En Internet, cada host envía y recibe datagramas a través del protocolo TCP/TP. Cada datagrama se enruta en Internet en función de la dirección IP de su host de destino. Se puede ver que no hay ningún problema en transmitir con éxito el datagrama al host de destino. ¿Dónde radica el problema? Sabemos que la mayoría de los sistemas operativos admiten múltiples programas (procesos) ejecutándose al mismo tiempo, entonces, ¿a cuál de los muchos procesos que se ejecutan al mismo tiempo debería transferir el host de destino el datagrama recibido? Obviamente es necesario resolver este problema e introducir el mecanismo de puerto.
El sistema operativo local asignará puertos de protocolo (protocal ports, que a menudo llamamos puertos) a aquellos procesos que los requieran. Cada puerto de protocolo se identifica mediante un número entero positivo, como por ejemplo: 80, 139, 445. , etc. Cuando el host de destino recibe el datagrama, enviará los datos al puerto correspondiente según el número de puerto de destino en el encabezado del mensaje, y el proceso correspondiente a este puerto recibirá los datos y esperará la llegada del siguiente conjunto. de datos. En este punto, el concepto de puertos todavía parece abstracto, así que sigueme y no te alejes.
Los puertos son en realidad colas. El sistema operativo asigna diferentes colas a cada proceso. Los datagramas se envían a las colas correspondientes según el puerto de destino, esperando ser tomados por el proceso. Es posible que una cola se desborde, pero el sistema operativo permite que cada proceso especifique y ajuste el tamaño de su propia cola.
No sólo el proceso que recibe el datagrama necesita abrir su propio puerto, sino que el proceso que envía el datagrama también necesita abrir el puerto. De esta forma, el puerto activo quedará identificado en el datagrama. para que el receptor pueda devolverlo sin problemas. Los informes de datos llegan a este puerto.
Clasificación de puertos:
En Internet, según el tipo de protocolo, los puertos se dividen en dos categorías: puertos TCP y puertos UDP, aunque todos están identificados por números enteros positivos, esto. no significa que no causará ambigüedad, como el puerto TCP 80 y el puerto UDP 80, porque el datagrama también indicará el tipo de puerto al indicar el puerto.
Desde la perspectiva de la asignación de puertos, los puertos se dividen en dos categorías: puertos fijos y puertos dinámicos (algunos tutoriales también dividen los puertos altos raramente utilizados en una tercera categoría: puertos privados):
Puerto fijo (0-1023):
Utilizar un mecanismo de gestión centralizado, es decir, obedecer la asignación de puertos por parte de una organización gestora, que es la responsable de emitir dichas asignaciones. Dado que estos puertos están estrechamente vinculados a algunos servicios, a menudo los escaneamos para determinar si la otra parte ha abierto estos servicios, como TCP 21 (ftp), 80 (bios), UDP 7 (echo), 69 (tftp). , etc. Espere algunos puertos conocidos
Puertos dinámicos (1024-49151):
Estos puertos no están vinculados de forma fija a un determinado servicio y el sistema operativo los asigna dinámicamente. estos puertos Para cada proceso, el mismo proceso puede asignarse a diferentes puertos dos veces. Sin embargo, algunas aplicaciones no están dispuestas a utilizar los puertos dinámicos asignados por el sistema operativo. Tienen sus propios puertos "marcados", como el puerto 4000 del cliente oicq, el puerto 7626 de Trojan Glacier, etc., que son todos fijos y fijos. famoso.
El papel de los puertos en la intrusión:
Alguien comparó una vez el servidor con una casa y los puertos con puertas que conducen a diferentes habitaciones (servicios). Ésta es una buena metáfora. Si un intruso quiere ocupar esta casa, debe entrar por la fuerza (la intrusión física es otra cuestión), por lo que para el intruso es importante saber cuántas puertas se abren en la casa, qué tipo de puertas son y qué son. detrás de la puerta. Es importante.
El intruso suele utilizar un escáner para escanear los puertos del host de destino y determinar qué puertos están abiertos. A partir de los puertos abiertos, el intruso puede saber aproximadamente qué servicios proporciona el host de destino y luego adivinar los posibles. Existen vulnerabilidades, por lo que el escaneo de puertos puede ayudarnos a comprender mejor el host de destino. Para los administradores, escanear los puertos abiertos de la máquina local también es el primer paso para tomar precauciones de seguridad.
Introducción a los puertos comunes
Debido a mi conocimiento limitado, aquí solo presento algunos contenidos simples.
1) 21 ftp
Abrir este puerto significa que el servidor proporciona un servicio FTP. Los intrusos generalmente escanean este puerto y determinan si permiten el inicio de sesión anónimo. Si se puede encontrar un directorio grabable. También pueden cargar algunos programas de piratas informáticos para una mayor intrusión. Para cerrar este puerto, debe desactivar el servicio FTP.
2) 23 Telnet
Abrir este puerto significa que el servidor proporciona un servicio de inicio de sesión remoto. Si tiene el nombre de usuario y la contraseña del administrador, puede controlar completamente el host a través de este servicio (. pero primero necesita obtener autenticación NTLM) y obtener un shell en la línea de comando. A muchos intrusos les gusta abrir este servicio como puerta trasera. Para cerrar este puerto, debe cerrar el servicio Telnet.
3) 25 smtp
Abrir este puerto significa que el servidor proporciona servicios SMTP. Algunos servidores que no admiten autenticación permiten a los intrusos enviar correos electrónicos a cualquier ubicación. ) es también una de las formas más comunes de ingresar al sistema. Para cerrar este puerto, debe cerrar el servicio SMTP.
4) 69 TFTP (UDP)
Abrir este puerto significa que el servidor proporciona un servicio TFTP, que permite descargar archivos desde el servidor y escribir archivos si el administrador lo configura incorrectamente. Los intrusos pueden incluso descargar archivos de contraseñas. Muchos intrusos ejecutan este servicio en sus propias máquinas para transferir archivos a la máquina de destino, realizando así la transferencia de archivos. Para cerrar este puerto, debe cerrar el servicio TFTP.
5) 79 dedos
Se utiliza para obtener información del usuario, consultar el sistema operativo, detectar errores conocidos de desbordamiento del búfer y responder a escaneos dactilares desde su propia máquina a otras máquinas.
6) 80 stat -an
De hecho, esta no es una herramienta, pero es la forma más conveniente de verificar los puertos que has abierto. Simplemente ingresa este comando en cmd. . De la siguiente manera:
C:\>netstat -an
Conexiones activas
Proto Dirección local Estado de dirección extranjera
TCP 0.0.0.0 : 135 0.0.0.0:0 ESCUCHANDO
TCP 0.0.0.0:445 0.0.0.0:0 ESCUCHANDO
TCP 0.0.0.0:1025 0.0.0.0:0 ESCUCHANDO
TCP 0.0.0.0:1026 0.0.0.0:0 ESCUCHANDO
TCP 0.0.0.0:1028 0.0.0.0:0 ESCUCHANDO
TCP 0.0.0.0:3372 0.0.0.0 : 0 ESCUCHANDO
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1027 *: *
UDP 127.0.0.1:1029 *:*
UDP 127.0.0.1:1030 *:*
Esto es lo que abrió la máquina cuando yo no estaba Puertos en línea, dos 135 y 445 son puertos fijos y los puertos restantes son puertos dinámicos.
2 fport.exe y mport.exe
Estos también son dos pequeños programas para ver los puertos abiertos de la máquina local bajo la línea de comando. De hecho, son similares a. netstat -un comando, excepto que puede mostrar el proceso de apertura del puerto, que tiene más información. Si sospecha que su puerto extraño puede ser un troyano, utilícelo para verificar.
3 activeport.exe (también llamado aports.exe)
También se utiliza para ver los puertos abiertos de la máquina local además de tener todas las funciones de los dos anteriores. programas, también hay dos características más atractivas: la interfaz gráfica y la capacidad de cerrar puertos.
Esta es una herramienta absolutamente útil para principiantes y se recomienda utilizarla.
4 superscan3.0
¿No has oído hablar de su nombre? Es el software de escaneo de puertos puro número uno. Es rápido y puede especificar el puerto que se va a escanear. Hay mucho que decir, es una herramienta absolutamente imprescindible.
Proteja sus propios puertos:
Los amigos que son nuevos en Internet generalmente son muy sensibles a sus propios puertos. Siempre tienen miedo de que su computadora abra demasiados puertos y lo hacen. Tengo aún más miedo de que uno de ellos El puerto del programa de puerta trasera, pero como no estoy muy familiarizado con el puerto, no hay solución, por lo que me pongo muy nervioso cuando me conecto. De hecho, no es tan difícil proteger sus propios puertos. Simplemente haga lo siguiente:
1 Verificar: use frecuentemente comandos o software para verificar los puertos abiertos localmente para ver si hay puertos sospechosos;
2 Juicio: Si hay puertos abiertos con los que no está familiarizado, debe buscar inmediatamente la enciclopedia de puertos o los puertos troyanos comunes y otra información (hay muchos en Internet) para ver la descripción de la función de su puerto sospechoso, o use el software para verificar el proceso de apertura de este puerto para juzgar
3 Cerrar: si realmente es un puerto troyano o no hay una descripción de este puerto en la información; , entonces este puerto debe estar cerrado. Puede usar un firewall para bloquear este puerto, o puede usar Conexión local-TCP/IP-Opciones avanzadas-TCP/IP Filtrado para habilitar el mecanismo de filtrado para filtrar puertos;