端口扫描设计图片_端口扫描设计图

内网渗透--对不出网目标的打法

配置网络

在VM虚拟机中按照下边的网络拓扑进行配置网络。网络拓扑图如下：

win7具有双网卡，其中外网ip是192.168.8.133，内网网段是52。三台机器彼此互通，但是win server 2008和win2003不通外网。用我mac作为攻击机，来对这个靶场环境进行渗透测试。

外网打点

在win7这台靶机上，使用PHPStudy让网站可以运行起来。在攻击机上，访问   可以看到是一个phpStudy 探针。对这网站进行渗透，因为本文主要写在内网渗透过程中对不出网主机的渗透，所以此处外网打点就不写的很详细了。

针对此靶场进行外网渗透拿权限大致有这几种方法：

通过phpmyadmin弱口令，进入phpmyadmin后台。然后知识点就变成了，通过phpmyadmin进行getshell，这个点又分为，得到网站绝对路径后，使用select into outfile的方式写shell和利用日志写shell。在此处，我是使用日志写shell的方法拿到权限。因为secure_file_priv配置为null，禁止修改目录下的文件，也就不能使用into outfile的方式写入shell。

通过目录扫描可以扫出beifen.rar，备份文件。在源码中可以找到登陆后台的账号密码：admin/123456和登陆路径/index.php?r=admin，在前台模板文件中添加一句话木马连接也可获取shell。

获得webshell的信息收集

通过外网打点获得的webshell，可以进行一波信息收集，摸清我是谁？我在哪？有没有内网环境？有没有杀软？通过拿到webshell后的信息收集的结果来评估一下有没有必要继续深入或者初步了解继续深入的话需要哪些手段。

我是谁？

蚁剑已经给出基础信息

我在哪？

使用ipconfig /all 看一下网络信息

目标有两个网卡，并且存在域环境，那么就有打它内网的必要了。

有没有杀软?

tasklist查看一下进程信息

根据进程查一下是否有杀软

目标没有使用杀软，还有域环境那么让它直接cs上线。

内网渗透

cs上线

内网信息收集

信息收集每个人都有自己的习惯，信息收集的顺序和信息收集的项目也都不太一样，只要根据自己的习惯和嗅觉，针对目标具体情况进行收集，以求尽快的拿下目标就好。信息收集的越全面突破口也就会越多，考虑到篇幅和文章内容匹配度等因素，此处并没有写出大量信息收集方法。

使用cs自带的net view查看域信息。

使用cs自带功能进行端口扫描，分别对8和52两个网段进行扫描进行完这两个步骤以后，cs会把扫到的目标列出来。

因为拿到的是管理员权限，可以先抓一波密码。用 cs 的 hashdump 读内存密码，用 mimikatz 读注册表密码：logonpasswords。

此处打码的地方是因为配置靶机登陆时靶机提示重置密码，我给靶机改了个包含个人信息的密码。蠢哭。拿到密码后，目标主机没有开启防火墙，可以使用cs自带的psexec做一波横向，因为抓到很多域中机器密码，域控密码也抓到了。

内网横向（通过登录凭证）

这个靶机设置的比较简单，抓到密码后，因为抓到了域控登陆的凭证，那么使用psexec即可横向内网所有机器。因为，另外两台内网的机器不出网，那么就到了本文着重练习的点了，打不出网的机器。

不出网机器上线一般有以下几种方式：

使用smb beacon

配置listener通过HTTP代理上线

使用pystinger搭建socks4代理

这几种方式之前有师傅也在先知写过 《不出网主机上线方法》 。此处我采用的SMB beacon这个方法。

SMB Beacon使用命名管道通过父级Beacon进行通讯，当两个Beacons链接后，子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信，此流量封装在SMB协议中，所以SMB beacon相对隐蔽。SMB beacon不能直接生成可用载荷, 只能使用 PsExec 或 Stageless Payload 上线。

首先得到内网中一台主机的beacon，抓取密码后进行smb喷射，得到另一台开放445端口的机器上的administrator账户密码，在目标机器不出网的情况下，可以使用Smb beacon使目标主机上线

使用条件

具有 SMB Beacon 的主机必须接受 445 端口上的连接。

只能链接由同一个 Cobalt Strike 实例管理的 Beacon。

利用这种beacon横移必须有目标主机的管理员权限或者说是拥有具有管理员权限的凭据。

使用方法：

1.建立smb的listener

2.在cs中使用psexec进行横向移动，选择现有的beacon作为跳板，这里凭据必须是administrator ，即拥有目标主机管理员权限

3.连接成功，可以看到smb beacon上线的主机右侧有∞∞标识

使用这种方法上线的机器，主要是通过出网机作为一个中间人，不出网主机成功上线后，如果出网机一断开，这个不出网主机也会断。

内网横向（通过ms-17010）

在拿下win7的时候，可以给它传一个fscan，给win7做一个内网大保健。上传fscan后，运行扫一下内网。

发现存在ms17010。

ms17010常见的几种打法：

msf

ladon/ladon_ms17010

从msf分离出的exe

nessus里的exe

cs插件

这几种打法，我在这个环境中都做过尝试。过程就不一一叙述了，直接说我测试的结果。msf是最稳定的，但是打起来有稍许的麻烦因为要设置监听模块和选择攻击模块等配置。ladon_ms17010方便但是不太稳有时候会打不成功。cs插件也不稳，并且在这种不出网网络不稳定的情况下成功率会变的更低。

这个图片的ip可能跟上边配置符不起来，因为我在测试过程中，网断过几次，ip就变了。所以，在打的时候，如果ladon和分离出的exe没有打成，不要轻易放弃，用msf在打打试试，毕竟工具就是工具，不能过分依赖某个工具。

在这种不出网的情况下，可以优先考虑使用从msf分离出的exe和ladon_ms17010来打，打成功会直接通过自定义的dll新建一个用户并加入管理员组，开启3389端口。根据实际情况，可考虑在合适的时间段和条件下直接远程登入，翻一下敏感数据，往往会因为运维人员的很多“好习惯”而给渗透带来很多便利，比如说“密码本.txt”。

msf打不出网机器的ms17010

msf在单兵作战的时候还是很稳定很香的。首先，让出网机器先在msf上线，可以用cs直接传递会话，或者生成个msf马直接运行一下。在这的方法就很多了。win7在msf上线后，因为我们已经提前知道了，存在52这个不出网的段，那么就需要在msf中添加路由。

查看路由

run get_local_subnets

添加路由

run autoroute -s 192.168.52.0/24

查看添加的路由

run autoroute -p

把shell切换到后台，然后使用ms17010模块进行漏洞利用，监听时使用正向监听，即可

小贴士：

漏洞检测方法：

use auxiliary/scanner/smb/smb_ms17_010

之后设置一下目标ip和线程即可，这里因为已经扫出存在漏洞的机器了，也就不在叙述。

漏洞利用常使用的是：

auxiliary/admin/smb/ms17_010_command

exploit/windows/smb/ms17_010_eternalblue

exploit/windows/smb/ms17_010_psexec

这里的第一个和第三个模块需要目标开启命名管道，并且比较稳定。第二个模块只要存在漏洞即可，但是会有概率把目标打蓝屏，而且杀软拦截也会比较严格，如果有杀软就基本可以放弃这个模块了。

在打ms17010的时候，不妨使用auxiliary/admin/smb/ms17_010_command模块探测一下是否可以使用命名管道。

use auxiliary/admin/smb/ms17_010_commandsetrhosts192.168.164.156192.168.164.161setcommandtasklistshow optionsrun

如果命令执行成功的话就可以优先考虑

auxiliary/admin/smb/ms17_010_commandexploit/windows/smb/ms17_010_psexec

这两个模块进行利用。

我在上边打得时候因为目标机器没有杀软就直接使用exploit/windows/smb/ms17_010_eternalblue来打了，期间为了测试打过多次，确实出现了把目标机器打重启的情况。

总结

这个靶场设计的技能点比较基础，外网打点获得shell后，直接可以通过cs上线，在管理员权限下，抓取密码，新建一个smb beacon然后使用psexec对内网两台不出网的机器进行横向。

VB6.0 扫描端口

计算机网络技术的日益发展和普及，为信息共享提供了一条全球性的高速通道，但目前采用的TCP/IP协议族潜在着安全漏洞，其安全机制并不健全，如何保护企业内部网络中的资源及信息不受外部攻击者肆意破坏或盗窃，是企业网络安全需要解决的重要问题。当我们担心被黑客攻击或怀疑电脑被植入木马时，我们往往求助于防火墙,本系统即通过实时监控全部TCP连接的方法来实现防黑客攻击。同时网络管理人员在整个网络运行期间，能否实时监控联网计算机的运行状态和操作对网络安全具有极其重要的作用.下面就以Visual Basic 6.0作为开发工具讲述两个主要模块的设计和实现。

系统概述

该系统由两个子系统组成：服务器端系统和客户端(工作站)系统。服务器端系统安装在网络管理人员的计算机上，用于实施各种对联网计算机的监控操作;客户端系统安装在每台联网的计算机上，它运行后以图标的方式出现在系统任务栏的提示区中，不影响工作站的其他操作，只用于响应服务器端的监控命令，并根据服务的需要，及时采样工作站的相应数据返回给服务器端。该系统的运行环境可以运行于Win98、Win95或WinNT、Win2000下。在系统的开发中，引入了WINSOCK通讯控件，除此之外，为较好地实现各项监控操作，还用到了几个API函数。

系统功能

1、监控全部TCP连接：实时监控所有服务器端口的连接情况、及时对异常连接发出警告并提示用户删除异常连接;

2、屏幕监控：该功能允许服务器随时把被监控工作站的屏幕画面抓取到服务器中，网络管理人员对相应工作站所进行的操作一目了然，若发现有非法操作即可采取发送警告或强制措施，强迫其停止相应操作;

3、对工作站进行锁机、关机、限制鼠标活动等;

4、服务器和工作站之间的信息互送。

功能的实现

1、监控全部TCP连接

TCP/IP(Transmission Control Protocol/Internet Protocol：传输控制协议/互联网协议)是一个包括TCP、IP、 UDP、ARP、RARP和ICMP等在内的网络协议集。TCP/IP经常被称为“将Internet绑定在一起的粘合剂”，它允许在空间上分离的多个信息网络连接在一起形成一个巨大的虚拟网络。TCP和UDP(用户数据报协议)是两个最常用的数据传输协议，它们都使用设置监听端口的方法来完成数据传输。

在本文中讨论TCP连接。通过使用TCP， Internet客户机可以打开到另一个Internet客户机的虚拟连接并传送数据流。与UDP不同，TCP协议通过重传丢失的数据报保证传输的可靠性。它也保证在接收端的应用程序按发送的顺序将接收到的位和字节重新组装起来以获取完整的数据。

要获得与服务器系统中全部有效的TCP连接，用到GetTcpTable这个API函数，它定义如下：

Private Declare Function GetTcpTable Lib "iphlpapi.

dll" (ByRef pTcpTable As MIB_TCPTABLE, ByRef

pdwSize As Long, ByVal bOrder As Long) As Long

其中参数pPcpTable是已生成的 TCP连接表缓冲区的指针，参数pdwsize是缓冲区大小(当缓冲区不够大时，该参数返回实际需要的大小)，参数bOrder指示连接表是否需要按“Local IP”、“Localport”、“Remote IP”、“Remote port”依次进行排序，1为按此顺序。

通过一个TIMEER控件的TIMER的事件来比较前后两个TCP连接表，我们可以立即发现异常并发出警告。本系统用声音和报警标志提醒用户注意可能的外界入侵。收到警告信号后，我们应首先将可疑连接删除掉，SetTcpEntry函数可以帮助我们删除可疑连接。其定义为：

Private Declare Function SetTcpEntry Lib "iphlpapi.

dll" (ByRef pTcpTable As MIB_TCPROW) As Long

其中参数pTcptable为指向tcp表行的指针。然后将欲删连接的状态置为MIB_TCP_STATE_DELETE_TCB(值为12)即可删除该连接。

TIMER事件源代码：

Private Sub Timer1_Timer()

Dim Return1 As Long, i As Long

Dim Tmp1 As Long, Tmp2 As Long

Dim Ip_Buf(1 To 4) As Byte

Dim Win_Path As String, Tmp3 As String

Return1 = GetTcpTable(TCP1, Len(TCP1), 1)

If Last_Num_Of_Entries 0 And _

Last_Num_Of_Entries TCP1.dwNum_Of_Entries Then

'异常时发出警告

Picture1.Visible = True '警告标志

On Error Resume Next

Win_Path = String(145, 0)

'利用API函数GetWindowsDirectory获得当前系统目录

i = GetWindowsDirectory(Win_Path, 145)

Win_Path = Left(Win_Path, i)

'利用API函数sndPlaySound发出报警声音

i = sndPlaySound(Win_Path + "\Media\Ding.wav", H1)

On Error GoTo 0

Else

If Picture1.Visible = True Then

Picture1.Visible = False

End If

End If

Last_Num_Of_Entries = TCP1.dwNum_Of_Entries

Select Case Return1

Case 0:

Text1 = "": Combo1.Clear

For i = 0 To TCP1.dwNum_Of_Entries - 1

Tmp3 = Str(i + 1) + " "

Select Case TCP1.TCP_Table(i).dwState

' 显示连接状态

Case 1: Tmp3 = Tmp3 + "CLOSED"

Case 2: Tmp3 = Tmp3 + "LISTENING"

Case 3: Tmp3 = Tmp3 + "SYN_SENT"

Case 4: Tmp3 = Tmp3 + "SYN_RCVD"

Case 5: Tmp3 = Tmp3 + "ESTABLISHED"

Case 6: Tmp3 = Tmp3 + "FIN_WAIT1"

Case 7: Tmp3 = Tmp3 + "FIN_WAIT2"

Case 8: Tmp3 = Tmp3 + "CLOSE_WAIT"

Case 9: Tmp3 = Tmp3 + "CLOSING"

Case 10: Tmp3 = Tmp3 + "LAST_ACK"

Case 11: Tmp3 = Tmp3 + "TIME_WAIT"

Case 12: Tmp3 = Tmp3 + "DELETE_TCB"

End Select

Combo1.AddItem Tmp3 ' 填充列表以供用户删除

' 本地IP

Tmp3 = Tmp3 + ":" + vbCrLf + vbTab + "Local: "

'CopyMemory为API函数

CopyMemory Ip_Buf(1), TCP1.TCP_Table(i).dwLocalAddr, 4

Tmp3 = Tmp3 + CStr(Ip_Buf(1)) + "." + _

CStr(Ip_Buf(2)) + "."+ CStr(Ip_Buf(3)) _

+"." + CStr(Ip_Buf(4))

Tmp1 = TCP1.TCP_Table(i).dwLocalPort

' 本地端口

Tmp2 = Tmp1 / 256 + (Tmp1 Mod 256) * 256

' 远程IP

Tmp3 = Tmp3 + ":" + Str(Tmp2) + vbTab + "Remote: "

CopyMemory Ip_Buf(1), TCP1.TCP_Table(i).dwRemoteAddr, 4

Tmp3 = Tmp3 + CStr(Ip_Buf(1)) + "." + CStr(Ip_Buf(2)) _

+ "."+ CStr(Ip_Buf(3)) + "." + CStr(Ip_Buf(4))

' 远程端口

Tmp1 = TCP1.TCP_Table(i).dwRemotePort

Tmp2 = Tmp1 / 256 + (Tmp1 Mod 256) * 256

Tmp3 = Tmp3 + ":" + Str(Tmp2) + vbCrLf

Text1 = Text1 + Tmp3

Next i

Case 50:

MsgBox "系统不支持该API函数": End

Case 87:

MsgBox "无效的参数": End

Case 111:

MsgBox "缓冲区溢出": End

Case 232:

MsgBox "无数据": End

End Select

End Sub

用于删除连接的CLICK事件源代码：

Private Sub delete_Click()

Dim Return1 As Long

If Combo1.ListIndex 0 Then Exit Sub

' 将欲删连接的状态置为值为12

TCP1.TCP_Table(Combo1.ListIndex).dwState = 12

' 执行删除

Return1 = SetTcpEntry(TCP1.TCP_Table(Combo1.ListIndex))

If Return1 = 0 Then

MsgBox "删除成功"

Else

MsgBox "删除失败"

End If

Timer1_Timer

End Sub

2、屏幕监控

当服务器系统发现TCP异常连接时，可通过屏幕监控功能将局域网中被监控工作站的屏幕画面抓取到服务器中并实施相应措施，如对工作站锁机或关机等。此处用到WINSOCK控件，其通讯原理请参阅相关资料，屏幕监控功能用到TCP协议，为了达到更好的效果,可在窗体中加入TIMER控件,设定TIMER事件。

(1) 工作站端

侦听并响应服务器端发出的连接请求和屏幕抓取。其中屏幕抓取功能可通过API函数实现：

Dim a As String

Winsock1.GetData a, vbString

Select Case a

Case "zp"

Picture1.AutoRedraw = True

Picture1.ScaleMode = 1

lDesktop = GetDesktopWindow()

lDC = GetDC(lDesktop)

BitBlt Picture1.hdc, 0, 0, Screen.Width, _

Screen.Height, lDC,0, 0, vbSrcCopy

'获取图像数组

SavePicture Picture1.Image, filename

Winsock1.SendData "okm"

Dim myfile() As Byte

Case "fir" '传第一块图

Open filename For Binary As #1

filelen = LOF(1)

ReDim myfile(1 To blocksize) As Byte

'（const blocksize=3072）

Get #1, , myfile

Winsock1.SendData myfile

curpos = blocksize

Case "next" ‘传其它块

If curpos = filelen Then

Winsock1.SendData "end"

Close #1

Exit Sub

End If

j = curpos + blocksize

If j filelen Then

j = filelen - curpos

Else

j = blocksize

End If

ReDim myfile(1 To j) As Byte

Get #1, , myfile

Winsock1.SendData myfile

curpos = curpos + j

End Select

注意：以上功能在WINSOCK的DataArrival事件中实现。抓取的图象数据量较大，所以需要分块传输。

(2) 服务器端

DataArrival 事件代码：

Dim receivefile() As Byte

ReDim receivefile(bytesTotal) As Byte

Winsock1.GetData receivefile, vbArray + vbByte

'告诉Winsock控件收到的是字节数组类型的数据

If Chr(receivefile(0)) = "o" And _

Chr(receivefile(1)) = "k" And _

Chr(receivefile(2)) = "m" Then

If Dir$(filename) "" Then Kill filename

' 打开文件，准备存储图像

Open filename For Binary As #1

filelen = 0

Winsock1.SendData "fir"

Exit Sub

End If

If Chr(receivefile(0)) = "e" And _

Chr(receivefile(1)) = "n" And _

Chr(receivefile(2)) = "d" Then

Label1.Caption = "end"

Close #1

Picture1.Picture = LoadPicture(filename) '显示图象

Exit Sub

End If

Put #1, , receivefile

Winsock1.SendData "next"

3、其它功能

主要用到一些API函数，如实现屏幕锁定和解锁操作可使用Enable Window,实现关机功能用ExitWindowsEx, 服务器和工作站之间的信息互送用到WINSOCK控件的UDP协议,具体用法请参阅有关资料。

结束语

通过在基本的网络监控系统增加入侵检测，就能够极大提高网络的整体安全性，使之更灵敏、更智能，大大降低入侵的成功率。

请教端口问题

一、端口简介

随着计算机网络技术的发展，原来物理上的接口（如键盘、鼠标、网卡、显示卡等输入/输出接口）已不能满足网络通信的要求，TCP/IP协议作为网络通信的标准协议就解决了这个通信难题。TCP/IP协议集成到操作系统的内核中，这就相当于在操作系统中引入了一种新的输入/输出接口技术，因为在TCP/IP协议中引入了一种称之为"Socket（套接字）"应用程序接口。有了这样一种接口技术，一台计算机就可以通过软件的方式与任何一台具有Socket接口的计算机进行通信。端口在计算机编程上也就是"Socket接口"。

有了这些端口后，这些端口又是如何工作呢？例如一台服务器为什么可以同时是Web服务器，也可以是FTP服务器，还可以是邮件服务器等等呢？其中一个很重要的原因是各种服务采用不同的端口分别提供不同的服务，比如：通常TCP/IP协议规定Web采用80号端口，FTP采用21号端口等，而邮件服务器是采用25号端口。这样，通过不同端口，计算机就可以与外界进行互不干扰的通信。

据专家们分析，服务器端口数最大可以有65535个，但是实际上常用的端口才几十个，由此可以看出未定义的端口相当多。这是那么多黑客程序都可以采用某种方法，定义出一个特殊的端口来达到入侵的目的的原因所在。为了定义出这个端口，就要依靠某种程序在计算机启动之前自动加载到内存，强行控制计算机打开那个特殊的端口。这个程序就是"后门"程序，这些后门程序就是常说的木马程序。简单的说，这些木马程序在入侵前是先通过某种手段在一台个人计算机中植入一个程序，打开某个（些）特定的端口，俗称"后门"（BackDoor），使这台计算机变成一台开放性极高（用户拥有极高权限）的FTP服务器，然后从后门就可以达到侵入的目的。

二、端口的分类

端口的分类根据其参考对象不同有不同划分方法，如果从端口的性质来分，通常可以分为以下三类：

（1）公认端口（Well Known

Ports）：这类端口也常称之为"常用端口"。这类端口的端口号从0到1024，它们紧密绑定于一些特定的服务。通常这些端口的通信明确表明了某种服务的协议，这种端口是不可再重新定义它的作用对象。例如：80端口实际上总是HTTP通信所使用的，而23号端口则是Telnet服务专用的。这些端口通常不会像木马这样的黑客程序利用。为了使大家对这些常用端口多一些认识，在本章后面将详细把这些端口所对面应的服务进行列表，供各位理解和参考。

（2） 注册端口（Registered

Ports）：端口号从1025到49151。它们松散地绑定于一些服务。也是说有许多服务绑定于这些端口，这些端口同样用于许多其他目的。这些端口多数没有明确的定义服务对象，不同程序可根据实际需要自己定义，如后面要介绍的远程控制软件和木马程序中都会有这些端口的定义的。记住这些常见的程序端口在木马程序的防护和查杀上是非常有必要的。常见木马所使用的端口在后面将有详细的列表。

（3） 动态和/或私有端口（Dynamic and/or Private

Ports）：端口号从49152到65535。理论上，不应把常用服务分配在这些端口上。实际上，有些较为特殊的程序，特别是一些木马程序就非常喜欢用这些端口，因为这些端口常常不被引起注意，容易隐蔽。

如果根据所提供的服务方式的不同，端口又可分为"TCP协议端口"和"UDP协议端口"两种。因为计算机之间相互通信一般采用这两种通信协议。前面所介绍的"连接方式"是一种直接与接收方进行的连接，发送信息以后，可以确认信息是否到达，这种方式大多采用TCP协议；另一种是不是直接与接收方进行连接，只管把信息放在网上发出去，而不管信息是否到达，也就是前面所介绍的"无连接方式"。这种方式大多采用UDP协议，IP协议也是一种无连接方式。对应使用以上这两种通信协议的服务所提供的端口，也就分为"TCP协议端口"和"UDP协议端口"。

使用TCP协议的常见端口主要有以下几种：

（1） FTP：定义了文件传输协议，使用21端口。常说某某计算机开了FTP服务便是启动了文件传输服务。下载文件，上传主页，都要用到FTP服务。

（2）

Telnet：它是一种用于远程登陆的端口，用户可以以自己的身份远程连接到计算机上，通过这种端口可以提供一种基于DOS模式下的通信服务。如以前的BBS是纯字符界面的，支持BBS的服务器将23端口打开，对外提供服务。

（3）

SMTP：定义了简单邮件传送协议，现在很多邮件服务器都用的是这个协议，用于发送邮件。如常见的免费邮件服务中用的就是这个邮件服务端口，所以在电子邮件设置中常看到有这么SMTP端口设置这个栏，服务器开放的是25号端口。

（4）

POP3：它是和SMTP对应，POP3用于接收邮件。通常情况下，POP3协议所用的是110端口。也是说，只要你有相应的使用POP3协议的程序（例如Foxmail或Outlook），就可以不以Web方式登陆进邮箱界面，直接用邮件程序就可以收到邮件（如是163邮箱就没有必要先进入网易网站，再进入自己的邮箱来收信）。

使用UDP协议端口常见的有：

（1）

HTTP：这是大家用得最多的协议，它就是常说的"超文本传输协议"。上网浏览网页时，就得在提供网页资源的计算机上打开80号端口以提供服务。常说"WWW服务"、"Web服务器"用的就是这个端口。

（2） DNS：用于域名解析服务，这种服务在Windows

NT系统中用得最多的。因特网上的每一台计算机都有一个网络地址与之对应，这个地址是常说的IP地址，它以纯数字+"."的形式表示。然而这却不便记忆，于是出现了域名，访问计算机的时候只需要知道域名，域名和IP地址之间的变换由DNS服务器来完成。DNS用的是53号端口。

（3） SNMP：简单网络管理协议，使用161号端口，是用来管理网络设备的。由于网络设备很多，无连接的服务就体现出其优势。

（4）

OICQ：OICQ程序既接受服务，又提供服务，这样两个聊天的人才是平等的。OICQ用的是无连接的协议，也是说它用的是UDP协议。OICQ服务器是使用8000号端口，侦听是否有信息到来，客户端使用4000号端口，向外发送信息。如果上述两个端口正在使用（有很多人同时和几个好友聊天），就顺序往上加。

在计算机的6万多个端口，通常把端口号为1024以内的称之为常用端口，这些常用端口所对应的服务通常情况下是固定的。表1所列的都是服务器默认的端口，不允许改变，一般通信过程都主要用到这些端口。

表1

服务类型默认端口服务类型默认端口

Echo7Daytime13

FTP21Telnet23

SMTP25Time37

Whois43DNS53

Gopher70Finger79

WWW80POP3110

NNTP119IRC194

另外代理服务器常用以下端口：

（1）. HTTP协议代理服务器常用端口号：80/8080/3128/8081/9080

（2）. SOCKS代理协议服务器常用端口号：1080

（3）. FTP协议代理服务器常用端口号：21

（4）. Telnet协议代理服务器常用端口：23

三、端口在黑客中的应用

像木马之类的黑客程序，就是通过对端口的入侵来实现其目的的。在端口的利用上，黑客程序通常有两种方式，那就是"端口侦听"和"端口扫描"。

"端口侦听"与"端口扫描"是黑客攻击和防护中经常要用到的两种端口技术，在黑客攻击中利用它们可以准确地寻找攻击的目标，获取有用信息，在个人及网络防护方面通过这种端口技术的应用可以及时发现黑客的攻击及一些安全漏洞。下面首先简单介绍一下这两种端口技术的异同。

"端口侦听"是利用某种程序对目标计算机的端口进行监视，查看目标计算机上有哪能些端口是空闲、可以利用的。通过侦听还可以捕获别人有用的信息，这主要是用在黑客软件中，但对于个人来说也是非常有用的，可以用侦听程序来保护自己的计算机，在自己计算机的选定端口进行监视，这样可以发现并拦截一些黑客的攻击。也可以侦听别人计算机的指定端口，看是否空闲，以便入侵。

"端口扫描"（port

scanning）是通过连接到目标系统的TCP协议或UDP协议端口，来确定什么服务正在运行，然后获取相应的用户信息。现在有许多人把"端口侦听"与"端口扫描"混为一谈，根本分不清什么样的情况下要用侦听技术，什么样的情况下要用扫描技术。不过，现在的这类软件也似乎对这两种技术有点模糊了，有的干脆把两个功能都集成在一块。

"端口侦听"与"端口扫描"有相似之处，也有区别的地方，相似的地方是都可以对目标计算机进行监视，区别的地方是"端口侦听"属于一种被动的过程，等待别人的连接的出现，通过对方的连接才能侦听到需要的信息。在个人应用中，如果在设置了当侦听到有异常连接立即向用户报告这个功能时，就可以有效地侦听黑客的连接企图，及时把驻留在本机上的木马程序清除掉。这个侦听程序一般是安装在目标计算机上。用在黑客中的"端口侦听"通常是黑客程序驻留在服务器端等待服务器端在进行正常活动时捕获黑客需要的信息，然后通过UDP协议无连接方式发出去。而"端口扫描"则是一种主动过程，它是主动对目标计算机的选定端口进行扫描，实时地发现所选定端口的所有活动（特别是对一些网上活动）。扫描程序一般是安装在客户端，但是它与服务器端的连接也主要是通过无连接方式的UDP协议连接进行。

在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在侦听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。端口侦听在网络中的任何一个位置模式下都可实施进行，而黑客一般都是利用端口侦听来截取用户口令。

四、端口侦听原理

以太网（Ethernet）协议的工作方式是将要发送的数据包发往连接在一起的所有计算机。在包头中包括有应该接收数据包的计算机的正确地址，因为只有与数据包中目标地址一致的那台计算机才能接收到信息包。但是当计算机工作在侦听模式下，不管数据包中的目标物理地址是什么，计算机都将可以接收到。当同一网络中的两台计算机通信的时候，源计算机将写有目的计算机地址的数据包直接发向目的计算机，或者当网络中的一台计算机同外界的计算机通信时，源计算机将写有目的计算机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP协议层交给网络接口--数据链路层。网络接口不会识别IP地址的，在网络接口中，由IP协议层来的带有IP地址的数据包又增加了一部分以太网的帧头信息。在帧头中，有两个域分别为只有网络接口才能识别的源计算机和目的计算机的物理地址，这是一个48位的地址，这个48位的地址是与IP地址相对应的。换句话说，一个IP地址也会对应一个物理地址。对于作为网关的计算机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的帧中继携带的是网关的物理地址。

以太网中填写了物理地址的帧从网络端口中（或者从网关端口中）发送出去，传送到物理的线路上。如果局域网是由一条粗同轴电缆或细同轴电缆连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台计算机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个计算机了。当数字信号到达一台计算机的网络接口时，正常状态下网络接口对读入数据帧进行检查，如数据帧中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据帧交给IP协议层软件。对于每个到达网络接口的数据帧都要进行这个过程的。但是当计算机工作在侦听模式下，所有的数据帧都将被交给上层协议软件处理。

当连接在同一条电缆或集线器上的计算机被逻辑地分为几个子网的时候，那么要是有一台计算机处于侦听模式，它可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的计算机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

在UNIX系统上，当拥有超级权限的用户要想使自己所控制的计算机进入侦听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使计算机设置成侦听模式了。而在Windows

9x的系统中则不论用户是否有权限都将可以通过直接运行侦听工具就可以实现。

在端口处于侦听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量的整理，这样就会使正在侦听的计算机对其他用户的请求响应变的很慢。同时侦听程序在运行的时候需要消耗大量的处理器时间，如果在这时就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以侦听程序很多时候就会将侦听得到的包存放在文件中等待以后分析。分析侦听到的数据包是很头疼的事情，因为网络中的数据包都非常之复杂。两台计算机之间连续发送和接收数据包，在侦听到的结果中必然会加一些别的计算机交互的数据包。侦听程序将同一TCP协议会话的包整理到一起就相当不容易，如果还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。

现在网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行端口侦听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以轻松的侦听到想要的信息的。

五、端口扫描原理

"端口扫描"通常指用同一信息对目标计算机的所有所需扫描的端口进行发送，然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。"端口扫描"行为的一个重要特征是：在短时期内有很多来自相同的信源地址传向不同的目的地端口的包。

对于用端口扫描进行攻击的人来说，攻击者总是可以做到在获得扫描结果的同时，使自己很难被发现或者说很难被逆向跟踪。为了隐藏攻击，攻击者可以慢慢地进行扫描。除非目标系统通常闲着（这样对一个没有listen端口的数据包都会引起管理员的注意），有很大时间间隔的端口扫描是很难被识别的。隐藏源地址的方法是发送大量的欺骗性的端口扫描包（1000个），其中只有一个是从真正的源地址来的。这样，即使全部包（1000）都被察觉，被记录下来，也没有人知道哪个是真正的信源地址。能发现的仅仅是"曾经被扫描过"。也正因为这样那些黑客们才乐此不彼地继续大量使用这种端口扫描技术来达到他们获取目标计算机信息、并进行恶意攻击。

通常进行端口扫描的工具目前主要采用的是端口扫描软件，也通称之为"端口扫描器"，端口扫描可以为提供三个用途：

（1）识别目标系统上正在运行的TCP协议和UDP协议服务。

（2）识别目标系统的操作系统类型（Windows 9x, Windows NT，或UNIX，等）。

（3）识别某个应用程序或某个特定服务的版本号。

端口扫描器是一种自动检测远程或本地计算机安全性弱点的程序，通过使用扫描器你可不留痕迹的发现远程服务器的各种TCP协议端口的分配及提供的服务，还可以得知它们所使用的软件版本！这就能让间接的了解到远程计算机所存在的安全问题。

端口扫描器通过选用远程TCP/IP协议不同的端口的服务，记录目标计算机端口给予的回答的方法，可以搜集到很多关于目标计算机的各种有用信息（比如：是否有端口在侦听？是否允许匿名登陆？是否有可写的FTP目录，是否能用TELNET等。

端口扫描器并不是一个直接攻击网络漏洞的程序，它仅仅能帮助发现目标机的某些内在的弱点。一个好的扫描器还能对它得到的数据进行分析，帮助查找目标计算机的漏洞。但它不会提供一个系统的详细步骤。

端口扫描器在扫描过程中主要具有以下三个方面的能力：

（1） 发现一个计算机或网络的能力；

（2） 一旦发现一台计算机，就有发现目标计算机正在运行什么服务的能力；

（3） 通过测试目标计算机上的这些服务，发现存在的漏洞的能力。

编写扫描器程序必须要很多TCP/IP协议程序编写和C，Perl和或SHELL语言的知识。需要一些Socket编程的背景，一种在开发客户/服务应用程序的方法。

六、常用端口

在计算机的6万多个端口，通常把端口号为1024以内的称之为常用端口，这些常用端口所对应的服务通常情况下是固定的，所以了解这些常用端口在一定程序上是非常必要的，下表2列出了计算机的常用端口所对应的服务（注：在这列表中各项"="前面的数字为端口号，"="后面的为相应端口服务。）。

1=tcpmux（TCP协议 Port Service Multiplexer）401=ups（Uninterruptible Power

Supply）

2=compressnet=Management Utility402=genie（Genie Protocol）

3=compressnet=Compression Process403=decap

5=rje（Remote Job Entry）404=nced

7=echo=Echo405=ncld

9=discard406=imsp（Interactive Mail Support Protocol）

11=systat,Active Users407=timbuktu

13=daytime408=prm-sm（Prospero Resource Manager Sys. Man.）

17=qotd（Quote of the Day）409=prm-nm（Prospero Resource Manager Node Man.）

18=msp（Message Send Protocol）410=decladebug（DECLadebug Remote Debug

Protocol）

19=Character Generator411=rmt（Remote MT Protocol）

20=FTP-data（File Transfer [Default Data]）412=synoptics-trap（Trap

Convention Port）

21=FTP（File Transfer [Control]）413=smsp

22=ssh414=infoseek

23=telnet415=bnet

24private mail system416=silverplatter

25=smtp（Simple Mail Transfer）417=onmux

27=nsw-fe（NSW User System FE）418=hyper-g

29=msg-icp419=ariel1

31=msg-auth420=smpte

33=Display Support Protocol421=ariel2

35=private printer server422=ariel3

37=time423=opc-job-start（IBM Operations Planning and Control Start）

38=rap（Route Access Protocol）424=opc-job-track（IBM Operations Planning and

Control Track）

39=rlp（Resource Location Protocol）425=icad-el（ICAD）

41=graphics426=smartsdp

42=nameserver（WINS Host Name Server）427=svrloc（Server Location）

43=nicname（Who Is）428=ocs_cmu

44=mpm-flags（MPM FLAGS Protocol）429=ocs_amu

45=mpm（Message Processing Module [recv]）430=utmpsd

46=mpm-snd（MPM [default send]）431=utmpcd

47=ni-ftp432=iasd

48=Digital Audit Daemon433=nnsp

49=tacacs（Login Host Protocol （TACACS））434=mobileip-agent

50=re-mail-ck（Remote Mail Checking Protocol）435=mobilip-mn

51=la-maint（IMP Logical Address Maintenance）436=dna-cml

52=xns-time（XNS Time Protocol）437=comscm

53=Domain Name Server438=dsfgw

54=xns-ch（XNS Clearinghouse）439=dasp（dasp Thomas Obermair）

55=isi-gl（ISI Graphics Language）440=sgcp

56=xns-auth（XNS Authentication）441=decvms-sysmgt

57= private terminal access442=cvc_hostd

58=xns-mail（XNS Mail）443=https（https Mcom）

59=private file service444=snpp（Simple Network Paging Protocol）

61=ni-mail（NI MAIL）445=microsoft-ds

62=acas（ACA Services）446=ddm-rdb

63=whois+whois+447=ddm-dfm

64=covia（Communications Integrator （CI））448=ddm-byte

65=tacacs-ds（TACACS-Database Service）449=as-servermap

66=sql*net（Oracle SQL*NET）450=tserver

67=bootps（Bootstrap Protocol Server）451=sfs-smp-net（Cray Network Semaphore

server）

68=bootpc（Bootstrap Protocol Client）452=sfs-config（Cray SFS config server）

69=tftp（Trivial File Transfer）453=creativeserver

70=gopher454=contentserver

71=netrjs-1,Remote Job Service455=creativepartnr

72=netrjs-2,Remote Job Service456=macon-tcp

73=netrjs-3,Remote Job Service457=scohelp

74=netrjs-4,Remote Job Service458=appleqtc（apple quick time）

75=private dial out service459=ampr-rcmd

76=deos（Distributed External Object Store）460=skronk

77=private RJE service461=datasurfsrv

78=vettcp462=datasurfsrvsec

79=finger463=alpes

80=http（World Wide Web HTTP）464=kpasswd

81=hosts2-ns（HOSTS2 Name Server）465=ssmtp

82=xfer（XFER Utility）466=digital-vrc

83=mit-ml-dev（MIT ML Device）467=mylex-mapd

84=ctf（Common Trace Facility）468=photuris

85=mit-ml-dev（MIT ML Device）469=rcp（Radio Control Protocol）

86=mfcobol（Micro Focus Cobol）470=scx-proxy

nbs

参考资料：;topic=78

怎么关闭端口防止黑客入侵？

Windows中如何手动关闭端口和阻止非法入侵

我们一般采用一些功能强大的反黑软件和防火墙来保证我们的系统安全，但是有些用户不具备上述条件。怎么办呢？下面就介绍一种简易的办法——通过限制端口来帮助大家防止非法入侵。

非法入侵的方式

简单说来，非法入侵的方式可粗略分为4种：

1、扫描端口，通过已知的系统Bug攻入主机。

2、种植木马，利用木马开辟的后门进入主机。

3、采用数据溢出的手段，迫使主机提供后门进入主机。

4、利用某些软件设计的漏洞，直接或间接控制主机。

非法入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过第一种方式攻击主机的情况最多、也最普遍；而对后两种方式来说，只有一些手段高超的黑客才利用，波及面并不广泛，而且只要这两种问题一出现，软件服务商很快就会提供补丁，及时修复系统。

因此，如果能限制前两种非法入侵方式，就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点，就是通过端口进入主机。

端口就像一所房子(服务器)的几个门一样，不同的门通向不同的房间(服务器提供的不同服务)。我们常用的FTP默认端口为21，而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务，比如139等；还有一些木马程序，比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么，只要我们把自己用不到的端口全部封锁起来，不就杜绝了这两种非法入侵吗？

限制端口的方法

对于个人用户来说，您可以限制所有的端口，因为您根本不必让您的机器对外提供任何服务；而对于对外提供网络服务的服务器，我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放，其他的端口则全部关闭。

这里，对于采用Windows2000/XP/2003的用户来说，不需要安装任何其他软件，可以利用"修改组策略"或"TCP/IP筛选功能"限制服务器的端口。具体设置如下：

第一种方法——“修改组策略”:

第一步，在“运行”输入gpedit.msc，回车打开“组策略”，在组策略中的windows设置-安全设置中选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。

点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。

重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。

第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步,进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。

于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了你的电脑。

第二种方法——"TCP/IP筛选功能":

1、右键点击“网上邻居”，选择“属性”，然后双击“本地连接”(如果是拨号上网用户，选择“我的连接”图标)，弹出“本地连接状态”对话框。

2、点击[属性]按钮，弹出“本地连接属性”，选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”，然后点击[属性]按钮。

3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。在弹出的“高级TCP/IP设置”中，选择“选项”标签，选中“TCP/IP筛选”，然后点击[属性]按钮。

4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框，然后把左边“TCP端口”上的“只允许”选上(请见附图)。

这样，您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。

添加或者删除完毕，重新启动机器以后，您的服务器就被保护起来了。

如果只上网浏览的话，可以不添加任何端口。但是要利用一些网络联络工具，比如OICQ的话，就要把“4000”这个端口打开，同理，如果发现某个常用的网络工具不能起作用的时候，请搞清它在您主机所开的端口，然后在“TCP/IP筛选”中添加端口即可。

为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。

另外每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000/XP/2003安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，可关闭无用的服务。“控制面板”的“管理工具”中的“服务”中来配置。

1、7.9等等端口：关闭SimpleTCP/IPService,支持以下TCP/IP服务：CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。

2、80口：关掉WWW服务。在“服务”中显示名称为"WorldWideWebPublishingService"，通过Internet信息服务的管理单元提供Web连接和管理。

3、25端口：关闭SimpleMailTransportProtocol(SMTP)服务，它提供的功能是跨网传送电子邮件。

4、21端口：关闭FTPPublishingService,它提供的服务是通过Internet信息服务的管理单元提供FTP连接和管理。

5、23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运i行控制台程序。

6、还有一个很重要的就是关闭server服务，此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k/XP/2003的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。

7、还有一个就是139端口，它是NetBIOSSession端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放即认为是NT机，现在好了。关闭139端口方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动。

其次，家用电脑，没重要秘密，没必要弄的这么麻烦。就算你把开设的端口打开，在你电脑里，的病毒，木马，也会二次打开有时候一个杀毒软件，就能解决很多问题