사용) 뿐만 아니라 직접 공격에도 사용될 수 있습니다. 이 포트를 직접 겨냥한 DoS 공격이 있습니다.
137 NetBIOS name service nbtstat (UDP) 방화벽 관리자의 가장 일반적인 정보입니다. 문장 뒤의 NetBIOS 섹션
을 자세히 읽어 보십시오139 NetBIOS File and Print Sharing 이 포트를 통해 들어오는 연결은 NetBIOS/SMB 서비스를 얻으려고 시도합니다. 이 프로토콜은 Windows' 파일 및 프린터 * * * 공유' 및 삼바에 사용됩니다. 인터넷에서 * * * 자신의 하드 드라이브를 즐기는 것이 가장 흔한 문제일 수 있습니다.
이 포트에 대한 대량은 1999 년에 시작되었다가 점차 줄어들었다. 2000 년에는 또 반등했다. 일부 VBS(IE5 VisualBasic Scripting) 는 이 포트에 자신을 복사해 이 포트에서 번식을 시도하기 시작했다.
143 IMAP 는 위의 POP3 의 보안 문제와 마찬가지로 많은 IMAP 서버에 버퍼 오버플로우 취약점이 있어 로그인 중 진입합니다. Linux 웜 (admw0rm) 은 이 포트를 통해 번식하기 때문에 모르는 감염된 사용자가 이 포트를 많이 스캔합니다. RadHat 가 Linux 릴리스에서 IMAP 를 기본적으로 허용하면 이러한 취약점이 유행하게 됩니다. 모리스 웜 이후 널리 퍼진 웜은 이번이 처음이다.
이 포트는 IMAP2 에도 사용되지만 유행하지는 않습니다.
일부 보도에 따르면 일부 0 ~ 143 포트 공격은 스크립트에서 비롯된 것으로 나타났습니다.
161 SNMP(UDP) 침입자가 자주 탐지하는 포트입니다. SNMP 를 사용하면 디바이스를 원격으로 관리할 수 있습니다. 모든 구성 및 운영 정보는 데이터베이스에 저장되며 SNMP 고객을 통해 얻을 수 있습니다. 많은 관리자들이 인터넷에 노출되도록 잘못 구성되었습니다. Crackers 는 기본 암호인 public”“private 를 사용하여 시스템에 액세스하려고 시도합니다. 그들은 가능한 모든 조합을 시험해 볼 수 있다.
SNMP 패키지는 네트워크를 잘못 가리킬 수 있습니다. Windows 시스템은 잘못된 구성으로 인해 HP JetDirect remote management 소프트웨어가 SNMP 를 사용하는 경우가 많습니다. HP OBJECT IDENTIFIER 는 SNMP 패키지를 받게 됩니다. Win98 의 새 버전은 SNMP 를 사용하여 도메인 이름을 확인합니다. 이 패키지는 서브넷 내 브로드캐스트 (cable modem, DSL) 쿼리 sysName 및 기타 정보를 볼 수 있습니다.
162 SNMP trap 잘못된 구성
으로 인한 것일 수 있습니다177 xdmcp 많은 Hacker 가 이를 통해 X-Windows 콘솔에 액세스하며 6000 포트를 열어야 합니다.
513 rwho 는 케이블 모뎀이나 DSL 을 사용하여 로그인한 서브넷의 UNIX 시스템에서 보낸 방송일 수 있습니다. 이 사람들은 Hacker 가 그들의 시스템에 들어가는 것에 대해 매우 흥미로운 정보를 제공했다.
553 CORBA IIOP (UDP) 케이블 모뎀이나 DSL VLAN 을 사용하면 이 포트의 방송을 볼 수 있습니다. CORBA 는 객체 지향 RPC(remote procedure call) 시스템입니다. Hacker 는 이 정보를 이용하여 시스템에 들어갈 것이다.
600 Pcserver backdoor 1524 포트 보기
스크립팅을 하는 일부 아이들은 ingreslock 과 PC 서버 파일을 수정하여 시스템을 완전히 무너뜨렸다고 생각합니다.-Alan J. Rosenthal.
635 mountd Linux 용 mountd Bug. 이것은 사람들이 스캔하는 인기있는 버그입니다. 이 포트에 대한 대부분의 스캔은 UDP 를 기반으로 하지만 TCP 기반 mountd 가 증가했습니다 (mountd 는 두 포트에서 동시에 실행됨). Mountd 는 NFS 가 일반적으로 2049 포트에서 실행되는 것처럼 모든 포트 (포트 111 에서 portmap 쿼리가 필요한 포트) 에서 실행될 수 있지만 Linux 는 기본적으로 635 포트로 설정됩니다.
1024 많은 사람들이 이 포트가 무엇을 하는지 물었다. 동적 포트의 시작입니다. 많은 프로그램은 네트워크에 연결하는 데 사용되는 포트에 신경 쓰지 않고 운영 체제에 "다음 유휴 포트" 를 할당하도록 요청합니다. 이를 바탕으로 포트 1024 부터 할당이 시작됩니다. 즉, 시스템 요청에 동적 포트를 할당하는 첫 번째 프로그램에는 포트 1024 가 할당됩니다. 이를 확인하기 위해 기계를 다시 시작하고, 텔넷을 열고, "natstat -a" 를 실행하는 창을 열면, 텔넷에 1024 포트가 할당된 것을 볼 수 있다. 요청한 프로그램이 많을수록 동적 포트도 많아집니다. 운영 체제에서 할당한 포트가 점차 커질 것입니다. 다시 한 번, 웹 페이지를 탐색할 때 "netstat" 으로 보면 각 웹 페이지에 새 포트가 필요합니다.
-응? Ersion 0.4.1, June 20,2000
/pubs/firewall-seen.html
Copyright 1998-2000 by Robert Graham (mailto: firewall-seen1 @ robertgraham.com.
All rights reserved.this document may only be reproduced (whole or
In part) for non-commercial purposes.all reproductions must
Contain this copyright notice and must not be altered, except by
Permission of the author ..
1025 1024 참조
1026 1024 참조
1080 소켓
이 프로토콜은 방화벽을 파이프로 통과하므로 방화벽 뒤의 많은 사람들이 하나의 IP 주소를 통해 인터넷에 액세스할 수 있습니다. 이론적으로 내부 통신만 인터넷에 도달하도록 허용해야 합니다. 그러나 잘못된 구성으로 인해 Hacker/Cracker 의 방화벽 외부에 있는 공격이 방화벽을 통과할 수 있습니다. 또는 인터넷에 있는 컴퓨터에 간단히 응답하여 직접 공격을 감출 수 있습니다. WinGate 는 위에서 설명한 잘못된 구성이 자주 발생하는 일반적인 Windows 개인 방화벽입니다. 이 상황은 IRC 대화방에 가입할 때 자주 볼 수 있습니다.
1114 SQL
시스템 자체는 이 포트를 거의 스캔하지 않지만 sscan 스크립트의 일부인 경우가 많습니다.
1243 Sub-7 트로이 목마 (TCP)
Subseven 섹션을 참조하십시오.
1524 ingreslock 백도어
많은 공격 스크립트는 이 포트 (특히 Sun 시스템의 Sendmail 및 RPC 서비스 취약점에 대한 스크립트 (예: statd, ttdbserver, cmsd) 에 백도어 Sh*ll 을 설치합니다. 방화벽을 설치한 지 얼마 안 되어 이 포트에 대한 연결 시도를 보면 위와 같은 원인일 가능성이 높다. 텔넷을 여러분의 기계에 있는 이 포트로 시도해 보세요. Sh*ll 을 줄 수 있는지 확인해 보세요. 이 문제는 600/PC 서버에 연결하는 데도 발생합니다.
2049 NFS
NFS 프로그램은 이 포트에서 자주 실행됩니다. 일반적으로 portmapper 에 액세스하여 이 서비스가 실행되는 포트를 조회해야 하지만, 대부분의 경우 설치 후 NFS 살구 (NFS) 는 실크 마운드 (NFS) 입니까? 따라서 acker/Cracker 는 portmapper 를 닫고 이 포트를 직접 테스트할 수 있습니다.
3128 squid
Squid HTTP 프록시 서버의 기본 포트입니다. 공격자가 이 포트를 스캔하는 것은 프록시 서버를 검색하기 위해 익명으로 인터넷에 액세스하는 것이다. 다른 프록시 서버를 검색하는 포트도 볼 수 있습니다: 8000/8001/8080/8888.
이 포트를 스캔하는 또 다른 이유는 사용자가 대화방에 들어가고 있기 때문이다. 다른 사용자 (또는 서버 자체) 도 이 포트를 검사하여 사용자의 시스템이 프록시를 지원하는지 확인합니다. 섹션 5.3 을 확인하십시오.
5632 pcAnywere
위치에 따라 이 포트의 스캔을 많이 볼 수 있습니다. 사용자가 pcAnywere 를 열면 agent c 클래스 네트워크를 자동으로 검색하여 가능한 프록시를 찾습니다 (번역사: 프록시가 아닌 에이전트 참조). Hacker/cracker 도 이러한 서비스를 개방하는 시스템을 찾기 때문에 이 검색의 소스 주소를 확인해야 합니다. PcAnywere 를 검색하는 일부 스캔에는 포트 22 의 UDP 패킷이 포함되는 경우가 많습니다. 전화 접속 스캔을 참조하십시오.
6776 sub-7 아티팩트
이 포트는 Sub-7 주 포트에서 분리되어 데이터를 전송하는 데 사용되는 포트입니다. 예를 들어, 컨트롤러가 전화선을 통해 다른 기계를 제어하고, 기소된 기계가 끊어질 때 이런 상황을 볼 수 있다. 그래서 다른 사람이 이 IP 로 전화를 걸 때, 그들은 이 포트에서 지속적인 연결 시도를 보게 될 것이다. (번역자: 방화벽이 이 포트에 대한 연결 시도를 보고하는 것을 볼 때, 당신이 Sub-7 에 의해 통제되었다는 뜻은 아닙니다. )
6970 RealAudio
RealAudio 고객은 서버의 UDP 포트 6970-7170 에서 오디오 데이터 스트림을 수신합니다. 이는 TCP7070 포트 외부 제어 연결에 의해 설정됩니다.
13223 PowWow
PowWow 는 Tribal Voice 의 채팅 프로그램입니다. 이 포트에서 개인 채팅 연결을 열 수 있습니다. 이 절차는 연결 설정에 매우 공격적이다. 이 TCP 포트에서 응답을 "주둔" 합니다. 이로 인해 하트비트 간격과 유사한 연결 시도가 발생합니다. 전화 접속 사용자라면 다른 채팅자의 손에서 IP 주소를 "상속" 하면 이런 일이 발생합니다. 마치 많은 다른 사람들이 이 포트를 테스트하고 있는 것 같습니다. 이 프로토콜은 연결 시도의 처음 4 바이트로' OPNG' 를 사용합니다.
17027 Conducent
이것은 외향적인 연결입니다. 회사 내부의 누군가가 Conducent "adbot' 이 있는 * * * 즐거움 소프트웨어를 설치했기 때문이다. Conducent "adbot "은 * * * 소프트웨어 디스플레이 광고 서비스를 즐기는 것입니다. 이 서비스를 사용하는 인기 있는 소프트웨어 중 하나는 Pkware 이다. 이 외부 연결을 차단하는 데는 문제가 없지만 IP 주소 자체를 차단하면 adbots 가 초당 여러 번 연결을 시도하여 연결 과부하가 발생할 수 있습니다.
기계는 계속해서 DNS 이름-ADS.conducent.com, 즉 IP 주소 216.33.210.40 을 확인하려고 시도합니다. 216.33.199.77; 216.33.199.80; 216.33.199.81; 216.33.210.41. (번역자: NetAnts 가 사용하는 Radiate 도 이런 현상이 있는지 모르겠다)
27374 Sub-7 트로이 목마 (TCP)
Subseven 섹션을 참조하십시오.
30100 NetSphere 트로이 목마 (TCP)
보통 이 포트의 스캔은 NetSphere 목마를 찾기 위한 것이다.
31337 back orifice "elite"
Hacker 중 31337 은' Elite'/EI' Li: T/(프랑스어, 중견력, 에센스) 로 읽습니다.
즉 3=E, 1=L, 7=T) 입니다. 따라서 많은 백도어 프로그램이 이 포트에서 실행됩니다. 그 중 가장 유명한 것은 백 오피스 (Back Orifice) 입니다. 한때 이것은 인터넷에서 가장 흔한 스캔이었다. 현재 그것의 유행은 점점 줄어들고 있고, 다른 목마 프로그램은 갈수록 유행하고 있다.
31789 Hack-a-tack
이 포트의 UDP 통신은 일반적으로' Hack-a-tack' 원격 액세스 트로이 목마 (RAT, Remote Access Trojan) 로 인해 발생합니다. 이 트로이 목마에는 내장 31790 포트 스캐너가 포함되어 있으므로 31789 포트와 317890 포트 간의 연결은 이미 이러한 침입이 있음을 의미합니다. (포트 31789 는 제어 연결이고 포트 317890 은 파일 전송 연결임)
32770~32900 RPC 서비스
Sun Solaris 의 RPC 서비스는 이 범위 내에 있습니다. 자세히: 이전 버전의 Solaris(2.5.1 이전) 는 portmapper 를 이 범위 내에 배치했습니다. 낮은 포트가 방화벽에 의해 폐쇄된 경우에도 Hacker/cracker 가 이 포트에 액세스할 수 있도록 허용했습니다. 이 범위 내의 포트는 portmapper 를 찾기 위한 것이 아니라 공격받을 수 있는 알려진 RPC 서비스를 찾기 위한 것이다.
33434~33600 traceroute
이 포트 범위 내의 UDP 패킷이 보이면 (이 범위 내에서만) traceroute 때문일 수 있습니다. Traceroute 섹션을 참조하십시오.
41508 Inoculan
이전 버전의 Inoculan 은 서브넷 내에서 많은 UDP 통신을 생성하여 서로를 식별했습니다.
를 참조하십시오설명: 원격 로그인, 침입자가 원격으로 UNIX 에 로그인하는 서비스를 검색하고 있습니다. 대부분의 경우 이 포트는 기계가 실행 중인 운영 체제를 찾기 위해 스캔됩니다. 다른 기술을 사용하면 침입자도 비밀번호를 찾을 수 있다. 트로이 Tiny Telnet Server 가 이 포트를 열었습니다.
포트: 25
서비스: SMTP
설명: 메시지를 보내기 위해 SMTP 서버가 여는 포트입니다. 침입자가 SMTP 서버를 찾는 것은 그들의 SPAM 을 전달하기 위해서이다. 침입자의 계정이 닫히고 고대역폭 e-메일 서버에 연결하여 간단한 정보를 다른 주소로 전달해야 합니다. 트로이 목마 Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth, WinPC, WinSpy 모두 이 포트를 엽니다.
포트: 31
서비스: msg 인증
설명: 트로이 목마 마스터 paradise, Hackers Paradise 가 이 포트를 엽니다.
포트: 42
서비스: wins 복제
설명: WINS 복제
포트: 53
서비스: 도메인 이름 서버 (DNS)
설명: DNS 서버가 개방한 포트는 침입자가 TCP (영역 전송) 를 시도하거나 DNS(UDP) 를 속이거나 다른 통신을 숨기려고 할 수 있습니다. 따라서 방화벽은 종종 이 포트를 필터링하거나 기록합니다.
포트: 67
서비스: 부트스트랩 프로토콜 서버
설명: DSL 및 케이블 모뎀의 방화벽을 통해 브로드캐스트 주소 255.255.255.255 로 전송되는 대량의 데이터를 볼 수 있습니다. 이 시스템들은 DHCP 서버에 주소를 요청하고 있다. 하커는 종종 그들을 입력 하 고 로컬 라우터로 자신을 할당 하 고 man-in-middle 공격을 많이 시작 주소를 할당 합니다. 클라이언트는 68 포트에 요청 구성을 브로드캐스트하고 서버는 67 포트에 응답 요청을 브로드캐스트합니다. 이 응답은 클라이언트가 보낼 수 있는 IP 주소를 아직 모르기 때문에 브로드캐스트를 사용합니다.
포트: 69
서비스: Trival File Transfer
설명: 많은 서버가 BOOTP 와 함께 이 서비스를 제공하여 시스템에서 부트 코드를 쉽게 다운로드할 수 있습니다. 그러나 침입자는 종종 잘못된 구성으로 인해 시스템에서 모든 파일을 훔칠 수 있습니다. 시스템 쓰기 파일에도 사용할 수 있습니다.
포트: 79
서비스: Finger Server
설명: 침입자는 사용자 정보를 얻고, 운영 체제를 쿼리하고, 알려진 버퍼 오버플로 오류를 탐지하고, 자신의 시스템에서 다른 시스템 Finger 스캔에 응답하는 데 사용됩니다.
포트: 80
서비스: HTTP
설명: 웹 브라우징에 사용됩니다. 트로이 Executor 가 이 포트를 열었습니다.
포트: 99
서비스: Metagram Relay
설명: 백도어 프로그램 ncx99 가 이 포트를 엽니다.
포트: 102
서비스: MTA (message transfer agent)-x.400 over TCP/IP
설명: 메시지 전달 에이전트입니다.
포트: 109
서비스: post office protocol-버전 3
설명: POP3 서버는 메일을 받고 클라이언트가 서버측 메일 서비스에 액세스하기 위해 이 포트를 엽니다. POP3 서비스에는 많은 인정 된 약점이 있습니다. 사용자 이름과 비밀번호 교환 버퍼 넘침에 대한 약점은 최소 20 개, 즉 침입자가 실제로 로그인하기 전에 시스템에 들어갈 수 있다는 뜻입니다. 로그인에 성공한 후 다른 버퍼 오버플로 오류가 있습니다.
포트: 110
서비스: SUN 의 RPC 서비스 모든 포트
설명: 일반적인 RPC 서비스는 rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd 등
입니다포트: 113
서비스: 인증 서비스
설명: TCP 접속 사용자를 인증하는 많은 컴퓨터에서 실행되는 프로토콜입니다. 표준 서비스를 사용하면 많은 컴퓨터 정보를 얻을 수 있다. 그러나 많은 서비스, 특히 FTP, POP, IMAP, SMTP, IRC 에 대한 레코더로 사용할 수 있습니다. 일반적으로 방화벽을 통해 이러한 서비스에 액세스하는 고객이 많은 경우 이 포트에 대한 접속 요청을 볼 수 있습니다. 이 포트 클라이언트를 차단하면 방화벽 반대편에서 전자 메일 서버와의 느린 연결이 느껴진다는 점을 기억하십시오. 많은 방화벽이 TCP 연결 차단 시 RST 를 반송합니다. 이렇게 하면 느린 연결이 중지됩니다.
포트: 119
서비스: Network News Transfer Protocol
설명: USENET 통신을 호스팅하는 NEWS 뉴스그룹 전송 프로토콜입니다. 이 포트의 연결은 보통 사람들이 USENET 서버를 찾고 있다. 대부분의 ISP 는 고객만 뉴스 그룹 서버에 액세스할 수 있도록 제한되어 있습니다. 뉴스그룹 서버를 열면 누군가의 게시물을 보내거나 읽을 수 있고, 제한된 뉴스그룹 서버에 액세스하거나, 익명으로 게시하거나 SPAM 을 보낼 수 있습니다.
포트: 135
서비스: 위치 서비스
설명: Microsoft 는 이 포트에서 DCE RPC end-point mapper 를 실행하여 DCOM 서비스를 제공합니다. 이는 UNIX 111 포트의 기능과 매우 유사합니다. DCOM 및 RPC 를 사용하는 서비스는 컴퓨터의 end-point mapper 를 사용하여 해당 위치를 등록합니다. 원격 고객은 컴퓨터에 연결할 때 end-point mapper 가 서비스를 찾는 위치를 찾습니다. HACKER 가 컴퓨터의 이 포트를 스캔하는 것은 이 컴퓨터에서 실행 중인 Exchange 서버를 찾기 위한 것입니까? 어떤 버전입니까? 이 포트를 직접 겨냥한 DOS 공격도 있다.
포트: 137, 138, 139
서비스: NETBIOS Name Service
설명: 여기서 137, 138 은 UDP 포트이며, 인터넷 이웃을 통해 파일을 전송할 때 사용됩니다. 139 포트: 이 포트를 통해 들어오는 연결은 NetBIOS/SMB 서비스를 얻으려고 합니다. 이 프로토콜은 windows 파일 및 프린터 * * * 향유와 삼바에 사용됩니다. 그리고 Winsregi Stration 도 그것을 사용한다.
포트: 143
서비스: Interim Mail Access Protocol v2
설명: POP3 의 보안 문제와 마찬가지로 많은 IMAP 서버에는 버퍼 오버플로우 취약점이 있습니다. LINUX 웜 (admv0rm) 이 이 포트를 통해 번식하기 때문에 이 포트의 많은 스캔은 알 수 없는 감염된 사용자로부터 온 것임을 기억하십시오. REDHAT 가 LINUX 릴리스에서 IMAP 를 기본적으로 허용하면 이러한 취약점이 유행하게 됩니다. 이 포트는 IMAP2 에도 사용되지만 유행하지는 않습니다.
포트: 161
서비스: SNMP
설명: SNMP 를 사용하면 디바이스를 원격으로 관리할 수 있습니다. 모든 구성 및 운영 정보는 데이터베이스에 저장되며 SNMP 를 통해 사용할 수 있습니다. 많은 관리자의 잘못된 구성은
입니다