黑客端口通道

随着网络发展，原来的物理上的接口(键盘、鼠标、网卡、显卡 等输入、出的接口)都已经不能满足网络通信要求，而TCP/IP协议作为网络通信的标准协议，解决这个通信难题。

TCP/IP协议集成操作系统的内核中,当于在操作系统中引入了一种新的输入、输出接口功能，因为在TCP/IP协议中引入了一种称为"SOCKET(套接字)”的应用接口，有了这样一种技术，一台机器就可以通过软件的方法与任何一台具有SOCKET接口的机器进行通信。

端口在机器上也就是“socket接口”,简单的说 端口就是计算机与外界通信的交流出入。

一、【端口分类】

“有了这些端口，这些端口是怎么工作的呢?比如一台服务器为什么可以同时是WEB服务器，也可以是FTP服务器，还可以作为邮件服务器，等等?”

在网络传输中，各种服务采用不同的端口分别，提供不同的服务器。

比如通常情况下，TCP/IP协议规定WEB采用80端口，FTP采用21端口。邮件服务则是25端口等。

这样通过不同的端口，计算机就可以与外界进行互相不干扰的通行。

根据分析，服务器端口最大数可以有65535个，但实际上常用的也就几十个，由此可以看出未定义的端口很多,这就是黑客程序都可以采用某种方法，定义出一个特殊的端口来达到入侵的目的。为了定义出这个端口，就要依靠某种程序在计算机启动之前自动加载到内存，强制控制计算机打开那个特殊的端口。

这个程序就是“后门”,也就是木马程序，简单的说，这些木马程序在入侵之前通过某种手段在一台个人计算机中种植一个马。打开某个特定的端口，称为“后门(BackDiir)”让这台计算机变成一台开放性极高(用户拥有极高的权限)的FTP 服务器,然后从后门就可以达到入侵的目的。

端口分为硬件端口和软件端口，其中硬件端口称为接口，他分为串行和并行接口,串行接口有USB/COM/IEEE/1394等，最早的串行接口是RS-232，而我们平常用的打印机接口就是并行接口。

软件接口一般是值网络中面向连接服务和无法连接服务的通信协议。

在网络技术中，端口 大致有2种意思，

一、是物理意义上的端口，比如“ADSL MODEM、集线器、交换机、路由器等用于连接其他网络设备的接口,比如：RJ-45端口、SC端口等。

二、逻辑意义上的端口，一般指的是TCP/IP协议中的端口,端口号的范围从0-65535，比如用于浏览器网页服务的80端口，FTP的21端口，邮件的25端口等。

下面要说的就是逻辑意义上的端口。

逻辑意义上的端口有多重分类标准，常见的有两张。

一、按照端口号分布划分

按端口号分布划分可以分为“公认端口”、“注册端口”、动态端口和私有多段等。

1、公认端口

公认端口也称为常用端口。这类端口的端口号从0-1023，他们紧密的绑于一丁的特定服务。

通常这些端口的通信明确的表明了某种服务的协议，这端口不可在从新定义他的作用对方，比如21端口分配给FTP服务，而23端口是Telnet服务用的，25端口分配给SMTP服务，80则是HTTP通信用的，135端口分配给RPC(远程过程调用)服务，这些端口通常不会被像木马这样的黑客程序里有。

注：网吧可利用135端口溢出的漏洞入侵整个网吧

2、注册端口

注册端口的端口号从1024-49151。

他们松散的绑定于一些服务，也就是说有很多服务绑定于这些端口，这些端口同样用于许多其他的目的，这些端口多数没有明确的服务地相，不同的程序可以根据实际需要的定义，如远程控制软件(后期介绍)和木马程序中斗会有这些端口的定义，须记住这些常见的程序端口在木马程序防护和查杀上是非常必要的。

3、动态和/或者私有端口

动态和私有端口的端口号从49152-65535,理论上讲不应该把常用服务分配在这些端口上，但是实际有些较为特殊的程序，特别是一些木马程序就非常喜欢这些端口，因为这些端口常常不引起别人注意，容易隐藏。

二、协议类型划分

根据所提供的服务方式不同，端口又可以分为“TCP、UDP端口”2种，因为计算机互相通信，一般是采用这种方式通信协议。

前面说过的“连接方式”是一种直接与接收方式进行的连接，发送信息以后可以确定信息是否达到，这种方式大多采用TCP协议，另一种不是直接与接收对方进行连接，只管吧信息房在网上发出去而不管通信是否达到，也就是“无连接方式”，这种方式大多采用UDP协议。

IP协议也是一种无连接方式，对应使用以上这两张通信的服务所提供的端口，也就分为“CTP、UDP端口”两种。

使用TCP协议的常见端口主要有以下几种

1、FTP

定义了文件传输协议，用21端口，某个计算机打开了FTP服务便是启动了文件传输服务，下载文件和上传主页都要用到。

2、Telnet

一种用于远程登录端口，用户可以以自己的身份远程连接到计算机上，通过这种端口可以提供一种基于DOS模式下的通信服务，如以前的BBS是纯字符界面的，支持BBS的服务器会打开23端口，以方便对外服务。

3、SMTP

简单的邮件传送协议，现在很多邮件服务器都是用这个协议，如：163 qq sina 等等，用于发送邮件，

所以在电子邮件设置中，经常会看到smtp端口设置，服务器开放的则是25端口。

4、POP3

他是和“SMTP”对应的，用于接收邮件，通常情况下POP3协议所使用的是110端口。只要有相应的使用POP3协议的程序，就可以不以WEB方式登录邮箱界面，而直接使用邮件程序就可以收到邮件站，在进入自己的邮箱来收信。

使用UDP协议的常见端口主要有下面几种

1、HTTP

这是用户使用最多的协议，也就是常说的“超文本传输协议”，上网浏览网页，就得在提供网页资源的计算机上打开80端口以提供服务。常说WWW服务、WEB服务等，使用的就是则个端口。

2、DNS

用于域名解析服务，这种服务在windows NT系统中用得最大，因特网上的每一台机器都有一个网络地址与之对应，这个地址就是IP地址，他以纯数字的形式表示，然而这种表示方法不便于记住，于是就出现了域名，访问网站时候只需要知道域名即可，域名和IP地址之间的变换有DNS服务器来完成，DNS用的是53号端口。

3、SNMP

简单的网络管理协议，使用161端口，是用来管理网络设备的，由于网络设备很多，因此无连接的服务就能体现出优势。

4、QQ

QQ程序既接受服务有提供服务，这样两个两天的人才是平等的。QQ使用的是无连接的协议，既UDP协议。QQ服务器使用8000端口侦听是否有消息来，客户端使用4000端口向外发送信息，在计算机的6万个端口中，通常把端口号为1024以内的称为常用端口，这些端口所对应的服务通常情况下是固定的。

二、【端口查看】

为了知道目标主机都开放了那些端口，可以使用一些扫描工具对主机一定范围的端口扫描，只有掌握了其他端口情况，才能进一步的对目标端口主机展开攻击。

在windows 2000/xp/2003中，可以使用NETSTAT命令查看端口。操作方式[开始-运行-CMD]然后点击确定。

在命令提示符下输入"netstat -an"命令，然后按下回车键就可以看到以数字方式显示的TCP和UDP连接的端口号以及状态。

 

如果攻击者使用扫描器对目标主机进行扫描，可以获取目标打开的端口情况，并且了解目标计算机提供了那些服务。

而提供服务就会有服务软件漏洞，根据这些信息攻击者就可以对目标主机有一个初步的了解。

如果在管理者不知道的情况下计算机的端口打开的太多，那么可能有两种情况，一种是提供了服务而管理者没有注意，比如安装了IIS的时候，软件就会自动的增加很多服务，一种是服务器被攻击者安装了木马，通过特殊的端口经行通信，这两种情况都是很危险的，管理员不了解服务器提供的服务，就会减小系统安全，因此扫描本机开放的端口是做好安全的方法工作。

三、【关闭/开放端口】

很多不安全的端口或者没必要的端口是开启的，比如telnet服务的23端口、FTP的21、SMTP的25、RPC的135等。为了保证系统安全，此时可以通过下面的方法来关闭/开启端口。

每一项服务都是对应的端口，众所周知的www服务端口是80,smtp是25.ftp是21.windows 2000 安装默认都是这些服务开启的，但是对于个人用户来说没必要，关掉端口也就是关闭无用的服务。

我们一般会采用一些功能强大的反黑软件和防火墙来保证计算机安全。但是有些计算机并具备上述的条件。

下面介绍一种简易的方法----通过断肢端口来帮助用户防止非法入侵，简单的说来，非法入侵的方式分为几种。其中常见的四种

1、扫描端口，通过已知的系统BUG攻入主机。

2、种植木马，利用木马开辟的后面进入主机。

3、采用数据溢出的手段，迫使主机提供后门进入主机。

4、利用某些软件设计上的漏洞，直接或间接的控制主机。

5、利用捆绑或者诱惑方式让用户中毒。

非法入侵机器常见方式是前两种和最后一张，尤其是利用一些流行的工具，通过这种方式侵入主机。

对于其他几种只有一些技术比较高的黑客才利用，波及面积不光放，而且只要这种问题一出现，软件商就会很快的提供补丁让用户及时修复漏洞。

端口就像一个房子，(服务器)的几个门一样,不同的门通往不同的房间(服务器提供不通的服务)。

有些马虎的网络管理员常常会打来一些容易被入侵的端口服务，比如：139 1433 3389 等;还有一些木马程序远程控制等都是自动开辟一个端口，其实只要将自己用不到的端口全部封锁起来就可以杜绝前两种非法入侵。

1、关闭端口

一：(2000系统)windows 2000中关闭3389端口(windows 的远程管理终端所开启的端口，该端口不是一个木马程序。)

下面是具体的操作：

1、选择-开始-控制面板-管理工具

2、双击服务图标打开服务窗口，在服务窗口中有一项{terminal services}服务项，该服务项的作用是允许多位用户连接和控制一台机器，并且在远程计算机上显示桌面和应用程序。

3、子该服务项上单机鼠标右键，在弹出的快捷菜单中选择[属性]菜单项打开{erminal services}的属性，在常规选择卡中的{启动类型}下拉到列表中选择已禁用的选项，然后单机确定按钮。

二：(xp系统)

在xp操作系统中，可以在桌面的“我的电脑”图标上单机鼠标右键，在弹出的快捷菜单中选择属性。打卡属性对话框，切换到远程选项卡中，取消(允许从这台计算机发送远程协助邀请)然后确定即可，这样关闭了远程管理终端服务就相当于关闭了对应端口。