端口

1、介绍

端口是osi协议模型中第四层传输层所使用的，用于标识系统中不同任务的网络通信。

由2个字节组成，范围0-65535。一个端口可以同时被一个udp和一个tcp注册监听。

2、分类

0-1023：周知端口。

某些系统协议使用固定的端口号，它是不能被改变的，比如139 端口专门用于NetBIOS与TCP/IP之间的通信，不能手动改变。

1024-49151：注册端口，分配给用户进程或应用程序

49152-65535：动态端口

3、端口状态

（1）LISTENING状态
LISTENING表示处于侦听状态，表示该端口是开放的，可以提供服务。
（当在防火墙设置禁止某个端口，那该端口的状态也是LISTENING，表示是拦截数据，禁止数据的访问和被访问，端口虽然开放，但是别人无法访问）
下面显示的是9090端口是开放的可以提供服务
TCP 0.0.0.0:9090 0.0.0.0:0 LISTENING 34548

（2）ESTABLISHED状态
ESTABLISHED表示处于建立连接状态，表示两台机器正在通信。
下面显示的是本机的服务正在被192.168.1.1这台计算机访问。
TCP 127.0.0.1:55907 192.168.1.1:9090 ESTABLISHED 9720
注意：处于ESTABLISHED状态的连接需要注意它也许不是个正常连接。

（3） TIME_WAIT状态
TIME_WAIT表示结束了这次连接。说明某个端口曾经有过访问，但访问结束了。
（有时因为网速、认证问题等也会出现等待连接的状态）
TCP 127.0.0.1:9090 127.0.0.1:55907 TIME_WAIT 0

（4）SYN_SENT状态
SYN_SENT表示请求连接。
当你要访问其它的计算机的服务时首先要发个同步信号给该端口，此时状态为SYN_SENT，如果连接成功了就变为ESTABLISHED，此时SYN_SENT状态非常短暂。但如果发现SYN_SENT非常多且在向不同的机器发出，那你的机器可能中了冲击波或震荡波之类的病毒了。这类病毒为了感染别的计算机，它就要扫描别的计算机，在扫描的过程中对每个要扫描的计算机都要发出了同步请求，这也是出现许多SYN_SENT的原因。

下面显示的是本机连接某网站时的开始状态
TCP 10.113.203.100:52960 216.58.200.234:443 SYN_SENT 9720

（5）CLOSE_WAIT
CLOSE_WAIT表示被动关闭
等待从本地用户发来的连接中断请求，被动关闭端TCP接到FIN后，就发出ACK以回应FIN请求(它的接收也作为文件结束符传递给上层应用程序)，并进入CLOSE_WAIT。

（6）0LAST_ACK
LAST_ACK表示被动关闭连接过程中的状态
等待原来的发向远程TCP的连接中断请求的确认，被动关闭端一段时间后，接收到文件结束符的应用程序将调用CLOSE关闭连接，TCP也发送一个FIN，等待对方的ACK，进入LAST-ACK。

（7）CLOSED
CLOSED表示连接结束，没有任何连接状态
被动关闭端在接受到ACK包后，就进入了closed的状态，连接结束，没有任何连接状态

状态迁移过程：

• 客户端：CLOSED->SYN_SENT->ESTABLISHED->FIN_WAIT_1->FIN_WAIT_2->TIME_WAIT->CLOSED
• 服务端：CLOSED->LISTEN->SYN_RECEIVED->ESTABLISHED->CLOSE_WAIT->LAST_ACK->CLOSE

4、使用

windows和linux都可以使用netstat命令查看端口状态和占用的进程、协议

5、常用端口

端口 服务 利用方式
21 ftp/tftp/vsftpd文件传输协议 爆破/嗅探/溢出/后门
22 ssh远程连接 爆破
23 Telnet远程连接 爆破/嗅探/弱口令
25 SMTP邮件服务 邮件伪造
53 DNS域名解析系统 域传送\劫持\缓存投毒\欺骗
67\68 dhcp服务 劫持\欺骗
80\443 http\https web应用漏洞\心脏滴血
110 pop3 爆破\嗅探
135 RPC 远程过程调用
445 smb ms08-067\ms17-010\端口溢出
1433 SQLServer 爆破\注入\SA弱口令
1521 Oracle 爆破\注入\TNS爆破\反弹shell
3306 Mysql 爆破\注入
3389 Rdp远程桌面连接 爆破\shift后门\CVE20190708
3690 Svn 远程代码执行
6379 Redis数据库 未授权访问\爆破
27017\27018 Mongodb 未授权访问\爆破