以太网中填写了物理地址的帧从网络端口中（或者从网关端口中）发送出去，传送到物理的线路上。如果局域网是由一条粗同轴电缆或细同轴电缆连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台计算机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个计算机了。当数字信号到达一台计算机的网络接口时，正常状态下网络接口对读入数据帧进行检查，如数据帧中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据帧交给Ip协议层软件。对于每个到达网络接口的数据帧都要进行这个过程的。但是当计算机工作在侦听模式下，所有的数据帧都将被交给上层协议软件处理。

　　ports）：端口号从1025到49151。它们松散地绑定于一些服务。也是说有许多服务绑定于这些端口，这些端口同样用于许多其他目的。这些端口多数没有明确的定义服务对象，不同程序可根据实际需要自己定义，如后面要介绍的远程控制软件和木马程序中都会有这些端口的定义的。记住这些常见的程序端口在木马程序的防护和查杀上是非常有必要的。常见木马所使用的端口在后面将有详细的列表。

　　有了这些端口后，这些端口又是如何工作呢？例如一台服务器为什么可以同时是web服务器，也可以是FTp服务器，还可以是邮件服务器等等呢？其中一个很重要的原因是各种服务采用不同的端口分别提供不同的服务，比如：通常Tcp/Ip协议规定web采用80号端口，FTp采用21号端口等，而邮件服务器是采用25号端口。这样，通过不同端口，计算机就可以与外界进行互不干扰的通信。

　　据专家们分析，服务器端口数最大可以有65535个，但是实际上常用的端口才几十个，由此可以看出未定义的端口相当多。这是那么多黑客程序都可以采用某种方法，定义出一个特殊的端口来达到入侵的目的的原因所在。为了定义出这个端口，就要依靠某种程序在计算机启动之前自动加载到内存，强行控制计算机打开那个特殊的端口。这个程序就是后门程序，这些后门程序就是常说的木马程序。简单的说，这些木马程序在入侵前是先通过某种手段在一台个人计算机中植入一个程序，打开某个（些）特定的端口，俗称后门（backDoor），使这台计算机变成一台开放性极高（用户拥有极高权限）的FTp服务器，然后从后门就可以达到侵入的目的。

　　hTTp：这是大家用得最多的协议，它就是常说的超文本传输协议。上网浏览网页时，就得在提供网页资源的计算机上打开80号端口以提供服务。常说务、web服务器用的就是这个端口。

　　nT系统中用得最多的。因特网上的每一台计算机都有一个网络地址与之对应，这个地址是常说的Ip地址，它以纯数字.的形式表示。然而这却不便记忆，于是出现了域名，访问计算机的时候只需要知道域名，域名和Ip地址之间的变换由Dns服务器来完成。Dns用的是53号端口。

　　在计算机的6万多个端口，通常把端口号为1024以内的称之为常用端口，这些常用端口所对应的服务通常情况下是固定的。表1所列的都是服务器默认的端口，不允许改变，一般通信过程都主要用到这些端口。

　　端口侦听与端口扫描有相似之处，也有区别的地方，相似的地方是都可以对目标计算机进行监视，区别的地方是端口侦听属于一种被动的过程，等待别人的连接的出现，通过对方的连接才能侦听到需要的信息。在个人应用中，如果在设置了当侦听到有异常连接立即向用户报告这个功能时，就可以有效地侦听黑客的连接企图，及时把驻留在本机上的木马程序清除掉。这个侦听程序一般是安装在目标计算机上。用在黑客中的端口侦听通常是黑客程序驻留在服务器端等待服务器端在进行正常活动时捕获黑客需要的信息，然后通过uDp协议无连接方式发出去。而端口扫描则是一种主动过程，它是主动对目标计算机的选定端口进行扫描，实时地发现所选定端口的所有活动（特别是对一些网上活动）。扫描程序一般是安装在客户端，但是它与服务器端的连接也主要是通过无连接方式的uDp协议连接进行。

　　在端口的利用上黑客程序通常有两种方式那就是端口侦听和端口扫描o第9页共16页端口侦听与端口扫描是黑客攻击和防护中经常要用到的两种端口技术在黑客攻击中利用它们可以准确地寻找攻击的目标获取有用信息在个人及网络防护方面通过这种端口技术的应用可以及时发现黑客的攻击及一些安全漏洞

　　随着计算机网络技术的发展，原来物理上的接口（如键盘、鼠标、网卡ip取消设置代理服务器、显示卡等输入/输出接口）已不能满足网络通信的要求，Tcp/Ip协议作为网络通信的标准协议就解决了这个通信难题。Tcp/Ip协议集成到操作系统的内核中，这就相当于在操作系统中引入了一种新的输入/输出接口技术，因为在Tcp/Ip协议中引入了一种称之为socket（套接字）应用程序接口。有了这样一种接口技术，一台计算机就可以通过软件的方式与任何一台具有socket接口的计算机进行通信。端口在计算机编程上也就是socket接口。

　　ports）：这类端口也常称之为常用端口。这类端口的端口号从0到1024，它们紧密绑定于一些特定的服务。通常这些端口的通信明确表明了某种服务的协议，这种端口是不可再重新定义它的作用对象。例如：80端口实际上总是hTTp通信所使用的，而23号端口则是Telnet服务专用的。这些端口通常不会像木马这样的黑客程序利用。为了使大家对这些常用端口多一些认识，在本章后面将详细把这些端口所对面应的服务进行列表，供各位理解和参考。

　　FTp：定义了文件传输协议，使用21端口。常说某某计算机开了FTp服务便是启动了文件传输服务。下载文件，上传主页，都要用到FTp服务。

　　Telnet：它是一种用于远程登陆的端口，用户可以以自己的身份远程连接到计算机上，通过这种端口可以提供一种基于Dos模式下的通信服务。如以前的bbs是纯字符界面的，支持bbs的服务器将23端口打开，对外提供服务。

　　端口侦听是利用某种程序对目标计算机的端口进行监视，查看目标计算机上有哪能些端口是空闲、可以利用的。通过侦听还可以捕获别人有用的信息，这主要是用在黑客软件中，但对于个人来说也是非常有用的，可以用侦听程序来保护自己的计算机，在自己计算机的选定端口进行监视，这样可以发现并拦截一些黑客的攻击。也可以侦听别人计算机的指定端口，看是否空闲，以便入侵。

　　原因：在网络中不知道谁又加了个路由器，开了dhcp服务。所以获取网关是不对的，把它的dhcp关后一切正常

　　有过一些黑客攻击方面知识的读者都会知道，其实那些所谓的黑客并不是像人们想象那样从天而降，而是实实在在从您的计算机大门中自由出入。计算机的大门就是我们平常所说的端口，它包括计算机的物理端口，如计算机的串口、并口、输入/输出设备以及适配器接口等（这些端口都是可见的），但更多的是不可见的软件端口，在本文中所介绍的都是指软件端口，但为了说明方便，仍统称为端口。本文仅就端口的基础知识进行介绍，

　　像木马之类的黑客程序，就是通过对端口的入侵来实现其目的的。在端口的利用上，黑客程序通常有两种方式，那就是端口侦听和端口扫描。

　　端口侦听与端口扫描是黑客攻击和防护中经常要用到的两种端口技术，在黑客攻击中利用它们可以准确地寻找攻击的目标，获取有用信息，在个人及网络防护方面通过这种端口技术的应用可以及时发现黑客的攻击及一些安全漏洞。下面首先简单介绍一下这两种端口技术的异同。

　　snmp：简单网络管理协议，使用161号端口，是用来管理网络设备的。由于网络设备很多，无连接的服务就体现出其优势。

　　IcQ：oIcQ程序既接受服务，又提供服务，这样两个聊天的人才是平等的。oIcQ用的是无连接的协议，也是说它用的是uDp协议。oIcQ服务器是使用8000号端口，侦听是否有信息到来，客户端使用4000号端口，向外发送信息。如果上述两个端口正在使用（有很多人同时和几个好友聊天），就顺序往上加。

　　scanning）是通过连接到目标系统的Tcp协议或uDp协议端口，来确定什么服务正在运行，然后获取相应的用户信息。现在有许多人把端口侦听与端口扫描混为一谈，根本分不清什么样的情

　　况下要用侦听技术，什么样的情况下要用扫描技术。不过，现在的这类软件也似乎对这两种技术有点模糊了，有的干脆把两个功能都集成在一块。

　　smTp：定义了简单邮件传送协议，现在很多邮件服务器都用的是这个协议，用于发送邮件。如常见的免费邮件服务中用的就是这个邮件服务端口，所以在电子邮件设置中常看到有这么smTp端口设置这个栏，服务器开放的是25号端口。

　　pop3：它是和smTp对应，pop3用于接收邮件。通常情况下，pop3协议所用的是110端口。也是说，只要你有相应的使用pop3协议的程序（例如Foxmail或outlook），就可以不以web方式登陆进邮箱界面，直接用邮件程序就可以收到邮件（如是163邮箱就没有必要先进入网易网站，再进入自己的邮箱来收信）。

　　ports）：端口号从49152到65535。理论上，不应把常用服务分配在这些端口上。实际上，有些较为特殊的程序，特别是一些木马程序就非常喜欢用这些端口，因为这些端口常常不被引起注意，容易隐蔽。

　　如果根据所提供的服务方式的不同，端口又可分为Tcp协议端口和uDp协议端口两种。因为计算机之间相互通信一般采用这两种通信协议。前面所介绍的连接方式是一种直接与接收方进行的连接，发送信息以后，可以确认信息是否到达，这种方式大多采用Tcp协议；另一种是不是直接与接收方进行连接，只管把信息放在网上发出去，而不管信息是否到达，也就是前面所介绍的无连接方式。这种方式大多采用uDp协议，Ip协议也是一种无连接方式。对应使用以上这两种通信协议的服务所提供的端口，也就分为Tcp协议端口和uDp协议端口。

　　在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在侦听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。端口侦听在网络中的任何一个位置模式下都可实施进行，而黑客一般都是利用端口侦听来截取用户口令。

　　以太网（ethernet）协议的工作方式是将要发送的数据包发往连接在一起的所有计算机。在包头中包括有应该接收数据包的计算机的正确地址，因为只有与数据包中目标地址一致的那台计算机才能接收到信息包。但是当计算机工作在侦听模式下，不管数据包中的目标物理地址是什么，计算机都将可以接收到。当同一网络中的两台计算机通信的时候，源计算机将写有目的计算机地址的数据包直接发向目的计算机，或者当网络中的一台计算机同外界的计算机通信时，源计算机将写有目的计算机Ip地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从Tcp/Ip协议的Ip协议层交给网络接口--数据链路层。网络接口不会识别Ip地址的，在网络接口中，由Ip协议层来的带有Ip地址的数据包又增加了一部分以太网的帧头信息。在帧头中，有两个域分别为只有网络接口才能识别的源计算机和目的计算机的物理地址，这是一个48位的地址，这个48位的地址是与Ip地址相对应的。换句话说，一个Ip地址也会对应一个物理地址。对于作为网关的计算机，由于它连接了多个网络，它也就同时具备有很多个Ip地址，在每个网络中它都有一个。而发向网络外的帧中继携带的是网关的物理地址。