17027 Conducent
這是一個外向連接���。這是由于公司內(nèi)部有人安裝了帶有Conducent "adbot" 的共享軟件����。Conducent "adbot"是為共享軟件顯示廣告服務的����。使用這種服務的一種流行的軟件是Pkware。有人試驗:阻斷這一外向連接不會有任何問題���,但是封掉IP地址本身將會導致adbots持續(xù)在每秒內(nèi)試圖連接多次而導致連接過載:
機器會不斷試圖解析DNS名─ads.conducent.com����,即IP地址
216.33.210.40 ��;
216.33.199.77 ;
216.33.199.80 �;
216.33.199.81 ;
216.33.210.41 ��。
�����。ㄗg者:不知NetAnts使用的Radiate是否也有這種現(xiàn)象)
27374 Sub-7木馬(TCP)
參見Subseven部分��。
30100 NetSphere木馬(TCP)
通常這一端口的掃描是為了尋找中了NetSphere木馬��。
31337 Back Orifice “elite”
Hacker中31337讀做“elite”/ei’li:t/(譯者:法語�����,譯為中堅力量��,精華�。即 3=E, 1=L, 7=T)�。因此許多后門程序運行于這一端口。其中最有名的是Back Orifice�。曾經(jīng)一段時間內(nèi)這是Internet上最常見的掃描。現(xiàn)在它的流行越來越少�,其它的 木馬程序越來越流行�。
31789 Hack-a-tack
這一端口的UDP通訊通常是由于"Hack-a-tack"遠程訪問木馬(RAT, Remote Access Trojan)�。這種木馬包含內(nèi)置的31790端口掃描器,因此任何31789端口到317890端口的連 接意味著已經(jīng)有這種入侵��。(31789端口是控制連接��,317890端口是文件傳輸連接)
32770~32900 RPC服務
Sun Solaris的RPC服務在這一范圍內(nèi)��。詳細的說:早期版本的Solaris(2.5.1之前)將 portmapper置于這一范圍內(nèi)����,即使低端口被防火墻封閉仍然允許Hacker/cracker訪問這一端口。 掃描這一范圍內(nèi)的端口不是為了尋找portmapper���,就是為了尋找可被攻擊的已知的RPC服務��。
33434~33600 traceroute
如果你看到這一端口范圍內(nèi)的UDP數(shù)據(jù)包(且只在此范圍之內(nèi))則可能是由于traceroute���。參見traceroute部分。
41508 Inoculan
早期版本的Inoculan會在子網(wǎng)內(nèi)產(chǎn)生大量的UDP通訊用于識別彼此��。參見 http//www.circlemud.org/~jelson/software/udpsend.html
[urlhttp://www.ccd.bnl.gov/nss/tips/inoculan/index.html[/url
端口1~1024是保留端口�����,所以它們幾乎不會是源端口。但有一些例外����,例如來自NAT機器的連接。 �����?匆娋o接著1024的端口�,它們是系統(tǒng)分配給那些并不在乎使用哪個端口連接的應用程序的“動態(tài)端口”��。 Server Client 服務描述:
1-5/tcp 動態(tài) FTP 1-5端口意味著sscan腳本
20/tcp 動態(tài) FTP FTP服務器傳送文件的端口
53 動態(tài) FTP DNS從這個端口發(fā)送UDP回應��。你也可能看見源/目標端口的TCP連接��。
123 動態(tài) S/NTP 簡單網(wǎng)絡時間協(xié)議(S/NTP)服務器運行的端口���。它們也會發(fā)送到這個端口的廣播�。
27910~27961/udp 動態(tài) Quake Quake或Quake引擎驅動的游戲在這一端口運行其服務器�。因此來自這一端口范圍的UDP包或發(fā)送至這一端口范圍的UDP包通常是游戲。
61000以上 動態(tài) FTP 61000以上的端口可能來自Linux NAT服務器(IP Masquerade)
希望與更多計算機等級考試的網(wǎng)友交流���,請進入計算機等級考試論壇
更多信息請訪問:考試吧計算機等級考試欄目
