计算机知识500个为什么
一、软件
1.病毒破坏
自从有了计算机以后不久,计算机病毒也应运而生。当网络成为当今社会的信息大动脉后,病毒的传播更加方便,所以也时不时的干扰和破坏我们的正常工作。比较典型的就是前一段时间对全球计算机造成严重破坏的“冲击波”病毒,发作时还会提示系统将在60秒后自动启动。其实,早在DOS时代就有不少病毒能够自动重启你的计算机。
对于是否属于病毒破坏,我们可以使用最新版的杀毒软件进行杀毒,一般都会发现病毒存在。当然,还有一种可能是当你上网时被人恶意侵入了你的计算机,并放置了木马程序。这样对方能够从远程控制你计算机的一切活动,当然也包括让你的计算机重新启动。对于有些木马,不容易清除,最好重新安装操作系统。
2.系统文件损坏
当系统文件被破坏时,如Win2K下的KERNEL32.DLL,Win98 FONTS目录下面的字体等系统运行时基本的文件被破坏,系统在启动时会因此无法完成初始化而强迫重新启动。你可以做个试验,把WIN98目录下的字库“FONTS”改名试一试。当你再次开机时,我们的计算机就会不断的重复启动。
对于这种故障,因为无法进入正常的桌面,只能覆盖安装或重新安装。
3.定时软件或计划任务软件起作用
如果你在“计划任务栏”里设置了重新启动或加载某些工作程序时,当定时时刻到来时,计算机也会再次启动。对于这种情况,我们可以打开“启动”项,检查里面有没有自己不熟悉的执行文件或其他定时工作程序,将其屏蔽后再开机检查。当然,我们也可以在“运行”里面直接输入“Msconfig”命令选择启动项。
二、硬件
1.市电电压不稳
一般家用计算机的开关电源工作电压范围为170V-240V,当市电电压低于170V时,计算机就会自动重启或关机。因为市电电压的波动我们有时感觉不到,所以就会误认为计算机莫名其妙的自动重启了。
解决方法:对于经常性供电不稳的地区,我们可以购置UPS电源或130-260V的宽幅开关电源来保证计算机稳定工作。
2.插排或电源插座的质量差,接触不良
市面上的电源插排多数质量不好,内部的接点都是采用手工焊接,并且常采用酸性助焊剂,这样容易导致在以后的使用中焊点氧化引起断路或者火线和零线之间漏电。因为手工焊接,同时因为采用的磷黄铜片弹性差,用不了多长时间就容易失去弹性,致使与主机或显示器的电源插头接触不良而产生较大的接触电阻,在长时间工作时就会大量发热而导致虚接,这时就会表现为主机重新启动或显示器黑屏闪烁。
还有一个可能是我们家里使用的墙壁插座,多数墙壁插座的安装都不是使用专业人员,所以插座内部的接线非常的不标准,特别这些插座如果我们经常使用大功率的电暖器时就很容易导致内部发热氧化虚接而形成间歇性的断电,引起计算机重启或显示器眨眼现象。
解决方法:
① 不要图省钱而购买价廉不物美的电源排插,购买一些名牌的电源插排,因为其内部都是机器自动安装压接的,没有采用手工焊接。
② 对于是否属于墙壁插座内部虚接的问题,我们可以把主机换一个墙壁插座试一试,看是否存在同样的自动重启问题。
3.计算机电源的功率不足或性能差
这种情况也比较常见,特别是当我们为自己主机增添了新的设备后,如更换了高档的显卡,增加了刻录机,添加了硬盘后,就很容易出现。当主机全速工作,比如运行大型的3D游戏,进行高速刻录或准备读取光盘,刚刚启动时,双硬盘对拷数据,就可能会因为瞬时电源功率不足而引起电源保护而停止输出,但由于当电源停止输出后,负载减轻,这时电源再次启动。因为保护后的恢复时间很短,所以给我们的表现就是主机自动重启。
还有一种情况,是主机开关电源性能差,虽然电压是稳定的也在正常允许范围之内,但因为其输出电源中谐波含量过大,也会导致主机经常性的死机或重启。对于这种情况我们使用万用表测试其电压时是正常的,最好更换一台优良的电源进行替换排除。
解决方法:现换高质量大功率计算机电源。
4.主机开关电源的市电插头松动,接触不良,没有插紧
这种情况,多数都会出现在DIY机器上,主机电源所配的电源线没有经过3C认证,与电源插座不配套。当我们晃动桌子或触摸主机时就会出现主机自动重启,一般还会伴有轻微的电打火的“啪啪”声。
解决方法:更换优质的3C认证电源线。
5.主板的电源ATX20插座有虚焊,接触不良
这种故障不常见,但的确存在,主要是在主机正常工作时,左右移动ATX20针插头,看主机是否会自动重启。同时还要检查20针的电源插头内部的簧片是否有氧化现象,这也很容易导致接触电阻大,接触不良,引起主机死机或重启。有时还需要检查20针插头尾部的连接线,是否都牢K。
解决方法:
① 如果是主板焊点虚焊,直接用电烙铁补焊就可以了。注意:在对主板、硬盘、显卡等计算机板卡焊接时,一定要将电烙铁良好接地,或者在焊接时拔下电源插头。
② 如果是电源的问题,最好是更换一台好的电源。
6.CPU问题
CPU内部部分功能电路损坏,二级缓存损坏时,计算机也能启动,甚至还会进入正常的桌面进行正常操作,但当进行某一特殊功能时就会重启或死机,如画表,播放VCD,玩游戏等。
解决办法:试着在CMOS中屏蔽二级缓存(L2)或一级缓存(L1),看主机是否能够正常运行;再不就是直接用好的CPU进行替换排除。如果屏蔽后能够正常运行,还是可以凑合着使用,虽然速度慢些,但必竟省钱了。
7.内存问题
内存条上如果某个芯片不完全损坏时,很有可能会通过自检(必竟多数都设置了POST),但是在运行时就会因为内存发热量大而导致功能失效而意外重启。多数时候内存损坏时开机会报警,但内存损坏后不报警,不加电的故障都还是有的。最好使用排除法,能够快速确定故障部位。
8.光驱问题
如果光驱内部损坏时,也会导致主机启动缓慢或不能通过自检,也可能是在工作过程中突然重启。对于后一种情况如果是我们更换了光驱后出现的,很有可能是光驱的耗电量不同而引起的。大家需要了解的是,虽然光驱的ATPI接口相同,但不同生产厂家其引脚定义是不相同的,如果我们的硬盘线有问题时,就可能产生对某一牌子光驱使用没有问题,但对其他牌子光驱就无法工作的情况,这需要大家注意。
9.RESET键质量有问题
如果RESET开关损坏,内部簧片始终处于短接的位置时,主机就无法加电自检。但是当RESET开关弹性减弱或机箱上的按钮按下去不易弹起时,就会出现在使用过程中,因为偶尔的触碰机箱或者在正常使用状态下而主机突然重启。所以,当RESET开关不能按动自如时,我们一定要仔细检查,最好更换新的RESET按钮开关或对机箱的外部按钮进行加油润滑处理。
还有一种情况,是因为机箱内的RESET开关引线在焊接时绝缘层剥离过多,再加上使用过程中多次拆箱就会造成RESET开关线距离过近而引起碰撞,导致主机自动重启。
10.接入网卡或并口、串口、USB接口接入外部设备时自动重启
这种情况一般是因为外设有故障,比如打印机的并口损坏,某一脚对地短路,USB设备损坏对地短路,网卡做工不标准等,当我们使用这些设备时,就会因为突然的电源短路而引起计算机重启。
三、其他原因
1.散热不良或测温失灵
CPU散热不良,经常出现的问题就是CPU的散热器固定卡子脱落,CPU散热器与CPU接触之间有异物,CPU风扇长时间使用后散热器积尘太多,这些情况都会导致CPU散热不良,积聚温度过高而自动重启。
还有就是CPU下面的测温探头损坏或P4 CPU内部的测温电路损坏,主板上的BIOS有BUG在某一特殊条件下测温不准,这些都会引起主机在工作过程中自动保护性重启。
最后就是我们在CMOS中设置的CPU保护温度过低也会引起主机自动重启。
2.风扇测速失灵
当CPU风扇的测速电路损坏或测速线间歇性断路时,因为主板检测不到风扇的转速就会误以为风扇停转而自动关机或重启,但我们检查时可能看到CPU风扇转动正常,并且测速也正常。
3.强磁干扰
不要小看电磁干扰,许多时候我们的电脑死机和重启也是因为干扰造成的,这些干扰既有来自机箱内部CPU风扇、机箱风扇、显卡风扇、显卡、主板、硬盘的干扰,也有来自外部的动力线,变频空调甚至汽车等大型设备的干扰。如果我们主机的搞干扰性能差或屏蔽不良,就会出现主机意外重启或频繁死机的现象
让XP的键盘说话!一个罕见的功能!
长期面对无声的电脑,我们难免疲倦。如果正在输入的内容被系统一
字(字母)不差地念出来,你还能在无声的疲倦中输入错误的内容吗?本文以
Windows 2000/XP中一个鲜为人知的“讲述人”为例教你DIY一个完全免费的语音
键盘。
在“运行”中输入“narrator”,点“确定”,首先弹出的是一条警告信息,不予睬,
点“确定”跳过后便请出本文的主角──“讲述人”。如果你的音箱已经打开,听到
了什么?不想听的话就按一下Ctrl键。再按任意键试试,你输入的字母键被系统
用标准的美国英语读了出来,这时一个完全免费的语音键盘就诞生在你的手中
了,有兴趣的朋友不妨试试。
Windows XP 启动过程概述
在按下计算机电源使计算机启动,并且在Windows XP专业版操作系统启动之前这段时间,我们称之为预引导(Pre-Boot)阶段,在这个阶段里,计算机首先运行Power On Self Test(POST),POST检测系统的总内存以及其他硬件设备的现状。
从按下计算机开关启动计算机,到登入到桌面完成启动,一共经过了以下几个阶段:
1. 预引导(Pre-Boot)阶段;
2. 引导阶段;
3. 加载内核阶段;
4. 初始化内核阶段;
5. 登陆。
每个启动阶段的详细介绍
a) 预引导阶段
在按下计算机电源使计算机启动,并且在Windows XP专业版操作系统启动之前这段时间,我们称之为预引导(Pre-Boot)阶段,在这个阶段里,计算机首先运行Power On Self Test(POST),POST检测系统的总内存以及其他硬件设备的现状。如果计算机系统的BIOS(基础输入/输出系统)是即插即用的,那么计算机硬件设备将经过检验以及完成配置。计算机的基础输入/输出系统(BIOS)定位计算机的引导设备,然后MBR(Master Boot Record)被加载并运行。在预引导阶段,计算机要加载Windows XP的NTLDR文件。
b) 引导阶段
Windows XP Professional引导阶段包含4个小的阶段。
首先,计算机要经过初始引导加载器阶段(Initial Boot Loader),在这个阶段里,NTLDR将计算机微处理器从实模式转换为32位平面内存模式。在实模式中,系统为MS-DOS保留640kb内存,其余内存视为扩展内存,而在32位平面内存模式中,系统(Windows XP Professional)视所有内存为可用内存。接着,NTLDR启动内建的mini-file system drivers,通过这个步骤,使NTLDR可以识别每一个用NTFS或者FAT文件系统格式化的分区,以便发现以及加载Windows XP Professional,到这里,初始引导加载器阶段就结束了。
接着系统来到了操作系统选择阶段,如果计算机安装了不止一个操作系统(也就是多系统),而且正确设置了boot.ini使系统提供操作系统选择的条件下,计算机显示器会显示一个操作系统选单,这是NTLDR读取boot.ini的结果。(至于操作系统选单,由于暂时条件不够,没办法截图,但是笔者模拟了一个,见图一。)
在boot.ini中,主要包含以下内容:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINNT="Windows Windows 2000 Professional"
.
其中,multi(0)表示磁盘控制器,disk(0)rdisk(0)表示磁盘,partition(x)表示分区。NTLDR就是从这里查找Windows XP Professional的系统文件的位置的。(*本文不会更详细地讲解boot.ini的组成结构,因为其与本主题关系不大,如果想了解,可以到一些专门的网站处查询相关信息。)如果在boot.ini中只有一个操作系统选项,或者把timeout值设为0,则系统不出现操作系统选择菜单,直接引导到那个唯一的系统或者默认的系统。在选择启动Windows XP Professional后,操作系统选择阶段结束,硬件检测阶段开始。
在硬件检测阶段中,ntdetect.com将收集计算机硬件信息列表并将列表返回到NTLDR,这样做的目的是便于以后将这些硬件信息加入到注册表HKEY_LOCAL_MACHINE下的hardware中。
硬件检测完成后,进入配置选择阶段。如果计算机含有多个硬件配置文件列表,可以通过按上下按钮来选择。如果只有一个硬件配置文件,计算机不显示此屏幕而直接使用默认的配置文件加载Windows XP专业版。
引导阶段结束。在引导阶段,系统要用到的文件一共有:NTLDR,Boot.ini,ntdetect.com,ntokrnl.exe,Ntbootdd.sys,bootsect.dos(可选的)。
c) 加载内核阶段
在加载内核阶段,ntldr加载称为Windows XP内核的ntokrnl.exe。系统加载了Windows XP内核但是没有将它初始化。接着ntldr加载硬件抽象层(HAL,hal.dll),然后,系统继续加载HKEY_LOCAL_MACHINE\system键,NTLDR读取select键来决定哪一个Control Set将被加载。控制集中包含设备的驱动程序以及需要加载的服务。NTLDR加载HKEY_LOCAL_MACHINE\system\service\...下start键值为0的最底层设备驱动。当作为Control Set的镜像的Current Control Set被加载时,ntldr传递控制给内核,初始化内核阶段就开始了。
d) 初始化内核阶段
在初始化内核阶段开始的时候,彩色的Windows XP的logo以及进度条显示在屏幕中央,在这个阶段,系统完成了启动的4项任务:
? 内核使用在硬件检测时收集到的数据来创建了HKEY_LOCAL_MACHINE\HARDWARE键。
? 内核通过引用HKEY_LOCAL_MACHINE\system\Current的默认值复制Control Set来创建了Clone Control Set。Clone Control Set配置是计算机数据的备份,不包括启动中的改变,也不会被修改。
? 系统完成初始化以及加载设备驱动程序,内核初始化那些在加载内核阶段被加载的底层驱动程序,然后内核扫描HKEY_LOCAL_MACHINE\system\CurrentControlSet\service\...下start键值为1的设备驱动程序。这些设备驱动程序在加载的时候便完成初始化,如果有错误发生,内核使用ErrorControl键值来决定如何处理,值为3时,错误标志为危机/关键,系统初次遇到错误会以LastKnownGood Control Set重新启动,如果使用LastKnownGood Control Set启动仍然产生错误,系统报告启动失败,错误信息将被显示,系统停止启动;值为2时错误情况为严重,系统启动失败并且以LastKnownGood Control Set重新启动,如果系统启动已经在使用LastKnownGood值,它会忽略错误并且继续启动;当值是1的时候错误为普通,系统会产生一个错误信息,但是仍然会忽略这个错误并且继续启动;当值是0的时候忽略,系统不会显示任何错误信息而继续运行
? Session Manager启动了Windows XP高级子系统以及服务,Session Manager启动控制所有输入、输出设备以及访问显示器屏幕的Win32子系统以及Winlogon进程,初始化内核完毕。
e) 登陆
? Winlogon.exe启动Local Security Authority,同时Windows XP Professional欢迎屏幕或者登陆对话框显示,这时候,系统还可能在后台继续初始化刚才没有完成的驱动程序。
?提示输入有效的用户名或密码。
?Service Controller最后执行以及扫描HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servives来检查是否还有服务需要加载,Service Controller查找start键值为2或更高的服务,服务按照start的值以及DependOnGroup和DepandOnService的值来加载。
只有用户成功登陆到计算机后,Windows XP的启动才被认为是完成,在成功登陆后,系统拷贝Clone Control Set到LastKnownGood Control Set,完成这一步骤后,系统才意味着已经成功引导了。
实用的网络基本DOS命令。
网络基本DOS命令
一、ping
它是用来检测网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令,它所利用的原理是这样的:网络上的机器都有唯一确定的IP地址,我们给目标IP地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我们可以确定目标主机的存在,可以初步判断目标主机的操作系统等。
下面就来看看它的一些常用的操作。先看看帮助,在DOS窗口中键入:ping /? 回车。在此,我们只需掌握一些基本的却很有用的参数就可以了。
-t 表示将不间断地向目标IP发送数据包,直到我们强迫其停止。
-l 定义发送数据包的大小,默认为32字节,我们利用它可以最大定义到65500字节。
-n 定义向目标IP发送数据包的次数,默认为3次。
说明一下,如果参数-t和参数-n一起使用,ping命令就以放在后面的参数为标准,比如“ping IP -t -n 3”,虽然使用了-t参数,但并不是一直ping下去,而是只ping 3次。另外,ping命令不一定非得ping IP,也可以直接ping主机域名,这样就可以得到主机的IP。
(小知识:如果TTL=128,则表示目标主机可能是Win2000;如果TTL=250,则目标主机可能是Unix)
二、nbtstat
该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接,使用这个命令你可以得到远程主机的NETBIOS信息,比如用户名、所属的工作组、网卡的MAC地址等。在此我们就有必要了解几个基本的参数。
-a 使用这个参数,只要你知道了远程主机的机器名称,就可以得到它的NETBIOS信息(下同)。
-A 这个参数也可以得到远程主机的NETBIOS信息,但需要你知道它的IP。
-n 列出本地机器的NETBIOS信息。
三、netstat
这是一个用来查看网络状态的命令,操作简便功能强大。
-a 查看本地机器的所有开放端口,可以有效发现和预防木马,可以知道机器所开的服务等信息。这里可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。用法:netstat -a IP。
-r 列出当前的路由信息,告诉我们本地机器的网关、子网掩码等信息。用法:netstat -r IP。
四、tracert
跟踪路由信息,使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径,这对我们了解网络布局和结构很有帮助。用法:tracert IP。
五、net
这个命令是网络命令中最重要的一个,必须透彻掌握它的每一个子命令的用法,因为它的功能实在是太强大了,这简直就是微软为我们提供的最好的入侵工具。首先让我们来看一看它都有那些子命令,键入net /?回车。在这里,我们重点掌握几个入侵常用的子命令:
net view
使用此命令查看远程主机的所以共享资源。命令格式为net view \IP。
net use
把远程主机的某个共享资源映射为本地盘符,图形界面方便使用,呵呵。命令格式为net use x: \IPsharename。
net start
使用它来启动远程主机上的服务。当你和远程主机建立连接后,如果发现它的什么服务没有启动,而你又想利用此服务怎么办?就使用这个命令来启动吧。用法:net start servername。
net stop
入侵后发现远程主机的某个服务碍手碍脚,怎么办?利用这个命令停掉就ok了,用法和net start同。
net user
查看和帐户有关的情况,包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁用等。
1、net user abcd 1234 /add,新建一个用户名为abcd,密码为1234的帐户,默认为user组成员。
2、net user abcd /del,将用户名为abcd的用户删除。
3、net user abcd /active:no,将用户名为abcd的用户禁用。
4、net user abcd /active:yes,激活用户名为abcd的用户。
5、net user abcd,查看用户名为abcd的用户的情况
net localgroup
查看所有和用户组有关的信息和进行相关操作。键入不带参数的net localgroup即列出当前所有的用户组。
net time
这个命令可以查看远程主机当前的时间。
六、at
这个命令的作用是安排在特定日期或时间执行某个特定的命令和程序(知道net time的重要了吧?)。当我们知道了远程主机的当前时间,就可以利用此命令让其在以后的某个时间(比如2分钟后)执行某个程序和命令。用法:at time command \computer。
七、ftp
首先在命令行键入ftp回车,出现ftp的提示符,这时候可以键入“help”来查看帮助(任何DOS命令都可以使用此方法查看其帮助)。
大家可能看到了,这么多命令该怎么用?其实也用不到那么多,掌握几个基本的就够了。
首先是登陆过程,这就要用到open了,直接在ftp的提示符下输入“open 主机IP ftp端口”回车即可,一般端口默认都是21,可以不写。接着就是输入合法的用户名和密码进行登陆了。
用户名和密码都是ftp,密码是不显示的。当提示**** logged in时,就说明登陆成功。
接下来就要介绍具体命令的使用方法了。
dir 跟DOS命令一样,用于查看服务器的文件,直接敲上dir回车,就可以看到此ftp服务器上的文件。
cd 进入某个文件夹。
get 下载文件到本地机器。
put 上传文件到远程服务器。
delete 删除远程ftp服务器上的文件。
bye 退出当前连接。
quit 同上。
八、telnet
功能强大的远程登陆命令,几乎所有的入侵者都喜欢用它,屡试不爽。为什么?它操作简单,如同使用自己的机器一样,只要你熟悉DOS命令,在成功以Administrator身份连接了远程机器后,就可以用它来干你想干的一切了。下面介绍一下使用方法,首先键入telnet回车,再键入help查看其帮助信息。
然后在提示符下键入open IP回车,这时就出现了登陆窗口,让你输入合法的用户名和密码,这里输入任何密码都是不显示的。
详细端口分配列表
本人经过参考了部分书籍和网上的文章,然后总结了一下详细端口分配列表。
端口:0
服务:Reserved
说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无
效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的
扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
端口:1
服务:tcpmux
说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认
情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的
帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多
管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用
这些帐户。
端口:7
服务:Echo
说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19
服务:Character Generator
说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾
字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。 HACKER利用
IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle
DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了
回应这些数据而过载。
端口:21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开
anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan
、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有
许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞
存在。
端口:23
服务:Telnet
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端
口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。
木马Tiny Telnet Server就开放这个端口。
端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了
传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E- MAIL服务器
上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、
Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
端口:31
服务:MSG Authentication
说明:木马Master Paradise、Hackers Paradise开放此端口。
端口:42
服务:WINS Replication
说明:WINS复制
端口:53
服务:Domain Name Server(DNS)
说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗
DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
端口:67
服务:Bootstrap Protocol Server
说明:通过DSL和Cable modem的防火墙常会看见大量发送到广播地址
255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入
它们,分配一个地址把自己作为局部路由器而发起大量中间人(man-in-middle)
攻击。客户端向68端口广播请求配置,服务器向67端口广播回应请求。这种回应
使用广播是因为客户端还不知道可以发送的IP地址。
端口:69
服务:Trival File Transfer
说明:许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它
们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写
入文件。
端口:79
服务:Finger Server
说明:入侵者用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,
回应从自己机器到其他机器Finger扫描。
端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。
端口:99
服务:Metagram Relay
说明:后门程序ncx99开放此端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务
。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有
20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区
溢出错误。
端口:110
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd
等
端口:113
服务:Authentication Service
说明:这是一个许多计算机上运行的协议,用于鉴别TCP连接的用户。使用标准的
这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器,尤其是
FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服
务,将会看到许多这个端口的连接请求。记住,如果阻断这个端口客户端会感觉
到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过
程中发回RST。这将会停止缓慢的连接。
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻
找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。
打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名
发帖或发送SPAM。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这
与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point
mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper
找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行
Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。
而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于
windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
端口:143
服务:Interim Mail Access Protocol v2
说明:和POP3的安全问题一样,许多IMAP服务器存在有缓冲区溢出漏洞。记住:
一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自
不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后
,这些漏洞变的很流行。这一端口还被用于 IMAP2,但并不流行。
端口:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过
SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。 Cackers将
试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合
。SNMP包可能会被错误的指向用户的网络。
端口:177
服务:X Display Manager Control Protocol
说明:许多入侵者通过它访问X-windows操作台,它同时需要打开6000端口。
端口:389
服务:LDAP、ILS
说明:轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口
。
端口:443
服务:Https
说明:网页浏览端口,能提供加密和通过安全端口传输的另一种HTTP。
端口:456
服务:[NULL]
说明:木马HACKERS PARADISE开放此端口。
端口:513
服务:Login,remote login
说明:是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些
人为入侵者进入他们的系统提供了信息。
端口:544
服务:[NULL]
说明:kerberos kshell
端口:548
服务:Macintosh,File Services(AFP/IP)
说明:Macintosh,文件服务。
端口:553
服务:CORBA IIOP (UDP)
说明:使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向
对象的RPC系统。入侵者可以利用这些信息进入系统。
端口:555
服务:DSF
说明:木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
端口:568
服务:Membership DPA
说明:成员资格 DPA。
端口:569
服务:Membership MSN
说明:成员资格 MSN。
端口:635
服务:mountd
说明:Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描
是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。
记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询
),只是Linux默认端口是635,就像NFS通常运行于 2049端口。
端口:636
服务:LDAP
说明:SSL(Secure Sockets layer)
端口:666
服务:Doom Id Software
说明:木马Attack FTP、Satanz Backdoor开放此端口
端口:993
服务:IMAP
说明:SSL(Secure Sockets layer)
端口:1001、1011
服务:[NULL]
说明:木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
端口:1024
服务:Reserved
说明:它是动态端口的开始,许多程序并不在乎用哪个端口连接网络,它们请求
系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第
一个向系统发出请求的会分配到1024端口。你可以重启机器,打开Telnet,再打
开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session
也用此端口和5000端口。
端口:1025、1033
服务:1025:network blackjack 1033:[NULL]
说明:木马netspy开放这2个端口。
端口:1080
服务:SOCKS
说明:这一协议以通道方式穿过防火墙,允许防火墙后面的人通过一个IP地址访
问INTERNET。理论上它应该只允许内部的通信向外到达 INTERNET。但是由于错误
的配置,它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误
,在加入IRC聊天室时常会看到这种情况。
端口:1170
服务:[NULL]
说明:木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口
。
端口:1234、1243、6711、6776
服务:[NULL]
说明:木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马
SubSeven1.0/1.9开放1243、6711、6776端口。
端口:1245
服务:[NULL]
说明:木马Vodoo开放此端口。
端口:1433
服务:SQL
说明:Microsoft的SQL服务开放的端口。
端口:1492
服务:stone-design-1
说明:木马FTP99CMP开放此端口。
端口:1500
服务:RPC client fixed port session queries
说明:RPC客户固定端口会话查询
端口:1503
服务:NetMeeting T.120
说明:NetMeeting T.120
端口:1524
服务:ingress
说明:许多攻击脚本将安装一个后门SHELL于这个端口,尤其是针对SUN系统中
Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接
企图,很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口,看看
它是否会给你一个SHELL。连接到 600/pcserver也存在这个问题。
端口:1600
服务:issd
说明:木马Shivka-Burka开放此端口。
端口:1720
服务:NetMeeting
说明:NetMeeting H.233 call Setup。
端口:1731
服务:NetMeeting Audio Call Control
说明:NetMeeting音频调用控制。
端口:1807
服务:[NULL]
说明:木马SpySender开放此端口。
端口:1981
服务:[NULL]
说明:木马ShockRave开放此端口。
端口:1999
服务:cisco identification port
说明:木马BackDoor开放此端口。
端口:2000
服务:[NULL]
说明:木马GirlFriend 1.3、Millenium 1.0开放此端口。
端口:2001
服务:[NULL]
说明:木马Millenium 1.0、Trojan Cow开放此端口。
端口:2023
服务:xinuexpansion 4
说明:木马Pass Ripper开放此端口。
端口:2049
服务:NFS
说明:NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于
哪个端口。
端口:2115
服务:[NULL]
说明:木马Bugs开放此端口。
端口:2140、3150
服务:[NULL]
说明:木马Deep Throat 1.0/3.0开放此端口。
端口:2500
服务:RPC client using a fixed port session replication
说明:应用固定端口会话复制的RPC客户
端口:2583
服务:[NULL]
说明:木马Wincrash 2.0开放此端口。
端口:2801
服务:[NULL]
说明:木马Phineas Phucker开放此端口。
端口:3024、4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:3128
服务:squid
说明:这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻
一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000
、 8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他
用户也会检验这个端口以确定用户的机器是否支持代理。
端口:3129
服务:[NULL]
说明:木马Master Paradise开放此端口。
端口:3150
服务:[NULL]
说明:木马The Invasor开放此端口。
端口:3210、4321
服务:[NULL]
说明:木马SchoolBus开放此端口
端口:3333
服务:dec-notes
说明:木马Prosiak开放此端口
端口:3389
服务:超级终端
说明:WINDOWS 2000终端开放此端口。
端口:3700
服务:[NULL]
说明:木马Portal of Doom开放此端口
端口:3996、4060
服务:[NULL]
说明:木马RemoteAnything开放此端口
端口:4000
服务:QQ客户端
说明:腾讯QQ客户端开放此端口。
端口:4092
服务:[NULL]
说明:木马WinCrash开放此端口。
端口:4590
服务:[NULL]
说明:木马ICQTrojan开放此端口。
端口:5000、5001、5321、50505 服务:[NULL]
说明:木马blazer5开放5000端口。木马Sockets de Troie开放5000、5001、5321
、50505端口。
端口:5400、5401、5402
服务:[NULL]
说明:木马Blade Runner开放此端口。
端口:5550
服务:[NULL]
说明:木马xtcp开放此端口。
端口:5569
服务:[NULL]
说明:木马Robo-Hack开放此端口。
端口:5632
服务:pcAnywere
说明:有时会看到很多这个端口的扫描,这依赖于用户所在的位置。当用户打开
pcAnywere时,它会自动扫描局域网C类网以寻找可能的代理(这里的代理是指
agent而不是proxy)。入侵者也会寻找开放这种服务的计算机。,所以应该查看
