端口

网络端口 　　在网络技术中，端口（Port）有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口，如RJ-45端口、Serial端口等。我们 这里所指的端口不是指物理意义上的端口，而是特指TCP/IP协议中的端口，是逻 辑意义上的端口。 TCP/IP协议中的端口 　　如果把IP地址比作一间房子 ，端口就是出入这间房子的门。真正的房子只有几个门，但是一个IP地址的端口 可以有65536（即：2^16）个之多！端口是通过端口号来标记的，端口号只有整数，范围是从0 到65535（2^16-1）。 　　在Internet上，各主机间通过TCP/IP协议发送和接收数据包，各个数据包根据其目的主机的ip地址来进行互联网络中的路由选择。可见，把数据包顺利的传送到目的主机是没有问题的。问题出在哪里呢?我们知道大多数操作系统都支持多程序（进程）同时运行，那么目的主机应该把接收到的数据包传送给众多同时运行的进程中的哪一个呢？显然这个问题有待解决，端口机制便由此被引入进来。 　　本地操作系统会给那些有需求的进程分配协议端口（protocol port，即我们常说的端口），每个协议端口由一个正整数标识，如：80，139，445，等等。当目的主机接收到数据包后，将根据报文首部的目的端口号，把数据发送到相应端口，而与此端口相对应的那个进程将会领取数据并等待下一组数据的到来。说到这里，端口的概念似乎仍然抽象，那么继续跟我来，别走开。 　　端口其实就是队，操作系统为各个进程分配了不同的队，数据包按照目的端口被推入相应的队中，等待被进程取用，在极特殊的情况下，这个队也是有可能溢出的，不过操作系统允许各进程指定和调整自己的队的大小。 　　不光接受数据包的进程需要开启它自己的端口，发送数据包的进程也需要开启端口，这样，数据包中将会标识有源端口，以便接受方能顺利的回传数据包到这个端口。 　　端口详解 　　在开始讲什么是端口之前，我们先来聊一聊什么是 port 呢？常常在网络上听说『我的主机开了多少的 port ，会不会被入侵呀！？或者是说『开那个 port 会比较安全？又，我的服务应该对应什么 port 呀？呵呵！很神奇吧！怎么一部主机上面有这么多的奇怪的 port 呢？这个 port 有什么作用呢？ 　　由于每种网络的服务功能都不相同，因此有必要将不同的封包送给不同的服务来处理，所以啰，当你的主机同时开启了 FTP 与 WWW 服务的时候，那么别人送来的资料封包，就会依照 TCP 上面的 port 号码来给 FTP 这个服务或者是 WWW 这个服务来处理，当然就不会搞乱啰！（注：嘿嘿！有些很少接触到网络的朋友，常常会问说：咦！为什么你的计算机同时有 FTP、WWW、E-Mail 这么多服务，但是人家传资料过来，你的计算机怎么知道如何判断？计算机真的都不会误判吗？！现在知道为什么了吗？！对啦！就是因为 port 不同嘛！你可以这样想啦，有一天，你要去银行存钱，那个银行就可以想成是主机，然后，银行当然不可能只有一种业务，里头就有相当多的窗口，那么你一进大门的时候，在门口的服务人员就会问你说："嗨！你好呀！你要做些什么事？"你跟他说："我要存钱呀！"，服务员接着就会告诉你：喝！那么请前往三号窗口！那边的人员会帮您服务！这个时候你总该不会往其它的窗口跑吧？！ ""这些窗口就可以想成是port 啰！所以啦！每一种服务都有特定的 port 在监听！您无须担心计算机会误判的问题呦！ ) 　　· 每一个 TCP 联机都必须由一端(通常为 client )发起请求这个 port 通常是随机选择大于 1024 以上（因为0-1023有特殊作用，被预定，如FTP、HTTP、SMTP等）的 port 号来进行！其 TCP 封包会将(且只将) SYN 旗标设定起来！这是整个联机的第一个封包； 　　· 如果另一端(通常为 Server ) 接受这个请求的话（当然啰，特殊的服务需要以特殊的 port 来进行，例如 FTP 的 port 21 ），则会向请求端送回整个联机的第二个封包！其上除了 SYN 旗标之外同时还将 ACK 旗标也设定起来，并同时在本机端建立资源以待联机之需； 　　· 然后，请求端获得服务端第一个响应封包之后，必须再响应对方一个确认封包，此时封包只带 ACK 旗标(事实上，后继联机中的所有封包都必须带有 ACK 旗标)； 　　· 只有当服务端收到请求端的确认( ACK )封包(也就是整个联机的第三个封包)之后，两端的联机才能正式建立。这就是所谓的 TCP 联机的'三次握手( Three-Way Handshake )'的原理。 　　经过三向交握之后，呵呵！你的 client 端的 port 通常是高于 1024 的随机取得的 port ,至于主机端则视当时的服务是开启哪一个 port 而定，例如 WWW 选择 80 而 FTP 则以 21 为正常的联机信道！ 　　总而言之,我们这里所说的端口，不是计算机硬件的I/O端口，而是软件形式上的概念。根据提供服务类型的不同，端口分为两种，一种是TCP端口，一种是UDP端口。计算机之间相互通信的时候，分为两种方式：一种是发送信息以后，可以确认信息是否到达，也就是有应答的方式，这种方式大多采用TCP协议；一种是发送以后就不管了，不去确认信息是否到达，这种方式大多采用UDP协议。对应这两种协议的服务提供的端口，也就分为TCP端口和UDP端口。 　　那么，如果攻击者使用软件扫描目标计算机，得到目标计算机打开的端口，也就了解了目标计算机提供了那些服务。我们都知道，提供服务就一定有服务软件的漏洞，根据这些，攻击者可以达到对目标计算机的初步了解。如果计算机的端口打开太多，而管理者不知道，那么，有两种情况：一种是提供了服务而管理者没有注意，比如安装IIS的时候，软件就会自动增加很多服务，而管理员可能没有注意到；一种是服务器被攻击者安装木马，通过特殊的端口进行通信。这两种情况都是很危险的，说到底，就是管理员不了解服务器提供的服务，减小了系统安全系数。 端口作用 　　我们知道，一台拥有IP地址的主机可以提供许多服务，比如Web服务、FTP服务、SMTP服务等，这些服务完全可以通过1个IP地址来实现。那么，主机是怎样区分不同的网络服务呢？显然不能只靠IP地址，因为IP 地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区分不同的服务的。 　　需要注意的是，端口并不是一一对应的。比如你的电脑作为客户机访 问一台WWW服务器时，WWW服务器使用“80”端口与你的电脑通信，但你的电脑则可能使用“3457”这样的端口。 动态端口（Dynamic Ports） 　　动态端口的范围是从1024到65535。之所以称为动态端口，是因为它 一般不固定分配某种服务，而是动态分配。动态分配是指当一个系统进程或应用 程序进程需要网络通信时，它向主机一个端口，主机从可用的端口号中分配 一个供它使用。当这个进程关闭时，同时也就释放了所占用的端口号。 端口在入侵中的作用 　　有人曾经把服务器比作房子，而把端口比作通向不同房间（服务）的门，如果不考虑细节的话，这是一个不错的比喻。入侵者要占领这间房子，势必要破门而入（物理入侵另说），那么对于入侵者来说，了解房子开了几扇门，都是什么样的门，门后面有什么东西就显得至关重要。 　　入侵者通常会用扫描器对目标主机的端口进行扫描，以确定哪些端口是开放的，从开放的端口，入侵者可以知道目标主机大致提供了哪些服务，进而猜测可能存在的漏洞，因此对端口的扫描可以帮助我们更好的了解目标主机，而对于管理员，扫描本机的开放端口也是做好安全防范的第一步。 　　分类 　　软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。 这些常见的服务划分 　　划分为使用TCP端口（面向连接如打电话）和使用UDP端口（无连接如写信）两种。 　　网络中可以被命名和寻址的通信端口是操作系统的一种可分配资源。由网络OSI（开放系统互联参考模型，OpenSystemInterconnectionReferenceModel）七层协议可知，传输层与网络层最大的区别是传输层提供进程通信能力，网络通信的最终地址不仅包括主机地址，还包括可描述进程的某种标识。所以TCP/IP协议提出的协议端口，可以认为是网络通信进程的一种标识符。 应用程序（调入内存运行后一般称为：进程）通过系统调用与某端口建立连接（binding，绑定）后，传输层传给该端口的数据都被相应的进程所接收，相应进程发给传输层的数据都从该端口输出。在TCP/IP协议的实现中，端口操作类似于一般的I/O操作，进程获取一个端口，相当于获取本地唯一的I/O文件，可以用一般的读写方式访问类似于文件描述符，每个端口都拥有一个叫端口号的整数描述符，用来区别不同的端口。由于TCP/IP传输层的TCP和UDP两个协议是两个完全独立的软件模块，因此各自的端口号也相互独立。如TCP有一个255号端口，UDP也可以有一个255号端口，两者并不冲突。端口号有两种基本分配方式：第一种叫全局分配这是一种集中分配方式，由一个公认权威的中央机构根据用户需要进行统一分配，并将结果公布于众，第二种是本地分配，又称动态连接，即进程需要访问传输层服务时，向本地操作系统提出申请，操作系统返回本地唯一的端口号，进程再通过合适的系统调用，将自己和该端口连接起来（binding，绑定）。TCP/IP端口号的分配综合了以上两种方式，将端口号分为两部分，少量的作为保留端口，以全局方式分配给服务进程。每一个服务器都拥有一个全局公认的端口叫周知端口，即使在不同的机器上，其端口号也相同。剩余的为自由端口，以本地方式进行分配。TCP和UDP规定，小于256的端口才能作为保留端口。 按端口号可分为3大类 　　（1）公认端口（WellKnownPorts）：从0到1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。 　　（2）注册端口（RegisteredPorts）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。 　　（3）动态和/或私有端口（Dynamicand/orPrivatePorts）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。 系统管理员可以"重定向"端口 　　一种常见的技术是把一个端口重定向到另一个地址。例如默认的HTTP端口是80，不少人将它重定向到另一个端口，如8080。如果是这样改了，要访问本文就应改用这个地址http://wwd.3322.net:8080/net/port.htm（当然，这仅仅是理论上的举例）。实现重定向是为了隐藏公认的默认端口，降低受破坏率。这样如果有人要对一个公认的默认端口进行攻击则必须先进行端口扫描。大多数端口重定向与原端口有相似之处，例如多数HTTP端口由80变化而来：81，88，8000，8080，8888。同样POP的端口原来在110，也常被重定向到1100。也有不少情况是选取统计上有特别意义的数，象1234，23456，34567等。许多人有其它原因选择奇怪的数，42，69，666，31337。近来，越来越多的远程控制木马(RemoteAccessTrojans,RATs)采用相同的默认端口。如NetBus的默认端口是12345。BlakeR.Swopes指出使用重定向端口还有一个原因，在UNIX系统上，如果你想侦听1024以下的端口需要有root权限。如果你没有root权限而又想开web服务，你就需要将其安装在较高的端口。此外，一些ISP的防火墙将阻挡低端口的通讯，这样的话即使你拥有整个机器你还是得重定向端口。 按对应的协议类型端口有两种 　　TCP端口和UDP端口。由于TCP和UDP 两个协议是独立的，因此各自的端口号也相互独立，比如TCP有235端口，UDP也 可以有235端口，两者并不冲突。 1.周知端口（Well Known Ports 　　） 　　周知端口是众所周知的端口号，范围从0到1023，其中80端口分配给W WW服务，21端口分配给FTP服务等。我们在IE的地址栏里输入一个网址的时候（ 比如www.cce.com.cn）是不必指定端口号的，因为在默认情况下WWW服务的端口 号是“80”。 　　网络服务是可以使用其他端口号的，如果不是默认的端口号则应该在 地址栏上指定端口号，方法是在地址后面加上冒号“:”（半角），再加上端口 号。比如使用“8080”作为WWW服务的端口，则需要在地址栏里输入“www.cce.com.cn:8080”。 　　但是有些系统协议使用固定的端口号，它是不能被改变的，比如139 端口专门用于NetBIOS与TCP/IP之间的通信，不能手动改变。 2.动态端口（Dynamic Ports） 　　动态端口的范围是从1024到65535。之所以称为动态端口，是因为它 一般不固定分配某种服务，而是动态分配。动态分配是指当一个系统进程或应用 程序进程需要网络通信时，它向主机申请一个端口，主机从可用的端口号中分配 一个供它使用。当这个进程关闭时，同时也就释放了所占用的端口号。 端口的相关工具 1 netstat -na 　　的确，这并不是一个工具，但他是查看自己所开放端口的最方便方法，在cmd中输入这个命令就可以了。如下： 　　C:\>netstat -na 　　Active Connections 　　Proto Local Address Foreign Address State 　　TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 　　TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 　　TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 　　TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING 　　TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING 　　TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING 　　UDP 0.0.0.0:135 *:* 　　UDP 0.0.0.0:445 *:* 　　UDP 0.0.0.0:1027 *:* 　　UDP 127.0.0.1:1029 *:* 　　UDP 127.0.0.1:1030 *:* 　　这是我没上网的时候机器所开的端口，两个135和445是固定端口，其余几个都是动态端口。 2 fport.exe和mport.exe 　　这也是两个命令行下查看本地机器开放端口的小程序，其实与netstat -an这个命令大同小异，只不过它能够显示打开端口的进程，信息更多一些而已，如果你怀疑自己的奇怪端口可能是木马，那就用他们查查吧。 3 activeport.exe（也称aports.exe） 　　还是用来查看本地机器开放端口的东东，除了具有上面两个程序的全部功能外，他还有两个更吸引人之处：图形界面以及可以关闭端口。这对菜鸟来说是个绝对好用的东西，推荐使用喔。 4 superscan3.0 　　它的大名你不会没听说过吧，纯端口扫描类软件中的NO.1，速度快而且可以指定扫描的端口，不多说了，绝对必备工具。 5 Visual Sniffer 　　这个可以拦截网络数据包，查看正在开放的各个端口，非常好用。 保护好自己的端口 　　刚接触网络的朋友一般都对自己的端口很敏感，总怕自己的电脑开放了过多端口，更怕其中就有后门程序的端口，但由于对端口不是很熟悉，所以也没有解决办法，上起网来提心吊胆。其实保护自己的端口并不是那么难，只要做好下面几点就行了： 　　1) 查看：经常用命令或软件查看本地所开放的端口，看是否有可疑端口； 　　2) 判断：如果开放端口中有你不熟悉的，应该马上查找端口大全或木马常见端口等资料（网上多的很），看看里面对你那个可疑端口的作用描述，或者通过软件查看开启此端口的进程来进行判断； 　　3) 关闭：如果真是木马端口或者资料中没有这个端口的描述，那么应该关闭此端口，你可以用防火墙来屏蔽此端口，也可以用本地连接－TCP/IP－高级－选项－TCP/IP筛选，启用筛选机制来筛选端口； 　　注意：判断时候要慎重，因为一些动态分配的端口也容易引起你多余的怀疑，这类端口一般比较低，且连续。还有，一些狡猾的后门软件，他们会借用80等一些常见端口来进行通信（穿透了防火墙），令人防不胜防，因此不轻易运行陌生程序才是关键。 　　怎样查看端口 　　一台服务器有大量的端口在使用，怎么来查看端口呢？有两种方式： 一种是利用系统内置的命令，一种是利用第三方端口扫描软件。 1.用“netstat /an”查看端口状态 　　在Windows 2000/XP中，可以在命令提示符下使用“netstat /an”查 看系统端口状态，可以列出系统正在开放的端口号及其状态． 2.用第三方端口扫描软件 　　第三方端口扫描软件有许多，界面虽然千差万别，但是功能却是类似 的。这里以“Fport” （可到http://www.ccert.edu.cn/tools/index.php?type_t=7或http://www.ccidnet.com/soft/cce下载）为例讲解。“Fport”在命令提示符下使用，运行结果 与“netstat -an”相似，但是它不仅能够列出正在使用的端口号及类型，还可 以列出端口被哪个应用程序使用． 计算机常用端口一览表: TCP端口（静态端口） 　　TCP 0= Reserved 　　TCP 1=TCP Port Service Multiplexer 　　TCP 2=Death 　　TCP 5=Remote Job Entry,yoyo 　　TCP 7=Echo 　　TCP 11=Skun 　　TCP 12=Bomber 　　TCP 16=Skun 　　TCP 17=Skun 　　TCP 18=消息传输协议,skun 　　TCP 19=Skun 　　TCP 20=FTP Data,Amanda 　　TCP 21=文件传输,Back Construction,Blade Runner,Doly Trojan,Fore,FTP trojan,Invisible FTP,Larva, WebEx,WinCrash 　　TCP 22=远程登录协议 　　TCP 23=远程登录(Telnet),Tiny Telnet Server (= TTS) 　　TCP 25=电子邮件(SMTP),Ajan,Antigen,Email Password Sender,Happy 99,Kuang2,ProMail trojan,Shtrilitz,Stealth,Tapiras,Terminator,WinPC,WinSpy,Haebu Coceda 　　TCP 27=Assasin 　　TCP 28=Amanda 　　TCP 29=MSG ICP 　　TCP 30=Agent 40421 　　TCP 31=Agent 31,Hackers Paradise,Masters Paradise,Agent 40421 　　TCP 37=Time,ADM worm 　　TCP 39=SubSARI 　　TCP 41=DeepThroat,Foreplay 　　TCP 42=Host Name Server 　　TCP 43=WHOIS 　　TCP 44=Arctic 　　TCP 48=DRAT 　　TCP 49=主机登录协议 　　TCP 50=DRAT 　　TCP 51=IMP Logical Address Maintenance,Fuck Lamers Backdoor 　　TCP 52=MuSka52,Skun 　　TCP 53=DNS,Bonk (DOS Exploit) 　　TCP 54=MuSka52 　　TCP 58=DMSetup 　　TCP 59=DMSetup 　　TCP 63=whois++ 　　TCP 64=Communications Integrator 　　TCP 65=TACACS-Database Service 　　TCP 66=Oracle SQL*NET,AL-Bareki 　　TCP 67=Bootstrap Protocol Server 　　TCP 68=Bootstrap Protocol Client 　　TCP 69=W32.Evala.Worm,BackGate Kit,Nimda,Pasana,Storm,Storm worm,Theef,Worm.Cycle.a 　　TCP 70=Gopher服务,ADM worm 　　TCP 79=用户查询(Finger),Firehotcker,ADM worm 　　TCP 80=超文本服务器(Http),Executor,RingZero 　　TCP 81=Chubo,Worm.Bbeagle.q 　　TCP 82=Netsky-Z 　　TCP 88=Kerberos krb5服务 　　TCP 99=Hidden Port 　　TCP 102=消息传输代理 　　TCP 108=SNA网关访问服务器 　　TCP 109=Pop2 　　TCP 110=电子邮件(Pop3),ProMail 　　TCP 113=Kazimas, Auther Idnet 　　TCP 115=简单文件传输协议 　　TCP 118=SQL Services, Infector 1.4.2 　　TCP 119=新闻组传输协议(Newsgroup(Nntp)), Happy 99 　　TCP 121=JammerKiller, Bo jammerkillah 　　TCP 123=网络时间协议(NTP),Net Controller 　　TCP 129=Password Generator Protocol 　　TCP 133=Infector 1.x 　　TCP 135=微软DCE RPC end-point mapper服务 　　TCP 137=微软Netbios Name服务(网上邻居传输文件使用) 　　TCP 138=微软Netbios Name服务(网上邻居传输文件使用) 　　TCP 139=微软Netbios Name服务(用于文件及打印机共享) 　　TCP 142=NetTaxi 　　TCP 143=IMAP 　　TCP 146=FC Infector,Infector 　　TCP 150=NetBIOS Session Service 　　TCP 156=SQL服务器 　　TCP 161=Snmp 　　TCP 162=Snmp-Trap 　　TCP 170=A-Trojan 　　TCP 177=X Display管理控制协议 　　TCP 179=Border网关协议(BGP) 　　TCP 190=网关访问控制协议(GACP) 　　TCP 194=Irc 　　TCP 197=目录定位服务(DLS) 　　TCP 256=Nirvana 　　TCP 315=The Invasor 　　TCP 371=ClearCase版本管理软件 　　TCP 389=Lightweight Directory Access Protocol (LDAP) 　　TCP 396=Novell Netware over IP 　　TCP 420=Breach 　　TCP 421=TCP Wrappers 　　TCP 443=安全服务 　　TCP 444=Simple Network Paging Protocol(SNPP) 　　TCP 445=Microsoft-DS 　　TCP 455=Fatal Connections 　　TCP 456=Hackers paradise,FuseSpark 　　TCP 458=苹果公司QuickTime 　　TCP 513=Grlogin 　　TCP 514=RPC Backdoor 　　TCP 520=Rip 　　TCP 531=Rasmin,Net666 　　TCP 544=kerberos kshell 　　TCP 546=DHCP Client 　　TCP 547=DHCP Server 　　TCP 548=Macintosh文件服务 　　TCP 555=Ini-Killer,Phase Zero,Stealth Spy 　　TCP 569=MSN 　　TCP 605=SecretService 　　TCP 606=Noknok8 　　TCP 660=DeepThroat 　　TCP 661=Noknok8 　　TCP 666=Attack FTP,Satanz Backdoor,Back Construction,Dark Connection Inside 1.2 　　TCP 667=Noknok7.2 　　TCP 668=Noknok6 　　TCP 669=DP trojan 　　TCP 692=GayOL 　　TCP 707=Welchia,nachi 　　TCP 777=AIM Spy 　　TCP 808=RemoteControl,WinHole 　　TCP 815=Everyone Darling 　　TCP 901=Backdoor.Devil 　　TCP 911=Dark Shadow 　　TCP 990=ssl加密 　　TCP 993=IMAP 　　TCP 999=DeepThroat 　　TCP 1000=Der Spaeher 　　TCP 1001=Silencer,WebEx,Der Spaeher 　　TCP 1003=BackDoor 　　TCP 1010=Doly 　　TCP 1011=Doly 　　TCP 1012=Doly 　　TCP 1015=Doly 　　TCP 1016=Doly 　　TCP 1020=Vampire 　　TCP 1023=Worm.Sasser.e TCP端口（动态端口） 　　TCP 1024=NetSpy.698(YAI) 　　TCP 1025=NetSpy.698,Unused Windows Services Block 　　TCP 1026=Unused Windows Services Block 　　TCP 1027=Unused Windows Services Block 　　TCP 1028=Unused Windows Services Block 　　TCP 1029=Unused Windows Services Block 　　TCP 1030=Unused Windows Services Block 　　TCP 1033=Netspy 　　TCP 1035=Multidropper 　　TCP 1042=Bla 　　TCP 1045=Rasmin 　　TCP 1047=GateCrasher 　　TCP 1050=MiniCommand 　　TCP 1059=nimreg 　　TCP 1069=Backdoor.TheefServer.202 　　TCP 1070=Voice,Psyber Stream Server,Streaming Audio Trojan 　　TCP 1080=Wingate,Worm.BugBear.B,Worm.Novarg.B 　　TCP 1090=Xtreme, VDOLive 　　TCP 1092=LoveGate 　　TCP 1095=Rat 　　TCP 1097=Rat 　　TCP 1098=Rat 　　TCP 1099=Rat 　　TCP 1110=nfsd-keepalive 　　TCP 1111=Backdoor.AIMVision 　　TCP 1155=Network File Access 　　TCP 1170=Psyber Stream Server,Streaming Audio trojan,Voice 　　TCP 1200=NoBackO 　　TCP 1201=NoBackO 　　TCP 1207=Softwar 　　TCP 1212=Nirvana,Visul Killer 　　TCP 1234=Ultors 　　TCP 1243=BackDoor-G, SubSeven, SubSeven Apocalypse 　　TCP 1245=VooDoo Doll 　　TCP 1269=Mavericks Matrix 　　TCP 1313=Nirvana 　　TCP 1349=BioNet 　　TCP 1433=Microsoft SQL服务 　　TCP 1441=Remote Storm 　　TCP 1492=FTP99CMP(BackOriffice.FTP) 　　TCP 1503=NetMeeting T.120 　　TCP 1509=Psyber Streaming Server 　　TCP 1600=Shivka-Burka 　　TCP 1703=Exloiter 1.1 　　TCP 1720=NetMeeting H.233 call Setup 　　TCP 1731=NetMeeting音频调用控制 　　TCP 1807=SpySender 　　TCP 1966=Fake FTP 2000 　　TCP 1976=Custom port 　　TCP 1981=Shockrave 　　TCP 1990=stun-p1 cisco STUN Priority 1 port 　　TCP 1990=stun-p1 cisco STUN Priority 1 port 　　TCP 1991=stun-p2 cisco STUN Priority 2 port 　　TCP 1992=stun-p3 cisco STUN Priority 3 port,ipsendmsg IPsendmsg 　　TCP 1993=snmp-tcp-port cisco SNMP TCP port 　　TCP 1994=stun-port cisco serial tunnel port 　　TCP 1995=perf-port cisco perf port 　　TCP 1996=tr-rsrb-port cisco Remote SRB port 　　TCP 1997=gdp-port cisco Gateway Discovery Protocol 　　TCP 1998=x25-svc-port cisco X.25 service (XOT) 　　TCP 1999=BackDoor, TransScout 　　TCP 2000=Der Spaeher,INsane Network 　　TCP 2002=W32.Beagle.AX @mm 　　TCP 2001=Transmisson scout 　　TCP 2002=Transmisson scout 　　TCP 2003=Transmisson scout 　　TCP 2004=Transmisson scout 　　TCP 2005=TTransmisson scout 　　TCP 2011=cypress 　　TCP 2015=raid-cs 　　TCP 2023=Ripper,Pass Ripper,Hack City Ripper Pro 　　TCP 2049=NFS 　　TCP 2115=Bugs 　　TCP 2121=Nirvana 　　TCP 2140=Deep Throat, The Invasor 　　TCP 2155=Nirvana 　　TCP 2208=RuX 　　TCP 2255=Illusion Mailer 　　TCP 2283=HVL Rat5 　　TCP 2300=PC Explorer 　　TCP 2311=Studio54 　　TCP 2556=Worm.Bbeagle.q 　　TCP 2565=Striker 　　TCP 2583=WinCrash 　　TCP 2600=Digital RootBeer 　　TCP 2716=Prayer Trojan 　　TCP 2745=Worm.BBeagle.k 　　TCP 2773=Backdoor,SubSeven 　　TCP 2774=SubSeven2.1&2.2 　　TCP 2801=Phineas Phucker 　　TCP 2989=Rat 　　TCP 3024=WinCrash trojan 　　TCP 3127=Worm.Novarg 　　TCP 3128=RingZero,Worm.Novarg.B 　　TCP 3129=Masters Paradise 　　TCP 3150=Deep Throat, The Invasor 　　TCP 3198=Worm.Novarg 　　TCP 3210=SchoolBus 　　TCP 3332=Worm.Cycle.a 　　TCP 3333=Prosiak 　　TCP 3389=超级终端 　　TCP 3456=Terror 　　TCP 3459=Eclipse 2000 　　TCP 3700=Portal of Doom 　　TCP 3791=Eclypse 　　TCP 3801=Eclypse 　　TCP 3996=Portal of Doom,RemoteAnything 　　TCP 4000=腾讯QQ客户端 　　TCP 4060=Portal of Doom,RemoteAnything 　　TCP 4092=WinCrash 　　TCP 4242=VHM 　　TCP 4267=SubSeven2.1&2.2 　　TCP 4321=BoBo 　　TCP 4444=Prosiak,Swift remote 　　TCP 4500=W32.HLLW.Tufas 　　TCP 4567=File Nail 　　TCP 4590=ICQTrojan 　　TCP 4899=Remote Administrator服务器 　　TCP 4950=ICQTrojan 　　TCP 5000=WindowsXP服务器,Blazer 5,Bubbel,Back Door Setup,Sockets de Troie 　　TCP 5001=Back Door Setup, Sockets de Troie 　　TCP 5002=cd00r,Shaft 　　TCP 5011=One of the Last Trojans (OOTLT) 　　TCP 5025=WM Remote KeyLogger 　　TCP 5031=Firehotcker,Metropolitan,NetMetro 　　TCP 5032=Metropolitan 　　TCP 5190=ICQ Query 　　TCP 5321=Firehotcker 　　TCP 5333=Backage Trojan Box 3 　　TCP 5343=WCrat 　　TCP 5400=Blade Runner, BackConstruction1.2 　　TCP 5401=Blade Runner,Back Construction 　　TCP 5402=Blade Runner,Back Construction 　　TCP 5471=WinCrash 　　TCP 5512=Illusion Mailer 　　TCP 5521=Illusion Mailer 　　TCP 5550=Xtcp,INsane Network 　　TCP 5554=Worm.Sasser 　　TCP 5555=ServeMe 　　TCP 5556=BO Facil 　　TCP 5557=BO Facil 　　TCP 5569=Robo-Hack 　　TCP 5598=BackDoor 2.03 　　TCP 5631=PCAnyWhere data 　　TCP 5632=PCAnyWhere 　　TCP 5637=PC Crasher 　　TCP 5638=PC Crasher 　　TCP 5698=BackDoor 　　TCP 5714=Wincrash3 　　TCP 5741=WinCrash3 　　TCP 5742=WinCrash 　　TCP 5760=Portmap Remote Root Linux Exploit 　　TCP 5880=Y3K RAT 　　TCP 5881=Y3K RAT 　　TCP 5882=Y3K RAT 　　TCP 5888=Y3K RAT 　　TCP 5889=Y3K RAT 　　TCP 5900=WinVnc 　　TCP 6000=Backdoor.AB 　　TCP 6006=Noknok8 　　TCP 6129=Dameware Nt Utilities服务器 　　TCP 6272=SecretService 　　TCP 6267=广外女生 　　TCP 6400=Backdoor.AB,The Thing 　　TCP 6500=Devil 1.03 　　TCP 6661=Teman 　　TCP 6666=TCPshell.c 　　TCP 6667=NT Remote Control,Wise 播放器接收端口 　　TCP 6668=Wise Video广播端口 　　TCP 6669=Vampyre 　　TCP 6670=DeepThroat,iPhone 　　TCP 6671=Deep Throat 3.0 　　TCP 6711=SubSeven 　　TCP 6712=SubSeven1.x 　　TCP 6713=SubSeven 　　TCP 6723=Mstream 　　TCP 6767=NT Remote Control 　　TCP 6771=DeepThroat 　　TCP 6776=BackDoor-G,SubSeven,2000 Cracks 　　TCP 6777=Worm.BBeagle 　　TCP 6789=Doly Trojan 　　TCP 6838=Mstream 　　TCP 6883=DeltaSource 　　TCP 6912=Shit Heep 　　TCP 6939=Indoctrination 　　TCP 6969=GateCrasher, Priority, IRC 3 　　TCP 6970=RealAudio,GateCrasher 　　TCP 7000=Remote Grab,NetMonitor,SubSeven1.x 　　TCP 7001=Freak88 　　TCP 7201=NetMonitor 　　TCP 7215=BackDoor-G, SubSeven 　　TCP 7001=Freak88,Freak2k 　　TCP 7300=NetMonitor 　　TCP 7301=NetMonitor 　　TCP 7306=NetMonitor,NetSpy 1.0 　　TCP 7307=NetMonitor, ProcSpy 　　TCP 7308=NetMonitor, X Spy 　　TCP 7323=Sygate服务器端 　　TCP 7424=Host Control 　　TCP 7511=聪明基因 　　TCP 7597=Qaz 　　TCP 7609=Snid X2 　　TCP 7626=冰河 　　TCP 7777=The Thing 　　TCP 7789=Back Door Setup, ICQKiller 　　TCP 7983=Mstream 　　TCP 8000=腾讯OICQ服务器端,XDMA 　　TCP 8010=Wingate,Logfile 　　TCP 8011=WAY2.4 　　TCP 8080=WWW 代理,Ring Zero,Chubo,Worm.Novarg.B 　　TCP 8102=网络神偷 　　TCP 　　8181=W32.Erkez.D@mm 　　TCP 8520=W32.Socay.Worm 　　TCP 8594=I-Worm/Bozori.a 　　TCP 8787=BackOfrice 2000 　　TCP 8888=Winvnc 　　TCP 8897=Hack Office,Armageddon 　　TCP 8989=Recon 　　TCP 9000=Netministrator 　　TCP 9325=Mstream 　　TCP 9400=InCommand 1.0 　　TCP 9401=InCommand 1.0 　　TCP 9402=InCommand 1.0 　　TCP 9872=Portal of Doom 　　TCP 9873=Portal of Doom 　　TCP 9874=Portal of Doom 　　TCP 9875=Portal of Doom 　　TCP 9876=Cyber Attacker 　　TCP 9878=TransScout 　　TCP 9989=Ini-Killer 　　TCP 9898=Worm.Win32.Dabber.a 　　TCP 9999=Prayer Trojan 　　TCP 10067=Portal of Doom 　　TCP 10080=Worm.Novarg.B 　　TCP 10084=Syphillis 　　TCP 10085=Syphillis 　　TCP 10086=Syphillis 　　TCP 10101=BrainSpy 　　TCP 10167=Portal Of Doom 　　TCP 10168=Worm.Supnot.78858.c,Worm.LovGate.T 　　TCP 10520=Acid Shivers 　　TCP 10607=Coma trojan 　　TCP 10666=Ambush 　　TCP 11000=Senna Spy 　　TCP 11050=Host Control 　　TCP 11051=Host Control 　　TCP 11223=Progenic,Hack ’99KeyLogger 　　TCP 11831=TROJ_LATINUS.SVR 　　TCP 12076=Gjamer, MSH.104b 　　TCP 12223=Hack’99 KeyLogger 　　TCP 12345=GabanBus, NetBus 1.6/1.7, Pie Bill Gates, X-bill 　　TCP 12346=GabanBus, NetBus 1.6/1.7, X-bill 　　TCP 12349=BioNet 　　TCP 12361=Whack-a-mole 　　TCP 12362=Whack-a-mole 　　TCP 12363=Whack-a-mole 　　TCP 12378=W32/Gibe@MM 　　TCP 12456=NetBus 　　TCP 12623=DUN Control 　　TCP 12624=Buttman 　　TCP 12631=WhackJob, WhackJob.NB1.7 　　TCP 12701=Eclipse2000 　　TCP 12754=Mstream 　　TCP 13000=Senna Spy 　　TCP 13010=Hacker Brazil 　　TCP 13013=Psychward 　　TCP 13223=Tribal Voice的聊天程序PowWow 　　TCP 13700=Kuang2 The Virus 　　TCP 14456=Solero 　　TCP 14500=PC Invader 　　TCP 14501=PC Invader 　　TCP 14502=PC Invader 　　TCP 14503=PC Invader 　　TCP 15000=NetDaemon 1.0 　　TCP 15092=Host Control 　　TCP 15104=Mstream 　　TCP 16484=Mosucker 　　TCP 16660=Stacheldraht (DDoS) 　　TCP 16772=ICQ Revenge 　　TCP 16959=Priority 　　TCP 16969=Priority 　　TCP 17027=提供广告服务的Conducent"adbot"共享软件 　　TCP 17166=Mosaic 　　TCP 17300=Kuang2 The Virus 　　TCP 17490=CrazyNet 　　TCP 17500=CrazyNet 　　TCP 17569=Infector 1.4.x + 1.6.x 　　TCP 17777=Nephron 　　TCP 18753=Shaft (DDoS) 　　TCP 19191=蓝色火焰 　　TCP 19864=ICQ Revenge 　　TCP 20000=Millennium II (GrilFriend) 　　TCP 20001=Millennium II (GrilFriend) 　　TCP 20002=AcidkoR 　　TCP 20034=NetBus 2 Pro 　　TCP 20168=Lovgate 　　TCP 20203=Logged,Chupacabra 　　TCP 20331=Bla 　　TCP 20432=Shaft (DDoS) 　　TCP 20808=Worm.LovGate.v.QQ 　　TCP 21335=Tribal Flood Network,Trinoo 　　TCP 21544=Schwindler 1.82,GirlFriend 　　TCP 21554=Schwindler 1.82,GirlFriend,Exloiter 1.0.1.2 　　TCP 22222=Prosiak,RuX Uploader 2.0 　　TCP 22784=Backdoor.Intruzzo 　　TCP 23432=Asylum 0.1.3 　　TCP 23444=网络公牛 　　TCP 23456=Evil FTP, Ugly FTP, WhackJob 　　TCP 23476=Donald Dick 　　TCP 23477=Donald Dick 　　TCP 23777=INet Spy 　　TCP 26274=Delta 　　TCP 26681=Spy Voice 　　TCP 27374=Sub Seven 2.0+, Backdoor.Baste 　　TCP 27444=Tribal Flood Network,Trinoo 　　TCP 27665=Tribal Flood Network,Trinoo 　　TCP 29431=Hack Attack 　　TCP 29432=Hack Attack 　　TCP 29104=Host Control 　　TCP 29559=TROJ_LATINUS.SVR 　　TCP 29891=The Unexplained 　　TCP 30001=Terr0r32 　　TCP 30003=Death,Lamers Death 　　TCP 30029=AOL trojan 　　TCP 30100=NetSphere 1.27a,NetSphere 1.31 　　TCP 30101=NetSphere 1.31,NetSphere 1.27a 　　TCP 30102=NetSphere 1.27a,NetSphere 1.31 　　TCP 30103=NetSphere 1.31 　　TCP 30303=Sockets de Troie 　　TCP 30722=W32.E