学习资源：

 

1】端口分类：

1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服 务的协议。例如：80端口实际上总是HTTP通讯。   

2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。   

3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。   

 

2】常用端口

 端口： 0 

 服务： Reserved

 说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中 “0” 是无效端口，当你试图使用通常的闭合端 口连接它时将产生不同的结果。一种典型的扫描，使用 IP地址为 0.0.0 .0 ，设置 ACK 位并在以太网层广播。

端口： 21 

服务： FTP 

说明： FTP 服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开 anonymous 的 FTP 服务器的方法。这些服务器带有可读写 的目录。木马 Doly Trojan 、 Fore 、 Invisible FTP 、 WebEx 、 WinCrash 和 Blade Runner 所开放的端口。 

端口： 23 

服务： Telnet 

说明：远程登录，入侵者在搜索远程登录 UNIX 的服务。大多数情况下扫描这一端口 是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马 Tiny Telnet Server 就开放这个端口。 

端口： 25 

服务： SMTP 

说明： SMTP 服务器所开放的端口，用于发送邮件。入侵者寻找 SMTP 服务器是为了传递他们的 SPAM 。入侵者的帐户被关闭，他们需要连 接到高带宽的 E-MAIL 服务器上，将简单的信息传递到不同的地址。木马 Antigen 、 Email Password Sender、 Haebu Coceda 、 Shtrilitz Stealth 、 WinPC 、 WinSpy 都开放这个端口。 

端口： 53 

服务： Domain Name Server （ DNS ） 

说 明： DNS 服务器 所开放的端口，入侵者可能是试图进行区域传递（ TCP ），欺骗 DNS （ UDP ）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。 

端 口： 80 

服务： HTTP 

说明：用于网页浏览。木马 Executor 开放此端口。 

端 口： 102 

服务： Message transfer agent(MTA)-X.400 over TCP/IP 

说明：消息传输代理。

端口： 1024 

服务： Reserved 

说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口 1024 开始。这就是说第一个向系统发出请 求的会分配到 1024 端口。你可以重启机器，打开 Telnet ，再打开一个窗口运行 natstat -a 将会看到 Telnet 被分配 1024 端口。还有 SQL session 也用此端口和 5000 端口。 

 

3】查看并关闭端口的方法 

 一、查看已开放的端口：

　　1、借助系统自带MS-DOS命令查看开放的端口（Win2000/XP/server2003）

　　在开始-运行-输入cmd，打入netstat -an（注意-前有个小空格），在IP地址“，”后面就是端口号了。（-a表示显示当前所有连接和侦听端口，-n表示以数字格式显示地址和端口号）

　　小常识：TCP（Transmission Control Protocol，传输控制协议）和UDP（User Datagram Protocol，用户数据包协议）都是网络上传输数据的通信协议，UDP协议面向非连接,而TCP协议面向连接，他们各自的端口号是相互独立的，列如TCP可以有个255端口，UDP也可以有个255端口，他们两者并不冲突的。

　　2、借助第三方软件查看开放的端口

　　（1）例如：Active Ports（SmartLine出品）：可以用来监视所有打开的TCP/IP/UDP端口，将你所有端口显示出来，还显示所有端口以及对应的程序所在的路径，查看本地IP和远端IP（试图连接你电脑的IP）是否正在活动。

　　（2）列如：fpor命令行工具：特点小巧，但功能不亚于Active Ports哦，同样可以查看端口与相应程序路径。显示模式为：Pid Process Port Proto Path ，392 svchost -> 113 TCP，C:\WINNT\system32\vhos.exe 。

　　（3）例如：防火墙或反毒工具的网络活动显示：比如瑞星防火墙就能及时刷新开放的端口和相关进程，反间谍专家也有此功能，这样的软件很多，就不一一举出了。

 二、限制或关闭端口的方法：

　　1、通过系统自带功能“限制开放”需要的端口（Win2000/XP/server2003）

　　通过系统自有的“TCP/IP筛选功能”限制服务器端口，控制面板-网络连接-“本地连接”-右键-属性，然后选择internet(tcp/ip)-属性-高级-选项-选中TCP/IP筛选-属性，在这里分为3项，分别是TCP、UDP、IP协议，假设我的系统只想开放21、80、25、110这4个端口(qq为4000端口），只要在“TCP端口”上勾选“只允许”然后点击“添加”依次把这些端口添加到里面，然后确定，重新启动后生效。

　　2、通过系统自带防火墙增加“允许通过”的端口

　　（1）未升级SP2的WINXP/Server2003

　　控制面板-网络连接-本地连接-属性-高级，把“Inernet连接防火墙”下面的选项勾选上，这样防火墙就自动启动了，点击“设置”，我们可以在“高级设置”窗口的“服务”选项卡中点击“添加”按钮，在“服务设置”对话框中，把服务描述、计算机名或IP地址、端口号、是TCP or UDP，填完后打勾确认，如果不需要了去掉勾确认。（防火墙启动以后“本地连接”图标会出现一个可爱的小锁头。）

　　（2）升级WIin XP SP2的Windows XP

　　控制面版-windows防火墙-例外-添加端口，在取名后，输入端口号，确认TCP或者UDP协议，然后确认，在你取名的这个设置前打勾，表示允许通过此端口，不打勾表示不例外。