¿El más fuerte de la historia? De 0 a 33600 Detalles de puerto lógico (5)

Puertos de red comunes (Completo)

553 CORBA IIOP (UDP) Si utiliza un módem por cable o una VLAN DSL, verá una transmisión de este puerto. CORBA es un sistema RPC (llamada a procedimiento remoto) orientado a objetos. Hacker utilizará esta información para ingresar al sistema.

600 Pcserver backdoor Consulte el puerto 1524.
Algunos niños que ejecutan secuencias de comandos creen que han comprometido completamente el sistema al modificar los archivos ingreslock y pcserver, Alan J. Rosenthal.

635 mountd Linux mountd Bug. Este es un error popular que la gente escanea. La mayoría de las exploraciones de este puerto se basan en UDP, pero el mountd basado en TCP ha aumentado (mountd se ejecuta en ambos puertos simultáneamente). Recuerde, mountd puede ejecutarse en cualquier puerto (en qué puerto está, debe realizar la consulta de portmap en el puerto 111), pero el valor predeterminado de Linux es el puerto 635, al igual que NFS generalmente se ejecuta en el puerto 2049.

1024 Muchas personas preguntan qué hace este puerto. Es el comienzo de un puerto dinámico. A muchos programas no les importa qué puerto usar para conectarse a la red, le piden al sistema operativo que les asigne el "siguiente puerto inactivo". Basado en esta asignación, comenzando en el puerto 1024. Esto significa que al primer programa que solicita un puerto dinámico al sistema se le asignará el puerto 1024. Para verificar esto, puede reiniciar la máquina, abrir Telnet, abrir una ventana y ejecutar "natstat -a", y verá que a Telnet se le asignan 1024 puertos. Cuantos más programas solicites, más dinámicos serán los puertos. El puerto asignado por el sistema operativo se hará más grande gradualmente. Nuevamente, cuando navega por la página web, busque "netstat" y cada página web necesita un nuevo puerto.

1025,1026 See 1024

1080 SOCKS Este protocolo se abre paso a través del firewall, permitiendo que muchas personas detrás del firewall accedan a Internet a través de una dirección IP. En teoría solo debería permitir que la comunicación interna llegue a internet. Pero debido a la configuración incorrecta, permitirá que los ataques de Hacker /Cracker fuera del firewall pasen a través del firewall. O simplemente responda a las computadoras en Internet para cubrir sus ataques directos contra usted. WinGate es un cortafuegos personal de Windows común, y las configuraciones erróneas anteriores a menudo ocurren. Este es a menudo el caso cuando se une a una sala de chat IRC.

1114 El sistema SQL en sí rara vez escanea este puerto, pero a menudo es parte del script sscan.

1243 Sub-7 Trojan (TCP)

1524 ingreslock Backdoor Muchos scripts de ataque instalarán un shell de puerta trasera en este puerto (especialmente los de las vulnerabilidades del servicio de sendmail y RPC en los sistemas Sun) Scripts como statd, ttdbserver y cmsd). Si acaba de instalar su firewall y ve un intento de conexión en este puerto, probablemente sea la razón anterior. Puede probar Telnet a este puerto en su máquina para ver si le dará un shell. Este problema también existe cuando se conecta a 600 /pcserver.

2049 NFS Los programas NFS a menudo se ejecutan en este puerto. Por lo general, debe acceder al portmapper para consultar en qué puerto se está ejecutando el servicio, pero en la mayoría de los casos, después de la instalación, NFS se ejecuta en este puerto, y Hacker /Cracker puede cerrar el portmapper y probar el puerto directamente.

3128 squid Este es el puerto predeterminado para el servidor proxy HTTP de Squid. El atacante exploró este puerto para acceder a Internet de forma anónima para buscar un servidor proxy. También verá el puerto para buscar otros servidores proxy: 8000/8001/8080/8888. Otra razón para escanear este puerto es que el usuario ingresa a la sala de chat. Otros usuarios (o el propio servidor) también verificarán este puerto para determinar si la máquina del usuario admite el proxy.

5632 pcAnywere Verá muchos escaneos de este puerto, dependiendo de dónde se encuentre. Cuando el usuario abre pcAnywere, escanea automáticamente la red LAN Clase C en busca de posibles agentes (traductor: se refiere al agente en lugar de al proxy). Hacker /cracker también buscará las máquinas que abren este servicio, por lo que debe consultar la dirección de origen de este análisis. Algunas exploraciones que buscan pcAnywere a menudo contienen paquetes UDP para el puerto 22.

6776 artefacto Sub-7 Este puerto es un puerto para transferir datos desde el puerto maestro de Sub-7. Por ejemplo, cuando el controlador controla otra máquina a través de la línea telefónica y la máquina controlada cuelga, verá esto. Entonces, cuando otra persona marca con esta IP, verá un intento de conexión persistente en este puerto.
(Traductor: Cuando vea que el firewall informa este intento de conexión de puerto, no significa que haya sido controlado por Sub-7.)

6970 RealAudio Los clientes de RealAudio recibirán del puerto UDP 6970-7170 del servidor Secuencia de datos de audio. Esto se establece mediante la conexión de control saliente del puerto TCP7070.

13223 PowWow PowWow es un programa de chat para Tribal Voice. Permite a los usuarios abrir conexiones de chat privadas en este puerto. Este procedimiento es muy "ofensivo" para establecer una conexión. Se "mantendrá" en este puerto TCP y esperará una respuesta. Esto crea un intento de conexión similar al intervalo de latido. Si usted es un usuario de acceso telefónico, se "heredará" la dirección IP de otra charla: parece que muchas personas diferentes están probando este puerto. Este protocolo utiliza "OPNG" como los primeros cuatro bytes de su intento de conexión.

17027 Conducent Esta es una conexión saliente. Esto se debe al hecho de que alguien ha instalado shareware con "adbot" de Conducent dentro de la empresa. Conducent "adbot" es un servicio de visualización para compartir software. Un software popular para usar este servicio es Pkware. Alguien experimentó: el bloqueo de esta conexión saliente no sería un problema, pero el bloqueo de la dirección IP en sí causaría que los adbots continúen conectándose varias veces por segundo y la conexión se sobrecargue:
La máquina intentará constantemente resolver el nombre DNS: Ads.conducent.com, es decir, la dirección IP 216.33.1210.40; 216.33.199.77; 216.33.199.80; 216.33.199.81; 216.33.210.41.
(Traductor: No sé si Radient utilizado por NetAnts también tiene este fenómeno)

27374 Trojan Sub-7 (TCP)

30100 Trojan NetSphere (TCP) Por lo general, este puerto se escanea para encontrar En el troyano NetSphere.

31337 Atrás Orificio "elite" Hacker 31337 leído "elite" /ei'li: t /(Traductor: francés, traducido como la columna vertebral, esencia. Eso es 3 = E, 1 = L, 7 = T). Tantos programas de puerta trasera se ejecutan en este puerto. El más famoso de estos es Back Orifice. Este fue el escaneo más común en Internet por un tiempo. Ahora se está volviendo cada vez menos popular, y otros troyanos se están volviendo más y más populares.

31789 Hack-a-tack La comunicación UDP de este puerto generalmente se debe al troyano de acceso remoto "Hack-a-tack" (RAT, troyano de acceso remoto). Este troyano contiene un escáner de puertos 31790 incorporado, por lo que cualquier conexión desde el puerto 31789 al puerto 317890 significa que ya existe tal intrusión.
(31789 puerto es la conexión de control, 317890 puerto es la conexión de transferencia de archivos)

32770 ~ 32900 RPC servicio El servicio Sun Solaris RPC está en este rango. En detalle: las versiones anteriores de Solaris (antes de la versión 2.5.1) colocan portmapper en este rango, permitiendo que Hacker /cracker acceda a este puerto incluso si el puerto bajo está bloqueado por un firewall. La exploración de puertos en este rango no es para encontrar un portmapper, o para encontrar un servicio RPC conocido que pueda ser atacado.

33434 ~ 33600 traceroute Si ve paquetes UDP en este rango de puerto (y solo dentro de este rango) puede deberse a traceroute.