Welches Protokoll verwendet TCP-Port 80? Was sind Computernetzwerk-Ports? Sender- und Empfängerports

Zur Kommunikation mit Anwendungen, die auf anderen Netzwerkhosts ausgeführt werden (sowie mit anderen Anwendungen auf demselben Host).

Die Grundregel, die zum Verständnis der Funktionsweise des Ports erforderlich ist: 1) Der Port kann nur von einem Programm belegt sein und kann in diesem Moment nicht von einem anderen Programm verwendet werden. 2) Alle Programme nutzen Ports, um über das Netzwerk miteinander zu kommunizieren.

Für jedes der TCP- und UDP-Protokolle spezifiziert der Standard die Möglichkeit, gleichzeitig bis zu 65536 eindeutige Ports auf einem Host zuzuweisen, die durch Nummern von 0 bis 65535 identifiziert werden. Bei der Übertragung über ein Netzwerk wird die Portnummer im Paket-Header verwendet ( zusammen mit der Host-IP-Adresse), um eine bestimmte Anwendung (und eine bestimmte zu ihr gehörende Netzwerkverbindung) anzusprechen.

Portnummern

TCP-Ports überschneiden sich nicht mit UDP-Ports. Das heißt, der TCP-Port 1234 stört den UDP-Verkehr über Port 1234 nicht.

Eine Reihe von Portnummern sind standardisiert (siehe Liste der TCP- und UDP-Ports). Die Liste wird von der gemeinnützigen Organisation IANA geführt.

Auf den meisten UNIX-ähnlichen Betriebssystemen erfordert das Abhören der Ports mit den Nummern 0-1023 (von denen fast alle registriert sind) besondere Berechtigungen. Jeder der verbleibenden Ports kann vom ersten Prozess, der ihn angefordert hat, belegt werden. Allerdings sind weit mehr Nummern als 1024 registriert.

Kurze Liste der Portnummern

Es wird davon ausgegangen, dass TCP verwendet wird, sofern nicht anders angegeben.

DISCARD: 9, Port verwerfen (RFC 863)
FTP: 21 für Befehle, 20 für Daten
SSH: 22 (Fernzugriff)
Telnet: 23 (Fernzugriff)
SMTP: 25, 465, 587
isserver: 3055
XMPP (Jabber): 5222/5223 – Client-Server, 5269 – Server-Server
Traceroute: über 33434 (UDP) (einige Quellen geben an, dass es ausreicht, einen Portbereich von 33434 bis 33534 anzugeben)

Sender- und Empfängerports

TCP- oder UDP-Pakete enthalten immer zwei Portnummernfelder: Quelle und Ziel. Die Art des Dienstprogramms wird durch den Empfängerport eingehender Anfragen bestimmt, und die gleiche Nummer ist der Absenderport von Antworten. Der „Reverse“-Port (Port des Absenders von Anfragen, auch Port des Empfängers von Antworten genannt) wird bei der Verbindung über TCP willkürlich vom Client bestimmt (Nummern unter 1024 und bereits belegte Ports werden jedoch nicht vergeben) und ist für den Benutzer uninteressant. Die Verwendung von Reverse-Port-Nummern in UDP ist abhängig von der Implementierung.

Anmerkungen

Wikimedia-Stiftung. 2010.

Sehen Sie, was „Port (TCP/IP)“ in anderen Wörterbüchern ist:

Name: Transport Control Protocol Layer (OSI-Modell): Transportfamilie: TCP/IP Port/ID: 6/IP Spezifikation: RFC 793 / STD 7 Hauptimplementierungen ... Wikipedia

Hafen: Wiktionary hat einen Eintrag für „Hafen“ (lateinisch portus „Hafen“, „Pier“) ... Wikipedia

Name: Transmission Control Protocol Layer (OSI-Modell): Transportfamilie: TCP/IP Port/ID: 6/IP Spezifikation: RFC 793 / STD 7 Hauptimplementierungen: Linux, Windows Erweiterbarkeit ... Wikipedia

TCP/IP-Protokollstapel (englisch Transmission Control Protocol/Internet Protocol) eingestellt Netzwerkprotokolle verschiedene Ebenen des in Netzwerken verwendeten DOD-Netzwerkmodells. Protokolle arbeiten untereinander in einem Stapel (englisch stack, stack) ... ... Wikipedia

Eine TCP-Portnummer, die einen Prozess oder eine Anwendung innerhalb eines Computers identifiziert. Für Clientanwendungen wird die Portnummer dynamisch vom Betriebssystem zugewiesen. Bei Softwareservern ändern sich die Portnummern nicht und werden vom Internet vorgegeben... ... Finanzwörterbuch

Der Netzwerkport ist ein Parameter der UDP-Protokolle, der den Zweck von Datenpaketen im Format bestimmt. Dies ist eine bedingte Zahl von 0 bis 65535, die es verschiedenen Programmen, die auf demselben Host laufen, ermöglicht, Daten unabhängig voneinander zu empfangen (so bereitgestellt .. . ... Wikipedia

Über Computernetzwerkanschlüsse.

Der Artikel beschreibt klar und deutlich, was ein Systemport ist, warum Programme ihn benötigen, wie und welche Geräte Ports für die Kommunikation im Netzwerk nutzen und welche Ports mit der Sicherheit Ihrer Daten zu tun haben. Einführungsartikel; Wir werden ein anderes Mal darüber sprechen, wie man Systemports überwacht, richtig konfiguriert und scannt, Fehler vermeidet und versteht, was passiert.

Computernetzwerkanschlüsse: Was sind sie?

Sobald Computer über ein Netzwerk Informationen austauschen wollen, öffnen sie sich sofort Informationsportale zum Tausch. In der Netzwerkarchitektur basiert die Kommunikation zwischen zwei beliebigen Systemen auf fünf unveränderliche Prinzipien. Damit die Daten vom Punkt „fliegen“. A genau B, sollte bekannt sein:

IP-Adresse der Informationsquelle
Empfänger-IP-Adresse
Protokoll, über das Geräte kommunizieren
Quellübertragungsport
und der vom RFC793-Transportprotokoll verwendete Zielport

Hafen- Dies ist eine Art virtuelle Erweiterung, eine Ergänzung zu Netzwerkadresse(als Zusatz in Zahlen zum Namen der Straße oder des Hauses an der Adresse, an der Sie wohnen). Der Postbote kommt in Ihre Straße, stellt den Brief aber nicht zu – er weiß nicht, an wen, weil er die Wohnungsnummer nicht kennt. Die Informationen erreichen Ihren Computer also über IP, aber ohne die richtige Portnummer gelangen die Informationen nicht zum Computer. Der Computer versteht einfach nicht, wie er es mit welcher Anwendung verarbeiten soll. Computernetzwerkanschlüsse– Dies sind Pfade zwischen Diensten und denen, die auf dem Computer installiert sind Betriebssystem und Mutter/Schwester-Prozesse auf Host-Computern, die manchmal Tausende von Kilometern von Ihnen entfernt sind.

Übrigens, . Hierbei handelt es sich um physische Anschlüsse, die im Gegensatz zu den beschriebenen berührt werden können. Ihre Funktion ist jedoch im Wesentlichen dieselbe: Alle Ports sind darauf ausgelegt, Informationen von anderen Geräten zu empfangen.

Transportprotokolle (die gebräuchlichsten und am häufigsten verwendeten sind TCP und UDP) dringen in den Computer ein und verwenden in der Nachricht unter anderem Zahlen aus der Gesamtzahl der Ports. Wenn eine Anwendung mit einem anderen Gerät kommunizieren möchte, fordert sie das lokale Betriebssystem direkt auf, einen Kanal für die Übertragung zu öffnen. Anwendungen, die über beide Protokolle (UDP und TCP) kommunizieren können, können hierfür denselben Port verwenden, diese Bedingung ist jedoch nicht erforderlich.

Was sind Computeranschlüsse: Wie viele gibt es?

Die genaue Anzahl der Ports an einem Computer beträgt 65 535 . Und sie haben ihre eigene Abstufung. Also Ports mit Nummern bis zu 1023 Linux- und Unix-ähnliche Betriebssysteme gelten als „kritische“ Systeme für den Netzwerkbetrieb, weshalb häufig der Zugriff auf sie und die damit verbundenen Dienste erforderlich ist Wurzel Rechte. Windows betrachtet sie auch als Systemdateien und überwacht sie genau.

Häfen von 1024 Vor 49151 sind als „zur Anmeldung bereit“ gekennzeichnet. Dies bedeutet, dass diese Ports für bestimmte Dienste reserviert sind oder reserviert werden können. Glücklicherweise oder leider sind sie diesen Diensten nicht durch strenge Regeln zugeordnet, können aber einen Schlüssel zur Erkennung liefern laufendes Programm auf der Gastgeberseite. Der Rest (ab 49152 )-Ports sind nicht registriert und werden nach Ermessen der Betriebssystembenutzer verwendet. Sie werden als „dynamische“ Ports bezeichnet. Daher ist es oft einfach nutzlos, sich daran zu erinnern, welcher Port welchem Dienst zugeordnet ist (zumindest heute; die Situation kann sich jedoch ändern). Es gibt jedoch eine Liste von Ports, die „seit jeher“ von bestimmten Diensten genutzt wurden:

20 : FTP-Daten
21 : FTP-Steuerung
22 : SSH
23 : Telnet<= незащищённый, так что не рекомендуется к использованию
25 : SMTP
43 : WER IST
53 : DNS-Dienste
67 : DHCP-Dienst
68 : DHCP-Client
80 : HTTP-Verkehr<= обычный веб трафик
110 : POP3-Post
113 : Authentifizierungsdienste in IRC-Netzwerken
143 : IMAP-Mail
161 : SNMP
194 : IRC
389 :LDAP
443 : HTTPS<= защищённый сетевой трафик
587 : SMTP<= добавление сообщений
631 : CUPS-Port für virtuelle Drucker.

Es gibt noch etwas, das Sie wissen müssen, wenn Sie wissen möchten, was Computeranschlüsse sind. Hierbei handelt es sich um spezielle Begriffe, die den aktuellen Zustand von Ports im Sinne des Datenaustauschs charakterisieren. Also:

Hafen– Netzwerklokalisierung im Betriebssystem mit Zuweisung eines bestimmten Zahlenwertes für den Informationsaustausch über entsprechende Protokolle
Internet-Steckdosen- oder einfach Steckdosen– Dateideskriptoren, die die IP-Adresse und die zugehörige Portnummer sowie ein spezielles Übertragungsprotokoll angeben, das mit Daten funktioniert
Bindung– der Vorgang der Nutzung eines Internet-Sockets durch einen Dienst oder Dienst beim Senden und Empfangen von Dateien
Hören– ein Versuch, einen Dienst oder Dienst mit einer Port-/Protokoll-/IP-Adresse oder einer Kombination dieser Komponenten der Netzwerkidentifikation des Systems zu kontaktieren, um auf Anfragen des Dienst-Clients zu warten
– Überprüfung des Status von Häfen, um deren Bereitschaft für weitere Maßnahmen zu erkennen

Was sind Computeranschlüsse? Möchten Sie sie bewundern?

Die Liste der gängigen Ports ist Ihnen bekannt, einige Dienste verwenden jedoch möglicherweise einen Port, der ihnen standardmäßig nicht zugewiesen ist. Oder, was nicht ungewöhnlich ist, offene Ports werden als Hintertür für einen Angreifer genutzt. Wenn Sie sich also dazu entschließen, die Porteinstellungen selbst zu ändern, müssen Sie sicherstellen, dass sich der gesetzestreue Client und der Server finden. Andernfalls sollte man den Port von Windows blockieren lassen, die Blockierung im Router konfigurieren oder sich auf den Provider verlassen, der am Ende des Tages häufig Ports blockiert, ohne die Kundschaft gezielt zu fragen.

Sie können jetzt auf Ihrem Computer sehen, welche Ports was tun. Geben Sie im Terminal Folgendes ein:

weniger /etc/services

und scrollen Sie mit der Maus bis zum Ende. Hier sind sie in all ihrer Pracht.

Kali Linux ist in jeder Hinsicht nützlich nmap kann auch eine Liste davon anzeigen:

Weniger /usr/share/nmap/nmap-services

Wenn Sie diesen Artikel unter Windows lesen, führen Sie die Befehlskonsole als Administrator aus, um die aktuell geöffneten Ports anzuzeigen cmd und führen Sie darin den Befehl aus:

Netstat -a

Umfangreichere Ports, die unter Windows funktionieren, werden Ihnen jedoch von einem kleinen Programm namens geöffnet Prozess- und Portanalysator, das einfach online heruntergeladen werden kann. Es wird einfach und klar erklärt, welche Ports derzeit geöffnet sind und welche Programme diese Ports abhören. Hier ist eine der Dienstprogramm-Registerkarten:

Mit dem Programm können Sie ganz einfach überprüfen, wo sich dieser Prozess im System befindet und wie sicher er ist.

Computeranschlüsse und Netzwerksicherheit

Die hier beschriebenen Programme und Dienste ermöglichen es Ihnen, die speziell geöffneten Ports anzuzeigen in Ihrem Betriebssystem(Windows und Linux) für einige Programme, die bereits auf dem Computer ausgeführt werden. Bedenken Sie jedoch, dass es im Informationsübertragungssystem zwischen Ihrem Computer und einem entfernten Webserver irgendwo in den Niederlanden immer noch viele Geräte gibt, die den Datenverkehr stärker filtern, einschließlich Überwachungsports (übrigens auch den in Ihrem Zimmer-Router). Natürlich nicht deins. Es liegt jedoch an diesen Servern, zu entscheiden, ob Daten in Ihr Windows gelangen. Daran ist auch Ihr Provider beteiligt, dem Sie Geld für den Zugang zum Netzwerk zahlen, für das Blockieren von Ports aus Sicherheitsgründen oder um unnötige Netzwerkaktivitäten zu verhindern (was wäre, wenn Sie zu Hause Ihren eigenen Webserver einrichten möchten? – das wird nicht funktionieren) funktioniert nicht).

Warum wird das gemacht? Lassen Sie mich die Analogie mit Häusern und Straßen fortsetzen. Stellen Sie sich vor, Sie haben sich entschieden, eine Garage für Ihr Auto zu kaufen (Computer) in einer nahegelegenen Genossenschaft. Das erste, was zu tun ist, besteht darin, die Unfähigkeit, die Räumlichkeiten zu betreten, zu schützen und zu verstärken: Installieren Sie gute Türen und installieren Sie zuverlässige Schlösser (Häfen schließen). Aber was können Sie sonst noch tun? Jemand stellt einen Wecker (spezielle Netzwerkscanner zur Überprüfung des Status von Ports). Sparen Sie Geld und installieren Sie einen zusätzlichen Zaun mit Tor (Router miteingebaut Firewall), sodass Sie ein Motorrad darin abstellen können (Tablette). Und damit die Rasenflächen nicht durch Lastwagen verunstaltet werden, ist das Brett seinerseits (Anbieter) installierte eine automatische Schranke (Netzwerk Anti- Filter): Alles scheint offen zu sein, aber ein Fremder kommt nicht vorbei. Usw…

Wenn Sie jedoch herausfinden möchten, wie Ihr Computer im globalen Netzwerk sichtbar ist (z. B. für Angreifer, die Ihre Stärke testen wollen), sind die hier beschriebenen Methoden völlig ungeeignet. Wir werden dieses Thema in zukünftigen Artikeln weiterentwickeln.

Gelesen: 2.419

Transportschicht

Die Aufgabe der Transportschicht besteht darin, Daten zwischen verschiedenen Anwendungen zu übertragen, die auf allen Netzwerkknoten ausgeführt werden. Nachdem das Paket per IP an den empfangenden Computer übermittelt wurde, müssen die Daten an einen speziellen Empfängerprozess gesendet werden. Jeder Computer kann mehrere Prozesse ausführen und eine Anwendung kann mehrere Einstiegspunkte haben, die als Ziel für Datenpakete fungieren.

Pakete, die auf der Transportschicht des Betriebssystems ankommen, werden an den Eingangspunkten verschiedener Anwendungen in mehreren Warteschlangen organisiert. In der TCP/IP-Terminologie werden diese Einstiegspunkte Ports genannt.

Übertragungskontrollprotokoll

Übertragungskontrollprotokoll(TCP) (Transmission Control Protocol) ist ein obligatorisches Protokoll des TCP/IP-Standards, definiert in RFC 793, „Transmission Control Protocol (TCP)“.

TCP ist ein Transportschichtprotokoll, das den Transport (Übertragung) eines Datenstroms ermöglicht, wobei zunächst eine Verbindung hergestellt werden muss, wodurch das Vertrauen in die Integrität der empfangenen Daten gewährleistet wird und im Falle eines Datenverlusts auch eine wiederholte Datenanforderung durchgeführt wird oder Korruption. Darüber hinaus überwacht das TCP-Protokoll doppelte Pakete und vernichtet sie, wenn sie erkannt werden.

Im Gegensatz zum UDP-Protokoll garantiert es die Integrität der übertragenen Daten und die Bestätigung des Absenders über die Ergebnisse der Übertragung. Wird bei Dateiübertragungen verwendet, bei denen der Verlust eines Pakets die gesamte Datei beschädigen kann.

TCP erreicht seine Zuverlässigkeit durch:

Daten aus der Anwendung werden in Blöcke einer bestimmten Größe unterteilt, die gesendet werden.
Wenn TCP ein Segment sendet, stellt es einen Timer ein und wartet auf eine Bestätigung dieses Segments vom entfernten Ende. Wenn nach Ablauf der Zeit keine Bestätigung empfangen wird, wird das Segment erneut übertragen.
Wenn TCP Daten von der Gegenseite der Verbindung empfängt, sendet es eine Bestätigung. Diese Bestätigung wird nicht sofort gesendet, sondern normalerweise um den Bruchteil einer Sekunde verzögert.
TCP berechnet eine Prüfsumme für seinen Header und seine Daten. Hierbei handelt es sich um eine Prüfsumme, die an den Enden der Verbindung berechnet wird und deren Zweck darin besteht, etwaige Datenänderungen während der Übertragung zu erkennen. Wenn ein Segment mit einer falschen Prüfsumme eintrifft, verwirft TCP es und es wird keine Bestätigung generiert. (Es wird erwartet, dass der Absender eine Zeitüberschreitung durchführt und erneut überträgt.)
Da TCP-Segmente als IP-Datagramme übertragen werden und IP-Datagramme zufällig eintreffen können, können TCP-Segmente auch zufällig eintreffen. Nach dem Empfang der Daten kann TCP diese nach Bedarf neu sequenzieren, sodass die Anwendung die Daten in der richtigen Reihenfolge empfängt.
Da ein IP-Datagramm dupliziert werden kann, muss der empfangende TCP die duplizierten Daten verwerfen.
TCP bietet Flusskontrolle. Jede Seite einer TCP-Verbindung verfügt über einen bestimmten Pufferbereich. TCP auf der Empfangsseite erlaubt der Gegenseite nur dann, Daten zu senden, wenn der Empfänger sie in einen Puffer unterbringen kann. Dadurch wird verhindert, dass langsame Hosts ihre Puffer durch schnelle Hosts überlaufen lassen.

Die Sequenznummer dient zwei Zwecken:

Wenn das SYN-Flag gesetzt ist, ist dies der Anfangswert der Sequenznummer – ISN (Initial Sequence Number), und das erste Datenbyte, das im nächsten Paket übertragen wird, hat eine Sequenznummer gleich ISN + 1.
Andernfalls, wenn SYN nicht festgelegt ist, hat das erste in einem bestimmten Paket übertragene Datenbyte diese Sequenznummer.

Bestätigungsnummer – Wenn das ACK-Flag gesetzt ist, enthält dieses Feld die Sequenznummer, die der Empfänger beim nächsten Mal erwartet. Markiert dieses Segment als Empfangsbestätigung.
Die Headerlänge wird in 32-Bit-Wörtern angegeben.
Die Fenstergröße ist die Anzahl der Bytes, die der Empfänger ohne Bestätigung empfangen kann.
Prüfsumme – umfasst Pseudo-Header, Header und Daten.
Dringlichkeitsindikator – zeigt das letzte Byte dringender Daten an, auf die sofort reagiert werden muss.
URG – Dringlichkeitsflag, enthält das Feld „Urgency Indicator“; wenn =0, dann wird das Feld ignoriert.
ACK – Bestätigungsflag, enthält das Feld „Bestätigungsnummer“. Wenn =0, wird das Feld ignoriert.
PSH – das Flag erfordert einen Push-Vorgang, das TCP-Modul muss das Paket dringend an das Programm übertragen.
RST – Verbindungsunterbrechungsflag, wird verwendet, um eine Verbindung abzulehnen
SYN – Sequenznummer-Synchronisierungsflag, das beim Verbindungsaufbau verwendet wird.
FIN – Flag für das Ende der Übertragung auf der Seite des Absenders

Schauen wir uns die Header-Struktur an TCP mit dem Wireshark-Netzwerkanalysator:

TCP-Ports

Da mehrere Programme auf demselben Computer ausgeführt werden können, wird zur Übermittlung eines TCP-Pakets an ein bestimmtes Programm die eindeutige Kennung oder Portnummer jedes Programms verwendet.

Port-Nummer ist eine bedingte 16-Bit-Zahl von 1 bis 65535, die angibt, für welches Programm das Paket bestimmt ist.

TCP-Ports verwenden einen bestimmten Programmport, um Daten zu übermitteln, die über das Transmission Control Protocol (TCP) übertragen werden. TCP-Ports sind komplexer und funktionieren anders als UDP-Ports. Während ein UDP-Port als einzelne Nachrichtenwarteschlange und als Einstiegspunkt für eine UDP-Verbindung fungiert, ist der letzte Einstiegspunkt für alle TCP-Verbindungen eine eindeutige Verbindung. Jede TCP-Verbindung wird durch zwei Einstiegspunkte eindeutig identifiziert.

Jeder einzelne TCP-Server-Port kann gemeinsamen Zugriff auf mehrere Verbindungen bieten, da alle TCP-Verbindungen durch zwei Werte identifiziert werden: eine IP-Adresse und einen TCP-Port (Socket).

Alle TCP-Portnummern, die kleiner als 1024 sind, sind reserviert und bei der Internet Assigned Numbers Authority (IANA) registriert.

UDP- und TCP-Portnummern überschneiden sich nicht.

TCP-Programme verwenden reservierte oder bekannte Portnummern, wie in der folgenden Abbildung dargestellt.

Aufbau einer TCP-Verbindung

Sehen wir uns nun an, wie TCP-Verbindungen hergestellt werden. Angenommen, ein Prozess, der auf einem Host läuft, möchte eine Verbindung mit einem anderen Prozess auf einem anderen Host herstellen. Denken Sie daran, dass der Host, der die Verbindung initiiert, als „Client“ bezeichnet wird, während der andere Host als „Server“ bezeichnet wird.

Bevor Daten übertragen werden, müssen die Parteien gemäß dem TCP-Protokoll eine Verbindung herstellen. Der Verbindungsaufbau erfolgt in drei Schritten (TCP „Triple Handshake“-Verfahren).

Der Anforderer (normalerweise Client genannt) sendet ein SYN-Segment, das die Portnummer des Servers angibt, mit dem der Client eine Verbindung herstellen möchte, sowie die ursprüngliche Sequenznummer (ISN) des Clients.
Der Server antwortet mit seinem SYN-Segment, das die ursprüngliche Sequenznummer des Servers enthält. Der Server bestätigt auch die Ankunft des SYN des Clients mit ACK (ISN + 1). Pro SYN wird eine einzelne Sequenznummer verwendet.
Der Client muss die Ankunft eines SYN vom Server bestätigen, wobei seine SYN-Segmente die ursprüngliche Sequenznummer des Clients (ISN+1) enthalten und ein ACK (ISN+1) verwenden. Das SYN-Bit ist auf 0 gesetzt, da die Verbindung hergestellt ist.

Sobald die TCP-Verbindung hergestellt ist, können diese beiden Hosts Daten untereinander übertragen. Da es sich bei der TCP-Verbindung um eine Vollduplex-Verbindung handelt, können sie gleichzeitig Daten übertragen.

Knapp Liste der Ports:
1. DISCARD: Port verwerfen (RFC 863)
2. FTP: 21 für Befehle, 20 für Daten
3. SSH: 22 (Fernzugriff)
4. Telnet: 23 (Fernzugriff)
5. SMTP: 25, 587
6. DNS: 53 (UDP)
7.DHCP: 67, 68/UDP
8. TFTP: 69/UDP
9. HTTP: 80, 8080
10.POP3: 110
11. NTP: 123 (Zeitserver) (UDP)
12. IMAP: 143
13. SNMP: 161
14. HTTPS: 443
15. MySQL: 3306
16. Iserver: 3055
17. RDP: 3389 (Fernzugriff)
18. OSCAR (ICQ): 5190
19. XMPP (Jabber): 5222/5223/5269
20. Traceroute: über 33434 (UDP)
21. BitTorrent: 6969, 6881-6889
...

Beschreibung:

1. RFC 863 – Drop-Protokoll
Dieses Dokument enthält einen Standard für die ARPA-Internet-Community. Von ARPA-Internet-Hosts, die sich für die Unterstützung des Discard-Protokolls entscheiden, wird erwartet, dass sie dieser Spezifikation entsprechen. Discard ist ein nützliches Werkzeug für Messungen und Debugging. Dieser Dienst verwirft einfach alle empfangenen Daten.
Der TCPO-basierte Discard-Service ist eine der Discard-Service-Varianten, die auf Basis von TCP implementiert werden. Der Server lauscht auf Port 9 auf TCP-Verbindungen. Sobald die Verbindung hergestellt ist, werden alle darüber empfangenen Daten verworfen, ohne dass Antworten gesendet werden. Das Verwerfen der Daten wird fortgesetzt, bis die Verbindung vom Benutzer beendet wird.
UDP-basierter Discard-Dienst – Eine weitere Variante des Discard-Dienstes basiert auf UDP. Der Server lauscht auf Port 9 auf UDP-Datagramme und verwirft bei Erkennung die empfangenen Datagramme, ohne irgendwelche Informationen zu übertragen.

2. FTP (File Transfer Protocol) ist ein Protokoll zur Übertragung von Dateien über Computernetzwerke. Mit FTP können Sie eine Verbindung zu FTP-Servern herstellen, Verzeichnisinhalte anzeigen und Dateien von oder auf einen Server herunterladen. Darüber hinaus ist ein Dateiübertragungsmodus zwischen Servern möglich.
Der serverseitig geöffnete Ausgangsport 20 dient der Datenübertragung, Port 21 der Befehlsübertragung.

3. SSH (englisch: Secure SHell – „sichere Shell“) – ein Netzwerkprotokoll auf Sitzungsebene, das die Fernsteuerung des Betriebssystems und das Tunneln von TCP-Verbindungen (z. B. für die Dateiübertragung) ermöglicht. Port 22 wird für die Fernverwaltung verwendet über Client-Programme SSH-Protokoll (SSH - Secure Shell) Sie können es schließen, indem Sie das Serversteuerungsprogramm deaktivieren.

4. TELNET (englisch TERminaL NETwork) – ein Netzwerkprotokoll zur Implementierung einer Textschnittstelle über das Netzwerk (in seiner modernen Form – unter Verwendung von TCP-Transport).

5. SMTP (Simple Mail Transfer Protocol) ist ein Netzwerkprotokoll zur Übertragung von E-Mails über TCP/IP-Netzwerke. Um über das SMTP-Protokoll zu arbeiten, stellt der Client über Port 25 eine TCP-Verbindung zum Server her.
Manchmal verbieten Anbieter das Senden von E-Mails über Port 25 und zwingen den Client, nur ihre SMTP-Server zu verwenden. Aber wie Sie wissen, gibt es eine List...
Standardmäßig funktioniert Postfix nur auf Port 25. Sie können es jedoch auf Port 587 zum Laufen bringen. Dazu müssen Sie lediglich die Zeile in der Datei /etc/postfix/master.cf auskommentieren:
Einreichung inet n - - - - smtpd

6. DNS (englisch: Domain Name System) ist ein verteiltes Computersystem zum Abrufen von Informationen über Domänen. Das DNS-Protokoll verwendet den TCP- oder UDP-Port 53, um auf Anfragen zu antworten.

7. DHCP (Dynamic Host Configuration Protocol) ist ein Netzwerkprotokoll, das es Computern ermöglicht, automatisch eine IP-Adresse und andere Parameter zu erhalten, die für den Betrieb in einem TCP/IP-Netzwerk erforderlich sind. Dieses Protokoll basiert auf einem Client-Server-Modell. Zur automatischen Konfiguration kontaktiert der Client-Computer in der Konfigurationsphase des Netzwerkgeräts den sogenannten DHCP-Server und erhält von diesem die notwendigen Parameter. Der Netzwerkadministrator kann den Adressbereich festlegen, der vom Server an die Computer verteilt wird. Dadurch können Sie die manuelle Konfiguration von Netzwerkcomputern vermeiden und die Fehleranzahl reduzieren. Das DHCP-Protokoll wird in den meisten TCP/IP-Netzwerken verwendet. Das DHCP-Protokoll ist ein Client-Server-Protokoll, das heißt, es umfasst einen DHCP-Client und einen DHCP-Server. Die Datenübertragung erfolgt über das UDP-Protokoll, wobei der Server Nachrichten von Clients auf Port 67 empfängt und Nachrichten an Clients auf Port 68 sendet.

8. TFTP (englisches Trivial File Transfer Protocol) wird hauptsächlich für den ersten Start von Workstations ohne Festplatte verwendet. TFTP enthält im Gegensatz zu FTP keine Authentifizierungsfunktionen (obwohl eine Filterung nach IP-Adresse möglich ist) und basiert auf dem UDP-Transportprotokoll.

9. HTTP (abgekürzt vom englischen HyperText Transfer Protocol – „Hypertext Transfer Protocol“) – ein Protokoll auf Anwendungsebene für die Datenübertragung (ursprünglich in Form von Hypertext-Dokumenten). Port 80 ist der Port von Webservern. Ports 80-83 sind für die Arbeit über das HTTP-Protokoll verantwortlich.

10. POP3. Port 110 (Opera POP3-Verbindung) ist für den Versand und Empfang von E-Mails zuständig.

11. Network Time Protocol (NTP) – ein Netzwerkprotokoll zur Synchronisierung der internen Uhr des Computers über Netzwerke mit variabler Latenz. Das Einrichten des Zeitdienstes (NTP) in Windows 2003/2008/2008 R2 ... mit der Quelle erfolgt über das NTP-Protokoll - 123 UDP-Port.

12. IMAP (Internet Message Access Protocol) ist ein Protokoll der Anwendungsschicht für den Zugriff auf E-Mails. Es basiert auf dem TCP-Transportprotokoll und verwendet Port 143.

13. SNMP (Simple Network Management Protocol) ist ein Kommunikationsnetzwerk-Managementprotokoll, das auf der UDP-Architektur basiert. Geräte, die normalerweise SNMP unterstützen, sind Router, Switches, Server, Workstations, Drucker, Modems usw. SNMP-Dienst:
Verwendet die Windows Sockets-API.
Sendet und empfängt Nachrichten über UDP (Port 161) und verwendet IP zur Unterstützung des SNMP-Nachrichtenroutings.
Enthält zusätzliche Bibliotheken (DLLs) zur Unterstützung nicht standardmäßiger MIBs.
Enthält die Microsoft Win32 SNMP Manager-API zur Vereinfachung der SNMP-Anwendungsentwicklung.

14. HTTPS (Hypertext Transfer Protocol Secure) – eine Erweiterung des HTTP-Protokolls, das Verschlüsselung unterstützt. Über das HTTPS-Protokoll übertragene Daten werden im kryptografischen Protokoll SSL oder TLS „verpackt“, wodurch der Schutz dieser Daten gewährleistet ist. Im Gegensatz zu HTTP verwendet HTTPS standardmäßig den TCP-Port 443.

15. MySQL ist ein kostenloses Datenbankverwaltungssystem. EINS, ABER MySQL funktioniert nicht. (FUNKTIONIERT NACH n ZEIT NICHT mehr)

16. 3055-lokales Netzwerk.

17. RDP (englisch: Remote Desktop Protocol) ist ein proprietäres Protokoll auf Anwendungsebene, das Microsoft von Citrix erworben hat und das die Remote-Benutzerarbeit mit einem Server gewährleistet, auf dem der Terminalverbindungsdienst ausgeführt wird. Es gibt Clients für fast alle Versionen von Windows (einschließlich Windows CE und Mobile), Linux, FreeBSD, Mac OS X, Android und Symbian. Der Standardport ist TCP 3389.

18. ICQ-Server.

19. XMPP (Extensible Messaging and Presence Protocol), früher bekannt als Jabber.
5222/5223 – Client-Server, 5269 – Server.

20. Traceroute ist ein Computer-Dienstprogramm zur Ermittlung von Datenrouten in TCP/IP-Netzwerken. (Einige Quellen geben an, dass es ausreicht, den Portbereich von 33434 bis 33534 anzugeben.)

21. BitTórrent (wörtl. englisch „Bitstream“) – Peer-to-Peer (P2P)-Netzwerkprotokoll für kooperativen Dateiaustausch über das Internet. 6969, 6881-6889 Ports für den Zugriff von Torrent-Clients.

20:11:35 20

Netzwerkports können wichtige Informationen über die Anwendungen liefern, die über das Netzwerk auf Computer zugreifen. Indem Sie die Anwendungen kennen, die das Netzwerk nutzen, und die entsprechenden Netzwerkports, können Sie präzise Firewall-Regeln erstellen und Host-Computer so konfigurieren, dass sie nur nützlichen Datenverkehr zulassen. Durch die Erstellung eines Netzwerkprofils und den Einsatz von Tools zur Erkennung des Netzwerkverkehrs können Sie Eindringlinge effektiver erkennen – manchmal einfach durch die Analyse des von ihnen erzeugten Netzwerkverkehrs. Wir haben begonnen, uns mit diesem Thema im ersten Teil des Artikels zu befassen, der in der vorherigen Ausgabe des Magazins veröffentlicht wurde. Es lieferte grundlegende Informationen über TCP/IP-Ports als Grundlage der Netzwerksicherheit. In Teil 2 werden einige Netzwerk- und Hostmethoden beschrieben, mit denen Anwendungen identifiziert werden können, die ein Netzwerk überwachen. Später in diesem Artikel werden wir darüber sprechen, wie der durch das Netzwerk fließende Datenverkehr ausgewertet wird.

Blockieren von Netzwerkanwendungen

Netzwerkangriffsfläche ist ein gebräuchlicher Begriff zur Beschreibung von Netzwerkschwachstellen. Viele Netzwerkangriffe erfolgen über anfällige Anwendungen, und die Angriffsfläche kann erheblich reduziert werden, indem die Anzahl aktiver Anwendungen im Netzwerk verringert wird. Mit anderen Worten: Sie sollten ungenutzte Dienste deaktivieren, eine Firewall auf dem dedizierten System installieren, um die Legitimität des Datenverkehrs zu überprüfen, und eine umfassende Zugriffskontrollliste (ACL) für die Firewall am Netzwerkperimeter erstellen.

Jeder offene Netzwerkport stellt eine Anwendung dar, die das Netzwerk überwacht. Die Angriffsfläche jedes mit dem Netzwerk verbundenen Servers kann durch die Deaktivierung aller nicht wesentlichen Netzwerkdienste und -anwendungen verringert werden. Windows Server 2003 ist früheren Versionen des Betriebssystems überlegen, da es standardmäßig weniger Netzwerkdienste aktiviert. Dennoch ist eine Prüfung erforderlich, um neu installierte Anwendungen und Konfigurationsänderungen zu erkennen, die unnötige Netzwerkports öffnen.

Jeder offene Port ist eine potenzielle Hintertür für Angreifer, um Bereiche in der Host-Anwendung auszunutzen oder heimlich mit dem Namen und Passwort eines anderen Benutzers auf die Anwendung zuzugreifen (oder eine andere legitime Authentifizierungsmethode zu verwenden). In jedem Fall besteht ein wichtiger erster Schritt zum Schutz Ihres Netzwerks darin, nicht verwendete Netzwerkanwendungen einfach zu deaktivieren.

Port-Scanning

Beim Port-Scanning werden lauschende Anwendungen erkannt, indem die Netzwerk-Ports eines Computers oder eines anderen Netzwerkgeräts aktiv abgefragt werden. Durch die Möglichkeit, Scan-Ergebnisse zu lesen und Netzwerkberichte mit Host-Port-Abfrageergebnissen zu vergleichen, erhalten Sie ein klares Bild des durch Ihr Netzwerk fließenden Datenverkehrs. Kenntnisse der Netzwerktopologie sind wichtig für die Erstellung eines strategischen Plans zum Scannen bestimmter Bereiche. Durch das Scannen einer Reihe externer IP-Adressen können Sie beispielsweise wertvolle Daten über einen Internet-Angreifer sammeln. Daher sollten Sie Ihr Netzwerk häufiger scannen und alle unnötigen Netzwerkports schließen.

Durch das Scannen externer Firewall-Ports können alle antwortenden Dienste (z. B. das Web oder E-Mail) erkannt werden, die auf internen Servern gehostet werden. Auch diese Server sollten geschützt werden. Konfigurieren Sie einen bekannten Port-Scanner (z. B. Network Mapper – Nmap), um die gewünschte Gruppe von UDP- oder TCP-Ports zu scannen. Aufgrund des tieferen Feedbacks der verbindungsorientierten Protokolle von TCP ist das Scannen von TCP-Ports in der Regel zuverlässiger als das Scannen von UDP. Es gibt Versionen von Nmap sowohl für Windows als auch für Unix. Das Starten eines einfachen Scans ist einfach, obwohl das Programm weitaus erweiterte Funktionen bietet. Um offene Ports auf dem Testcomputer zu finden, habe ich den Befehl ausgeführt

Nmap 192.168.0.161

Bildschirm 1 zeigt die Ergebnisse einer Scansitzung – in diesem Fall ein Windows 2003-Computer in einer Standardkonfiguration. Die beim Port-Scan gesammelten Daten zeigen, dass sechs offene TCP-Ports vorhanden sind.

Bildschirm 1: Grundlegende Nmap-Scansitzung

Port 135 wird von der RPC-Endpunktzuordnungsfunktion verwendet, die in vielen Windows-Technologien wie COM/DCOM-Anwendungen, DFS, Ereignisprotokollierung, Dateireplikation, Nachrichtenwarteschlange und Microsoft Outlook zu finden ist. Dieser Port sollte von der Netzwerk-Perimeter-Firewall blockiert werden, es ist jedoch schwierig, ihn zu blockieren und trotzdem die Windows-Funktionalität aufrechtzuerhalten.
Port 139 wird vom NetBIOS-Sitzungsdienst verwendet, der den Browser „Andere Computer suchen“, Dateifreigabedienste, Net Logon und den Serverdienst aktiviert. Es ist schwierig zu schließen, genau wie Port 135.
Port 445 wird von Windows für die Dateifreigabe verwendet. Um diesen Port zu schließen, müssen Sie die Datei- und Druckerfreigabe für Microsoft-Netzwerke blockieren. Das Schließen dieses Ports hindert den Computer nicht daran, eine Verbindung zu anderen Remote-Ressourcen herzustellen; Andere Computer können sich jedoch nicht mit diesem System verbinden.
Die Ports 1025 und 1026 werden dynamisch geöffnet und von anderen Windows-Systemprozessen, insbesondere verschiedenen Diensten, verwendet.
Port 3389 wird von Remote Desktop verwendet, der standardmäßig nicht aktiviert ist, aber auf meinem Testcomputer aktiv ist. Um den Port zu schließen, gehen Sie im Dialogfeld „Systemeigenschaften“ zur Registerkarte „Remote“ und deaktivieren Sie das Kontrollkästchen „Benutzern erlauben, eine Remoteverbindung zu diesem Computer herzustellen“.

Achten Sie darauf, nach offenen UDP-Ports zu suchen und unnötige zu schließen. Das Scanprogramm zeigt die offenen Ports des Computers an, die vom Netzwerk aus sichtbar sind. Ähnliche Ergebnisse können mit Tools erzielt werden, die sich auf dem Hostsystem befinden.

Host-Scan

Zusätzlich zur Verwendung eines Netzwerk-Port-Scanners können offene Ports auf dem Host-System mit dem folgenden Befehl (auf dem Host-System ausführen) erkannt werden:

Netstat -an

Dieser Befehl funktioniert sowohl unter Windows als auch unter UNIX. Netstat stellt eine Liste der aktiven Ports auf einem Computer bereit. Unter Windows 2003 und Windows XP müssen Sie die Option -o hinzufügen, um die entsprechende Programmkennung (PID) zu erhalten. Abbildung 2 zeigt die Netstat-Ausgabe für denselben Computer, der zuvor einem Port-Scan unterzogen wurde. Bitte beachten Sie, dass mehrere zuvor aktive Ports geschlossen sind.

Firewall-Protokollprüfung

Eine weitere nützliche Möglichkeit, Netzwerkanwendungen zu erkennen, die Daten über das Netzwerk senden oder empfangen, besteht darin, weitere Daten im Firewall-Protokoll zu sammeln und zu analysieren. Das Verweigern von Einträgen, die Informationen vom Frontend der Firewall bereitstellen, ist aufgrund des „Lärmverkehrs“ (z. B. Würmer, Scanner, Ping-Tests), der das Internet verstopft, wahrscheinlich nicht sinnvoll. Wenn Sie jedoch erlaubte Pakete von der internen Schnittstelle protokollieren, können Sie den gesamten ein- und ausgehenden Netzwerkverkehr sehen.

Um die rohen Verkehrsdaten in Ihrem Netzwerk anzuzeigen, können Sie einen Netzwerkanalysator installieren, der eine Verbindung zum Netzwerk herstellt und alle erkannten Netzwerkpakete aufzeichnet. Der am weitesten verbreitete kostenlose Netzwerkanalysator ist Tcpdump für UNIX (die Windows-Version heißt Windump), der einfach auf Ihrem Computer installiert werden kann. Nach der Installation des Programms sollten Sie es so konfigurieren, dass es im Empfangsmodus für alle Netzwerkpakete arbeitet, um den gesamten Datenverkehr zu protokollieren. Anschließend sollten Sie es an einen Portmonitor am Netzwerk-Switch anschließen und den gesamten durch das Netzwerk fließenden Datenverkehr überwachen. Das Einrichten eines Portmonitors wird weiter unten besprochen. Tcpdump ist ein äußerst flexibles Programm, mit dem Sie den Netzwerkverkehr mithilfe spezieller Filter anzeigen und nur Informationen zu IP-Adressen und Ports oder alle Pakete anzeigen können. Es ist schwierig, Netzwerk-Dumps in großen Netzwerken ohne die Hilfe geeigneter Filter anzuzeigen, es muss jedoch darauf geachtet werden, dass keine wichtigen Daten verloren gehen.

Komponenten kombinieren

Bisher haben wir uns verschiedene Methoden und Tools angesehen, mit denen Anwendungen erkannt werden können, die das Netzwerk nutzen. Es ist an der Zeit, sie zu kombinieren und zu zeigen, wie man offene Netzwerkports ermittelt. Es ist erstaunlich, wie gesprächig Computer im Netzwerk sind! Zunächst wird empfohlen, das Microsoft-Dokument „Serviceübersicht und Netzwerkportanforderungen für das Windows Server-System“ zu lesen ( http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), in dem die Protokolle (TCP und UDP) und Portnummern aufgeführt sind, die von Anwendungen und den meisten Kerndiensten von Windows Server verwendet werden. Das Dokument beschreibt diese Dienste und die zugehörigen Netzwerkports, die sie verwenden. Wir empfehlen Ihnen, dieses hilfreiche Referenzhandbuch für Windows-Netzwerkadministratoren herunterzuladen und auszudrucken.

Einrichten eines Netzwerkanalysators

Es wurde bereits erwähnt, dass eine Möglichkeit zur Bestimmung der von Anwendungen verwendeten Ports darin besteht, den Datenverkehr zwischen Computern mithilfe eines Netzwerkanalysators zu überwachen. Um den gesamten Datenverkehr zu sehen, müssen Sie einen Netzwerkanalysator an einen Hub oder Portmonitor am Switch anschließen. Jeder Port eines Hubs sieht den gesamten Datenverkehr von jedem Computer, der mit diesem Hub verbunden ist. Hubs sind jedoch eine veraltete Technologie und die meisten Unternehmen ersetzen sie durch Switches, die eine gute Leistung bieten, aber umständlich zu analysieren sind: Jeder Switch-Port akzeptiert nur Datenverkehr, der für bestimmt ist einen Computer, der an den Hub angeschlossen ist. an diesen Port. Um das gesamte Netzwerk zu analysieren, müssen Sie den an jeden Switch-Port gesendeten Datenverkehr überwachen.

Dies erfordert die Einrichtung eines Port-Monitors (verschiedene Anbieter nennen ihn Span-Port oder gespiegelter Port) auf dem Switch. Die Installation eines Port-Monitors auf einem Cisco Catalyst-Switch von Cisco Systems ist einfach. Sie müssen sich am Switch registrieren und den Aktivierungsmodus aktivieren. Gehen Sie dann zum Konfigurieren des Terminalmodus und geben Sie die Schnittstellennummer des Switch-Ports ein, an den der gesamte überwachte Datenverkehr gesendet werden soll. Abschließend müssen Sie alle überwachten Ports angeben. Die folgenden Befehle überwachen beispielsweise drei Fast-Ethernet-Ports und leiten eine Kopie des Datenverkehrs an Port 24 weiter.

Schnittstelle FastEthernet0/24-Port-Monitor FastEthernet0/1-Port-Monitor FastEthernet0/2-Port-Monitor FastEthernet0/3-Ende

In diesem Beispiel zeigt ein an Port 24 angeschlossener Netzwerkanalysator den gesamten ausgehenden und eingehenden Datenverkehr von Computern an, die an die ersten drei Ports des Switches angeschlossen sind. Geben Sie den Befehl ein, um die erstellte Konfiguration anzuzeigen

Erinnerung schreiben

Erste Analyse

Schauen wir uns ein Beispiel für die Analyse von Daten an, die durch ein Netzwerk laufen. Wenn Sie einen Linux-Computer für die Netzwerkanalyse verwenden, können Sie sich mit einem Programm wie IPTraf im Statistikmodus ein umfassendes Verständnis über die Art und Häufigkeit von Paketen im Netzwerk verschaffen. Verkehrsdetails können mit dem Programm Tcpdump ermittelt werden.