netbios协议栈在什么位置

netbios协议栈在什么位置

       欢迎大家加入这个netbios协议栈在什么位置问题集合的讨论。我将充分利用我的知识和智慧，为每个问题提供深入而细致的回答，希望这能够满足大家的好奇心并促进思考。

1.系统里的那些端口在哪里？

2.TCP/IP协议栈与操作系统的关系

3.AppleTALK协议是什么

4.什么端口啊？端口号在哪里看啊？

5.防火墙的工作原理是什么！

系统里的那些端口在哪里？

       什么是端口号，一个端口就是一个潜在的通讯通道，也是一个入侵通道，开放一个端口就是一台计算机在网络上打开了一扇窗户，黑客入侵的方法就是用手工扫描或利用扫描软件找到服务器所开放的端口，去根据其相应的漏洞对服务器进行入侵或攻击，因此对端口的了解是非常重要的。

        端口大概分为三类：

        1：公认端口（well known ports）:从0-1023，他们是绑定于一些服务。通常这些端口的通信明确表明了某种服务的协议。比如，21端口是FTP服务所开放的。

        2：注册端口（registrerd ports）:从1024-49151，他们松散的绑定于一些服务也就是说有许多服务绑定于这些端口，这些端口同样用于许多其他目的。比如，许多系统处理动态端口是从1024开始的。

        3：动态或私有端口（dynamic and/or private ports）:从49512-65535，理论上不应该为服务分配这些端口。实际上，计算机通常从1024开始分配动态端口。当然也有例外的，SUN的RPC端口从32768开始。

        下边附常用端口列表：

        端口大全

        不同的端口有不同的作用希望大家能有所收获。

        0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

        1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。

        7 Echo 你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个机器的UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDP echo：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

        11 sysstat 这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似。再说一遍：ICMP没有端口，ICMP port 11通常是ICMP type=11。

        19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

        21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pron的节点。

       22 ssh PcAnywhere 建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）。还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632（十六进制的0x1600）位交换后是0x0016（使进制的22）。

        23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。

        25 smtp 攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。

        53 DNS Hacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

        67&68 Bootp和DHCP UDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

        69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件。

        79 finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。

        80 HTTP服务器所用到的端口。

        98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）

        109 POP2 并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。

        110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。

        111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有：rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

       113 Ident auth 这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST，着将回停止这一缓慢的连接。

        119 NNTP news 新闻组传输协议，承载USENET通讯。当你链接到诸如：news://news.hackervip.com/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。

        135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运行Exchange Server吗？是什么版本？这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。

        137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息。

        139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasic Scripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。

        143 IMAP 和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2，但并不流行。已有一些报道发现有些0到143端口的攻击源于脚本。

       161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。

        162 SNMP trap 可能是由于错误配置

        177 xdmcp 许多Hacker通过它访问X-Windows控制台， 它同时需要打开6000端口。

        513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。

        553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会利用这些信息进入系统。

        600 Pcserver backdoor 请查看1524端口。

        一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

        635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口。

        1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新端口。

        1025，1026 参见1024

        1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

        1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。

        1243 Sub-7木马（TCP）

        1433 MSSQL数据库服务端口

        1524 ingreslock 后门许多攻击脚本将安装一个后门Shell于这个端口（尤其是那些针对Sun系统中sendmail和RPC服务漏洞的脚本，如statd, ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。

       2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS运行于这个端口，Hacker/Cracker因而可以闭开portmapper直接测试这个端口。

        3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口：8000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。

        3306 MYsql数据库服务端口

        5632 pcAnywere 你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。

        6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。）

        6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。

        13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

        17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载：

        机器会不断试图解析DNS名—ads.conducent.com，即IP地址216.33.210.40 ；216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使用的Radiate是否也有这种现象）

        27374 Sub-7木马(TCP)

        30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

        31337 Back Orifice “elite” Hacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的木马程序越来越流行。

        31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT, Remote Access Trojan）。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连接意味着已经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接）

        32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。

        33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。

TCP/IP协议栈与操作系统的关系

       问题一：打印机一般使用电脑的什么端口？位置在哪里 USB端口， LPT端口（并口） ，口 如下图

        问题二：电脑的端口在哪看啊？ 开始--运行--cmd ――进入命令提示符――输入netstat -a -n

        netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分――proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。

        net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。

        “net start 服务名 ” 开启服务

        “net stop 服务名 ” 禁止服务

        例如：

        Net start telnet 开启telnet服务

        Net stop telnet 关闭telnet服务

        （在Windows 2000/XP/Server 2003中要查看端口，可以使用Netstat命令：

        依次点击“开始→运行”，键入“cmd”并回车，打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”，按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。测二次才知端口号及状态变化！

        关闭/开启端口

        在介绍各种端口的作用前，这里先介绍一下在Windows中如何关闭/打开端口，因为默认的情况下，有很多不安全的或没有什么用的端口是开启的，比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性，我们可以通过下面的方法来关闭/开启端口。

        关闭端口

        比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol （SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。

        开启端口

        如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。

        提示：在Windows 98中没有“服务”选项，你可以使用防火墙的规则设置功能来关闭/开启端口）

        问题三：电脑的网络端口在哪 在电脑后面的插口，在电脑上查看端口方式：

        1、点击开始菜单；

        2、运行输入CMD回车，

        3、在跳出来的命令行中打入netstat在里面可看到自己电脑的端口情况；

        问题四：电脑USB接口在哪里啊 哪个主机都有USB接口的！一般前面和后面都有的，除非你的电脑属于古董级的，U伐B接口是扁方的，你可以插插试试，别插反了。真的，不行的话。。。。

        问题五：电脑在哪里设置开放哪些端口啊 WINDOWS系统一般可以设置关闭哪些端口，而不能设置只开哪些端口的。

        在开始-->运行里输入 netstat -a，可以看到你的计算机上开了哪些端口。

        如何关闭端口：

        每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80， *** tp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。

        “控制面板”的“管理工具”中的“服务”中来配置。

        1、关闭80口：关掉WWW服务。在“服务”中显示名称为World Wide Web Publishing Service，通过Internet 信息服务的管理单元提供 Web 连接和管理。

        2、关掉25端口：关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是跨网传送电子邮件。

        3、关掉21端口：关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP连接和管理。

        4、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。

        5、还有一个很重要的就是关闭server服务，此服务提供 RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。

        6、还有一个就是139端口，139端口是NetBIOS　Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。

        关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

        对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。

        问题六：自己电脑的端口号在哪改？ 可以通过，本地连接-TCP/IP属性-高级-IP设置里的TCP/IP筛选属性可以筛选你的端口呵呵

        问题七：什麽是USB接口？在电脑的哪个位置？ 晕了，在电脑前后都有，别的插不上，只要能插上的就对了，要下载歌曲先要从网上搜索，一般用百度搜歌，搜出的歌都带下载地址，直耽下载到MP3就可以了

        问题八：电脑有哪些端口？ 计算机“端口”是英文port的义译，可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口，如：USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。　按端口号可分为3大类：　（1）公认端口（Well Known Ports）：从0到1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。　（2）注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。　（3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。　一些端口常常会被黑客利用，还会被一些木马病毒利用，对计算机系统进行攻击，以下是计算机端口的介绍以及防止被黑客攻击的简要办****。　8080端口　端口说明：8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览，经常在访问某个网站或使用代理服务器的时候，会加上“:8080”端口号，比如 cce:8080。　端口漏洞：8080端口可以被各种病毒程序所利用，比如Brown Orifice（BrO）特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外，RemoConChubo，RingZero木马也可以利用该端口进行攻击。　操作建议：一般我们是使用80端口进行网页浏览的，为了避免病毒的攻击，我们可以关闭该端口。　端口：21　服务：FTP　说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方****。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。　端口：22　服务：Ssh　说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。　端口：23　服务：Telnet　说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。　端口：25　服务：SMTP　说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinP......>>

        问题九：电脑的网线接口在哪 一般台式机的都在主机的后面，笔记本的一般在侧面或是后面的。上图

        问题十：电脑的网线在哪里？怎么接口？ 我晕 这都不会

        在机箱的后面连网络的接口

AppleTALK协议是什么

       ARP(AddressResolutionProtocol)地址解析协议它是用于映射计算SNMP(SimpleNetworkManagementP)网络管理协议它是TCP/IP协议中的一部份，它为本地和远端的网络设备管理提供了一个标准化途径，是分布式环境中的集中化管理的重要组成部份。AppleShareprotocol(AppleShare协议)它是Apple机上的通信协议，它允许计算机从服务器上请求服务或者和服务器交换文件AppleTalk协议它是Macintosh计算机使用的主要网络协议。WindowsNT服务器有专门为Macintosh服务，也能支持该协议。BGP4(BorderGatewayProtocolVertion4)边界网关协议-版本4它是用于在自治网络中网关主机(每个主机有自己的路由)之间交换路由信息的协议BOOTP协议它是一个基于TCP/IP协议的协议，它可以让无盘站从一个中心服务器上获得IP地址，现在我们通常使用DHCP协议进行这一工作。CMIP(CommonManagementInformationProtocol)通用管理信息协议它是建立在开放系统互连通信模式上的网络管理协议。相关的通用管理信息服务(CMIS)定义了访问和控制网络对象，设备和从对象设备接收状态信息的方法Connection-orientedProtocol/ConnectionlessProtocol面向连接的协议/无连接协议在广域网中，两台计算机建立物理连接过程所使用的协议，这种物理连接要持续到成功地交换完数据为止。DHCP(DynamicHostConfigurationProtocol)动态主机配置协议它是在TCP/IP网络上使客户机获得配置信息的协议，它是基于BOOTP协议，并在BOOTP协议的基础上添加了自动分配可用网络地址等功能。FTP(FileTransferProtocol)文件传输协议HDLC(High-LevelDataLinkControl)高层数据链路协议HTTP1.1(HypertextTransferProtocolVertion1.1)超文本传输协议-版本1.1HTTPS(SecureHypertextTransferProtocol)安全超文本传输协议ICMP(InternetControlMessageProtocol)Internet控制信息协议IMAP4(InternetMailAccessProtocolVersion4)Internet邮件访问协议-版本4NNTP(NetworkNewsTransferProtocol)网络新闻传输协议IOTP(InternetOpenTradingProtocol)Internet开放贸易协议IPv6(InternetProtocolVersion6)Internet协议-版本6IPX/SPX(InternetworkPacketExchange/SequentialPacketExchange)互连网包交换/顺序包交换MIME(Multi-PurposeInternetMailExtensions)多功能Internet邮件扩展NetBEUI(NetBIOSEnhancedUserInterface)网络基本输入输出系统扩展用户接口POP3(PostOfficeProtocolVersion3)邮局协议-版本3PPP(PointtoPointProtocol)点对点协议RIP(RoutingInfomationProtocol)路由信息协议SLIP(SerialLineInternetProtocol)串行线路Internet协议LMTP(LocalMailTransferProtocol)本地邮件传输协议SMTP(SimpleMailTransferProtocol)简单邮件传送协议TCP/IP(TransmissionControlProtocol/InternetProtocol)传输控制协议/Internet协议TELNETProtocol虚拟终端协议TimeProtocol时间协议TFTP(TrivialFileTransferProtocol)小文件传输协议UDP(UserDatagramProtocol)用户数据报协议这个回答你满意了吧，具体解释请参照这里．

什么端口啊？端口号在哪里看啊？

       appletalk ( AT )是由Apple公司创建的一组网络协议的名字，它用于 Apple系列的个人计算机。协议栈中的各种协议用来提供通信服务，例如文件服务、打印、电子邮件和其他一些网络服务。表8-1列出了构成AT协议套件的具体协议。它也同时显示了协议之间的相互联系以及与OSI模型的联系。特定型号的路由器和交换机支持 Apple Talk协议栈。使用这些路由和交换机实现Apple Talk网络能够使所有的Apple计算机用户享受全球的文件、打印和应用程序服务。

扩展资料：

       对于网络总线上的所有系统，LocalTalk 链路访问协议（LLAP：LocalTalk Link Access Protocol）都是通用的，并且该协议负责处理连接单个 AppleTalk 网络的各设备之间的节点到节点（node-to-node）的数据传送服务。另外此协议还为以太网（Ethernet）、令牌环（Token ring）以及光纤分布式数据接口（FDDI）定义了数据链路层接口。

       百度百科-网络协议

       百度百科-appletalk?

防火墙的工作原理是什么！

       有过一些黑客攻击方面知识的读者都会知道，其实那些所谓的黑客并不是像人们想象那样从天而降，而是实实在在从您的计算机"大门"中自由出入。计算机的"大门"就是我们平常所说的"端口"，它包括计算机的物理端口，如计算机的串口、并口、输入/输出设备以及适配器接口等（这些端口都是可见的），但更多的是不可见的软件端口，在本文中所介绍的都是指"软件端口"，但为了说明方便，仍统称为"端口"。本文仅就端口的基础知识进行介绍，

       一、端口简介

       随着计算机网络技术的发展，原来物理上的接口（如键盘、鼠标、网卡、显示卡等输入/输出接口）已不能满足网络通信的要求，TCP/IP协议作为网络通信的标准协议就解决了这个通信难题。TCP/IP协议集成到操作系统的内核中，这就相当于在操作系统中引入了一种新的输入/输出接口技术，因为在TCP/IP协议中引入了一种称之为"Socket（套接字）"应用程序接口。有了这样一种接口技术，一台计算机就可以通过软件的方式与任何一台具有Socket接口的计算机进行通信。端口在计算机编程上也就是"Socket接口"。

       有了这些端口后，这些端口又是如何工作呢？例如一台服务器为什么可以同时是Web服务器，也可以是FTP服务器，还可以是邮件服务器等等呢？其中一个很重要的原因是各种服务采用不同的端口分别提供不同的服务，比如：通常TCP/IP协议规定Web采用80号端口，FTP采用21号端口等，而邮件服务器是采用25号端口。这样，通过不同端口，计算机就可以与外界进行互不干扰的通信。

       据专家们分析，服务器端口数最大可以有65535个，但是实际上常用的端口才几十个，由此可以看出未定义的端口相当多。这是那么多黑客程序都可以采用某种方法，定义出一个特殊的端口来达到入侵的目的的原因所在。为了定义出这个端口，就要依靠某种程序在计算机启动之前自动加载到内存，强行控制计算机打开那个特殊的端口。这个程序就是"后门"程序，这些后门程序就是常说的木马程序。简单的说，这些木马程序在入侵前是先通过某种手段在一台个人计算机中植入一个程序，打开某个（些）特定的端口，俗称"后门"（BackDoor），使这台计算机变成一台开放性极高（用户拥有极高权限）的FTP服务器，然后从后门就可以达到侵入的目的。

       二、端口的分类

       端口的分类根据其参考对象不同有不同划分方法，如果从端口的性质来分，通常可以分为以下三类：

       （1）公认端口（Well Known

       Ports）：这类端口也常称之为"常用端口"。这类端口的端口号从0到1024，它们紧密绑定于一些特定的服务。通常这些端口的通信明确表明了某种服务的协议，这种端口是不可再重新定义它的作用对象。例如：80端口实际上总是HTTP通信所使用的，而23号端口则是Telnet服务专用的。这些端口通常不会像木马这样的黑客程序利用。为了使大家对这些常用端口多一些认识，在本章后面将详细把这些端口所对面应的服务进行列表，供各位理解和参考。

       （2） 注册端口（Registered

       Ports）：端口号从1025到49151。它们松散地绑定于一些服务。也是说有许多服务绑定于这些端口，这些端口同样用于许多其他目的。这些端口多数没有明确的定义服务对象，不同程序可根据实际需要自己定义，如后面要介绍的远程控制软件和木马程序中都会有这些端口的定义的。记住这些常见的程序端口在木马程序的防护和查杀上是非常有必要的。常见木马所使用的端口在后面将有详细的列表。

       （3） 动态和/或私有端口（Dynamic and/or Private

       Ports）：端口号从49152到65535。理论上，不应把常用服务分配在这些端口上。实际上，有些较为特殊的程序，特别是一些木马程序就非常喜欢用这些端口，因为这些端口常常不被引起注意，容易隐蔽。

       如果根据所提供的服务方式的不同，端口又可分为"TCP协议端口"和"UDP协议端口"两种。因为计算机之间相互通信一般采用这两种通信协议。前面所介绍的"连接方式"是一种直接与接收方进行的连接，发送信息以后，可以确认信息是否到达，这种方式大多采用TCP协议；另一种是不是直接与接收方进行连接，只管把信息放在网上发出去，而不管信息是否到达，也就是前面所介绍的"无连接方式"。这种方式大多采用UDP协议，IP协议也是一种无连接方式。对应使用以上这两种通信协议的服务所提供的端口，也就分为"TCP协议端口"和"UDP协议端口"。

       使用TCP协议的常见端口主要有以下几种：

       （1） FTP：定义了文件传输协议，使用21端口。常说某某计算机开了FTP服务便是启动了文件传输服务。下载文件，上传主页，都要用到FTP服务。

       （2）

       Telnet：它是一种用于远程登陆的端口，用户可以以自己的身份远程连接到计算机上，通过这种端口可以提供一种基于DOS模式下的通信服务。如以前的BBS是纯字符界面的，支持BBS的服务器将23端口打开，对外提供服务。

       （3）

       SMTP：定义了简单邮件传送协议，现在很多邮件服务器都用的是这个协议，用于发送邮件。如常见的免费邮件服务中用的就是这个邮件服务端口，所以在电子邮件设置中常看到有这么SMTP端口设置这个栏，服务器开放的是25号端口。

       （4）

       POP3：它是和SMTP对应，POP3用于接收邮件。通常情况下，POP3协议所用的是110端口。也是说，只要你有相应的使用POP3协议的程序（例如Foxmail或Outlook），就可以不以Web方式登陆进邮箱界面，直接用邮件程序就可以收到邮件（如是163邮箱就没有必要先进入网易网站，再进入自己的邮箱来收信）。

       使用UDP协议端口常见的有：

       （1）

       HTTP：这是大家用得最多的协议，它就是常说的"超文本传输协议"。上网浏览网页时，就得在提供网页资源的计算机上打开80号端口以提供服务。常说"WWW服务"、"Web服务器"用的就是这个端口。

       （2） DNS：用于域名解析服务，这种服务在Windows

       NT系统中用得最多的。因特网上的每一台计算机都有一个网络地址与之对应，这个地址是常说的IP地址，它以纯数字+"."的形式表示。然而这却不便记忆，于是出现了域名，访问计算机的时候只需要知道域名，域名和IP地址之间的变换由DNS服务器来完成。DNS用的是53号端口。

       （3） SNMP：简单网络管理协议，使用161号端口，是用来管理网络设备的。由于网络设备很多，无连接的服务就体现出其优势。

       （4）

       OICQ：OICQ程序既接受服务，又提供服务，这样两个聊天的人才是平等的。OICQ用的是无连接的协议，也是说它用的是UDP协议。OICQ服务器是使用8000号端口，侦听是否有信息到来，客户端使用4000号端口，向外发送信息。如果上述两个端口正在使用（有很多人同时和几个好友聊天），就顺序往上加。

       在计算机的6万多个端口，通常把端口号为1024以内的称之为常用端口，这些常用端口所对应的服务通常情况下是固定的。表1所列的都是服务器默认的端口，不允许改变，一般通信过程都主要用到这些端口。

       表1

       服务类型默认端口服务类型默认端口

       Echo7Daytime13

       FTP21Telnet23

       SMTP25Time37

       Whois43DNS53

       Gopher70Finger79

       WWW80POP3110

       NNTP119IRC194

       另外代理服务器常用以下端口：

       （1）. HTTP协议代理服务器常用端口号：80/8080/3128/8081/9080

       （2）. SOCKS代理协议服务器常用端口号：1080

       （3）. FTP协议代理服务器常用端口号：21

       （4）. Telnet协议代理服务器常用端口：23

       三、端口在黑客中的应用

       像木马之类的黑客程序，就是通过对端口的入侵来实现其目的的。在端口的利用上，黑客程序通常有两种方式，那就是"端口侦听"和"端口扫描"。

       "端口侦听"与"端口扫描"是黑客攻击和防护中经常要用到的两种端口技术，在黑客攻击中利用它们可以准确地寻找攻击的目标，获取有用信息，在个人及网络防护方面通过这种端口技术的应用可以及时发现黑客的攻击及一些安全漏洞。下面首先简单介绍一下这两种端口技术的异同。

       "端口侦听"是利用某种程序对目标计算机的端口进行监视，查看目标计算机上有哪能些端口是空闲、可以利用的。通过侦听还可以捕获别人有用的信息，这主要是用在黑客软件中，但对于个人来说也是非常有用的，可以用侦听程序来保护自己的计算机，在自己计算机的选定端口进行监视，这样可以发现并拦截一些黑客的攻击。也可以侦听别人计算机的指定端口，看是否空闲，以便入侵。

       "端口扫描"（port

       scanning）是通过连接到目标系统的TCP协议或UDP协议端口，来确定什么服务正在运行，然后获取相应的用户信息。现在有许多人把"端口侦听"与"端口扫描"混为一谈，根本分不清什么样的情况下要用侦听技术，什么样的情况下要用扫描技术。不过，现在的这类软件也似乎对这两种技术有点模糊了，有的干脆把两个功能都集成在一块。

       "端口侦听"与"端口扫描"有相似之处，也有区别的地方，相似的地方是都可以对目标计算机进行监视，区别的地方是"端口侦听"属于一种被动的过程，等待别人的连接的出现，通过对方的连接才能侦听到需要的信息。在个人应用中，如果在设置了当侦听到有异常连接立即向用户报告这个功能时，就可以有效地侦听黑客的连接企图，及时把驻留在本机上的木马程序清除掉。这个侦听程序一般是安装在目标计算机上。用在黑客中的"端口侦听"通常是黑客程序驻留在服务器端等待服务器端在进行正常活动时捕获黑客需要的信息，然后通过UDP协议无连接方式发出去。而"端口扫描"则是一种主动过程，它是主动对目标计算机的选定端口进行扫描，实时地发现所选定端口的所有活动（特别是对一些网上活动）。扫描程序一般是安装在客户端，但是它与服务器端的连接也主要是通过无连接方式的UDP协议连接进行。

       在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在侦听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。端口侦听在网络中的任何一个位置模式下都可实施进行，而黑客一般都是利用端口侦听来截取用户口令。

       四、端口侦听原理

       以太网（Ethernet）协议的工作方式是将要发送的数据包发往连接在一起的所有计算机。在包头中包括有应该接收数据包的计算机的正确地址，因为只有与数据包中目标地址一致的那台计算机才能接收到信息包。但是当计算机工作在侦听模式下，不管数据包中的目标物理地址是什么，计算机都将可以接收到。当同一网络中的两台计算机通信的时候，源计算机将写有目的计算机地址的数据包直接发向目的计算机，或者当网络中的一台计算机同外界的计算机通信时，源计算机将写有目的计算机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP协议层交给网络接口--数据链路层。网络接口不会识别IP地址的，在网络接口中，由IP协议层来的带有IP地址的数据包又增加了一部分以太网的帧头信息。在帧头中，有两个域分别为只有网络接口才能识别的源计算机和目的计算机的物理地址，这是一个48位的地址，这个48位的地址是与IP地址相对应的。换句话说，一个IP地址也会对应一个物理地址。对于作为网关的计算机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的帧中继携带的是网关的物理地址。

       以太网中填写了物理地址的帧从网络端口中（或者从网关端口中）发送出去，传送到物理的线路上。如果局域网是由一条粗同轴电缆或细同轴电缆连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台计算机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个计算机了。当数字信号到达一台计算机的网络接口时，正常状态下网络接口对读入数据帧进行检查，如数据帧中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据帧交给IP协议层软件。对于每个到达网络接口的数据帧都要进行这个过程的。但是当计算机工作在侦听模式下，所有的数据帧都将被交给上层协议软件处理。

       当连接在同一条电缆或集线器上的计算机被逻辑地分为几个子网的时候，那么要是有一台计算机处于侦听模式，它可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的计算机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

       在UNIX系统上，当拥有超级权限的用户要想使自己所控制的计算机进入侦听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使计算机设置成侦听模式了。而在Windows

       9x的系统中则不论用户是否有权限都将可以通过直接运行侦听工具就可以实现。

       在端口处于侦听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量的整理，这样就会使正在侦听的计算机对其他用户的请求响应变的很慢。同时侦听程序在运行的时候需要消耗大量的处理器时间，如果在这时就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以侦听程序很多时候就会将侦听得到的包存放在文件中等待以后分析。分析侦听到的数据包是很头疼的事情，因为网络中的数据包都非常之复杂。两台计算机之间连续发送和接收数据包，在侦听到的结果中必然会加一些别的计算机交互的数据包。侦听程序将同一TCP协议会话的包整理到一起就相当不容易，如果还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。

       现在网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行端口侦听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以轻松的侦听到想要的信息的。

       五、端口扫描原理

       "端口扫描"通常指用同一信息对目标计算机的所有所需扫描的端口进行发送，然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。"端口扫描"行为的一个重要特征是：在短时期内有很多来自相同的信源地址传向不同的目的地端口的包。

       对于用端口扫描进行攻击的人来说，攻击者总是可以做到在获得扫描结果的同时，使自己很难被发现或者说很难被逆向跟踪。为了隐藏攻击，攻击者可以慢慢地进行扫描。除非目标系统通常闲着（这样对一个没有listen端口的数据包都会引起管理员的注意），有很大时间间隔的端口扫描是很难被识别的。隐藏源地址的方法是发送大量的欺骗性的端口扫描包（1000个），其中只有一个是从真正的源地址来的。这样，即使全部包（1000）都被察觉，被记录下来，也没有人知道哪个是真正的信源地址。能发现的仅仅是"曾经被扫描过"。也正因为这样那些黑客们才乐此不彼地继续大量使用这种端口扫描技术来达到他们获取目标计算机信息、并进行恶意攻击。

       通常进行端口扫描的工具目前主要采用的是端口扫描软件，也通称之为"端口扫描器"，端口扫描可以为提供三个用途：

       （1）识别目标系统上正在运行的TCP协议和UDP协议服务。

       （2）识别目标系统的操作系统类型（Windows 9x, Windows NT，或UNIX，等）。

       （3）识别某个应用程序或某个特定服务的版本号。

       端口扫描器是一种自动检测远程或本地计算机安全性弱点的程序，通过使用扫描器你可不留痕迹的发现远程服务器的各种TCP协议端口的分配及提供的服务，还可以得知它们所使用的软件版本！这就能让间接的了解到远程计算机所存在的安全问题。

       端口扫描器通过选用远程TCP/IP协议不同的端口的服务，记录目标计算机端口给予的回答的方法，可以搜集到很多关于目标计算机的各种有用信息（比如：是否有端口在侦听？是否允许匿名登陆？是否有可写的FTP目录，是否能用TELNET等。

       端口扫描器并不是一个直接攻击网络漏洞的程序，它仅仅能帮助发现目标机的某些内在的弱点。一个好的扫描器还能对它得到的数据进行分析，帮助查找目标计算机的漏洞。但它不会提供一个系统的详细步骤。

       端口扫描器在扫描过程中主要具有以下三个方面的能力：

       （1） 发现一个计算机或网络的能力；

       （2） 一旦发现一台计算机，就有发现目标计算机正在运行什么服务的能力；

       （3） 通过测试目标计算机上的这些服务，发现存在的漏洞的能力。

       编写扫描器程序必须要很多TCP/IP协议程序编写和C，Perl和或SHELL语言的知识。需要一些Socket编程的背景，一种在开发客户/服务应用程序的方法。

       六、常用端口

       在计算机的6万多个端口，通常把端口号为1024以内的称之为常用端口，这些常用端口所对应的服务通常情况下是固定的，所以了解这些常用端口在一定程序上是非常必要的，下表2列出了计算机的常用端口所对应的服务（注：在这列表中各项"="前面的数字为端口号，"="后面的为相应端口服务。）。

       1=tcpmux（TCP协议 Port Service Multiplexer）401=ups（Uninterruptible Power

       Supply）

       2=compressnet=Management Utility402=genie（Genie Protocol）

       3=compressnet=Compression Process403=decap

       5=rje（Remote Job Entry）404=nced

       7=echo=Echo405=ncld

       9=discard406=imsp（Interactive Mail Support Protocol）

       11=systat,Active Users407=timbuktu

       13=daytime408=prm-sm（Prospero Resource Manager Sys. Man.）

       17=qotd（Quote of the Day）409=prm-nm（Prospero Resource Manager Node Man.）

       18=msp（Message Send Protocol）410=decladebug（DECLadebug Remote Debug

       Protocol）

       19=Character Generator411=rmt（Remote MT Protocol）

       20=FTP-data（File Transfer [Default Data]）412=synoptics-trap（Trap

       Convention Port）

       21=FTP（File Transfer [Control]）413=smsp

       22=ssh414=infoseek

       23=telnet415=bnet

       24private mail system416=silverplatter

       25=smtp（Simple Mail Transfer）417=onmux

       27=nsw-fe（NSW User System FE）418=hyper-g

       29=msg-icp419=ariel1

       31=msg-auth420=smpte

       33=Display Support Protocol421=ariel2

       35=private printer server422=ariel3

       37=time423=opc-job-start（IBM Operations Planning and Control Start）

       38=rap（Route Access Protocol）424=opc-job-track（IBM Operations Planning and

       Control Track）

       39=rlp（Resource Location Protocol）425=icad-el（ICAD）

       41=graphics426=smartsdp

       42=nameserver（WINS Host Name Server）427=svrloc（Server Location）

       43=nicname（Who Is）428=ocs_cmu

       44=mpm-flags（MPM FLAGS Protocol）429=ocs_amu

       45=mpm（Message Processing Module [recv]）430=utmpsd

       46=mpm-snd（MPM [default send]）431=utmpcd

       47=ni-ftp432=iasd

       48=Digital Audit Daemon433=nnsp

       49=tacacs（Login Host Protocol （TACACS））434=mobileip-agent

       50=re-mail-ck（Remote Mail Checking Protocol）435=mobilip-mn

       51=la-maint（IMP Logical Address Maintenance）436=dna-cml

       52=xns-time（XNS Time Protocol）437=comscm

       53=Domain Name Server438=dsfgw

       54=xns-ch（XNS Clearinghouse）439=dasp（dasp Thomas Obermair）

       55=isi-gl（ISI Graphics Language）440=sgcp

       56=xns-auth（XNS Authentication）441=decvms-sysmgt

       57= private terminal access442=cvc_hostd

       58=xns-mail（XNS Mail）443=ews482=bgs-nsi

       99=metagram,Metagram Relay483=ulpnet

       100=newacct,[unauthorized use]484=integra-sme（Integra Software Management

       Environment）

       101=hostname,NIC Host Name Server485=powerburst（Air Soft Power Burst）

       102=iso-tsap（ISO-TSAP Class 0）486=avian

       103=gppitnp（Genesis Point-to-Point Trans Net）487=saft

       104=acr-nema（ACR-NEMA Digital Imag. & Comm. 300）488=gss-tl（

       

参考资料：

/cgi-bin/topic.cgi?forum=14&topic=78

       防火墙的工作原理是什么！

        :itcso./news/20060324/1044465098-2.s

        防火墙的原理是指设定在不同网路（如可信任的企业内部网和不可信的公共网）或网路安全域之间的一系列部件的组合。它是不同网路或网路安全域之间资讯的唯一出入口，通过监测、限制、更改跨越防火墙的资料流，尽可能地对外部遮蔽网路内部的资讯、结构和执行状况，有选择地接受外部访问，对内部强化装置监管、控制对伺服器与外部网路的访问，在被保护网路和外部网路之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种，硬体防火墙和软体防火墙，他们都能起到保护作用并筛选出网路上的攻击者，防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务，包过滤技术是一种简单、有效的安全控制技术，它通过在网路间相互连线的装置上载入允许、禁止来自某些特定的源地址、目的地址、TCP埠号等规则，对通过装置的资料包进行检查，限制资料包进出内部网路。包过滤的最大优点是对使用者透明，传输效能高。但由于安全控制层次在网路层、传输层，安全控制的力度也只限于源地址、目的地址和埠号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、记忆体覆盖攻击或病毒等高层次的攻击手段，则无能为力。

        状态检测是比包过滤更为有效的安全控制方法。对新建的应用连线，状态检测检查预先设定的安全规则，允许符合规则的连线通过，并在记忆体中记录下该连线的相关资讯，生成状态表。对该连线的后续资料包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个资料包进行规则检查，而是一个连线的后续资料包（通常是大量的资料包）通过杂凑演算法，直接进行状态检查，从而使得效能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的埠，使得安全性得到进一步地提高，希望回答可以帮到你。

防火墙的工作原理?

        防火墙主要用语对付黑客用的。可以降低中毒机率。要防毒还得靠防毒软体

        防火墙能增强机构内部网路的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的资料通过，而且防火墙本身也必须能够免于渗透。

       

        防火墙的五大功能

        一般来说，防火墙具有以下几种功能：

        1．允许网路管理员定义一个中心点来防止非法使用者进入内部网路。

        2．可以很方便地监视网路的安全性，并报警。

        3．可以作为部署NAT（Neork Address Translation，网路地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

        4．是审计和记录Inter使用费用的一个最佳地点。网路管理员可以在此向管理部门提供Inter连线的费用情况，查出潜在的频宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。

计算机防火墙的工作原理是什么

        在计算机和你网路间 插入一个过滤系统

        这个过滤系统 可以认为定义一些 规则，那些是好的流量那些事违规的流量，好的就转发，或者违规的就丢掉。

        定义一些资料包的行为，那些包的行为师攻击行为，该做出是那么样的防范。

        这么一些个系统就叫做防火墙。

arp防火墙的工作原理

        比如说有一个盲人，他的孙子只要从他面前走过，他总会给孙子一块糖吃，于了有一些捣乱的小孩子就会反复的从他面前走过，装孙子，骗糖吃，这个盲人不高兴了，他就养了一条狗，这个狗可以看得见，可以记得谁是真的孙子，谁是装孙子，以后谁要再来装孙子就会被狗咬了，ARP防火墙有点像那条狗的作用，分出谁是真的，谁是假的。对于一般使用者，就是记得正确有闸道器MAC地址。

防火墙的工作原理事什么

        网路层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆叠上。我们可以以列举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙装置可能只能套用内建的规则。

        我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的作业系统及网路装置大多已内建防火墙功能。

        较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源埠号、目的 IP 地址或埠号、服务型别(如 或是 FTP)。也能经由通讯协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

防火墙的基本工作原理是什么

        任何计算机病毒实际上都是计算机程式程式码，是一段程式，是一串数字的排列组合。就像每个指纹具有的其他人没有的特征一样，病毒程式中必然有独有的、其它程式所不具备的排列方式。称为病毒特征码。

        病毒软体公司的一个基本工作就是发现新病毒，并找出其特征码。我们升级病毒库，就是把特征码存在计算机 *** 防火墙和防毒软体使用。

        病毒防火墙的功能，就是在资料流动的位置，用毒特征码和资料流中的资料对比，一旦发现和 病毒特征码相同的资料，就认为是发现病毒，采取相应措施。（防毒软体是和硬碟及记忆体中的资料比对，防火墙只管进出计算机的资料流）

        由于病毒有上万种，计算机中的资料流动途径也有多种，所以如何比对，在那个位置比对，以达到又快又不出错，是考验各种防火墙技术水平的。

        另外从什么途径获得病毒特征码也很重要。大多防毒商都会共享资料，但如果某一家老是不能发现新病毒，并找出其特征码的能力，大家就会“不带它玩”

请教防火墙的工作原理

        防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网路的世界里，要由防火墙过滤的就是承载通讯资料的通讯包。

        天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是乙太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的T CP/IP协议栈；有的在已有的协议栈上建立自己的软体模组；有的干脆就是独立的一套作业系统。还有一些应用型的防火墙只对特定型别的网路连线提供保护（比如S MTP或者HTTP协议等）。还有一些基于硬体的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的资料包，决定放行还是把他们扔到一边。

        所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台U NIX计算机，另一边的网段则摆了台PC客户机。

防火墙的工作原理? 怎么工作的啊》》？

        什么是防火墙?

        防火墙就是一种过滤塞(目前你这么理解不算错)，你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网路的世界里，要由防火墙过滤的就是承载通讯资料的通讯包。

        天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是乙太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈;

        有的在已有的协议栈上建立自己的软体模组;有的干脆就是独立的一套作业系统。还有一些应用型的防火墙只对特定型别的网路连线提供保护(比如 SMTP或者HTTP协议等)。还有一些基于硬体的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的资料包，决定放行还是把他们扔到一边。

        所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。

        防火墙说明

        当PC客户机向UNIX计算机发起tel请求时，PC的tel客户程式就产生一个TCP包并把它传给本地的协议栈准备传送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它传送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。

        现在我们“命令”(用专业术语来说就是配制)防火墙把所有发给UNIX计算机的资料包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程式一声呢!既然发向目标的IP资料没法转发，那么只有和UNIX计算机同在一个网段的使用者才能访问UNIX计算机了。

        防火墙说明2

        还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的资料包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了

        伺服器TCP/UDP 埠过滤

        仅仅依靠地址进行资料过滤在实际运用中是不可行的，还有个原因就是目标主机上往往执行着多种通讯服务，比方说，我们不想让使用者采用 tel的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件伺服器吧?所以说，在地址之外我们还要对伺服器的TCP/ UDP埠进行过滤。

        防火墙3

        比如，预设的tel服务连线埠号是23。假如我们不许PC客户机建立对UNIX计算机(在这时我们当它是伺服器)的tel连线，那么我们只需命令防火墙检查传送目标是UNIX伺服器的资料包，把其中具有23目标埠号的包过滤就行了。这样，我们把IP地址和目标伺服器 TCP/UDP埠结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗?不，没这么简单。

        客户机也有TCP/UDP埠

        TCP/IP是一种端对端协议，每个网路节点都具有唯一的地址。网路节点的应用层也是这样，处于应用层的每个应用程式和服务都具有自己的对应 “地址”，也就是埠号。地址和埠都具备了才能建立客户机和伺服器的各种应用之间的有效通讯联络。比如，tel伺服器在埠23侦听入站连线。同时tel客户机也有一个埠号，否则客户机的IP栈怎么知道某个资料包是属于哪个应用程式的呢?

        由于历史的原因，几乎所有的TCP/IP客户程式都使用大于1023的随机分配埠号。只有UNIX计算机上的root使用者才可以访问1024 以下的埠，而这些埠还保留为伺服器上的服务所用。所以，除非我们让所有具有大于1023埠号的资料包进入网路，否则各种网路连线都没法正常工作。

        这对防火墙而言可就麻烦了，如果阻塞入站的全部埠，那么所有的客户机都没法使用网路资源。因为伺服器发出响应外部连线请求的入站(就是进入防火墙的意思)资料包都没法经过防火墙的入站过滤。反过来，开启所有高于1023的埠就可行了吗?也不尽然。由于很多服务使用的埠都大于1023，比如 X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等(NetWare/IP)就是这样的。那么让达到1023埠标准的资料包都进入网路的话网路还能说是安全的吗?连这些客户程式都不敢说自己是足够安全的。

        防火墙4

        双向过滤

        OK，咱们换个思路。我们给防火墙这样下命令：已知服务的资料包可以进来，其他的全部挡在防火墙之外。比如，如果你知道使用者要访问Web伺服器，那就只让具有源埠号80的资料包进入网路：

        防火墙5

        不过新问题又出现了。首先，你怎么知道你要访问的伺服器具有哪些正在执行的埠号呢? 象HTTP这样的伺服器本来就是可以任意配置的，所采用的埠也可以随意配置。如果你这样设定防火墙，你就没法访问哪些没采用标准埠号的的网路站点了! 反过来，你也没法保证进入网路的资料包中具有埠号80的就一定来自Web伺服器。有些黑客就是利用这一点制作自己的入侵工具，并让其执行在本机的80埠!

        检查ACK位

        源地址我们不相信，源埠也信不得了，这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢?还好，事情还没到走投无路的地步。对策还是有的，不过这个办法只能用于TCP协议。

        TCP是一种可靠的通讯协议，“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性，每个TCP连线都要先经过一个 “握手”过程来交换连线引数。还有，每个传送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK 包来响应，实际上仅仅在TCP包头上设定一个专门的位就可以完成这个功能了。所以，只要产生了响应包就要设定ACK位。连线会话的第一个包不用于确认，所以它就没有设定ACK位，后续会话交换的TCP包就要设定ACK位了。

        防火墙6

        举个例子，PC向远端的Web伺服器发起一个连线，它生成一个没有设定ACK位的连线请求包。当伺服器响应该请求时，伺服器就发回一个设定了 ACK位的资料包，同时在包里标记从客户机所收到的位元组数。然后客户机就用自己的响应包再响应该资料包，这个资料包也设定了ACK位并标记了从伺服器收到的位元组数。通过监视ACK位，我们就可以将进入网路的资料限制在响应包的范围之内。于是，远端系统根本无法发起TCP连线但却能响应收到的资料包了。

        这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部Web伺服器，那么埠80就不得不被开启以便外部请求可以进入网路。还有，对 UDP包而言就没法监视ACK位了，因为UDP包压根就没有ACK位。还有一些TCP应用程式，比如FTP，连线就必须由这些伺服器程式自己发起。

        FTP带来的困难

        一般的Inter服务对所有的通讯都只使用一对埠号，FTP程式在连线期间则使用两对埠号。第一对埠号用于FTP的“命令通道”提供登入和执行命令的通讯链路，而另一对埠号则用于FTP的“资料通道”提供客户机和伺服器之间的档案传送。

        在通常的FTP会话过程中，客户机首先向伺服器的埠21(命令通道)传送一个TCP连线请求，然后执行LOGIN、DIR等各种命令。一旦使用者请求伺服器传送资料，FTP伺服器就用其20埠(资料通道)向客户的资料埠发起连线。问题来了，如果伺服器向客户机发起传送资料的连线，那么它就会发送没有设定ACK位的资料包，防火墙则按照刚才的规则拒绝该资料包同时也就意味着资料传送没戏了。通常只有高阶的、也就是够聪明的防火墙才能看出客户机刚才告诉伺服器的埠，然后才许可对该埠的入站连线。

        UDP埠过滤

        好了，现在我们回过头来看看怎么解决UDP问题。刚才说了，UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通讯，这种型别的服务通常用于广播、路由、多媒体等广播形式的通讯任务。NFS、DNS、WINS、NetBIOS-over- TCP/IP和 NetWare/IP都使用UDP。

        看来最简单的可行办法就是不允许建立入站UDP连线。防火墙设定为只许转发来自内部介面的UDP包，来自外部介面的UDP包则不转发。现在的问题是，比方说，DNS名称解析请求就使用UDP，如果你提供DNS服务，至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程式也使用UDP，如果要让你的使用者使用它，就同样要让他们的UDP包进入网路。我们能做的就是对那些从本地到可信任站点之间的连线进行限制。但是，什么叫可信任!如果黑客采取地址欺骗的方法不又回到老路上去了吗?

        有些新型路由器可以通过“记忆”出站UDP包来解决这个问题：如果入站UDP包匹配最近出站UDP包的目标地址和埠号就让它进来。如果在记忆体中找不到匹配的UDP包就只好拒绝它了!但是，我们如何确信产生资料包的外部主机就是内部客户机希望通讯的伺服器呢?如果黑客诈称DNS伺服器的地址，那么他在理论上当然可以从附着DNS的UDP埠发起攻击。只要你允许DNS查询和反馈包进入网路这个问题就必然存在。办法是采用代理伺服器。

        所谓代理伺服器，顾名思义就是代表你的网路和外界打交道的伺服器。代理伺服器不允许存在任何网路内外的直接连线。它本身就提供公共和专用的 DNS、邮件伺服器等多种功能。代理伺服器重写资料包而不是简单地将其转发了事。给人的感觉就是网路内部的主机都站在了网路的边缘，但实际上他们都躲在代理的后面，露面的不过是代理这个假面具。

        小结

        IP地址可能是假的，这是由于IP协议的源路有机制所带来的，这种机制告诉路由器不要为资料包采用正常的路径，而是按照包头内的路径传送资料包。于是黑客就可以使用系统的IP地址获得返回的资料包。有些高阶防火墙可以让使用者禁止源路由。通常我们的网路都通过一条路径连线ISP，然后再进入 Inter。这时禁用源路由就会迫使资料包必须沿着正常的路径返回。

        还有，我们需要了解防火墙在拒绝资料包的时候还做了哪些其他工作。比如，防火墙是否向连线发起系统发回了“主机不可到达”的ICMP讯息?或者防火墙真没再做其他事?这些问题都可能存在安全隐患。ICMP“主机不可达”讯息会告诉黑客“防火墙专门阻塞了某些埠”，黑客立即就可以从这个讯息中闻到一点什么气味。如果ICMP“主机不可达”是通讯中发生的错误，那么老实的系统可能就真的什么也不传送了。反过来，什么响应都没有却会使发起通讯的系统不断地尝试建立连线直到应用程式或者协议栈超时，结果终端使用者只能得到一个错误资讯。当然这种方式会让黑客无法判断某埠到底是关闭了还是没有使用。

       好了，关于“netbios协议栈在什么位置”的话题就讲到这里了。希望大家能够对“netbios协议栈在什么位置”有更深入的了解，并且从我的回答中得到一些启示。