原文連結
原文連結

協議號與埠號詳解

IP是網路層協議，IP頭中的協議號用來說明IP報文中承載的是哪種協議（一般是傳輸層協議，比如6 TCP，17 UDP；但也可能是網路層協議，比如1 ICMP；也可能是應用層協議，比如89 OSPF）。
TCP/UDP是傳輸層協議，TCP/UDP的埠號用來說明是哪種上層應用，比如TCP 80代表WWW，TCP 23代表Telnet，UDP 69代表TFTP。
目的主機收到IP包後，根據IP協議號確定送給哪個模組（TCP/UDP/ICMP…）處理，送給TCP/UDP模組的報文根據埠號確定送給哪個應用程式處理。

協議號和埠號的區別

ip協議是網路層協議，三層的，協議號標識上層是什麼協議，eg：17號表示是上層即傳輸層是udp協議，6號表示上層即傳輸層是tcp協議，89標識上層是ospf協議等等
tcp埠號表示是什麼應用，eg：80 http服務，23 telnet服務，53 dns服務
udp埠原理和tcp是一樣的。

網路層-資料包的包格式裡面有個很重要的欄位叫做協議號。比如在傳輸層如果是TCP連線，那麼在網路層IP包裡面的協議號就將會有個值是6，如果是UDP的話那個值就是17。傳輸層通過介面關聯（這一介面欄位叫做埠）應用層，詳見RFC 1700。協議號是存在於IP資料報首部的20位元組的固定部分，佔有8bit，該欄位是指出此資料報所攜帶的資料使用了何種協議，以便目的主機的IP層知道將資料部分上交給哪個處理過程。也就是協議欄位告訴IP層應當如何交付資料。

埠是傳輸層服務訪問點TSAP，埠的作用是讓應用層的各種應用程序都能將其資料通過埠向下交付給傳輸層，以及讓傳輸層知道應當將其報文段中的資料向上通過埠交付給應用層的程序。
　　 埠號存在於UDP和TCP報文的首部，而IP資料報則是將UDP或者TCP報文做為其資料部分，再加上IP資料報首部，封裝成IP資料報。而協議號則是存在這個IP資料報的首部。
比如，客戶端傳送一個數據包給IP，然後IP將進來的資料傳送給傳輸協議(tcp或者udp)，然後傳輸協議再根據資料包的第一個報頭中的協議號和埠號來決定將此資料包給哪個應用程式(也叫網路服務)。也就是說，協議號+埠號唯一地確定了接收資料包的網路程序。由於標誌資料傳送程序的“源埠號”和標誌資料接受程序的“目的埠號”都包含在每個TCP段和UDP段的第一個分組中，系統可以知道到底是哪個客戶應用程式同哪個伺服器應用程式在通訊，而不會將資料傳送到別的程序中。
但是要注意的一點是同樣的一個埠在不同的協議中的意義是不同的，比如TCP和UDP中的埠31指的並不是同一個埠。但是對於同一個協議，埠號卻是唯一的。

在埠中分為兩種，一是“知名埠”，也即小於256的埠號。另一種是“動態分配的埠”，也就是在需要時再將其賦給特定的程序。這類似於NT伺服器或者163撥號上網，也就是動態的分配給使用者一個目前沒有用到的標誌。動態分配的埠號都是高於標準埠號範圍的.

埠號的作用及常見埠號用途說明

IP協議是由TCP、UDP、ARP、ICMP等一系列子協議組成的。其中，主要用來做傳輸資料使用的是TCP和UDP協議。在TCP和UDP協議中，都有埠號的概念存在。埠號的作用，主要是區分服務類別和在同一時間進行多個會話。
　舉例來說，有主機A需要對外提供FTP和WWW兩種服務，如果沒有埠號存在的話，這兩種服務是無法區分的。實際上，當網路上某主機B需要訪問A的FTP服務時，就要指定目的埠號為21；當需要訪問A的WWW服務時，則需要將目的埠號設為80，這時A根據B訪問的埠號，就可以區分B的兩種不同請求。這就是埠號區分服務類別的作用。
　再舉個例子：主機A需要同時下載網路上某FTP伺服器B上的兩個檔案，那麼A需要與B同時建立兩個會話，而這兩個傳輸會話就是靠源埠號來區分的。在這種情況下如果沒有源埠號的概念，那麼A就無法區分B傳回的資料究竟是屬於哪個會話，屬於哪個檔案。而實際上的通訊過程是，A使用本機的1025號埠請求B的21號埠上的檔案1，同時又使用1026號埠請求檔案2。對於返回的資料，發現是傳回給1025號埠的，就認為是屬於檔案1；傳回給1026號埠的，則認為是屬於檔案2。這就是埠號區分多個會話的作用。
　　如果說IP地址讓網路上的兩個節點之間可以建立點對點的連線，那麼埠號則為端到端的連線提供了可能。理解埠號的概念，對於理解TCP/IP協議的通訊過程有著至關重要的作用。
　　埠號的範圍是從1～65535

。其中1～1024是被RFC 3232規定好了的，被稱作“眾所周知的埠”(Well Known Ports)；從1025～65535的埠被稱為動態埠（Dynamic Ports），可用來建立與其它主機的會話，也可由使用者自定義用途。
開始選單– 執行 – netstat -an(檢視埠命令)

一 、埠大全

埠可分為3大類：

1） 公認埠（Well Known Ports）：從0到1023，它們緊密綁定於一些服務。通常這些埠的通訊明確表明了某種服 務的協議。例如：80埠實際上總是HTTP通訊。

2） 註冊埠（Registered Ports）：從1024到49151。它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些埠，這些埠同樣用於許多其它目的。例如：許多系統處理動態埠從1024左右開始。

3） 動態和/或私有埠（Dynamic and/or Private Ports）：從49152到65535。理論上，不應為服務分配這些埠。實際上，機器通常從1024起分配動態埠。但也有例外：SUN的RPC埠從32768開始。

埠：0

服務：Reserved

說明：通常用於分析作業系統。這一方法能夠工作是因為在一些系統中“0”是無效埠，當你試圖使用通常的閉合埠連線它時將產生不同的結果。一種典型的掃描，使用IP地址為0.0.0.0，設定ACK位並在乙太網層廣播。

埠：1

服務：tcpmux

說明：這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者，預設情況下tcpmux在這種系統中被開啟。Irix機器在釋出是含有幾個預設的無密碼的帳戶，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。許多管理員在安裝後忘記刪除這些帳戶。因此HACKER在INTERNET上搜索tcpmux並利用這些帳戶。

埠：7

服務：Echo

說明：能看到許多人搜尋Fraggle放大器時，傳送到X.X.X.0和X.X.X.255的資訊。

埠：19

服務：Character Generator

說明：這是一種僅僅傳送字元的服務。UDP版本將會在收到UDP包後迴應含有垃圾字元的包。TCP連線時會發送含有垃圾字元的資料流直到連線關閉。HACKER利用IP欺騙可以發動DoS攻擊。偽造兩個chargen伺服器之間的UDP包。同樣Fraggle DoS攻擊向目標地址的這個埠廣播一個帶有偽造受害者IP的資料包，受害者為了迴應這些資料而過載。

埠：21

服務：FTP

說明：FTP伺服器所開放的埠，用於上傳、下載。最常見的攻擊者用於尋找開啟anonymous的FTP伺服器的方法。這些伺服器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的埠。

埠：22

服務：Ssh

說明：PcAnywhere建立的TCP和這一埠的連線可能是為了尋找ssh。這一服務有許多弱點，如果配置成特定的模式，許多使用RSAREF庫的版本就會有不少的漏洞存在。

埠：23

服務：Telnet

說明：遠端登入，入侵者在搜尋遠端登入UNIX的服務。大多數情況下掃描這一埠是為了找到機器執行的作業系統。還有使用其他技術，入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個埠。

埠：25

服務：SMTP

說明：SMTP伺服器所開放的埠，用於傳送郵件。入侵者尋找SMTP伺服器是為了傳遞他們的SPAM。入侵者的帳戶被關閉，他們需要連線到高頻寬的E-MAIL伺服器上，將簡單的資訊傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠。

埠：31

服務：MSG Authentication

說明：木馬Master Paradise、Hackers Paradise開放此埠。

埠：42

服務：WINS Replication

說明：WINS複製

埠：53

服務：Domain Name Server（DNS）

說明：DNS伺服器所開放的埠，入侵者可能是試圖進行區域傳遞（TCP），欺騙DNS（UDP）或隱藏其他的通訊。因此_blank”>防火牆常常過濾或記錄此埠。

埠：67

服務：Bootstrap Protocol Server

說明：通過DSL和Cable modem的_blank”>防火牆常會看見大量傳送到廣播地址255.255.255.255的資料。這些機器在向DHCP伺服器請求一個地址。 HACKER常進入它們，分配一個地址把自己作為區域性路由器而發起大量中間人（man-in-middle）攻擊。客戶端向68埠廣播請求配置，伺服器向67埠廣播迴應請求。這種迴應使用廣播是因為客戶端還不知道可以傳送的IP地址。

埠：69

服務：Trival File Transfer

說明：許多伺服器與bootp一起提供這項服務，便於從系統下載啟動程式碼。但是它們常常由於錯誤配置而使入侵者能從系統中竊取任何 檔案。它們也可用於系統寫入檔案。

埠：79

服務：Finger Server

說明：入侵者用於獲得使用者資訊，查詢作業系統，探測已知的緩衝區溢位錯誤，迴應從自己機器到其他機器Finger掃描。

埠：80

服務：HTTP

說明：用於網頁瀏覽。木馬Executor開放此埠。

埠：99

服務：Metagram Relay

說明：後門程式ncx99開放此埠。

埠：102

服務：Message transfer agent(MTA)-X.400 over TCP/IP

說明：訊息傳輸代理。

埠：109

服務：Post Office Protocol -Version3

說明：POP3伺服器開放此埠，用於接收郵件，客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於使用者名稱和密碼交 換緩衝區溢位的弱點至少有20個，這意味著入侵者可以在真正登陸前進入系統。成功登陸後還有其他緩衝區溢位錯誤。

埠：110

服務：SUN公司的RPC服務所有埠

說明：常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

埠：113

服務：Authentication Service

說明：這是一個許多計算機上執行的協議，用於鑑別TCP連線的使用者。使用標準的這種服務可以獲得許多計算機的資訊。但是它可作為許多服務的記錄器，尤其是FTP、POP、IMAP、SMTP和IRC等服務。通常如果有許多客戶通過_blank”>防火牆訪問這些服務，將會看到許多這個埠的連線請求。記住，如果阻斷這個埠客戶端會感覺到在_blank”>防火牆另一邊與E-MAIL伺服器的緩慢連線。許多_blank”>防火牆支援TCP連線的阻斷過程中發回RST。這將會停止緩慢的連線。

埠：119

服務：Network News Transfer Protocol

說明：NEWS新聞組傳輸協議，承載USENET通訊。這個埠的連線通常是人們在尋找USENET伺服器。多數ISP限制，只有他們的客戶才能訪問他們的新聞組伺服器。開啟新聞組伺服器將允許發/讀任何人的帖子，訪問被限制的新聞組伺服器，匿名發帖或傳送SPAM。

埠：135

服務：Location Service

說明：Microsoft在這個埠執行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper註冊它們的位置。遠端客戶連線到計算機時，它們查詢end-point mapper找到服務的位置。HACKER掃描計算機的這個埠是為了找到這個計算機上執行Exchange Server嗎？什麼版本？還有些DOS攻擊直接針對這個埠。

埠：137、138、139

服務：NETBIOS Name Service

說明：其中137、138是UDP埠，當通過網路上的芳鄰傳輸檔案時用這個埠。而139埠：通過這個埠進入的連線試圖獲得NetBIOS/SMB服務。這個協議被用於windows檔案和印表機共享和SAMBA。還有WINS Regisrtation也用它。

埠：143

服務：Interim Mail Access Protocol v2

說明：和POP3的安全問題一樣，許多IMAP伺服器存在有緩衝區溢位漏洞。記住：一種Linux蠕蟲（admv0rm）會通過這個埠繁殖，因此許多這個埠的掃描來自不知情的已經被感染的使用者。當REDHAT在他們的linux釋出版本中預設允許IMAP後，這些漏洞變的很流行。這一埠還被用於IMAP2，但並不流行。

埠：161

服務：SNMP

說明：SNMP允許遠端管理裝置。所有配置和執行資訊的儲存在資料庫中，通過SNMP可獲得這些資訊。許多管理員的錯誤配置將被暴露在 Internet。Cackers將試圖使用預設的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向使用者的網路。

埠：177

服務：X Display Manager Control Protocol

說明：許多入侵者通過它訪問X-windows操作檯，它同時需要開啟6000埠。

埠：389

服務：LDAP、ILS

說明：輕型目錄訪問協議和NetMeeting Internet Locator Server共用這一埠。

埠：443

服務：Https

說明：網頁瀏覽埠，能提供加密和通過安全埠傳輸的另一種HTTP。

埠：456

服務：[NULL]

說明：木馬HACKERS PARADISE開放此埠。

埠：513

服務：Login,remote login

說明：是從使用cable modem或DSL登陸到子網中的UNIX計算機發出的廣播。這些人為入侵者進入他們的系統提供了資訊。

埠：544

服務：[NULL]

說明：kerberos kshell

埠：548

服務：Macintosh,File Services(AFP/IP)

說明：Macintosh,檔案服務。

埠：553

服務：CORBA IIOP （UDP）

說明：使用cable modem、DSL或VLAN將會看到這個埠的廣播。CORBA是一種面向物件的RPC系統。入侵者可以利用這些資訊進入系統。

埠：555

服務：DSF

說明：木馬PhAse1.0、Stealth Spy、IniKiller開放此埠。

埠：568

服務：Membership DPA

說明：成員資格 DPA。

埠：569

服務：Membership MSN

說明：成員資格 MSN。

埠：635

服務：mountd

說明：Linux的mountd Bug。這是掃描的一個流行BUG。大多數對這個埠的掃描是基於UDP的，但是基於TCP的mountd有所增加（mountd同時運行於兩個埠）。記住mountd可運行於任何埠（到底是哪個埠，需要在埠111做portmap查詢），只是Linux預設埠是635，就像NFS通常運行於 2049埠。

埠：636

服務：LDAP

說明：SSL（Secure Sockets layer）

埠：666

服務：Doom Id Software

說明：木馬Attack FTP、Satanz Backdoor開放此埠

埠：993

服務：IMAP

說明：SSL（Secure Sockets layer）

埠：1001、1011

服務：[NULL]

說明：木馬Silencer、WebEx開放1001埠。木馬Doly Trojan開放1011埠。

埠：1024

服務：Reserved

說明：它是動態埠的開始，許多程式並不在乎用哪個埠連線網路，它們請求系統為它們分配下一個閒置埠。基於這一點分配從埠1024開始。這就是說第一個向系統發出請求的會分配到1024埠。你可以重啟機器，開啟Telnet，再開啟一個視窗執行natstat -a 將會看到Telnet被分配1024埠。還有SQL session也用此埠和5000埠。

埠：1025、1033

服務：1025：network blackjack 1033：[NULL]

說明：木馬netspy開放這2個埠。

埠：1080

服務：SOCKS

說明：這一協議以通道方式穿過_blank”>防火牆，允許_blank”>防火牆後面的人通過一個IP地址訪問INTERNET。理論上它應該只允許內部的通訊向外到達INTERNET。但是由於錯誤的配置，它會允許位於_blank”>防火牆外部的攻擊穿過 _blank”>防火牆。WinGate常會發生這種錯誤，在加入IRC聊天室時常會看到這種情況。

埠：1170

服務：[NULL]

說明：木馬Streaming Audio Trojan、Psyber Stream Server、Voice開放此埠。

埠：1234、1243、6711、6776

服務：[NULL]

說明：木馬SubSeven2.0、Ultors Trojan開放1234、6776埠。木馬SubSeven1.0/1.9開放1243、6711、6776埠。

埠：1245

服務：[NULL]

說明：木馬Vodoo開放此埠。

埠：1433

服務：SQL

說明：Microsoft的SQL服務開放的埠。

埠：1492

服務：stone-design-1

說明：木馬FTP99CMP開放此埠。

埠：1500

服務：RPC client fixed port session queries

說明：RPC客戶固定埠會話查詢

埠：1503

服務：NetMeeting T.120

說明：NetMeeting T.120

埠：1524

服務：ingress

說明：許多攻擊指令碼將安裝一個後門SHELL於這個埠，尤其是針對SUN系統中Sendmail和RPC服務漏洞的指令碼。如果剛安裝了 _blank”>防火牆就看到在這個埠上的連線企圖，很可能是上述原因。可以試試Telnet到使用者的計算機上的這個埠，看看它是否會給你一個 SHELL。連線到600/pcserver也存在這個問題。

埠：1600

服務：issd

說明：木馬Shivka-Burka開放此埠。

埠：1720

服務：NetMeeting

說明：NetMeeting H.233 call Setup。

埠：1731

服務：NetMeeting Audio Call Control

說明：NetMeeting音訊呼叫控制。

埠：1807

服務：[NULL]

說明：木馬SpySender開放此埠。

埠：1981

服務：[NULL]

說明：木馬ShockRave開放此埠。

埠：1999

服務：cisco identification port

說明：木馬BackDoor開放此埠。

埠：2000

服務：[NULL]

說明：木馬GirlFriend 1.3、Millenium 1.0開放此埠。

埠：2001

服務：[NULL]

說明：木馬Millenium 1.0、Trojan Cow開放此埠。

埠：2023

服務：xinuexpansion 4

說明：木馬Pass Ripper開放此埠。

埠：2049

服務：NFS

說明：NFS程式常運行於這個埠。通常需要訪問Portmapper查詢這個服務運行於哪個埠。

埠：2115

服務：[NULL]

說明：木馬Bugs開放此埠。

埠：2140、3150

服務：[NULL]

說明：木馬Deep Throat 1.0/3.0開放此埠。

埠：2500

服務：RPC client using a fixed port session replication

說明：應用固定埠會話複製的RPC客戶

埠：2583

服務：[NULL]

說明：木馬Wincrash 2.0開放此埠。

埠：2801

服務：[NULL]

說明：木馬Phineas Phucker開放此埠。

埠：3024、4092

服務：[NULL]

說明：木馬WinCrash開放此埠。

埠：3128

服務：squid

說明：這是squid HTTP代理伺服器的預設埠。攻擊者掃描這個埠是為了搜尋一個代理伺服器而匿名訪問Internet。也會看到搜尋其他代理伺服器的埠8000、 8001、8080、8888。掃描這個埠的另一個原因是使用者正在進入聊天室。其他使用者也會檢驗這個埠以確定使用者的機器是否支援代理。

埠：3129

服務：[NULL]

說明：木馬Master Paradise開放此埠。

埠：3150

服務：[NULL]

說明：木馬The Invasor開放此埠。

埠：3210、4321

服務：[NULL]

說明：木馬SchoolBus開放此埠

埠：3333

服務：dec-notes

說明：木馬Prosiak開放此埠

埠：3389

服務：超級終端

說明：WINDOWS 2000終端開放此埠。

埠：3700

服務：[NULL]

說明：木馬Portal of Doom開放此埠

埠：3996、4060

服務：[NULL]

說明：木馬RemoteAnything開放此埠

埠：4000

服務：QQ客戶端

說明：騰訊QQ客戶端開放此埠。

埠：4092

服務：[NULL]

說明：木馬WinCrash開放此埠。

埠：4590

服務：[NULL]

說明：木馬ICQTrojan開放此埠。

埠：5000、5001、5321、50505

服務：[NULL]

說明：木馬blazer5開放5000埠。木馬Sockets de Troie開放5000、5001、5321、50505埠。