许多朋友对计算机端口还不是很了解，其实掌握一定的计算机端口知识对于正常维护计算机系统的安全是非常重要的，本文就要向大家介绍一些有些计算机端口方面的基础知识。

    一、端口基础

    虽然在前面对端口有了一个简单介绍，但在远程控制通信中，特别是在木马黑客程序中所进行的攻击中，对端口的应用远不止前面介绍的这些。因为在计算机网络中与端口技术对应的是各种各样的计算机网络服务，所以下面先对计算机网络服务作一个简单介绍。

    1、计算机网络服务

    在网络分层结构中，各层之间是严格互相依赖的，各层次的分工与协作集中体现在各层之间的界面上。通信过程中的“服务”是描述网络分层结构中相邻层之间关系的一种抽象概念。一般来说在网络分层结构中是下层向上层提供服务的。

    在国际化标准化组织（IOS）的开放互连体系模型（OSI）中共有七层，从下向上分别是：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。在这个开放体系结构中又规定网络层及其以下各层又称为通信子网，只提供了点到点通信，没有程序或进程的概念，如所见的网卡、集线器等简单网络设备之间的连接都是属于物理层或是数据链路层。而传输层以上所实现的是“端到端”的通信的概念，解决了数据包的差错控制、流量控制、数据排序等问题。

    根据因特网上各种服务的方式的不同，把所有服务划为两种不同的方式：面向连接的服务和无连接的服务，这个点虽然在本章前文已有介绍，但为了更加详细的说明“端口”技术，在此再对这两类服务作进一步说明。

    面向连接的服务如电话系统服务方式，即每一次完整的数据传输都有要经过建立连接、使用连接和终止连接等过程因数据传输中各数据分组不携带目的地址，而使用连接号。在这种方式中，从本质上来介绍，连接只是一个通道，收发数据不但顺序一致，而且内容相同。使用连接服务方式的常见协议是TCP协议。

    而无连接服务方式是邮政系统服务的抽象，每个分组携带完整的目的地址，分组在系统中独立传输。无连接服务不能保证分组的先后顺序，不进行分组出错的恢复和重发，不保证数据包传输的可靠性。提供无连接服务方式的常用协议是UDP协议。因为在远程控制中主要应用的是TCP/IP协议和UDP协议，所以下面就先来介绍这两个协议。

    据专家们分析，服务器端口数最大可以有65535个，但是实际上常用的端口才几十个，由此可以看出未定义的端口相当多。这是那么多黑客程序都可以采用某种方法定义出一个特殊的端口来达到入侵的目的的原因所在。

    为了定义出这个端口，就要依靠某种程序在计算机启动之前自动加载到内存，强行控制计算机打开那个特殊的端口。这个程序就是“后门”程序，这些后门程序就是常说的木马程序。

    简单的说，这些木马程序在入侵前是先通过某种手段在一台个人计算机中植入一个程序，打开某个（些）特定的端口，俗称“后门”（ BackDoor），使这台计算机变成一台开放性极高（用户拥有极高权限）的FTP服务器，然后从后门就可以达到侵入的目的。

    端口的分类根据其参考对象不同有不同划分方法，如果从端口的性质来分，通常可以分为以下三类：

    （1） 公认端口（Well Known Ports）：

    这类端口也常称之为“常用端口”。这类端口的端口号从0到1023，它们紧密绑定于一些特定的服务。通常这些端口的通信明确表明了某种服务的协议，这种端口是不可再重新定义它的作用对象。例如：80端口实际上总是HTTP通信所使用的，而23号端口则是Telnet服务专用的。这些端口通常不会像木马这样的黑客程序利用。为了使大家对这些常用端口多一些认识，在本章后面将详细把这些端口所对面应的服务进行列表，供各位理解和参考。

    （2） 注册端口（Registered Ports）：

    端口号从1024到49151。它们松散地绑定于一些服务。也是说有许多服务绑定于这些端口，这些端口同样用于许多其他目的。这些端口多数没有明确的定义服务对象，不同程序可根据实际需要自己定义，如后面要介绍的远程控制软件和木马程序中都会有这些端口的定义的。记住这些常见的程序端口在木马程序的防护和查杀上是非常有必要的。常见木马所使用的端口在后面将有详细的列表。

    （3） 动态和/或私有端口（Dynamic and/or Private Ports）：

    端口号从49152到65535。理论上，不应为服务分配这些端口。实际上，有些较为特殊的程序，特别是一些木马程序就非常喜欢用这些端口，因为这些端口常常不被引起注意，容易隐蔽。

    如果根据所提供的服务方式的不同，端口又可分为“TCP协议端口”和“UDP协议端口”两种。因为计算机之间相互通信一般采用这两种通信协议。

    前面所介绍的“连接方式”是一种直接与接收方进行的连接，发送信息以后，可以确认信息是否到达，这种方式大多采用TCP协议；另一种是不是直接与接收方进行连接，只管把信息放在网上发出去，而不管信息是否到达，也就是前面所介绍的“无连接方式”。这种方式大多采用UDP协议，IP协议也是一种无连接方式。对应使用以上这两种通信协议的服务所提供的端口，也就分为“TCP协议端口”和“UDP协议端口”。

    使用TCP协议的常见端口主要有以下几种：

    FTP：

    定义了文件传输协议，使用21端口。常说某某计算机开了FTP服务便是启动了文件传输服务。下载文件，上传主页，都要用到FTP服务。

    Telnet：它是一种用于远程登陆的端口，用户可以以自己的身份远程连接到计算机上，通过这种端口可以提供一种基于DOS模式下的通信服务。如以前的BBS是纯字符界面的，支持BBS的服务器将23端口打开，对外提供服务。

    SMTP：

    定义了简单邮件传送协议，现在很多邮件服务器都用的是这个协议，用于发送邮件。如常用的免费邮件服务中是用的这种邮件服务端口，所以在电子邮件设置中常看到有这么SMTP端口设置这个栏，服务器开放的是25端口。

    POP3：它是和SMTP对应，POP3用于接收邮件。通常情况下，POP3协议所用的是110端口。也是说，只要你有相应的使用POP3协议的程序（例如Foxmail或Outlook），就可以不以Web方式登陆进邮箱界面（如是163邮箱就没有必要先进入网易网站，再进入自己的邮箱来收信），直接用邮件程序就可以收到邮件。

　 使用UDP协议的常见端口：

    HTTP：

    这是大家用得最多的协议，它就是常说的“超文本传输协议”。上网浏览网页时，就得在提供网页资源的计算机上打开其80端口以提供服务。常说“WWW服务”、“Web服务器”是用的这个端口。

    DNS：

    用于域名解析服务，这种服务在Windows NT系统中用得最多的。因特网上的每一台计算机都有一个网络地址与之对应，这个地址是常说的IP地址，它以纯数字的形式表示。然而这却不便记忆，于是出现了域名，访问计算机的时候只需要知道域名，域名和IP地址之间的变换由DNS服务器来完成。DNS用的是53端口。

    SNMP：

    简单网络管理协议，使用161端口，是用来管理网络设备的。由于网络设备很多，无连接的服务就体现出其优势。

    OICQ

    OICQ程序既接受服务，又提供服务，这样两个聊天的人才是平等的。OICQ用的是无连接的协议，也是说它用的是UDP协议，其服务器使用8000端口，侦听是否有信息到来，客户端使用4000端口，向外发送信息。如果上述两个端口正在使用（有很多人同时和几个好友聊天），就顺序往上加。