¿Qué es un puerto?
Puerto de observación
Para ver los puertos en Windows 2000/XP/Server 2003, puede utilizar el comando Netstat:
Haga clic en "Inicio → Ejecutar", Escriba "cmd" y presione Entrar para abrir la ventana del símbolo del sistema. Escriba "netstat -a -n" en el símbolo del sistema y presione Entrar para ver el número de puerto y el estado de las conexiones TCP y UDP que se muestran numéricamente.
Cerrar/abrir puertos
Antes de presentar las funciones de varios puertos, primero introduzcamos cómo cerrar/abrir puertos en Windows, porque de forma predeterminada, muchos puertos inseguros o inútiles son todos abierto, como el puerto 23 para el servicio Telnet, el puerto 21 para el servicio FTP, el puerto 25 para el servicio SMTP, el puerto 135 para el servicio RPC, etc. Para garantizar la seguridad del sistema, podemos cerrar/abrir el puerto mediante los siguientes métodos.
Cerrar puerto
Por ejemplo, para cerrar el puerto 25 del servicio SMTP en Windows 2000/XP, puede hacer esto: primero abra el Panel de control, haga doble clic en Herramientas administrativas, y luego haga doble clic en Servicios. Luego busque y haga doble clic en el servicio "Protocolo simple de transferencia de correo (SMTP)" en la ventana de servicio que se abre, haga clic en el botón "Detener" para detener el servicio, luego seleccione "Deshabilitado" en el "Tipo de inicio" y finalmente haga clic el botón "Aceptar". De esta forma, cerrar el servicio SMTP equivale a cerrar el puerto correspondiente.
Puerto
Si desea abrir el puerto, simplemente seleccione Automático en el tipo de inicio, haga clic en Aceptar, luego abra el servicio, haga clic en Iniciar en el estado del servicio para habilitar el puerto. y finalmente haga clic en Aceptar.
Consejo: No existe la opción "Servicio" en Windows 98. Puede utilizar la función de configuración de reglas del firewall para cerrar/abrir puertos.
Clasificación de puertos
Existen muchos estándares de clasificación para puertos en un sentido lógico. A continuación se presentarán dos clasificaciones comunes:
1.
(1) Puertos conocidos
Los puertos conocidos son números de puerto conocidos del 0 al 1023. Estos números de puerto generalmente se asignan a algunos servicios. Por ejemplo, el puerto 21 está asignado al servicio FTP, el puerto 25 está asignado al servicio SMTP (Protocolo simple de transferencia de correo), el puerto 80 está asignado al servicio HTTP, el puerto 135 está asignado al servicio RPC (llamada a procedimiento remoto), etcétera.
(2)Puerto dinámico.
Los puertos dinámicos van del 1024 al 65535. Estos números de puerto generalmente no están fijos a un servicio, lo que significa que muchos servicios pueden utilizar estos puertos. Siempre que un programa en ejecución solicita acceso a la red desde el sistema, el sistema puede asignar uno de estos números de puerto al programa. Por ejemplo, el puerto 1024 se asigna al primer programa que envía una aplicación al sistema. Después de cerrar el proceso del programa, se liberará el número de puerto ocupado.
Sin embargo, los virus troyanos suelen utilizar puertos dinámicos. Por ejemplo, el puerto de conexión predeterminado de Glacier es 7626, WAY 2.4 es 8011, Netspy 3.0 es 7306 y el virus YAI es 1024.
2. Según el tipo de protocolo.
Según el tipo de protocolo se puede dividir en puertos TCP, UDP, IP e ICMP (Internet Control Message Protocol). A continuación se presentan principalmente los puertos TCP y UDP:
(1)Puerto TCP
El puerto TCP, puerto del Protocolo de control de transmisión, necesita establecer una conexión entre el cliente y el servidor para proporcionar una conexión confiable. Transferencia de datos. Los más comunes incluyen el puerto 21 del servicio FTP, el puerto 23 del servicio Telnet, el puerto 25 del servicio SMTP, el puerto 80 del servicio HTTP, etc.
(2)Puerto UDP
El puerto UDP, es decir, el puerto del Protocolo de datagramas de usuario, no necesita establecer una conexión entre el cliente y el servidor, y no se puede garantizar la seguridad. . Los más comunes incluyen el puerto 53 para el servicio DNS, el puerto 161 para el servicio SNMP, los puertos 8000 y 4000 utilizados por QQ, etc.
Puertos de red comunes
¡Conceptos básicos de red! Control de Puerto
Puerto: 0
Servicio: Reservado
Descripción: Normalmente se utiliza para analizar el sistema operativo. Este método funciona porque "0" es un puerto no válido en algunos sistemas y producirá resultados diferentes cuando intente conectarlo a un puerto que normalmente está cerrado. Un escaneo típico utiliza la dirección IP 0.0.0.0, establece el bit ACK y lo transmite en la capa Ethernet.
Puerto: 1
Servicio: tcpmux
Descripción: Esto significa que alguien está buscando una máquina SGI Irix. Irix es el principal proveedor de implementación de tcpmux, que está activado de forma predeterminada en este sistema. La máquina Irix incluye varias cuentas predeterminadas sin contraseña cuando se lanza, como: IP, UUCP invitado, NUUCP, DEMOS, TUTOR, DIAG, OUTOFBOX, etc. Muchos administradores olvidan eliminar estas cuentas después de la instalación. Entonces los piratas informáticos buscaron tcpmux en Internet y utilizaron estas cuentas.
Puerto: 7
Servicio: Echo
Descripción: Al buscar el amplificador Fraggle, puedes ver mucha información enviada por personas a X.X.X.0 y X.X.X. 255.
Puerto: 19
Servicio: Generador de Caracteres
Descripción: Este es un servicio que solo envía caracteres. La versión UDP responderá a los paquetes que contengan caracteres basura después de recibir paquetes UDP. Cuando TCP se conecta, envía un flujo de datos que contiene caracteres basura hasta que se cierra la conexión. Los piratas informáticos pueden utilizar la suplantación de IP para lanzar ataques DoS. Falsifica paquetes UDP entre dos servidores cargados. Del mismo modo, un ataque Fraggle DoS transmite un paquete con una IP de víctima falsificada a este puerto en la dirección de destino, y la víctima se sobrecarga en respuesta a los datos.
Puerto: 21
Servicio: FTP
Descripción: El puerto abierto por el servidor FTP se utiliza para carga y descarga. Los atacantes más comunes buscan formas de abrir servidores FTP anónimos. Estos servidores tienen directorios de lectura y escritura. Trojan Doly Trojan, Fore, Stealth FTP, WebEx, WinCrash y Blade Runner abren puertos.
Puerto: 22
Servicio: Ssh
Descripción: La conexión TCP establecida por PcAnywhere y este puerto puede ser para buscar ssh. Este servicio tiene muchas debilidades. Muchas versiones que utilizan la biblioteca RSAREF tienen vulnerabilidades si se configuran en un modo específico.
Puerto: 23
Servicio: Telnet
Descripción: Inicio de sesión remoto, el intruso está buscando un inicio de sesión remoto en servicios UNIX. En la mayoría de los casos, este puerto se escanea para encontrar el sistema operativo que está ejecutando la máquina. Y utilizando otras técnicas, los intrusos también pueden encontrar contraseñas. El servidor troyano mini Telnet abre este puerto.
Puerto: 25
Servicio: SMTP
Descripción: El puerto abierto por el servidor SMTP se utiliza para enviar correos electrónicos. Los intrusos buscan servidores SMTP para enviar sus correos electrónicos no deseados. La cuenta del intruso se cerró y necesitaban conectarse a un servidor de correo electrónico de gran ancho de banda para enviar mensajes simples a diferentes direcciones. Trojan Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth, WinPC y WinSpy abren este puerto.
Puerto: 31
Servicio: Autenticación de mensajes
Descripción: Este puerto está abierto en Trojan Master Paradise y Hacker Paradise.
Puerto: 42
Servicio: Replicación WINS
Descripción: Replicación WINS
Puerto: 53
Servicio :Servidor de nombres de dominio (DNS)
Descripción: para los puertos abiertos por servidores DNS, los intrusos pueden intentar pasar TCP, falsificar DNS (UDP) u ocultar otras comunicaciones. Por lo tanto, los cortafuegos suelen filtrar o registrar este puerto.
Puerto: 67
Servicio: Servidor de protocolo de arranque
Descripción: Grandes cantidades de datos enviados a la dirección de transmisión 255.255.255.255, a menudo a través de DSL y módem por cable. Visto por el cortafuegos. Estas máquinas solicitan una dirección de un servidor DHCP. Los piratas informáticos suelen acceder a ellos, asignar una dirección y presentarse como un enrutador local para lanzar ataques masivos de intermediario. El cliente transmite la configuración de la solicitud al puerto 68 y el servidor transmite la solicitud de respuesta al puerto 67. Esta respuesta utiliza transmisión porque el cliente no conoce la dirección IP a la que puede enviar.
Puerto: 69
Servicio: tediosa transferencia de archivos
Descripción: Muchos servidores proporcionan este servicio junto con bootp, al que se puede acceder fácilmente desde el sistema. Descarga el código de inicio. Pero debido a una mala configuración, a menudo permiten a intrusos robar cualquier archivo del sistema. El sistema también puede utilizarlos para escribir archivos.
Puerto: 79
Servicio: Finger Server
Descripción: Utilizado por intrusos para obtener información del usuario, consultar el sistema operativo y detectar errores conocidos de desbordamiento del búfer. en respuesta a escaneos dactilares desde su propia máquina a otras máquinas.
Puerto: 80
Servicio: HTTP
Descripción: Se utiliza para navegación web. El Trojan Executor abrió el puerto.
Puerto: 99
Servicio: Metagram Relay
Descripción: El programa de puerta trasera ncx99 abre este puerto.
Puerto: 102
Servicio: Agente de Transferencia de Mensajes (MTA) - x.400 sobre TCP/IP.
Descripción: Agente de transferencia de mensajes.
Puerto: 109
Servicio: Protocolo de oficina postal - Versión 3
Descripción: El servidor POP3 abre este puerto para recibir correo y el cliente accede al servidor -Servicio de correo lateral. Los servicios POP3 tienen muchas debilidades reconocidas. Hay al menos 20 debilidades en los desbordamientos del búfer de intercambio de nombres de usuario y contraseñas, lo que significa que un intruso puede ingresar al sistema antes de iniciar sesión. Hay otros errores de desbordamiento del búfer después de iniciar sesión correctamente.
Puerto: 110
Servicio: Todos los puertos del servicio RPC de SUN.
Descripción: Los servicios RPC comunes incluyen rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd, etc.
Puerto: 113
Servicio: Servicio de Autenticación
Descripción: Este es un protocolo que se ejecuta en muchas computadoras y se utiliza para identificar a los usuarios de conexiones TCP. Se puede obtener información sobre muchas computadoras utilizando este servicio estándar. Pero funciona como registrador de muchos servicios, especialmente FTP, POP, IMAP, SMTP e IRC. Normalmente, si muchos clientes acceden a estos servicios a través de un firewall, verán muchas solicitudes de conexión a este puerto. Tenga en cuenta que si bloquea este puerto, los clientes experimentarán una conexión lenta con el servidor de correo electrónico al otro lado del firewall. Muchos firewalls admiten el envío de RST durante el proceso de bloqueo de una conexión TCP. Esto detendrá las conexiones lentas.
Puerto: 119
Servicio: Protocolo de transferencia de noticias en red
Descripción: Protocolo de transferencia de grupos de noticias, que transporta comunicaciones USENET. Las conexiones a este puerto generalmente se realizan cuando las personas buscan un servidor USENET. La mayoría de los ISP sólo permiten a sus clientes acceder a los servidores de sus grupos de noticias. Abrir un servidor de grupos de noticias permitirá a cualquiera publicar/leer, acceder a servidores de grupos de noticias restringidos, publicar de forma anónima o enviar spam.
Puerto: 135
Servicio: Servicio de ubicación
Descripción: Microsoft ejecuta el asignador de puntos finales DCE RPC en este puerto como su servicio DCOM. Esto es similar a la funcionalidad del puerto 111 de UNIX.
Los servicios que utilizan DCOM y RPC registran sus ubicaciones con el asignador de puntos finales en la computadora. Cuando un cliente remoto se conecta a una computadora, busca el asignador de puntos finales para encontrar la ubicación del servicio. ¿Un pirata informático escanearía este puerto en una computadora para encontrar el servidor Exchange ejecutándose en esta computadora? ¿Qué versión? También hay algunos ataques de DOS dirigidos a este puerto.
Puertos: 137, 138, 139
Servicio: servicio de nombres NETBIOS
Nota: 137 y 138 son puertos UDP, utilizados al transferir archivos a través de Network Neighborhood. y puerto 139: las conexiones que llegan a través de este puerto intentan obtener servicios NetBIOS/SMB. Este protocolo se utiliza para compartir archivos e impresoras de Windows y SAMBA. También lo utiliza el registro WINS.
Puerto: 143
Servicio: Protocolo de acceso temporal al correo v2.
Descripción: Al igual que los problemas de seguridad de POP3, muchos servidores IMAP tienen vulnerabilidades de desbordamiento del búfer. Recuerde: el gusano LINUX (admv0rm) se propagará a través de este puerto, por lo que muchos análisis de este puerto provienen de usuarios infectados desprevenidos. Estas vulnerabilidades se hicieron populares cuando REDHAT permitió IMAP de forma predeterminada en sus distribuciones LINUX. Este puerto también se utiliza para IMAP2, pero no es tan popular.
Puerto: 161
Servicio: SNMP
Descripción: SNMP permite la gestión remota de dispositivos. Toda la información operativa y de configuración se almacena en una base de datos y estas cartas están disponibles a través de SNMP.
Con el desarrollo de la tecnología de redes informáticas, las interfaces físicas originales (como teclado, mouse, tarjeta de red, tarjeta gráfica y otras interfaces de entrada/salida) ya no pueden cumplir con los requisitos de la comunicación en red. Como protocolo estándar para la comunicación de red, el protocolo TCP/IP resuelve este problema de comunicación. Integrar el protocolo TCP/IP en el núcleo del sistema operativo equivale a introducir una nueva tecnología de interfaz de entrada/salida en el sistema operativo, porque en el protocolo TCP/IP se introduce una interfaz de programa de aplicación llamada "Socket". Con dicha tecnología de interfaz, la computadora puede comunicarse con cualquier computadora con una interfaz Socket a través de software. Los puertos también se denominan "interfaces de socket" en programación de computadoras.
Con estos puertos, ¿cómo funcionan? Por ejemplo, ¿por qué el servidor puede ser un servidor web, un servidor FTP, un servidor de correo, etc.? Una de las razones importantes es que varios servicios utilizan diferentes puertos para proporcionar diferentes servicios. Por ejemplo, el protocolo TCP/IP estipula que la Web usa el puerto 80, FTP usa el puerto 21 y el servidor de correo usa el puerto 25. De esta forma, a través de diferentes puertos, el ordenador puede comunicarse con el mundo exterior sin interferencias.