rpcbind是什么服务,Linux里面rpcbind是什么？

rpcbind是什么服务,Linux里面rpcbind是什么？详细介绍

本文目录一览： Linux里面rpcbind是什么？

rpcbind工具可以将RPC程序号码和通用地址互相转换。要让某主机能向远程主机的服务发起RPC调用，
则该主机上的rpcbind必须处于已运行状态。
当RPC服务启动后，它会告诉rpcbind它监听在哪个地址上，还会告诉它为服务准备好提供的PRC程序
号码。当客户端要向某个给定的程序号码发起RPC调用时，它首先会联系服务端的rpcbind以确定RPC
请求应该发送到哪个地址上。
rpcbind工具应该在所有RPC管理的服务(rpc service)启动之前启动。一般来说，标准的rpc服务由端
口监视器来启动，因此rpcbind必须在端口监视器被调用之前已经启动完成。
当rpcbind工具已经启动后，它会检查特定的name-to-address的转换调用功能是否正确执行。如果失
败，则网络配置数据库会被认为过期，由于RPC管理的服务在这种情况下无法正确运行，rpcbind会输
出这些信息并终止。
rpcbind工具只能由super-user启动。

Linux里面rpc是什么？

第一步:输入ntsysv命令,将所需要的服务按“空格键”打上 * 号选定,然后保存退出; 第二步:如果需要的服务要开机自启动,那执行:chkconfig --level 2345 nfs on
第一步:输入ntsysv命令,将所需要的服务按“空格键”打上 * 号选定,然后保存退出; 第二步:如果需要的服务要开机自启动,那执行:chkconfig --level 2345 nfs on
RPC（Remote Procedure Call)中文全称远程过程调用，在Linux里有个rpcbind软件，是rpc的一个简单应用例子，是和网络存储NFS相关的软件，用户要想找到NFS存储，必须通过先访问RPCBIND才行。
对于大型网站来说，RPC是一个非常重要的架构
有了RPC可以让网站架构更加的系统、合理，例如：
1、服务化/微服务 2、分布式系统架构 3、服务可重用 4、系统间交互调用

rpcbind服务开机会自启动？

rpcbind服务开机会自启动。根据查询相关资料信息显示，rpcbind服务开机会自启动的原因是标准的rpc服务由端口监视器来启动，因此rpcbind必须在端口监视器被调用之前已经启动完成。

怎么鉴别psp是否被更改系统版本

乱七八糟的，盗版！！
机器的生产序列号
应该可以查出某个号段出厂是什么版本的
如果和系统版本不一致那肯定就是刷过的
论欢网络.d/inetinit的未尾。在Solaris 2.5
<w\,s(
中，只要touch /etc/notrouter. #@

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! p8

2.10) 如何取消automounter? `=

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! .u1

Automounter是由/etc/auto_*这些配置文件控制的，要取消它，只要简单地移去这些文件,]eLJV[

并且/或者将/etc/rc2.d/S74autofs改名。 KQv(

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! #n=V

2.11) 如何取消NFS服务? v$>~e

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 7ZDu

NFS的共享输出是由/etc/dfs/dfstab文件管理的.可以删除它。要将NFS服务器的守护进程关闭YVKq

则可以重命名/etc/rc3.d/S15nfs.server。要防止一台机器成为NFS客户机，可以重命名文件"F@K

/etc/rc2.d/S73nfs.client——当重命名这些自启动文件时，要注意不要将文件的首字母设为A

“S”。 Qek(S(

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 6kfe

2.12) 对cron任务我该注意些什么？ 9%0Or

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! d#3

你得查看所有的cron任务——在/var/spool/cron/crontabs文件中你可以找到它们。还必须在,5

/etc/default/cron里设置了"CRONLOG=yes" 来记录corn的动作。 a#@'Hs

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! V

2.13) 使用动态路由有什么风险吗? )

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! &6XE0

使用动态路由守护进程的机器用in.routed及in.rdisc来维护路由，这可能会大大增加路由协议的复杂程j=!eFK

度，而且路由更新会消耗相当大比便的可用带宽，因此在可能的情况下，还是建议你使用静态路由。s

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! _T'@

2.14) 何时及如何运用静态ARP? c

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! zJ]k

ARP是联系IP地址和以太网的协议(地址转换协议) 。默认地，Solaris机器动态地确定ARP地址，arp命令X4W}C

可以用来静态地设定ARP表并且刷新它，如果你的系统里仅有少量无需更改的机器，那么这是一个很好的工具。/

为了防止ARP欺骗，最好将受托机器的硬件地址作为永久条目保存在ARP的高速缓存中。`RPH_~

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! `6IXp=

2.15) 运行rpcbind是不安全的吗? -OtkE

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! aQA"X1

rpcbind是允许rpc请求和rpc服务之间相互连接的程序，但标准的rpc是不安全的:(,它使用的是"AUTH_UNIX"$Qr

验证, 也就是说它依靠的是远程系统的IP地址和远程用户的UID来验证。一般的系统可能需要某些rpc存在，但a<$,

对各种服务器如Web servers, ftp servers, mail servers, etc)最好将rpc服务关闭，你也可以通过Et;hL

一些安全工具来确定rpc服务是否会影响到你系统的安全性。可以通过将/etc/rc2.d/S71RPC改名来禁止rpc。){\NWy

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! )JUg

2.16) /etc/utmp的权限应该如何设定? ~

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! qKM

# chmod 644 /etc/utmp !?AH

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! ,@

2.17) 哪些程序可以去掉SUID位? _Wk~

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 9Zm

许多setgid和setuid程序都只是由root运行的，或者是由某些特定用户或组运行，那就可以将其setuid位3g

移去，下面是一个Solaris 2.6上setuid程序的列表，你应该根据自己的情况进行增减。G

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! Bd
<xub
# find / -perm -4000 -print8j

/usr/lib/lp/bin/netprMap5+

/usr/lib/fs/ufs/quotaZeaB

/usr/lib/fs/ufs/ufsdumpzHyA

/usr/lib/fs/ufs/ufsrestore]53[x}

/usr/lib/fs/vxfs/vxdump$a

/usr/lib/fs/vxfs/vxquota(_HC_

/usr/lib/fs/vxfs/vxrestore=gG?1

/usr/lib/exrecover}^CE!u

/usr/lib/pt_chmodvwp

/usr/lib/sendmail$%V7TC

/usr/lib/utmp_updatefD]

/usr/lib/acct/acctonGi4V#

/usr/lib/uucp/remote.unknownrc_Ltl

/usr/lib/uucp/uucicok6?UKT

/usr/lib/uucp/uusched:)Jh2

/usr/lib/uucp/uuxqtYQ:

/usr/lib/sendmail.origRuJ@

/usr/openwin/lib/mkcookie#

/usr/openwin/bin/xlock&

/usr/openwin/bin/ff.core;5Rw

/usr/openwin/bin/kcms_configure?3)s`2

/usr/openwin/bin/kcms_calibrateIGCIlo

/usr/openwin/bin/sys-suspend%lH1

/usr/dt/bin/dtactionL

/usr/dt/bin/dtappgather},lO

/usr/dt/bin/sdtcm_convertj

/usr/dt/bin/dtprintinfoJaCu#_

/usr/dt/bin/dtsession:.PCc

/usr/bin/at@

/usr/bin/atq?kn

/usr/bin/atrmvq}k

/usr/bin/crontabgHl%

/usr/bin/ejectTr#

/usr/bin/fdformat$8#h

/usr/bin/loginR"w

/usr/bin/newgrpY~g

/usr/bin/passwd*~I:

/usr/bin/ps6NII#

/usr/bin/rcphk`tG

/usr/bin/rdist,b

/usr/bin/rloginl|#y1

/usr/bin/rshT

/usr/bin/suAt4)%w

/usr/bin/tip0

/usr/bin/uptimehz"

/usr/bin/w9Qftd

/usr/bin/yppasswd9

/usr/bin/admintool9

/usr/bin/ctt!R-{5

/usr/bin/cu1)M

/usr/bin/uucp:6oB

/usr/bin/uuglist"{`a!

/usr/bin/uuname&dMJt

/usr/bin/uustatn`73

/usr/bin/uuxbC}

/usr/bin/chkeyw

/usr/bin/nispasswdJaAfL

/usr/bin/cancel!

/usr/bin/lp;

/usr/bin/lpsetK

/usr/bin/lpstat+,

/usr/bin/volcheckCu:

/usr/bin/volrmmount@|

/usr/bin/pppconnH(o8

/usr/bin/pppdisc=6O_

/usr/bin/ppptool.

/usr/sbin/allocatet%R

/usr/sbin/mkdevallocbd

/usr/sbin/mkdevmaps"Ux

/usr/sbin/pingk,s

/usr/sbin/sacadmu/G|

/usr/sbin/whodo^zxa7W

/usr/sbin/deallocatesj

/usr/sbin/list_devices&x

/usr/sbin/m64config<@(,[

/usr/sbin/lpmoveShU=)

/usr/sbin/pmconfigb}nem

/usr/sbin/static/rcpljyY.

/usr/sbin/vxprintaV

/usr/sbin/vxmkcdev/hDu>

/usr/ucb/psq

/usr/vmsys/bin/chkperm]t_A'

/etc/lp/alerts/printerNKF1""

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! _eyRP=

而且还应该建立一个setuid/setgid程序的列表，日后可以对比是否有新的setuid程序出现--这可能是=9c9=%

入侵者光临过的征兆。\R

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! J,and$

2.18) 哪些系统工具我可以去掉它? a. E

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! (i' X

所有的网络工具你都应该检查并且确定它在你的系统环境里是否是必需的，如果答案为否的话，就Ge

干掉它，下面这些工具有些可以在开始文件中找到它，有些则上在/etc/inetd.conf中被启动的，注f_P

释掉那些不必要的服务，并且kill -HUP inetd守护进程——类似的东西有：X6i{mr

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 6xCIp

tftp systat rexd ypupdated netstat(h!

rstatd rusersd sprayd walld execp%1x

comsat rquotad name uucp(

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! @y'

最好把常规的inetd.conf替换掉——改成只开telnet和ftp服务——如果你真的需要它们的话(建议再:bU]P

用防火墙建立阻塞)。~Mc+`

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! EsZ^8~

2.19) 我应该运行in.fingerd吗? S

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! pl;

in.fingerd在过去有一些安全问题，如果你想提供finger工具，用nobody来运行它。X>

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! Xz4R!

2.20) 如何让syslog有更大作用?STRH

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! :]#595

默认情况下，syslog仅提供最精简的记录，你可以通过编辑/etc/syslog.conf文件来让syslog记WmJ

录更多的信息，然后你需要重启syslog以使它读取配置文件。'\vH4W

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! g

你还可以通过Bhq1d%

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! T]W>

touch /var/adm/loginlogV

chmod 600 /var/adm/loginlog'#

chgrp sys /var/adm/loginlogfP"9e

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 7N),

来建立login的记录。1

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! O_

2.21) 对EEPROM如何做才能更安全? w{]@W

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 1g

将EEPROM设于安全的模式：通过设定对"ok setenv security-mode=command"的密码保护来实现。,U.sop

当然这并不能真正地防止入侵，如果某人可以物理接触某控制台的话，它就能打开机器并替换掉EEPROM，:jLd

更改hostid........\q|"bL

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! `mk\

2.22) 我的机器是处于“混杂模式”下吗? `R

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! xR

在Solaris下，你只能通过安装某些工具来判断是否机器是处于混杂模式下，可以参见第三部分。只有当你2

运行诸如snoop或者某些网络监听软件时机器才会处在混杂模式下，如果你并没有监听整个网络，那极大的可|b6!_

能性就是黑客已经侵入到你的系统中并且开始以监听来接收数据了。W

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! %Es

2.23) 如果我必须运行NFS，如何使它更安全? ]

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! /&L

在/etc/dfs/dfstab中的所有文件将被所有人共享，默认情况下，NFS客户会以"-o rw"或者"-o ro"选项{qCP)

共享。 k`Btj=

必须使用"nosuid"参数来使setuid程序失效。}wD/W

不要通过rpcbind来运行nfs mount。而是用更安全的rpcbind替代程序或者安装SUN最新的rpcbind补丁。,"GzS{

在可能的情况下，尽量使用secure-RPC。否则的话，你运行的是"AUTH_UNIX"认证,它仅仅依靠客户的IP地)Z@%gK

址来进行验证，很容易有IP欺骗的情况发生。Q#p

在可能的情况下，不要使用NFS，因为它的信息传递是通过明文的(甚至你用了"AUTH_DES"或者"AUTH_KERB"来>b~

进行认证)所以传输的任何文件对嗅探来说是及危险的。V }\Y

有程序可以猜度ROOT所mountr的文件名柄，并且获得NFS server上的文件。 %?f

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! `lr|"w

2.24) 如何让sendmail更安全? n5

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! u)

sendmail总是不断地有新漏洞被发现，怎样才能使它更安全呢？#w9i

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! [OON

使用最新版本的Berkeley sendmail (see section 3) L9Uy5

使用smrsh (section 3) 8R

从/etc/aliases里删除decode .

将/etc/aliases的权限设为644 C>LdX

可以考虑使用代理防火墙来过滤SMTP中不必要的命令。^

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! O]+n:

2.25) NIS是安全的吗，如何使其更强壮? *pk

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! q)*rUx

NIS从来就不是一个安全的服务，如果配置得当的话NIS+会更好些，就象暴力破解密码一样，NIS域名(j

如果被猜出来，就会给入侵者提供相当丰富的信息，要关闭这个漏洞，可以将信任主机的地址放在x}:p\i

/var/yp/securenets中。并且考虑使用NIS+或者secure RPC。*Cp

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 5+P

2.26) 匿名FTP要怎样才会安全可靠? ^tza

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! e33ca

Solaris 2.5 ftpd(1M)包含了一个很好的FTP配置说明)W

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! SU#R

cp /etc/nsswitch.conf ~ftp/etc SV

确保包含~ftp的文件系统在被安装是没有用nosuid选项
<!-- 在~ftp下任何文件的属主都不是"ftp" CV

更详细的信息参见它的配置说明及FAQ'5U|Q

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! }3

2.27) 如何将X配置得更安全? =Wpj

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! /6AY=c

使用SUN-DES-1选项来调用Secure RPC来通过X鉴别，可以使用xhost +user@host来通过访问请求。$+r

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 1X

2.28) 如何打开SUN-DES-1的鉴别机制? wkrFt`

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 1

set DisplayManager*authorize: true @#n

set DisplayManager._0.authName: SUN-DES-1 'MqS (

rm ~/.Xauthority NZBO

增加对localhost的许可权限：通过xauth local/unix:0 SUN-DES-1 unix.local@nisdomain3

xauth local:0 SUN-DES-1 unix.local@nisdomain M

Start X via xinit -- -auth ~/.Xauthority "2fc_

把你自己加入，并移去其他所有人：xhost +user@ +unix.local@nisdomain -local -localhost K7@

赋予用户foo进入主机"node"的权限: ya

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! SG

允许foo进入node: xhost +foo@ 9!?&}

建立适当的foo的xauthority： xauth add node:0 SUN-DES-1 unix.node@nisdomain Em)W

foo现在就能连上"node"了: xload -display node:0 eg@

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! .

2.29) 我需要安装哪些补丁? Ft@

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! h

用showrev -p命令来察看补丁在系统里的安装情况，在你想保护的主机以及大众都可以访问的主机$@o>I

上，你应该到SUN公司的主页上去查找相关的补丁包来安装，并且应该常常查看最新的补丁发布情况。T

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! u)I

2.30) 如何防止在堆栈中执行代码? a[sx

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! +O+)-7

入侵者常常使用的一种利用系统漏洞的方式是堆栈溢出，他们在堆栈里巧妙地插入一段代码，利用@sB

它们的溢出来执行，以获得对系统的某种权限。ms?~

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! E

要让你的系统在堆栈缓冲溢出攻击中更不易受侵害，你可以在/etc/system里加上如下语句：b

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 6C

set noexec_user_stack=1qi

set noexec_user_stack_log =1amuW4U

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! [v

第一句可以防止在堆栈中执行插入的代码，第二句则是在入侵者想运行exploit的时候会做记录:)IR;6W

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 7FMGFD

3) 应该增加或者替代哪些程序? y(4KS

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! xglj"

3.1) inetd G\)/x`

pNl>

inetd可以用xinetd代替，以增加日志功能。 RBq~I

xinetd: ]?

ftp://qiclab.scn.rain.com/pub/security/xinetd* O#Co

或 ftp://ftp.dlut.edu.cn/pub/unix/sun-source/xinetd-2.1.tar.Z(不知是否为最新版本). _d:

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! h"p]/

3.2) ifstatus qGJJV4

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! f=e`

ifstatus可以确定你的网卡是否工作于混杂模式（有人进行网络监听?） \)a

url: ?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! CXY

ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/ W+

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! p=#

3.3) xntp o

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! ^@INP

xntp是有个更安全的网络时间协议(Network Time Protocol). Va!

URL: ?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 3

ftp://ftp.udel.edu/pub/ntp/xntp3-5.93.tar.gz (1907KB) nZ:]4

3.4) sendmail '

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! ;

用Berkeley Sendmail(http://www.sendmail.org/)替代Solaris自带的sendmail. E~Hob

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! v=

3.5) rpcbind [s

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! O

可以用如下URL中的rpcbind替换Solaris自带的rpcbind, 这个rpcbind包含了类似 😀

于tcpwrapper的功能并关闭了通过rpcbind访问NFS. YEV

SD-A

ftp://ftp.win.tue.nl/pub/security/rcpbind_1.1.tar.Z @9

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! $e4

3.6) 口令检查程序 hbMQ<

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 2BLE>5

很不幸，Solaris 上还未发布passwd+及npasswd, 这两个程序可以用于检查在UNIX &%;|h

上那些愚蠢的口令。 1T6

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 9c

3.7) crack V4B/

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! Wb?:.

crack可以找出/etc/shadow中那些容易猜测的口令，虽然运行crack将会使CPU的 WOZ

参考资料：http://www.nettu.net/cgi-bin/topic.cgi?forum=3&topic=56

回答者：dqy5319 - 见习魔法师 二级 10-25 10:33

在PSP的包装盒上应该有一个电压的标示(120V 或者 240V)在那个标示的下面因该有一个字母,那个字母就是版本号的提示。

不同字母的意思：

没字母 = 1.5 (北美第一版PSP)

A = 1.5

B = 1.51

C = 1.52

D = 1.52

E = 1.52

F = 2.0

G = 2.01

H = 2.50

当然，如果写的是G那么机子就是不可降级的2.0或2.50

依次类推。

然后，PSP有“一次开机画面”，被降级过的话，也就是被开机过，那么一次开机画面是不会有的了。如果入手的是第一批PSP，那JS也不可能做手脚，当时试机时，就有一次开机画面。

你试机器的时候，不按圆圈键，它就不会消失，所以boss在你挑机子的时候，都会嘱咐的！

但其实无所谓是原版还是升级版，都是一样的，使用上没有区别的。倒是翻新机要注意啊！现在的翻新机分为3种：原厂翻新， 全机翻新，半机翻新。

翻新机的制作方式即辨别方法:

原厂翻新:机器都是召回机，比如说坏点太多，光驱问题等等，这种机器基本上没有问题，但是此机的外包装盒与正常机器有区别。这种机器的盒子是白色的，上面没有任何图画，只有PSP 出厂编号等一些文字信息，而且包装做工简陋。

半机翻新:此种机器只翻新了面盖，也就是前面板，前面板是原装组装不得而知，不过做工绝对与新机的做工无二方法是把前面板拆开，卸下摇杆和按键(这里要说一点，有的面盖是带灯的，有的面盖是不带灯的 就是电源灯那里的透明塑料片)然后用皮老虎或其他工具吹掉灰尘再安装。上此种翻新的机器和新机的区别在于螺丝有痕迹，后面板光圈可能有划伤，后面板光圈贴附是否平整(这个东西都有换的了!强!)前面板与后面板接缝处结合不紧密。按键由于是旧机器拆下来的对光看100%有划伤，HOME、音量、START等下方控制键与面板颜色不符色泽暗淡，USB接口有磨损或灰尘较多，面板内部可能有灰尘或手印(当然有的新机也有灰尘，不过灰尘数量非常少，而粒灰尘是最多的)电池舱内的两条贴纸对光看颜色不一样(因为现在已经有假的贴纸了，拆机必撕贴纸手法再高也会留下痕迹。所以为了掩人耳目肯定会贴假的)L R键有磨损，电源灯和记忆棒灯透光度低(因为有的外壳上没有灯需要把原来的拆下来再粘上但是无论用什么方法再粘上的灯的两度都会不如原来高，当然壳上有灯的除外)。

全机翻新:此种机器采用的是用全套外壳为机器翻新，包括后面板光圈及按键、开关等等。所用的方法自然是把PSP大卸八块然后外面的外壳全部换掉，以此达到目的。辨别方法就是看电池舱内贴纸上下是否颜色一致，螺丝有无痕迹，后面板光圈贴附是否平整，前后面板接缝处是否严实，屏幕上是否有灰。总之不太好鉴别。

回答者：淘淘seven7 - 见习魔法师 二级 10-25 11:10

机器的生产序列号

应该可以查出某个号段出厂是什么版本的

如果和系统版本不一致那肯定就是刷过的

回答者：炸虾盖饭 - 试用期 一级 10-25 11:19

具备强劲图形处理能力的PlayStation Protable（简称PSP）自2004年12月12日上市以来，经历了多达十次的系统更新，每次的更新都会对系统安全性及功能等各方面升级，许多国内的PSP玩家都只沉溺于强大第三方自制软件支持的Ver 1.5版本，到底v1.5版与v2.5版有何区别呢？索尼官方每次的系统升级，又带来了什么样的新特性？以下我们将逐一为你介绍：

在[Settings]设置目录下进入[System Settings]菜单，然后选择[System Information]便能查看该PSP的系统版本。目前对PSP进行升级有3种方法，通过PC把升级文件传送到记忆棒上再让PSP读取然后升级；通过游戏UMD提示而强硬升级，都是常见的升级途径，而v2.7版本的PSP允许通过PSP内建的浏览器连接到官方网站直接升级，是最简便的升级方式

PSP Verson 1.0

系统评点：最原始的PSP系统，也是首批PSP的出厂系统，由于初期的加密措施并不完善，所以导致首发半年后被国外黑客破解，通过记忆棒来运行游戏。

PSP Verson 1.5

系统评点：目前功能最为强大的PSP系统，由于黑客对该系统的源代码进行破解，所以大量的模拟器程序及ISO引导程序相继登场，而且还加上众多如“英汉词典”“PMP格式影像播放器”“CNReader电子书”等第三方软件的支持，1.5系统的魅力绝对超越其他版本。

此外，v1.5与v1.0系统的通用性非常广，v1.5主要是修正了v1.0的部分BUG而来，但基本特性与v1.0相同，第一批自制程序是完全对应v1.0的，但随着v1.5系统普及，v1.0全面升级，使到大部分黑客把自制程序向v1.5系统转移。

强大的第三方软件阵容支持，令陶瓷白2.0版PSP价格曾一度炒至高达2700RMB

PSP Verson 1.51

系统评点：针对v1.5系统被破解，索尼官方为保证PSP系统的不开发性而推出的“补丁”，v1.51仅是增强系统安全性为目的。改版本没有添加新功能。

备注： v1.51版本的PSP可以升级至v2.0后再利用v2.0的漏洞降至v1.5 。

系统评点：在增强系统安全性的基础上新增一项功能。

更新点：

[Music]UMD的MUSIC软件可通过系统选单“MUSIC”播放

备注： v1.52版本的PSP同样可以升级至v2.0后再利用v2.0的漏洞降至v1.5 。

PSP Verson 2.0

系统评点：首度加入了网络功能，让PSP能在布有网络的区域内享受无线上网的快感；此外，允许用户自行设定背景壁纸也是一个很大的亮点。由于Photo目录下的浏览功能存在漏洞，所以用户可以利用这项漏洞对v2.0版的PSP进行降级，降至v1.5。

[Network]追加“网络浏览界面”

[Video]追加“跳跃”、追加“A－B重复播放”、屏幕显示机能追加“4：3”

[Music]搭配“Sonicstage”3.2或之后的更新版本，可将“ATRAC3plus”形式的音乐档案传送至记忆棒，可播放档案追加了MP4（AVC），WAVE(Linear PCM)

[Photo]追加追布机能。追加图像之传送与接收机能，可显示图像种类，追加了TIFF、GIF、PNG、BMP。

[Setting]“System Language”中追加了韩文：“System Setting”内追加了“Character Set”、追加了“Theme Setting（主题设定）”；“Security Setting（安全性设定）”内追加了Internet Browser Start Control“（网络浏览界面启动限制）”；“Network Setting”安全性方面追加了WPA-PSK(TKIP),键盘输入模式追加了网络捷径列

PSP Verson 2.01

系统评点：v2.0系统存在漏洞，黑客利用这个漏洞让v2.0版的PSP成功降至v1.5引起了不少风波，索尼承认v2.0系统的确存在漏洞，并推出v2.01升级补丁以填补漏洞，增强系统安全性。改版本没有添加新功能。

PSP Verson 2.5

系统评点：在v2.0基础上强化了部分网络功能。同时原生的v2.5主机硬件架构也起了变化。

更新点：

[Network]追加“LocationFree Player(播放界面)”

[网络浏览界面] 选单，在“View”的“Encoding”“Vuto-Select(自动选择)”与“Unicode(UTF－8)”

可保存网络“浏览界面”的“Text Sixe(文字大小)”和“Display Mode（显示方式）”的设定；可保存“网络浏览界面”连线时输入履历。

[Video]可播放具备著作权保护机能影像。（保存于记忆棒的影像）

[Settings]在“Dade&Time Settings（日期&时间设定）”的“Dade and Time（时间与日期）”中追加“Set via Internet（通过网籍网络设定）”选项。在“Network Setting”安全性方式追加了“WPA-PSK（AES）”。其它方面，屏幕键盘输入模式追加了韩文。

备注：索尼对原生的v2.5版PSP机器内部设计进行了大幅修改，一方面是增强主机硬件安全性，另一方面是对基版电路进行优化，降低成本。也就是说原生v2.5版的PSP内部构造跟对上版本的PSP是不一样的

此外，国外黑客通过PSP版《侠盗飞车 自由之城故事》UMD中存在的漏洞对v2.5系统进行分析，破解有所进展，通过《侠盗飞车 自由之城故事》UMD引导，能在v2.5系统下执行专门的模拟器，不过其完成度却不如v1.5版的高，而且至今也没有一个非常满意的结果。

包括《怪物猎人P》《侠盗飞车》等大作在内都必须要Ver 2.5系统运行

PSP Verson 2.6

系统评点：大大强化了网络多媒体功能，网络文字编码支持简/繁体中文字，对国内用PSP上网的玩家来说意义非同小可，支持WMA格式音乐也使得PSP的多媒体功能迈进了一大步.

更新点：

[Network]追加“RSS阅览器”机能，在“LocationFree?Player（播放界面）”中追加了“Volume Adjustment（调整音量）”选项。在“网络浏览接口”选单中“View(显示)”的“Encoding（文字编码）”中追加了“Traditional Chinese（BIG 5）（繁体中文BIG 5）”和“Simplified Chinese（GB18030）(简体中文GB18030)”

[Music]可播放之音乐格式追加了WMA(Windows Media Audio)(保存于记忆棒中的音乐)，但不支持WMA9 Professional、WMA9 Lossless于对应著作权保护机能的WMA格式的音乐资料前，将“Enable WMA Playback（启动WMA播放）”机能设定为有效。

[Settings]在“System Settings”内追加了“Enable WMA Playback（启动WMA播放）”设定。

PSP Verson 2.70

系统评点：PSP第八次系统更新终于迎来了中文系统语言，这是华人玩家最受关注的更新点。其次，v2.7系统开始支持记忆棒运行游戏Demo试玩，不过仅有一款《LocoRoco》。

更新点：

[Network]实用“网络浏览界面”，可播放支持Macromedia Flash格式的内容。但必须在播放Flash格式的内容前，进入PSP的“主机设定”，将机能设定为有效，并且已安装“Macromedia Flash 6”软件；

在“网络浏览接口”的“设定”追加了“连线设定”；启动“RSS频道”后登陆的频道声音内容可保存至记忆棒。

[Music]在“Location Free Player”的“播放率”中追加了“自动”并追加了可播放AAC格式的档案的副档案名。

[Settings]在“主机设定”追加了“启动Flash Playr”。PS::设定时需与网络连接。在“主机设定”的系统语言追加了繁体中文与简体中文。追加了“RSS频道设定”；“影像设定”追加了“UMD L、R按钮”。

PSP Verson 2.71

系统评点：主要强化了试玩版下载功能，玩家可以通过PSP浏览器直接下载试玩版游戏到PSP的记忆棒上。同时提供了第二款试玩益智游戏《Kazuo》。此外，网络功能方面的强化似乎是专门针对日本电视台推出的2006世界杯付费下载服务而准备的。

机器的生产序列号

应该可以查出某个号段出厂是什么版本的

如果和系统版本不一致那肯定就是刷过的

The Solaris安全FAQ X7

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! t?

by quack 16!DKT

参考资料：The Solaris Security FAQ by Peter Baer Galvin P

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! A$R

1) (概述--略)30e]2L

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 5"

2) 怎样将Solaris配置得更加强壮? I&3k

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! :7=.

2.1) 哪些文件的许可权限需要改变? 1"4h5

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! aX

有个叫fix-modes的软件(ftp://ftp.fwi.uva.nl/pub/solaris/fix-modes.tar.gz)可以在+F

Solaris 2.4和2.5上运行并改变系统文件及目录的存取权限，这样会使非ROOT的用户更难HHiM<

于更改系统文件或者取得ROOT权限。k|

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! >D5-Sv

2.2) 如何对ROOT的环境加以配置? =ATT

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! P420<

将umask设为077或者027. C(>\a

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! zugk

查看你的环境中路径设置情况，不要有./%j5j]

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! \jm=

2.3) 我该更改哪些启动文件? KNND

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! .RebH

通常情况下，你要检查所有在/etc/rc2.d和/etc/rc3.d以S开头的文件,所有并非必要的设备B3w

或者服务都可以重命名(不要再以S开头)，然后你可以重新启动，从/var/adm/messages中来/U["d

观察自启动的情况，并且从ps -elf的输出中加以检查。v

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! YY1w&

2.4) 如何将ROOT的远程登陆取消? @@Hs

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! KQI

在/etc/default/login里加上 "CONSOLE"行，在/etc/ftpusers里加上root。#f\w0

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! .H:wC$

2.5) 如何取消rlogin/rsh服务? "T:n"m

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! (

移去/etc/hosts.equiv和/.rhosts以及各home目录下的.rhosts，并且在/etc/inetd.conf中Lah)R

把r系列服务都杀掉，然后找出inetd的进程号，重启它。u/e

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! O

2.6) 哪些帐号是不必须的? _

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! p%@D\

移去或者锁定那些不是必须的帐号，比如sys\uucp\nuucp\listen等等，简单的办法是在S0%6

/etc/shadow的password域中放上NP字符。f
<kfr
?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! e,

2.7) 怎样保护我的设备? +kJ{Xv

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! rkD25Q

在文件/etc/logindevperm中包含了对系统设备的许可权限配置信息，应该检视里面的各项g;+@a{

设定并且手动赋予你所想要的许可权限。[H2rmX

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! V

对于抽取式的BSM设备需要设定只有single user允许进入。>vL.|

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! $3

2.8) 我应该将/etc的存取权限改为什么才安全? -?%9)C

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! %

用chmod -R g-w /etc命令来移去组用户对/etc的写权限。j5

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! l=!

2.9) Solaris机器充当路由器? \8

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 9yKqI

默认情况下，如果Solaris机器有超过一块的网卡的话，它将会在不同网卡间转发数据包，这一行为可ug%S

以在/etc/init.d/inetinit中得到控制。要在Solaris 2.4或者更低版本机器下关闭它，可以将r

ndd -set /dev/ip ip_forwarding 0添加于/etc/init.d/inetinit的未尾。在Solaris 2.5
<w\,s(
中，只要touch /etc/notrouter. #@

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! p8

2.10) 如何取消automounter? `=

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! .u1

Automounter是由/etc/auto_*这些配置文件控制的，要取消它，只要简单地移去这些文件,]eLJV[

并且/或者将/etc/rc2.d/S74autofs改名。 KQv(

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! #n=V

2.11) 如何取消NFS服务? v$>~e

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 7ZDu

NFS的共享输出是由/etc/dfs/dfstab文件管理的.可以删除它。要将NFS服务器的守护进程关闭YVKq

则可以重命名/etc/rc3.d/S15nfs.server。要防止一台机器成为NFS客户机，可以重命名文件"F@K

/etc/rc2.d/S73nfs.client——当重命名这些自启动文件时，要注意不要将文件的首字母设为A

“S”。 Qek(S(

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 6kfe

2.12) 对cron任务我该注意些什么？ 9%0Or

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! d#3

你得查看所有的cron任务——在/var/spool/cron/crontabs文件中你可以找到它们。还必须在,5

/etc/default/cron里设置了"CRONLOG=yes" 来记录corn的动作。 a#@'Hs

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! V

2.13) 使用动态路由有什么风险吗? )

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! &6XE0

使用动态路由守护进程的机器用in.routed及in.rdisc来维护路由，这可能会大大增加路由协议的复杂程j=!eFK

度，而且路由更新会消耗相当大比便的可用带宽，因此在可能的情况下，还是建议你使用静态路由。s

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! _T'@

2.14) 何时及如何运用静态ARP? c

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! zJ]k

ARP是联系IP地址和以太网的协议(地址转换协议) 。默认地，Solaris机器动态地确定ARP地址，arp命令X4W}C

可以用来静态地设定ARP表并且刷新它，如果你的系统里仅有少量无需更改的机器，那么这是一个很好的工具。/

为了防止ARP欺骗，最好将受托机器的硬件地址作为永久条目保存在ARP的高速缓存中。`RPH_~

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! `6IXp=

2.15) 运行rpcbind是不安全的吗? -OtkE

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! aQA"X1

rpcbind是允许rpc请求和rpc服务之间相互连接的程序，但标准的rpc是不安全的:(,它使用的是"AUTH_UNIX"$Qr

验证, 也就是说它依靠的是远程系统的IP地址和远程用户的UID来验证。一般的系统可能需要某些rpc存在，但a<$,

对各种服务器如Web servers, ftp servers, mail servers, etc)最好将rpc服务关闭，你也可以通过Et;hL

一些安全工具来确定rpc服务是否会影响到你系统的安全性。可以通过将/etc/rc2.d/S71RPC改名来禁止rpc。){\NWy

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! )JUg

2.16) /etc/utmp的权限应该如何设定? ~

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! qKM

# chmod 644 /etc/utmp !?AH

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! ,@

2.17) 哪些程序可以去掉SUID位? _Wk~

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 9Zm

许多setgid和setuid程序都只是由root运行的，或者是由某些特定用户或组运行，那就可以将其setuid位3g

移去，下面是一个Solaris 2.6上setuid程序的列表，你应该根据自己的情况进行增减。G

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! Bd
<xub
# find / -perm -4000 -print8j

/usr/lib/lp/bin/netprMap5+

/usr/lib/fs/ufs/quotaZeaB

/usr/lib/fs/ufs/ufsdumpzHyA

/usr/lib/fs/ufs/ufsrestore]53[x}

/usr/lib/fs/vxfs/vxdump$a

/usr/lib/fs/vxfs/vxquota(_HC_

/usr/lib/fs/vxfs/vxrestore=gG?1

/usr/lib/exrecover}^CE!u

/usr/lib/pt_chmodvwp

/usr/lib/sendmail$%V7TC

/usr/lib/utmp_updatefD]

/usr/lib/acct/acctonGi4V#

/usr/lib/uucp/remote.unknownrc_Ltl

/usr/lib/uucp/uucicok6?UKT

/usr/lib/uucp/uusched:)Jh2

/usr/lib/uucp/uuxqtYQ:

/usr/lib/sendmail.origRuJ@

/usr/openwin/lib/mkcookie#

/usr/openwin/bin/xlock&

/usr/openwin/bin/ff.core;5Rw

/usr/openwin/bin/kcms_configure?3)s`2

/usr/openwin/bin/kcms_calibrateIGCIlo

/usr/openwin/bin/sys-suspend%lH1

/usr/dt/bin/dtactionL

/usr/dt/bin/dtappgather},lO

/usr/dt/bin/sdtcm_convertj

/usr/dt/bin/dtprintinfoJaCu#_

/usr/dt/bin/dtsession:.PCc

/usr/bin/at@

/usr/bin/atq?kn

/usr/bin/atrmvq}k

/usr/bin/crontabgHl%

/usr/bin/ejectTr#

/usr/bin/fdformat$8#h

/usr/bin/loginR"w

/usr/bin/newgrpY~g

/usr/bin/passwd*~I:

/usr/bin/ps6NII#

/usr/bin/rcphk`tG

/usr/bin/rdist,b

/usr/bin/rloginl|#y1

/usr/bin/rshT

/usr/bin/suAt4)%w

/usr/bin/tip0

/usr/bin/uptimehz"

/usr/bin/w9Qftd

/usr/bin/yppasswd9

/usr/bin/admintool9

/usr/bin/ctt!R-{5

/usr/bin/cu1)M

/usr/bin/uucp:6oB

/usr/bin/uuglist"{`a!

/usr/bin/uuname&dMJt

/usr/bin/uustatn`73

/usr/bin/uuxbC}

/usr/bin/chkeyw

/usr/bin/nispasswdJaAfL

/usr/bin/cancel!

/usr/bin/lp;

/usr/bin/lpsetK

/usr/bin/lpstat+,

/usr/bin/volcheckCu:

/usr/bin/volrmmount@|

/usr/bin/pppconnH(o8

/usr/bin/pppdisc=6O_

/usr/bin/ppptool.

/usr/sbin/allocatet%R

/usr/sbin/mkdevallocbd

/usr/sbin/mkdevmaps"Ux

/usr/sbin/pingk,s

/usr/sbin/sacadmu/G|

/usr/sbin/whodo^zxa7W

/usr/sbin/deallocatesj

/usr/sbin/list_devices&x

/usr/sbin/m64config<@(,[

/usr/sbin/lpmoveShU=)

/usr/sbin/pmconfigb}nem

/usr/sbin/static/rcpljyY.

/usr/sbin/vxprintaV

/usr/sbin/vxmkcdev/hDu>

/usr/ucb/psq

/usr/vmsys/bin/chkperm]t_A'

/etc/lp/alerts/printerNKF1""

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! _eyRP=

而且还应该建立一个setuid/setgid程序的列表，日后可以对比是否有新的setuid程序出现--这可能是=9c9=%

入侵者光临过的征兆。\R

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! J,and$

2.18) 哪些系统工具我可以去掉它? a. E

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! (i' X

所有的网络工具你都应该检查并且确定它在你的系统环境里是否是必需的，如果答案为否的话，就Ge

干掉它，下面这些工具有些可以在开始文件中找到它，有些则上在/etc/inetd.conf中被启动的，注f_P

释掉那些不必要的服务，并且kill -HUP inetd守护进程——类似的东西有：X6i{mr

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 6xCIp

tftp systat rexd ypupdated netstat(h!

rstatd rusersd sprayd walld execp%1x

comsat rquotad name uucp(

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! @y'

最好把常规的inetd.conf替换掉——改成只开telnet和ftp服务——如果你真的需要它们的话(建议再:bU]P

用防火墙建立阻塞)。~Mc+`

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! EsZ^8~

2.19) 我应该运行in.fingerd吗? S

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! pl;

in.fingerd在过去有一些安全问题，如果你想提供finger工具，用nobody来运行它。X>

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! Xz4R!

2.20) 如何让syslog有更大作用?STRH

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! :]#595

默认情况下，syslog仅提供最精简的记录，你可以通过编辑/etc/syslog.conf文件来让syslog记WmJ

录更多的信息，然后你需要重启syslog以使它读取配置文件。'\vH4W

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! g

你还可以通过Bhq1d%

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! T]W>

touch /var/adm/loginlogV

chmod 600 /var/adm/loginlog'#

chgrp sys /var/adm/loginlogfP"9e

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 7N),

来建立login的记录。1

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! O_

2.21) 对EEPROM如何做才能更安全? w{]@W

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 1g

将EEPROM设于安全的模式：通过设定对"ok setenv security-mode=command"的密码保护来实现。,U.sop

当然这并不能真正地防止入侵，如果某人可以物理接触某控制台的话，它就能打开机器并替换掉EEPROM，:jLd

更改hostid........\q|"bL

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! `mk\

2.22) 我的机器是处于“混杂模式”下吗? `R

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! xR

在Solaris下，你只能通过安装某些工具来判断是否机器是处于混杂模式下，可以参见第三部分。只有当你2

运行诸如snoop或者某些网络监听软件时机器才会处在混杂模式下，如果你并没有监听整个网络，那极大的可|b6!_

能性就是黑客已经侵入到你的系统中并且开始以监听来接收数据了。W

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! %Es

2.23) 如果我必须运行NFS，如何使它更安全? ]

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! /&L

在/etc/dfs/dfstab中的所有文件将被所有人共享，默认情况下，NFS客户会以"-o rw"或者"-o ro"选项{qCP)

共享。 k`Btj=

必须使用"nosuid"参数来使setuid程序失效。}wD/W

不要通过rpcbind来运行nfs mount。而是用更安全的rpcbind替代程序或者安装SUN最新的rpcbind补丁。,"GzS{

在可能的情况下，尽量使用secure-RPC。否则的话，你运行的是"AUTH_UNIX"认证,它仅仅依靠客户的IP地)Z@%gK

址来进行验证，很容易有IP欺骗的情况发生。Q#p

在可能的情况下，不要使用NFS，因为它的信息传递是通过明文的(甚至你用了"AUTH_DES"或者"AUTH_KERB"来>b~

进行认证)所以传输的任何文件对嗅探来说是及危险的。V }\Y

有程序可以猜度ROOT所mountr的文件名柄，并且获得NFS server上的文件。 %?f

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! `lr|"w

2.24) 如何让sendmail更安全? n5

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! u)

sendmail总是不断地有新漏洞被发现，怎样才能使它更安全呢？#w9i

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! [OON

使用最新版本的Berkeley sendmail (see section 3) L9Uy5

使用smrsh (section 3) 8R

从/etc/aliases里删除decode .

将/etc/aliases的权限设为644 C>LdX

可以考虑使用代理防火墙来过滤SMTP中不必要的命令。^

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! O]+n:

2.25) NIS是安全的吗，如何使其更强壮? *pk

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! q)*rUx

NIS从来就不是一个安全的服务，如果配置得当的话NIS+会更好些，就象暴力破解密码一样，NIS域名(j

如果被猜出来，就会给入侵者提供相当丰富的信息，要关闭这个漏洞，可以将信任主机的地址放在x}:p\i

/var/yp/securenets中。并且考虑使用NIS+或者secure RPC。*Cp

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 5+P

2.26) 匿名FTP要怎样才会安全可靠? ^tza

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! e33ca

Solaris 2.5 ftpd(1M)包含了一个很好的FTP配置说明)W

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! SU#R

cp /etc/nsswitch.conf ~ftp/etc SV

确保包含~ftp的文件系统在被安装是没有用nosuid选项
<!--在~ftp下任何文件的属主都不是"ftp" CV

更详细的信息参见它的配置说明及FAQ'5U|Q

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! }3

2.27) 如何将X配置得更安全? =Wpj

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! /6AY=c

使用SUN-DES-1选项来调用Secure RPC来通过X鉴别，可以使用xhost +user@host来通过访问请求。$+r

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 1X

2.28) 如何打开SUN-DES-1的鉴别机制? wkrFt`

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 1

set DisplayManager*authorize: true @#n

set DisplayManager._0.authName: SUN-DES-1 'MqS (

rm ~/.Xauthority NZBO

增加对localhost的许可权限：通过xauth local/unix:0 SUN-DES-1 unix.local@nisdomain3

xauth local:0 SUN-DES-1 unix.local@nisdomain M

Start X via xinit -- -auth ~/.Xauthority "2fc_

把你自己加入，并移去其他所有人：xhost +user@ +unix.local@nisdomain -local -localhost K7@

赋予用户foo进入主机"node"的权限: ya

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! SG

允许foo进入node: xhost +foo@ 9!?&}

建立适当的foo的xauthority： xauth add node:0 SUN-DES-1 unix.node@nisdomain Em)W

foo现在就能连上"node"了: xload -display node:0 eg@

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! .

2.29) 我需要安装哪些补丁? Ft@

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! h

用showrev -p命令来察看补丁在系统里的安装情况，在你想保护的主机以及大众都可以访问的主机$@o>I

上，你应该到SUN公司的主页上去查找相关的补丁包来安装，并且应该常常查看最新的补丁发布情况。T

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! u)I

2.30) 如何防止在堆栈中执行代码? a[sx

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! +O+)-7

入侵者常常使用的一种利用系统漏洞的方式是堆栈溢出，他们在堆栈里巧妙地插入一段代码，利用@sB

它们的溢出来执行，以获得对系统的某种权限。ms?~

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! E

要让你的系统在堆栈缓冲溢出攻击中更不易受侵害，你可以在/etc/system里加上如下语句：b

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 6C

set noexec_user_stack=1qi

set noexec_user_stack_log =1amuW4U

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! [v

第一句可以防止在堆栈中执行插入的代码，第二句则是在入侵者想运行exploit的时候会做记录:)IR;6W

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 7FMGFD

3) 应该增加或者替代哪些程序? y(4KS

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! xglj"

3.1) inetd G\)/x`

pNl>

inetd可以用xinetd代替，以增加日志功能。 RBq~I

xinetd: ]?

ftp://qiclab.scn.rain.com/pub/security/xinetd* O#Co

或 ftp://ftp.dlut.edu.cn/pub/unix/sun-source/xinetd-2.1.tar.Z(不知是否为最新版本). _d:

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! h"p]/

3.2) ifstatus qGJJV4

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! f=e`

ifstatus可以确定你的网卡是否工作于混杂模式（有人进行网络监听?） \)a

url: ?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! CXY

ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/ W+

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! p=#

3.3) xntp o

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! ^@INP

xntp是有个更安全的网络时间协议(Network Time Protocol). Va!

URL: ?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 3

ftp://ftp.udel.edu/pub/ntp/xntp3-5.93.tar.gz (1907KB) nZ:]4

3.4) sendmail '

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! ;

用Berkeley Sendmail(http://www.sendmail.org/)替代Solaris自带的sendmail. E~Hob

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! v=

3.5) rpcbind [s

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! O

可以用如下URL中的rpcbind替换Solaris自带的rpcbind, 这个rpcbind包含了类似 😀

于tcpwrapper的功能并关闭了通过rpcbind访问NFS. YEV

SD-A

ftp://ftp.win.tue.nl/pub/security/rcpbind_1.1.tar.Z @9

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! $e4

3.6) 口令检查程序 hbMQ<

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 2BLE>5

很不幸，Solaris 上还未发布passwd+及npasswd, 这两个程序可以用于检查在UNIX &%;|h

上那些愚蠢的口令。 1T6

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! 9c

3.7) crack V4B/

?中国新临天下--网络技术论坛 -- 中国新临天下--网络技术论坛欢迎所有光临的朋友们!! Wb?:.

crack可以找出/etc/shadow中那些容易猜测的口令，虽然运行crack将会使CPU的 WOZ

在PSP的包装盒上应该有一个电压的标示(120V 或者 240V)在那个标示的下面因该有一个字母,那个字母就是版本号的提示。

不同字母的意思：

没字母 = 1.5 (北美第一版PSP)

A = 1.5

B = 1.51

C = 1.52

D = 1.52

E = 1.52

F = 2.0

G = 2.01

H = 2.50

当然，如果写的是G那么机子就是不可降级的2.0或2.50

依次类推。

然后，PSP有“一次开机画面”，被降级过的话，也就是被开机过，那么一次开机画面是不会有的了。如果入手的是第一批PSP，那JS也不可能做手脚，当时试机时，就有一次开机画面。

你试机器的时候，不按圆圈键，它就不会消失，所以boss在你挑机子的时候，都会嘱咐的！

但其实无所谓是原版还是升级版，都是一样的，使用上没有区别的。倒是翻新机要注意啊！现在的翻新机分为3种：原厂翻新， 全机翻新，半机翻新。

翻新机的制作方式即辨别方法:

原厂翻新:机器都是召回机，比如说坏点太多，光驱问题等等，这种机器基本上没有问题，但是此机的外包装盒与正常机器有区别。这种机器的盒子是白色的，上面没有任何图画，只有PSP 出厂编号等一些文字信息，而且包装做工简陋。

半机翻新:此种机器只翻新了面盖，也就是前面板，前面板是原装组装不得而知，不过做工绝对与新机的做工无二方法是把前面板拆开，卸下摇杆和按键(这里要说一点，有的面盖是带灯的，有的面盖是不带灯的 就是电源灯那里的透明塑料片)然后用皮老虎或其他工具吹掉灰尘再安装。上此种翻新的机器和新机的区别在于螺丝有痕迹，后面板光圈可能有划伤，后面板光圈贴附是否平整(这个东西都有换的了!强!)前面板与后面板接缝处结合不紧密。按键由于是旧机器拆下来的对光看100%有划伤，HOME、音量、START等下方控制键与面板颜色不符色泽暗淡，USB接口有磨损或灰尘较多，面板内部可能有灰尘或手印(当然有的新机也有灰尘，不过灰尘数量非常少，而粒灰尘是最多的)电池舱内的两条贴纸对光看颜色不一样(因为现在已经有假的贴纸了，拆机必撕贴纸手法再高也会留下痕迹。所以为了掩人耳目肯定会贴假的)L R键有磨损，电源灯和记忆棒灯透光度低(因为有的外壳上没有灯需要把原来的拆下来再粘上但是无论用什么方法再粘上的灯的两度都会不如原来高，当然壳上有灯的除外)。

全机翻新:此种机器采用的是用全套外壳为机器翻新，包括后面板光圈及按键、开关等等。所用的方法自然是把PSP大卸八块然后外面的外壳全部换掉，以此达到目的。辨别方法就是看电池舱内贴纸上下是否颜色一致，螺丝有无痕迹，后面板光圈贴附是否平整，前后面板接缝处是否严实，屏幕上是否有灰。总之不太好鉴别。
</xub
</w\,s(
</kfr

电脑服务和端口问题，谢谢！

tcpmux 1/tcp # TCP port service multiplexer
tcpmux 1/udp # TCP port service multiplexer
rje 5/tcp # Remote Job Entry
rje 5/udp # Remote Job Entry
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users
systat 11/udp users
daytime 13/tcp
daytime 13/udp
qotd 17/tcp quote
qotd 17/udp quote
msp 18/tcp # message send protocol
msp 18/udp # message send protocol
chargen 19/tcp ttytst source
chargen 19/udp ttytst source
ftp-data 20/tcp
ftp-data 20/udp
# 21 is registered to ftp, but also used by fsp
ftp 21/tcp
ftp 21/udp fsp fspd
ssh 22/tcp # SSH Remote Login Protocol
ssh 22/udp # SSH Remote Login Protocol
telnet 23/tcp
telnet 23/udp
# 24 - private mail system
lmtp 24/tcp # LMTP Mail Delivery
lmtp 24/udp # LMTP Mail Delivery
smtp 25/tcp mail
smtp 25/udp mail
time 37/tcp timserver
time 37/udp timserver
rlp 39/tcp resource # resource location
rlp 39/udp resource # resource location
nameserver 42/tcp name # IEN 116
nameserver 42/udp name # IEN 116
nicname 43/tcp whois
nicname 43/udp whois
tacacs 49/tcp # Login Host Protocol (TACACS)
tacacs 49/udp # Login Host Protocol (TACACS)
re-mail-ck 50/tcp # Remote Mail Checking Protocol
re-mail-ck 50/udp # Remote Mail Checking Protocol
domain 53/tcp # name-domain server
domain 53/udp
whois++ 63/tcp
whois++ 63/udp
bootps 67/tcp # BOOTP server
bootps 67/udp
bootpc 68/tcp # BOOTP client
bootpc 68/udp
tftp 69/tcp
tftp 69/udp
gopher 70/tcp # Internet Gopher
gopher 70/udp
netrjs-1 71/tcp # Remote Job Service
netrjs-1 71/udp # Remote Job Service
netrjs-2 72/tcp # Remote Job Service
netrjs-2 72/udp # Remote Job Service
netrjs-3 73/tcp # Remote Job Service
netrjs-3 73/udp # Remote Job Service
netrjs-4 74/tcp # Remote Job Service
netrjs-4 74/udp # Remote Job Service
finger 79/tcp
finger 79/udp
http 80/tcp www www-http # WorldWideWeb HTTP
http 80/udp www www-http # HyperText Transfer Protocol
kerberos 88/tcp kerberos5 krb5 # Kerberos v5
kerberos 88/udp kerberos5 krb5 # Kerberos v5
supdup 95/tcp
supdup 95/udp
hostname 101/tcp hostnames # usually from sri-nic
hostname 101/udp hostnames # usually from sri-nic
iso-tsap 102/tcp tsap # part of ISODE.
csnet-ns 105/tcp cso # also used by CSO name server
csnet-ns 105/udp cso
# unfortunately the poppassd (Eudora) uses a port which has already
# been assigned to a different service. We list the poppassd as an
# alias here. This should work for programs asking for this service.
# (due to a bug in inetd the 3com-tsmux line is disabled)
#3com-tsmux 106/tcp poppassd
#3com-tsmux 106/udp poppassd
rtelnet 107/tcp # Remote Telnet
rtelnet 107/udp
pop2 109/tcp pop-2 postoffice # POP version 2
pop2 109/udp pop-2
pop3 110/tcp pop-3 # POP version 3
pop3 110/udp pop-3
sunrpc 111/tcp portmapper # RPC 4.0 portmapper TCP
sunrpc 111/udp portmapper # RPC 4.0 portmapper UDP
auth 113/tcp authentication tap ident
auth 113/udp authentication tap ident
sftp 115/tcp
sftp 115/udp
uucp-path 117/tcp
uucp-path 117/udp
nntp 119/tcp readnews untp # USENET News Transfer Protocol
nntp 119/udp readnews untp # USENET News Transfer Protocol
ntp 123/tcp
ntp 123/udp # Network Time Protocol
netbios-ns 137/tcp # NETBIOS Name Service
netbios-ns 137/udp
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp
netbios-ssn 139/tcp # NETBIOS session service
netbios-ssn 139/udp
imap 143/tcp imap2 # Interim Mail Access Proto v2
imap 143/udp imap2
snmp 161/tcp # Simple Net Mgmt Proto
snmp 161/udp # Simple Net Mgmt Proto
snmptrap 162/udp snmp-trap # Traps for SNMP
cmip-man 163/tcp # ISO mgmt over IP (CMOT)
cmip-man 163/udp
cmip-agent 164/tcp
cmip-agent 164/udp
mailq 174/tcp # MAILQ
mailq 174/udp # MAILQ
xdmcp 177/tcp # X Display Mgr. Control Proto
xdmcp 177/udp
nextstep 178/tcp NeXTStep NextStep # NeXTStep window
nextstep 178/udp NeXTStep NextStep # server
bgp 179/tcp # Border Gateway Proto.
bgp 179/udp
prospero 191/tcp # Cliff Neuman's Prospero
prospero 191/udp
irc 194/tcp # Internet Relay Chat
irc 194/udp
smux 199/tcp # SNMP Unix Multiplexer
smux 199/udp
at-rtmp 201/tcp # AppleTalk routing
at-rtmp 201/udp
at-nbp 202/tcp # AppleTalk name binding
at-nbp 202/udp
at-echo 204/tcp # AppleTalk echo
at-echo 204/udp
at-zis 206/tcp # AppleTalk zone information
at-zis 206/udp
qmtp 209/tcp # Quick Mail Transfer Protocol
qmtp 209/udp # Quick Mail Transfer Protocol
z39.50 210/tcp z3950 wais # NISO Z39.50 database
z39.50 210/udp z3950 wais
ipx 213/tcp # IPX
ipx 213/udp
imap3 220/tcp # Interactive Mail Access
imap3 220/udp # Protocol v3
link 245/tcp ttylink
link 245/udp ttylink
fatserv 347/tcp # Fatmen Server
fatserv 347/udp # Fatmen Server
rsvp_tunnel 363/tcp
rsvp_tunnel 363/udp
odmr 366/tcp # odmr required by fetchmail
odmr 366/udp # odmr required by fetchmail
rpc2portmap 369/tcp
rpc2portmap 369/udp # Coda portmapper
codaauth2 370/tcp
codaauth2 370/udp # Coda authentication server
ulistproc 372/tcp ulistserv # UNIX Listserv
ulistproc 372/udp ulistserv
ldap 389/tcp
ldap 389/udp
svrloc 427/tcp # Server Location Protocl
svrloc 427/udp # Server Location Protocl
mobileip-agent 434/tcp
mobileip-agent 434/udp
mobilip-mn 435/tcp
mobilip-mn 435/udp
https 443/tcp # MCom
https 443/udp # MCom
snpp 444/tcp # Simple Network Paging Protocol
snpp 444/udp # Simple Network Paging Protocol
microsoft-ds 445/tcp
microsoft-ds 445/udp
kpasswd 464/tcp kpwd # Kerberos "passwd"
kpasswd 464/udp kpwd # Kerberos "passwd"
photuris 468/tcp
photuris 468/udp
saft 487/tcp # Simple Asynchronous File Transfer
saft 487/udp # Simple Asynchronous File Transfer
gss-http 488/tcp
gss-http 488/udp
pim-rp-disc 496/tcp
pim-rp-disc 496/udp
isakmp 500/tcp
isakmp 500/udp
gdomap 538/tcp # GNUstep distributed objects
gdomap 538/udp # GNUstep distributed objects
iiop 535/tcp
iiop 535/udp
dhcpv6-client 546/tcp
dhcpv6-client 546/udp
dhcpv6-server 547/tcp
dhcpv6-server 547/udp
rtsp 554/tcp # Real Time Stream Control Protocol
rtsp 554/udp # Real Time Stream Control Protocol
nntps 563/tcp # NNTP over SSL
nntps 563/udp # NNTP over SSL
whoami 565/tcp
whoami 565/udp
submission 587/tcp msa # mail message submission
submission 587/udp msa # mail message submission
npmp-local 610/tcp dqs313_qmaster # npmp-local / DQS
npmp-local 610/udp dqs313_qmaster # npmp-local / DQS
npmp-gui 611/tcp dqs313_execd # npmp-gui / DQS
npmp-gui 611/udp dqs313_execd # npmp-gui / DQS
hmmp-ind 612/tcp dqs313_intercell # HMMP Indication / DQS
hmmp-ind 612/udp dqs313_intercell # HMMP Indication / DQS
ipp 631/tcp # Internet Printing Protocol
ipp 631/udp # Internet Printing Protocol
ldaps 636/tcp # LDAP over SSL
ldaps 636/udp # LDAP over SSL
acap 674/tcp
acap 674/udp
ha-cluster 694/tcp # Heartbeat HA-cluster
ha-cluster 694/udp # Heartbeat HA-cluster
kerberos-adm 749/tcp # Kerberos `kadmin' (v5)
kerberos-iv 750/udp kerberos4 kerberos-sec kdc
kerberos-iv 750/tcp kerberos4 kerberos-sec kdc
webster 765/tcp # Network dictionary
webster 765/udp
phonebook 767/tcp # Network phonebook
phonebook 767/udp
rsync 873/tcp # rsync
rsync 873/udp # rsync
telnets 992/tcp
telnets 992/udp
imaps 993/tcp # IMAP over SSL
imaps 993/udp # IMAP over SSL
ircs 994/tcp
ircs 994/udp
pop3s 995/tcp # POP-3 over SSL
pop3s 995/udp # POP-3 over SSL
#
# UNIX specific services
#
exec 512/tcp
biff 512/udp comsat
login 513/tcp
who 513/udp whod
shell 514/tcp cmd # no passwords used
syslog 514/udp
printer 515/tcp spooler # line printer spooler
printer 515/udp spooler # line printer spooler
talk 517/udp
ntalk 518/udp
utime 519/tcp unixtime
utime 519/udp unixtime
efs 520/tcp
router 520/udp route routed # RIP
ripng 521/tcp
ripng 521/udp
timed 525/tcp timeserver
timed 525/udp timeserver
tempo 526/tcp newdate
courier 530/tcp rpc
conference 531/tcp chat
netnews 532/tcp
netwall 533/udp # -for emergency broadcasts
uucp 540/tcp uucpd # uucp daemon
klogin 543/tcp # Kerberized `rlogin' (v5)
kshell 544/tcp krcmd # Kerberized `rsh' (v5)
afpovertcp 548/tcp # AFP over TCP
afpovertcp 548/udp # AFP over TCP
remotefs 556/tcp rfs_server rfs # Brunhoff remote filesystem
#
# From ``PORT NUMBERS'':
#
#>REGISTERED PORT NUMBERS
#>
#>The Registered Ports are listed by the IANA and on most systems can be
#>used by ordinary user processes or programs executed by ordinary
#>users.
#>
#>Ports are used in the TCP [RFC793] to name the ends of logical
#>connections which carry long term conversations. For the purpose of
#>providing services to unknown callers, a service contact port is
#>defined. This list specifies the port used by the server process as
#>its contact port.
#>
#>The IANA registers uses of these ports as a convienence to the
#>community.
#
socks 1080/tcp # socks proxy server
socks 1080/udp # socks proxy server
# Port 1236 is registered as `bvcontrol', but is also used by the
# Gracilis Packeten remote config server. The official name is listed as
# the primary name, with the unregistered name as an alias.
bvcontrol 1236/tcp rmtcfg # Daniel J. Walsh, Gracilis Packeten remote config server
bvcontrol 1236/udp # Daniel J. Walsh
h323hostcallsc 1300/tcp # H323 Host Call Secure
h323hostcallsc 1300/udp # H323 Host Call Secure
ms-sql-s 1433/tcp # Microsoft-SQL-Server
ms-sql-s 1433/udp # Microsoft-SQL-Server
ms-sql-m 1434/tcp # Microsoft-SQL-Monitor
ms-sql-m 1434/udp # Microsoft-SQL-Monitor
ica 1494/tcp # Citrix ICA Client
ica 1494/udp # Citrix ICA Client
wins 1512/tcp # Microsoft's Windows Internet Name Service
wins 1512/udp # Microsoft's Windows Internet Name Service
ingreslock 1524/tcp
ingreslock 1524/udp
prospero-np 1525/tcp # Prospero non-privileged
prospero-np 1525/udp
datametrics 1645/tcp old-radius # datametrics / old radius entry
datametrics 1645/udp old-radius # datametrics / old radius entry
sa-msg-port 1646/tcp old-radacct # sa-msg-port / old radacct entry
sa-msg-port 1646/udp old-radacct # sa-msg-port / old radacct entry
kermit 1649/tcp
kermit 1649/udp
l2tp 1701/tcp l2f
l2tp 1701/udp l2f
h323gatedisc 1718/tcp
h323gatedisc 1718/udp
h323gatestat 1719/tcp
h323gatestat 1719/udp
h323hostcall 1720/tcp
h323hostcall 1720/udp
tftp-mcast 1758/tcp
tftp-mcast 1758/udp
mtftp 1759/udp
hello 1789/tcp
hello 1789/udp
radius 1812/tcp # Radius
radius 1812/udp # Radius
radius-acct 1813/tcp radacct # Radius Accounting
radius-acct 1813/udp radacct # Radius Accounting
mtp 1911/tcp #
mtp 1911/udp #
hsrp 1985/tcp # Cisco Hot Standby Router Protocol
hsrp 1985/udp # Cisco Hot Standby Router Protocol
licensedaemon 1986/tcp
licensedaemon 1986/udp
gdp-port 1997/tcp # Cisco Gateway Discovery Protocol
gdp-port 1997/udp # Cisco Gateway Discovery Protocol
sieve 2000/tcp # Sieve Mail Filter Daemon
sieve 2000/udp # Sieve Mail Filter Daemon
nfs 2049/tcp nfsd
nfs 2049/udp nfsd
zephyr-srv 2102/tcp # Zephyr server
zephyr-srv 2102/udp # Zephyr server
zephyr-clt 2103/tcp # Zephyr serv-hm connection
zephyr-clt 2103/udp # Zephyr serv-hm connection
zephyr-hm 2104/tcp # Zephyr hostmanager
zephyr-hm 2104/udp # Zephyr hostmanager
cvspserver 2401/tcp # CVS client/server operations
cvspserver 2401/udp # CVS client/server operations
venus 2430/tcp # codacon port
venus 2430/udp # Venus callback/wbc interface
venus-se 2431/tcp # tcp side effects
venus-se 2431/udp # udp sftp side effect
codasrv 2432/tcp # not used
codasrv 2432/udp # server port
codasrv-se 2433/tcp # tcp side effects
codasrv-se 2433/udp # udp sftp side effectQ
# Ports numbered 2600 through 2606 are used by the zebra package without
# being registred. The primary names are the registered names, and the
# unregistered names used by zebra are listed as aliases.
hpstgmgr 2600/tcp zebrasrv # HPSTGMGR
hpstgmgr 2600/udp # HPSTGMGR
discp-client 2601/tcp zebra # discp client
discp-client 2601/udp # discp client
discp-server 2602/tcp ripd # discp server
discp-server 2602/udp # discp server
servicemeter 2603/tcp ripngd # Service Meter
servicemeter 2603/udp # Service Meter
nsc-ccs 2604/tcp ospfd # NSC CCS
nsc-ccs 2604/udp # NSC CCS
nsc-posa 2605/tcp bgpd # NSC POSA
nsc-posa 2605/udp # NSC POSA
netmon 2606/tcp ospf6d # Dell Netmon
netmon 2606/udp # Dell Netmon
dict 2628/tcp # RFC 2229
dict 2628/udp # RFC 2229
corbaloc 2809/tcp # CORBA naming service locator
icpv2 3130/tcp # Internet Cache Protocol V2 (Squid)
icpv2 3130/udp # Internet Cache Protocol V2 (Squid)
mysql 3306/tcp # MySQL
mysql 3306/udp # MySQL
trnsprntproxy 3346/tcp # Trnsprnt Proxy
trnsprntproxy 3346/udp # Trnsprnt Proxy
pxe 4011/udp # PXE server
fud 4201/udp # Cyrus IMAP FUD Daemon
rwhois 4321/tcp # Remote Who Is
rwhois 4321/udp # Remote Who Is
krb524 4444/tcp # Kerberos 5 to 4 ticket xlator
krb524 4444/udp # Kerberos 5 to 4 ticket xlator
rfe 5002/tcp # Radio Free Ethernet
rfe 5002/udp # Actually uses UDP only
cfengine 5308/tcp # CFengine
cfengine 5308/udp # CFengine
cvsup 5999/tcp CVSup # CVSup file transfer/John Polstra/FreeBSD
cvsup 5999/udp CVSup # CVSup file transfer/John Polstra/FreeBSD
x11 6000/tcp X # the X Window System
afs3-fileserver 7000/tcp # file server itself
afs3-fileserver 7000/udp # file server itself
afs3-callback 7001/tcp # callbacks to cache managers
afs3-callback 7001/udp # callbacks to cache managers
afs3-prserver 7002/tcp # users & groups database
afs3-prserver 7002/udp # users & groups database
afs3-vlserver 7003/tcp # volume location database
afs3-vlserver 7003/udp # volume location database
afs3-kaserver 7004/tcp # AFS/Kerberos authentication service
afs3-kaserver 7004/udp # AFS/Kerberos authentication service
afs3-volser 7005/tcp # volume managment server
afs3-volser 7005/udp # volume managment server
afs3-errors 7006/tcp # error interpretation service
afs3-errors 7006/udp # error interpretation service
afs3-bos 7007/tcp # basic overseer process
afs3-bos 7007/udp # basic overseer process
afs3-update 7008/tcp # server-to-server updater
afs3-update 7008/udp # server-to-server updater
afs3-rmtsys 7009/tcp # remote cache manager service
afs3-rmtsys 7009/udp # remote cache manager service
sd 9876/tcp # Session Director
sd 9876/udp # Session Director
amanda 10080/tcp # amanda backup services
amanda 10080/udp # amanda backup services
pgpkeyserver 11371/tcp # PGP/GPG public keyserver
pgpkeyserver 11371/udp # PGP/GPG public keyserver
h323callsigalt 11720/tcp # H323 Call Signal Alternate
h323callsigalt 11720/udp # H323 Call Signal Alternate
bprd 13720/tcp # BPRD (VERITAS NetBackup)
bprd 13720/udp # BPRD (VERITAS NetBackup)
bpdbm 13721/tcp # BPDBM (VERITAS NetBackup)
bpdbm 13721/udp # BPDBM (VERITAS NetBackup)
bpjava-msvc 13722/tcp # BP Java MSVC Protocol
bpjava-msvc 13722/udp # BP Java MSVC Protocol
vnetd 13724/tcp # Veritas Network Utility
vnetd 13724/udp # Veritas Network Utility
bpcd 13782/tcp # VERITAS NetBackup
bpcd 13782/udp # VERITAS NetBackup
vopied 13783/tcp # VOPIED Protocol
vopied 13783/udp # VOPIED Protocol
# This port is registered as wnn6, but also used under the unregistered name
# "wnn4" by the FreeWnn package.
wnn6 22273/tcp wnn4
wnn6 22273/udp wnn4
quake 26000/tcp
quake 26000/udp
wnn6-ds 26208/tcp
wnn6-ds 26208/udp
traceroute 33434/tcp
traceroute 33434/udp
#
# Datagram Delivery Protocol services
#
rtmp 1/ddp # Routing Table Maintenance Protocol
nbp 2/ddp # Name Binding Protocol
echo 4/ddp # AppleTalk Echo Protocol
zip 6/ddp # Zone Information Protocol
#
# Kerberos (Project Athena/MIT) services
# Note that these are for Kerberos v4, and are unregistered/unofficial. Sites
# running v4 should uncomment these and comment out the v5 entries above.
#
kerberos_master 751/udp # Kerberos authentication
kerberos_master 751/tcp # Kerberos authentication
passwd_server 752/udp # Kerberos passwd server
krbupdate 760/tcp kreg # Kerberos registration
kpop 1109/tcp # Pop with Kerberos
knetd 2053/tcp # Kerberos de-multiplexor
#
# Kerberos 5 services, also not registered with IANA
#
krb5_prop 754/tcp # Kerberos slave propagation
eklogin 2105/tcp # Kerberos encrypted rlogin
#
# Unregistered but necessary(?) (for NetBSD) services
#
supfilesrv 871/tcp # SUP server
supfiledbg 1127/tcp # SUP debugging
#
# Unregistered but useful/necessary other services
#
netstat 15/tcp # (was once asssigned, no more)
linuxconf 98/tcp # Linuxconf HTML access
poppassd 106/tcp # Eudora
poppassd 106/udp # Eudora
smtps 465/tcp # SMTP over SSL (TLS)
gii 616/tcp # gated interactive interface
omirr 808/tcp omirrd # online mirror
omirr 808/udp omirrd # online mirror
swat 901/tcp # Samba Web Administration Tool
rndc 953/tcp # rndc control sockets (BIND 9)
rndc 953/udp # rndc control sockets (BIND 9)
skkserv 1178/tcp # SKK Japanese input method
xtel 1313/tcp # french minitel
support 1529/tcp prmsd gnatsd # GNATS, cygnus bug tracker
cfinger 2003/tcp # GNU Finger
ninstall 2150/tcp # ninstall service
ninstall 2150/udp # ninstall service
afbackup 2988/tcp # Afbackup system
afbackup 2988/udp # Afbackup system
squid 3128/tcp # squid web proxy
prsvp 3455/tcp # RSVP Port
prsvp 3455/udp # RSVP Port
distcc 3632/tcp # distcc
svn 3690/tcp # Subversion
svn 3690/udp # Subversion
postgres 5432/tcp # POSTGRES
postgres 5432/udp # POSTGRES
fax 4557/tcp # FAX transmission service (old)
hylafax 4559/tcp # HylaFAX client-server protocol (new)
sgi-dgl 5232/tcp # SGI Distributed Graphics
sgi-dgl 5232/udp
noclog 5354/tcp # noclogd with TCP (nocol)
noclog 5354/udp # noclogd with UDP (nocol)
hostmon 5355/tcp # hostmon uses TCP (nocol)
hostmon 5355/udp # hostmon uses TCP (nocol)
canna 5680/tcp
x11-ssh-offset 6010/tcp # SSH X11 forwarding offset
ircd 6667/tcp # Internet Relay Chat
ircd 6667/udp # Internet Relay Chat
xfs 7100/tcp # X font server
tircproxy 7666/tcp # Tircproxy
http-alt 8008/tcp
http-alt 8008/udp
webcache 8080/tcp # WWW caching service
webcache 8080/udp # WWW caching service
tproxy 8081/tcp # Transparent Proxy
tproxy 8081/udp # Transparent Proxy
jetdirect 9100/tcp laserjet hplj #
mandelspawn 9359/udp mandelbrot # network mandelbrot
kamanda 10081/tcp # amanda backup services (Kerberos)
kamanda 10081/udp # amanda backup services (Kerberos)
amandaidx 10082/tcp # amanda backup services
amidxtape 10083/tcp # amanda backup services
isdnlog 20011/tcp # isdn logging system
isdnlog 20011/udp # isdn logging system
vboxd 20012/tcp # voice box system
vboxd 20012/udp # voice box system
wnn4_Kr 22305/tcp # used by the kWnn package
wnn4_Cn 22289/tcp # used by the cWnn package
wnn4_Tw 22321/tcp # used by the tWnn package
binkp 24554/tcp # Binkley
binkp 24554/udp # Binkley
asp 27374/tcp # Address Search Protocol
asp 27374/udp # Address Search Protocol
tfido 60177/tcp # Ifmail
tfido 60177/udp #
如果你装了的金山网镖，那就很简单了，你打开网镖后，切换到“网络状态”标签窗口，那里面就列出了所有正在使用网络通信的进程，点击想看的进程，就会自动展开详细信息，其中就包括了该进程使用的端口信息，当然还有进程的本地文件等其它信息！我想这应该是你要的简单方便的查询方式吧！
端口分为3大类
1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常 这些端口的通讯明确表明了某种服 务的协议。例如：80端口实际上总是h++p通讯。
2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服 务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如： 许多系统处理动态端口从1024左右开始。
3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。 理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也 有例外：SUN的RPC端口从32768开始。
本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。
记住：并不存在所谓 ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。
0 通常用于分析* 作系统。这一方*能够工作是因为在一些系统中“0”是无效端口，当你试 图使用一 种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为 0.0.0.0，设置ACK位并在以太网层广播。
1 tcpmux这显示有人在寻找SGIIrix机 器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris 机器在发布时含有几个缺省的无密码的帐户，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,
和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索 tcpmux 并利用这些帐户。
7Echo你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信 息。常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另 一个UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见 Chargen） 另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做 Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路 由。Harvest/squid cache将从3130端口发送UDPecho：“如果将cache的 source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。
11 sysstat这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动 了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或 帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍：ICMP没有端口，ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将 会在收到UDP包后回应含有垃圾字符的包。TCP连
接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS 攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限 的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标 地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过 载。
21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方*。这些服务器 带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。
22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱 点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端 口运行ssh）还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。 它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP（而不 是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 （十六进 制的0x1600）位交换后是0x0016（使进制的22）。
23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是 为了找到机器运行的*作系统。此外使用其它技术，入侵者会找到密码。
25 smtp攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总 被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的 地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方*之一，因为它们必须 完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。
53 DNSHacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏 其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为 UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker 常使用这种方*穿透防火墙。
67和68 Bootp和DHCPUDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看 见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个 地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中 间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器 向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发 送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载 启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用 于向系统写入文件
79 finger Hacker用于获得用户信息，查询*作系统，探测已知的缓冲区溢出错误， 回应从自己机器到其它机器finger扫描。
98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的h++p服务器在98端 口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot，信任 局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。 此外 因为它包含整合的服务器，许多典型的h++p漏洞可
能存在（缓冲区溢出，历遍目录等）109 POP2并不象POP3那样有名，但许多服务器同 时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。
110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用 户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进 入系统）。成功登陆后还有其它缓冲区溢出错误。
111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是 扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提 供 服务的特定端口测试漏洞。记住一定要记录线路中的
daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生 了什么。
113 Ident auth .这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用 标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服 务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过 防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个 端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在 TCP连接的阻断过程中发回T，着将回停止这一缓慢的连接。
119 NNTP news新闻组传输协议，承载USENET通讯。当你链接到诸 如：news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接 企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新 闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务 器，匿名发帖或发送spam。
135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或 RPC的服务利用 机器上的end-point mapper注册它们的位置。远
端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描 机器的这个端口是为了找到诸如：这个机器上运 行Exchange Server吗？是什么版 本？ 这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些 DoS攻 击直接针对这个端口。
137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息，请仔 细阅读文章后面的NetBIOS一节 139 NetBIOS File and Print Sharing
通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件 和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大 量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasicScripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。
143 IMAP和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过 程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端 口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允 许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。 这一端口还被用于IMAP2，但并不流行。 已有一些报道发现有些0到143端口的攻击源 于脚本。
161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息 都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于 Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们 可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常 会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网 内广播（cable modem, DSL）查询sysName和其它信
息。
162 SNMP trap 可能是由于错误配置
177 xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。
513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。 这些人为Hacker进入他们的系统提供了很有趣的信息
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口 的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会利 用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩 子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端 口的扫描是基于UDP的，但基于TCP 的mountd有所增加（mountd同时运行于两个端 口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap 查询），只是Linux默认为635端口，就象NFS通常运行于2049
1024 许多人问这个 端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它 们请求*作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。 这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一 点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看 到Telnet被分配1024端口。请求的程序越多，动态端口也越多。*作系统分配的端口 将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个 新端口。 ?ersion 0.4.1, June 20, 2000 h++p://www.robertgraham.com/ pubs/firewall-seen.html Copyright 1998-2000 by Robert Graham
(mailto:firewall-seen1@robertgraham.com.
All rights reserved. This document may only be reproduced (whole orin part) for non-commercial purposes. All reproductions must
contain this copyright notice and must not be altered, except by
permission of the author.
1025 参见1024
1026参见1024
1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP 地址访问Internet。理论上它应该只
允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker 的位于防火墙外部的攻
击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接 攻击。
WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊 天室时常会看到这种情况。
1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。
1243 Sub-7木马（TCP）参见Subseven部分。
1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口（尤其是那些 针对Sun系统中Sendmail和RPC服务漏洞的脚本，如statd,ttdbserver和cmsd）。如 果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你 可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Sh*ll 。连接到 600/pcserver也存在这个问题。
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于 哪个端口，但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开 portmapper直接测试这个端口。
3128 squid 这是Squid h++p代理服务器的默认端口。攻击者扫描这个端口是为了搜 寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口：
000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户 （或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。
5632 pcAnywere你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开 pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是 proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的 源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。 例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。 因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译 者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。）
6970 RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070 端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许 用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它 会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个 拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同 的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。
17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。
Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件 是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会 导致adbots持续在每秒内试图连接多次而导致连接过载：
机器会不断试图解析DNS名—ads.conducent.com，即IP地址216.33.210.40 ；
216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不 知NetAnts使用的Radiate是否也有这种现象）
27374 Sub-7木马(TCP) 参见Subseven部分。
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/（译者：* 语，译为中坚力量，精华。即 3=E, 1=L, 7=T）。因此许多后门程序运行于这一端 口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。 现在它的流行越来越少，其它的 木马程序越来越流行。
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马 （RAT,Remote Access Trojan）。这种木马包含内置的31790端口扫描器，因此任何 31789端口到317890端口的连 接意味着已经有这种入侵。（31789端口是控制连 接，317890端口是文件传输连接）
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早期版本 的Solaris（2.5.1之前）将 portmapper置于这一范围内，即使低端口被防火墙封闭 仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找 portmapper，就是为了寻找可被攻击的已知的RPC服务。
33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围 之内）则可能是由于traceroute。参见traceroute分。
41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。 参见
h++p://www.circlemud.org/~jelson/software/udpsend.html
h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留端 口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。 常看见 紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序 的“动态端口”。 Server Client 服务描述
1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
20/tcp 动态 FTP FTP服务器传送文件的端口
53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连 接。
123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送 到这个端口的广播。
27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其 服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器
端口大全（中文）
1 tcpmux TCP Port Service Multiplexer 传输控制协议端口服务多路开关选择器
2 compressnet Management Utility compressnet 管理实用程序
3 compressnet Compression Process 压缩进程
5 rje Remote Job Entry 远程作业登录
7 echo Echo 回显
9 discard Discard 丢弃
11 systat Active Users 在线用户
13 daytime Daytime 时间
17 qotd Quote of the Day 每日引用
18 msp Message Send Protocol 消息发送协议
19 chargen Character Generator 字符发生器
20 ftp-data File Transfer [Default Data] 文件传输协议(默认数据口)
21 ftp File Transfer [Control] 文件传输协议(控制)
22 ssh SSH Remote Login Protocol SSH远程登录协议
23 telnet Telnet 终端仿真协议
24 ? any private mail system 预留给个人用邮件系统
25 smtp Simple Mail Transfer 简单邮件发送协议
27 nsw-fe NSW User System FE NSW 用户系统现场工程师
29 msg-icp MSG ICP MSG ICP
31 msg-auth MSG Authentication MSG验证
33 dsp Display Support Protocol 显示支持协议
35 ? any private printer server 预留给个人打印机服务
37 time Time 时间
38 rap Route Access Protocol 路由访问协议
39 rlp Resource Location Protocol 资源定位协议
41 graphics Graphics 图形
42 nameserver WINS Host Name Server WINS 主机名服务
43 nicname Who Is "绰号" who is服务
44 mpm-flags MPM FLAGS Protocol MPM(消息处理模块)标志协议
45 mpm Message Processing Module [recv] 消息处理模块
46 mpm-snd MPM [default send] 消息处理模块(默认发送口)
47 ni-ftp NI FTP &

懂网络的高手进来看看

去华夏黑客同盟的论坛看看,有很详细的介绍,就怕你看不过来
现在看这些也没多大用处
端口可分为3大类：
1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服 务的协议。例如：80端口实际上总是HTTP通讯。
2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。
3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。
本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住：并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。0通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试 图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为 0.0.0.0，设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。
7Echo你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见Chargen） 另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDPecho：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。
11 sysstat这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍：ICMP没有端口，ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。
21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。
22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 （十六进制的0x1600）位交换后是0x0016（使进制的22）。
23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。
25 smtp攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。
53 DNSHacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。
67和68 Bootp和DHCPUDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件
79 finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。
98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。 此外因为它包含整合的服务器，许多典型的HTTP漏洞可
能存在（缓冲区溢出，历遍目录等）109 POP2并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在
110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。
111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供 服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。
113 Ident auth .这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T，着将回停止这一缓慢的连接。
119 NNTP news新闻组传输协议，承载USENET通讯。当你链接到诸如：news.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。
135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运 行Exchange Server吗？是什么版本？ 这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻 击直接针对这个端口。
137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息，请仔细阅读文章后面的NetBIOS一节 139 NetBIOS File and Print Sharing
通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasicScripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。
143 IMAP和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2，但并不流行。 已有一些报道发现有些0到143端口的攻击源于脚本。
161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。
162 SNMP trap 可能是由于错误配置
177 xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。
513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供 了很有趣的信息
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP 的mountd有所增加（mountd同时运行于两个端口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口。
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新端口。
1025 参见1024
1026 参见1024
1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。
WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。
1243 Sub-7木马（TCP）参见Subseven部分。
1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口（尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本，如statd,ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。
3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口：
000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。
5632 pcAnywere你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。
6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。）6970 RealAudio
RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。
17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。
Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载：
机器会不断试图解析DNS名—ads.conducent.com，即IP地址216.33.210.40 ；
216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使用的Radiate是否也有这种现象）
27374 Sub-7木马(TCP) 参见Subseven部分。
30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。
31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即 3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的 木马程序越来越流行。
31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT,Remote Access Trojan）。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连 接意味着已经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接）
32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将 portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。
33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。参见traceroute分。
41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见http://www.circlemud.org/~jelson/software/udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留端口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。 常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务描述
1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
20/tcp 动态 FTP FTP服务器传送文件的端口
53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播。
27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器（IP asquerade）

Centos7安装配置NFS服务和挂载

1、选取192.168.65.10作为主服务器，192.168.65.11作为从服务器

2、主机安装rpcbind、nfs服务

yum install nfs-utils rpcbind

3、主机编写配置文件

vim /etc/exports

/data/nginx 192.168.65.0/24(rw,sync,fsid=0)

#同192.168.65.0/24一个网络号的主机可以挂载NFS服务器上的/home/nfs/目录到自己的文件系统中，rw表示可读写；sync表示同步写，fsid=0表示将/data找个目录包装成根目录

4、先为rpcbind和nfs做开机启动：(必须先启动rpcbind服务)

systemctl start rpcbind.service

systemctl start nfs-server.service

systemctl enable rpcbind.service//开机启动

systemctl enable nfs-server.service//开机启动

5、rpcinfo -p #检查 NFS 服务器是否挂载我们想共享的目录

6、exportfs -r #使配置生效

7、exportfs#查看共享目录

8、丛机安装主机安装nfs

9、启动rpcbind

systemctl start rpcbind.service#不需要启动nfs

10、showmount -e 192.168.65.10 #检查 NFS 服务器端是否有目录共享：showmount -e nfs服务器的IP

11、mount -t nfs 192.168.65.10:/data/nginx /data/nginx#挂载目录到共享服务器

12、df -h #查看是否挂载成功

rpcbind启动服务器失联

需要打开服务器端口设置。需要打开服务器端口设置，把系统文件导入到系统本地，然后指定路径，点击进行关闭。RPC服务器不可用：1、使用netshinterfaceipadd添加IP的时候出现下面的提示，RPC服务器不可用。2、打开运行框；输入services.msc命令。3、来到服务器管理器，确认一下RPC服务是否开启状态，remoteprocedurecall(rpc)。4、然后确认一下DCOM服务器是否开启状态，DCOMServerProcessLauncher。5、然后再确认一下DHCPClient是否开启状态，发现是禁用的。6、设置为开机自动启动。7、然后启动DHCPClient服务。8、确认DHCPClient服务是启动状态。再次来到cmd下，运行netshinterfaceipadd。这次没有提示错误就表示设置IP成功了。

NFS服务器的安装与配置

由于实验室的项目需要实现在CephFS之上建立NFS之上，所以记录一下NFS服务器的安装与配置流程。
NFS 服务器可以让客户端将网络远程的 NFS 服务器分享的目录，直接挂载到本地端的机器当中。本地端的机器通过直接读写挂载的目录，就可以同步到NFS服务器之上。
系统平台：Ubuntu 14.04
NFS Server IP：192.168.1.2
iptables关闭: Firewall is disable.（NFS端口使用在默认情况下是不固定，所以若配置NFS服务器需要搭配防火墙使用的话，请配置固定端口）
SELINUX=disabled
NFS的安装只需要安装rpcbind与nfs-server就可以对外提供服务了。
NFS服务器的主要配置文件就是：/etc/exports。不过这个配置文件不一定会存在，可能需要使用 vim 主动新建这个文件。
/etc/exports文件由以下选项构成：
每一行最前面是要分享出来的目录，目录可以依照不同的权限分享给不同的主机。若权限参数不止一个时，则以逗号 (,) 分开。且主机名与小括号是连在一起的喔！其中参数是可选的，当不指定参数时，nfs将使用默认选项。默认的共享选项是 sync,ro,root_squash,no_delay 当主机名或IP地址为空时，则代表共享给任意客户机提供服务。
下面是一些NFS共享的常用参数：
这里我们使用了NFS v3的配置，如下图所示：
配置完/etc/exports之后，接下来就可以启动NFS服务器了。
为了使NFS服务器能正常工作，需要启动rpcbind和nfs-kernel-server两个服务，并且rpcbind一定要先于nfs-kernel-server启动。
若要开机自启动nfs服务，可以通过sysv-rc-conf配置自启动服务。
客户端的挂载很简单，先建立一个挂载目录
之后客户端对应的文件目录便挂载上对应的文件系统了。
客户端可以通过命令配置开机自启动挂载NFS的文件系统。
将对应的命令 mount -t nfs 192.168.12:/tmp /mnt/nfs 添加至/etc/rc.d/local，不要尝试在直接在/etc/fstab/里挂载
小结 :梳理了一下在ubuntu之下NFS服务器的安装与配置。当然RedHat系列的发行版也是大同小异。若有疏漏，望指点斧正。