端口：635服务：mountd说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。
端口：636服务：LDAP说明：SSL（Secure Sockets layer）
端口：666服务：Doom说明：Id Software木马Attack FTP、Satanz Backdoor开放此端口
端口：993服务：IMAP说明：SSL（Secure Sockets layer）
端口：1001服务：[NULL]说明：木马Silencer、WebEx开放1001端口。
端口：1011服务：[NULL]说明：木马Doly Trojan开放1011端口。
端口：1024服务：Reserved说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
端口：1025、1033服务：1025：network说明：blackjack/1033：[NULL]木马netspy开放这2个端口。
端口：1080服务：SOCKS说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。
端口：1170服务：[NULL]说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
端口：1234、1243、6711、6776服务：[NULL]说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。
端口：1245服务：[NULL]说明：木马Vodoo开放此端口。
端口：1433服务：SQL说明：Microsoft的SQL服务开放的端口。
端口：1492服务：stone-design-1说明：木马FTP99CMP开放此端口。
端口：1500服务：RPC说明：client fixed port session queries RPC客户固定端口会话查询
端口：1503服务：NetMeeting说明：T.120 NetMeeting T.120
端口：1524服务：ingress说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。
端口：1600服务：issd说明：木马Shivka-Burka开放此端口。
端口：1720服务：NetMeeting说明：NetMeeting H.233 call Setup。
端口：1731服务：NetMeeting说明：Audio Call Control NetMeeting音频调用控制。
端口：1807服务：[NULL]说明：木马SpySender开放此端口。
端口：1981服务：[NULL]说明：木马ShockRave开放此端口。
端口：1999服务：cisco说明：identification port 木马BackDoor开放此端口。
端口：2000服务： [NULL]木马GirlFriend 1.3、Millenium 1.0开放此端口。
端口：2001服务：[NULL]说明：木马Millenium 1.0、Trojan Cow开放此端口。
端口：2023服务：xinuexpansion说明：4木马Pass Ripper开放此端口。

端口：2049服务：NFS说明：NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
端口：2115服务：[NULL]说明：木马Bugs开放此端口。
端口：2140、3150服务：[NULL]说明：木马Deep Throat 1.0/3.0开放此端口。
端口：2500服务：RPC说明：client using a fixed port session replication应用固定端口会话复制的RPC客户
端口：2583服务：[NULL]说明：木马Wincrash 2.0开放此端口。
端口：2801服务： [NULL]木马Phineas Phucker开放此端口。
端口：3024、4092服务：[NULL]说明：木马WinCrash开放此端口。
端口：3128服务：squid说明：这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
端口：3129服务：[NULL]说明：木马Master Paradise开放此端口。
端口：3150服务：[NULL]说明：木马The Invasor开放此端口。
端口：3210、4321服务：[NULL]说明：木马SchoolBus开放此端口。
端口：3333服务：dec-notes说明：木马Prosiak开放此端口。
端口：3389服务：超级终端说明：WINDOWS 2000终端开放此端口。
端口：3700服务：[NULL]说明：木马Portal of Doom开放此端口。
端口：3996、4060服务：[NULL]说明：木马RemoteAnything开放此端口。
端口：4000服务：QQ客户端说明：腾讯QQ客户端开放此端口。
端口：4092服务：[NULL]说明：木马WinCrash开放此端口。
端口：4590服务：[NULL]说明：木马ICQTrojan开放此端口。
端口：5000、5001、5321、50505服务：[NULL]说明：木马blazer5开放5000端口。木马Sockets deroie开放5000、5001、5321、50505端口。
端口：5400、5401、5402服务：[NULL]说明：木马Blade unner开放此端口。
端口：5550服务：[NULL]说明：木马xtcp开放此端口。
端口：5569服务：[NULL]说明：木马Robo-Hack开放此端口。
端口：5632服务：pcAnywere说明：有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。
端口：5742服务：[NULL]说明：木马WinCrash1.03开放此端口。
端口：6400服务：[NULL]说明：木马The tHing开放此端口。
端口：6670、6671服务：[NULL]说明：木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
端口：6883服务：[NULL]说明：木马DeltaSource开放此端口。
端口：6969服务：[NULL]说明：木马Gatecrasher、Priority开放此端口。
端口：6970服务：RealAudio说明：RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
端口：7000服务：[NULL]说明：木马Remote Grab开放此端口。
端口：7300、7301、7306、7307、7308服务：[NULL]说明：木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。
端口：7323服务：[NULL]说明：Sygate服务器端。
端口：7626服务：[NULL]说明：木马Giscier开放此端口。
端口：7789服务：[NULL]说明：木马ICKiller开放此端口。
端口：8000服务：OICQ说明：腾讯QQ服务:器端开放此端口。
端口：8010服务：Wingate说明：Wingate代理开放此端口。
端口：8080服务：代理端口说明：WWW代理开放此端口。
端口：9400、9401、9402服务：[NULL]说明：木马Incommand 1.0开放此端口。
端口：9872、9873、9874、9875、10067、10167服务：[NULL]说明：木马Portal of Doom开放此端口。
端口：9989服务：[NULL]说明：木马iNi-Killer开放此端口。
端口：11000服务：[NULL]说明：木马SennaSpy开放此端口。
端口：11223服务：[NULL]说明：木马Progenic trojan开放此端口。
端口：12076、61466服务：[NULL]说明：木马Telecommando开放此端口。
端口：12223服务：[NULL]说明：木马Hack99 KeyLogger开放此端口。
端口：12345、12346服务：[NULL]说明：木马NetBus1.60/1.70、GabanBus开放此端口。
端口：12361服务：[NULL]说明：木马Whack-a-mole开放此端口。
端口：13223服务：PowWow说明：PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。

[1] [2] 下一页