포트란 무엇인가요?
포트 개념
네트워크 기술에서 포트에는 두 가지 의미가 있습니다. 하나는 ADSL 모뎀, 허브, 스위치 및 연결을 위한 인터페이스와 같은 물리적 의미의 포트입니다. RJ-45 포트, SC 포트 등과 같은 다른 네트워크 장치에 연결됩니다. 두 번째는 논리적 의미의 포트로, 일반적으로 TCP/IP 프로토콜의 포트를 나타냅니다. 포트 번호 범위는 웹 서비스 검색용 포트 80, FTP 서비스용 포트 21 등입니다. 여기서 소개할 것은 논리적인 의미에서의 포트이다.
포트 보기
Windows 2000/XP/Server 2003에서 포트를 보려면 Netstat 명령을 사용할 수 있습니다:
"시작 → 실행"을 클릭합니다. "cmd"를 입력하고 Enter를 눌러 명령 프롬프트 창을 엽니다. 명령 프롬프트에 "netstat -a -n"을 입력하고 Enter 키를 누르면 숫자 형식으로 표시된 TCP 및 UDP 연결의 포트 번호와 상태를 볼 수 있습니다.
포트 닫기/열기
다양한 포트의 기능을 소개하기 전에 Windows에서 포트를 닫거나 여는 방법을 소개합니다. 기본적으로 안전하지 않은 포트가 많이 있기 때문입니다. Telnet 서비스의 포트 23, FTP 서비스의 포트 21, SMTP 서비스의 포트 25, RPC 서비스의 포트 135 등 쓸모 없는 포트가 열려 있습니다. 시스템의 보안을 보장하기 위해 다음 방법을 통해 포트를 닫거나 열 수 있습니다.
포트 닫기
예를 들어 Windows 2000/XP에서 SMTP 서비스의 포트 25를 닫으려면 다음과 같이 할 수 있습니다. 먼저 "제어판"을 열고 두 번 클릭합니다. "관리 도구"를 선택한 다음 "서비스"를 두 번 클릭합니다. 그런 다음 열리는 서비스 창에서 "Simple Mail Transfer Protocol (SMTP)" 서비스를 찾아 두 번 클릭하고 "중지" 버튼을 클릭하여 서비스를 중지한 다음 "시작 유형"에서 "사용 안 함"을 선택하고 마지막으로 클릭합니다. "확인"” 버튼을 누릅니다. 이런 방식으로 SMTP 서비스를 닫는 것은 해당 포트를 닫는 것과 같습니다.
포트 열기
포트를 열려면 "시작 유형"에서 "자동"을 선택하고 "확인" 버튼을 클릭한 다음 서비스를 열고 "서비스 상태"를 선택하고 "시작" 버튼을 클릭하여 포트를 활성화하고 마지막으로 "확인" 버튼을 클릭합니다.
팁: Windows 98에는 "서비스" 옵션이 없습니다. 방화벽의 규칙 설정 기능을 사용하여 포트를 닫거나 열 수 있습니다.
포트 분류
논리적인 의미에서 포트에 대한 많은 분류 표준이 있습니다. 아래에서는 두 가지 일반적인 분류를 소개합니다.
1. 포트 번호에 따른 분류 배포
(1) 잘 알려진 포트
잘 알려진 포트는 0부터 1023까지의 잘 알려진 포트 번호입니다. 이러한 포트 번호는 일반적으로 일부 서비스에 할당됩니다. 예를 들어, 포트 21은 FTP 서비스에 할당되고, 포트 25는 SMTP(Simple Mail Transfer Protocol) 서비스에 할당되고, 포트 80은 HTTP 서비스에 할당되고, 포트 135는 RPC(Remote Procedure Call) 서비스에 할당됩니다. 등.
(2) 동적 포트(동적 포트)
동적 포트 범위는 1024~65535입니다. 이러한 포트 번호는 일반적으로 특정 서비스에 할당되지 않습니다. 즉, 많은 서비스가 이러한 포트 번호를 사용합니다. 포트를 사용할 수 있습니다. 실행 중인 프로그램이 시스템에 네트워크 액세스를 요청하는 한 시스템은 프로그램이 사용할 포트 번호 중 하나를 할당할 수 있습니다. 예를 들어 포트 1024는 시스템에 적용되는 첫 번째 프로그램에 할당됩니다. 프로그램 프로세스가 종료되면 점유된 포트 번호가 해제됩니다.
하지만 바이러스 트로이 목마는 동적 포트를 자주 사용합니다. 예를 들어 Glacier의 기본 연결 포트는 7626, WAY 2.4는 8011, Netspy 3.0은 7306, YAI 바이러스는 1024 등입니다.
2. 프로토콜 종류에 따라 구분
프로토콜 종류에 따라 TCP, UDP, IP, ICMP(Internet Control Message Protocol) 등의 포트로 나눌 수 있습니다. 다음은 주로 TCP 및 UDP 포트를 소개합니다.
(1) TCP 포트
전송 제어 프로토콜 포트인 TCP 포트는 클라이언트와 서버 간의 연결을 설정해야 합니다. 안정적인 데이터 전송을 제공할 수 있습니다. 일반적인 포트로는 FTP 서비스의 포트 21, Telnet 서비스의 포트 23, SMTP 서비스의 포트 25, HTTP 서비스의 포트 80 등이 있습니다.
(2) UDP 포트
사용자 데이터 패킷 프로토콜 포트인 UDP 포트는 클라이언트와 서버 간 연결을 설정할 필요가 없으며 보안이 보장되지 않습니다. . 일반적인 포트로는 DNS 서비스용 포트 53, SNMP(Simple Network Management Protocol) 서비스용 포트 161, QQ에서 사용하는 포트 8000 및 4000 등이 있습니다.
공통 네트워크 포트
네트워크 기본 사항! 포트 비교
포트: 0
서비스: 예약됨
설명 : 일반적으로 운영 체제를 분석하는 데 사용됩니다. 이 방법은 일부 시스템에서 "0"이 유효하지 않은 포트이고 일반적으로 닫힌 포트를 사용하여 연결을 시도할 때 다른 결과를 생성하기 때문에 작동합니다. 일반적인 스캔은 IP 주소 0.0.0.0을 사용하고 ACK 비트를 설정하고 이더넷 계층에서 브로드캐스트합니다.
포트: 1
서비스: tcpmux
설명: 누군가가 SGI Irix 시스템을 찾고 있음을 나타냅니다. Irix는 이러한 시스템에서 기본적으로 활성화되는 tcpmux 구현의 주요 공급자입니다. Irix 시스템은 IP, GUEST UUCP, NUUCP, DEMOS, TUTOR, DIAG, OUTOFBOX 등과 같은 여러 기본 비밀번호 없는 계정으로 출시됩니다. 많은 관리자는 설치 후 이러한 계정을 삭제하는 것을 잊어버립니다. 그래서 HACKER는 인터넷에서 tcpmux를 검색하고 이러한 계정을 악용합니다.
포트: 7
서비스: Echo
설명: 많은 분들이 Fraggle Amplifier를 검색하시면 X.X.X.0, X.X.X.255로 전송되는 정보를 보실 수 있습니다.
포트: 19
서비스: 문자 생성기
설명: 문자만 전송하는 서비스입니다. UDP 버전은 UDP 패킷을 수신한 후 가비지 문자가 포함된 패킷에 응답합니다. TCP 연결이 이루어지면 연결이 닫힐 때까지 가비지 문자가 포함된 데이터 스트림이 전송됩니다. HACKER는 IP 스푸핑을 사용하여 DoS 공격을 시작할 수 있습니다. 두 개의 유료 서버 간에 UDP 패킷을 위조합니다. 동일한 Fraggle DoS 공격은 가짜 피해자 IP가 포함된 패킷을 대상 주소의 이 포트로 브로드캐스팅하고 피해자는 이 데이터에 대한 응답으로 과부하를 받습니다.
포트: 21
서비스: FTP
설명: FTP 서버에서 열린 포트는 업로드 및 다운로드에 사용됩니다. 가장 일반적인 공격자는 익명 FTP 서버를 여는 방법을 찾는 데 사용합니다. 이러한 서버에는 읽고 쓸 수 있는 디렉터리가 함께 제공됩니다. Doly Trojan, Fore, Invisible FTP, WebEx, WinCrash 및 Blade Runner에 의해 열린 포트.
포트: 22
서비스: Ssh
설명: PcAnywhere가 설정한 이 포트와 TCP 간의 연결은 SSH를 찾기 위한 것일 수 있습니다. 이 서비스에는 많은 약점이 있습니다. 특정 모드로 구성하면 RSAREF 라이브러리를 사용하는 많은 버전에 많은 취약점이 있습니다.
포트: 23
서비스: Telnet
설명: 원격 로그인, 침입자는 원격 로그인 UNIX 서비스를 검색하고 있습니다. 대부분의 경우 이 포트는 컴퓨터가 실행 중인 운영 체제를 찾기 위해 검색됩니다. 침입자가 비밀번호를 알아낼 수 있는 다른 기술도 있습니다.
Trojan Tiny Telnet Server는 이 포트를 엽니다.
포트: 25
서비스: SMTP
설명: SMTP 서버가 열어 놓은 포트는 이메일을 보내는 데 사용됩니다. 침입자는 스팸을 전달하기 위해 SMTP 서버를 찾습니다. 침입자의 계정은 폐쇄되었으며 간단한 메시지를 다른 주소로 전달하려면 고대역폭 E-MAIL 서버에 연결해야 합니다. Trojans Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth, WinPC 및 WinSpy는 모두 이 포트를 엽니다.
포트: 31
서비스: MSG 인증
설명: Trojans Master Paradise와 Hackers Paradise가 이 포트를 엽니다.
포트: 42
서비스: WINS 복제
설명: WINS 복제
포트: 53
서비스 : 도메인 이름 서버(DNS)
설명: 침입자는 영역 전송(TCP), DNS 스푸핑(UDP)을 수행하거나 다른 통신을 숨기려고 시도할 수 있습니다. 따라서 방화벽은 종종 이 포트를 필터링하거나 기록합니다.
포트: 67
서비스: 부트스트랩 프로토콜 서버
설명: DSL 및 케이블 모뎀을 통한 방화벽에서는 종종 브로드캐스트 주소 255.255로 전송된 대량의 데이터를 볼 수 있습니다. .255.255 . 이 컴퓨터는 DHCP 서버에서 주소를 요청하고 있습니다. HACKER는 종종 여기에 들어가 주소를 할당하고 로컬 라우터 역할을 하며 수많은 중간자 공격을 실행합니다. 클라이언트는 포트 68에 구성 요청을 브로드캐스트하고, 서버는 포트 67에 응답 요청을 브로드캐스트합니다. 클라이언트가 전송할 수 있는 IP 주소를 아직 모르기 때문에 이 응답에서는 브로드캐스트를 사용합니다.
포트: 69
서비스: Trival File Transfer
설명: 많은 서버는 시스템에서 시작 코드를 쉽게 다운로드할 수 있도록 bootp와 함께 이 서비스를 제공합니다. 그러나 구성이 잘못되어 침입자가 시스템에서 모든 파일을 훔칠 수 있는 경우가 많습니다. 또한 시스템에서 파일을 쓰는 데 사용될 수도 있습니다.
포트: 79
서비스: Finger 서버
설명: 침입자는 이를 사용하여 사용자 정보를 얻고, 운영 체제에 쿼리하고, 알려진 버퍼 오버플로 오류를 감지합니다. , 자신의 컴퓨터에서 다른 컴퓨터로의 지문 스캔에 응답합니다.
포트: 80
서비스: HTTP
설명: 웹 탐색에 사용됩니다. Trojan Executor가 이 포트를 엽니다.
포트: 99
서비스: 메타그램 릴레이
설명: 백도어 프로그램 ncx99가 이 포트를 엽니다.
포트: 102
서비스: TCP/IP를 통한 메시지 전송 에이전트(MTA)-X.400
설명: 메시지 전송 에이전트.
포트: 109
서비스: Post Office Protocol -Version3
설명: POP3 서버는 메일 수신을 위해 이 포트를 열고 클라이언트는 다음의 메일에 액세스합니다. 서버 측 서브. POP3 서비스에는 알려진 약점이 많이 있습니다. 사용자 이름 및 비밀번호 교환 버퍼 오버플로와 관련된 취약점이 최소 20개 있습니다. 이는 침입자가 실제로 로그인하기 전에 시스템에 들어갈 수 있음을 의미합니다. 로그인 성공 후 다른 버퍼 오버플로 오류가 발생했습니다.
포트: 110
서비스: SUN RPC 서비스의 모든 포트
참고: 일반적인 RPC 서비스에는 rpc.mountd, NFS, rpc.statd, rpc가 포함됩니다. csmd, rpc.ttybd, amd 등
포트: 113
서비스: 인증 서비스
설명: 많은 컴퓨터에서 실행되는 프로토콜입니다. TCP 연결 사용자를 식별하는 데 사용됩니다. 이 표준 서비스를 사용하면 많은 컴퓨터에 대한 정보를 얻을 수 있습니다. 그러나 이는 많은 서비스, 특히 FTP, POP, IMAP, SMTP 및 IRC와 같은 서비스에 대한 로거로 사용될 수 있습니다. 일반적으로 방화벽을 통해 이러한 서비스에 액세스하는 클라이언트가 많은 경우 이 포트에 대한 연결 요청이 많이 표시됩니다. 이 포트를 차단하면 클라이언트가 방화벽 반대편에 있는 전자 메일 서버에 대한 연결 속도가 느려지는 것을 경험하게 된다는 점을 기억하십시오. 많은 방화벽은 TCP 연결을 차단하는 동안 RST를 다시 보내는 것을 지원합니다. 이렇게 하면 느린 연결이 중지됩니다.
포트: 119
서비스: 네트워크 뉴스 전송 프로토콜
설명: NEWS 뉴스그룹 전송 프로토콜, USENET 통신을 전달합니다. 이 포트는 일반적으로 사람들이 연결할 USENET 서버를 찾는 곳입니다. 대부분의 ISP는 뉴스 그룹 서버에 대한 액세스를 고객에게만 제한합니다. 뉴스 그룹 서버를 열면 누구나 메시지를 게시/읽고, 제한된 뉴스 그룹 서버에 액세스하고, 익명으로 게시하고, 스팸 메시지를 보낼 수 있습니다.
포트: 135
서비스: 위치 서비스
설명: Microsoft는 DCOM을 제공하기 위해 이 포트에서 DCE RPC 끝점 매퍼를 실행합니다. 이는 UNIX 포트 111의 기능과 매우 유사합니다. DCOM 및 RPC를 사용하는 서비스는 컴퓨터의 끝점 매퍼에 해당 위치를 등록합니다. 원격 클라이언트가 컴퓨터에 연결되면 서비스 위치를 찾기 위해 끝점 매퍼를 찾습니다. HACKER가 이 컴퓨터에서 실행 중인 Exchange Server를 찾기 위해 컴퓨터의 이 포트를 검색하고 있습니까? 어떤 버전인가요? 이 포트를 직접 대상으로 하는 DOS 공격도 있습니다.
포트: 137, 138, 139
서비스: NETBIOS 이름 서비스
설명: 137 및 138은 UDP 포트이며 네트워크 환경을 통해 파일을 전송할 때 사용합니다. 포트. 포트 139: 이 포트를 통해 들어오는 연결은 NetBIOS/SMB 서비스를 얻으려고 시도합니다. 이 프로토콜은 Windows 파일 및 프린터 공유와 SAMBA에 사용됩니다. WINS 등록에서도 이를 사용합니다.
포트: 143
서비스: 임시 메일 액세스 프로토콜 v2
설명: POP3의 보안 문제와 마찬가지로 많은 IMAP 서버에는 버퍼 오버플로 취약점이 있습니다. 기억하세요: LINUX 웜(admv0rm)은 이 포트를 통해 번식하므로 이미 감염된 사용자도 의심하지 않고 이 포트를 검색하는 경우가 많습니다. 이러한 취약점은 REDHAT이 Linux 배포판에서 기본적으로 IMAP을 허용하면서 널리 알려졌습니다. 이 포트는 IMAP2에도 사용되지만 그다지 인기가 없습니다.
포트: 161
서비스: SNMP
설명: SNMP는 장치의 원격 관리를 허용합니다. 모든 구성 및 운영 정보는 데이터베이스에 저장되며 SNMP를 통해 사용할 수 있습니다. 많은 관리자 구성 오류가 인터넷에 노출됩니다. Cackers는 기본 비밀번호인 공개 및 비공개를 사용하여 시스템에 액세스하려고 시도합니다. 그들은 가능한 모든 조합을 실험해 볼 수 있습니다. SNMP 패킷이 사용자 네트워크로 잘못 전달될 수 있습니다.
포트: 177
서비스: X 디스플레이 관리자 제어 프로토콜
설명: 많은 침입자가 이를 통해 X-windows 콘솔에 액세스하며 6000을 열어야 합니다. 동시에 포트.
포트: 389
서비스: LDAP, ILS
설명: 이 포트는 Lightweight Directory Access Protocol 및 NetMeeting Internet Locator Server에서 사용됩니다.
포트: 443
서비스: HTTPS
설명: 웹 검색 포트, 보안 포트를 통해 암호화 및 전송을 제공할 수 있는 또 다른 유형의 HTTP입니다.
포트: 456
서비스: [NULL]
설명: Trojan HACKERS PARADISE가 이 포트를 엽니다.
포트: 513
서비스: 로그인, 원격 로그인
설명: 케이블 모뎀을 사용하여 서브넷에 로그인된 UNIX 컴퓨터에서 보내는 브로드캐스트입니다. DSL. 이러한 개인은 침입자가 시스템에 액세스할 수 있도록 정보를 제공합니다.
포트: 544
서비스: [NULL]
설명: kerberos kshell
포트: 548
서비스: Macintosh, 파일 서비스(AFP/IP)
설명: Macintosh, 파일 서비스.
포트: 553
서비스: CORBA IIOP(UDP)
설명: 케이블 모뎀을 사용하면 DSL 또는 VLAN이 이 포트의 브로드캐스트를 볼 수 있습니다. CORBA는 객체 지향 RPC 시스템입니다. 침입자는 이 정보를 사용하여 시스템에 침입할 수 있습니다.
포트: 555
서비스: DSF
설명: Trojans PhAse1.0, Stealth Spy 및 IniKiller가 이 포트를 엽니다.
포트: 568
서비스: 멤버십 DPA
설명: 멤버십 DPA.
포트: 569
서비스: MSN 멤버십
설명: MSN 멤버십.
포트: 635
서비스: mountd
설명: Linux mountd 버그. 이는 스캔에서 흔히 발생하는 버그입니다. 이 포트에 대한 대부분의 스캔은 UDP 기반이지만 TCP 기반 mountd가 증가했습니다(mountd가 두 포트에서 동시에 실행됨). mountd는 모든 포트(포트 111에서 portmap 쿼리를 수행해야 하는 포트)에서 실행될 수 있지만 NFS가 일반적으로 포트 2049에서 실행되는 것처럼 Linux의 기본 포트는 635입니다.
포트: 636
서비스: LDAP
설명: SSL(보안 소켓 계층)
포트: 666
서비스: Doom Id 소프트웨어
설명: 트로이 목마 공격 FTP 및 사탄즈 백도어가 이 포트를 엽니다.
포트: 993
서비스: IMAP
설명: SSL(보안 소켓 계층)
포트: 1001, 1011
서비스: [NULL]
설명: 트로이 목마 소음기, WebEx 개방형 포트 1001 .
Doly Trojan은 포트 1011을 엽니다.
포트: 1024
서비스: 예약됨
설명: 동적 포트의 시작입니다. 많은 프로그램에서는 어떤 포트를 사용하여 연결하는지 신경 쓰지 않습니다. 네트워크에 다음 여유 포트를 할당하도록 시스템에 요청합니다. 이 할당을 기반으로 포트 1024에서 시작됩니다. 즉, 시스템에 대한 첫 번째 요청에는 포트 1024가 할당됩니다. 컴퓨터를 다시 시작하고 Telnet을 연 다음 창을 열어 natstat -a를 실행하면 Telnet에 포트 1024가 할당된 것을 볼 수 있습니다. 이 포트와 포트 5000을 사용하는 SQL 세션도 있습니다.
포트: 1025, 1033
서비스: 1025: 네트워크 블랙잭 1033: [NULL]
설명: 트로이 목마 netspy는 이 2개의 포트를 엽니다.
포트: 1080
서비스: SOCKS
설명: 이 프로토콜은 방화벽을 통해 터널링하여 방화벽 뒤에 있는 사람들이 IP 주소를 통해 인터넷에 액세스할 수 있도록 합니다. 이론적으로는 내부 통신만 인터넷에 도달하도록 허용해야 합니다. 그러나 잘못된 구성으로 인해 방화벽 외부에 있는 공격이 방화벽을 통과할 수 있습니다. 이 오류는 WinGate에서 자주 발생하며 IRC 채팅방에 참가할 때 자주 나타납니다.
포트: 1170
서비스: [NULL]
설명: Trojan Streaming Audio Trojan, Psyber Stream Server 및 Voice는 이 포트를 엽니다.
포트: 1234, 1243, 6711, 6776
서비스: [NULL]
설명: Trojan SubSeven2.0 및 Ultors Trojan은 포트 1234 및 6776을 엽니다. . Trojan SubSeven1.0/1.9 포트 1243, 6711 및 6776을 엽니다.
포트: 1245
서비스: [NULL]
설명: Trojan Vodoo는 이 포트를 엽니다.
포트: 1433
서비스: SQL
설명: Microsoft의 SQL 서비스에 의해 열린 포트입니다.
포트: 1492
서비스: Stone-design-1
설명: 트로이 목마 FTP99CMP는 이 포트를 엽니다.
포트: 1500
서비스: RPC 클라이언트 고정 포트 세션 쿼리
설명: RPC 클라이언트 고정 포트 세션 쿼리
포트: 1503
서비스: NetMeeting T.120
설명: NetMeeting T.120
포트: 1524
서비스: 수신
참고: 많은 공격 스크립트는 이 포트에 백도어 SHELL을 설치합니다. 특히 SUN 시스템의 Sendmail 및 RPC 서비스 취약성을 표적으로 삼는 스크립트는 더욱 그렇습니다. 방화벽을 설치한 직후에 이 포트에 연결 시도가 표시된다면 아마도 위의 이유 때문일 것입니다. 사용자 컴퓨터의 이 포트에 Telnet을 연결하여 SHELL을 제공하는지 확인할 수 있습니다. 이 문제는 600/pcserver에 연결할 때도 발생합니다.