有過(guò)一些黑客攻擊方面知識(shí)的讀者都會(huì)知道，其實(shí)那些所謂的黑客并不是像人們想象那樣從天而降，而是實(shí)實(shí)在在從您的計(jì)算機(jī)"大門(mén)"中自由出入。計(jì)算機(jī)的"大門(mén)"就是我們平常所說(shuō)的"端口"，它包括計(jì)算機(jī)的物理端口，如計(jì)算機(jī)的串口、并口、輸入/輸出設(shè)備以及適配器接口等（這些端口都是可見(jiàn)的），但更多的是不可見(jiàn)的軟件端口，在本文中所介紹的都是指"軟件端口"，但為了說(shuō)明方便，仍統(tǒng)稱(chēng)為"端口"。本文僅就端口的基礎(chǔ)知識(shí)進(jìn)行介紹，

　　一、端口介紹

    隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，原來(lái)物理上的接口（如鍵盤(pán)、鼠標(biāo)、網(wǎng)卡、顯示卡等輸入/輸出接口）已不能滿足網(wǎng)絡(luò)通信的要求，TCP/IP協(xié)議作為網(wǎng)絡(luò)通信的標(biāo)準(zhǔn)協(xié)議就解決了這個(gè)通信難題。TCP/IP協(xié)議集成到操作系統(tǒng)的內(nèi)核中，這就相當(dāng)于在操作系統(tǒng)中引入了一種新的輸入/輸出接口技術(shù)，因?yàn)樵赥CP/IP協(xié)議中引入了一種稱(chēng)之為"Socket（套接字）"應(yīng)用程序接口。有了這樣一種接口技術(shù)，一臺(tái)計(jì)算機(jī)就可以通過(guò)軟件的方式與任何一臺(tái)具有Socket接口的計(jì)算機(jī)進(jìn)行通信。端口在計(jì)算機(jī)編程上也就是"Socket接口"。

　　有了這些端口后，這些端口又是如何工作呢？例如一臺(tái)服務(wù)器為什么可以同時(shí)是Web服務(wù)器，也可以是FTP服務(wù)器，還可以是郵件服務(wù)器等等呢？其中一個(gè)很重要的原因是各種服務(wù)采用不同的端口分別提供不同的服務(wù)，比如：通常TCP/IP協(xié)議規(guī)定Web采用80號(hào)端口，F(xiàn)TP采用21號(hào)端口等，而郵件服務(wù)器是采用25號(hào)端口。這樣，通過(guò)不同端口，計(jì)算機(jī)就可以與外界進(jìn)行互不干擾的通信。

　　據(jù)專(zhuān)家們分析，服務(wù)器端口數(shù)最大可以有65535個(gè)，但是實(shí)際上常用的端口才幾十個(gè)，由此可以看出未定義的端口相當(dāng)多。這是那么多黑客程序都可以采用某種方法，定義出一個(gè)特殊的端口來(lái)達(dá)到入侵的目的的原因所在。為了定義出這個(gè)端口，就要依靠某種程序在計(jì)算機(jī)啟動(dòng)之前自動(dòng)加載到內(nèi)存，強(qiáng)行控制計(jì)算機(jī)打開(kāi)那個(gè)特殊的端口。這個(gè)程序就是"后門(mén)"程序，這些后門(mén)程序就是常說(shuō)的木馬程序。簡(jiǎn)單的說(shuō)，這些木馬程序在入侵前是先通過(guò)某種手段在一臺(tái)個(gè)人計(jì)算機(jī)中植入一個(gè)程序，打開(kāi)某個(gè)（些）特定的端口，俗稱(chēng)"后門(mén)"（BackDoor），使這臺(tái)計(jì)算機(jī)變成一臺(tái)開(kāi)放性極高（用戶擁有極高權(quán)限）的FTP服務(wù)器，然后從后門(mén)就可以達(dá)到侵入的目的。

    二、端口的分類(lèi)

    端口的分類(lèi)根據(jù)其參考對(duì)象不同有不同劃分方法，如果從端口的性質(zhì)來(lái)分，通�？梢苑譃橐韵氯�類(lèi)：

　�。�1）公認(rèn)端口（Well Known Ports）：這類(lèi)端口也常稱(chēng)之為"常用端口"。這類(lèi)端口的端口號(hào)從0到1024，它們緊密綁定于一些特定的服務(wù)。通常這些端口的通信明確表明了某種服務(wù)的協(xié)議，這種端口是不可再重新定義它的作用對(duì)象。例如：80端口實(shí)際上總是HTTP通信所使用的，而23號(hào)端口則是Telnet服務(wù)專(zhuān)用的。這些端口通常不會(huì)像木馬這樣的黑客程序利用。為了使大家對(duì)這些常用端口多一些認(rèn)識(shí)，在本章后面將詳細(xì)把這些端口所對(duì)面應(yīng)的服務(wù)進(jìn)行列表，供各位理解和參考。

　�。�2） 注冊(cè)端口（Registered Ports）：端口號(hào)從1025到49151。它們松散地綁定于一些服務(wù)。也是說(shuō)有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其他目的。這些端口多數(shù)沒(méi)有明確的定義服務(wù)對(duì)象，不同程序可根據(jù)實(shí)際需要自己定義，如后面要介紹的遠(yuǎn)程控制軟件和木馬程序中都會(huì)有這些端口的定義的。記住這些常見(jiàn)的程序端口在木馬程序的防護(hù)和查殺上是非常有必要的。常見(jiàn)木馬所使用的端口在后面將有詳細(xì)的列表。

　�。�3） 動(dòng)態(tài)和/或私有端口（Dynamic and/or Private Ports）：端口號(hào)從49152到65535。理論上，不應(yīng)把常用服務(wù)分配在這些端口上。實(shí)際上，有些較為特殊的程序，特別是一些木馬程序就非常喜歡用這些端口，因?yàn)檫@些端口常常不被引起注意，容易隱蔽。
　　如果根據(jù)所提供的服務(wù)方式的不同，端口又可分為"TCP協(xié)議端口"和"UDP協(xié)議端口" 兩種。因?yàn)橛?jì)算機(jī)之間相互通信一般采用這兩種通信協(xié)議。前面所介紹的"連接方式"是一種直接與接收方進(jìn)行的連接，發(fā)送信息以后，可以確認(rèn)信息是否到達(dá)，這種方式大多采用TCP協(xié)議；另一種是不是直接與接收方進(jìn)行連接，只管把信息放在網(wǎng)上發(fā)出去，而不管信息是否到達(dá)，也就是前面所介紹的"無(wú)連接方式"。這種方式大多采用UDP協(xié)議，IP協(xié)議也是一種無(wú)連接方式。對(duì)應(yīng)使用以上這兩種通信協(xié)議的服務(wù)所提供的端口，也就分為"TCP協(xié)議端口"和"UDP協(xié)議端口 "。

　　使用TCP協(xié)議的常見(jiàn)端口主要有以下幾種：

　 （1） FTP：定義了文件傳輸協(xié)議，使用21端口。常說(shuō)某某計(jì)算機(jī)開(kāi)了FTP服務(wù)便是啟動(dòng)了文件傳輸服務(wù)。下載文件，上傳主頁(yè)，都要用到FTP服務(wù)。

　 （2） Telnet：它是一種用于遠(yuǎn)程登陸的端口，用戶可以以自己的身份遠(yuǎn)程連接到計(jì)算機(jī)上，通過(guò)這種端口可以提供一種基于DOS模式下的通信服務(wù)。如以前的BBS是純字符界面的，支持BBS的服務(wù)器將23端口打開(kāi)，對(duì)外提供服務(wù)。

 �。�3） SMTP：定義了簡(jiǎn)單郵件傳送協(xié)議，現(xiàn)在很多郵件服務(wù)器都用的是這個(gè)協(xié)議，用于發(fā)送郵件。如常見(jiàn)的免費(fèi)郵件服務(wù)中用的就是這個(gè)郵件服務(wù)端口，所以在電子郵件設(shè)置中�？吹接羞@么SMTP端口設(shè)置這個(gè)欄，服務(wù)器開(kāi)放的是25號(hào)端口。

 �。�4） POP3：它是和SMTP對(duì)應(yīng)，POP3用于接收郵件。通常情況下，POP3協(xié)議所用的是110端口。也是說(shuō)，只要你有相應(yīng)的使用POP3協(xié)議的程序（例如Foxmail或Outlook），就可以不以Web方式登陸進(jìn)郵箱界面，直接用郵件程序就可以收到郵件（如是163郵箱就沒(méi)有必要先進(jìn)入網(wǎng)易網(wǎng)站，再進(jìn)入自己的郵箱來(lái)收信）。

　　使用UDP協(xié)議端口常見(jiàn)的有：

 �。�1） HTTP：這是大家用得最多的協(xié)議，它就是常說(shuō)的"超文本傳輸協(xié)議"。上網(wǎng)瀏覽網(wǎng)頁(yè)時(shí)，就得在提供網(wǎng)頁(yè)資源的計(jì)算機(jī)上打開(kāi)80號(hào)端口以提供服務(wù)。常說(shuō)"WWW服務(wù)"、"Web服務(wù)器"用的就是這個(gè)端口。

�。�2） DNS：用于域名解析服務(wù)，這種服務(wù)在Windows NT系統(tǒng)中用得最多的。因特網(wǎng)上的每一臺(tái)計(jì)算機(jī)都有一個(gè)網(wǎng)絡(luò)地址與之對(duì)應(yīng)，這個(gè)地址是常說(shuō)的IP地址，它以純數(shù)字+"."的形式表示。然而這卻不便記憶，于是出現(xiàn)了域名，訪問(wèn)計(jì)算機(jī)的時(shí)候只需要知道域名，域名和IP地址之間的變換由DNS服務(wù)器來(lái)完成。DNS用的是53號(hào)端口。

�。�3） SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，使用161號(hào)端口，是用來(lái)管理網(wǎng)絡(luò)設(shè)備的。由于網(wǎng)絡(luò)設(shè)備很多，無(wú)連接的服務(wù)就體現(xiàn)出其優(yōu)勢(shì)。

　（4） OICQ：OICQ程序既接受服務(wù)，又提供服務(wù)，這樣兩個(gè)聊天的人才是平等的。OICQ用的是無(wú)連接的協(xié)議，也是說(shuō)它用的是UDP協(xié)議。OICQ服務(wù)器是使用8000號(hào)端口，偵聽(tīng)是否有信息到來(lái)，客戶端使用4000號(hào)端口，向外發(fā)送信息。如果上述兩個(gè)端口正在使用（有很多人同時(shí)和幾個(gè)好友聊天），就順序往上加。

　　在計(jì)算機(jī)的6萬(wàn)多個(gè)端口，通常把端口號(hào)為1024以內(nèi)的稱(chēng)之為常用端口，這些常用端口所對(duì)應(yīng)的服務(wù)通常情況下是固定的。表1所列的都是服務(wù)器默認(rèn)的端口，不允許改變，一般通信過(guò)程都主要用到這些端口。

　　表1

　　另外代理服務(wù)器常用以下端口：

　�。�1）. HTTP協(xié)議代理服務(wù)器常用端口號(hào)：80/8080/3128/8081/9080

　�。�2）. SOCKS代理協(xié)議服務(wù)器常用端口號(hào)：1080

　�。�3）. FTP協(xié)議代理服務(wù)器常用端口號(hào)：21

　�。�4）. Telnet協(xié)議代理服務(wù)器常用端口：23像木馬之類(lèi)的黑客程序，就是通過(guò)對(duì)端口的入侵來(lái)實(shí)現(xiàn)其目的的。在端口的利用上，黑客程序通常有兩種方式，那就是"端口偵聽(tīng)"和"端口掃描"。

　　"端口偵聽(tīng)"與"端口掃描"是黑客攻擊和防護(hù)中經(jīng)常要用到的兩種端口技術(shù)，在黑客攻擊中利用它們可以準(zhǔn)確地尋找攻擊的目標(biāo)，獲取有用信息，在個(gè)人及網(wǎng)絡(luò)防護(hù)方面通過(guò)這種端口技術(shù)的應(yīng)用可以及時(shí)發(fā)現(xiàn)黑客的攻擊及一些安全漏洞。下面首先簡(jiǎn)單介紹一下這兩種端口技術(shù)的異同。

　　"端口偵聽(tīng)"是利用某種程序?qū)δ繕?biāo)計(jì)算機(jī)的端口進(jìn)行監(jiān)視，查看目標(biāo)計(jì)算機(jī)上有哪能些端口是空閑、可以利用的。通過(guò)偵聽(tīng)還可以捕獲別人有用的信息，這主要是用在黑客軟件中，但對(duì)于個(gè)人來(lái)說(shuō)也是非常有用的，可以用偵聽(tīng)程序來(lái)保護(hù)自己的計(jì)算機(jī)，在自己計(jì)算機(jī)的選定端口進(jìn)行監(jiān)視，這樣可以發(fā)現(xiàn)并攔截一些黑客的攻擊。也可以偵聽(tīng)別人計(jì)算機(jī)的指定端口，看是否空閑，以便入侵。

　　"端口掃描"（port scanning）是通過(guò)連接到目標(biāo)系統(tǒng)的TCP協(xié)議或UDP協(xié)議端口，來(lái)確定什么服務(wù)正在運(yùn)行，然后獲取相應(yīng)的用戶信息�，F(xiàn)在有許多人把"端口偵聽(tīng)"與 "端口掃描"混為一談，根本分不清什么樣的情況下要用偵聽(tīng)技術(shù)，什么樣的情況下要用掃描技術(shù)。不過(guò)，現(xiàn)在的這類(lèi)軟件也似乎對(duì)這兩種技術(shù)有點(diǎn)模糊了，有的干脆把兩個(gè)功能都集成在一塊。

　　"端口偵聽(tīng)"與"端口掃描"有相似之處，也有區(qū)別的地方，相似的地方是都可以對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行監(jiān)視，區(qū)別的地方是"端口偵聽(tīng)"屬于一種被動(dòng)的過(guò)程，等待別人的連接的出現(xiàn)，通過(guò)對(duì)方的連接才能偵聽(tīng)到需要的信息。在個(gè)人應(yīng)用中，如果在設(shè)置了當(dāng)偵聽(tīng)到有異常連接立即向用戶報(bào)告這個(gè)功能時(shí)，就可以有效地偵聽(tīng)黑客的連接企圖，及時(shí)把駐留在本機(jī)上的木馬程序清除掉。這個(gè)偵聽(tīng)程序一般是安裝在目標(biāo)計(jì)算機(jī)上。用在黑客中的"端口偵聽(tīng)"通常是黑客程序駐留在服務(wù)器端等待服務(wù)器端在進(jìn)行正�；顒�(dòng)時(shí)捕獲黑客需要的信息，然后通過(guò)UDP協(xié)議無(wú)連接方式發(fā)出去。而"端口掃描"則是一種主動(dòng)過(guò)程，它是主動(dòng)對(duì)目標(biāo)計(jì)算機(jī)的選定端口進(jìn)行掃描，實(shí)時(shí)地發(fā)現(xiàn)所選定端口的所有活動(dòng)（特別是對(duì)一些網(wǎng)上活動(dòng)）。掃描程序一般是安裝在客戶端，但是它與服務(wù)器端的連接也主要是通過(guò)無(wú)連接方式的UDP協(xié)議連接進(jìn)行。

　　在網(wǎng)絡(luò)中，當(dāng)信息進(jìn)行傳播的時(shí)候，可以利用工具，將網(wǎng)絡(luò)接口設(shè)置在偵聽(tīng)的模式，便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到，從而進(jìn)行攻擊。端口偵聽(tīng)在網(wǎng)絡(luò)中的任何一個(gè)位置模式下都可實(shí)施進(jìn)行，而黑客一般都是利用端口偵聽(tīng)來(lái)截取用戶口令。

　　四、端口偵聽(tīng)原理

    以太網(wǎng)（Ethernet）協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有計(jì)算機(jī)。在包頭中包括有應(yīng)該接收數(shù)據(jù)包的計(jì)算機(jī)的正確地址，因?yàn)橹挥信c數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)計(jì)算機(jī)才能接收到信息包。但是當(dāng)計(jì)算機(jī)工作在偵聽(tīng)模式下，不管數(shù)據(jù)包中的目標(biāo)物理地址是什么，計(jì)算機(jī)都將可以接收到。當(dāng)同一網(wǎng)絡(luò)中的兩臺(tái)計(jì)算機(jī)通信的時(shí)候，源計(jì)算機(jī)將寫(xiě)有目的計(jì)算機(jī)地址的數(shù)據(jù)包直接發(fā)向目的計(jì)算機(jī)，或者當(dāng)網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)同外界的計(jì)算機(jī)通信時(shí)，源計(jì)算機(jī)將寫(xiě)有目的計(jì)算機(jī)IP地址的數(shù)據(jù)包發(fā)向網(wǎng)關(guān)。但這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去，要發(fā)送的數(shù)據(jù)包必須從 TCP/IP協(xié)議的IP協(xié)議層交給網(wǎng)絡(luò)接口--數(shù)據(jù)鏈路層。網(wǎng)絡(luò)接口不會(huì)識(shí)別IP地址的，在網(wǎng)絡(luò)接口中，由IP協(xié)議層來(lái)的帶有IP地址的數(shù)據(jù)包又增加了一部分以太網(wǎng)的幀頭信息。在幀頭中，有兩個(gè)域分別為只有網(wǎng)絡(luò)接口才能識(shí)別的源計(jì)算機(jī)和目的計(jì)算機(jī)的物理地址，這是一個(gè)48位的地址，這個(gè)48位的地址是與 IP地址相對(duì)應(yīng)的。換句話說(shuō)，一個(gè)IP地址也會(huì)對(duì)應(yīng)一個(gè)物理地址。對(duì)于作為網(wǎng)關(guān)的計(jì)算機(jī)，由于它連接了多個(gè)網(wǎng)絡(luò)，它也就同時(shí)具備有很多個(gè)IP地址，在每個(gè)網(wǎng)絡(luò)中它都有一個(gè)。而發(fā)向網(wǎng)絡(luò)外的幀中繼攜帶的是網(wǎng)關(guān)的物理地址。

　　以太網(wǎng)中填寫(xiě)了物理地址的幀從網(wǎng)絡(luò)端口中（或者從網(wǎng)關(guān)端口中）發(fā)送出去，傳送到物理的線路上。如果局域網(wǎng)是由一條粗同軸電纜或細(xì)同軸電纜連接成的，那么數(shù)字信號(hào)在電纜上傳輸信號(hào)就能夠到達(dá)線路上的每一臺(tái)計(jì)算機(jī)。再當(dāng)使用集線器的時(shí)候，發(fā)送出去的信號(hào)到達(dá)集線器，由集線器再發(fā)向連接在集線器上的每一條線路。這樣在物理線路上傳輸?shù)臄?shù)字信號(hào)也就能到達(dá)連接在集線器上的每個(gè)計(jì)算機(jī)了。當(dāng)數(shù)字信號(hào)到達(dá)一臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)接口時(shí)，正常狀態(tài)下網(wǎng)絡(luò)接口對(duì)讀入數(shù)據(jù)幀進(jìn)行檢查，如數(shù)據(jù)幀中攜帶的物理地址是自己的或者物理地址是廣播地址，那么就會(huì)將數(shù)據(jù)幀交給IP協(xié)議層軟件。對(duì)于每個(gè)到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)幀都要進(jìn)行這個(gè)過(guò)程的。但是當(dāng)計(jì)算機(jī)工作在偵聽(tīng)模式下，所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。

　　當(dāng)連接在同一條電纜或集線器上的計(jì)算機(jī)被邏輯地分為幾個(gè)子網(wǎng)的時(shí)候，那么要是有一臺(tái)計(jì)算機(jī)處于偵聽(tīng)模式，它可以接收到發(fā)向與自己不在同一個(gè)子網(wǎng)（使用了不同的掩碼、IP地址和網(wǎng)關(guān)）的計(jì)算機(jī)的數(shù)據(jù)包，在同一個(gè)物理信道上傳輸?shù)乃�有信息都可以被接收到�?/FONT>