代理服务器全面知识讲解
一、什么是代理服务器?
% @, i0 S9 Q8 v
代理服务器英文全称是Proxy Server,其功能就是代理网络用户去取得网络信息。形象的说:它是网络信息的中转站。& [" K9 L8 I; ^" D
在一般情况下,我们使用网络浏览器直接去连接其他Internet站点取得网络信息时,需送出Request信号来得到回答,然后对方再把信息以bit方式传送回来。代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web 服务器去取回网页而是向代理服务器发出请求,Request信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。而且,大部分代理服务器都具有缓冲的功能,就好象一个大的Cache,它有很大的存储空间,它不断将新取得数据储存到它本机的存储器上,如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的,那么它就不重新从Web服务器取数据,而直接将存储器上的数据传送给用户的浏览器,这样就能显著提高浏览速度和效率。' L/ n- ~) ]- f& W
更重要的是:Proxy Server (代理服务器)是Internet链路级网关所提供的一种重要的安全功能,它的工作主要在开放系统互联(OSI) 模型的对话层。
$ g$ }4 J& Y2 Q, U
二、代理服务器的分类 y8 F" K& l7 I8 o% r$ }. w0 A
1、HTTP代理按匿名功能分类。
" z' n$ f' J: @4 {5 P# j1 D
是否具有隐藏IP的功能。; M. T6 t! J- W1 J
非匿名代理:不具有匿名功能。
5 J0 E2 ~
6 s. R, r: F- B
匿名代理。使用此种代理时,虽然被访问的网站不能知道你的IP地址,但仍然可以知道你在使用代理,有些侦测IP的网页也仍然可以查到你的IP。- N# s* d) @9 F+ t' g; G
) ~! D/ @0 [- y$ q2 d+ z+ g
高度匿名代理:使用此种代理时,被访问的网站不知道你的IP地址,也不知道你在使用代理进行访问。此种代理的隐藏IP地址的功能最强。
* k) `# e9 Z4 J( b$ H" K8 m, r
2、按请求信息的安全性分类. i, P" P9 q& @" X% D
4 j1 |9 i. g# _& h, w
全匿名代理:不改变你的request fields(报文),使服务器端看来就像有个真正的客户浏览器在访问它。当然,你的真实IP是隐藏起来的。服务器的网管不会认为你使用了代理。
1 L( U" x) Z+ m" l3 R
普通匿名代理:能隐藏你的真实IP,但会更改你的request fields,有可能会被认为使用了代理,但仅仅是可能,一般说来是没问题的。不过不要受它的名字的误导,其安全性可能比全匿名代理更高,有的代理会剥离你的部分信息(就好比防火墙的stealth
mode),使服务器端探测不到你的操作系统版本和浏览器版本。
elite代理:匿名隐藏性更高,可隐藏系统及浏览器资料信息等。此种代理安全性特强。
透明代理(简单代理):透明代理的意思是客户端根本不需要知道有代理服务器的存在,它改编你的request fields(报文),并会传送真实IP。注意,加密的透明代理则是属于匿名代理,意思是不用设置使用代理了,例如Garden 2程序。8 n" ]: p2 x5 m
; [2 B7 u+ e6 J) c* B3 ?/ N
3、按代理服务器的用途分类9 ]( D! u% q7 ^, x) W/ Q
1)Http代理:代理客户机的http访问,主要代理浏览器访问网页,它的端口一般为80、8080、3128等。
2)SSL代理:支持最高128位加密强度的http代理,可以作为访问加密网站的代理。加密网站是指以https://开始的网站。ssl的标准端口为443。' ~& d/ x5 P' _4 @ I6 `
3)HTTP CONNECT代理:允许用户建立TCP连接到任何端口的代理服务器,这种代理不仅可用于HTTP,还包括FTP、IRC、RM流服务等。
$ e) [7 {0 b3 n0 V
4)FTP代理:代理客户机上的ftp软件访问ftp服务器,其端口一般为21、2121。
' w5 L, ?: ` F4 F0 q# Y
5)POP3代理:代理客户机上的邮件软件用pop3方式收邮件,其端口一般为110。
9 W; e% [) ^- x8 L9 r# w- w8 U
6)Telnet代理:能够代理通信机的telnet,用于远程控制,入侵时经常使用。其端口一般为23。, b8 W9 i9 w0 h( Q9 `, V/ Y
7)Socks代理:是全能代理,就像有很多跳线的转接板,它只是简单地将一端的系统连接到另外一端。支持多种协议,包括http、ftp请求及其它类型的请求。它分socks 4 和socks 5两种类型,socks 4只支持TCP协议而socks 5支持TCP/UDP协议,还支持各种身份验证机制等协议。其标准端口为1080。
3 ^1 ]7 B, i9 @
4 w(
socks代理相应的采用socks协议的代理服务器就是SOCKS服务器,是一种通用的代理服务器。Socks是个电路级的底层网关,是DavidKoblas在1990年开发的,此后就一直作为Internet RFC标准的开放标准。Socks不要求应用程序遵循特定的操作系统平台,Socks 代理与应用层代理、HTTP 层代理不同,Socks代理只是简单地传递数据包,而不必关心是何种应用协议(比如FTP、HTTP和NNTP请求)。所以,Socks 代理比其他应用层代理要快得多。它通常绑定在代理服务器的1080端口上。如果您在企业网或校园网上,需要透过防火墙或通过代理服务器访问Internet就可能需要使用SOCKS。一般情况下,对于拨号上网用户都不需要使用它。注意,浏览网页时常用的代理服务器通常是专门的http代理,它和SOCKS是不同的。因此,您能浏览网页不等于您一定可以通过SOCKS访问Internet。常用的防火墙,或代理软件都支持SOCKS,但需要其管理员打开这一功能。如果您不确信您是否需要SOCKS或是否有SOCKS可用,请与您的网络管理员联系。为了使用socks,您需要了解一下内容:
①SOCKS服务器的IP地址; }5 p* I3 T3 {' Y8 ]% o
/ t, L# m5 I1 [) z! U5 w1 z1 g" [
②SOCKS服务所在的端口
③这个SOCKS服务是否需要用户认证?如果需要,您要向您的网络管理员申请一个用户和口令, s) n0 P0 f0 [+ K; M! c9 L
知道了上述信息,您就可以把这些信息填入“网络配置”中,或者在第一次登记时填入,您就可以使用socks代理了。( o1 w; s: T! W6 e. {3 l8 q6 `
在实际应用中SOCKS代理可以用作为:电子邮件、新闻组软件、网络传呼ICQ、网络聊天MIRC和使用代理服务器上联众打游戏等等各种游戏应用软件当中。) u( U! `4 E1 K; w$ d
8)TUNNEL代理:经HTTPTunnet程序转换的数据包封装成http请求(Request)来穿透防火墙,允许利用HTTP服务器做任何TCP可以做的事情,功能相当于Socks5。
7 D) [' @# {) s
. i& k7 |( S5 l3 O7 G: P2 @/ i2 }
9)文献代理:可以用来查询数据库的代理,通过这些代理,可以获得互联网的相关科研学术的数据库资源,例如查询Sciencedirect网站(简称SD)、Academic Press、IEEE,SPRINGER等数据库。
' b+ k/ u, s# b
10)教育网代理:指学术教育机构局域网通过特定的代理服务器可使无出国权限或无访问某IP段权限的计算机访问相关资源。
! O/ j' J& [% @6 A* h% p( P: T
11)跳板代理:应用于跳板程序,可以看作一种具有动态加密的特殊socks5代理,,也可直接用于PSD软件。其端口一般为1813。: m! K8 N$ W) _9 a% s, S- |+ V4 {8 x0 t
12)Ssso代理:代理客户机上的ssso程序访问远程网站,具有SSL加密强度的超级代理,支持socks。
13)Flat代理:代理客户机上的flatsurfer程序访问远程网站,具有高强度加密数据流的特殊代理,支持socks,最大可设置三次级联,可以设置穿越代理。其端口一般为6700。
14)SoftE代理:代理客户机上的SoftEther程序访问远程网站,应用虚拟集线器HUB 和虚拟网卡技术,具备VPN功能及多种认证方式的代理,符合https协议。
三、代理服务器的主要功能8 ~6 z/ a- I1 `' h6 ~! _5 r
. E/ p, g `, S9 B$ V1 A: B" [8 X7 i
代理服务器一般来讲,对于普通的网民的作用有以下几个(撇开一些高深的用处不谈,因为未必会用到):6 J' v3 {9 K+ ]" G& x/ g
8 M- L7 K% f* a% ~" R
1、连接Internet与Intranet 充当firewall(防火墙):因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可
以设置IP地址过滤,限制内部网对外部的访问权限;另外,两个没有互联的内部网,也可以通过第三方的代理服务器进行互联来交换信息。
2、节省IP开销:如前面所讲,所有用户对外只占用一个IP,所以不必租用过多的IP
地址,降低网络的维护成本。这样,局域局内没有与外网相连的众多机器就可以通过内网的一台代理服务器连接到外网,大大减少费用。当然也有它不利的一面,如许多网络黑客通过这种方法隐藏自己的真实IP地址,而逃过监视。
3、通过它来加快我们浏览某些网站的速度:有时候我们访问一些国外或者港台网站,
速度慢得像蜗牛一样,但只要你正确的选用代理服务器,速度就可以得到提升,有时候这些速度的提升可是很明显的哦!本身带宽较小,通过带宽较大的proxy与目标主机连接。而且通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,从而达到提高访问速度的目的。+ k! \" ~5 B7 S5 T9 \+ S
4、通过它,我们可以访问到一些平时不能去的网站:不信你可以马上打开你的浏览器
和输入“https://www.doczj.com/doc/37449308.html,/”这个网址。怎样?不用看着浏览器在这里空等了,并不是你的网络速度慢,也不是没有这个网站,而是你访问不到它(网络上还有很多这些类型的网站)。为什么访问不到?这个问题嘛......说法有很多种,大部分都说是国内的网络被限制了访问,所以某些网站是不能去的。如果你在以往浏览过程中出现过以上的情况,那么看来你有必要尝试一下使用代理服务器了。至于如何可以访问到这些网站?
请您继续阅读本系列文章
一、寻找代理服务器的常用软件
7 _$ ^9 `0 y- M% K* A4 R3 y
proxy对于我们这么有用,那么究竟怎样才可以在诺大的网络上找寻这些服务器呢?这就要靠一些专门找寻proxy的软件了,搜索代理服务器的软件很多,下面介绍几款常用软件。
1、Proxy Hunter% B9 U, j* V) h
& u, l, T! C$ ]5 q' u
这是Proxy搜索软件的老大哥了,自从1.0推出以来,就倍受全国网友热爱,目前我使用的版本是3.1,这个Proxy Hunter有什么特点呢?搜索速度之快,是同类软件之首,同时带有预测搜索任务完成时间的功能,除了教育网外,不限制搜索IP地址范围,同时支持HTTP与SOCKS类Proxy的搜索和验证,具备对已搜索得的Proxy地址进行管理,使用,自动调度,再验证等先进的功能。当有一大堆Proxy,不知用哪个好时,这时你需要自动调度功能,将网络软件的Proxy 设置为本机IP(127.0.0.1),端口8080,然后在Proxy Hunter搜索结果列表中将欲使用的Proxy 按鼠标右键设为“使用”(Enable),这样Proxy Hunter就会根据当时各Proxy速度的快慢,选择一个或数个使用,很方便吧。
( @8 {) Q% f$ p$ C! R" b6 T7 c+ X
2、Proxy NOW系列% @# g7 A! Q4 m* @) `7 D* `5 v. s
9 Z V0 a1 N8 G$ \% _+ b' T, O
这是由网站自动更新软件Update NOW的作者开发的,由HTTP Proxy NOW、SOCKS Proxy NOW、FTP Proxy NOW三部分组成,顾名思义,功能是分别搜索上述三类Proxy用的,若是能将其合一在一个软件里就好了,Proxy NOW系列的优点是绝对不限制搜索IP范围,但没注册进入时会有延时,不过只有几秒钟,没大碍,搜索速度还可以,算是中规中矩,缺点是功能分散单一,可设置项较少,验证不那么完善。( }9 j' c7 N1 N
3、SOCKS Cat
这是专门搜索SOCKS Proxy的,同样不限制搜索IP地址范围,速度也比较快,据作者称,其速度只比Proxy Hunter慢些,不过在验证SOCKS Proxy方面要做得好,同时支持SOCKS4、SOCKS5的Proxy的搜索和验证,支持设置供验证的网页,设置最高连接数等,经实际使用,效果不错,如果能加入对HTTP Proxy的搜索和验证功能可能会更好。! Y$ `/ b( u& ?* L
" u* e8 l9 `1 D& t% Y% ^
总结:三者以Proxy Hunter为较好,但也不能一棵树吊死,应具体情况具体分析,选择一个适合的来用。
! a1 N" B5 j c; G* m+ o8 d
当然,有些搜索经验也应该掌握,搜索Proxy,如大海捞针,不掌握要领,可是要吃大亏的。大规模搜索,效果好,但成本高,耗时长,不值得推荐。经过实践,局部地区震荡IP搜索法较好。例如,你所在地有一大ISP或者是ICP,假设其IP地址为202.96.123.123,这时请以总数1275(255 × 5)为震荡范围,计算出应尝试搜索的范围是202.96.121.0至202.96.125.255,祝你好运!还有连接时间设长一点,以及注意加入以下端口8080(HTTP) 3128(HTTP) 80(HTTP)
1080(SOCKS)这样才不会有漏网之鱼。
二、如何搜索代理服务器?
2 U
3 {3 F& H: w6 a
4 H9 i
搜索代理服务器的软件很多,下面以Proxy Hunter为例子,为大家讲解如何搜索proxy。
$ Z+ l4 D! t& U9 Q% J S
当你填加完任务后,返回到主界面,按蓝色的开始键,这样ProxyHunter就会开始搜索代理了。现在你需要做的事情就是盯住搜索结果栏和耐心地等待。
9 h) g) M6 }3 n# }: J
服务器地址:这里出现的就是你搜索到的代理服务器的IP。
) u. o/ W. c7 b) Q5 Z: v
端口:这个是它所用的端口。$ }0 \) b% g3 ]7 F
7 ^7 x0 w7 O a5 ]) X
类型:就是这个Proxy的类型。
验证状态:这个最重要,它的状态分几种,上图列出的就是其中几种状态,通常如果成功搜索到这个proxy的话,它会显示为“FREE”,那么你就可以直接使用这个proxy;如果显示为“要密码”的话,基本上你可以把这个proxy删除了,除非你有能力把它的密码破解吧...;要是显示“连接超时”或“连接失败”等其他状态的话,那么可能你现在的网络正处于繁忙状态,也有可能是这个proxy暂时关闭了,你可以隔一段时间再去验证一次。
7 c& `' v4 U, N" Y
时间特性:这个数值影响到这个proxy的速度,它显示的是你的机器连接到proxy的时间,如果你有多个proxy供你选择话,那么就选一个相对数值小的一个吧,连接的时间越小就代表这个porxy越快。. u4 {" n; m# N# j
经过上一步的搜索,想必你已经搜索到几个“Free”属性的Proxy了吧?!# w O" {! F! j* G- V: d* f* @% d
三、如何设置代理服务器?
7 `1 s- X6 l. u8 T1 H) @) l( @
那么究竟怎样才可以用这些Proxy呢?其实很简单,大部分软件都有一些软件属性的选项,比如“Setting”和“Preferences”等等。而在这些选项里面通常会有“Proxy”这个选项,你只需要在“Proxy”选项里面填上你搜索出来的Proxy的IP的端口,那么就可以使用这个Proxy了。如果软件是中文的话那么就更加简单,只要在“设置代理服务器”里面填上就ok了。
以浏览器IE6为例:+ i& O5 c8 \8 g+ r- C& w; q
1、打开“工具”里面的“Internet选项”。
2、点选“连接”框。0 K+ ^! _; @! X# s5 Y* L6 r2 Z. ^
6 ^& [0 k/ D0 ]% b9 U
3、如果你使用拨号上网的话,那么选择“设置”。如果你是使用局域网的话,那么选择“局域网设置”。
1 M& I ^+ ~- C3 a' j
在里面就有“代理服务器”这个设置。先点击“使用代理服务器”,然后在“地址”上填上Proxy
的IP,在“端口”填上端口,好了!大功告成!
端口分配一览表
端口服务说明
05 D; H, c5 a8 ^6 V4 Y% j Y: D+ J Reserved2 Q! |+ ^" P1 W% c 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
1
tcpmux7 v, E9 k/ l. y) y 显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布时含有几个默认的无密码帐户,如:IP/GUEST UUCP/NUUCP/DEMOS/TUTOR/DIAG/OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
7 Echo 能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和
X.X.X.255的信息。) _# ]+ }' A2 \) q) @) x
19" ^, M( |! y- c U Character: O9 e+ K. V! R0 n. }0 `' V v Generator 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。%
F8 }" M( N, a$ y1 n9 d {
21 FTP FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
P6 s- U5 C+ o3 y0 w$ G! j
22! R; o- E" M7 ]& y Ssh3 k# j& S( E, O PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
23 Telnet 远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就
开放这个端口。' E% f. G% n& ?/ Z {! u
25 SMTP SMTP服务:器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy 都开放这个端口。
313 w/ B$ S; U$ _' I" k3 f0 H& H MSG Authentication 木马Master Paradise、Hackers Paradise开放此端口。8 U- C' Z3 B# v
42* b5 c- R8 L* C. i( f! \WINS) ^* R- G4 s1 f* y) ?
Replication WINS复制
53 Domain Name Server(DNS)DNS服务:器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
67
Bootstrap. T- O/ D" N# Y5 K Protocol Server 通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们,分配一个地址把自己作为局部路由器而发起大量中间人
(man-in-middle)攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
69
Trival9 L9 X5 h0 o2 O S. Y+ k- a File Transfer 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。
79! D* u: p) m) g! C Finger. I. m4 ^/ T3 ^( V J; X4 {Server入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其他机器Finger扫描。
80/ P; P, u4 O5 E3 U y' o HTTP0 o5 I6 {; v# y4 s ]用于网页浏览。木马Executor开放此端口。7 t3 `( {% c) M+ D! d/ ?
99& [+ Q8 M& E3 g8 I Metagram
Relay后门程序ncx99开放此端口。8 E# r4 N" L" @. L k2 G& g
102 Message transfer agent(MTA)-X.400 over TCP/IP消息传输代理。
109 Post Office Protocol -Version3 POP3服务:器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。8 G( l" x, I: I. p6 ~# y, A
110 SUN公司的
RPC服务所有
端口
常见RPC服务:有rpc.mountd、NFS、rpc.statd、rpc.csmd、
rpc.ttybd、amd等) H2 o( M/ p/ o4 t' A0 Y+ b
1133 h9 P3 Q( x$ F" ]9 r1 {
Authentication8 P6 D;
h# |; y* W2 s( S Service这是一个许多计算机上运行的协议,用于鉴别TCP 连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务:的记录器,尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉到在防火墙另一边与
E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。3 m. v: d: f" r0 Z( Y
119
Network9 r' J. }5 i9 @, S% E News Transfer ProtocolNEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET 服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。4 g# L. [$ H! A
135
Location% f8 Z2 v! }+ W2 T9 R! C; p ServiceMicrosoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务:。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口:是为了找到这个计算机上运行Exchange Server 吗?什么版本?还有些DOS攻击直接针对这个端口。- M ^. M2 s; y! i3 f% J l) w
137、138、1395
; I- `% u& a& d& `4 @NETBIOS
Name Service其中137、138是UDP端口,当通过网上邻
居传输文件时用这个端口。而139端口,通过这个端口进入
的连接试图获得NetBIOS/SMB服务。这个协议被用于
windows文件和打印机共享和SAMBA。还有WINS
Regisrtation也用它。
143
Interim: J' e) P+ X( T- r! {# R3 x- u Mail Access Protocol v2和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后,这些漏洞变的很流行。这一端口还被用于IMAP2,但并不流行。; s/ {6 y a3 s) `- B6 S
1619 s) m& _2 j# `$ p- u+ W SNMP) R) ^2 ?+ p( |2 G9 F/ ]SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
177 X Display Manager Control Protocol许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
389' s$ N) L2 @" K; e4 s LDAP、ILS
轻型目录访问协议和NetMeeting Internet Locator Server共
用这一端口。
443+ w9 i% g# v t" j5 [ K Https
网页浏览端口,能提供加密和通过安全端口传输的另一种
HTTP。
456 [NULL] 木马HACKERS PARADISE开放此端口。
513
Login,remote& l* @3 J; }' F1 K' `login是从使用cable modem或DSL登陆到子网中的UNIX 计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
544. f# _8 x; D$ Z& ][NULL] T3 P' q" R2 L kerberos kshell' V `9 D& L6 o* J: _5 W8 O- s* ?
548( Y: d9 h, U3 w: f5 o9 w; r
Macintosh,File Services(AFP/IP) Macintosh,文件服务。
553 CORBA IIOP (UDP) 使用cablemodem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
555 DSF 木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
568
Membership; `3 c9 F! G4 _7 u5 w8 x DPA成员资格DPA。5 _% ?2 k' V6 u' d
569
Membership! b/ h* q" S1 p, R
MSN成员资格MSN。
635
mountd& u' f% _, J8 Z# ~+ b4 e4 b; p Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd 有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。
636# B5 j" K$ Q* n LDAP. P: L/ i' R0 {8 E) A
SSL(Secure Sockets layer)
666
Doom: G9 y7 J0 B! I2 O; T% t
Id Software木马Attack FTP、Satanz Backdoor开放此端口
993
IMAP2 z+ O( ^; @1 W
SSL(Secure Sockets layer)
1001
[NULL]: ]7 S9 p ^+ e/ J8 X. j; y# X木马Silencer、WebEx开放1001端口。0 t9 C, ^# U5 _0 s
1011 [NULL] 木马Doly Trojan开放1011端口。
10240 v$ }$ ~1 a; g0 {0 G/ h9 H Reserved/ M. ]) I* V, Q1 t它是动态端口的开始,许多程序并不在乎用哪个端口连接网
络,它们请求系统为它们分配下一个闲置端口。基于这一点
分配从端口1024开始。这就是说第一个向系统发出请求的会
分配到1024端口。你可以重启机器,打开Telnet,再打开一
个窗口运行natstat -a将会看到Telnet被分配1024端口。还
有SQL session也用此端口和5000端口。! k( n3 ?; N) K6 O+ D' ?! |% u
1025、
1033
1025:network blackjack/1033:[NULL]木马netspy开放这2个端口。
1080
SOCKS7 T" _- N' `0 }6 \这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误,在加入IRC聊天室时常会看到这种情况。: q9 e; {3 e& T! A! {$ i/ [% Z
1170+ ]! s7 z' F% [" p [NULL]
木马Streaming Audio Trojan、Psyber Stream Server、Voice
开放此端口。
1234、1243、
6711、6776 [NULL]; N7 ]- Y' n% W8 q6 p
木马SubSeven2.0、Ultors Trojan开放1234、6776端口。
木马SubSeven1.0/1.9开放1243、6711、6776端口。( `$ \- Q( H) D ~: Y
1245
[NULL]9 }1 L% m7 N0 d# M* f/ D) [
木马Vodoo开放此端口。
1433 SQL
Microsoft的SQL服务开放的端口。) ]* {8 S+ B! K6 u
14920 s6 k- i% l3 }5 B# T; W6 U
stone-design-1%
D0 Z& {' g( L I3 ]
木马FTP99CMP开放此端口。
1500( _* _/ H/ }5 \6 F' q- ^/ X# B RPC- ? z5 \ s$ j2 E0 s
client fixed port session queries RPC客户固定端口会话查询
[& x9 R! Z* N3 m: y: Q
15034 W$ e4 p- J" k) K" x p" N NetMeeting
T.120 NetMeeting T.120& D1 w& r- i9 w$ U4 O5 v$ v
1524
ingress A2 [* G) E5 s5 k/ Y& B( X 许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。
1600 s9 z- W. l$ F y
issd 木马Shivka-Burka开放此端口。
1720( q" k/ \; d1 U# Q) X NetMeeting% |: `( C6 V/ |
NetMeeting H.233 call Setup。
1731
NetMeeting* i% L- J. w D% E. d Audio Call Control NetMeeting音频调用控制。( B. E! D, R7 ~- O; c
1807
[NULL]/ t6 N* b" W# a
木马SpySender开放此端口。
1981 [NULL] 木马ShockRave开放此端口。
1999. T# m6 X5 ?3 W# L" |
cisco identification port 木马BackDoor开放此端口。
2000- o$ @, d( N" f" H4 S [NULL]
木马GirlFriend 1.3、Millenium 1.0开放此端口。8 U5 R$ _1 U; P
2001 h+ b% k& ]. T7 G- `9 d[NULL]1 d" E* u4 n. d; z+ M, Z! ]
木马Millenium 1.0、Trojan Cow开放此端口。20239 J/ _- A, ?, O+ D) ^" H
xinuexpansion' v- T-
A5 d+ Q6 r* W, i! i! t
4木马Pass Ripper开放此端口。4 U/ \9 s" `- L
2049# D% `9 x) C5 V2 n& w7 V0 ]# V8 }NFS/ T% T& b: ^% D" T' l NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
21157 J* G) K; k% y* B* Z [NULL]
木马Bugs开放此端口。( z% c0 m& M9 u7 I
2140、[NULL] 木马Deep Throat 1.0/3.0开放此端口。
31501 Z) w# H: D: M j* z) i( g3 ]/ H. S
2500' ]9 J% x4 a* {0 z RPC client using a fixed port session replication应用固定端口会话复制的RPC客户# Y* J, N3 W8 }
2583
[NULL]) M5 X0 {. o8 r# C# C. @木马Wincrash 2.0开放此端口。' h! n1 _4 i8 R$ T4 @% ~
2801 [NULL]
木马Phineas Phucker开放此端口。4 M7 F, ]( T9 x, W- s& V, ^; `0 t
3024、4092 [NULL]
木马WinCrash开放此端口。7 L7 A e' z$ p1 F& K2 P
3128/ }1 O$ P; I U6 \0 u5 q squid0 r1 i5 i; z: ~1 X. p( H& F& y% g 这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。( d/ a2 T4 w1 S4 S/ v3 x4 G
3129 [NULL]
木马Master Paradise开放此端口。* v- f- k4 l0 m
3150% A! Z& K3 C1 X- |& I5 `) x1 p" I [NULL]
木马The Invasor开放此端口。. [8 j# M+ U7 P4 F, K+ n
3210、
4321 [NULL]$ I/ q! n' T1 k h0 c' R
木马SchoolBus开放此端口。
3333 dec-notes
木马Prosiak开放此端口。: o, P- K' V$ b M- i1 m4 F' S
33895 c( {2 x& D: E
超级终端WINDOWS 2000终端开放此端口。
3700
[NULL]" c- w) a6 U5 @ Z+ w. W木马Portal of Doom开放此端口。2 O" I. a5 D V9 M$ N8 F: h5 ~8 N
3996、40606 |( v/ @$ x6 P6 H5 u& b6 A [NULL]2 V6 w3 R* @, ^9 |) N; x9 I
木马RemoteAnything开放此端口。
4000 QQ客户端
腾讯QQ客户端开放此端口。( u+ `: w: _2 J9 a6 ^8 T
4092
[NULL]$ N, x+ w: T. ]& I' {2 ~) {
木马WinCrash开放此端口。4590 [NULL] 木马ICQTrojan开放此端口。5000、
5001、5321、50505* P0 @) s2 C( Q9 a [NULL] 木马blazer5开放5000端口。木马Sockets deroie开放5000、5001、5321、50505端口。2 G5 N+ q1 L1 `+ k5 T: c
5400、
5401、
5402
[NULL] 木马Blade unner开放此端口。
5550
[NULL]" Z! M1 _( L/ C9 x! l) J木马xtcp开放此端口。) T8 l7 \( M6 ^1 w8 l3 [# m6 m
5569
[NULL]5 U; j' m5 _ X. K0 N木马Robo-Hack开放此端口。! l1 T2 {4 [6 K0 R* O; q
5632
pcAnywere. E% H+ I' f; D7 F 有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。$ Z: a9 f4 Y7 b+ p% f2 E
5742 [NULL]
木马WinCrash1.03开放此端口。/ ]' a% \6 d. I4 d' u6 C% R
6400: \- q2 m7 p6 e1 Z" \# b0 j [NULL]
木马The tHing开放此端口。# v/ b. r) s# C& w& p0 c
6670、6671 [NULL]
木马Deep Throat开放6670端口。而Deep Throat 3.0开放
6671端口。
6883
[NULL]: l* \1 i' \! M4 v; ~8 g木马DeltaSource开放此端口。* W; t5 [, L2 g$ W1 q
6969 [NULL] 木马Gatecrasher、Priority开放此端口。
6970
RealAudio+ @3 D" c# f9 R. o! x RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
7000+ L$ q/ f2 G0 L [NULL]
木马Remote Grab开放此端口。( D6 I1 l, D# Y. ~, M
7300、
7301、7306、7307、7308$ D. J; l: i. L5 u) M% J: U [NULL] 木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。4 j( i& n% h7 O9 k
73230 \6 @1 l2 f& W% @- f: e
[NULL] Sygate服务器端。
7626: ]7 ~% \9 Q8 b3 G, p$ W[NULL]" O; [6 D) @# r& B- t
木马Giscier开放此端口。
7789
[NULL]" n7 M0 }% |" z3 g% t, Y, O木马ICKiller开放此端口。2 \/ l# f" y: F! I( p, h
8000+ v4 f4 Y1 ?4 W" Z7 o h OICQ2 E. O- w+ x' {, S3 D: ?
腾讯QQ服务:器端开放此端口。8010 Wingate Wingate代理开放此端口。
8080 代理端口WWW代理开放此端口。
9400、
9401、
9402
[NULL] 木马Incommand 1.0开放此端口。9872、[NULL] 木马Portal of Doom开放此端口。
9873、
9874、
9875、
10067、
10167
9989
[NULL]% J% u# p( a: ?! O' [+ a% O
木马iNi-Killer开放此端口。11000% J, D0 `; F9 K% P[NULL]4 X0 O: D" I: h8 _9 p1 x+ C1 S
木马SennaSpy开放此端口。11223. e7 T4 l" G* v# C( {/ ]$ A[NULL]' T/ n8 U& G) n4 s0 G: t木马Progenic trojan开放此端口。* i% k% ^8 V( J7 a( e# _ 12076、
61466* b" y! {) H" H$ k2 A5 N
[NULL] 木马Telecommando开放此端口。
12223* _) v3 y' w$ i' u6 F# G3 h [NULL]
木马Hack99 KeyLogger开放此端口。 r7 L% D+ b0 h0 X1 J2 O3 q4 ^' d
12345、123467 K1 F! x7 C* G1 m: j [NULL]
木马NetBus1.60/1.70、GabanBus开放此端口。# C& `6 y' G% n
12361% [8 Z, [: ` u: m4 e2 w$ V$ N
[NULL] 木马Whack-a-mole开放此端口。
132235 D* v3 O Q3 n1 p Q v PowWow8 G' v+ e4 X* p2 _- E PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP 地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。
16969 [NULL] 木马Priority开放此端口。
17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是
Pkware。" X. J6 Q/ y+ I, P4 b4 M( h
191910 F g2 y9 D7 m$ j% L; X[NULL], r% k; R) _/ y4 J" I+ |
木马蓝色火焰开放此端口。
20000、
20001
[NULL] 木马Millennium开放此端口。
20034. ~) y4 x) l8 V* l: o, `[NULL]
木马NetBus Pro开放此端口。3 q. f2 ]3 @% h# u9 T) G9 _3 P
21554 [NULL]
木马GirlFriend开放此端口。 e' P) U; @: E5 m' M0 ]3 T
222220 H1 F8 Z8 ?4 ~5 ^$ c; M( f
[NULL] 木马Prosiak开放此端口。
23456
[NULL]5 D. g6 I7 k" s: l: q4 w7 ]) K
木马Evil FTP、Ugly FTP开放此端口。
26274、
472623 i& |1 z: a+ p9 y L$ V. j* `
[NULL]: b1 q, `1 e J木马Delta开放此端口。0 R* @* A$ |' B7 s
27374( G9 t' d. p+ t( ^: \7 G2 D' f6 ][NULL]4 [ ]! I4 r! ]! c5 a
木马Subseven 2.1开放此端口。30100/ ^; s& ^' X# n- I: [9 ?0 e# ~[NULL]1 Q6 ^+ o0 O$ X3 H9 V0 n
木马NetSphere开放此端口。
303037 a# r$ g* X" v, |
[NULL] 木马Socket23开放此端口。
309991 q& o: c- L+ i# ?2 T) G e
[NULL] 木马Kuang开放此端口。
31337、31338 f9 w7 [9 w$ Y0 K [NULL]$ k! }" b* k. @9 c
木马BO(Back Orifice)开放此端口。另外木马DeepBO也开
放31338端口。) K& f6 e3 J! S4 \, {
31339, r) T* e9 X. S
[NULL] 木马NetSpy DK开放此端口。31666! ?. t( C( d7 J$ }
[NULL] 木马BOWhack开放此端口。
33333
[NULL]( g' e& ]- @8 v [: N; F9 v
木马Prosiak开放此端口。
343247 t5 Z4 V3 D$ b- V( B* L8 z8 e
[NULL] 木马Tiny Telnet Server、BigGluck、TN开放此端口。
40412
[NULL] U) s0 J# H) r' S2 r
木马The Spy开放此端口。
40421、
40422、
40423、40426 [NULL]9 \4 d* q3 I( i% C/ _" L
木马Masters Paradise开放此端口。
43210、54321 [NULL]
木马SchoolBus 1.0/2.0开放此端口。/ S9 p$ j! v% K) r6 L
44445
[NULL]" B5 W$ B3 W/ s
木马Happypig开放此端口。
50766 [NULL]
木马Fore开放此端口。9 M' w" `/ c: |) m h4 V" q- B
53001; V, z& @( ~& d8 D" x8 v3 m/ n2
D
[NULL]. w9 ^8 s" `- C% S1 u$ M木马Remote Windows Shutdown开放此端口。" p! w! |0 }, N+ ]0 i 65000 [NULL] 木马Devil 1.03开放此端口。
88
Kerberos0 ]' n- [% o: T krb5。另外TCP的88端口也是这个用途。" J& b3 j0 [: m# x3 X
137
SQL4 _$ I& ^# j* c8 \9 v# A Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。* @$ F5 b U1 K4 i5 `% d
161 C y0 K% ~8 Y9 T6 g/ Z# i/ |; ]Simple Network Management Protocol(SMTP)(简单网络管理协议)
162 SNMP Trap(SNMP陷阱)
445 Common Internet File System(CIFS)(公共Internet文件系统)
464
Kerberos# A9 t0 p) G* O* h
kpasswd(v5)。另外TCP的464端口也是这个用途。
500
Internet m. \( O) O* k. T! e1 d Key Exchange(IKE)(Internet密钥交换)6 ?2 Q9 N2 o! J
1645、1812 Remot
Authentication Dial-In User
Service(RADIUS)authentication(Routing and Remote
Access)(远程认证拨号用户服务); ]& w2 a# h- s& K$ Z) i% Y n
1646、1813 RADIUS accounting(Routing and Remote Access)(RADIUS记帐(路由和远程访问))) U( N7 C4 A# B9 Y2 }' `
1701 Layer
Two Tunneling Protocol(L2TP)(第2层隧道协议)0 ~; D. z3 E% T2 R2 E7 h1 m
1801、
3527 Microsoft' }/ n ?0 a! b Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。- A3
p; S+ B3 j+ \
25048 V' V1 J% _0 O O! `$ g/ ^Network
Load Balancing(网络平衡负荷)' a0 X( K8 ^& l1 F
代理之间的级联
对于在教育网和科技网内的朋友,直接从国外下载需要支付高额流量费,或机器不能直接连出国,所以要使用国外的代理,还得先学会用二级代理。有一点需要注意的是:并不是所有的代理都能用作一级代理,只有支持SSL的HTTP代理才行。8 z7 D; ^ i+ n0 d1 a$ i% K* r
二次代理就是两个代理的级联,有很多Proxy Server本来就支持级联,如Winproxy、Wingate,这里只讨论如何使用代理。要用到的一些软件:Sockscap、Httport、MProxy,这几个软件在网上都能很方便的找到。7 j1 f. ~1 S5 X/ ^- u) A