Port Nedir? Saldırı Gelebilecek port Numaraları?

Konusu 'Güvenlik ve güvenlik açıkları' forumundadır ve h3LL_s3xY tarafından 20 Ekim 2006 başlatılmıştır.

  1. h3LL_s3xY
    Offline

    h3LL_s3xY Well-Known Member

    • Platin Üye
    Mesajlar:
    5.250
    Aldığı Beğeni:
    250
    Ödül Puanları:
    83
    Port Nedir? Saldırı Gelebilecek port Numaraları? Hangi portlar ne işe yarar?
    Bilgisayar ve telekomünikasyon dünyasında, 'port' denildiği zaman akla ilk gelen genellikle fiziksel bağlantıda kullanılan ara birimlerdir. Bu tür 'port' lar üzerinden bağlanmış herhangi bir makinaya 'data' gönderilebilir ve bu makinanın işleyişi kontrol edilebilir. Örneğin, tipik bir bilgisayarda bir veya birden fazla 'seri port' bir tane de 'paralel port' bulunur. Adından da anlaşılacağı gibi 'seri port' dan bilgiler seri (her defasında bir bit) olarak gönderilir ve bu tür 'port' lara genellikle tarayıcı (scanner) gibi cihazlar takılır. Her defasında birden çok bit göndermek içinse 'paralel port' kullanılır. Bu tip 'port' lara da yazıcı (printer) veya 'paralel port' bağlantısı olan herhangi bir cihaz takılabilir.

    Bizi ilgilendiren ve çoğunlukla İnternet dünyasında kullanılan 'port' kavramı ise yukardaki tanımdan biraz daha soyut bir kavramdir. Bu anlamda 'port' (ki dokümainin sonuna kadar 'port' bu anlamda kullanılacaktir) herhangi bir fiziksel bağlantı yeri değil, mantıksal bir bağlanma şeklidir. Şöyle ki:
    Günümüz dünyasında birçok işletim sistemi birden fazla programın aynı anda çalışmasına izin vermektedir. Bu programlardan bazıları dışarıdan gelen istekleri (istemci-client/request) kabul etmekte ve uygun gördüklerine cevap (sunucu-server/response) vermektedir. Sunucu programları çalışan bilgisayarlara birer adres verilir (bknz. IP adresleri) ve bu adresler kullanılarak istenilen bilgisayarlara ulaşılır. Peki, ulaşılan bir bilgisayar üzerindeki hangi sunucu programdan hizmet alınmak istendiği nasıl belirtilir?

    Bunun için bilgisayarlar üzerinde birtakım soyut bağlantı noktaları tanımlanır ve herbirine, adresleyebilmek için positif bir sayı verilir (port numarası). Bazı sunucu programları, daha önce herkes tarafından bilinen 'port' lardan hizmet verirken (örn: telnet->23. port) bazıları da sunucu programını çalıştıran kişinin türüne ve isteğine göre değişik 'port' lardan hizmet verir.
    Dolayısıyla, ağ üzerindeki herhangi bir sunucu programa bağlanmak istenildiğinde, programın çalıştığı bilgisayarın adresinin yanında istekleri kabul ettiği 'port' numarasını da vermek gerekir. Örnek verecek olursak:
    144.122.156.104 'IP' adresine sahip makinada (orca) çalışan 'telnet' sunucu programına (23. 'port' dan hizmet veren) bağlanmak için aşağıdaki satır yazılır.
    telnet 144.122.156.104 23

    Daha önce de belirttiğimiz gibi bazı sunucu programların belirli 'port' lardan hizmet verdiği bilindiği için, bu sunuculara bağlanmak istediğimizde, 'port' numarasını vermeye gerek kalmaz. Bu durumda yukardaki satır
    telnet 144.122.156.104
    şeklinde de yazılabilir.


    Bilgisayar ilk açıldığında üzerinde çalışan sunucu programlar otomatik olarak açılış dosyalarından çalıştırılabildiği gibi genel kullanım biraz daha farklıdır.

    Değişik 'port' ları dinleyen birçok sunucu programın, hiçbir istemciye cevap vermediği durumda bile, birçok sistem kaynağını gereksiz yere kullandığı düşünülerek, 'inetd' adında istemcilerle diğer sunucu programlar arasında koordinasyonu sağlayan bir sunucu program düşünülmüştür. Açılış dosyalarından da başlatılabilen bu sunucu tek başına bütün 'port' ları dinler ve herhangi birisine istek geldiği zaman aşağıdaki prosedürü takip eder:

    1- /etc/services dosyasından ilgili 'port' a hizmet veren servis ismini bulur.
    2- konfigürasyon dosyası olan '/etc/inetd.conf' dan bu servis için gelen isteğe nasıl cevap vereceğini belirler ve gerekli programı çalıştırır.
    3- bir istek geldiği zaman tekrar 1`e döner.

    Bir örnekle anlatmadan önce tipik bir '/etc/services' ve '/etc/inetd.conf' dosyasının içeriğine bakalım.
    <'/etc/services')>

    tcpmux 1/tcp

    echo 7/tcp

    echo 7/udp

    discard 9/tcp sink xxxx

    discard 9/udp sink xxxx

    systat 11/tcp users

    daytime 13/tcp

    daytime 13/udp

    netstat 15/tcp

    chargen 19/tcp ttytst source

    chargen 19/udp ttytst source

    ftp-data 20/tcp

    ftp 21/tcp

    telnet 23/tcp

    ktelnet 1023/tcp #Added by AS 5/5/98

    smtp 25/tcp mail

    time 37/tcp timserver

    time 37/udp timserver

    name 42/udp nameserver

    whois 43/tcp nicname # usually to sri-nic

    .

    .



    <'/etc/inetd.conf'>

    # Ftp and telnet are standard Internet services.

    #

    ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd

    telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd

    #

    # Shell, login, exec, comsat and talk are BSD protocols.

    #

    shell stream tcp nowait root /usr/sbin/tcpd in.rshd

    login stream tcp nowait root /usr/sbin/tcpd in.rlogind

    exec stream tcp nowait root /usr/sbin/tcpd in.rexecd

    comsat dgram udp wait root /usr/sbin/in.comsat in.comsat

    talk dgram udp wait root /usr/sbin/in.talkd in.talkd

    .

    .



    23. 'port' a bir istek geldiğinde, 'inetd' '/etc/services' dosyasına bakarak bu 'port' numarasına denk gelen servis ismini ('telnet') bulur. Daha sonra '/etc/inetd.conf' dosyasına bakarak bu servise denk gelen sunucu programı ('/usr/sbin/in.telnetd') çalıştırır.

    Herhangi bir 'port' u dinleyen program bir iş yaparken, başka bir deyişle dinlediği 'port' a gelen bilgileri almaya hazır değilken, eğer bu 'port' 'buffered' ise gelen bilgiler kaybolmaz. İşletim sistemi içerisine yerleştirilen programlar sayesinde kapasitesi sınırlı kuyruklara yerleştirilerek ilgili sunucu programın alması için bekletilirler.

    Internet üzerinde herhangi bir IP adresi üzerindeki 'port' dan hizmet veren sunucu programa bağlantı yapmak isteyen istemci program, sunucu programın cevaplarını (reply) yollamak için bağlantı kuracağı kendi üzerindeki 'port' numarasını da sunucu programa gönderir.

    'Port' numarası genellikle 2 'byte' olarak tutulur. Bu nedenle 65536 adet 'port' numaralamak mümkündür. Genellikle 1024`den küçük olan 'port' numaraları özel hakları olan kullanıcılar (root) tarafından kullanılırken, büyük olanlar
    genel kullanıma açıktır.

    Saldırı Gelebilecek port numaraları

    port 21 - Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash
    port 23 - Tiny Telnet Server (= TTS)
    port 25 - Ajan, Antigen, Email Password Sender, Haebu Coceda (= Naebi), Happy 99, Kuang2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
    port 31 - Agent 31, Hackers Paradise, Masters Paradise
    port 41 - DeepThroat
    port 59 - DMSetup
    port 79 - Firehotcker
    port 80 - Executor, RingZero
    port 99 - Hidden Port
    port 110 - ProMail trojan
    port 113 - Kazimas
    port 119 - Happy 99
    port 121 - JammerKillah
    port 421 - TCP Wrappers
    port 456 - Hackers Paradise
    port 531 - Rasmin
    port 555 - Ini-Killer, NeTAdmin, Phase Zero, Stealth Spy
    port 666 - Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
    port 911 - Dark Shadow
    port 999 - DeepThroat, WinSatan
    port 1001 - Silencer, WebEx
    port 1010 - Doly Trojan
    port 1011 - Doly Trojan
    port 1012 - Doly Trojan
    port 1015 - Doly Trojan
    port 1024 - NetSpy
    port 1042 - Bla
    port 1045 - Rasmin
    port 1090 - Xtreme
    port 1170 - Psyber Stream Server, Streaming Audio trojan, Voice
    port 1234 - Ultors Trojan
    port 1243 - BackDoor-G, SubSeven, SubSeven Apocalypse
    port 1245 - VooDoo Doll
    port 1269 - Mavericks Matrix
    port 1349 - BO DLL
    port 1492 - FTP99CMP
    port 1509 - Psyber Streaming Server
    port 1600 - Shivka-Burka
    port 1807 - SpySender
    port 1981 - Shockrave
    port 1999 - BackDoor, TtansScout
    port 2000 - TransScout
    port 2001 - TransScout
    port 2001 - Trojan Cow
    port 2002 - TransScout
    port 2003 - TransScout
    port 2004 - TransScout
    port 2005 - TransScout
    port 2023 - Ripper
    port 2115 - Bugs
    port 2140 - Deep Throat, The Invasor
    port 2155 - Illusion Mailer
    port 2283 - HVL Rat5
    port 2565 - Striker
    port 2583 - WinCrash
    port 2600 - Digital RootBeer
    port 2801 - Phineas Phucker
    port 2989 - RAT
    port 3024 - WinCrash
    port 3128 - RingZero
    port 3129 - Masters Paradise
    port 3150 - Deep Throat, The Invasor
    port 3459 - Eclipse 2000
    port 3700 - Portal of Doom
    port 3791 - Eclypse
    port 3801 - Eclypse
    port 4092 - WinCrash
    port 4321 - BoBo
    port 4567 - File Nail
    port 4590 - ICQTrojan
    port 5000 - Bubbel, Back Door Setup, Sockets de Troie
    port 5001 - Back Door Setup, Sockets de Troie
    port 5011 - One of the Last Trojans (OOTLT)
    port 5031 - NetMetro
    port 5321 - Firehotcker
    port 5400 - Blade Runner, Back Construction
    port 5401 - Blade Runner, Back Construction
    port 5402 - Blade Runner, Back Construction
    port 5550 - Xtcp
    port 5512 - Illusion Mailer
    port 5555 - ServeMe
    port 5556 - BO Facil
    port 5557 - BO Facil
    port 5569 - Robo-Hack
    port 5742 - WinCrash
    port 6400 - The Thing
    port 6669 - Vampyre
    port 6670 - DeepThroat
    port 6771 - DeepThroat
    port 6776 - BackDoor-G, SubSeven
    port 6912 - sh*t Heep (not port 69123!)
    port 6939 - Indoctrination
    port 6969 - GateCrasher, Priority, IRC 3
    port 6970 - GateCrasher
    port 7000 - Remote Grab, Kazimas
    port 7300 - NetMonitor
    port 7301 - NetMonitor
    port 7306 - NetMonitor
    port 7307 - NetMonitor
    port 7308 - NetMonitor
    port 7789 - Back Door Setup, ICKiller
    port 8080 - RingZero
    port 9400 - InCommand
    port 9872 - Portal of Doom
    port 9873 - Portal of Doom
    port 9874 - Portal of Doom
    port 9875 - Portal of Doom
    port 9876 - Cyber Attacker
    port 9878 - TransScout
    port 9989 - iNi-Killer
    port 10067 - Portal of Doom
    port 10101 - BrainSpy
    port 10167 - Portal of Doom
    port 10520 - Acid Shivers
    port 10607 - Coma
    port 11000 - Senna Spy
    port 11223 - Progenic trojan
    port 12076 - Gjamer
    port 12223 - Hack«99 KeyLogger
    port 12345 - GabanBus, NetBus, Pie Bill Gates, X-bill
    port 12346 - GabanBus, NetBus, X-bill
    port 12361 - Whack-a-mole
    port 12362 - Whack-a-mole
    port 12631 - WhackJob
    port 13000 - Senna Spy
    port 16969 - Priority
    port 17300 - Kuang2 The Virus
    port 20000 - Millennium
    port 20001 - Millennium
    port 20034 - NetBus 2 Pro
    port 20203 - Logged
    port 21544 - GirlFriend
    port 22222 - Prosiak
    port 23456 - Evil FTP, Ugly FTP, Whack Job
    port 23476 - Donald Dick
    port 23477 - Donald Dick
    port 26274 - Delta Source
    port 29891 - The Unexplained
    port 30029 - AOL Trojan
    port 30100 - NetSphere
    port 30101 - NetSphere
    port 30102 - NetSphere
    port 30303 - Sockets de Troi
    port 30999 - Kuang2
    port 31336 - Bo Whack
    port 31337 - Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBO
    port 31338 - NetSpy DK ,Back Orifice, DeepBO
    port 31339 - NetSpy DK
    port 31666 - BOWhack
    port 31785 - Hack«a«Tack
    port 31787 - Hack«a«Tack
    port 31788 - Hack«a«Tack
    port 31789 - Hack«a«Tack
    port 31791 - Hack«a«Tack
    port 31792 - Hack«a«Tack
    port 33333 - Prosiak
    port 33911 - Spirit 2001a
    port 34324 - BigGluck, TN
    port 40412 - The Spy
    port 40421 - Agent 40421, Masters Paradise
    port 40422 - Masters Paradise
    port 40423 - Masters Paradise
    port 40426 - Masters Paradise
    port 47262 - Delta Source
    port 50505 - Sockets de Troie
    port 50766 - Fore, Schwindler
    port 53001 - Remote Windows Shutdown
    port 54320 - Back Orifice 2000
    port 54321 - School Bus, Back Orifice 2000
    port 60000 - Deep Throat
    port 61466 - Telecommando
    port 65000 - Devili

Sayfayı Paylaş