[原创+总结]防火墙常见日志分析|江阴雨辰互联

2023年6月24日发(作者：)

[原创+总结]防⽕墙常见⽇志分析先申明本⽂不是什么技术⽂章，⼼情开朗就随便写写整理下(偶补考过了,⾼兴ing) 两年没⽤防⽕墙了(只做测试⽤)，昨天装了个天⽹，感受下！以最常见的天⽹防⽕墙为例，⼀般⽇志分为三⾏，第⼀⾏反映了数据包的发送、接受时间、发送者IP地址、对⽅通讯端⼝、数据包类型、本机通讯端⼝等等情况；第⼆⾏为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，在⽇志上显⽰时只标出第⼀个字母，他们的简单含义如下：

　　ACK：确认标志

　　提⽰远端系统已经成功接收所有数据

　　SYN：同步标志

　　该标志仅在建⽴TCP连接时有效，它提⽰TCP连接的服务端检查序列编号

　　FIN：结束标志

　　带有该标志位的数据包⽤来结束⼀个TCP会话，但对应端⼝还处于开放状态，准备接收后续数据。

　　RST：复位标志，具体不清楚。

第三⾏是对数据包的处理⽅法，对于不符合规则的数据包会拦截或拒绝，对符合规则的但被设为监视的数据包会显⽰为“继续下⼀规则”。

1.最常见的报警，尝试⽤ping来探测本机，分为两种：

如果在防⽕墙规则⾥设置了“防⽌别⼈⽤PING命令探测主机”，你的电脑就不会返回给对⽅这种ICMP包，这样别⼈就⽆法⽤PING命令探测你的电脑，也就以为没你电脑的存在。如果偶尔⼀两条没什么，但如果显⽰有N个来⾃同⼀IP地址的记录，很有可能是别⼈⽤⿊客⼯具探测你主机信息。

[11:13:35] 接收到 210.29.14.136 的 ICMP 数据包，

类型: 8 ，代码: 0，

该包被拦截。

这种情况只是简单的ping命令探测，如：ping 210.29.14.130就会出现如上⽇志。

[14:00:24] 210.29.14.130 尝试⽤Ping来探测本机，

该操作被拒绝。

这种情况⼀般是扫描器探测主机，主要⽬的是探测远程主机是否连⽹！但还有⼀种可能，如果多台不同IP的计算机试图利⽤Ping的⽅式来探测本机。如下⽅式(经过处理了，ip是假设的)：

　　[14:00:24] 210.29.14.45 尝试⽤Ping来探测本机，

　　该操作被拒绝。

　　[14:01:09] 210.29.14.132 尝试⽤Ping来探测本机，

　　该操作被拒绝。

　　[14:01:20] 210.29.14.85 尝试⽤Ping 来探测本机，

　　该操作被拒绝。

　　[14:01:20] 210.29.14.68 尝试⽤Ping 来探测本机，

　　该操作被拒绝。

此时就不是⼈为的原因了，所列机器感染了冲击波类病毒。感染了“冲击波杀⼿”的机器会通过Ping⽹内其他机器的⽅式来寻找RPC漏洞，⼀旦发现，即把病毒传播到这些机器上。

2.对于windows xp系统常见的报警，也分两种情况:

[18:58:37] 10.186.210.96试图连接本机的Blazer 5[5000]端⼝，

TCP标志：S，

该操作被拒绝。

系统因素：Blazer 5[5000]端⼝是winxp的服务器端⼝，WindowsXP默认启动的 UPNP服务，没有病毒⽊马也是打开的，⼤家看到的报警⼀般属于这种情况，因为本地或远程主机的5000端⼝服务异常，导致不断连接5000端⼝。

⽊马因素：有些⽊马也开放此端⼝，如⽊马blazer5开放5000端⼝，⽊马Sockets de roie开放5000、5001、5321端⼝等！但我看也没多少⼈⽤这种⽊马！

3.常见报警之qq聊天服务器

[19:55:55] 接收到 218.18.95.163 的 UDP 数据包,

本机端⼝: 1214 ，

对⽅端⼝: OICQ Server[8000]

该包被拦截。

[19:55:56] 接收到 202.104.129.254 的 UDP 数据包，

本机端⼝: 4001 ，

对⽅端⼝: OICQ Server[8000]

该包被拦截。

这个⽇志是昨天在校园⽹的“谈天说地”上抄下来的,腾讯QQ服务器端开放的就是8000端⼝.⼀般是qq服务器的问题，因为接受不到本地的客户响应包，⽽请求不断连接，还有⼀种可能就是主机通过qq服务器转发消息，但服务器发给对⽅的请求没到达，就不断连接响应了(TCP三次握⼿出错了，我是这么认为的，具体没找到权威资料，可能说的不对，欢迎指正)

4.共享端⼝之135,139,445（⼀般在局域⽹常见），⼜要分⼏种情况：

135端⼝是⽤来提供RPC通信服务的，445和139端⼝⼀样，是⽤来提供⽂件和打印机共享服务的。

[20:01:36] 218.8.124.230试图连接本机的NetBios-SSN[139]端⼝，

TCP标志：S，

该操作被拒绝。

[16:47:24] 60.31.133.146试图连接本机的135端⼝，

TCP标志：S，

该操作被拒绝。

[16:47:35] 60.31.135.195试图连接本机的CIFS[445]端⼝，

TCP标志：S，

该操作被拒绝。

第⼀种：正常情况,局域⽹的机器共享和传输⽂件(139端⼝)。

第⼆种：连接你的135和445端⼝的机器本⾝应该是被动地发数据包，或者也有可能是正常的、⾮病毒的连接——虽然这个可能性⽐较⼩。第三种：⽆聊的⼈扫描ip段，这个也是常见的，初学⿊客技术都这样，⼗⾜的狂扫迷，但往往什么也没得到，这种⼈应该好好看看TCP/IP协议原理。

第四种：连接135端⼝的是冲击波（r）病毒，“尝试⽤Ping来探测本机”也是⼀种冲击波情况（internet），这种135端⼝的探测⼀般是局域⽹传播，现象为同⼀个ip不断连接本机135端⼝，此时远程主机没打冲击波补丁，蠕⾍不断扫描同⼀ip段(这个是我⾃⼰的观点，冲击波的⼴域⽹和局域⽹传播⽅式估计不同吧，欢迎指正！)

第五种：某⼀IP连续多次连接本机的NetBios-SSN[139]端⼝，表现为时间间隔短，连接频繁。此时⽇志中所列计算机感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有⼀个特点，它们会搜寻局域⽹内⼀切可⽤的共享资源，并会将病毒复制到取得完全控制权限的共享⽂件夹内，以达到病毒传播之⽬的。这种⼈应该同情下，好好杀毒吧！

5.常见报警之⾼端端⼝,可以分下列情况

第⼀种：

[7:49:36] 接收到 64.74.133.9 的 UDP 数据包，

本机端⼝: 33438 ，对⽅端⼝: 10903

该包被拦截。

这种情况⼀般是游戏开放的服务端⼝，⼀般范围在27910~~27961,因此来⾃这⼀端⼝范围的UDP包或发送到这⼀端⼝范围的UDP包通常是游戏。爱好游戏的朋友会收到类似的端⼝连接。⽐如启动CS后创建了两个端⼝44405和55557。奇迹服务器好象是55960和55962端⼝。

第⼆种：

[18:34:16] 接收到 210.29.14.86 的 UDP 数据包，

本机端⼝: 6884 ，

对⽅端⼝: 6881

该包被拦截。

这个是BT服务端⼝(6881~~6889)，每个bt线程占⽤⼀个端⼝，据说只能开9个，但有时候防⽕墙报警，原因是防⽕墙过滤了这些端⼝。开放这些端⼝或关闭防⽕墙才能⽤BT。多说⼏句，⽯斛的⼀些同学反映不能⽤BT，我给出我⾃⼰的分析，因为学校的路由器或交换机限制了这些端⼝，不能使其BT端⼝全部打开。解决⽅法(可能不怎么管⽤，参考下)：端⼝映射，换默认端⼝，开放默认端⼝！

再给点⽹上的资料：

常⽤游戏端⼝

中国游戏中⼼ TCP 8000

联众世界 TCP 2000

⽹易泡泡 UDP 4001

边锋⽹络游戏世界 TCP 4000

中国围棋⽹ TCP 9696

笨苹果游戏互动⽹ UDP 5000

上海热线游戏频道 TCP 8000

凯思帝国游戏在线 TCP 2050

6.常见攻击之IGMP数据包

[23:11:48] 接收到210.29.14.130的IGMP数据包

该包被拦截

[23:11:48] 接收到210.29.14.130的IGMP数据包

该包被拦截

这是⽇志中最常见的，也是最普遍的攻击形式。IGMP（Internet Group Management Protocol）是⽤于组播的⼀种协议，实际上是对Windows的⽤户是没什么⽤途的，但由于Windows中存在IGMP漏洞，当向安装有Windows 9X操作系统的机⼦发送长度和数量较⼤的IGMP数据包时，会导致系统TCP/IP栈崩溃，系统直接蓝屏或死机，这就是所谓的IGMP攻击。在标志中表现为⼤量来⾃同⼀IP的IGMP数据包。⼀般在⾃定义IP规则⾥已经设定了该规则，只要选中就可以了。

碰到这种情况可以分两种：⼀种是你得罪他了，和你有仇；另⼀种就是攻击者吃饱了撑的或是⼀个破坏狂！

7.常见端⼝的⽇志记录，没什么影响：

[12:37:57] 192.168.177.16试图连接本机的FTP Open Server 端⼝，

TCP标志：S，

该操作被拒绝。

这个也分两种，⼀种是有⼈想探测你的主机是不是开放了21端⼝，想看看共享资源；另⼀种是⽤扫描器扫ip段的ftp服务端⼝，⼀般没什么恶意。

[23:08:34] 221.208.47.102试图连接本机的Wingate[1080]端⼝，

TCP标志：S，

该操作被拒绝。

这个是有⼈扫描ip段中的代理服务器，⼀般代理服务器默认端⼝常见的如Wingate[1080]，ccproxy[808,1080]等等，也没什么关系。[12:37:57] 192.168.177.16试图连接本机的试图连接本机的http[80]端⼝， TCP标志：S，

该操作被拒绝。

⼀般上⽹的⽤户都有这种情况，⽹站服务器的回显等等啊，出现⼀两个这样的报警没关系的。

可能还有⼀些常见的端⼝,噢，个⼈能⼒有限啊，想起来再整理吧！

8.真正想⼊侵你机器的⽇志(值得注意)：

[11:13:55] 219.130.135.151试图连接本机的3389端⼝，

TCP标志：S，

该操作被拒绝。

这种⼈应该引起⾼度重视，3389这么恐怖的事情都来，还记得2000系统的3389输⼊法漏洞吗，当年菜鸟的最爱。

[11:13:55] 210.29.14.130试图连接本机的1433端⼝，

TCP标志：S，

该操作被拒绝。

[11:13:55] 210.29.14.130试图连接本机的23端⼝，

TCP标志：S，

该操作被拒绝。

[11:13:55] 210.29.14.130试图连接本机的4899端⼝，

TCP标志：S，

该操作被拒绝。

不多说了，都是⿊客们的最爱,如果想知道具体的就去⽹上Down吧！

9.洪⽔攻击SYN Flood、UDP Flood、ICMP Flood和Stream Flood等⼤流量DDoS的攻击。

因为条件的限制，我没有模拟，⼤概⽇志应该如下：

[11:13:55] 接收到210.29.14.130的SYN Flood攻击，

该操作被拒绝。

遇到这种情况，⼈品就要考虑下了！关于如何防范，还有别的事，不想长篇⼤论了！⽹上资料也很多的~~~

10.⽊马端⼝的扫描⽇志，这次我列具体点，现在⽊马泛滥啊：

[11:13:55] 210.29.14.130试图连接本机的⽊马冰河[7626]端⼝，

TCP标志：S，

该操作被拒绝。

(冰河⽊马的端⼝，呵呵，⿊迷们的最爱啊)

[11:13:55] 210.29.14.130试图连接本机6267端⼝，

TCP标志：S，

该操作被拒绝。

(注:⼴外⼥⽣⽊马的默认端⼝，很经典的⼀个国产⽊马)

[11:13:55] 210.29.14.130试图连接本机5328端⼝，

TCP标志：S，

该操作被拒绝。

(注：风雪⽊马的默认端⼝)

不写了，我列个端⼝表吧(⽹上DOWN的,中⽂解说，我好不容易找到的) 端⼝：0

服务：Reserved

说明：通常⽤于分析操作系统。这⼀⽅法能够⼯作是因为在⼀些系统中“0”是⽆效端⼝，当你试图使⽤通常的闭合端⼝连接它时将产⽣不同的结果。⼀种典型的扫描，使⽤IP地址为0.0.0.0，设置ACK位并在以太⽹层⼴播。

端⼝：1

服务：tcpmux

说明：这显⽰有⼈在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有⼏个默认的⽆密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利⽤这些帐户。

端⼝：7

服务：Echo

说明：能看到许多⼈搜索Fraggle放⼤器时，发送到X.X.X.0和X.X.X.255的信息。

端⼝：19

服务：Character Generator

说明：这是⼀种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利⽤IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向⽬标地址的这个端⼝⼴播⼀个带有伪造受害者IP的数据包，受害者为了回应这些数据⽽过载。

端⼝：21

服务：FTP

说明：FTP服务器所开放的端⼝，⽤于上传、下载。最常见的攻击者⽤于寻找打开anonymous的FTP服务器的⽅法。这些服务器带有可读写的⽬录。⽊马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端⼝。

端⼝：22

服务：Ssh

说明：PcAnywhere建⽴的TCP和这⼀端⼝的连接可能是为了寻找ssh。这⼀服务有许多弱点，如果配置成特定的模式，许多使⽤RSAREF库的版本就会有不少的漏洞存在。

端⼝：23

服务：Telnet

说明：远程登录，⼊侵者在搜索远程登录UNIX的服务。⼤多数情况下扫描这⼀端⼝是为了找到机器运⾏的操作系统。还有使⽤其他技术，⼊侵者也会找到密码。⽊马Tiny Telnet Server就开放这个端⼝。

端⼝：25

服务：SMTP

说明：SMTP服务器所开放的端⼝，⽤于发送邮件。⼊侵者寻找SMTP服务器是为了传递他们的SPAM。⼊侵者的帐户被关闭，他们需要连接到⾼带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。⽊马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端⼝。

端⼝：31

服务：MSG Authentication

说明：⽊马Master Paradise、Hackers Paradise开放此端⼝。

端⼝：42

服务：WINS Replication

说明：WINS复制

端⼝：53

服务：Domain Name Server（DNS）

说明：DNS服务器所开放的端⼝，⼊侵者可能是试图进⾏区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防⽕墙常常过滤或记录此端⼝。

端⼝：67

服务：Bootstrap Protocol Server

说明：通过DSL和Cable modem的防⽕墙常会看见⼤量发送到⼴播地址255.255.255.255的数据。这些机器在向DHCP服务器请求⼀个地址。HACKER常进⼊它们，分配⼀个地址把⾃⼰作为局部路由器⽽发起⼤量中间⼈（man-in-middle）攻击。客户端向68端⼝⼴播请求配置，服务器向67端⼝⼴播回应请求。这种回应使⽤⼴播是因为客户端还不知道可以发送的IP地址。

端⼝：69

服务：Trival File Transfer

说明：许多服务器与bootp⼀起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置⽽使⼊侵者能从系统中窃取任何⽂件。它们也可⽤于系统写⼊⽂件。

端⼝：79

服务：Finger Server 说明：⼊侵者⽤于获得⽤户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从⾃⼰机器到其他机器Finger扫描。

端⼝：80

服务：HTTP

说明：⽤于⽹页浏览。⽊马Executor开放此端⼝。

端⼝：99

服务：Metagram Relay

说明：后门程序ncx99开放此端⼝。

端⼝：102

服务：Message transfer agent(MTA)-X.400 over TCP/IP

说明：消息传输代理。

端⼝：109

服务：Post Office Protocol -Version3

说明：POP3服务器开放此端⼝，⽤于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于⽤户名和密码交换缓冲区溢出的弱点⾄少有20个，这意味着⼊侵者可以在真正登陆前进⼊系统。成功登陆后还有其他缓冲区溢出错误。

端⼝：110

服务：SUN公司的RPC服务所有端⼝

说明：常见RPC服务有、NFS、、、、amd等

端⼝：113

服务：Authentication Service

说明：这是⼀个许多计算机上运⾏的协议，⽤于鉴别TCP连接的⽤户。使⽤标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防⽕墙访问这些服务，将会看到许多这个端⼝的连接请求。记住，如果阻断这个端⼝客户端会感觉到在防⽕墙另⼀边与E-MAIL服务器的缓慢连接。许多防⽕墙⽀持TCP连接的阻断过程中发回RST。这将会停⽌缓慢的连接。

端⼝：119

服务：Network News Transfer Protocol

说明：NEWS新闻组传输协议，承载USENET通信。这个端⼝的连接通常是⼈们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何⼈的帖⼦，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端⼝：135

服务：Location Service

说明：Microsoft在这个端⼝运⾏DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端⼝的功能很相似。使⽤DCOM和RPC的服务利⽤计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端⼝是为了找到这个计算机上运⾏Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端⼝。

端⼝：137、138、139

服务：NETBIOS Name Service

说明：其中137、138是UDP端⼝，当通过⽹上邻居传输⽂件时⽤这个端⼝。⽽139端⼝：通过这个端⼝进⼊的连接试图获得NetBIOS/SMB服务。这个协议被⽤于windows⽂件和打印机共享和SAMBA。还有WINS Regisrtation也⽤它。

端⼝：143

服务：Interim Mail Access Protocol v2

说明：和POP3的安全问题⼀样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：⼀种LINUX蠕⾍（admv0rm）会通过这个端⼝繁殖，因此许多这个端⼝的扫描来⾃不知情的已经被感染的⽤户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流⾏。这⼀端⼝还被⽤于IMAP2，但并不流⾏。

端⼝：161

服务：SNMP

说明：SNMP允许远程管理设备。所有配置和运⾏信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使⽤默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向⽤户的⽹络。

端⼝：177

服务：X Display Manager Control Protocol

说明：许多⼊侵者通过它访问X-windows操作台，它同时需要打开6000端⼝。

端⼝：389

服务：LDAP、ILS

说明：轻型⽬录访问协议和NetMeeting Internet Locator Server共⽤这⼀端⼝。

端⼝：443

服务：Https

说明：⽹页浏览端⼝，能提供加密和通过安全端⼝传输的另⼀种HTTP。

端⼝：456

服务：[NULL] 说明：⽊马HACKERS PARADISE开放此端⼝。

端⼝：513

服务：Login,remote login

说明：是从使⽤cable modem或DSL登陆到⼦⽹中的UNIX计算机发出的⼴播。这些⼈为⼊侵者进⼊他们的系统提供了信息。

端⼝：544

服务：[NULL]

说明：kerberos kshell

端⼝：548

服务：Macintosh,File Services(AFP/IP)

说明：Macintosh,⽂件服务。

端⼝：553

服务：CORBA IIOP （UDP）

说明：使⽤cable modem、DSL或VLAN将会看到这个端⼝的⼴播。CORBA是⼀种⾯向对象的RPC系统。⼊侵者可以利⽤这些信息进⼊系统。

端⼝：555

服务：DSF

说明：⽊马PhAse1.0、Stealth Spy、IniKiller开放此端⼝。

端⼝：568

服务：Membership DPA

说明：成员资格 DPA。

端⼝：569

服务：Membership MSN

说明：成员资格 MSN。

端⼝：635

服务：mountd

说明：Linux的mountd Bug。这是扫描的⼀个流⾏BUG。⼤多数对这个端⼝的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运⾏于两个端⼝）。记住mountd可运⾏于任何端⼝（到底是哪个端⼝，需要在端⼝111做portmap查询），只是Linux默认端⼝是635，就像NFS通常运⾏于2049端⼝。

端⼝：636

服务：LDAP

说明：SSL（Secure Sockets layer）

端⼝：666

服务：Doom Id Software

说明：⽊马Attack FTP、Satanz Backdoor开放此端⼝

端⼝：993

服务：IMAP

说明：SSL（Secure Sockets layer）

端⼝：1001、1011

服务：[NULL]

说明：⽊马Silencer、WebEx开放1001端⼝。⽊马Doly Trojan开放1011端⼝。

端⼝：1024

服务：Reserved

说明：它是动态端⼝的开始，许多程序并不在乎⽤哪个端⼝连接⽹络，它们请求系统为它们分配下⼀个闲置端⼝。基于这⼀点分配从端⼝1024开始。这就是说第⼀个向系统发出请求的会分配到1024端⼝。你可以重启机器，打开Telnet，再打开⼀个窗⼝运⾏natstat -a 将会看到Telnet被分配1024端⼝。还有SQL session也⽤此端⼝和5000端⼝。

端⼝：1025、1033

服务：1025：network blackjack 1033：[NULL]

说明：⽊马netspy开放这2个端⼝。

端⼝：1080

服务：SOCKS

说明：这⼀协议以通道⽅式穿过防⽕墙，允许防⽕墙后⾯的⼈通过⼀个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防⽕墙外部的攻击穿过防⽕墙。WinGate常会发⽣这种错误，在加⼊IRC聊天室时常会看到这种情况。

端⼝：1170

服务：[NULL]

说明：⽊马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端⼝。

端⼝：1234、1243、6711、6776 服务：[NULL]

说明：⽊马SubSeven2.0、Ultors Trojan开放1234、6776端⼝。⽊马SubSeven1.0/1.9开放1243、6711、6776端⼝。

端⼝：1245

服务：[NULL]

说明：⽊马Vodoo开放此端⼝。

端⼝：1433

服务：SQL

说明：Microsoft的SQL服务开放的端⼝。

端⼝：1492

服务：stone-design-1

说明：⽊马FTP99CMP开放此端⼝。

端⼝：1500

服务：RPC client fixed port session queries

说明：RPC客户固定端⼝会话查询

端⼝：1503

服务：NetMeeting T.120

说明：NetMeeting T.120

端⼝：1524

服务：ingress

说明：许多攻击脚本将安装⼀个后门SHELL于这个端⼝，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防⽕墙就看到在这个端⼝上的连接企图，很可能是上述原因。可以试试Telnet到⽤户的计算机上的这个端⼝，看看它是否会给你⼀个SHELL。连接到600/pcserver也存在这个问题。

端⼝：1600

服务：issd

说明：⽊马Shivka-Burka开放此端⼝。

端⼝：1720

服务：NetMeeting

说明：NetMeeting H.233 call Setup。

端⼝：1731

服务：NetMeeting Audio Call Control

说明：NetMeeting⾳频调⽤控制。

端⼝：1807

服务：[NULL]

说明：⽊马SpySender开放此端⼝。

端⼝：1981

服务：[NULL]

说明：⽊马ShockRave开放此端⼝。

端⼝：1999

服务：cisco identification port

说明：⽊马BackDoor开放此端⼝。

端⼝：2000

服务：[NULL]

说明：⽊马GirlFriend 1.3、Millenium 1.0开放此端⼝。

端⼝：2001

服务：[NULL]

说明：⽊马Millenium 1.0、Trojan Cow开放此端⼝。

端⼝：2023

服务：xinuexpansion 4

说明：⽊马Pass Ripper开放此端⼝。端⼝：2049

服务：NFS

说明：NFS程序常运⾏于这个端⼝。通常需要访问Portmapper查询这个服务运⾏于哪个端⼝。

端⼝：2115

服务：[NULL]

说明：⽊马Bugs开放此端⼝。

端⼝：2140、3150

服务：[NULL]

说明：⽊马Deep Throat 1.0/3.0开放此端⼝。

端⼝：2500

服务：RPC client using a fixed port session replication

说明：应⽤固定端⼝会话复制的RPC客户

端⼝：2583

服务：[NULL]

说明：⽊马Wincrash 2.0开放此端⼝。

端⼝：2801

服务：[NULL]

说明：⽊马Phineas Phucker开放此端⼝。

端⼝：3024、4092

服务：[NULL]

说明：⽊马WinCrash开放此端⼝。

端⼝：3128

服务：squid

说明：这是squid HTTP代理服务器的默认端⼝。攻击者扫描这个端⼝是为了搜寻⼀个代理服务器⽽匿名访问Internet。也会看到搜索其他代理服务器的端⼝8000、8001、8080、8888。扫描这个端⼝的另⼀个原因是⽤户正在进⼊聊天室。其他⽤户也会检验这个端⼝以确定⽤户的机器是否⽀持代理。

端⼝：3129

服务：[NULL]

说明：⽊马Master Paradise开放此端⼝。

端⼝：3150

服务：[NULL]

说明：⽊马The Invasor开放此端⼝。

端⼝：3210、4321

服务：[NULL]

说明：⽊马SchoolBus开放此端⼝

端⼝：3333

服务：dec-notes

说明：⽊马Prosiak开放此端⼝

端⼝：3389

服务：超级终端

说明：WINDOWS 2000终端开放此端⼝。

端⼝：3700

服务：[NULL]

说明：⽊马Portal of Doom开放此端⼝

端⼝：3996、4060

服务：[NULL]

说明：⽊马RemoteAnything开放此端⼝

端⼝：4000

服务：QQ客户端

说明：腾讯QQ客户端开放此端⼝。

端⼝：4092

服务：[NULL]

说明：⽊马WinCrash开放此端⼝。

端⼝：4590

服务：[NULL]

说明：⽊马ICQTrojan开放此端⼝。端⼝：5000、5001、5321、50505 服务：[NULL]

说明：⽊马blazer5开放5000端⼝。⽊马Sockets de Troie开放5000、5001、5321、50505端⼝。

端⼝：5400、5401、5402

服务：[NULL]

说明：⽊马Blade Runner开放此端⼝。

端⼝：5550

服务：[NULL]

说明：⽊马xtcp开放此端⼝。

端⼝：5569

服务：[NULL]

说明：⽊马Robo-Hack开放此端⼝。

端⼝：5632

服务：pcAnywere

说明：有时会看到很多这个端⼝的扫描，这依赖于⽤户所在的位置。当⽤户打开pcAnywere时，它会⾃动扫描局域⽹C类⽹以寻找可能的代理（这⾥的代理是指agent⽽不是proxy）。⼊侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。⼀些搜寻pcAnywere的扫描包常含端⼝22的UDP数据包。

端⼝：5742

服务：[NULL]

说明：⽊马WinCrash1.03开放此端⼝。

端⼝：6267

服务：[NULL]

说明：⽊马⼴外⼥⽣开放此端⼝。

端⼝：6400

服务：[NULL]

说明：⽊马The tHing开放此端⼝。

端⼝：6670、6671

服务：[NULL]

说明：⽊马Deep Throat开放6670端⼝。⽽Deep Throat 3.0开放6671端⼝。

端⼝：6883

服务：[NULL]

说明：⽊马DeltaSource开放此端⼝。

端⼝：6969

服务：[NULL]

说明：⽊马Gatecrasher、Priority开放此端⼝。

端⼝：6970

服务：RealAudio

说明：RealAudio客户将从服务器的6970-7170的UDP端⼝接收⾳频数据流。这是由TCP-7070端⼝外向控制连接设置的。

端⼝：7000

服务：[NULL]

说明：⽊马Remote Grab开放此端⼝。

端⼝：7300、7301、7306、7307、7308

服务：[NULL]

说明：⽊马NetMonitor开放此端⼝。另外NetSpy1.0也开放7306端⼝。

端⼝：7323

服务：[NULL]

说明：Sygate服务器端。

端⼝：7626

服务：[NULL]

说明：⽊马Giscier开放此端⼝。

端⼝：7789

服务：[NULL]

说明：⽊马ICKiller开放此端⼝。

端⼝：8000

服务：OICQ

说明：腾讯QQ服务器端开放此端⼝。 '

端⼝：8010

服务：Wingate 说明：Wingate代理开放此端⼝。

端⼝：8080

服务：代理端⼝

说明：WWW代理开放此端⼝。

端⼝：9400、9401、9402

服务：[NULL]

说明：⽊马Incommand 1.0开放此端⼝。

端⼝：9872、9873、9874、9875、10067、10167

服务：[NULL]

说明：⽊马Portal of Doom开放此端⼝

端⼝：9989

服务：[NULL]

说明：⽊马iNi-Killer开放此端⼝。

端⼝：11000

服务：[NULL]

说明：⽊马SennaSpy开放此端⼝。

端⼝：11223

服务：[NULL]

说明：⽊马Progenic trojan开放此端⼝。

端⼝：12076、61466

服务：[NULL]

说明：⽊马Telecommando开放此端⼝。

端⼝：12223

服务：[NULL]

说明：⽊马Hack'99 KeyLogger开放此端⼝。

端⼝：12345、12346

服务：[NULL]

说明：⽊马NetBus1.60/1.70、GabanBus开放此端⼝。

端⼝：12361

服务：[NULL]

说明：⽊马Whack-a-mole开放此端⼝。

端⼝：13223

服务：PowWow

说明：PowWow是Tribal Voice的聊天程序。它允许⽤户在此端⼝打开私⼈聊天的连接。这⼀程序对于建⽴连接⾮常具有攻击性。它会驻扎在这个TCP端⼝等回应。造成类似⼼跳间隔的连接请求。如果⼀个拨号⽤户从另⼀个聊天者⼿中继承了IP地址就会发⽣好象有很多不同的⼈在测试这个端⼝的情况。这⼀协议使⽤OPNG作为其连接请求的前4个字节。

端⼝：16969

服务：[NULL]

说明：⽊马Priority开放此端⼝。

端⼝：17027

服务：Conducent

说明：这是⼀个外向连接。这是由于公司内部有⼈安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显⽰⼴告服务的。使⽤这种服务的⼀种流⾏的软件是Pkware。

端⼝：19191

服务：[NULL]

说明：⽊马蓝⾊⽕焰开放此端⼝。

端⼝：20000、20001

服务：[NULL]

说明：⽊马Millennium开放此端⼝。

端⼝：20034

服务：[NULL]

说明：⽊马NetBus Pro开放此端⼝。

端⼝：21554

服务：[NULL]

说明：⽊马GirlFriend开放此端⼝。

端⼝：22222

服务：[NULL] 说明：⽊马Prosiak开放此端⼝。

端⼝：23456

服务：[NULL]

说明：⽊马Evil FTP、Ugly FTP开放此端⼝。

端⼝：26274、47262

服务：[NULL]

说明：⽊马Delta开放此端⼝。

端⼝：27374

服务：[NULL]

说明：⽊马Subseven 2.1开放此端⼝。

端⼝：30100

服务：[NULL]

说明：⽊马NetSphere开放此端⼝。

端⼝：30303

服务：[NULL]

说明：⽊马Socket23开放此端⼝。

端⼝：30999

服务：[NULL]

说明：⽊马Kuang开放此端⼝。

端⼝：31337、31338

服务：[NULL]

说明：⽊马BO(Back Orifice)开放此端⼝。另外⽊马DeepBO也开放31338端⼝。

端⼝：31339

服务：[NULL]

说明：⽊马NetSpy DK开放此端⼝。

端⼝：31666

服务：[NULL]

说明：⽊马BOWhack开放此端⼝。

端⼝：33333

服务：[NULL]

说明：⽊马Prosiak开放此端⼝。

端⼝：34324

服务：[NULL]

说明：⽊马Tiny Telnet Server、BigGluck、TN开放此端⼝。

端⼝：40412

服务：[NULL]

说明：⽊马The Spy开放此端⼝。

端⼝：40421、40422、40423、40426、

服务：[NULL]

说明：⽊马Masters Paradise开放此端⼝。

端⼝：43210、54321

服务：[NULL]

说明：⽊马SchoolBus 1.0/2.0开放此端⼝。

端⼝：44445

服务：[NULL]

说明：⽊马Happypig开放此端⼝。

端⼝：50766

服务：[NULL]

说明：⽊马Fore开放此端⼝。

端⼝：53001

服务：[NULL]

说明：⽊马Remote Windows Shutdown开放此端⼝。

端⼝：65000

服务：[NULL]

说明：⽊马Devil 1.03开放此端⼝。

端⼝：88

说明：Kerberos krb5。另外TCP的88端⼝也是这个⽤途。端⼝：137

说明：SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都⽤这个端⼝。

端⼝：161

说明：Simple Network Management Protocol(SMTP)（简单⽹络管理协议）

端⼝：162

说明：SNMP Trap（SNMP陷阱）

端⼝：445

说明：Common Internet File System(CIFS)（公共Internet⽂件系统）

端⼝：464

说明：Kerberos kpasswd(v5)。另外TCP的464端⼝也是这个⽤途。

端⼝：500

说明：Internet Key Exchange(IKE)（Internet密钥交换）

端⼝：1645、1812

说明：Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号⽤户服务)