¿Qué significan estos puertos y qué hacen? ¿Alguien tiene el nombre detallado del puerto para mí?

1) Puertos conocidos: del 0 al 1023, estrechamente vinculados a algunos servicios. Normalmente, la comunicación en estos puertos indica claramente el protocolo para un determinado servicio. Por ejemplo, el puerto 80 siempre ha sido comunicación HTTP.

2) Puerto de registro: del 1024 al 49151. Están vagamente vinculados a algunos servicios. En otras palabras, hay muchos servicios vinculados a estos puertos y estos puertos también se utilizan para muchos otros fines. Por ejemplo, muchos sistemas manejan puertos dinámicos alrededor del 1024.

3) Puertos dinámicos y/o dedicados: del 49152 al 65535. En teoría, estos puertos no deberían asignarse a servicios. En la práctica, a las máquinas se les suele asignar puertos dinámicos a partir de 1024. Pero hay excepciones: el puerto RPC de SUN comienza en 32768.

0 se suele utilizar para analizar sistemas operativos. Este método funciona porque "0" es un puerto no válido en algunos sistemas y producirá resultados diferentes cuando intente conectarse con un puerto cerrado normal. Escaneo típico: usando la dirección IP 0.0.0.0, configurando el bit ACK y transmitiendo en la capa Ethernet.

1 tcpmux Esto significa que alguien está buscando una máquina SGI Irix. Irix es el principal proveedor de implementación de tcpmux y está habilitado de forma predeterminada en este sistema. La máquina Iris incluye varias cuentas predeterminadas sin contraseña cuando se lanza, como LP, Guest, UUCP, NuUCP, Demos, Tutor, Diag, EzSetup, OutofBox, 4Dgifts, etc. Muchos administradores olvidan eliminar estas cuentas después de la instalación. Entonces los piratas informáticos buscaron tcpmux en Internet y utilizaron estas cuentas.

7 Echo Puedes ver muchos mensajes enviados a x.x.x.0 y x.x.x.255 por personas que buscan el amplificador Fraggle.

Un ataque DoS común es el bucle de eco, donde el atacante falsifica paquetes UDP enviados de una máquina a otra, y las dos máquinas responden a estos paquetes de la manera más rápida posible. (Ver Chargen)

Otra cosa que podemos hacer es hacer doble clic en la conexión TCP establecida en la palabra puerto. Existe un producto llamado "Resonance Global Scheduling" que se conecta a este puerto de DNS para determinar la ruta más cercana.

El caché de Harvest/Squid enviará un eco UDP en el puerto 3130: "Si la opción source_ping on del caché está activada, enviará una respuesta de éxito al puerto de eco UDP del host original. Esto generará un mensaje". gran parte de esta bolsa de datos.

11 sysstat Este es un servicio UNIX que enumera todos los procesos en ejecución en la máquina y el motivo para iniciarlos. Esto proporciona a los intrusos una gran cantidad de información, lo que amenaza la seguridad de la máquina, como exponer algunas debilidades o cuentas conocidas. Esto es similar al resultado del comando "ps" en sistemas UNIX.

Nuevamente: ICMP no tiene puertos, el puerto ICMP 11 suele ser tipo ICMP=11.

19 chargenEste es un servicio que solo envía caracteres. La versión UDP responderá a los paquetes que contengan caracteres basura después de recibir paquetes UDP. Cuando TCP se conecta, envía un flujo de datos que contiene caracteres basura hasta que se cierra la conexión. Los piratas informáticos pueden utilizar la suplantación de IP para lanzar ataques DoS. Falsifica paquetes UDP entre dos servidores cargados. Debido a que el servidor intenta responder a un tráfico de datos infinito de ida y vuelta entre los dos servidores, una carga y un eco pueden provocar que el servidor se sobrecargue. Del mismo modo, un ataque Fraggle DoS transmitirá un paquete con una IP de víctima falsa a este puerto de la dirección de destino, y la víctima se sobrecargará en respuesta a estos datos.

21 El atacante más común para ftp es encontrar una manera de abrir un servidor ftp "anónimo". Estos servidores tienen directorios de lectura y escritura.

Los hackers o crackers utilizan estos servidores como nodos para transmitir warez (programas propietarios) y pr0n (palabras deliberadamente mal escritas para evitar ser clasificadas por los motores de búsqueda).

22 ssh PcAnywhere puede establecer una conexión entre TCP y este puerto para encontrar ssh. Este servicio tiene muchas debilidades. Muchas versiones que utilizan la biblioteca RSAREF tienen numerosas vulnerabilidades si se configuran en un modo específico. (Se recomienda ejecutar ssh en un puerto diferente)

También debe tenerse en cuenta que el kit de herramientas ssh viene con un programa llamado make-ssh-known-hosts. Escanea todo el dominio en busca de hosts ssh. En ocasiones, es posible que alguien que utilice este programa lo escanee sin querer.

Conectarse a UDP (no TCP) en el puerto 5632 en el otro extremo significa que hay un escaneo buscando pcAnywhere. Después del intercambio de bits, 5632 (0x1600 hexadecimal) es 0x0016 (22 decimal).

Los intrusos de Telnet buscan servicios de inicio de sesión remoto en UNIX. En la mayoría de los casos, el intruso escanea el puerto para encontrar el sistema operativo que se ejecuta en la máquina. Además, utilizando otras técnicas, los intrusos encontrarán la contraseña.

Los atacantes SMTP (spammers) buscan servidores SMTP para entregar su spam. La cuenta del intruso siempre está cerrada y necesita una conexión telefónica a un servidor de correo electrónico de gran ancho de banda para enviar mensajes simples a varias direcciones. Los servidores SMTP (especialmente sendmail) son una de las formas más comunes de ingresar a un sistema porque deben estar completamente expuestos a Internet y el enrutamiento del correo es complejo (complejo expuesto = punto débil).

53 Los hackers o crackers de DNS pueden intentar pasar zonas (TCP), falsificar DNS (UDP) u ocultar otras comunicaciones. Por lo tanto, los firewalls suelen filtrar o registrar el puerto 53.

Es importante tener en cuenta que normalmente se piensa en el puerto 53 como el puerto de origen UDP. Los firewalls inestables a menudo permiten esta comunicación y piensan que es una respuesta a una consulta DNS. Los piratas informáticos suelen utilizar este método para penetrar los cortafuegos.

Bootp/DHCP Bootp y DHCP UDP en 67 y 68: grandes cantidades de datos enviados a la dirección de transmisión 255.255.255.255 a menudo se pueden ver a través de cortafuegos DSL y de módem por cable. Estas máquinas solicitan la asignación de direcciones del servidor DHCP. Los piratas informáticos suelen acceder a ellos, asignar una dirección y presentarse como un enrutador local para lanzar una serie de ataques de tipo "intermediario". El cliente transmite una solicitud de configuración (BOOTP) al puerto 68 y el servidor transmite una solicitud de respuesta (bootpc) al puerto 67. Esta respuesta utiliza difusión porque el cliente no conoce la dirección IP a la que puede enviar.

69 TFTP (UDP) Muchos servidores proporcionan este servicio junto con bootp, de modo que el código de inicio se puede descargar fácilmente desde el sistema. Pero normalmente están mal configurados y sirven cualquier archivo del sistema, como archivos de contraseñas. También se pueden utilizar para escribir archivos en el sistema.

79 Finger Hacker se utiliza para obtener información del usuario, consultar el sistema operativo, detectar errores conocidos de desbordamiento del búfer y responder a escaneos dactilares desde la propia máquina a otras máquinas.

98 El programa linuxconf proporciona una gestión sencilla de Linux Boxen. Se proporciona un servicio basado en interfaz web a través del servidor HTTP integrado en el puerto 98. Encontró numerosos problemas de seguridad. Algunas versiones de setuid root confían en LAN, crean archivos accesibles desde Internet en /tmp y tienen desbordamientos de búfer en la variable de entorno LANG. Además, debido a que contiene un servidor integrado, pueden existir muchas vulnerabilidades HTTP típicas (desbordamiento de búfer, cruce de directorio, etc.).

109 POP2 no es tan conocido como POP3, pero muchos servidores ofrecen ambos. servicios (compatibles con versiones anteriores). En el mismo servidor, la vulnerabilidad POP3 también existe en POP2.

Los clientes utilizan 110 POP3 para acceder a los servicios de correo electrónico del lado del servidor. Los servicios POP3 tienen muchas debilidades reconocidas. Hay al menos 20 vulnerabilidades que involucran desbordamientos del búfer de intercambio de nombres de usuario y contraseñas (lo que significa que un pirata informático puede ingresar al sistema antes de iniciar sesión). Hay otros errores de desbordamiento del búfer después de iniciar sesión correctamente.

111 mapeador de puertos sunrpc rpcbind Mapeador de puertos Sun RPC/RPCBIND Acceder al mapeador de puertos es el primer paso para escanear el sistema para ver qué servicios RPC están permitidos. Los servicios RPC comunes incluyen: RPC.mountd, NFS, RPC.statd, RPC.csmd, RPC.ttybd, AMD, etc. El intruso descubrió una vulnerabilidad que permitía mover los servicios RPC al puerto específico donde se proporcionaba el servicio para realizar pruebas.

Recuerde registrar el demonio, IDS o sniffer, podrá descubrir qué programa está utilizando el intruso para obtener acceso y comprender qué está pasando.

113 Autenticación de identidad Este es un protocolo que se ejecuta en muchas máquinas y se utiliza para identificar a los usuarios de conexiones TCP. Con este servicio estándar puede obtener información sobre muchas máquinas (que serán utilizadas por los piratas informáticos). Pero funciona como registrador de muchos servicios, especialmente FTP, POP, IMAP, SMTP e IRC. Normalmente, si muchos clientes acceden a estos servicios a través de un firewall, verá muchas solicitudes de conexión a este puerto. Tenga en cuenta que si bloquea este puerto, los clientes experimentarán una conexión lenta con el servidor de correo electrónico al otro lado del firewall. Muchos firewalls admiten el envío de RST cuando se bloquea una conexión TCP, para detener conexiones tan lentas.

119 Protocolo de transferencia de grupos de noticias NNTP, que transporta comunicaciones USENET. Este puerto se utiliza normalmente cuando se vincula a una dirección como news://comp.security.firewalls/. Los intentos de conexión en este puerto suelen ser donde la gente busca un servidor USENET. La mayoría de los ISP sólo permiten a sus clientes acceder a los servidores de sus grupos de noticias. Abrir un servidor de grupos de noticias permitirá a cualquiera publicar/leer, acceder a servidores de grupos de noticias restringidos, publicar de forma anónima o enviar spam.

135 oc-servms Asignador de puntos finales RPC Microsoft ejecuta el asignador de puntos finales DCE RPC en este puerto como su servicio DCOM. Esto es similar a la funcionalidad del puerto 111 de UNIX. Los servicios que utilizan DCOM y/o RPC registran su ubicación con el asignador de puntos finales de la máquina. Cuando los clientes remotos se conectan a una máquina, consultan al asignador de puntos finales para encontrar la ubicación del servicio. Asimismo, Hacker escanea este puerto de la máquina en busca de cosas como: ¿Se está ejecutando Exchange Server en esta máquina? ¿Qué versión es?

Este puerto se puede utilizar no sólo para consultar servicios (como usar epdump), sino también para ataques directos. Hay algunos ataques DoS contra este puerto.

137 Servicio de nombres NetBIOS nbtstat (UDP) Esta es la información más común para los administradores de firewall. Lea atentamente la sección NetBIOS al final del artículo.

139 Compartir impresoras y archivos NetBIOS intentó obtener servicios NetBIOS/SMB a través de una conexión entrante en este puerto. Este protocolo se utiliza en "Compartir archivos e impresoras" de Windows y SAMBA. Compartir su propio disco duro en línea es probablemente el problema más común.

La gran cantidad de puertos comenzó en 1999 y luego disminuyó gradualmente. Se recuperó de nuevo en 2000. Algunos VBS (IE5 VisualBasic Scripting) comienzan a copiarse a sí mismos en este puerto, intentando copiar en este puerto.

143 IMAP tiene los mismos problemas de seguridad que POP3 mencionado anteriormente. Muchos servidores IMAP tienen vulnerabilidades de desbordamiento del búfer que acceden durante el proceso de inicio de sesión.

Recuerde: el gusano de Linux (admw0rm) se propagará a través de este puerto, por lo que muchos análisis de este puerto provienen de usuarios infectados desprevenidos. Estas vulnerabilidades se hicieron populares cuando RadHat permitió IMAP de forma predeterminada en sus distribuciones de Linux. Este fue el primer gusano extendido desde Morris Worm.

Este puerto también se utiliza para IMAP2, pero no es tan popular.

Algunos informes han encontrado que algunos ataques a los puertos 0 a 143 se originan a partir de scripts.

El puerto 161 suele ser detectado por intrusos SNMP (UDP). SNMP permite la gestión remota de dispositivos. Toda la información operativa y de configuración se almacena en la base de datos y está disponible a través del cliente SNMP. Muchos administradores los configuran incorrectamente, dejándolos expuestos a Internet. Los piratas informáticos intentarán acceder al sistema utilizando las contraseñas predeterminadas "pública" y "privada". Intentan todas las combinaciones posibles.

Es posible que los paquetes SNMP se dirijan incorrectamente a su red. Debido a una mala configuración, las máquinas con Windows suelen utilizar SNMP para el software de gestión remota HP JetDirect. El identificador de objetos de HP recibirá paquetes SNMP. La nueva versión de Win98 usa SNMP para resolver nombres de dominio. Verá este paquete (módem por cable, DSL) en la subred para consultar sysName y otra información.

162 Las capturas SNMP pueden deberse a errores de configuración.

Muchos piratas informáticos utilizan 177 xdmcp para acceder a la consola X-Windows y también necesita abrir 6000 puertos.

513 rwho puede ser una transmisión desde una computadora UNIX en una subred conectada mediante un módem de cable o DSL. Estas personas proporcionaron información muy interesante para que los piratas informáticos pudieran acceder a sus sistemas.

553 CORBA IIOP (UDP) Si estás utilizando un módem por cable o VLAN DSL, verás transmisiones en este puerto. CORBA es un sistema RPC (llamada a procedimiento remoto) orientado a objetos. Los piratas informáticos utilizarán esta información para acceder al sistema.

Puerta trasera de 600 PCserver, verifique el puerto 1524.

Algunos niños que juegan script piensan que han roto completamente el sistema al modificar los archivos ingreslock y pcserver - Alan J. Rosenthal.

635 error montado en Linux. Este es un error popular que la gente analiza. El escaneo de este puerto se basa principalmente en UDP, pero se ha agregado mountd basado en TCP (mountd se ejecuta en ambos puertos simultáneamente). Recuerde, mountd puede ejecutarse en cualquier puerto (en qué puerto debe realizar una consulta de mapa de puertos en el puerto 111), pero Linux utiliza de forma predeterminada el puerto 635, al igual que NFS generalmente se ejecuta en el puerto 2049.

1024Mucha gente pregunta qué hace este puerto. Este es el comienzo de los puertos dinámicos. A muchos programas no les importa qué puerto se utiliza para conectarse a la red. Piden al sistema operativo que les asigne el "siguiente puerto libre". En base a esto, la asignación comienza desde el puerto 1024. Esto significa que al primer programa que solicite una asignación de puerto dinámica del sistema se le asignará el puerto 1024. Para verificar esto, puede reiniciar su máquina, activar Telnet, luego abrir una ventana y ejecutar "natstat -a" y verá que Telnet tiene asignado el puerto 1024. Cuantos más programas lo soliciten, más puertos dinámicos habrá. El puerto asignado por el sistema operativo irá aumentando gradualmente. Asimismo, cuando navegue por la web, utilice "netstat" para verlos. Cada página web requiere un nuevo puerto.

? Versión 0.4.1, 20 de junio de 2000

/pubs/firewall-seen.html

Copyright 1998-2000 Robert Graham (mailto: firewall-seen1@robertgraham .com.

Copyright Este documento puede copiarse (en su totalidad o

parcialmente) únicamente con fines no comerciales. Todas las copias deben

incluir este aviso de derechos de autor. modificarse excepto con el permiso del autor

1025 Ver 1024.

1080 Socks >

Este protocolo pasa a través del firewall y permite que muchas personas detrás del firewall accedan a Internet a través de él. Una dirección IP, en teoría, solo debería permitir que la comunicación interna llegue a Internet, pero debido a una mala configuración, puede ser penetrada por piratas informáticos/crackers fuera del firewall o simplemente responder a la computadora en línea para cubrirlos. WinGate es un firewall personal común de Windows, y esto se ve a menudo al unirse a salas de chat IRC

1114 SQL

El sistema en sí rara vez escanea este puerto, pero generalmente forma parte de él. el script sscan

Troyano 1243 Sub-7 (TCP)

Ver sección

1524 puerta trasera ingreslock

Se instalarán muchos scripts de ataque. una puerta trasera Sh*ll en este puerto (especialmente aquellas que apuntan a vulnerabilidades de los servicios Sendmail y RPC en sistemas Sun, como statd, ttdbserver y cmsd). Si acaba de instalar su firewall y ve intentos de conexión en este puerto, puede ser). la causa de lo anterior. Puede probar Telnet a este puerto en su máquina y ver si funciona. La conexión a 600/pcserver también tiene este problema. 2049 a menudo se ejecuta en este puerto. Acceda al asignador de puertos para averiguar en qué puerto se está ejecutando el servicio, pero la mayoría de las veces, NFS fallará después de la instalación. Por lo tanto, Acker/Cracker puede desactivar el asignador de puertos y probar el puerto directamente.

3128 Squid

Este es el puerto predeterminado para el servidor proxy HTTP de Squid. Los atacantes escanean este puerto para buscar servidores proxy y acceder a Internet de forma anónima. utilizado para buscar otros servidores proxy: 8000. /8001/8080/8888. Otra razón para escanear este puerto es si el usuario está ingresando a una sala de chat. Otros usuarios (o el servidor mismo) también verificarán este puerto para determinar si el servidor proxy está conectado. La máquina del usuario admite servidores proxy. Consulte la Sección 5.3.

5632 personas

Dependiendo de su ubicación, verá múltiples escaneos de este puerto. Cuando un usuario abre pcAnywere, escanea automáticamente la LAN Clase C para encontrar posibles servidores proxy. Los hackers/hackers también buscarán máquinas con este servicio activado, por lo que debes verificar la dirección de origen de este análisis. Algunos análisis que buscan pcAnywere suelen incluir paquetes UDP en el puerto 22. Consulte Escaneo de marcación.

6776 Artefacto Sub-7

Este puerto está separado del puerto principal Sub-7 y se utiliza para transmitir datos. Puede ver esto, por ejemplo, cuando un controlador controla otra máquina a través de una línea telefónica y la máquina que se está controlando cuelga. Entonces, cuando otra persona marca usando esta IP, verá intentos continuos de conexión en este puerto. (Traductor: Cuando vea el firewall informando intentos de conexión en este puerto, no significa que Sub-7 lo haya controlado).

6970 Real Audio

El cliente RealAudio Recibirá flujos de datos de audio desde los puertos UDP del servidor en 6970-7170.

Esto lo establece la conexión de control de salida del puerto TCP7070.

13223 Wizard Ritual

PowWow es un chat show con voces tribales. Permite a los usuarios abrir conexiones de chat privadas en este puerto. Este proceso es muy "grosero" para establecer una conexión. "Acampará" en este puerto TCP, esperando una respuesta. Esto dará como resultado intentos de conexión similares al intervalo de latidos. Esto sucede si usted es un usuario de acceso telefónico que "heredó" la dirección IP de otro chat: parece que hay muchas personas diferentes probando el puerto. Este protocolo utiliza "OPG" como los primeros cuatro bytes de su intento de conexión.

Conductor 17027

Esta es una conexión saliente. Esto se debe a que alguien dentro de la empresa instaló *un software de disfrute que facilita el "adbot". Ayuda * * * a disfrutar de los servicios de publicidad gráfica del software. Un software popular que utiliza este servicio es Pkware. Algunas personas no tienen ningún problema al intentar bloquear esta conexión saliente, pero bloquear la dirección IP en sí hará que los adbots sigan intentando conectarse varias veces por segundo, sobrecargando así la conexión:

La máquina intentará resolver constantemente el nombre DNS: ads.conducent.com, es decir, la dirección IP es 216. 33. 26438 00.40; 216.33.199.81; (Traductor: No sé si el Radiate utilizado por NetAnts también tiene este fenómeno)

27374 Trojan Sub-7 (TCP)

Consulte la subsección.

30100 Network World Trojan (TCP)

Este puerto generalmente se analiza en busca de troyanos de red.

31337 placa con orificio trasero "elite"

En Hacker, 31337 se pronuncia "elite" /ei 'li:t/ (Traductor: francés, traducido como columna vertebral, esencia. Eso es, 3=E, 1=L, 7=T). Se están ejecutando muchas puertas traseras en este puerto. El más famoso de ellos es el agujero dorsal. Hubo un tiempo en que este era el escaneo más común en Internet. Ahora su popularidad está disminuyendo mientras que otros programas troyanos están ganando popularidad.

31789 Black Nail

El tráfico UDP en este puerto suele ser causado por un troyano de acceso remoto (RAT) "pirateado". Este troyano contiene un escáner de puerto 31790 incorporado, por lo que cualquier conexión desde el puerto 31789 al puerto 317890 significa que se ha producido esta intrusión. (El puerto 31789 es la conexión de control y el puerto 317890 es la conexión de transferencia de archivos).

Servicio RPC 32770~32900

El servicio RPC de Sun Solaris se encuentra dentro de este rango. Para profundizar, las versiones anteriores de Solaris (anteriores a 2.5.1) colocaban el asignador de puertos dentro de este rango, lo que permitía a los piratas informáticos acceder a este puerto incluso si el puerto de gama baja estaba bloqueado por el firewall. Los puertos en este rango se escanean en busca de asignadores de puertos o servicios RPC conocidos que puedan estar bajo ataque.

33434~33600 traceroute

Si ve paquetes UDP en este rango de puertos (y solo en este rango), puede deberse a traceroute. Consulte la sección de seguimiento de rutas.

41508 Inoculant

Las versiones anteriores de Inoculan generaban una gran cantidad de tráfico UDP en la subred para identificarse entre sí. Ver

Descripción: Inicio de sesión remoto, el intruso está buscando servicios UNIX de inicio de sesión remoto. En la mayoría de los casos, este puerto se escanea para encontrar el sistema operativo que está ejecutando la máquina. Y utilizando otras técnicas, los intrusos también pueden encontrar contraseñas. El servidor troyano mini Telnet abre este puerto.

Puerto: 25

Servicio: SMTP

Descripción: El puerto abierto por el servidor SMTP se utiliza para enviar correos electrónicos. Los intrusos buscan servidores SMTP para enviar sus correos electrónicos no deseados. La cuenta del intruso se cerró y necesitaban conectarse a un servidor de correo electrónico de gran ancho de banda para enviar mensajes simples a diferentes direcciones. Trojan Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth, WinPC y WinSpy abren este puerto.

Puerto: 31

Servicio: Autenticación de mensajes

Descripción: Este puerto está abierto en Trojan Master Paradise y Hacker Paradise.

Puerto: 42

Servicio: Replicación WINS

Descripción: Replicación WINS

Puerto: 53

Servicio :Servidor de nombres de dominio (DNS)

Descripción: para los puertos abiertos por servidores DNS, los intrusos pueden intentar pasar TCP, falsificar DNS (UDP) u ocultar otras comunicaciones. Por lo tanto, los firewalls suelen filtrar o registrar este puerto.

Puerto: 67

Servicio: Servidor de protocolo de arranque

Descripción: Se envían grandes cantidades de datos a la dirección de transmisión 255.255.255.255, a menudo a través de DSL y módem por cable. por el cortafuegos. Estas máquinas solicitan una dirección de un servidor DHCP. Los piratas informáticos suelen acceder a ellos, asignar una dirección y presentarse como un enrutador local para lanzar ataques masivos de intermediarios. El cliente transmite la configuración de la solicitud al puerto 68 y el servidor transmite la solicitud de respuesta al puerto 67. Esta respuesta utiliza difusión porque el cliente no conoce la dirección IP a la que puede enviar.

Puerto: 69

Servicio: tediosa transferencia de archivos

Descripción: Muchos servidores proporcionan este servicio junto con bootp, al que se puede acceder fácilmente desde el sistema. Descarga el código de inicio. Pero debido a una mala configuración, a menudo permiten a intrusos robar cualquier archivo del sistema. El sistema también puede utilizarlos para escribir archivos.

Puerto: 79

Servicio: Finger Server

Descripción: Utilizado por intrusos para obtener información del usuario, consultar el sistema operativo y detectar errores conocidos de desbordamiento del búfer. en respuesta a escaneos dactilares desde su propia máquina a otras máquinas.

Puerto: 80

Servicio: HTTP

Descripción: Se utiliza para navegación web. El Trojan Executor abrió el puerto.

Puerto: 99

Servicio: Metagram Relay

Descripción: El programa de puerta trasera ncx99 abre este puerto.

Puerto: 102

Servicio: Agente de Transferencia de Mensajes (MTA) - x.400 sobre TCP/IP.

Descripción: Agente de transferencia de mensajes.

Puerto: 109

Servicio: Protocolo de oficina postal - Versión 3

Descripción: El servidor POP3 abre este puerto para recibir correo y el cliente accede al servidor -Servicio de correo lateral. Los servicios POP3 tienen muchas debilidades reconocidas. Hay al menos 20 debilidades en los desbordamientos del búfer de intercambio de nombres de usuario y contraseñas, lo que significa que un intruso puede ingresar al sistema antes de iniciar sesión. Hay otros errores de desbordamiento del búfer después de iniciar sesión correctamente.

Puerto: 110

Servicio: Todos los puertos del servicio RPC de SUN.

Descripción: Los servicios RPC comunes incluyen rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd, etc.

Puerto: 113

Servicio: Servicio de Autenticación

Descripción: Este es un protocolo que se ejecuta en muchas computadoras y se utiliza para identificar a los usuarios de conexiones TCP. Se puede obtener información sobre muchas computadoras utilizando este servicio estándar. Pero funciona como registrador de muchos servicios, especialmente FTP, POP, IMAP, SMTP e IRC.

Normalmente, si muchos clientes acceden a estos servicios a través de un firewall, verán muchas solicitudes de conexión a este puerto. Tenga en cuenta que si bloquea este puerto, los clientes experimentarán una conexión lenta con el servidor de correo electrónico al otro lado del firewall. Muchos firewalls admiten el envío de RST durante el proceso de bloqueo de una conexión TCP. Esto detendrá las conexiones lentas.

Puerto: 119

Servicio: Protocolo de transferencia de noticias en red

Descripción: Protocolo de transferencia de grupo de noticias, que transporta comunicaciones USENET. Las conexiones a este puerto generalmente se realizan cuando las personas buscan un servidor USENET. La mayoría de los ISP sólo permiten a sus clientes acceder a los servidores de sus grupos de noticias. Abrir un servidor de grupos de noticias permitirá a cualquiera publicar/leer, acceder a servidores de grupos de noticias restringidos, publicar de forma anónima o enviar spam.

Puerto: 135

Servicio: Servicio de ubicación

Descripción: Microsoft ejecuta el asignador de puntos finales DCE RPC en este puerto como su servicio DCOM. Esto es similar a la funcionalidad del puerto 111 de UNIX. Los servicios que utilizan DCOM y RPC registran sus ubicaciones con el asignador de puntos finales en la computadora. Cuando un cliente remoto se conecta a una computadora, busca el asignador de puntos finales para encontrar la ubicación del servicio. ¿Un pirata informático escanearía este puerto en una computadora para encontrar el servidor Exchange ejecutándose en esta computadora? ¿Qué versión? También hay algunos ataques de DOS dirigidos a este puerto.

Puertos: 137, 138, 139

Servicio: servicio de nombres NETBIOS

Nota: 137 y 138 son puertos UDP, utilizados al transferir archivos a través de Network Neighborhood. y puerto 139: las conexiones que llegan a través de este puerto intentan obtener servicios NetBIOS/SMB. Este protocolo se utiliza para compartir archivos e impresoras de Windows y SAMBA. También lo utiliza el registro WINS.

Puerto: 143

Servicio: Protocolo de acceso temporal al correo v2.

Descripción: Al igual que los problemas de seguridad de POP3, muchos servidores IMAP tienen vulnerabilidades de desbordamiento de búfer. Recuerde: el gusano LINUX (admv0rm) se propagará a través de este puerto, por lo que muchos análisis de este puerto provienen de usuarios infectados desprevenidos. Estas vulnerabilidades se hicieron populares cuando REDHAT permitió IMAP de forma predeterminada en sus distribuciones LINUX. Este puerto también se utiliza para IMAP2, pero no es tan popular.

Puerto: 161

Servicio: SNMP

Descripción: SNMP permite la gestión remota de dispositivos. Toda la información operativa y de configuración se almacena en una base de datos y está disponible a través de SNMP. La configuración incorrecta por parte de muchos administradores será