常见服务或木马端口对照表
特洛伊木马常用端口 (Sans List April 2000)
下面的列表给出了现有木马和他们所用端口的对应表。低端口常用来窃取口令并传送给黑客。
高端口常用来通过网络远程控制木马程序。
The problem with Remote Access trojans or trojans trying to steal passwords
is fairly new. Today there are no programs, antivirus or antitrojan programs,
which can detect unknown trojan horses. The programs claiming to defend you can
usually only find a fraction of all the trojans out there - 17 written in 1997,
81 constructed the following year, and at least 156 new trojans thus far in1999.
Port
Trojan
21
FTP Open Server Port
21
Blade Runner, Doly Trojan, Fore, Invisible, FTP, WebEx, WinCrash
23
Tiny Telnet Server
25
Antigen, Email Password Sender, Haebu, Coceda, Shtrilitz, Stealth, Terminator, WinPC, WinSpy
25
SMTP
31
Master Paradise.80 Port
31
Hackers Paradise
53
Bonk (DoS Exploit) Port
80
Executer 1.0a Port
80
Executor, WWW
110
POP3
121
BO jammerkillah Port
137
Name Service (Netbios over IP) Windows
138
Datagram Service (Netbios over IP) Windows
139
WinNuke / Landc (DoS Exploit) Port
139
Session Service (Netbios over IP) Windows
456
Hackers Paradise Port
456
Hackers Paradise
555
Stealth Spy Port
555
Phase0 Port
555
IniKiller, Phase Zero, Stealth Spy
666
Attack FTP Port
666
Satanz Backdoor
777
AIM Spy
1000
Der Spaeher3, Insane Network
1001
Der Spaeher3, Insane Network
1001
Silencer Port
1001
WebEx Port
1001
Silencer, WebEx
1003
BackDoor.200 Port
1003
BackDoor.201 Port
1003
BackDoor.202 Port
1010
Doly trojan v1.35 Port
1011
Doly Trojan Port
1011
Doly Trojan
1011
Trojan Dolly Version 1.1/1.2
1015
Doly trojan v1.5 Port
1015
Trojan Dolly Version 1.5
1016
Trojan Dolly Version 1.6/1.7
1024
1025 NetSpy.698 Port
1029
InCommand
1033
Netspy Port
1035
Trojan Dolly Version 1.35
1042
Bla1.1 Port
1047
GateCrasher.b Port
1047
GateCrasher.c Port
1050
MiniCommand 1.2
1080
Wingate Port
1170
Psyber Stream Server, Voice
1207
SoftWar
1234
Ultors Trojan
1243
SubSeven Port
1243
Sub 7.2
1245
Vodoo Port
1245
VooDoo Doll
1269
Maverick's Matrix Port
1492
BackOriffice.FTP Port
1492
FTP99CMP (BO.FTP) Port
1492
FTP99CMP
1509
Streaming Server Port
1600
Shiv Port
1600
Shivka
1807
SpySender Port
1807
SpySender
1981
ShockRave Port
1981
Shockrave
1999
Transmission of Scout v. 1.1
1999
Backdoor Port
1999
BackDoor.200 Port
1999
BackDoor.201 Port
1999
BackDoor.202 Port
1999
BackDoor.203 Port
1999
BackDoor
2000
Der Spaeher3, Insane Network
2001
Der Spaeher3, Insane Network
2001
TrojanCow Port
2001
Trojan Cow
2023
Pass Ripper Port
2023
Ripper
2115
Bugs
2140
DeepThroat.10 Port
2140
Invasor Port
2140
The Invasor Port
2140
Deep Throat, The Invasor
2283
Rat Port
2565
Striker Port
2583
Wincrash2 Port
2716
The Prayer
2773
SubSeven Key Logger
2801
Phineas Port
2801
Phineas Phucker
3024
WinCrash
3128
Squid Proxy
3129
MastersParadise.92 Port
3129
Masters Paradise
3150
DeepThroat.10 Port
3150
Invasor Port
3150
Deep Throat, The Invasor
3700
Portal of Doom
4092
WinCrash
4567
FileNail Port
4590
ICQTrojan
4950
IcqTrojan Port
5000
Blazer 5 Port
5000
Sockets de Troie
5001
Sockets de Troie
5031
NetMetropolitan2
5032
NetMetropolitan2
5321
Firehotcker Port
5321
Firehotcker
5400
BackConstruction1.2 Port
5400
BladeRunner Port
5400
Blade Runner
5401
Blade Runner
5402
Blade Runner
5550
Xtcp Port
5569
RoboHack Port
5569
RoboHack
5636
PC Crasher
5637
PC Crasher
5698
BackDoor.203 Port
5714
Wincrash3 Port
5741
Wincrash3 Port
5742
Wincrash Port
5742
WinCrash
6000
The Thing
6400
The Thing Port
6666
TCPShell.c
6669
Host Control
6669
Vampire Port
6670
Deep Throat Port
6670
DeepThroat
6671
Deep Throat Port
6767
NT Remote Control Port
6771
DeepThroat
6883
DeltaSource
6883
DeltaSource Port
6939
Indoctrination Port 6969
Gatecrasher.a Port
6969
GateCrasher, Priority
7000
Remote Grab
7215
SubSeven Matrix (Changeable)
7300
NetMonitor
7301
NetMonitor
7306
NetMonitor Port
7306
NetMonitor
7307
NetMonitor
7308
NetMonitor
7789
ICQKiller Port
7789
ICKiller
8080
Proxy
9872
Portal of Doom Port
9872
al of Doom
9873
al of Doom
9874
al of Doom
9875
Portal of Doom Port
9875
al of Doom
9989
InIkiller Port
9989
iNiKiller
9999
The Praye
10067
al of Doom
10167
Portal Of Doom Port
10167
al of Doom
10607
Coma Port
11000
Senna Spy Trojans Port
11000
Senna Spy
11050
Host Control
11223
ProgenicTrojan Port
11223
Progenic trojan
12076
Gjamer Port
12076
第二篇:服务端口列表20xx
下面的表格列举了包括在红帽企业 Linux 中的服务、守护进程、和程序所使用的最常见的通信端口。该列表还可以在 /etc/services 文件中找到。要查看由互联网号码分派局(IANA)制定的“著名的已注册动态端口”官方列表,请参考以下
/assignments/port-numbers
注记:“层”是指服务或协议在交通层上使用 TCP 还是 UDP。若没有列举,这个服务或协议就两者都使用。
表 C-1 列举了被 IANA 定义的著名端口。它们被 红帽企业 Linux 用作各类服务包括 FTP、SSH、和 Samba 的默认通讯端口。 URL:
端口号码 / 层
1
5
7
9
11
13
17
18
19
20
21 名称 tcpmux rje echo discard systat daytime qotd msp chargen ftp-data ftp 注释 TCP 端口服务多路复用 远程作业入口 Echo 服务 用于连接测试的空服务 用于列举连接了的端口的系统状态 给请求主机发送日期和时间 给连接了的主机发送每日格言 消息发送协议 字符生成服务;发送无止境的字符流 FTP 数据端口 文件传输协议(FTP)端口;有时被文件服务协议(FSP)
使用
22
23
25 ssh telnet smtp 安全 Shell(SSH)服务 Telnet 服务 简单邮件传输协议(SMTP)
37
39
42
43
49 time rlp nameserver nicname tacacs 时间协议 资源定位协议 互联网名称服务 WHOIS 目录服务 用于基于 TCP/IP 验证和访问的终端访问控制器访问控
制系统
50
53
63
67 re-mail-ck domain whois++ bootps 远程邮件检查协议 域名服务(如 BIND) WHOIS++,被扩展了的 WHOIS 服务 引导协议(BOOTP)服务;还被动态主机配置协议(DHCP)
服务使用
68 bootpc Bootstrap(BOOTP)客户;还被动态主机配置协议
(DHCP)客户使用
69
70
71
72
73
73
79
80
88
95
101 tftp gopher netrjs-1 netrjs-2 netrjs-3 netrjs-4 finger http kerberos supdup hostname 小文件传输协议(TFTP) Gopher 互联网文档搜寻和检索 远程作业服务 远程作业服务 远程作业服务 远程作业服务 用于用户联系信息的 Finger 服务 用于万维网(WWW)服务的超文本传输协议(HTTP) Kerberos 网络验证系统 Telnet 协议扩展 SRI-NIC 机器上的主机名服务
102/tcp
105
107
109
110
111 iso-tsap csnet-ns rtelnet pop2 pop3 sunrpc ISO 开发环境(ISODE)网络应用 邮箱名称服务器;也被 CSO 名称服务器使用 远程 Telnet 邮局协议版本2 邮局协议版本3 用于远程命令执行的远程过程调用(RPC)协议,被网络
文件系统(NFS)使用
113
115
117
119
123
137 auth sftp uucp-path nntp ntp netbios-ns 验证和身份识别协议 安全文件传输协议(SFTP)服务 Unix 到 Unix 复制协议(UUCP)路径服务 用于 USENET 讨论系统的网络新闻传输协议(NNTP) 网络时间协议(NTP) 在 红帽企业 Linux 中被 Samba 使用的 NETBIOS
名称服务
138 netbios-dgm 在 红帽企业 Linux 中被 Samba 使用的 NETBIOS
数据报服务
139 netbios-ssn 在 红帽企业 Linux 中被 Samba 使用的 NETBIOS
会话服务
143
161
162
163
164
174 imap snmp snmptrap cmip-man cmip-agent mailq 互联网消息存取协议(IMAP) 简单网络管理协议(SNMP) SNMP 的陷阱 通用管理信息协议(CMIP) 通用管理信息协议(CMIP) MAILQ 电子邮件传输队列
177
178
179
191
194
199
201
202
204
206
209
210
213 xdmcp nextstep bgp prospero irc smux at-rtmp at-nbp at-echo at-zis qmtp z39.50 ipx X 显示管理器控制协议(XDMCP) NeXTStep 窗口服务器 边界网络协议 Prospero 分布式文件系统服务 互联网中继聊天(IRC) SNMP UNIX 多路复用 AppleTalk 选路 AppleTalk 名称绑定 AppleTalk echo 服务 AppleTalk 区块信息 快速邮件传输协议(QMTP) NISO Z39.50 数据库 互联网络分组交换协议(IPX),被 Novell Netware 环
境常用的数据报协议
220
245
347
363
369
370
372
389
427 imap3 link fatserv rsvp_tunnel rpc2portmap codaauth2 ulistproc ldap svrloc 互联网消息存取协议版本3 LINK / 3-DNS iQuery 服务 FATMEN 文件和磁带官吏服务器 RSVP 隧道 Coda 文件系统端口映射器 Coda 文件系统验证服务 UNIX LISTSERV 轻型目录存取协议(LDAP) 服务位置协议(SLP)
434 mobileip-agen
t 可移互联网协议(IP)代理
435
443
444
445
464
468
487
488
496 mobilip-mn https snpp microsoft-ds kpasswd photuris saft gss-http pim-rp-disc 可移互联网协议(IP)管理器 安全超文本传输协议(HTTP) 小型网络分页协议 通过 TCP/IP 的服务器消息块(SMB) Kerberos 口令和钥匙改换服务 Photuris 会话钥匙管理协议 简单不对称文件传输(SAFT)协议 用于 HTTP 的通用安全服务(GSS) 用于协议独立的多址传播(PIM)服务的会合点发现
(RP-DISC)
500
535
538
546
547
554
563
565
587
610 isakmp iiop gdomap dhcpv6-client dhcpv6-server rtsp nntps whoami submission npmp-local 互联网安全关联和钥匙管理协议(ISAKMP) 互联网内部对象请求代理协议(IIOP) GNUstep 分布式对象映射器(GDOMAP) 动态主机配置协议(DHCP)版本6客户 动态主机配置协议(DHCP)版本6服务 实时流播协议(RTSP) 通过安全套接字层的网络新闻传输协议(NNTPS) whoami 用户ID列表 邮件消息提交代理(MSA) 网络外设管理协议(NPMP)本地 / 分布式排队系统
(DQS)
611 npmp-gui 网络外设管理协议(NPMP)GUI / 分布式排队系统
(DQS)
612
631
636
674
694
749
750
765
767
873
992
993
994
995 hmmp-ind ipp ldaps acap ha-cluster kerberos-adm kerberos-iv webster phonebook rsync telnets imaps ircs pop3s HyperMedia 管理协议(HMMP)表示 / DQS 互联网打印协议(IPP) 通过安全套接字层的轻型目录访问协议(LDAPS) 应用程序配置存取协议(ACAP) 用于带有高可用性的群集的心跳服务 Kerberos 版本5(v5)的“kadmin”数据库管理 Kerberos 版本4(v4)服务 网络词典 网络电话簿 rsync 文件传输服务 通过安全套接字层的 Telnet(TelnetS) 通过安全套接字层的互联网消息存取协议(IMAPS) 通过安全套接字层的互联网中继聊天(IRCS) 通过安全套接字层的邮局协议版本3(POPS3)
表 C-1. 著名端口
表 C-2 列举了 UNIX 特有的端口。它包括了从电子邮件到验证等服务。包括在方括号内的名称(如 [service])是服务的守护进程名称或常用别名。
端口号码 / 层
512/tcp
512/udp
513/tcp 名称 exec biff [comsat] login 注释 用于对远程执行的进程进行验证 异步邮件客户(biff)和服务(comsat) 远程登录(rlogin)
513/udp
514/tcp
514/udp
515 who [whod] shell [cmd] syslog printer
[spooler] whod 用户记录守护进程 无记录的远程 shell(rshell)和远程复制(rcp) UNIX 系统日志服务 打印机(lpr)假脱机
517/udp
518/udp
519 talk ntalk utime
[unixtime] Talk 远程对话服务和客户 网络交谈(ntalk),远程对话服务和客户 UNIX 时间协议(utime)
520/tcp
520/udp efs router [route,
routed] 扩展文件名服务器(EFS) 选路信息协议(RIP)
521
525 ripng timed
[timeserver] 用于互联网协议版本6(IPv6)的选路信息协议 时间守护进程(timed)
526/tcp tempo
[newdate] Tempo
530/tcp
531/tcp courier [rpc] conference
[chat] Courier 远程过程调用(RPC)协议 互联网中继聊天
532
533/udp
540/tcp
543/tcp netnews netwall uucp [uucpd] klogin Netnews 新闻组服务 用于紧急广播的 Netwall UNIX-to-UNIX 复制服务 Kerberos 版本5(v5)远程登录
544/tcp
548 kshell afpovertcp Kerberos 版本5(v5)远程 shell 通过传输控制协议(TCP)的 Appletalk 文件编制协议
(AFP)
556 remotefs
[rfs_server,
rfs] Brunhoff 的远程文件系统(RFS)
表 C-3 列举了由网络和软件社区向 IANA 提交的要在端口号码列表中正式注册的端口。 端口号码 / 层
1080
1236 名称 socks bvcontrol
[rmtcfg] 注释 SOCKS 网络应用程序代理服务 Gracilis Packeten 网络转换远程配置服务器
1300 h323hostcalls
c H.323 电讯主持电话安全
1433
1434
1494
1512
1524
1525
1645 ms-sql-s ms-sql-m ica wins ingreslock prospero-np datametrics
[old-radius] Microsoft SQL 服务器 Microsoft SQL 监视器 Citrix ICA 客户 Microsoft Windows 互联网名称服务器 Ingres 数据库管理系统(DBMS)锁定服务 无特权的 Prospero Datametrics / 从前的 radius 项目
1646 sa-msg-port
[oldradacct] sa-msg-port / 从前的 radacct 项目
1649
1701
1718
1719
1720
1758
1759/udp
1789
1812
1813
1911
1985
1986 kermit l2tp [l2f] h323gatedisc h323gatestat h323hostcall tftp-mcast mtftp hello radius radius-acct mtp hsrp licensedaemo
n Kermit 文件传输和管理服务 第2层隧道服务(LT2P) / 第2层转发(L2F) H.323 电讯守门装置发现机制 H.323 电讯守门装置状态 H.323 电讯主持电话设置 小文件 FTP 组播 组播小文件 FTP(MTFTP) Hello 路由器通信端口 Radius 拨号验证和记帐服务 Radius 记帐 Starlight 网络多媒体传输协议(MTP) Cisco 热备用路由器协议 Cisco 许可管理守护进程
1997
2049
2102
2103
2104
2401
2430/tcp gdp-port nfs [nfsd] zephyr-srv zephyr-clt zephyr-hm cvspserver venus Cisco 网关发现协议(GDP) 网络文件系统(NFS) Zephyr 分布式即时消息服务器 Zephyr 客户 Zephyr 主机管理器 并行版本系统(CVS)客户 / 服务器操作 用于 Coda 文件系统(codacon 端口)的 Venus 缓存管
理器
2430/udp venus 用于 Coda 文件系统(callback/wbc interface 界面)的
Venus 缓存管理器
2431/tcp
2431/udp
2432/udp
2433/tcp
2433/udp
2600 venus-se venus-se codasrv codasrv-se codasrv-se hpstgmgr
[zebrasrv] Venus 传输控制协议(TCP)的副作用 Venus 用户数据报协议(UDP)的副作用 Coda 文件系统服务器端口 Coda 文件系统 TCP 副作用 Coda 文件系统 UDP SFTP 副作用 Zebra 选路
2601 discp-client
[zebra] discp 客户;Zebra 集成的 shell
2602 discp-server
[ripd] discp 服务器;选路信息协议守护进程(ripd)
2603 servicemeter
[ripngd] 服务计量;用于 IPv6 的 RIP 守护进程
2604 nsc-ccs
[ospfd] NSC CCS;开放式短路径优先守护进程(ospfd)
2605
2606 nsc-posa netmon
[ospf6d] NSC POSA;边界网络协议守护进程(bgpd) Dell Netmon;用于 IPv6 的 OSPF 守护进程(ospf6d)
2809
3130 corbaloc icpv2 公共对象请求代理体系(CORBA)命名服务定位器 互联网缓存协议版本2(v2);被 Squid 代理缓存服务器使
用
3306
3346
4011 mysql trnsprntproxy pxe MySQL 数据库服务 透明代理 执行前环境(PXE)服务
4321
4444
5002
5308
5999 rwhois krb524 rfe cfengine cvsup
[CVSup] 远程 Whois(rwhois)服务 Kerberos 版本5(v5)到版本4(v4)门票转换器 无射频以太网(RFE)音频广播系统 配置引擎(Cfengine) CVSup 文件传输和更新工具
6000/tcp
7000
7001
7002
7003
7004
7005
7006
7007
7008
7009
9876
10080
11371
11720
13720
13721 x11 [X] afs3-fileserver afs3-callback afs3-prserver afs3-vlserver afs3-kaserver afs3-volser afs3-errors afs3-bos afs3-update afs3-rmtsys sd amanda pgpkeyserver h323callsigalt bprd bpdbm X 窗口系统服务 Andrew 文件系统(AFS)文件服务器 用于给缓存管理器回电的 AFS 端口 AFS 用户和组群数据库 AFS 文件卷位置数据库 AFS Kerberos 验证服务 AFS 文件卷管理服务器 AFS 错误解释服务 AFS 基本监查进程 AFS 服务器到服务器更新器 AFS 远程缓存管理器服务 IP 多址传播会议的会话指挥 高级 Maryland 自动网络磁盘归档器(Amanda)备份服务 良好隐私(PGP) / GNU 隐私卫士(GPG)公钥服务器 H.323 调用信号交替 Veritas NetBackup 请求守护进程(bprd) Veritas NetBackup 数据库管理器(bpdbm)
13722 bpjava-msvc Veritas NetBackup Java / Microsoft Visual C++
(MSVC) 协议
13724
13782
13783
22273
26000
26208
33434
注: vnetd bpcd vopied wnn6 [wnn4] quake wnn6-ds traceroute Veritas 网络工具 Vertias NetBackup Veritas VOPIE 验证守护进程 假名/汉字转换系统 Quake(以及相关的)多人游戏服务器 Wnn6 假名/汉字服务器 Traceroute 网络跟踪工具
a. /etc/services 中的注释如下:端口1236被注册为“bvcontrol”,但是它也被 Gracilis Packeten 远程配置服务器使用。正式名称被列为主要名称,未注册的名称被列为别名。
b. 在 /etc/services 中的注释:端口 2600 到 2606 被 zebra 软件包未经注册而使用。主要名称是被注册的名称,被 zebra 使用的未注册名称被列为别名。
c. /etc/services 文件中的注释:该端口被注册为 wnn6,但是还在 FreeWnn 软件包中使用了未注册的“wnn4”。
表 C-4 显示了一个和数据报传递协议(DDP)有关的端口列表。DDP 在 AppleTalk 网络上被使用。
端口号码 / 层
1/ddp
2/ddp
4/ddp
6/ddp 名称 rtmp nbp echo zip 注释 路由表管理协议 名称绑定协议 AppleTalk Echo 协议 区块信息协议
表 C-4. 数据报传递协议端口
表 C-5是和 Kerberos 网络验证协议相关的端口列表。在标记的地方,v5 代表 Kerberos 版本5协议。注意,这些端口没有在 IANA 注册。 端口号码 / 层
751 名称 kerberos_mas
ter 注释 Kerberos 验证
752 passwd_serve
r Kerberos 口令(kpasswd)服务器
754
760 krb5_prop krbupdate
[kreg] Kerberos v5 从属传播 Kerberos 注册
1109
2053
2105 kpop knetd eklogin Kerberos 邮局协议(KPOP) Kerberos 多路分用器 Kerberos v5 加密的远程登录(rlogin)
表 C-6是一个未注册的端口列表。这些端口可能被安装在你的 红帽企业 Linux 系统上的服务或协议使用,或者它们是在 红帽企业 Linux 和运行其它操作系统的机器通信所必需的端口。 端口号码 / 层
15/tcp
98/tcp
106
465/tcp
616/tcp
808 名称 netstat linuxconf poppassd smtps gii omirr [omirrd] 注释 网络状态(netstat) Linuxconf Linux 管理工具 邮局协议口令改变守护进程(POPPASSD) 通过安全套接字层的简单邮件传输协议(SMTPS) 使用网关的(选路守护进程)互动界面 联机镜像(Omirr)文件镜像服务
871/tcp
901/tcp
953
1127/tcp
1178/tcp
1313/tcp
1529/tcp supfileserv swat rndc supfiledbg skkserv xtel support
[prmsd,
gnatsd] 软件升级协议(SUP)服务器 Samba 万维网管理工具(SWAT) Berkeley 互联网名称域版本9(BIND 9)远程配置工具 软件升级协议(SUP)调试 简单假名到汉字(SKK)日文输入服务器 法国 Minitel 文本信息系统 GNATS 错误跟踪系统
2003/tcp
2150
2988
3128/tcp
3455
5432
4557/tcp
4559/tcp
5232
5354
5355
5680/tcp
6010/tcp cfinger ninstall afbackup squid prsvp postgres fax hylafax sgi-dgl noclog hostmon canna x11-ssh-offse
t GNU finger 网络安装服务 afbackup 客户-服务器备份系统 Squid 万维网代理缓存 RSVP 端口 PostgreSQL 数据库 FAX 传输服务(旧服务) HylaFAX 客户-服务器协议(新服务) SGI 分布式图形库 NOCOL 网络操作中心记录守护进程(noclogd) NOCOL 网络操作中心主机监视 Canna 日文字符输入界面 安全 Shell(SSH)X11 转发偏移
6667 ircd 互联网中继聊天守护进程(ircd)
7100/tcp
7666/tcp
8008
8080
8081
9100/tcp xfs tircproxy http-alt webcache tproxy jetdirect
[laserjet, hplj] X 字体服务器(XFS) Tircproxy IRC 代理服务 超文本传输协议(HTTP)的另一选择 万维网(WWW)缓存服务 透明代理 Hewlett-Packard (HP) JetDirect 网络打印服务
9359 mandelspawn
[mandelbrot] 用于 X 窗口系统的并行 mandelbrot 生成程序
10081
10082/tcp
10083/tcp
20011
20012
22305/tcp
22289/tcp
22321/tcp
24554
27374
60177
60179 kamanda amandaidx amidxtape isdnlog vboxd wnn4_Kr wnn4_Cn wnn4_Tw binkp asp tfido fido 使用 Kerberos 的 Amanda 备份服务 Amanda 索引服务器 Amanda 磁带服务器 综合业务数字网(ISDN)记录系统 ISDN 音箱守护进程(vboxd) kWnn 韩文输入系统 cWnn 中文输入系统 tWnn 中文输入系统(台湾) Binkley TCP/IP Fidonet 邮寄程序守护进程 地址搜索协议 Ifmail FidoNet 兼容邮寄服务 默认doNet 电子邮件和新闻网络