如果有不明白的地方或者陌生的端口可以在这里查到。以便于检查系统是否感染病毒或木马。但是在有防火墙的情况下，一般的防火墙都是严格审核程序的网络连接的，所以会预先封闭所有的端口，有需要访问网络的程序会预先向防火墙提出申请，防火墙做出响应，并弹出提示，要求用户做出选择，这时候我们就要认真看了，是哪一个程序，在文件夹的哪一个位置，要做一个估计，陌生程序就更要检查。这样才能不给恶意程序任何余地。同时系统自动升级最好打开，或者定期到windows的微软网站下载系统更新程序，这样也非常有利于系统安全。系统漏洞可能会使恶意程序通过系统漏洞绕过防火墙连接到网络。

. m- K! Q9 x( F; h+ ^5 Y

, \) Z6 ?6 @ O# |

以下端口只做研究之用（一般有了防火墙了以后，会有一定的保障了）

端口：1

服务：tcpmux

说明：这显示有人在寻找sgi irix机器。irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。irix机器在发布是含有几个默认的无密码的帐户，如：ip、guest uucp、nuucp、demos 、tutor、diag、outofbox等。许多管理员在安装后忘记删除这些帐户。因此hacker在internet上搜索tcpmux并利用这些帐户。

/ c! v: |5 s/ f% z/ H: F; Z, z, ~4 {' n4 f3 q# R) H+ e$ E1 q!

8 o% J+ c) D0 S) R" W* N% [

端口：7

服务：echo

说明：能看到许多人搜索fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。

端口：19

服务：character generator

说明：这是一种仅仅发送字符的服务。udp版本将会在收到udp包后回应含有**字符的包。tcp连接时会发送含有**字符的数据流直到连接关闭。hacker利用ip欺骗可以发动dos攻击。伪造两个chargen服务器之间的udp包。同样fraggle dos攻击向目标地址的这个端口广播一个带有伪造受害者ip的数据包，受害者为了回应这些数据而过载。

1 \# N) O: Y. O0 p/ H o# V. ] `& c4 \/ b

. k# }3 \# H2 F: q4 p( m

端口：21

服务：ftp

说明：ftp服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的ftp服务器的方法。这些服务器带有可读写的目录。木马doly trojan、fore、invisible ftp、webex、wincrash和blade runner所开放的端口。

$ Q$ V- |/ J- p+ `

端口：22

服务：ssh

说明：pcanywhere建立的tcp和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用rsaref库的版本就会有不少的漏洞存在。

" q. m& }4 z/ P0 Z" i% ~8 @2 M/ n' ?$ J( w7 h

5 O+ e: k ?& v& }& q" r

端口：23

服务：telnet

说明：远程登录，入侵者在搜索远程登录unix的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马tiny telnet server就开放这个端口。

/ |9 A7 ]9 }7 d% [' @6 \) }6 g+ I% C) H. _2 + M! g

端口：25

服务：smtp

说明：smtp服务器所开放的端口，用于发送邮件。入侵者寻找smtp服务器是为了传递他们的spam。入侵者的帐户被关闭，他们需要连接到高带宽的e－mail服务器上，将简单的信息传递到不同的地址。木马antigen、email password sender、haebu coceda、shtrilitz stealth、winpc、winspy都开放这个端口。

e _" d( x* o, 2 { r& a! N7 {0 ?

1 V5 R4 l- n j" Q4 \

端口：31

服务：msg authentication

说明：木马master paradise、hackers paradise开放此端口。

, g8 {) u: J( |6 G6 p* I2 P* [+ g0 Q9 S) r6 h! q$ G6 S2 ?4 B$ F% e* d' S1 z4 m" j9 e

端口：42

服务：wins replication

说明：wins复制

5 J( a |3 k, I% S2 B# f: h% [ z. f/ y/ N" n. g( g

9 U2 `7 O" U0 a2 p5 V

端口：53

服务：domain name server（dns）

说明：dns服务器所开放的端口，入侵者可能是试图进行区域传递（tcp），欺骗dns（udp）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。

+ E' X4 A# z- q: ^/ i( T( ~; K( G3 x5 N9 T; n3 a7 h

2 D8 I; t3 ?!

端口：67

服务：bootstrap protocol server

说明：通过dsl和cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向dhcp服务器请求一个地址。hacker常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man－in－middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的ip地址。

& F0 {+ E3 @4 h3 Y1 v u9 \' m+ | Y/ Q: T( N4 J* d: z) q: d9 x

. l+ E ?( v1 ?( e% |

端口：69

服务：trival file transfer

说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 ; i4 o4 U2 D. H+ M4 [+ ~/ }) b& E0 Y/ K8 c

端口：79

服务：finger server

说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器finger扫描。

( L- g8 ]7 t Q b0 i6 K0 k6 O3 a# M. @) o$ s* l

, Q" C' Z" x# D" Z2 g

端口：80

服务：http

说明：用于网页浏览。木马executor开放此端口。

端口：99

服务：metagram relay 4 l. Y5 w( U: `: K

说明：后门程序ncx99开放此端口。

8 {2 A& h% A+ P8 F" M

端口：102

服务：message transfer agent(mta)－x.400 over tcp/ip

说明：消息传输代理。

6 o4 e3 ?) Q5 T- {4 j3 O& e' G: h7 c( ^- x. _

端口：109

服务：post office protocol －version3

说明：pop3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。pop3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口：110

服务：sun公司的rpc服务所有端口

说明：常见rpc服务有rpc.mountd、nfs、rpc.statd、rpc.csmd、rpc.ttybd、amd等

端口：113

服务：authentication service

说明：这是一个许多计算机上运行的协议，用于鉴别tcp连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是ftp、pop、imap、smtp和irc等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与e－mail服务器的缓慢连接。许多防火墙支持tcp连接的阻断过程中发回rst。这将会停止缓慢的连接。

端口：119

服务：network news transfer protocol

说明：news新闻组传输协议，承载usenet通信。这个端口的连接通常是人们在寻找usenet服务器。多数isp限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。

端口：135

服务：本地 service

说明：microsoft在这个端口运行dce rpc end－point mapper为它的dcom服务。这与unix 111端口的功能很相似。使用dcom和rpc的服务利用计算机上的end－point mapper注册它们的位置。远端客户连接到计算机时，它们查找end－point mapper找到服务的位置。hacker扫描计算机的这个端口是为了找到这个计算机上运行exchange server吗？什么版本？还有些dos攻击直接针对这个端口。

2 w% K# v2 Y5 n. U- G# r6 H% n) v6 U. f6 l/ D& }# W) f! i5 w' h; T0 C7 U9 U+ ?1 X5 s7 h# W, h @" y5 S4 v/ [# x! p: J$ v5 g8 q/ j( |1 H& ]8 \2 l& n% Q. A1 {! c! b j: X4 }1 {: T3 x; h2 C& h4 n. D0 g% B' A& l& O. ?0 w& x

端口：137、138、139

服务：netbios name service

说明：其中137、138是udp端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得netbios/smb服务。这个协议被用于windows文件和打印机共享和samba。还有wins regisrtation也用它。

) A5 S5 u! p% A Z, o5 W# P5 M! V$ u. Y+ z

端口：143

服务：interim mail access protocol v2

说明：和pop3的安全问题一样，许多imap服务器存在有缓冲区溢出漏洞。记住：一种linux蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当redhat在他们的linux发布版本中默认允许imap后，这些漏洞变的很流行。这一端口还被用于imap2，但并不流行。

6 X9 o. M8 g( }3 c* ?# z! T3 r# U" W8 ]7 f6 i0 o& g1 ^4 M' A3 Y

端口：161

服务：snmp

说明：snmp允许远程管理设备。所有配置和运行信息的储存在数据库中，通过snmp可获得这些信息。许多管理员的错误配置将被暴露在internet。cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。snmp包可能会被错误的指向用户的网络。

端口：177

服务：x display manager control protocol

说明：许多入侵者通过它访问x－windows操作台，它同时需要打开6000端口。

& A2 E. D# `& x0 n- G! l+ E9 R1 R Q% e3 T% {; w' M; L( W! ]" z1 l) v, P) }0 b ?% N+ |* }+ [

/ W% w" A, ?, t+ e% R# d1 E1 G( U

端口：389

服务：ldap、ils

说明：轻型目录访问协议和netmeeting internet locator server共用这一端口。

; |* x8 g8 c! [ F3 t- u9 e9 v1 h! e

端口：443

服务：https

说明：网页浏览端口，能提供加密和通过安全端口传输的另一种http。

端口：456

服务：【null】

说明：木马hackers paradise开放此端口。

端口：513

服务：login,remote login

说明：是从使用cable modem或dsl登陆到子网中的unix计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

端口：544

服务：【null】

说明：kerberos kshell

. R! Y0 [. v" i1 G$ x1 b8 |3 \/ q( D3 J! ?5 Z, o/ M7 n; a. N; m& I5 `6 {- V: n& e$ u$ }% b4 k_- B4 T7 ]: t1 o" E6 ~+ h+ _* _) H. e! R# M1 X) K( i# Q7 N+ I8 I. j4 V0 `# ^9 C" S0 V R* H8 A; Q

端口：548

服务：macintosh,file services(afp/ip)

说明：macintosh,文件服务。

端口：553 . x/ M: w! H4 u. u7 U7 g4 m& H& K8 V" U7 _9 1 g# O0 }

服务：corba iiop （udp）

说明：使用cable modem、dsl或vlan将会看到这个端口的广播。corba是一种面向对象的rpc系统。入侵者可以利用这些信息进入系统。

端口：555

服务：dsf

说明：木马phase1.0、stealth spy、inikiller开放此端口。

端口：568

服务：membership dpa

说明：成员资格 dpa。

端口：569

服务：membership msn

说明：成员资格 msn。

9 p0 n8 b5 ^7 P% ?2 ?4 U* @4 X s" i) x6 l0 m6 T% b! Z' C- u; o% L/ U: Q6 s' S+ J4 n3 ~: e ]0 X

' j( z" r9 {! x9 Y0 J X

端口：635

服务：mountd

说明：linux的mountd bug。这是扫描的一个流行bug。大多数对这个端口的扫描是基于udp的，但是基于tcp的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是linux默认端口是635，就像nfs通常运行于2049端口。

端口：636

服务：ldap

说明：ssl（secure sockets layer）

# {& n8 G* T) _& K! Z; T' ^/ 6 B0 K% j0 J$ H( e$ f

* V0 d4 l0 Y5 T; F8 q* O% J

端口：666

服务：doom id software

说明：木马attack ftp、satanz backdoor开放此端口

" q& d: T% ^/ ]5 q5 S- u# N0 @; i* [3 u$ r9 C2 g% z, c/ x) i

+ f6 O* t. S( k/ D- U( {& p) e

端口：993

服务：imap

说明：ssl（secure sockets layer）

端口：1001、1011

服务：【null】

说明：木马silencer、webex开放1001端口。木马doly trojan开放1011端口。

端口：1024

服务：reserved

说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开telnet，再打开一个窗口运行natstat －a 将* ]* `2 [0 z5 x: C& VV8 s$ v: {$ ^$ i: A+ A9 d" e( }$ ]

会看到telnet被分配1024端口。还有sql session也用此端口和5000端口。

端口：1025、1033

服务：1025：network blackjack 1033：【null】

说明：木马netspy开放这2个端口。

端口：1080

服务：socks

说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个ip地址访问internet。理论上它应该只允许内部的通信向外到达internet。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。wingate常会发生这种错误，在加入irc聊天室时常会看到这种情况。

端口：1170

服务：【null】

说明：木马streaming audio trojan、psyber stream server、voice开放此端口。

端口：1234、1243、6711、6776

服务：【null】

说明：木马subseven2.0、ultors trojan开放1234、6776端口。木马subseven1.0/1.9开放1243、6711、6776端口。

2 c$ ^, M5 n3 ^. x/ w/ _5 ~+ r% L% d e! |' a9 [$ @) P2 w/ m; B" w( p! U/ W. }0 `2 q9 N3 S6 ?4 U f9 }. t* e& P$ G. q3 x6 R2 t1 {0 f0 Q' S/ ^# l6 Y% m) _: K. T* w7 j" _$ _! v+ X; \) ?# A2 N5 O: N$ O5 c, F2 `1 d. K# w1 H K

端口：1245

服务：【null】

说明：木马vodoo开放此端口。

端口：1433

服务：sql

说明：microsoft的sql服务开放的端口。

端口：1492

服务：stone－design－1

说明：木马ftp99cmp开放此端口。

) o) i X x7 T W! }: m& F7 d# W( p! ]3 I% t; A( \, {1 v% i7 e6 u8 M+ P; R0 s4 Y1 ]" S8 b5 J {8 h: ]' T, j6 X2 j; a9 y

端口：1500

服务：rpc client fixed port session queries

说明：rpc客户固定端口会话查询

$ U. m% m& G0 j+ i0 o$ R; C9 d( H' r5 W ~ B c: U6 F# [* T2 j: @' f3 W

端口：1503

服务：netmeeting t.120

说明：netmeeting t.120

, g4 z& L- q" R6 M* H' g

端口：1524

服务：ingress

说明：许多攻击脚本将安装一个后门shell于这个端口，尤其是针对sun系统中sendmail和

rpc服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试telnet到用户的计算机上的这个端口，看看它是否会给你一个shell。连接到600/pcserver也存在这个问题。

; L, _0 M8 r8 W2 y9 Q3 k5 p

' l/ W8 M1 m1 N. ]0 \, w7 Q

端口：1600

服务：issd

说明：木马shivka－burka开放此端口。

" T( W) y5 V* ]# d0 S" C9 j0 ^1 f8 ]0 ~% h

端口：1720

服务：netmeeting

说明：netmeeting h.233 call setup。

$ E. [/ Y3 v2 s- ^$ O& g6 H$ u5 i* w# ^) b8 D0 B3 b! X5 j/ [% U5 i" {

1 X; l! A; V) {) K- ^! V

端口：1731

服务：netmeeting audio call control

说明：netmeeting音频调用控制。

; Q9 ]6 ?: Q" p+ Z

6 {9 Z" y" v: B$ m% J) G# U% F- f: @" N

端口：1807

服务：【null】

说明：木马spysender开放此端口。

2 c# R. T- m; J3 Y6 h& d, , Z _7 S7 c7 n7 Q% Z" `9 z% E3 l& }) B5 Y# ?% |! j, s8 T! j5 h+ `5 u1 V) `5 `( g; i1 U( |4 e

端口：1981

服务：【null】

说明：木马shockrave开放此端口。

1 }8 I2 \; T4 L7 ]7 U# d, i7 G4 y' I1 G* Y: J; K0

端口：1999

服务：cisco identification port

说明：木马backdoor开放此端口。

2 @- J: x) g. a, Z# t8 t9 H. W2 Y: \ \' I" Z m

端口：2000

服务：【null】

说明：木马girlfriend 1.3、millenium 1.0开放此端口。

- g) X2 kR+ z# \! w$ f( R& X( {5 r( e* ]# W. t3 U+ W1 O2 r% a7 ^( S# c* f

端口：2001

服务：【null】

说明：木马millenium 1.0、trojan cow开放此端口。

端口：2023

服务：xinuexpansion 4

说明：木马pass ripper开放此端口。

端口：2049

服务：nfs

说明：nfs程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口。 : ]" `2 r1 i$ V+ ]! M( ]& @( Y9 3 W9 M: U$ ~% G' z2 F! _

端口：2115

服务：【null】

说明：木马bugs开放此端口。

端口：2140、3150

服务：【null】

说明：木马deep throat 1.0/3.0开放此端口。

" R/ o; m7 L1 D- r( i1 L9 y8 }: t7 A' r9 ^2 ^* N a1 k" K1 {5 ~/ {. d( v4 D; [

7 H9 ?0 `% H0 {- |0 Q4 r2 e/ Q# ^1 c 端口：2500

服务：rpc client using a fixed port session replication

说明：应用固定端口会话复制的rpc客户

) ~$ Y; P1 m' U8 ^( r2 h

6 _' x- D# D8 n0 h" s# Y% i

端口：2583

服务：【null】

说明：木马wincrash 2.0开放此端口。

' w5 @9 t) e7 _! ?% ]$ ^- M: V) j: X# W

端口：2801

服务：【null】

说明：木马phineas phucker开放此端口。

: S5 P7 }2 E2 W) z3 j' ?( Y) M1 [& D

端口：3024、4092

服务：【null】

说明：木马wincrash开放此端口。

8 K* c5 g( Y5 I1 I8 c- g8 C1 e) e% |: F! A1 ]6 `0 w2 I. h4 P8 P0 p0 x% y

# ~' J9 H8 b. \, A

端口：3128

服务：squid

说明：这是squid http代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。

端口：3129

服务：【null】

说明：木马master paradise开放此端口。

端口：3150

服务：【null】

说明：木马the invasor开放此端口。

端口：3210、4321

服务：【null】

说明：木马schoolbus开放此端口

, W R( x7 ` T/ p- A0 ^5 n4 b4 w; l, t) Y8 d+ E& Z% p0 c ~* s* a% E" G! H/ |! q/ G! p3 N. X$ P9 y2 _' e; y7 m2 [ R7 }: J- q$ }" ! \& E4 j5 _/ a2 ?( h$ V* i; {

' X' d6 ]0 H- n8 I/ J( ~% C6 t# {

端口：3333

服务：dec－notes

说明：木马prosiak开放此端口

端口：3389

服务：超级终端

说明：windows 2000终端开放此端口。

1 kR% O0 @8 h6 0 P' p. i2 a F' s! J# y1 a1 o; j& r

端口：3700

服务：【null】

说明：木马portal of doom开放此端口

端口：3996、4060

服务：【null】

说明：木马remoteanything开放此端口

端口：4000

服务：qq客户端

说明：腾讯qq客户端开放此端口。

3 {8 K9 a& g/ C* s8 N! X1 `0 d/ G- y. M1 l: w2 c* A0 i: b& b& t8 p! r+ r3 ]8 ]6 K5 V9 [- b( Z0 v2 o0 K3 {4 b, ?1 Q* J, w# u4 k$ q' N( l7 V& ]/ q5 I# H% s m* n0 |

端口：4092

服务：【null】

说明：木马wincrash开放此端口。

8 e, r( m( @! K#

端口：4590

服务：【null】

说明：木马icqtrojan开放此端口。

端口：5000、5001、5321、50505

服务：【null】

说明：木马blazer5开放5000端口。木马sockets de troie开放5000、5001、5321、50505端口。

/ X" W6 `3 P; w I3 p6 R1 z: V$ M& M+ C3 E& D0 `+ q3 C/ i; ?/ D$ N6 P. h5 `2 \" ~1 G6 g7 G1 M

/ B x8 p1 _8 M& @

端口：5400、5401、5402

服务：【null】

说明：木马blade runner开放此端口。

9 W+ x! s9 e E4 R. x" u6 J' t( R/ t$ I" Z/ a |. w' X8 S

端口：5550

服务：【null】

说明：木马xtcp开放此端口。

端口：5569

服务：【null】

说明：木马robo－hack开放此端口。 5 o7 n% Y3 S& p( t" [. w+ U% Q: m4 O" n- W! ]

端口：5632

服务：pcanywere

说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcanywere时，它会自动扫描局域网c类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcanywere的扫描包常含端口22的udp数据包。

z+ B! z! W! j6 H3 p) H1 K2 G/ H2 u' \) L* |

0 L% G+ u7 Q* f9 n- e6 B

端口：5742

服务：【null】

说明：木马wincrash1.03开放此端口。

端口：6267

服务：【null】

说明：木马广外女生开放此端口。

端口：6400

服务：【null】

说明：木马the thing开放此端口。

# }& o; \$ @1 |% M5 l& P. f, O9 }7 k6 T* \! v$ |1 e+ [2 ]. r) A' }# j5 e1 i4 c' \- H9 S6 C0 f7 W) I/ t0 W0 ^) ]

端口：6670、6671

服务：【null】

说明：木马deep throat开放6670端口。而deep throat 3.0开放6671端口。

端口：6883

服务：【null】

说明：木马deltasource开放此端口。

端口：6969

服务：【null】

说明：木马gatecrasher、priority开放此端口。

7 |+ X' B2 a3 R4 `5 }( P7 r( }& ?( g8 T1 `6 j, o; j/ O+ ^. Z4 `% o' I' Y& l) K+ ~: x, t! u; j1 |+ ?& V

0 T4 |' X& M8 |2 _) T; ?: J- Z; P$ Y, \: g) I" q4 x

端口：6970

服务：realaudio

说明：realaudio客户将从服务器的6970－7170的udp端口接收音频数据流。这是由tcp－7070端口外向控制连接设置的。

端口：7000

服务：【null】

说明：木马remote grab开放此端口。

. \5 s- |5 n& r' K0 i" X1 X1 ^7 q$ ^( @- C. E4 m4 C" q+ T, 4 F3 I5 ( c% `% l8 @0 m: H6 u1 ]8 J0 g' j, R- Z0 u9 `' X

5 f% a/ @/ ~ |5 F

端口：7300、7301、7306、7307、7308

服务：【null】

说明：木马netmonitor开放此端口。另外netspy1.0也开放7306端口。

4 f2 W; m. @. {' k0 ^. t# O, S, d! b k! W5 W, x" y; O4 U8 I. Z

端口：7323

服务：【null】

说明：sygate服务器端。

8 W e( e' s# K* {( s/ U- Z% z; P7 z6 u" 5 U. K7 [; f3 x9 p+ A! r$ o! {/ y, t' s* Q% J4 Y

端口：7626

服务：【null】

说明：木马giscier开放此端口。

( [( k; i6 [7 z

端口：7789

服务：【null】

说明：木马ickiller开放此端口。

端口：8000

服务：oicq

说明：腾讯qq服务器端开放此端口。

) U- \" T8 J# j! Y8 e) U; `( D# ]7 H& f$ e8 y% V3 _$ c% U2 O+ U" G7 O* W* Z2 W

端口：8010

服务：wingate

说明：wingate代理开放此端口。

端口：8080

服务：代理端口

说明：www代理开放此端口。

8 B- m# H! W8 n9 O; ^& H: ~8 _$ a, I4 v% S7

! U! |; ?" Y3 I. o0

端口：9400、9401、9402

服务：【null】

说明：木马incommand 1.0开放此端口。 , \, Z, H4 M3 O6 z0 ]" e( R" L' }% t/ W, t, T$ ^* N: h5 q6 @! Q3 i& ], k3 f" G4 H

端口：9872、9873、9874、9875、10067、10167 服务：【null】

说明：木马portal of doom开放此端口。 . l0 ]4 L Z6 T1 r, |: c3 ^9 i/ n# n: A: F; E7 m9 ]

端口：9989

端口：9989

服务：【null】

说明：木马ini－killer开放此端口。

端口：11000

服务：【null】

说明：木马sennaspy开放此端口。

端口：11223

服务：【null】

说明：木马progenic trojan开放此端口。 ' N% [+ g$ p2 p/ h% d) z' u" ^- k: m$ {# i* W' S& R& E0 `, w- H) J6 @3 ]$ R# U% i O; x6 `5 y1 j$ ]

端口：12076、61466

服务：【null】

说明：木马telecommando开放此端口。

端口：12223

服务：【null】

说明：木马hack? keylogger开放此端口。

" I/ F) u! u7 t8 Q# ~. F* F7 }1 ]+ t$ R8 c5 r( W* ^

端口：12345、12346

服务：【null】

说明：木马netbus1.60/1.70、gabanbus开放此端口。

端口：12361

服务：【null】

说明：木马whack－a－mole开放此端口。

8 l N9 ' `' T, p3 K4 ?6 U& u+ v) {: M, j7 y' l% I8 f1 E) i5 U8 v$ `) V6 Z2 l/ h3 I4 g, n% F: w- Y2 d! c! N$ _$ g

端口：13223

服务：powwow

说明：powwow是tribal voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个tcp端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了ip地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用opng作为其连接请求的前4个字节。

端口：16969

服务：【null】

说明：木马priority开放此端口。

端口：17027

服务：conducent

说明：这是一个外向连接。这是由于公司内部有人安装了带有conducent\"adbot\"的共享软件。conducent\"adbot\"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是pkware。

1 Z# D$ X, F7 B/ H+ h" ^) m. P2 @ ?1 A" R" d+ }$ B4 R; l1 V D2 Q6 g& X2 H+ ]( ?- p5 [6 J+ R% }2 }* ^2 M# I5 ]2 x* L6 k, x) z; @4 G, i- * ?* J

$ P! u3 F7 `' n: j; o% @+ F- M

端口：19191

服务：【null】

说明：木马蓝色火焰开放此端口。

端口：20000、20001

服务：【null】

说明：木马millennium开放此端口。

端口：20034

服务：【null】 7 y. M" s3 S2 x k3 Q+ \' d( L# N" f2 B+ \- t, N; g, c: Z7 D9 f! t$ h$ Y* y. R+ M: B4 ]" o! v; W1 d

说明：木马netbus pro开放此端口。 4 z2 T! [! ^1 D

8 m2 I* q) w! a. }6 d; {7 W

端口：21554 k2 w8 m, _( g, r/ w

服务：【null】

说明：木马girlfriend开放此端口。 5 i" a& N W0 ^. {- g* c

端口：22222 $ T& S* \8 A* w( l0 m

服务：【null】 ! e1 |8 o: O6 i* G" r) y. {

说明：木马prosiak开放此端口。 c0 h( D% o" l i4 M) u4 `! x

; D: U' t! S. e7 L1 L9 |( v

端口：23456 ' ^# j6 U: Q' p& U) z

服务：【null】

说明：木马evil ftp、ugly ftp开放此端口。 ( A( q: M, V; f" v' b& N

" I3 m! b' X# @, B N% S

端口：26274、47262

服务：【null】 # k! L/ 1 @0 V6 b% q5 b) D) X

说明：木马delta开放此端口。

8 j9 E# G7 N: |: M% f+ H5 T1

端口：27374

服务：【null】

说明：木马subseven 2.1开放此端口。 ; O2 D- F) c) ?0 S' f7 A8 r) t( y$ X

端口：30100 ) s# d& _2 P! S. ~' z

服务：【null】 8 \6 B: q5 D8 e9 Q% D* M1 ]

说明：木马netsphere开放此端口。

端口：30303 ) q+ o5 X- ^( Z. G. w5 s: a

服务：【null】

说明：木马socket23开放此端口。

' ]' H5 Q& a3 I

端口：30999

服务：【null】

说明：木马kuang开放此端口。 ' Y& ~" U5 R7 S- i. t(

端口：31337、31338

服务：【null】 & O2 d9 X5 `6 Z

说明：木马bo(back orifice)开放此端口。另外木马deepbo也开放31338端口。

端口：31339

服务：【null】

说明：木马netspy dk开放此端口。

端口：31666

服务：【null】

! K- a2 X5 m2 j% D. X, L( k. R. F% g

说明：木马bowhack开放此端口。

* v& L8 T$ f9 Q.

端口：33333

服务：【null】

说明：木马prosiak开放此端口。

h& q/ C& q# g1 D/ V4 \+ i2 W

端口：34324

服务：【null】

说明：木马tiny telnet server、biggluck、tn开放此端口。

端口：40412

服务：【null】

说明：木马the spy开放此端口。

端口：40421、40422、40423、40426、

服务：【null】

说明：木马masters paradise开放此端口。

% u. w, @( Z1 ^ m7 a' g- |% Z# O6 k# z4 1 } J# o; i2 ?+ S# L8 Q1 F+ g) M; |" _8 w4 Z$ Q8 f

- J2 O+ b# ]$ @0 q. g

端口：43210、54321

服务：【null】

说明：木马schoolbus 1.0/2.0开放此端口。

端口：44445

服务：【null】

说明：木马happypig开放此端口。

* z S" q6 i1 V; t

0 k& B( h6 T+ P3 y! v( N4 D4 X" L) w \7 e7 ^/ ~6 [& ^ 端口：50766

服务：【null】

说明：木马fore开放此端口。

端口：53001

服务：【null】

说明：木马remote windows shutdown开放此端口。

; P' a0 l1 z3 R6 N1 x- {4 P: L: z; D1 l% o% u C9 B [+ o( d$ y4 _4 h& e* }9 S) y% G' _% w( s: l# p8 }8

端口：65000

服务：【null】

说明：木马devil 1.03开放此端口。

% B! x# P! j9 Z, O. U0 U/ b$ o+ C! r

端口：88

说明：kerberos krb5。另外tcp的88端口也是这个用途。

3 w; t4 D9 W8 q2 ] v8 h. U) o( J" m6 m

! A& `; R. P( n) a2 j4 k; y

端口：137

说明：sql named pipes encryption over other protocols name lookup(其他协议名称查找上的sql A4 X" V8 [$ o

命名管道加密技术)和sql rpc encryption over other protocols name lookup(其他协议名称查找上的sql rpc加密技术)和wins netbt name service(wins netbt名称服务)和wins proxy都用这个端口。

9 D# G8 x2 o1 i6 A1 F# [+ o' c

端口：161

说明：simple network management protocol(smtp)（简单网络管理协议）。

端口：162

说明：snmp trap（snmp陷阱）

端口：445

说明：common internet file system(cifs)（公共internet文件系统）

端口：464

说明：kerberos kpasswd(v5)。另外tcp的464端口也是这个用途。

+ t$ z/ v J( {2 \, " B, W/ V2 J6 V9 j3 [5 ]0 u, l0 m' w$ v" ]3 T9 V8 T" O% |1 E( V4 W, a6 b, p+ n4

端口：500

说明：internet key exchange(ike)（internet密钥交换）

端口：1645、1812

说明：remot authentication dial－in user service(radius)authentication(routing and remote access)(远程认证拨号用户服务)

3 h, T9 ?/ Y5 h# z$ j! O6 f5 v# W" O& k6 G9 G0 % : {$ j2 D4 j# y# L" ^# Q( D" [) U

端口：1646、1813

说明：radius accounting(routing and remote access)(radius记帐（路由和远程访问）) : P% `/ a* Z+ ]"

端口：1701

说明：layer two tunneling protocol(l2tp)(第2层隧道协议)

& d' Y0 A% P9 " R& d0 }4 L" x3 d, @# g; S4 [+ z'

. b o7 s1 \. o1 |* T

端口：1801、3527

说明：microsoft message queue server(microsoft消息队列服务器)。还有tcp的135、1801、2101、2103、2105也是同样的用途。

* f+ x+ A% S4 a, h8 R1 A; Y

端口：2504

说明：network load balancing(网络平衡负荷) N7 e& m: @' X1 t# d9 W @) d% A% F. N