網友ee9f480 2019-07-09

“埠”是英文port的意譯，可以認為是裝置與外界通訊交流的出口。埠可分為虛擬埠和物理埠，其中虛擬埠指計算機內部或交換機路由器內的埠，不可見。

例如計算機中的80埠、21埠、23埠等。物理埠又稱為介面，是可見埠，計算機背板的RJ45網口，交換機路由器集線器等RJ45埠。電話使用RJ11插口也屬於物理埠的範疇。

分類：

1、硬體埠

CPU透過介面暫存器或特定電路與外設進行資料傳送，這些暫存器或特定電路稱之為埠。

2、網路埠

在網路技術中，埠（Port）有好幾種意思。集線器、交換機、路由器的埠指的是連線其他網路裝置的介面，如RJ-45埠、Serial埠等。我們 這裡所指的埠不是指物理意義上的埠，而是特指TCP/IP協議中的埠，是邏輯意義上的埠。

3、軟體埠

緩衝區。

擴充套件資料：

埠的非法入侵：

1、掃描埠，透過已知的系統Bug攻入主機。

2、種植木馬，利用木馬開闢的後門進入主機。

3、採用資料溢位的手段，迫使主機提供後門進入主機。

4、利用某些軟體設計的漏洞，直接或間接控制主機。

參考資料來源：百度百科-埠

我是牛o0 2006-02-12

————————————————————————————————————————

在Internet上，各主機間透過TCP/TP協議傳送和接收資料報，各個資料報根據其目的主機的ip地址來進行網際網路絡中的路由選擇。可見，把資料報順利的傳送到目的主機是沒有問題的。問題出在哪裡呢？我們知道大多數作業系統都支援多程式（程序）同時執行，那麼目的主機應該把接收到的資料報傳送給眾多同時執行的程序中的哪一個呢？顯然這個問題有待解決，埠機制便由此被引入進來。

本地作業系統會給那些有需求的程序分配協議埠（protocal port，即我們常說的埠），每個協議埠由一個正整數標識，如：80，139，445，等等。當目的主機接收到資料報後，將根據報文首部的目的埠號，把資料傳送到相應埠，而與此埠相對應的那個程序將會領取資料並等待下一組資料的到來。說到這裡，埠的概念似乎仍然抽象，那麼繼續跟我來，別走開。

埠其實就是隊，作業系統為各個程序分配了不同的隊，資料報按照目的埠被推入相應的隊中，等待被程序取用，在極特殊的情況下，這個隊也是有可能溢位的，不過作業系統允許各程序指定和調整自己的隊的大小。

不光接受資料報的程序需要開啟它自己的埠，傳送資料報的程序也需要開啟埠，這樣，資料報中將會標識有源埠，以便接受方能順利的回傳資料報到這個埠。

埠的分類：

在Internet上，按照協議型別分類，埠被分為TCP埠和UDP埠兩類，雖然他們都用正整數標識，但這並不會引起歧義，比如TCP的80埠和UDP的80埠，因為資料報在標明埠的同時，還將標明埠的型別。

從埠的分配來看，埠被分為固定埠和動態埠兩大類（一些教程還將極少被用到的高階口劃分為第三類：私有埠）：

固定埠（0－1023）：

使用集中式管理機制，即服從一個管理機構對埠的指派，這個機構負責釋出這些指派。由於這些埠緊綁於一些服務，所以我們會經常掃描這些埠來判斷對方是否開啟了這些服務，如TCP的21（ftp），80（http），139（netbios），UDP的7（echo），69（tftp）等等一些大家熟知的埠；

動態埠（1024－49151）：

這些埠並不被固定的捆綁於某一服務，作業系統將這些埠動態的分配給各個程序，同一程序兩次分配有可能分配到不同的埠。不過一些應用程式並不願意使用作業系統分配的動態埠，他們有其自己的‘商標性’埠，如oicq客戶端的4000埠，木馬冰河的7626埠等都是固定而出名的。

埠在入侵中的作用：

有人曾經把伺服器比作房子，而把埠比作通向不同房間（服務）的門，如果不考慮細節的話，這是一個不錯的比喻。入侵者要佔領這間房子，勢必要破門而入（物理入侵另說），那麼對於入侵者來說，瞭解房子開了幾扇門，都是什麼樣的門，門後面有什麼東西就顯得至關重要。

入侵者通常會用掃描器對目標主機的埠進行掃描，以確定哪些埠是開放的，從開放的埠，入侵者可以知道目標主機大致提供了哪些服務，進而猜測可能存在的漏洞，因此對埠的掃描可以幫助我們更好的瞭解目標主機，而對於管理員，掃描本機的開放埠也是做好安全防範的第一步。

常見埠的介紹

由於本人知識有限，在這裡只介紹一些淺顯的內容。

1）21 ftp

此埠開放表示伺服器提供了FTP服務，入侵者通常會掃描此埠並判斷是否允許匿名登陸，如果能找到可寫目錄，還可以上傳一些駭客程式做近一步入侵。要想關閉此埠，需要關閉FTP服務。

2）23 Telnet

此埠開放表示伺服器提供了遠端登陸服務，如果你有管理員的使用者名稱和密碼，可以透過這個服務來完全控制主機（不過要先搞定NTLM身份認證），獲得一個命令列下的shell。許多入侵者喜歡開啟這個服務作為後門。要想關閉此埠，需要關閉Telnet服務。

3）25 smtp

此埠開放表示伺服器提供了SMTP服務，一些不支援身份驗證的伺服器允許入侵者傳送郵件到任何地點，SMTP伺服器（尤其是sendmail）也是進入系統的最常用方法之一。要想關閉此埠，需要關閉SMTP服務。

4）69 TFTP（UDP）

此埠開放表示伺服器提供了TFTP服務，它允許從伺服器下載檔案，也可以寫入檔案，如果管理員錯誤配置，入侵者甚至可以下載密碼檔案。許多入侵者透過在自己機器執行此服務來傳檔案到目標機器，從而實現檔案的傳輸。要想關閉此埠，需要關閉TFTP服務。

5）79 finger

用於獲得使用者資訊，查詢作業系統，探測已知的緩衝區溢位錯誤， 迴應從自己機器到其它機器finger掃描。

6）80 http

此埠開放表示伺服器提供了HTTP服務，可以讓訪問者瀏覽其網頁等，大部分針對IIS伺服器的溢位攻擊都是透過這個埠的，可以說是入侵者最常攻擊的一個埠了。要想關閉此埠，需要關閉HTTP服務。

7）110 POP3

用於客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於使用者名稱和密碼交換緩衝區溢位的弱點至少有20個，這意味著入侵者可以在真正登陸前進入系統，成功登陸後還有其它緩衝區溢位錯誤。

8）TCP的139和445

許多人都很關心這兩個埠，那我就來詳細的介紹一下吧：

首先我們來了解一些基礎知識：

1 SMB：（Server Message Block） Windows協議族，用於檔案列印共享的服務；

2 NBT：（NETBios Over TCP/IP）使用137（UDP）138（UDP）139（TCP）埠實現基於TCP/IP協議的NETBIOS網路互聯。

3 在WindowsNT中SMB基於NBT實現，即使用139（TCP）埠；而在Windows2000中，SMB除了基於NBT實現，還可以直接透過445埠實現。

有了這些基礎知識，我們就可以進一步來討論訪問網路共享對埠的選擇了：

對於win2000客戶端（發起端）來說：

1 如果在允許NBT的情況下連線伺服器時，客戶端會同時嘗試訪問139和445埠，如果445埠有響應，那麼就傳送RST包給139埠斷開連線，用455埠進行會話，當445埠無響應時，才使用139埠，如果兩個埠都沒有響應，則會話失敗；

2 如果在禁止NBT的情況下連線伺服器時，那麼客戶端只會嘗試訪問445埠，如果445埠無響應，那麼會話失敗。

對於win2000伺服器端來說：

1 如果允許NBT， 那麼UDP埠137， 138， TCP 埠 139， 445將開放（LISTENING）；

2 如果禁止NBT，那麼只有445埠開放。

我們建立的ipc$會話對埠的選擇同樣遵守以上原則。顯而易見，如果遠端伺服器沒有監聽139或445埠，ipc$會話是無法建立的。那麼如何關閉2000上這兩個埠呢？

139埠可以透過禁止NBT來遮蔽

本地連線－TCP/IT屬性－高階－WINS－選‘禁用TCP/IT上的NETBIOS’一項

445埠可以透過修改登錄檔來遮蔽

新增一個鍵值

Hive： HKEY_LOCAL_MACHINE

Key： System\Controlset\Services\NetBT\Parameters

Name： SMBDeviceEnabled

Type： REG_DWORD

value： 0

修改完後重啟機器

9）3389 Terminal Services

此埠開放表示伺服器提供了終端服務，如果你獲得了管理員的使用者名稱和密碼，那麼你可以透過這個服務在圖形介面下完全控制主機，這的確是一件令人嚮往的事情，但如果你得不到密碼也找不到輸入法漏洞，你會感到束手無策。要想關閉此埠，需要關閉終端服務。

埠的相關工具

1 netstat -an

的確，這並不是一個工具，但他是檢視自己所開放埠的最方便方法，在cmd中輸入這個命令就可以了。如下：

C：\>netstat -an

Active Connections

Proto Local Address Foreign Address State

TCP 0。0。0。0：135 0。0。0。0：0 LISTENING

TCP 0。0。0。0：445 0。0。0。0：0 LISTENING

TCP 0。0。0。0：1025 0。0。0。0：0 LISTENING

TCP 0。0。0。0：1026 0。0。0。0：0 LISTENING

TCP 0。0。0。0：1028 0。0。0。0：0 LISTENING

TCP 0。0。0。0：3372 0。0。0。0：0 LISTENING

UDP 0。0。0。0：135 *：*

UDP 0。0。0。0：445 *：*

UDP 0。0。0。0：1027 *：*

UDP 127。0。0。1：1029 *：*

UDP 127。0。0。1：1030 *：*

這是我沒上網的時候機器所開的埠，兩個135和445是固定埠，其餘幾個都是動態埠。

2 fport。exe和mport。exe

這也是兩個命令列下檢視本地機器開放埠的小程式，其實與netstat -an這個命令大同小異，只不過它能夠顯示開啟埠的程序，資訊更多一些而已，如果你懷疑自己的奇怪埠可能是木馬，那就用他們查查吧。

3 activeport。exe（也稱aports。exe）

還是用來檢視本地機器開放埠的東東，除了具有上面兩個程式的全部功能外，他還有兩個更吸引人之處：圖形介面以及可以關閉埠。這對菜鳥來說是個絕對好用的東西，推薦使用喔。

4 superscan3。0

它的大名你不會沒聽說過吧，純埠掃描類軟體中的NO。1，速度快而且可以指定掃描的埠，不多說了，絕對必備工具。

保護好自己的埠：

剛接觸網路的朋友一般都對自己的埠很敏感，總怕自己的電腦開放了過多埠，更怕其中就有後門程式的埠，但由於對埠不是很熟悉，所以也沒有解決辦法，上起網來提心吊膽。其實保護自己的埠並不是那麼難，只要做好下面幾點就行了：

1 檢視：經常用命令或軟體檢視本地所開放的埠，看是否有可疑埠；

2 判斷：如果開放埠中有你不熟悉的，應該馬上查詢埠大全或木馬常見埠等資料（網上多的很），看看裡面對你那個可疑埠的作用描述，或者透過軟體檢視開啟此埠的程序來進行判斷；

3 關閉：如果真是木馬埠或者資料中沒有這個埠的描述，那麼應該關閉此埠，你可以用防火牆來遮蔽此埠，也可以用本地連線－TCP/IP－高階－選項－TCP/IP篩選，啟用篩選機制來篩選埠；

回答者：andoniowang - 高階經理 七級 12-15 20：59

————————————————————————————————————————

在Internet上，各主機間透過TCP/TP協議傳送和接收資料報，各個資料報根據其目的主機的ip地址來進行網際網路絡中的路由選擇。可見，把資料報順利的傳送到目的主機是沒有問題的。問題出在哪裡呢？我們知道大多數作業系統都支援多程式（程序）同時執行，那麼目的主機應該把接收到的資料報傳送給眾多同時執行的程序中的哪一個呢？顯然這個問題有待解決，埠機制便由此被引入進來。

本地作業系統會給那些有需求的程序分配協議埠（protocal port，即我們常說的埠），每個協議埠由一個正整數標識，如：80，139，445，等等。當目的主機接收到資料報後，將根據報文首部的目的埠號，把資料傳送到相應埠，而與此埠相對應的那個程序將會領取資料並等待下一組資料的到來。說到這裡，埠的概念似乎仍然抽象，那麼繼續跟我來，別走開。

埠其實就是隊，作業系統為各個程序分配了不同的隊，資料報按照目的埠被推入相應的隊中，等待被程序取用，在極特殊的情況下，這個隊也是有可能溢位的，不過作業系統允許各程序指定和調整自己的隊的大小。

不光接受資料報的程序需要開啟它自己的埠，傳送資料報的程序也需要開啟埠，這樣，資料報中將會標識有源埠，以便接受方能順利的回傳資料報到這個埠。

埠的分類：

在Internet上，按照協議型別分類，埠被分為TCP埠和UDP埠兩類，雖然他們都用正整數標識，但這並不會引起歧義，比如TCP的80埠和UDP的80埠，因為資料報在標明埠的同時，還將標明埠的型別。

從埠的分配來看，埠被分為固定埠和動態埠兩大類（一些教程還將極少被用到的高階口劃分為第三類：私有埠）：

固定埠（0－1023）：

使用集中式管理機制，即服從一個管理機構對埠的指派，這個機構負責釋出這些指派。由於這些埠緊綁於一些服務，所以我們會經常掃描這些埠來判斷對方是否開啟了這些服務，如TCP的21（ftp），80（http），139（netbios），UDP的7（echo），69（tftp）等等一些大家熟知的埠；

動態埠（1024－49151）：

這些埠並不被固定的捆綁於某一服務，作業系統將這些埠動態的分配給各個程序，同一程序兩次分配有可能分配到不同的埠。不過一些應用程式並不願意使用作業系統分配的動態埠，他們有其自己的‘商標性’埠，如oicq客戶端的4000埠，木馬冰河的7626埠等都是固定而出名的。

埠在入侵中的作用：

有人曾經把伺服器比作房子，而把埠比作通向不同房間（服務）的門，如果不考慮細節的話，這是一個不錯的比喻。入侵者要佔領這間房子，勢必要破門而入（物理入侵另說），那麼對於入侵者來說，瞭解房子開了幾扇門，都是什麼樣的門，門後面有什麼東西就顯得至關重要。

入侵者通常會用掃描器對目標主機的埠進行掃描，以確定哪些埠是開放的，從開放的埠，入侵者可以知道目標主機大致提供了哪些服務，進而猜測可能存在的漏洞，因此對埠的掃描可以幫助我們更好的瞭解目標主機，而對於管理員，掃描本機的開放埠也是做好安全防範的第一步。

常見埠的介紹

由於本人知識有限，在這裡只介紹一些淺顯的內容。

1）21 ftp

此埠開放表示伺服器提供了FTP服務，入侵者通常會掃描此埠並判斷是否允許匿名登陸，如果能找到可寫目錄，還可以上傳一些駭客程式做近一步入侵。要想關閉此埠，需要關閉FTP服務。

2）23 Telnet

此埠開放表示伺服器提供了遠端登陸服務，如果你有管理員的使用者名稱和密碼，可以透過這個服務來完全控制主機（不過要先搞定NTLM身份認證），獲得一個命令列下的shell。許多入侵者喜歡開啟這個服務作為後門。要想關閉此埠，需要關閉Telnet服務。

3）25 smtp

此埠開放表示伺服器提供了SMTP服務，一些不支援身份驗證的伺服器允許入侵者傳送郵件到任何地點，SMTP伺服器（尤其是sendmail）也是進入系統的最常用方法之一。要想關閉此埠，需要關閉SMTP服務。

4）69 TFTP（UDP）

此埠開放表示伺服器提供了TFTP服務，它允許從伺服器下載檔案，也可以寫入檔案，如果管理員錯誤配置，入侵者甚至可以下載密碼檔案。許多入侵者透過在自己機器執行此服務來傳檔案到目標機器，從而實現檔案的傳輸。要想關閉此埠，需要關閉TFTP服務。

5）79 finger

用於獲得使用者資訊，查詢作業系統，探測已知的緩衝區溢位錯誤， 迴應從自己機器到其它機器finger掃描。

6）80 http

此埠開放表示伺服器提供了HTTP服務，可以讓訪問者瀏覽其網頁等，大部分針對IIS伺服器的溢位攻擊都是透過這個埠的，可以說是入侵者最常攻擊的一個埠了。要想關閉此埠，需要關閉HTTP服務。

7）110 POP3

用於客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於使用者名稱和密碼交換緩衝區溢位的弱點至少有20個，這意味著入侵者可以在真正登陸前進入系統，成功登陸後還有其它緩衝區溢位錯誤。

8）TCP的139和445

許多人都很關心這兩個埠，那我就來詳細的介紹一下吧：

首先我們來了解一些基礎知識：

1 SMB：（Server Message Block） Windows協議族，用於檔案列印共享的服務；

2 NBT：（NETBios Over TCP/IP）使用137（UDP）138（UDP）139（TCP）埠實現基於TCP/IP協議的NETBIOS網路互聯。

3 在WindowsNT中SMB基於NBT實現，即使用139（TCP）埠；而在Windows2000中，SMB除了基於NBT實現，還可以直接透過445埠實現。

有了這些基礎知識，我們就可以進一步來討論訪問網路共享對埠的選擇了：

對於win2000客戶端（發起端）來說：

1 如果在允許NBT的情況下連線伺服器時，客戶端會同時嘗試訪問139和445埠，如果445埠有響應，那麼就傳送RST包給139埠斷開連線，用455埠進行會話，當445埠無響應時，才使用139埠，如果兩個埠都沒有響應，則會話失敗；

2 如果在禁止NBT的情況下連線伺服器時，那麼客戶端只會嘗試訪問445埠，如果445埠無響應，那麼會話失敗。

對於win2000伺服器端來說：

1 如果允許NBT， 那麼UDP埠137， 138， TCP 埠 139， 445將開放（LISTENING）；

2 如果禁止NBT，那麼只有445埠開放。

我們建立的ipc$會話對埠的選擇同樣遵守以上原則。顯而易見，如果遠端伺服器沒有監聽139或445埠，ipc$會話是無法建立的。那麼如何關閉2000上這兩個埠呢？

139埠可以透過禁止NBT來遮蔽

本地連線－TCP/IT屬性－高階－WINS－選‘禁用TCP/IT上的NETBIOS’一項

445埠可以透過修改登錄檔來遮蔽

新增一個鍵值

Hive： HKEY_LOCAL_MACHINE

Key： System\Controlset\Services\NetBT\Parameters

Name： SMBDeviceEnabled

Type： REG_DWORD

value： 0

修改完後重啟機器

9）3389 Terminal Services

此埠開放表示伺服器提供了終端服務，如果你獲得了管理員的使用者名稱和密碼，那麼你可以透過這個服務在圖形介面下完全控制主機，這的確是一件令人嚮往的事情，但如果你得不到密碼也找不到輸入法漏洞，你會感到束手無策。要想關閉此埠，需要關閉終端服務。

埠的相關工具

1 netstat -an

的確，這並不是一個工具，但他是檢視自己所開放埠的最方便方法，在cmd中輸入這個命令就可以了。如下：

C：\>netstat -an

Active Connections

Proto Local Address Foreign Address State

TCP 0。0。0。0：135 0。0。0。0：0 LISTENING

TCP 0。0。0。0：445 0。0。0。0：0 LISTENING

TCP 0。0。0。0：1025 0。0。0。0：0 LISTENING

TCP 0。0。0。0：1026 0。0。0。0：0 LISTENING

TCP 0。0。0。0：1028 0。0。0。0：0 LISTENING

TCP 0。0。0。0：3372 0。0。0。0：0 LISTENING

UDP 0。0。0。0：135 *：*

UDP 0。0。0。0：445 *：*

UDP 0。0。0。0：1027 *：*

UDP 127。0。0。1：1029 *：*

UDP 127。0。0。1：1030 *：*

這是我沒上網的時候機器所開的埠，兩個135和445是固定埠，其餘幾個都是動態埠。

2 fport。exe和mport。exe

這也是兩個命令列下檢視本地機器開放埠的小程式

前世多爾滾 2006-02-11

很多從1到幾萬吧比如QQ一般個人電腦都是用4000

禮貌仁山聖人461 推薦於2018-05-30

在Internet上，各主機間透過TCP/TP協議傳送和接收資料報，各個資料報根據其目的主機的ip地址來進行網際網路絡中的路由選擇。可見，把資料報順利的傳送到目的主機是沒有問題的。問題出在哪裡呢？我們知道大多數作業系統都支援多程式（程序）同時執行，那麼目的主機應該把接收到的資料報傳送給眾多同時執行的程序中的哪一個呢？顯然這個問題有待解決，埠機制便由此被引入進來。

本地作業系統會給那些有需求的程序分配協議埠（protocal port，即我們常說的埠），每個協議埠由一個正整數標識，如：80，139，445，等等。當目的主機接收到資料報後，將根據報文首部的目的埠號，把資料傳送到相應埠，而與此埠相對應的那個程序將會領取資料並等待下一組資料的到來。說到這裡，埠的概念似乎仍然抽象，那麼繼續跟我來，別走開。

埠其實就是隊，作業系統為各個程序分配了不同的隊，資料報按照目的埠被推入相應的隊中，等待被程序取用，在極特殊的情況下，這個隊也是有可能溢位的，不過作業系統允許各程序指定和調整自己的隊的大小。

不光接受資料報的程序需要開啟它自己的埠，傳送資料報的程序也需要開啟埠，這樣，資料報中將會標識有源埠，以便接受方能順利的回傳資料報到這個埠。

埠的分類：

在Internet上，按照協議型別分類，埠被分為TCP埠和UDP埠兩類，雖然他們都用正整數標識，但這並不會引起歧義，比如TCP的80埠和UDP的80埠，因為資料報在標明埠的同時，還將標明埠的型別。

從埠的分配來看，埠被分為固定埠和動態埠兩大類（一些教程還將極少被用到的高階口劃分為第三類：私有埠）：

固定埠（0－1023）：

使用集中式管理機制，即服從一個管理機構對埠的指派，這個機構負責釋出這些指派。由於這些埠緊綁於一些服務，所以我們會經常掃描這些埠來判斷對方是否開啟了這些服務，如TCP的21（ftp），80（http），139（netbios），UDP的7（echo），69（tftp）等等一些大家熟知的埠；

動態埠（1024－49151）：

這些埠並不被固定的捆綁於某一服務，作業系統將這些埠動態的分配給各個程序，同一程序兩次分配有可能分配到不同的埠。不過一些應用程式並不願意使用作業系統分配的動態埠，他們有其自己的‘商標性’埠，如oicq客戶端的4000埠，木馬冰河的7626埠等都是固定而出名的。

保護好自己的埠：

剛接觸網路的朋友一般都對自己的埠很敏感，總怕自己的電腦開放了過多埠，更怕其中就有後門程式的埠，但由於對埠不是很熟悉，所以也沒有解決辦法，上起網來提心吊膽。其實保護自己的埠並不是那麼難，只要做好下面幾點就行了：

1 檢視：經常用命令或軟體檢視本地所開放的埠，看是否有可疑埠；

2 判斷：如果開放埠中有你不熟悉的，應該馬上查詢埠大全或木馬常見埠等資料（網上多的很），看看裡面對你那個可疑埠的作用描述，或者透過軟體檢視開啟此埠的程序來進行判斷；

3 關閉：如果真是木馬埠或者資料中沒有這個埠的描述，那麼應該關閉此埠，你可以用防火牆來遮蔽此埠，也可以用本地連線－TCP/IP－高階－選項－TCP/IP篩選，啟用篩選機制來篩選埠；