Funciones de puerto comunes en Windows
69 TFTP (UDP) Muchos servidores proporcionan este servicio junto con bootp para facilitar la descarga del código de inicio del sistema. Pero a menudo están mal configurados y sirven archivos del sistema, como archivos de contraseñas. También se pueden utilizar para escribir archivos en el sistema.
79 Finger Hacker se utiliza para obtener información del usuario, consultar el sistema operativo, detectar errores conocidos de desbordamiento del búfer y responder a escaneos dactilares desde su propia máquina a otras máquinas.
80 El puerto utilizado por el servidor HTTP.
98 linuxconf Este programa proporciona una gestión sencilla de Linux Boxen. Se proporciona una interfaz basada en web a través de un servidor HTTP integrado en el puerto 98. Se ha descubierto que tiene numerosos problemas de seguridad. Algunas versiones tienen setuid root, confían en la LAN, crean archivos accesibles desde Internet en /tmp y tienen desbordamientos de búfer en la variable de entorno LANG. Además, debido a que contiene un servidor integrado, pueden existir muchas vulnerabilidades HTTP típicas (desbordamiento de búfer, recorrido de directorio, etc.)
109 POP2 no es tan conocido como POP3, pero muchos servidores brindan ambos servicios (al revés). compatibilidad). La vulnerabilidad de POP3 también existe en POP2 en el mismo servidor.
Los clientes utilizan 110 POP3 para acceder a los servicios de correo electrónico del lado del servidor. Los servicios POP3 tienen muchas debilidades reconocidas. Hay al menos 20 vulnerabilidades relacionadas con desbordamientos del búfer de intercambio de nombres de usuario y contraseñas (lo que significa que un pirata informático puede obtener acceso al sistema antes de iniciar sesión). Hay otros errores de desbordamiento del búfer después de iniciar sesión correctamente.
111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND. Acceder al mapeador de puertos es el primer paso para escanear el sistema para ver qué servicios RPC están permitidos. Los servicios RPC comunes incluyen: rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd, etc. El intruso descubrió una vulnerabilidad que permitía redirigir los servicios RPC a un puerto específico para brindar el servicio. Recuerde registrar el demonio, IDS o sniffer en la línea. Puede averiguar qué programa está utilizando el intruso para acceder y descubrir qué sucedió.
113 Autenticación de identidad Este es un protocolo que se ejecuta en muchas máquinas y se utiliza para identificar a los usuarios de conexiones TCP. Utilizando servicios estándar como este se puede obtener información sobre muchas máquinas (que pueden ser explotadas por piratas informáticos). Pero funciona como registrador de muchos servicios, especialmente servicios como FTP, POP, IMAP, SMTP e IRC. Normalmente, si hay muchos clientes que acceden a estos servicios a través de un firewall, verá muchas solicitudes de conexión para este puerto. Tenga en cuenta que si bloquea este puerto, el cliente experimentará una conexión lenta con el servidor de correo electrónico al otro lado del firewall. Muchos firewalls admiten el envío de RST durante el proceso de bloqueo de una conexión TCP, lo que detendrá la conexión lenta.
119 NNTP noticias Protocolo de transferencia de grupos de noticias, que transporta comunicaciones USENET. Este puerto generalmente se usa cuando se vincula a una dirección como: news://news.hackervip.com/. Los intentos de conexión en este puerto suelen ser donde la gente busca servidores USENET. La mayoría de los ISP restringen el acceso a los servidores de sus grupos de noticias únicamente a sus clientes. Abrir un servidor de grupos de noticias permitirá a cualquiera publicar/leer mensajes, acceder a servidores de grupos de noticias restringidos, publicar de forma anónima o enviar spam.
135 oc-serv Asignador de punto final MS RPC Microsoft ejecuta el asignador de punto final DCE RPC en este puerto para su servicio DCOM. Esto es muy similar a la función del puerto 111 de UNIX.
Los servicios que utilizan DCOM y/o RPC registran su ubicación con el asignador de puntos finales de la máquina. Cuando los clientes remotos se conectan a una máquina, consultan al asignador de puntos finales para encontrar la ubicación del servicio. De manera similar, Hacker escanea este puerto de la máquina para encontrar preguntas como: ¿Se está ejecutando Exchange Server en esta máquina? ¿Qué versión es? Además de usarse para consultar servicios (como usar epdump), este puerto también se puede usar para ataques directos. Hay algunos ataques DoS que apuntan directamente a este puerto.
137 Servicio de nombres NetBIOS nbtstat (UDP) Este es el mensaje más común para los administradores de firewall.
139 Las conexiones para compartir archivos e impresoras NetBIOS entrantes a través de este puerto intentan obtener servicios NetBIOS/SMB. Este protocolo se utiliza en "Compartir archivos e impresoras" de Windows y SAMBA. Compartir su disco duro en Internet es probablemente el problema más común. Un gran número de ataques a este puerto comenzaron en 1999 y luego gradualmente fueron menos frecuentes. Se recuperó de nuevo en 2000. Algunos VBS (IE5 VisualBasic Scripting) comenzaron a copiarse a sí mismos en este puerto en un intento de reproducirse en este puerto.
143 IMAP es el mismo problema de seguridad de POP3 mencionado anteriormente. Muchos servidores IMAP tienen vulnerabilidades de desbordamiento del búfer que se pueden ingresar durante el proceso de inicio de sesión. Recuerde: un gusano de Linux (admw0rm) se reproduce a través de este puerto, por lo que muchos análisis de este puerto provienen de usuarios infectados desprevenidos. Estas vulnerabilidades se hicieron populares cuando RadHat permitió IMAP de forma predeterminada en sus distribuciones de Linux. Este es el primer gusano ampliamente difundido desde el gusano Morris. Este puerto también se utiliza para IMAP2, pero no es muy popular. Ha habido algunos informes de que algunos ataques a los puertos 0 a 143 se originaron a partir de scripts.
161 Puerto SNMP (UDP) que los intrusos suelen sondear. SNMP permite la gestión remota de dispositivos. Toda la información operativa y de configuración se almacena en la base de datos y se obtiene a través del cliente SNMP. Muchos administradores los configuran mal para exponerlos a Internet. Los crackers intentarán acceder al sistema utilizando las contraseñas predeterminadas "pública" y "privada". Pueden experimentar con todas las combinaciones posibles. Es posible que los paquetes SNMP se dirijan incorrectamente a su red. Las máquinas con Windows a menudo están mal configuradas para usar SNMP con el software de administración remota HP JetDirect. HP OBJECT IDENTIFIER recibirá paquetes SNMP. La nueva versión de Win98 usa SNMP para resolver nombres de dominio. Verá este tipo de transmisión de paquetes (módem por cable, DSL) en la subred para consultar sysName y otra información.