hellochen的博客

摘要：WINDOWS NT引导过程　查看全文

端口：1245

服务：[NULL]

说明：木马Vodoo开放此端口。

端口：1433

服务：SQL

说明：Microsoft的SQL服务开放的端口。

端口：1492

服务：stone-design-1

说明：木马FTP99CMP开放此端口。

端口：1500

服务：RPC client fixed port session queries

说明：RPC客户固定端口会话查询

端口：1503

服务：NetMeeting T.120

说明：NetMeeting T.120

端口：1524

服务：ingress

说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。

端口：1600

服务：issd

说明：木马Shivka-Burka开放此端口。

 

端口：1720

服务：NetMeeting

说明：NetMeeting H.233 call Setup。

端口：1731

服务：NetMeeting Audio Call Control

说明：NetMeeting音频调用控制。

端口：1807

服务：[NULL]

说明：木马SpySender开放此端口。

端口：1981

服务：[NULL]

说明：木马ShockRave开放此端口。

端口：1999

服务：cisco identification port

说明：木马BackDoor开放此端口。

 

端口：2000

服务：[NULL]

说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。

端口：2001

服务：[NULL]

说明：木马Millenium 1.0、Trojan Cow开放此端口。

端口：2023

服务：xinuexpansion 4

说明：木马Pass Ripper开放此端口。

端口：2049

服务：NFS

说明：NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。

端口：2115

服务：[NULL]

说明：木马Bugs开放此端口。

 

 

端口：2140、3150

服务：[NULL]

说明：木马Deep Throat 1.0/3.0开放此端口。

端口：2500

服务：RPC client using a fixed port session replication

说明：应用固定端口会话复制的RPC客户

端口：2583

服务：[NULL]

说明：木马Wincrash 2.0开放此端口。

端口：2801

服务：[NULL]

说明：木马Phineas Phucker开放此端口。

端口：3024、4092

服务：[NULL]

说明：木马WinCrash开放此端口。

端口：3128

服务：squid

说明：这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。

端口：3129

服务：[NULL]

说明：木马Master Paradise开放此端口。

端口：3150

服务：[NULL]

说明：木马The Invasor开放此端口。

端口：3210、4321

服务：[NULL]

说明：木马SchoolBus开放此端口

 

 

端口：3333

服务：dec-notes

说明：木马Prosiak开放此端口

端口：3389

服务：超级终端

说明：WINDOWS 2000终端开放此端口。

端口：3700

服务：[NULL]

说明：木马Portal of Doom开放此端口

端口：3996、4060

服务：[NULL]

说明：木马RemoteAnything开放此端口

端口：4000

服务：QQ客户端

说明：腾讯QQ客户端开放此端口。

端口：4092

服务：[NULL]

说明：木马WinCrash开放此端口。

端口：4590

服务：[NULL]

说明：木马ICQTrojan开放此端口。

端口：5000、5001、5321、50505 服务：[NULL]

说明：木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321、50505端口。

端口：5400、5401、5402

服务：[NULL]

说明：木马Blade Runner开放此端口。

端口：5550

服务：[NULL]

说明：木马xtcp开放此端口。

端口：5569

服务：[NULL]

说明：木马Robo-Hack开放此端口。

端口：5632

服务：pcAnywere

说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。

 

 

端口：5742

服务：[NULL]

说明：木马WinCrash1.03开放此端口。

端口：6267

服务：[NULL]

说明：木马广外女生开放此端口。

端口：6400

服务：[NULL]

说明：木马The tHing开放此端口。

端口：6670、6671

服务：[NULL]

说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。

端口：6883

服务：[NULL]

说明：木马DeltaSource开放此端口。

端口：6969

服务：[NULL]

说明：木马Gatecrasher、Priority开放此端口。

端口：6970

服务：RealAudio

说明：RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。

端口：7000

服务：[NULL]

说明：木马Remote Grab开放此端口。

端口：7300、7301、7306、7307、7308

服务：[NULL]

说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。

 

端口：7323

服务：[NULL]

说明：Sygate服务器端。

端口：7626

服务：[NULL]

说明：木马Giscier开放此端口。

端口：7789

服务：[NULL]

说明：木马ICKiller开放此端口。

端口：8000

服务：OICQ

说明：腾讯QQ服务器端开放此端口。 '

端口：8010

服务：Wingate

说明：Wingate代理开放此端口。

端口：8080

服务：代理端口

说明：WWW代理开放此端口。

端口：9400、9401、9402

服务：[NULL]

说明：木马Incommand 1.0开放此端口。

端口：9872、9873、9874、9875、10067、10167

服务：[NULL]

说明：木马Portal of Doom开放此端口

端口：9989

服务：[NULL]

说明：木马iNi-Killer开放此端口。

端口：11000

服务：[NULL]

说明：木马SennaSpy开放此端口。

端口：11223

服务：[NULL]

说明：木马Progenic trojan开放此端口。

端口：12076、61466

服务：[NULL]

说明：木马Telecommando开放此端口。

端口：12223

服务：[NULL]

说明：木马Hack'99 KeyLogger开放此端口。

端口：12345、12346

服务：[NULL]

说明：木马NetBus1.60/1.70、GabanBus开放此端口。

端口：12361

服务：[NULL]

说明：木马Whack-a-mole开放此端口。

端口：13223

服务：PowWow

说明：PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。

 

端口：16969

服务：[NULL]

说明：木马Priority开放此端口。

端口：17027

服务：Conducent

说明：这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。

端口：19191

服务：[NULL]

说明：木马蓝色火焰开放此端口。

端口：20000、20001

服务：[NULL]

说明：木马Millennium开放此端口。

端口：20034

服务：[NULL]

说明：木马NetBus Pro开放此端口。

端口：21554

服务：[NULL]

说明：木马GirlFriend开放此端口。

端口：22222

服务：[NULL]

说明：木马Prosiak开放此端口。

 

 

端口：23456

服务：[NULL]

说明：木马Evil FTP、Ugly FTP开放此端口。

端口：26274、47262

服务：[NULL]

说明：木马Delta开放此端口。

端口：27374

服务：[NULL]

说明：木马Subseven 2.1开放此端口。

端口：30100

服务：[NULL]

说明：木马NetSphere开放此端口。

端口：30303

服务：[NULL]

说明：木马Socket23开放此端口。

端口：30999

服务：[NULL]

说明：木马Kuang开放此端口。

端口：31337、31338

服务：[NULL]

说明：木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。

端口：31339

服务：[NULL]

说明：木马NetSpy DK开放此端口。

端口：31666

服务：[NULL]

说明：木马BOWhack开放此端口。

 

端口：33333

服务：[NULL]

说明：木马Prosiak开放此端口。

端口：34324

服务：[NULL]

说明：木马Tiny Telnet Server、BigGluck、TN开放此端口。

端口：40412

服务：[NULL]

说明：木马The Spy开放此端口。

端口：40421、40422、40423、40426、

服务：[NULL]

说明：木马Masters Paradise开放此端口。

端口：43210、54321

服务：[NULL]

说明：木马SchoolBus 1.0/2.0开放此端口。

端口：44445

服务：[NULL]

说明：木马Happypig开放此端口。

端口：50766

服务：[NULL]

说明：木马Fore开放此端口。

 

端口：53001

服务：[NULL]

说明：木马Remote Windows Shutdown开放此端口。

端口：65000

服务：[NULL]

说明：木马Devil 1.03开放此端口。

端口：88

说明：Kerberos krb5。另外TCP的88端口也是这个用途。

端口：137

说明：SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。

端口：161

说明：Simple Network Management Protocol(SMTP)（简单网络管理协议）

端口：162

说明：SNMP Trap（SNMP陷阱）

端口：445

说明：Common Internet File System(CIFS)（公共Internet文件系统）

端口：464

说明：Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。

 

端口：500

说明：Internet Key Exchange(IKE)（Internet密钥交换）

端口：1645、1812

说明：Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)

端口：1646、1813

说明：RADIUS accounting(Routing and Remote Access)(RADIUS记帐（路由和远程访问）)

端口：1701

说明：Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)

端口：1801、3527

说明：Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。

端口：2504

说明：Network Load Balancing(网络平衡负荷)

0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口

连接它时将产生不同的结果。一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

摘要：我们常常会在各类的技术文章中见到诸如135、137、139、443之类的“端口”，可是这些端口究竟有什么用呢？它会不会给我们的计算机带来潜在的威胁呢？究竟有多少端口是有用的？想要了解的话，就跟我来吧:D　查看全文

摘要：摘自http://www.cniis.com/dispbbs.asp?boardID=10&ID=538&page=1 中国网络安全联盟论坛！！！　查看全文

首先我们先看一下BIOS中都有什么（喂，那位你拿出锤子来干什么！？）。现代的程序设计都讲究模块化，BIOS文件也不例外，整个程序代码也是由一系列模块组成的。磐英6VBA主板使用VIA Apollo Pro133A芯片组，采用的BIOS是典型的2M BIOS文件。当我们敲入“CBROM 6VBA.BIN / D”时，CBROM软件会列出一张BIOS信息列表：

 其中第0项SYSTEM BIOS是系统中最基本的部分，保存的文件名为Original.tmp，所有的BIOS都有这一部分，其中包含有基本的BIOS程序、提示信息等。下面要打造自己的特色BIOS，&127;只要修改这一部分程序就可以办到；第1项为扩展BIOS程序，是各个厂商自己定制的不同于标准Award BIOS的功能，实际上几乎所有的厂商都会增加这一部分内容；第2项是CPU微代码，是用来兼容各型号CPU的。我们常说某款主板不支持某款CPU，需要升级一下BIOS，通常就是由主板厂商修改好这一部分内容，然后提供给用户；第3项是用来支持ACPI的ACPI列表，现在大多数主板已经开始支持ACPI功能，而这也是运行WINDOWS 2000所必备的部分。只有支持ACPI的BIOS，才能真正实现ACPI功能；第4项是磐英这款主板的BIOS内置刷新程序，开机时敲ALT＋F2就可以进入AWDFLASH升级程序；第5项则是大家开机时见到的EPA图案（主板不同则图案类型不同，在这里我们看到的是EPA格式的图形文件），这正是下面我们要DIY自己的特色电脑的主要修改对象。最后的三项分别说明了BIOS的总容量、已使用容量和剩余容量，当然这都是经过压缩处理的。

 其它主板的BIOS里面还装了些什么内容?&127;我们来看一些特殊情况。敲入“CBROM BX2000.F9 / D”来看看技嘉BX2000+主板BIOS放了些什么内容

  图中的第6项就是双BIOS图案，和磐英BIOS不同的还有第4项，从中可以看出，&127;这里用的就是BMP格式的图形文件。此外，最下面好像多了一些微代码信息，有了它就可以保持并兼容于最新的CPU。在浪潮主板的BIO中，第5项是这款主板内置的防病毒代码，用作BIOS级别的病毒扫描。第6项就是浪潮主板开机时显示的全屏幕开机LOGO（标识）了。

   要注意，不同版本的CBROM，其功能也不同。1.03版的CBROM只能显示和修改Award 4.51版本以前的BIOS，如果用于显示高版本的BIOS，就会出现如图5、图6的提示，告诉我们不能用于显示Award 6.0版本的BIOS或干脆显示一堆乱码。

如果你玩过路由器的话，就知道路由器里面那些很好玩的命令缩写。

　　例如，"sh int" 的意思是 "show interface"。

　　现在 Windows 2000 也有了类似界面的工具，叫做 netsh。

　　我们在 Windows 2000 的 cmd shell 下，输入 netsh

　　就出来：netsh> 提示符，

　　输入 int ip 就显示：

　　interface ip>

　　然后输入 dump ，我们就可以看到当前系统的网络配置：

　　# ----------------------------------

　　# Interface IP Configuration

　　# ----------------------------------

　　pushd interface ip

　　# Interface IP Configuration for "Local Area Connection"

　　set address name = "Local Area Connection" source = static addr = 192.168.1.168

　　mask = 255.255.255.0

　　add address name = "Local Area Connection" addr = 192.1.1.111 mask = 255.255.255.0

　　set address name = "Local Area Connection" gateway = 192.168.1.100 gwmetric = 1

　　set dns name = "Local Area Connection" source = static addr = 202.96.209.5

　　set wins name = "Local Area Connection" source = static addr = none

　　popd

　　# End of interface IP configuration

　　上面介绍的是通过交互方式操作的一种办法。

　　我们可以直接输入命令：

　　"netsh interface ip add address "Local Area Connection" 10.0.0.2 255.0.0.0"

　　来添加 IP 地址。

　　如果不知道语法，不要紧的哦！

　　在提示符下，输入 ? 就可以找到答案了。方便不方便啊？

　　原来微软的东西里面，也有那么一些让人喜欢的玩意儿。可惜，之至者甚少啊！

　　Windows网络命令行程序

　　这部分包括：

　　使用 ipconfig /all 查看配置

　　使用 ipconfig /renew 刷新配置

　　使用 ipconfig 管理 DNS 和 DHCP 类别 ID

　　使用 Ping 测试连接

　　使用 Arp 解决硬件地址问题

　　使用 nbtstat 解决 NetBIOS 名称问题

　　使用 netstat 显示连接统计

　　使用 tracert 跟踪网络连接

　　使用 pathping 测试路由器

　　使用 ipconfig /all 查看配置

　　发现和解决 TCP/IP 网络问题时，先检查出现问题的计算机上的 TCP/IP 配置。可以使用 ipconfig 命令获得主机配置信息，包括 IP 地址、子网掩码和默认网关。

　　注意

　　对于 Windows 95 和 Windows 98 的客户机，请使用 winipcfg 命令而不是 ipconfig 命令。

　　使用带 /all 选项的 ipconfig 命令时，将给出所有接口的详细配置报告，包括任何已配置的串行端口。　　使用 ipconfig /all，可以将命令输出重定向到某个文件，并将输出粘贴到其他文档中。也可以用该输出确认网络上每台计算机的 TCP/IP 配置，或者进一步调查 TCP/IP 网络问题。

　　例如，如果计算机配置的 IP 地址与现有的 IP 地址重复，则子网掩码显示为 0.0.0.0。

　　下面的范例是 ipconfig /all 命令输出，该计算机配置成使用 DHCP 服务器动态配置TCP/IP，并使用WINS 和 DNS 服务器解析名称。

　　Windows 2000 IP Configuration

　　Node Type.. . . . . . . . : Hybrid

　　IP Routing Enabled.. . . . : No

　　WINS Proxy Enabled.. . . . : No

　　Ethernet adapter Local Area Connection:

　　Host Name.. . . . . . . . : corp1.microsoft.com

　　DNS Servers . . . . . . . : 10.1.0.200

　　Description. . . . . . . : 3Com 3C90x Ethernet Adapter

　　Physical Address. . . . . : 00-60-08-3E-46-07

　　DHCP Enabled.. . . . . . . : Yes

　　Autoconfiguration Enabled.: Yes

　　IP Address. . . . . . . . . : 192.168.0.112

　　Subnet Mask. . . . . . . . : 255.255.0.0

　　Default Gateway. . . . . . : 192.168.0.1

　　DHCP Server. . . . . . . . : 10.1.0.50

　　Primary WINS Server. . . . : 10.1.0.101

　　Secondary WINS Server. . . : 10.1.0.102

　　Lease Obtained.. . . . . . : Wednesday, September 02, 1998 10:32:13 AM

　　Lease Expires.. . . . . . : Friday, September 18, 1998 10:32:13 AM

　　如果 TCP/IP 配置没有问题，下一步测试能够连接到 TCP/IP 网络上的其他主机。

　　使用 ipconfig /renew 刷新配置

　　解决 TCP/IP 网络问题时，先检查遇到问题的计算机上的 TCP/IP 配置。如果计算机启用 DHCP 并使用 DHCP 服务器获得配置，请使用 ipconfig /renew 命令开始刷新租约。

　　使用 ipconfig /renew 时，使用 DHCP 的计算机上的所有网卡（除了那些手动配置的适配器）都尽量连接到DHCP 服务器，更新现有配置或者获得新配置。

　　也可以使用带 /release 选项的 ipconfig 命令立即释放主机的当前 DHCP 配置。有关 DHCP 和租用过程的详细信息，请参阅客户机如何获得配置。

　　注意

　　对于启用 DHCP 的 Windows 95 和 Windows 98 客户，请使用 winipcfg 命令的 release 和 renew 选项，而不是 ipconfig /release 和 ipconfig /renew 命令，手动释放或更新客户的 IP 配置租约。

　　使用 ipconfig 管理 DNS 和 DHCP 类别 ID

　　也可以使用 ipconfig 命令：

　　显示或重置 DNS 缓存。

　　详细信息，请参阅使用 ipconfig 查看或重置客户解析程序缓存。

　　刷新已注册的 DNS 名称。

　　详细信息，请参阅使用 ipconfig 更新 DNS 客户注册。

　　显示适配器的 DHCP 类别 ID。

　　详细信息，请参阅显示客户机上的 DHCP 类别 ID 信息。

　　设置适配器的 DHCP 类别 ID。

　　详细信息，请参阅设置客户机上的 DHCP 类别 ID 信息。

　　使用 Ping 测试连接

　　Ping 命令有助于验证 IP 级的连通性。发现和解决问题时，可以使用 Ping 向目标主机名或 IP 地址发送 ICMP 回应请求。需要验证主机能否连接到 TCP/IP 网络和网络资源时，请使用 Ping。也可以使用 Ping 隔离网络硬件问题和不兼容配置。

　　通常最好先用 Ping 命令验证本地计算机和网络主机之间的路由是否存在，以及要连接的网络主机的 IP 地址。Ping 目标主机的IP 地址看它是否响应，如下：

　　ping IP_address

　　使用 Ping 时应该执行以下步骤：

　　Ping 环回地址验证是否在本地计算机上安装 TCP/IP 以及配置是否正确。

　　ping 127.0.0.1

　　Ping 本地计算机的 IP 地址验证是否正确地添加到网络。

　　ping IP_address_of_local_host

　　Ping 默认网关的 IP 地址验证默认网关是否运行以及能否与本地网络上的本地主机通讯。

　　ping IP_address_of_default_gateway

　　Ping 远程主机的 IP 地址验证能否通过路由器通讯。

　　ping IP_address_of_remote_host

　　Ping 命令用 Windows 套接字样式的名称解析将计算机名解析成 IP 地址，所以如果用地址成功，但是用名称 Ping 失败，则问题出在地址或名称解析上，而不是网络连通性的问题。详细信息，请参阅使用 Arp 解决硬件地址问题。

　　如果在任何点上都无法成功地使用 Ping，请确认：

　　安装和配置 TCP/IP 之后重新启动计算机。

　　“Internet 协议 (TCP/IP) 属性”对话框“常规”选项卡上的本地计算机的 IP 地址有效而且正确。

　　启用 IP 路由，并且路由器之间的链路是可用的。

　　您可以使用 Ping 命令的不同选项来指定要使用的数据包大小、要发送多少数据包、是否记录用过的路由、要使用的生存时间 (TTL) 值以及是否设置“不分段”标志。可以键入 ping -? 查看这些选项。

　　下例说明如何向 IP 地址 172.16.48.10 发送两个 Ping，每个都是 1,450 字节：

　　C:\>ping -n 2 -l 1450 172.16.48.10

　　Pinging 172.16.48.10 with 1450 bytes of data:

　　Reply from 172.16.48.10:bytes=1450 time<10ms TTL=32

　　Reply from 172.16.48.10:bytes=1450 time<10ms TTL=32

　　Ping statistics for 157.59.8.1:

　　Packets:Sent = 2, Received = 2, Lost = 0 (0% loss),

　　Approximate roundtrip times in milli-seconds:

　　Minimum = 0ms, Maximum = 10ms, Average = 2ms

　　默认情况下，在显示“请求超时”之前，Ping 等待 1,000 毫秒（1 秒）的时间让每个响应返回。如果通过 Ping 探测的远程系统经过长时间延迟的链路，如卫星链路，则响应可能会花更长的时间才能返回。可以使用 -w （等待）选项指定更长时间的超时。

待续............