常见的网络服务端口

常见的网络服务端口

广泛公认的端口列表

https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
网页上查看有142页，有超过14000行的端口登记信息。支持导出格式有csv, xml, heml, txt
有搜索栏，方便搜索关键字。
注：

1. 广泛公认的端口，是大部分广泛使用的程序或协议的默认端口，但实际使用时，由于安全等原因，系统管理员可以自行指定端口号。
2. 这里的端口号通常指的是服务器端的端口号。比如网页浏览器会在本机的36406端口和远端的80端口间建立连接。服务端的80端口就是默认的广泛公认的端口。而本机的36406则只是临时端口。

端口

0-1023是公认端口号，即已经公认定义或为将要公认定义的软件保留的，而1024-65535是并没有公共定义的端口号，用户可以自己定义这些端口的作用。
那么端口号到底有什么作用呢？
当一台电脑启动了一个可以让远程其他电脑访问的程序，那么它就要开启至少一个端口号来让外界访问。我们可以把没有开启端口号的电脑看作是一个密封的房间，密封的房间当然不可能接受外界的访问，所以当系统开启了一个可以让外界访问的程序后它自然需要在房间上开一个窗口来接受来自外界的访问，这个窗口就是端口。

那么为什么要给端口编号来区分它们呢，既然一个程序开了一个端口，那么不是外部信息都可以通过这个开启的端口来访问了吗？答案是不可以。为什么呢？因为数据是用端口号来通知传输层协议送给哪个软件来处理的，数据是没有智慧的，如果很多的程序共用一个端口来接受数据的话，那么当外界的一个数据包送来后传输层就不知道该送给哪一个软件来处理，这样势必将导致混乱。

源端口号一般是由系统自己动态生成的一个从1024-65535的号码，当一台计算机A通过网络访问计算机B时，如果它需要对方返回数据的话，它也会随机创建一个大于1023的端口，告诉B返回数据时把数据送到自己的哪个端口，然后软件开始侦听这个端口，等待数据返回。而B收到数据后会读取数据包的源端口号和目的端口号，然后记录下来，当软件创建了要返回的数据后就把原来数据包中的原端口号作为目的端口号，而把自己的端口号作为原端口号，也就是说把收到的数据包中的原和目的反过来，然后再送回A，A再重复这个过程如此反复直到数据传输完成。当数据全部传输完A就把源端口释放出来，所以同一个软件每次传输数据时不一定是同一个源端口号。

TCP/UDP

• TCP（Transmission Control Protocol，传输控制协议）是面向连接的协议，也就是说，在收发数据前，必须和对方建立可靠的连接。
• UDP（User Data Protocol，用户数据报协议）非连接的协议，传输数据之前源端和终端不建立连接，尽快交付，不保证可靠交付。

>  TCP就好比打电话: 可靠，相对消耗资源也更多.
拨通电话，且对方接听了电话，才算建立连接成功，这时候就可以聊天了。TCP数据才开始发送。
电话拨通了，但对方没接，建立连接失败；需要重拨...
若中途掉线，即连接断开，聊天也中断了。连接断开；需要重拨...
>  UDP就好比发送短消息: 快速节能但不可靠.
只管发出去，不管对方能不能看到。更不会考虑对方是否有拦截短信等软件。
对方没带手机，手机没电关机...与我无关，我已发送完成。

端口号的分配

端口号基于三个范围以各种方式分配。这些范围的差异用途描述于[RFC6335]。根据[RFC6335]的8.1.2节：

• 系统端口:（0-1023）是由“IETF审查”或“IESG批准”程序分配[RFC8126]。
• 用户端口:（1024-49151）由IANA使用“IETF审核”流程分配，根据“IESG批准”流程或“专家审核”流程[RFC6335]。
• 动态端口:（49152-65535）或称私有端口, 根据定义，没有端口可以被正式地注册占用。

windows常见网络端口

在cmd中输入netstat -ano查看开放端口信息

netstat -anob查看端口对应的服务信息

端口	服务	描述
20/TCP,UDP	FTP [Default Data]	文件传输协议 - 默认数据端口
21/TCP,UDP	FTP [Control]	文件传输协议 - 控制端口
22/TCP,UDP	SSH	SSH（Secure Shell） - 远程登录协议，用于安全登录文件传输（SCP，SFTP）及端口重新定向
23/TCP,UDP	Telnet	Telnet终端仿真协议 - 未加密文本通信
25/TCP,UDP	SMTP	SMTP（简单邮件传输协议） - 用于邮件服务器间的电子邮件传递
43/TCP	WHOIS	WHOIS协议
53/TCP,UDP	DNS	DNS（域名服务系统）
67/UDP	BOOTPs	BOOTP（BootStrap协议）服务；同时用于动态主机设置协议
68/UDP	BOOTPc	BOOTP客户端；同时用于动态主机设定协议
69/UDP	TFTP	小型文件传输协议（小型文件传输协议）
80/TCP	Http	超文本传输协议（超文本传输协议）- 用于传输网页
110/TCP	POP3	邮局协议，“邮局协议”，第3版 - 用于接收电子邮件
113/TCP	Windows验证服务	Ident - 旧的服务器身份识别系统，仍然被IRC服务器用来认证它的用户
123/UDP	NTP	NTP（Network Time Protocol） - 用于时间同步
137/TCP,UDP	NetBIOS Name Service	NetBIOS NetBIOS 名称服务
138/TCP,UDP	NetBIOS Datagram Service	NetBIOS NetBIOS 数据报文服务
139/TCP,UDP	NetBIOS Session Service	NetBIOS NetBIOS 会话服务
143/TCP,UDP	IMAP	因特网信息访问协议（Internet信息访问协议 4） - 用于检索 电子邮件s
161/TCP,UDP	SNMP	简单网络管理协议 (简单网络管理协议)
179/TCP	Bgp	边界网关协议 (边界网关协议)
194/TCP		IRC（互联网中继聊天）
220/TCP,UDP	IMAP3	因特网信息访问协议，交互邮件访问协议第3版
389/TCP,UDP	LDAP	轻型目录访问协议 LDAP
443/TCP	Https	超文本传输安全协议 - 超文本传输协议 over TLS/SSL（加密传输）
546/TCP,UDP		DHCPv6客户端
547/TCP,UDP		DHCPv6服务器
631/TCP,UDP	CUPS	互联网打印协议
636/TCP,UDP	LDAPS	LDAP over SSL（加密传输，也被称为LDAPS）
991/TCP,UDP		NAS (Netnews Admin System)
1080/tcp	SOCKS	SOCKS代理
1194/udp		OpenVPN
1433/tcp,udp	SQL Server	Microsoft SQL 数据库系统
1434/tcp,udp	SQL Server monitor	Microsoft SQL 活动监视器
1521/tcp	Oracle	Oracle数据库 default listener, in future releases official port 2483
3306/tcp,udp	MySQL	MySQL数据库系统
3389/tcp	RDP	远程桌面协议（RDP）
5432/tcp	PostgreSQL	PostgreSQL database system

 

linux常用端口

使用“ cat /etc/services ”命令，可以查看所有服务默认的端口列表信息。
$ cat /etc/services |wc -l
11410 //1行就是1个tcp或udp端口对照

Linux系统nftables防火墙的端口映射

https://wiki.archlinux.org/index.php/Nftables
注意： nft不用于/etc/services将端口号与名称匹配，而是使用内部列表。 要从命令行显示端口映射，请使用eg nft describe tcp dport。
$ sudo nft describe tcp dport |wc -l
338
$ sudo nft describe tcp dport
payload expression, datatype inet_service (internet network service) (basetype integer), 16 bits
pre-defined symbolic constants (in decimal):
tcpmux 1
echo 7
... 详见下表:

name	port		name	port		name	port		name	port
tcpmux	1		exec	512		cfinger	2003		x11-6	6006
echo	7		login	513		search	2010		x11-7	6007
discard	9		shell	514		nfs	2049		gnutella-svc	6346
systat	11		printer	515		knetd	2053		gnutella-rtr	6347
daytime	13		talk	517		gnunet	2086		sge-qmaster	6444
netstat	15		ntalk	518		rtcm-sc104	2101		sge-execd	6445
qotd	17		route	520		zephyr-srv	2102		mysql-proxy	6446
msp	18		timed	525		zephyr-clt	2103		syslog-tls	6514
chargen	19		tempo	526		zephyr-hm	2104		sane-port	6566
ftp-data	20		courier	530		eklogin	2105		ircd	6667
ftp	21		conference	531		kx	2111		afs3-fileserver	7000
ssh	22		netnews	532		gsigatekeeper	2119		afs3-callback	7001
telnet	23		netwall	533		iprop	2121		afs3-prserver	7002
smtp	25		gdomap	538		gris	2135		afs3-vlserver	7003
time	37		uucp	540		ninstall	2150		afs3-kaserver	7004
rlp	39		klogin	543		cvspserver	2401		afs3-volser	7005
nameserver	42		kshell	544		venus	2430		afs3-errors	7006
whois	43		dhcpv6-client	546		venus-se	2431		afs3-bos	7007
tacacs	49		dhcpv6-server	547		codasrv	2432		afs3-update	7008
re-mail-ck	50		afpovertcp	548		codasrv-se	2433		afs3-rmtsys	7009
domain	53		idfp	549		mon	2583		font-service	7100
mtp	57		rtsp	554		zebrasrv	2600		zope-ftp	8021
tacacs-ds	65		remotefs	556		zebra	2601		http-alt	8080
bootps	67		nntps	563		ripd	2602		tproxy	8081
bootpc	68		submission	587		ripngd	2603		omniorb	8088
tftp	69		nqs	607		ospfd	2604		clc-build-daemon	8990
gopher	70		npmp-local	610		bgpd	2605		xinetd	9098
rje	77		npmp-gui	611		ospf6d	2606		bacula-dir	9101
finger	79		hmmp-ind	612		ospfapi	2607		bacula-fd	9102
http	80		asf-rmcp	623		isisd	2608		bacula-sd	9103
link	87		qmqp	628		dict	2628		mandelspawn	9359
kerberos	88		ipp	631		f5-globalsite	2792		git	9418
supdup	95		ldaps	636		gsiftp	2811		xmms2	9667
linuxconf	98		tinc	655		gpsd	2947		zope	9673
hostnames	101		silc	706		afbackup	2988		webmin	10000
iso-tsap	102		kerberos-adm	749		afmbackup	2989		zabbix-agent	10050
acr-nema	104		kerberos4	750		gds-db	3050		zabbix-trapper	10051
csnet-ns	105		kerberos-master	751		icpv2	3130		amanda	10080
poppassd	106		passwd-server	752		iscsi-target	3260		kamanda	10081
rtelnet	107		krb-prop	754		mysql	3306		amandaidx	10082
pop2	109		krbupdate	760		nut	3493		amidxtape	10083
pop3	110		webster	765		distcc	3632		nbd	10809
sunrpc	111		moira-db	775		daap	3689		dicom	11112
auth	113		moira-update	777		svn	3690		smsqp	11201
sftp	115		moira-ureg	779		suucp	4031		hkp	11371
uucp-path	117		spamd	783		sysrqd	4094		bprd	13720
nntp	119		omirr	808		sieve	4190		bpdbm	13721
ntp	123		supfilesrv	871		xtell	4224		bpjava-msvc	13722
pwdgen	129		rsync	873		f5-iquery	4353		vnetd	13724
loc-srv	135		swat	901		epmd	4369		bpcd	13782
netbios-ns	137		ftps-data	989		remctl	4373		vopied	13783
netbios-dgm	138		ftps	990		ipsec-nat-t	4500		xpilot	15345
netbios-ssn	139		telnets	992		fax	4557		sgi-cmsd	17001
imap2	143		imaps	993		hylafax	4559		sgi-crsd	17002
snmp	161		ircs	994		iax	4569		sgi-gcd	17003
snmp-trap	162		pop3s	995		distmp3	4600		sgi-cad	17004
cmip-man	163		customs	1001		mtn	4691		db-lsp	17500
cmip-agent	164		socks	1080		radmin-port	4899		isdnlog	20011
mailq	174		proofd	1093		munin	4949		vboxd	20012
xdmcp	177		rootd	1094		rfe	5002		dcap	22125
nextstep	178		rmiregistry	1099		mmcc	5050		gsidcap	22128
bgp	179		kpop	1109		enbd-cstatd	5051		wnn6	22273
prospero	191		supfiledbg	1127		enbd-sstatd	5052		binkp	24554
irc	194	skkserv	1178	sip	5060	asp	27374
smux	199	openvpn	1194	sip-tls	5061	csync2	30865
at-rtmp	201	predict	1210	pcrd	5151
at-nbp	202	kazaa	1214	aol	5190
at-echo	204	rmtcfg	1236	xmpp-client	5222
at-zis	206	nessus	1241	xmpp-server	5269
qmtp	209	wipld	1300	cfengine	5308
z3950	210	xtel	1313	mdns	5353
ipx	213	xtelw	1314	noclog	5354
imap3	220	lotusnote	1352	hostmon	5355
pawserv	345	ms-sql-s	1433	postgresql	5432
zserv	346	ms-sql-m	1434	rplay	5555
fatserv	347	ingreslock	1524	freeciv	5556
rpc2portmap	369	prospero-np	1525	nrpe	5666
codaauth2	370	support	1529	nsca	5667
clearcase	371	datametrics	1645	amqps	5671
ulistserv	372	sa-msg-port	1646	amqp	5672
ldap	389	kermit	1649	mrtd	5674
imsp	406	groupwise	1677	bgpsim	5675
svrloc	427	l2f	1701	canna	5680
https	443	radius	1812	ggz	5688
snpp	444	radius-acct	1813	x11	6000
microsoft-ds	445	msnp	1863	x11-1	6001
kpasswd	464	unix-status	1957	x11-2	6002
urd	465	log-server	1958	x11-3	6003
saft	487	remoteping	1959	x11-4	6004
isakmp	500	cisco-sccp	2000	x11-5	6005

端口说明

端口：0
服务：Reserved
说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

端口：1
服务：tcpmux
说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。

端口：7
服务：Echo
说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。

端口：19
服务：Character Generator
说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

端口：21
服务：FTP
说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口：22
服务：Ssh
说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。

端口：23
服务：Telnet
说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

端口：25
服务：SMTP
说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口：31
服务：MSG Authentication
说明：木马Master Paradise、Hackers Paradise开放此端口。

端口：42
服务：WINS Replication
说明：WINS复制

端口：53
服务：Domain Name Server（DNS）
说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。

端口：67
服务：Bootstrap Protocol Server
说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

端口：69
服务：Trival File Transfer
说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。

端口：79
服务：Finger Server
说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。

端口：80
服务：HTTP
说明：用于网页浏览。木马Executor开放此端口。

端口：99
服务：gram Relay
说明：后门程序ncx99开放此端口。

端口：102
服务：Message transfer agent(MTA)-X.400 over TCP/IP
说明：消息传输代理。

端口：109
服务：Post Office Protocol -Version3
说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口：110
服务：SUN公司的RPC服务所有端口
说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

端口：113
服务：Authentication Service
说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。

端口：119
服务：Network News Transfer Protocol
说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端口：135
服务：Location Service
说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。

端口：137、138、139
服务：NETBIOS Name Service
说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

端口：143
服务：Interim Mail Access Protocol v2
说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。

端口：161
服务：SNMP
说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

端口：177
服务：X Display Manager Control Protocol
说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。

端口：389
服务：LDAP、ILS
说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。

端口：443
服务：Https
说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。

端口：456
服务：[NULL]
说明：木马HACKERS PARADISE开放此端口。

端口：513
服务：Login,remote login
说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

端口：544
服务：[NULL]
说明：kerberos kshell

端口：548
服务：Macintosh,File Services(AFP/IP)
说明：Macintosh,文件服务。

端口：553
服务：CORBA IIOP （UDP）
说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口：555
服务：DSF
说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。

端口：568
服务：Membership DPA
说明：成员资格 DPA。

端口：569
服务：Membership MSN
说明：成员资格 MSN。

端口：635
服务：mountd
说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。

端口：636
服务：LDAP
说明：SSL（Secure Sockets layer）

端口：666
服务：Doom Id Software
说明：木马Attack FTP、Satanz Backdoor开放此端口

端口：993
服务：IMAP
说明：SSL（Secure Sockets layer）

端口：1001、1011
服务：[NULL]
说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。

端口：1024
服务：Reserved
说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。

端口：1025、1033
服务：1025：network blackjack 1033：[NULL]
说明：木马netspy开放这2个端口。

端口：1080
服务：SOCKS
说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。

端口：1170
服务：[NULL]
说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。

端口：1234、1243、6711、6776
服务：[NULL]
说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。

端口：1245
服务：[NULL]
说明：木马Vodoo开放此端口。

端口：1433
服务：SQL
说明：Microsoft的SQL服务开放的端口。

端口：1492
服务：stone-design-1
说明：木马FTP99CMP开放此端口。

端口：1500
服务：RPC client fixed port session queries
说明：RPC客户固定端口会话查询

端口：1503
服务：NetMeeting T.120
说明：NetMeeting T.120

端口：1524
服务：ingress
说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。

端口：1600
服务：issd
说明：木马Shivka-Burka开放此端口。

端口：1720
服务：NetMeeting
说明：NetMeeting H.233 call Setup。

端口：1731
服务：NetMeeting Audio Call Control
说明：NetMeeting音频调用控制。

端口：1807
服务：[NULL]
说明：木马SpySender开放此端口。

端口：1981
服务：[NULL]
说明：木马ShockRave开放此端口。

端口：1999
服务：cisco identification port
说明：木马BackDoor开放此端口。

端口：2000
服务：[NULL]
说明：木马GirlFriend 1.3、Millenium 1.0开放此端口。

端口：2001
服务：[NULL]
说明：木马Millenium 1.0、Trojan Cow开放此端口。

端口：2023
服务：xinuexpansion 4
说明：木马Pass Ripper开放此端口。

端口：2049
服务：NFS
说明：NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。

2100端口：Oracle XDB FTP服务

端口：2115
服务：[NULL]
说明：木马Bugs开放此端口。

端口：2140、3150
服务：[NULL]
说明：木马Deep Throat 1.0/3.0开放此端口。

端口：2500
服务：RPC client using a fixed port session replication
说明：应用固定端口会话复制的RPC客户