一、漏洞的概念 

漏洞是硬件、软件或策略上的缺陷，从而使攻击者能够在未授权的情况下访问系统。 

每个星期，都会有15～30个漏洞产生，他们会影响到很大范围内的网络工具，包括： 

路由器、客户和服务器软件、操作系统、防火墙…… 



二、windows NT 

    微软官方早就已经明确指出：他们不会为windows3.2、win95、win98重写安全控制。 

    DOS、windows、windows95/98都是很优秀的软件，但是没有一个是安全的。微软根本没有windows95/98安全支持计划！对于管理员来说，这是很糟糕的消息，放弃这些操作系统吧……作为一个攻击者，安装一套windows NT 或windows2000（也就是NT5）操作系统是非常必要的，事实上，windows NT已经成为最好的黑客应用平台～～^_^ 

    微软一直以安全性差而著称，但这一点在windows NT上没有应验，windows NT的安全性可与许多服务器平台媲美。但是，管理员使用NTFS安装windows NT了吗？是按正确顺序安装服务包的吗？他是否进行了正确设置了呢？如果不是，那么他的NT系统就不安全！ 

    IIS（internet information server）是一种应用很广泛的服务器软件，它有很多弱点。作为一个攻击者或是一名网络管理员，我们需要详细的了解这些弱点，了解他们的成因、利用方法以及补救措施。 

    除了IIS的漏洞，NT本身的漏洞也不能放过，比如getadmin漏洞，大家知道没有打sp4以上补丁的NT4都具有这个漏洞，利用它我们可以在本地或远程利用一个合法用户登陆来提升自己的权限。事实上，NT存在很多漏洞，有些比较严重，有些不十分严重。无论你是作为一名黑客或是一个网络系统管理员，都应该随时注意这些资料。一般来说，windows NT内部安全性相对还行，这是建立在管理员使用NTFS的条件之上的，有些系统管理员认为他们不需要NTFS，他们更关注的是管理策略、细致的管理作风以及访问控制，以为这样就可以将系统维护得滴水不漏，这显然是白日做梦！！ 



三、扫描器 

    扫描器是自动检测远端或本地主机安全脆弱点得程序。扫描器查询TCP/IP端口并记录目标的响应。扫描程序通过确定下列项目，收集关于目标主机的有用信息：目标打开了哪些端口？正在进行什么服务？是否支持匿名登陆？是否具有某项已知漏洞？ 

创建一个扫描器并不难，我们可以用几百行代码编写一个有效的扫描器。当然，需要精通TCP/IP、C、Perl或者一种或几种shell语言。扫描器之所以重要是因为它能揭示一个网站的脆弱点。因此，每一个管理员都应该熟悉它们。我们可以经常扫描自己的站点已保持自己站点的安全性。对于黑客而言，运用一个或几个好的扫描器通常是展开攻击的第一步。 

对于新手而言，小榕的“流光”确实是一个非常简单而实用的扫描器。 



四、口令安全 

    即使你的系统安全性设置已经完美无缺，你那简单的口令一样会让你栽的很惨。记住，作为一个网络管理员的你永远不要用能在英文字典上找到的单词或单词与数字的简单组合作为你的密码。因为攻击者手中各式各样的口令攻击程序会让你的机器很快被攻陷。你再完美的设置也是一到悲惨的“马其偌防线”。对于管理员来说，使用口令攻击程序尝试破解自己的密码也是一项很有价值的工作。 



五、特洛伊木马 

    我想“特洛伊木马”的传说大家一定都知道，在计算机中，特洛伊木马指的是做一些用户所希望、并且有害的事情的程序。它执行隐藏的或不需要不希望的功能，这些功能可能是记录键盘输入，也有可能是进行文件操作，事实上它什么都可能去做。特洛伊很难被发现。因为它们只是一段看起来根本无害的程序而已。著名的网络木马有BO、冰河、无赖小子等等等等，这些木马要做的事就是：打开一个本不应打开的端口，悄悄的等待客户端（攻击者）的连接并执行客户端的指令。要想防范特洛伊木马是比较困难的，比较有名气的木马我们可以用些防病毒软件或网络防火墙所查杀，但是这远远是不够的，不运行任何来历不明的程序才是防范木马的根本之道。对于防木马软件，“木马克星”我个人认为效果不错。 



六、嗅探器 

    嗅探器（sniffer）就是能够捕获网络报文的设备或程序。它的正当用处是在于分析网络的流量，以便找出所关心的网络中潜在的问题。大多数嗅探器至少能够分析标准以太网、TCP/iP、IPX、DECNet协议。嗅探器与一般的键盘捕获程序不同，键盘捕获程序捕获在机器上输入的键值，而嗅探器则捕获真实的网络报文，嗅探器通过将其置身与网络接口来达到这个目的。嗅探器能够捕获口令，捕捉到机密的或者专用的信息，也可以用来危害邻居网络的安全，或者用来获取更高级别的访问权限。一个嗅探器能在很少的时间内捕获成千上万的密码信息！！所以嗅探器攻击对于管理员来说是完全需要严密注意的。一般来说，攻击者喜欢把嗅探器放在网关上。然后检测嗅探器是非常困难的，因为他们是被动的程序。它们只是静静的接受网络报文而已。最好的防御嗅探器的方法是安全的拓扑结构和会话加密。 



七、防火墙 

    防火墙是防止从网络外部访问本机或本网络的所有设备。防火墙分硬件和软件两种。防火墙能分析任何协议的报文。对防火墙的设置意味着安全性的高低。我们应该注意两点：协调好安全性和系统性能的平衡性；防火墙不是万能的。 

    事实上，即使有了强大的硬件防火墙的保护，一点点错误的设置或是一个程序的漏洞都会使整个网站暴露在攻击者的面前！ 



八、日志 

    不要低估日志的重要性，日志文件在调查网络入侵时是非常重要的，他们也是用少的代价来阻止攻击的办法之一。对于攻击者而言，获得足够的权限后毁掉或修改这些日志也是非常非常重要的。要想不被对方找到蛛丝马迹，细心的修改目标的日志尤为重要。



局域网安全

    目前的局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。 

　　事实上，Internet上许多免费的黑客工具，如SATAN、ISS、NETCAT等等，都把以太网侦听作为其最基本的手段。 



当前，局域网安全的解决办法有以下几种： 

　　1．网络分段 

　　网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。 

　　目前，海关的局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制。例如：在海关系统中普遍使用的DEC MultiSwitch 900的入侵检测功能，其实就是一种基于MAC地址的访问控制，也就是上述的基于数据链路层的物理分段。 

　　2．以交换式集线器代替共享式集线器 

　　对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包Unicast Packet）还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。 

　　因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。 

　　3．VLAN的划分 

　　为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。 

　　目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。 

　　在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。 

　　VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。目前，大多数的交换机（包括海关内部普遍采用的DEC MultiSwitch 900）都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议（如CISCO公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能。当然，这种情况下，路由转发的效率会有所下降。 

　　无论是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在控制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPAN（Switch Port Analyzer）功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中，就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机，既得到了交换技术的好处，又使原有的Sniffer协议分析仪“英雄有用武之地”。 

广域网安全 

　　由于广域网大多采用公网来进行数据传输，信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。如果没有专用的软件对数据进行控制，只要使用Internet上免费下载的“包检测”工具软件，就可以很容易地对通信数据进行截取和破译。 

　　因此，必须采取手段，使得在广域网上发送和接收信息时能够保证： 

　　①除了发送方和接收方外，其他人是无法知悉的（隐私性）； 

　　②传输过程中不被篡改（真实性）； 

　　③发送方能确知接收方不是假冒的（非伪装性）； 

　　④发送方不能否认自己的发送行为（不可抵赖性）。 

　　为了达到以上安全目的，广域网通常采用以下安全解决办法： 

　　1．加密技术 

　　加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类，即对称型加密、不对称型加密和不可逆加密。 

　　其中不可逆加密算法不存在密钥保管和分发问题，适用于分布式网络系统，但是其加密计算量相当可观，所以通常用于数据量有限的情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。近年来，随着计算机系统性能的不断提高，不可逆加密算法的应用逐渐增加，常用的如RSA公司的MD5和美国国家标准局的SHS。在海关系统中广泛使用的Cisco路由器，有两种口令加密方式：Enable Secret和Enable Password。其中，Enable Secret就采用了MD5不可逆加密算法，因而目前尚未发现破解方法（除非使用字典攻击法）。而Enable Password则采用了非常脆弱的加密算法（即简单地将口令与一个常数进行XOR与或运算），目前至少已有两种破解软件。因此，最好不用Enable Password。 

　　2．VPN技术 

　　VPN（虚拟专网）技术的核心是采用隧道技术，将企业专网的数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN，就如同通过自己的专用网建立内部网一样，享有较高的安全性、优先性、可靠性和可管理性，而其建立周期、投入资金和维护费用却大大降低，同时还为移动计算提供了可能。因此，VPN技术一经推出，便红遍全球。 

　　但应该指出的是，目前VPN技术的许多核心协议，如L2TP、IPSec等，都还未形成通用标准。这就使得不同的VPN服务提供商之间、VPN设备之间的互操作性成为问题。因此，企业在VPN建网选型时，一定要慎重选择VPN服务提供商和VPN设备。 

　　3．身份认证技术 

　　对于从外部拨号访问总部内部网的用户，由于使用公共电话网进行数据传输所带来的风险，必须更加严格控制其安全性。一种常见的做法是采用身份认证技术，对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术，有Cisco公司提出的TACACS＋以及业界标准的RADIUS。笔者在厦门海关外部网设计中，就选用了Cisco公司的CiscoSecure ACS V2．3软件进行RADIUS身份认证。 



外部网安全 

　　海关的外部网建设，通常指与Internet的互联及与外部企业用户的互联两种。无论哪一种外部网，都普遍采用基于TCP／IP的Internet协议族。Internet协议族自身的开放性极大地方便了各种计算机的组网和互联，并直接推动了网络技术的迅猛发展。但是，由于在早期网络协议设计上对安全问题的忽视，以及Internet在使用和管理上的无政府状态，逐渐使Internet自身的安全受到威胁，黑客事件频频发生。 

　　对外部网安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。 

　　外部网安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的外部网安全设计中，往往采取上述三种技术（即防火墙、入侵检测、网络防病毒）相结合的方法。笔者在厦门海关外部网设计中，就选用了NAI公司最新版本的三宿主自适应动态防火墙Gauntlet Active Firewall。该防火墙产品集成了Gauntlet Firewall、CyberCop Scanner、CyberCop Monitor、WebShield for Firewall等套件，将防火墙技术、入侵检测技术与网络防病毒技术融为一体，紧密结合，相得益彰，性价比比较高。 



安全路由

    路由器作为内外网之间数据通信的核心设备，其本身的安全性能的重要性不变而喻，强化路由器本身的安全防范往往可以收到事半功倍的作用，因此基于这一理念而出现的新型网络设备——安全路由器便成为了网络安全产业中的一支尖兵。 

    网络安全目前已经日益成为业界关注的重点，就用户的网络而言，其面临的安全威胁主要源自于未经授权的非法网络访问、网络传输过程中可能出现的敏感信息泄漏与遗失、数据完整性破坏及计算机病毒的传播等几个方面。而解决这类问题的途径除了借助立法及强化内部管理等防范措施外，先进的安全技术也是网络安全的重要解决之道，如网络防火墙与基于路由器的安全防范技术等。这其中，路由器作为担当内部与外部网络之间数据通信的核心设备，其本身的安全性能尤为关键，因为作为网络转接设备的路由器，需要不断接收与发送路由信息及IP数据报，而路由信息与敏感IP数据报的安全正是网络安全防护的核心。因此，强化路由器本身的安全防范往往可以收到事半功倍之效，这也正是近年来，业界对路由器本身的安全性能日趋关注的重要原因，安全路由器就是基于这一理念而出现的一类新型网络设备。 

    针对网络潜在的各种安全威胁，安全路由器在实现常规路由功能的基础上，在设计时强化了数据传输加密这一关键技术问题，增强了信息保护与数据加密性能，能够有效检测及防范各类攻击事件的发生。 



    1.什么是安全路由器？ 

    实际上，安全路由器只是一个松散的产品概念，并没有严格的范围界定，它通常是指集常规路由与网络安全防范功能于一身的网络安全设备，有部分安全路由器产品甚至完全是通过在现有常规路由平台之上加装安全加密卡，或相应的软件安全系统而来的。 

一般说来，具备IPSec（IP Security）协议支持、能够有效利用IPSec保证数据传输机密性与完整性或能够借助其它途径强化本身安全性能的路由器都可以称之为安全路由器。 

    与常规路由器产品相比，安全路由器能够提供常规路由器所不具备，的诸如IPSec协议支持、基于规则集的防火墙、基于OSPE V2路由协议的安全认证、信息加密与分布式密钥管理等功能，能够对IP数据报进行智能加密，可提供安全VPN通道、抗源地址欺骗、抗源路由攻击、抗极小数据和抗重叠分片的分组过滤功能及实现基于硬件的信息加密等功能。 

    绝大多数安全路由产品都提供了对IPSec协议的支持，因为数据传输加密技术的目的就是实现网络传输流量的加密，保障网络内数据流量的安全，而IPSec协议正是IETF Internet工程任务小组为保证公网数据传输机密性与安全性而制定的系列协议，它能够在IP层提供安全服务，为IP及上层协议、应用提供安全保护。 

关于IPSec协议 

    IPSec协议包括ESP（Encapsulating Security Payload）封装安全负载、AH（Authentication Header）报头验证协议及IKE（Internet Key Exchange）密钥管理协议等，其中AH协议能够提供无连接的完整性、数据发起验证及重放保护，ESP主要用于提供额外的加密保护，而IKE则主要提供安全加密算法与密钥协商。这些机制均独立于算法，协议的应用与具体加密算法的使用均可取决于用户及应用程序的安全性要求。因此，IPSec是一个开放性的安全标准框架，可以在一个公共IP网络上确保数据通信的可靠性和完整性，能够保障数据安全穿越公网而没有被侦听或窃改之虞，为实现通用安全策略所需的基于标准的解决方案提供了理想的应用框架。而且IPSec的部署极为简便，只需安全通道两端的路由器或主机支持IPSec协议即可，几乎无需对网络现有基础设施进行任何更动。IPSec的优势主要表现为可以对所有IP级的通信进行加密和认证，可以为IP提供基于加密的互操作性强、高质量的通信安全，所支持的安全服务包括存取控制、无连接的完整性、数据发起方认证和加密。这正是IPSec协议能够确保包括远程登录、客户机、服务器、电子邮件、文件传输及Web访问在内多种应用程序安全的主要依托。 



    2、安全路由器安全在哪？ 

    与常规路由器产品相比，安全路由器通常具有以下特征：采用IPSec协议；带有包过滤和代理协议的防火墙功能；能够隐藏内部网络拓扑结构；支持路由信息与IP数据包加密；能够实现身份鉴别、数据签名和数据完整性验证；具有灵活的密钥配置、支持集中式密钥与分布式密钥管理；可有效防止虚假路由信息的接收与路由器的非法接入；能够阻止非授权人员的入侵等。 



    3.可与Internet连接，具有防火墙功能？

    安全路由器可对指定服务器/客户机的数据报进行加密，可支持Telnet、E-mail、Ftp、WWW等，具有节点加密机的功能。支持身份鉴别，数字签名和数据完整性验证，而且安全路由器提供的硬件加密比软件加密有更好的传输效率与安全性。 



    4.企业用户可以实现Intranet的安全加密？ 

    安全路由器可通过广域网与普通路由器或与安全路由器互联构成安全VPN通道。由于安全路由器具有数据加密的功能，局域网上需要传输的数据在通过安全路由器向外发送时，安全路由器会根据一定的加密算法将数据加密，接收到该数据的目标端也要使用相同的算法才能把数据还原。因此，自安全路由器发送的加密IP数据报可以透明地穿越普通路由器和广域网，到达目标安全路由器进行解密，这期间传送的IP数据报均为密文，可有效防止敏感信息的泄露，构成跨越公网的Intranet。 



    5.可以隐藏内部网络拓扑结构 

    安全路由器能够对所有需要发送的IP包进行重新封装，在原来IP包上封装源和目的网关的IP地址。目的路由器接收到IP包时，先去掉IPSec增加的IP包头，然后根据IP包的源和目的地址，把该IP包发送到局域网上的目的主机上。这样，大型企业与分支机构间传输的数据即使在公网上被拦截，拦截者也无法通过IP包获取公司内部网络IP地址，从而进一步了解内部网络拓扑结构。 



选择安全路由器的7点注意 

    1.可靠性与线路安全:可靠性主要体现在接口故障和网络流量增大两种情况下，为此，备份是路由器不可或缺的手段之一。当主接口出现故障时，备份接口应可以自动投入工作，保证网络的正常运行。当网络流量增大时，备份接口又可承当负载分担的任务。 

    2. 身份认证:路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。 

    3. 访问控制:对于路由器的访问控制，需要进行口令的分级保护。有基于IP地址的访问控制和基于用户的访问控制。 

    4. 信息隐藏:与对端通信时，不一定需要用真实身份，通过地址转换，可以隐藏网内地址。除了由内部网络首先发起的连接，网外用户不能通过地址转换直接访问网内资源。 

    5. 数据加密。 

    6. 攻击探测和防范。 

    7. 安全管理。 



五步锁定P2P Windows网络安全

    1.必须有本地的安全策略

　　增强每一个个人的系统安全是重要的，因为在这种设置中没有组策略，你必须要依赖Windows本地的安全策略。你可以通过Window控制面板或者通过运行secpol.msc或者secpol.msc来访问你的本地安全策略设置。

　　要记住，你需要做的关键的设置包括：启用审计失败事件的记录、要求使用Ctrl+Alt+Del键登录、创建一个口令策略、启用一项通知试图登录的用户的文本消息，在用户登录时告知用户可接受的使用策略、以及不显示最后一个用户的名字。

　　2.需要批准共享

　　在P2P环境中，你还需要向网络中的每一个人通报共享。如果没有这样做，要记住最低限度的规则并且设置共享许可，这样用户能够浏览并看到允许他们看到的东西。

　　3.文件许可非常重要

　　按照共享批准的同一个原则，需要在本地的每一个系统建立文件许可，以保证只有得到授权的人才能打开、修改和删除文件。

　　4.加密离线文件

　　在P2P环境中需要Windows离线文件加密功能是普通的，特别是对于移动用户来说更是如此。如果你使用这种功能，确保使用这些Windows指南加密你的文件。最好是考虑使用PGP桌面专业版或者SecureStar DriveCrypt加密软件对硬盘进行部分加密或者全部加密，以确保你的移动数据的安全。

　　5.评估你的网络安全

　　定期评估你的P2P网络安全也是非常重要的。在评估的时候要确保记住以下事情：

　　·对各个系统实施本地安全策略一致性检查。使用免费的和商业性的软件工具就很容完成这种检查。这类工具包括Foundstone公司的SuperScan和GFI LANguard公司的网络安全扫描器。

　　·检查不属于各个系统所有的本地用户账号。

　　·确认为各个系统设置的你的共享和文件许可是恰当的。

　　·查找不应该共享的文件夹和硬盘，或者查找不应该存在的文件夹和硬盘。这在P2P网络中是特别普通的事情。在P2P网络中硬盘和文件夹共享是正常的。

　　·无论你使用什么工具，在进行测试的时候，要确保实施经过身份识别的扫描（以标准的用户、管理员或者这两者的身份登录）和未经过身份识别的扫描（仅使用零会话连接，而不登录）。这会使你了解网络的真实状况，了解哪里配置错误了，并且了解不守纪律的内部人员或者外部黑客能够在你的系统里看到什么。 



端口大全+注解

端口：0 

服务：Reserved 

说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。 



端口：1 

服务：tcpmux 

说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 



端口：7 

服务：Echo 

说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。 



端口：19 

服务：Character Generator 

说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。 



端口：21 

服务：FTP 

说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。 



端口：22 

服务：Ssh 

说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。 



端口：23 

服务：Telnet 

说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。 



端口：25 

服务：SMTP 

说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。 



端口：31 

服务：MSG Authentication 

说明：木马Master Paradise、Hackers Paradise开放此端口。 



端口：42 

服务：WINS Replication 

说明：WINS复制 



端口：53 

服务：Domain Name Server（DNS） 

说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此_blank">防火墙常常过滤或记录此端口。 



端口：67 

服务：Bootstrap Protocol Server 

说明：通过DSL和Cable modem的_blank">防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。 



端口：69 

服务：Trival File Transfer 

说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 



端口：79 

服务：Finger Server 

说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。 



端口：80 

服务：HTTP 

说明：用于网页浏览。木马Executor开放此端口。 



端口：99 

服务：Metagram Relay 

说明：后门程序ncx99开放此端口。 



端口：102 

服务：Message transfer agent(MTA)-X.400 over TCP/IP 

说明：消息传输代理。 



端口：109 

服务：Post Office Protocol -Version3 

说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 



端口：110 

服务：SUN公司的RPC服务所有端口 

说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等 



端口：113 

服务：Authentication Service 

说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过_blank">防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在_blank">防火墙另一边与E-MAIL服务器的缓慢连接。许多_blank">防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 



端口：119 

服务：Network News Transfer Protocol 

说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。 



端口：135 

服务：Location Service 

说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。 



端口：137、138、139 

服务：NETBIOS Name Service 

说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。 



端口：143 

服务：Interim Mail Access Protocol v2 

说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。 



端口：161 

服务：SNMP 

说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。 



端口：177 

服务：X Display Manager Control Protocol 

说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。 



端口：389 

服务：LDAP、ILS 

说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 



端口：443 

服务：Https 

说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。 



端口：456 

服务：[NULL] 

说明：木马HACKERS PARADISE开放此端口。 



端口：513 

服务：Login,remote login 

说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。 



端口：544 

服务：[NULL] 

说明：kerberos kshell 



端口：548 

服务：Macintosh,File Services(AFP/IP) 

说明：Macintosh,文件服务。 



端口：553 

服务：CORBA IIOP （UDP） 

说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。 



端口：555 

服务：DSF 

说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 



端口：568 

服务：Membership DPA 

说明：成员资格 DPA。 



端口：569 

服务：Membership MSN 

说明：成员资格 MSN。 



端口：635 

服务：mountd 

说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。 



端口：636 

服务：LDAP 

说明：SSL（Secure Sockets layer） 



端口：666 

服务：Doom Id Software 

说明：木马Attack FTP、Satanz Backdoor开放此端口 



端口：993 

服务：IMAP 

说明：SSL（Secure Sockets layer） 



端口：1001、1011 

服务：[NULL] 

说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 



端口：1024 

服务：Reserved 

说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。 



端口：1025、1033 

服务：1025：network blackjack 1033：[NULL] 

说明：木马netspy开放这2个端口。 



端口：1080 

服务：SOCKS 

说明：这一协议以通道方式穿过_blank">防火墙，允许_blank">防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于_blank">防火墙外部的攻击穿过_blank">防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。 



端口：1170 

服务：[NULL] 

说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。 



端口：1234、1243、6711、6776 

服务：[NULL] 

说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。 



端口：1245 

服务：[NULL] 

说明：木马Vodoo开放此端口。 



端口：1433 

服务：SQL 

说明：Microsoft的SQL服务开放的端口。 



端口：1492 

服务：stone-design-1 

说明：木马FTP99CMP开放此端口。 



端口：1500 

服务：RPC client fixed port session queries 

说明：RPC客户固定端口会话查询 



端口：1503 

服务：NetMeeting T.120 

说明：NetMeeting T.120 



端口：1524 

服务：ingress 

说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了_blank">防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。 



端口：1600 

服务：issd 

说明：木马Shivka-Burka开放此端口。 



端口：1720 

服务：NetMeeting 

说明：NetMeeting H.233 call Setup。 



端口：1731 

服务：NetMeeting Audio Call Control 

说明：NetMeeting音频调用控制。 



端口：1807 

服务：[NULL] 

说明：木马SpySender开放此端口。 



端口：1981 

服务：[NULL] 

说明：木马ShockRave开放此端口。 



端口：1999 

服务：cisco identification port 

说明：木马BackDoor开放此端口。 



端口：2000 

服务：[NULL] 

说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。 



端口：2001 

服务：[NULL] 

说明：木马Millenium 1.0、Trojan Cow开放此端口。 



端口：2023 

服务：xinuexpansion 4 

说明：木马Pass Ripper开放此端口。 



端口：2049 

服务：NFS 

说明：NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。 



端口：2115 

服务：[NULL] 

说明：木马Bugs开放此端口。 



端口：2140、3150 

服务：[NULL] 

说明：木马Deep Throat 1.0/3.0开放此端口。 



端口：2500 

服务：RPC client using a fixed port session replication 

说明：应用固定端口会话复制的RPC客户



端口：2583 

服务：[NULL] 

说明：木马Wincrash 2.0开放此端口。 



端口：2801 

服务：[NULL] 

说明：木马Phineas Phucker开放此端口。 



端口：3024、4092 

服务：[NULL] 

说明：木马WinCrash开放此端口。 



端口：3128 

服务：squid 

说明：这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。 



端口：3129 

服务：[NULL] 

说明：木马Master Paradise开放此端口。 



端口：3150 

服务：[NULL] 

说明：木马The Invasor开放此端口。 



端口：3210、4321 

服务：[NULL] 

说明：木马SchoolBus开放此端口 



端口：3333 

服务：dec-notes 

说明：木马Prosiak开放此端口 



端口：3389 

服务：超级终端 

说明：WINDOWS 2000终端开放此端口。 



端口：3700 

服务：[NULL] 

说明：木马Portal of Doom开放此端口 



端口：3996、4060 

服务：[NULL] 

说明：木马RemoteAnything开放此端口 



端口：4000 

服务：QQ客户端 

说明：腾讯QQ客户端开放此端口。 



端口：4092 

服务：[NULL] 

说明：木马WinCrash开放此端口。 



端口：4590 

服务：[NULL] 

说明：木马ICQTrojan开放此端口。 



端口：5000、5001、5321、50505 

服务：[NULL] 

说明：木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。 



端口：5400、5401、5402 

服务：[NULL] 

说明：木马Blade Runner开放此端口。 



端口：5550 

服务：[NULL] 

说明：木马xtcp开放此端口。 



端口：5569 

服务：[NULL] 

说明：木马Robo-Hack开放此端口。 



端口：5632 

服务：pcAnywere 

说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。 



端口：5742 

服务：[NULL] 

说明：木马WinCrash1.03开放此端口。 



端口：6267 

服务：[NULL] 

说明：木马广外女生开放此端口。 



端口：6400 

服务：[NULL] 

说明：木马The tHing开放此端口。 



端口：6670、6671 

服务：[NULL] 

说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。 



端口：6883 

服务：[NULL] 

说明：木马DeltaSource开放此端口。 



端口：6969 

服务：[NULL] 

说明：木马Gatecrasher、Priority开放此端口。 



端口：6970 

服务：RealAudio 

说明：RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。 



端口：7000 

服务：[NULL] 

说明：木马Remote Grab开放此端口。 



端口：7300、7301、7306、7307、7308 

服务：[NULL] 

说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。 



端口：7323 

服务：[NULL] 

说明：Sygate服务器端。 



端口：7626 

服务：[NULL] 

说明：木马Giscier开放此端口。 



端口：7789 

服务：[NULL] 

说明：木马ICKiller开放此端口。 



端口：8000 

服务：OICQ 

说明：腾讯QQ服务器端开放此端口。 



端口：8010 

服务：Wingate 

说明：Wingate代理开放此端口。 



端口：8080 

服务：代理端口 

说明：WWW代理开放此端口。 



端口：9400、9401、9402 

服务：[NULL] 

说明：木马Incommand 1.0开放此端口。 



端口：9872、9873、9874、9875、10067、10167 

服务：[NULL] 

说明：木马Portal of Doom开放此端口。 



端口：9989 

服务：[NULL] 

说明：木马iNi-Killer开放此端口。 



端口：11000 

服务：[NULL] 

说明：木马SennaSpy开放此端口。 



端口：11223 

服务：[NULL] 

说明：木马Progenic trojan开放此端口。 



端口：12076、61466 

服务：[NULL] 

说明：木马Telecommando开放此端口。 



端口：12223 

服务：[NULL] 

说明：木马Hack'99 KeyLogger开放此端口。 



端口：12345、12346 

服务：[NULL] 

说明：木马NetBus1.60/1.70、GabanBus开放此端口。 



端口：12361 

服务：[NULL] 

说明：木马Whack-a-mole开放此端口。 



端口：13223 

服务：PowWow 

说明：PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。 



端口：16969 

服务：[NULL] 

说明：木马Priority开放此端口。 



端口：17027 

服务：Conducent 

说明：这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。 



端口：19191 

服务：[NULL] 

说明：木马蓝色火焰开放此端口。 



端口：20000、20001 

服务：[NULL] 

说明：木马Millennium开放此端口。 



端口：20034 

服务：[NULL] 

说明：木马NetBus Pro开放此端口。 



端口：21554 

服务：[NULL] 

说明：木马GirlFriend开放此端口。 



端口：22222 

服务：[NULL] 

说明：木马Prosiak开放此端口。 



端口：23456 

服务：[NULL] 

说明：木马Evil FTP、Ugly FTP开放此端口。 



端口：26274、47262 

服务：[NULL] 

说明：木马Delta开放此端口。 



端口：27374 

服务：[NULL] 

说明：木马Subseven 2.1开放此端口。 



端口：30100 

服务：[NULL] 

说明：木马NetSphere开放此端口。 



端口：30303 

服务：[NULL] 

说明：木马Socket23开放此端口。 



端口：30999 

服务：[NULL] 

说明：木马Kuang开放此端口。 



端口：31337、31338 

服务：[NULL] 

说明：木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。 



端口：31339 

服务：[NULL] 

说明：木马NetSpy DK开放此端口。 



端口：31666 

服务：[NULL] 

说明：木马BOWhack开放此端口。 



端口：33333 

服务：[NULL] 

说明：木马Prosiak开放此端口。 



端口：34324 

服务：[NULL] 

说明：木马Tiny Telnet Server、BigGluck、TN开放此端口。 



端口：40412 

服务：[NULL] 

说明：木马The Spy开放此端口。 



端口：40421、40422、40423、40426、 

服务：[NULL] 

说明：木马Masters Paradise开放此端口。 



端口：43210、54321 

服务：[NULL] 

说明：木马SchoolBus 1.0/2.0开放此端口。 



端口：44445 

服务：[NULL] 

说明：木马Happypig开放此端口。 



端口：50766 

服务：[NULL] 

说明：木马Fore开放此端口。 



端口：53001 

服务：[NULL] 

说明：木马Remote Windows Shutdown开放此端口。 



端口：65000 

服务：[NULL] 

说明：木马Devil 1.03开放此端口。



P>下面是：系统常用的端口7 TCP Echo 简单 TCP/IP 服务 

7 UDP Echo 简单 TCP/IP 服务 

9 TCP Discard 简单 TCP/IP 服务 

9 UDP Discard 简单 TCP/IP 服务 

13 TCP Daytime 简单 TCP/IP 服务 

13 UDP Daytime 简单 TCP/IP 服务 

17 TCP Quotd 简单 TCP/IP 服务 

17 UDP Quotd 简单 TCP/IP 服务 

19 TCP Chargen 简单 TCP/IP 服务 

19 UDP Chargen 简单 TCP/IP 服务 

20 TCP FTP 默认数据 FTP 发布服务 

21 TCP FTP 控制 FTP 发布服务 

21 TCP FTP 控制 应用层网关服务 

23 TCP Telnet Telnet 

25 TCP SMTP 简单邮件传输协议 

25 UDP SMTP 简单邮件传输协议 

25 TCP SMTP Exchange Server 

25 UDP SMTP Exchange Server 

42 TCP WINS 复制 Windows Internet 名称服务 

42 UDP WINS 复制 Windows Internet 名称服务 

53 TCP DNS DNS 服务器 

53 UDP DNS DNS 服务器 

53 TCP DNS Internet 连接_blank">防火墙/Internet 连接共享 

53 UDP DNS Internet 连接_blank">防火墙/Internet 连接共享 

67 UDP DHCP 服务器 DHCP 服务器 

67 UDP DHCP 服务器 Internet 连接_blank">防火墙/Internet 连接共享 

69 UDP TFTP 普通 FTP 后台程序服务 

80 TCP HTTP Windows 媒体服务 

80 TCP HTTP 万维网发布服务 

80 TCP HTTP SharePoint Portal Server 

88 TCP Kerberos Kerberos 密钥分发中心 

88 UDP Kerberos Kerberos 密钥分发中心 

102 TCP X.400 Microsoft Exchange MTA 堆栈 

110 TCP POP3 Microsoft POP3 服务 

110 TCP POP3 Exchange Server 

119 TCP NNTP 网络新闻传输协议 

123 UDP NTP Windows Time 

123 UDP SNTP Windows Time 

135 TCP RPC 消息队列 

135 TCP RPC 远程过程调用 

135 TCP RPC Exchange Server 

137 TCP NetBIOS 名称解析 计算机浏览器 

137 UDP NetBIOS 名称解析 计算机浏览器 

137 TCP NetBIOS 名称解析 Server 

137 UDP NetBIOS 名称解析 Server 

137 TCP NetBIOS 名称解析 Windows Internet 名称服务 

137 UDP NetBIOS 名称解析 Windows Internet 名称服务 

137 TCP NetBIOS 名称解析 Net Logon 

137 UDP NetBIOS 名称解析 Net Logon 

137 TCP NetBIOS 名称解析 Systems Management Server 2.0 

137 UDP NetBIOS 名称解析 Systems Management Server 2.0 

138 UDP NetBIOS 数据报服务 计算机浏览器 

138 UDP NetBIOS 数据报服务 信使 

138 UDP NetBIOS 数据报服务 服务器 

138 UDP NetBIOS 数据报服务 Net Logon 

138 UDP NetBIOS 数据报服务 分布式文件系统 

138 UDP NetBIOS 数据报服务 Systems Management Server 2.0 

138 UDP NetBIOS 数据报服务 许可证记录服务 

139 TCP NetBIOS 会话服务 计算机浏览器 

139 TCP NetBIOS 会话服务 传真服务 

139 TCP NetBIOS 会话服务 性能日志和警报 

139 TCP NetBIOS 会话服务 后台打印程序 

139 TCP NetBIOS 会话服务 服务器 

139 TCP NetBIOS 会话服务 Net Logon 

139 TCP NetBIOS 会话服务 远程过程调用定位器 

139 TCP NetBIOS 会话服务 分布式文件系统 

139 TCP NetBIOS 会话服务 Systems Management Server 2.0 

139 TCP NetBIOS 会话服务 许可证记录服务 

143 TCP IMAP Exchange Server 

161 UDP SNMP SNMP 服务 

162 UDP SNMP 陷阱出站 SNMP 陷阱服务 

389 TCP LDAP 服务器 本地安全机构 

389 UDP LDAP 服务器 本地安全机构 

389 TCP LDAP 服务器 分布式文件系统 

389 UDP LDAP 服务器 分布式文件系统 

443 TCP HTTPS HTTP SSL 

443 TCP HTTPS 万维网发布服务 

443 TCP HTTPS SharePoint Portal Server 

445 TCP SMB 传真服务 

445 UDP SMB 传真服务 

445 TCP SMB 后台打印程序 

445 UDP SMB 后台打印程序 

445 TCP SMB 服务器 

445 UDP SMB 服务器 

445 TCP SMB 远程过程调用定位器 

445 UDP SMB 远程过程调用定位器 

445 TCP SMB 分布式文件系统 

445 UDP SMB 分布式文件系统 

445 TCP SMB 许可证记录服务 

445 UDP SMB 许可证记录服务 

500 UDP IPSec ISAKMP IPSec 服务 

515 TCP LPD TCP/IP 打印服务器 

548 TCP Macintosh 文件服务器 Macintosh 文件服务器 

554 TCP RTSP Windows 媒体服务 

563 TCP NNTP over SSL 网络新闻传输协议 

593 TCP RPC over HTTP 远程过程调用 

593 TCP RPC over HTTP Exchange Server 

636 TCP LDAP SSL 本地安全机构 

636 UDP LDAP SSL 本地安全机构 

993 TCP IMAP over SSL Exchange Server 

995 TCP POP3 over SSL Exchange Server 

1270 TCP MOM-Encrypted Microsoft Operations Manager 2000 

1433 TCP SQL over TCP Microsoft SQL Server 

1433 TCP SQL over TCP MSSQL$UDDI 

1434 UDP SQL Probe Microsoft SQL Server 

1434 UDP SQL Probe MSSQL$UDDI 

1645 UDP 旧式 RADIUS Internet 身份验证服务 

1646 UDP 旧式 RADIUS Internet 身份验证服务 

1701 UDP L2TP 路由和远程访问 

1723 TCP PPTP 路由和远程访问 

1755 TCP MMS Windows 媒体服务 

1755 UDP MMS Windows 媒体服务 

1801 TCP MSMQ 消息队列 

1801 UDP MSMQ 消息队列 

1812 UDP RADIUS 身份验证 Internet 身份验证服务 

1813 UDP RADIUS 计帐 Internet 身份验证服务 

1900 UDP SSDP SSDP 发现服务 

2101 TCP MSMQ-DC 消息队列 

2103 TCP MSMQ-RPC 消息队列 

2105 TCP MSMQ-RPC 消息队列 

2107 TCP MSMQ-Mgmt 消息队列 

2393 TCP OLAP Services 7.0 SQL Server：下层 OLAP 客户端支持 

2394 TCP OLAP Services 7.0 SQL Server：下层 OLAP 客户端支持 

2460 UDP MS Theater Windows 媒体服务 

2535 UDP MADCAP DHCP 服务器 

2701 TCP SMS 远程控制（控件） SMS 远程控制代理 

2701 UDP SMS 远程控制（控件） SMS 远程控制代理 

2702 TCP SMS 远程控制（数据） SMS 远程控制代理 

2702 UDP SMS 远程控制（数据） SMS 远程控制代理 

2703 TCP SMS 远程聊天 SMS 远程控制代理 

2703 UPD SMS 远程聊天 SMS 远程控制代理 

2704 TCP SMS 远程文件传输 SMS 远程控制代理 

2704 UDP SMS 远程文件传输 SMS 远程控制代理 

2725 TCP SQL 分析服务 SQL 分析服务器 

2869 TCP UPNP 通用即插即用设备主机 

2869 TCP SSDP 事件通知 SSDP 发现服务 

3268 TCP 全局编录服务器 本地安全机构 

3269 TCP 全局编录服务器 本地安全机构 

3343 UDP 集群服务 集群服务 

3389 TCP 终端服务 NetMeeting 远程桌面共享 

3389 TCP 终端服务 终端服务 

3527 UDP MSMQ-Ping 消息队列 

4011 UDP BINL 远程安装 

4500 UDP NAT-T 路由和远程访问 

5000 TCP SSDP 旧事件通知 SSDP 发现服务 

5004 UDP RTP Windows 媒体服务 

5005 UDP RTCP Windows 媒体服务 

42424 TCP ASP.Net 会话状态 ASP.NET 状态服务 

51515 TCP MOM-Clear Microsoft Operations Manager 2000