OSI七層分層模型每層的所有協(xié)議

1、osi七層的功能及各層的協(xié)議和數(shù)擁格式簡(jiǎn)介如下:應(yīng)用層(application):為應(yīng)用程序提供通信服務(wù)，例：word processor。主耍協(xié)議、數(shù)據(jù)格式：ftp, www browsers, telnet、nfs、smtp> gateways> mail 等表示層(presentation)：主要作用是定義數(shù)據(jù)格式、如：二進(jìn)制或ascii傳輸，主要協(xié)議、數(shù)據(jù)格 式：tiff.gif,jpeg, ascii,mpeg,midi, himl。會(huì)話層(session)：疋義怎樣開(kāi)始，控制和結(jié)束會(huì)話conversations,如atm機(jī)的事務(wù)處理雙向傳 輸。主要協(xié)議、數(shù)據(jù)格式：rpc

2、,sql,nfs,netbios names, appletalk asp傳輸層(transport):第四層包括選擇是否提供錯(cuò)誤恢復(fù)的協(xié)議，如tcp-分包packet-ip-tcp 組合成segmento主耍協(xié)議、數(shù)據(jù)格式：tcp,udp,spx網(wǎng)絡(luò)層(network):定義包的端對(duì)端的傳送，也定義了根據(jù)媒體的不同把packet分割成更小的packet.主要協(xié)議、數(shù)據(jù)格式：ip, ipx,appletalk ddp數(shù)據(jù)鏈路層(data link):指定從一個(gè)具體的鏈路或媒體傳輸數(shù)據(jù)，定義通過(guò)不同的鏈路傳輸例：802, 3, 802, 2疋義ethernet怎樣工作，hdlc->poin

3、ttopointwan link。主要協(xié)議、數(shù)據(jù)格式： frame relay, hdlc.ppp, 1 eee802.3/802.2,fddl,atm.物理層(physical)：物理媒件的物理特性，commector,pin,electrical current eneoding.例：rj45 泄義 wires/pins, ethernet 和 802.3 定義 wires/pins1,2,3 ,6。主耍協(xié)議、數(shù)據(jù)格式：802.3,802.5 fddi, e1att1a, 232, v.35.v.24常見(jiàn)的端口號(hào)及協(xié)議如下表(是我在百度知道里復(fù)制的一位老兄的，不好意思)21/tcp ftp

4、文件傳輸協(xié)議22/tcp ssh安全登錄、文件傳送(scp)和端口重逹向23/tcp telnet不安全的文本傳送 25/tcp smtp simple mail transfer protocol (e-mail) 69/udp tftp trivial file transfer protocol 79/tcp fin ger fin ger80/tcp http超文本傳送協(xié)議(www) 88/tcp kerberos authe nticati ng age nt 110/tcp pop3 post office protocol (e-mail) 113/tcp ide nt old

5、identificati on server system 119/tcp nntp used for usenet newsgroups 220/tcp imap3 443/tcp https used for securely transferring web pages端u： 0服務(wù)：reserved說(shuō)明：通常用于分析操作系統(tǒng)。這一方法能夠工作是因?yàn)樵谝恍┫到y(tǒng)中“0”是無(wú)效端口，當(dāng)你試圖使 用通常的閉合端口連接它時(shí)將產(chǎn)生不同的結(jié)果。一種典型的掃描，使用ip地址為,設(shè)置ack 位并在以太網(wǎng)層廣播。端 1-1: 1服務(wù)：tcpmux說(shuō)明：這顯示有人在尋找sgi irix機(jī)器。i

6、rix是實(shí)現(xiàn)tcpmux的主要提供者，默認(rèn)情況下tcpmux在這 種系統(tǒng)中被打開(kāi)。irix機(jī)器在發(fā)布是含有兒個(gè)默認(rèn)的無(wú)密碼的帳戶(hù)，如：ip、guest uucp、nuucp、 demos、tutor. diag、outofbox等。許多管理員在安裝后忘記刪除這些帳八。因此hacker 在internet上搜索tcpmux并利用這些帳戶(hù)。端口： 7服務(wù):echo說(shuō)明：能看到許多人搜索fraggle放大器時(shí)，發(fā)送到x.x.x.0和x.x.x.255的信息。端口： 19服務(wù)：character generator說(shuō)明：這是一種僅僅發(fā)送字符的服務(wù)。udp版木將會(huì)在收到udp包后回應(yīng)含有垃圾字符的包。t

7、cp 連接時(shí)會(huì)發(fā)送含有垃圾字符的數(shù)據(jù)流直到連接關(guān)閉。hacker利用ip欺騙町以發(fā)動(dòng)dos攻擊。偽 造兩個(gè)chargen服務(wù)器之間的udp包。同樣fraggle dos攻擊向冃標(biāo)地址的這個(gè)端i i廣播一個(gè)帶有 偽造受害者ip的數(shù)據(jù)包，受害者為了回應(yīng)這些數(shù)據(jù)而過(guò)載。端口： 21服務(wù)：ftp說(shuō)明：ftp服務(wù)器所開(kāi)放的端口，用于上傳、下載。最常見(jiàn)的攻擊者用于尋找打開(kāi)anonymous的ftp 服務(wù)器的方法。這些服務(wù)器帶有可讀寫(xiě)的目錄。木馬doly trojan. fore、invisible ftp> webex、 wincrash 和 blade runner 所開(kāi)放的端口。端口： 22服務(wù)

8、：ssh說(shuō)明：pcanywhere建立的tcp和這一端口的連接可能是為了尋找ssh。這-服務(wù)有許多弱點(diǎn)，如果 配置成特定的模式，許多使用rsaref庫(kù)的版木就會(huì)有不少的漏洞存在。端口： 23服務(wù)：telnet說(shuō)明：遠(yuǎn)程登錄，入侵者在搜索遠(yuǎn)程登錄unix的服務(wù)。大多數(shù)情況下掃描這一端口是為了找到機(jī)器 運(yùn)行的操作系統(tǒng)。述有使用其他技術(shù)，入侵者也會(huì)找到密碼。木馬tiny telnet server就開(kāi)放這個(gè)端 口。端口： 25服務(wù)：smtp說(shuō)明：smtp服務(wù)器所開(kāi)放的端口，用于發(fā)送郵件。入侵者尋找smtp服務(wù)器是為了傳遞他們的 spamo入侵者的帳戶(hù)被關(guān)閉，他們盂要連接到高帶寬的e-mail服務(wù)器上

9、，將簡(jiǎn)單的信息傳遞到不 同的地址。木馬 antigen、email password sender、haebu coceda、shtrilitz stealth> winpc> winspy 都開(kāi)放這個(gè)端口。端口： 31服務(wù)：msg authentication說(shuō)明：木馬 master paradise、hackers paradise 開(kāi)放此端li。端 i i ： 42服務(wù):wins replication說(shuō)明:wins復(fù)制端口： 53服務(wù)：domain name server (dns)說(shuō)明：dns服務(wù)器所開(kāi)放的端口，入侵者可能是試圖進(jìn)行區(qū)域傳遞(tcp),欺騙dns (udp

10、)或 隱藏其他的通信。因此防火墻常常過(guò)濾或記錄此端口。端口： 67服務(wù)：bootstrap protocol server說(shuō)明：通過(guò)dsl和cable modem的防火墻常會(huì)看見(jiàn)人量發(fā)送到廣播地址55的數(shù)據(jù)。 這些機(jī)器在向dhcp服務(wù)器請(qǐng)求一個(gè)地址。hacker常進(jìn)入它們，分配一個(gè)地址把自己作為局部路 由器而發(fā)起大量中間人(man-in-middle)攻擊?？蛻?hù)端向68端口廣播請(qǐng)求配置,服務(wù)器向67端口 廣播回應(yīng)請(qǐng)求。這種回應(yīng)使用廣播是因?yàn)榭蛻?hù)端還不知道可以發(fā)送的ip地址。端口： 69服務(wù)：trival file transfer說(shuō)明：許多服務(wù)器與bootp 起提供這

11、項(xiàng)服務(wù)，便于從系統(tǒng)下載啟動(dòng)代碼。但是它們常常由丁-錯(cuò)謀配 置而使入侵者能從系統(tǒng)屮竊取任何文件。它們也可用于系統(tǒng)寫(xiě)入文件。端口： 79服務(wù)：finger server說(shuō)明：入侵者用于獲得用戶(hù)信息，査詢(xún)操作系統(tǒng)，探測(cè)己知的緩沖區(qū)溢出錯(cuò)誤，回應(yīng)從向己機(jī)器到其 他機(jī)器finger掃描。端口： 80服務(wù)：http說(shuō)明：用于網(wǎng)頁(yè)瀏覽。木馬executor開(kāi)放此端口。端口： 99服務(wù):gram relay說(shuō)明:后門(mén)程序ncx99開(kāi)放此端口。端口： 102服務(wù)：message transfer agent(mta)-x.4oo over tcp/ip說(shuō)明：消息傳輸代理。端口： 109服務(wù)：post offic

12、e protocol -version3說(shuō)明：pop3服務(wù)器開(kāi)放此端口，用于接收郵件，客戶(hù)端訪問(wèn)服務(wù)器端的郵件服務(wù)。pop3服務(wù)有許 多公認(rèn)的弱點(diǎn)。關(guān)于用戶(hù)名和密碼交換緩沖區(qū)溢出的弱點(diǎn)至少有20個(gè)，這意味著入侵者對(duì)以在真止 登陸前進(jìn)入系統(tǒng)。成功登陸后還有其他緩沖區(qū)溢出錯(cuò)誤。端口： 110服務(wù)：sun公司的rpc服務(wù)所有端口說(shuō)明：常見(jiàn) rpc 服務(wù)有* rpc.mountd、nfs、rpc.statd, rpc.csmd, rpc.ttybd、amd 等端 u： 113服務(wù)：authentication service說(shuō)明：這是一個(gè)許多計(jì)算機(jī)上運(yùn)行的協(xié)議，用丁-鑒別tcp連接的用戶(hù)。使用標(biāo)準(zhǔn)的這

13、種服務(wù)可以獲 得許多計(jì)算機(jī)的信息。但是它可作為許多服務(wù)的記錄器，尤其是ftp、pop、imap、smtp和irc 等服務(wù)。通常如果有許多客戶(hù)通過(guò)防火墻訪問(wèn)這些服務(wù)，將會(huì)看到許多這個(gè)端口的連接請(qǐng)求。記住， 如果阻斷這個(gè)端口客戶(hù)端會(huì)感覺(jué)到在防火墻刃一邊與e-mail服務(wù)器的緩慢連接。許多防火墻支持 tcp連接的阻斷過(guò)穆中發(fā)回rst0這將會(huì)停止緩慢的連接。端口： 119服務(wù)：network news transfer protocol說(shuō)明：news新聞組傳輸協(xié)議，承載usenet通信。這個(gè)端口的連接通常是人們?cè)趯ふ襲senet 服務(wù)器。多數(shù)isp限制，只有他們的客戶(hù)才能訪問(wèn)他們的新聞纟i服務(wù)器。打開(kāi)

14、新聞組服務(wù)器將允許發(fā) /讀任何人的帖子，訪問(wèn)被限制的新聞組服務(wù)器，匿名發(fā)帖或發(fā)送spamo端口: 135服務(wù)：location service說(shuō)明：microsoft在這個(gè)端口運(yùn)行dce rpc end-point mapper為它的dcom服務(wù)。這與unix 111 端口的功能很相似。使用dcom和rpc的服務(wù)利用計(jì)算機(jī)上的end-point mapper注冊(cè)它們的位置。 遠(yuǎn)端客八連接到計(jì)算機(jī)時(shí)，它們查找end-point mapper找到服務(wù)的位置。hacker掃描計(jì)算機(jī)的這 個(gè)端口是為了找到這個(gè)計(jì)算機(jī)上運(yùn)行exchange server嗎？什么版本？還有些dos攻擊直接針對(duì)這 個(gè)端口。端

15、口: 137> 138、139服務(wù)：netbios name service說(shuō)明：其中137、138是udp端口，當(dāng)通過(guò)網(wǎng)上鄰居傳輸文件時(shí)用這個(gè)端口。而139端口：通過(guò)這 個(gè)端口進(jìn)入的連接試圖獲得netbios/smb服務(wù)。這個(gè)協(xié)議被用于windows文件和打印機(jī)共亨和 sambao 還有 wins regisrtation 也川它。端 口： 143服務(wù)：interim mail access protocol v2說(shuō)明:和pop3的安全問(wèn)題一樣,許多imap服務(wù)器存在有緩沖區(qū)溢出漏洞。記住:一種linux蠕 蟲(chóng)(admvorm)會(huì)通過(guò)這個(gè)端口繁殖，因此許多這個(gè)端口的掃描來(lái)自不知情的已經(jīng)

16、被感染的用戶(hù)。當(dāng) redhat在他們的linux發(fā)布版本中默認(rèn)允許imap后，這些漏洞變的很流行。這一端口還被用于 imap2,但并不流行。端口： 161服務(wù)：snmp說(shuō)明：snmp允許遠(yuǎn)程管理設(shè)備。所有配置和運(yùn)行信息的儲(chǔ)存在數(shù)據(jù)庫(kù)中，通過(guò)snmp可獲得這些 信息。許多管理員的錯(cuò)誤配置將被暴露在interneto cackers將試圖使用默認(rèn)的密碼public、private 訪問(wèn)系統(tǒng)。他們可能會(huì)試驗(yàn)所有可能的組合。snmp包町能會(huì)被錯(cuò)誤的指向用戶(hù)的網(wǎng)絡(luò)。端口： 177服務(wù)：x display manager control protocol說(shuō)明：許多入侵者通過(guò)它訪問(wèn)x-windows操作臺(tái)，

17、它同時(shí)需要打開(kāi)6000端口。端口: 389服務(wù)：ldap. ils說(shuō)明:輕型目錄訪問(wèn)協(xié)議和netmeeting internet locator server共用這-端口。端口： 443服務(wù)：https說(shuō)明：網(wǎng)頁(yè)瀏覽端口，能提供加密和通過(guò)安全端口傳輸?shù)牧硪环Nhttp。端口： 456服務(wù)：null說(shuō)明：木馬hackers paradise開(kāi)放此端口。端口： 513服務(wù)：login,remote login說(shuō)明：是從使m cable modem或dsl登陸到了網(wǎng)中的unix w機(jī)發(fā)出的廣播。這些人為入侵者進(jìn) 入他們的系統(tǒng)提供了信息。端口： 544服務(wù):null說(shuō)明：kerberos kshell端

18、口： 548服務(wù)：macintosh,file services(afp/ip)說(shuō)明:macintosh,文件服務(wù)。端口： 553服務(wù)：corba hop (udp)說(shuō)明：使用cable modem> dsl或vlan將會(huì)看到這個(gè)端i 1的廣播。corba是一種面向?qū)ο蟮膔pc 系統(tǒng)。入侵者可以利用這些信息進(jìn)入系統(tǒng)。端口： 555服務(wù)：dsf說(shuō)明：木馬 phasel.os stealth spy> inikiller 開(kāi)放此端口。端口: 568服務(wù)：membership dpa說(shuō)明：成員資榕dpao端口： 569月艮務(wù)：membership msn說(shuō)明：成員資格msno端口： 63

19、5服務(wù)：mountd說(shuō)明：linux的mountd bug。這是掃描的一個(gè)流行bug。大多數(shù)對(duì)這個(gè)端口的掃描是基于udp的, 但是基于tcp的mountd有所增加(mountd同時(shí)運(yùn)行于兩個(gè)端口)。記住mountd對(duì)運(yùn)行于任何端 口(到底是哪個(gè)端口,需要在端口 111 > portmap查詢(xún))，只是linux默認(rèn)端口是635,就像nfs 通常運(yùn)行于2049端口。端口： 636服務(wù)：ldap說(shuō)明：ssl (secure sockets layer)端口: 666服務(wù)：doom id software說(shuō)明：木馬 attack ftp> satanz backdoor 放此端口端口: 9

20、93服務(wù)：imap說(shuō)明:ssl (secure sockets layer)端口： 1001. 1011服務(wù):null說(shuō)明：木馬silencer. webex開(kāi)放1001端口。木馬doly trojan開(kāi)放10門(mén) 端口。端口: 1024服務(wù)：reserved說(shuō)明：它是動(dòng)態(tài)端口的開(kāi)始，許多程序并不在乎用哪個(gè)端口連接網(wǎng)絡(luò)，它們請(qǐng)求系統(tǒng)為它們分配下一 個(gè)閑置端口?；谶@一點(diǎn)分配從端口 1024開(kāi)始。這就是說(shuō)第一個(gè)向系統(tǒng)發(fā)出請(qǐng)求的會(huì)分配到1024 端口。你可以重啟機(jī)器,打開(kāi)telnet,再打開(kāi)一個(gè)窗口運(yùn)行natstat -a將會(huì)看到telnet被分配1024 端口。還有sql session也用此端口

21、和5000端口 °端口： 1025、1033服務(wù)：1025： network blackjack 1033： null說(shuō)明：木馬netspy開(kāi)放這2個(gè)端口。端口： 1080服務(wù)：socks說(shuō)明：這一協(xié)議以通道方式穿過(guò)防火墻，允許防火墻后面的人通過(guò)一個(gè)ip地址訪問(wèn)interneto理 論上它應(yīng)該只允許內(nèi)部的通信向外到達(dá)interneto但是由于錯(cuò)課的配置，它會(huì)允許位于防火墻外 部的攻擊穿過(guò)防火墻。wingate常會(huì)發(fā)生這種錯(cuò)誤，在加入irc聊天室吋常會(huì)看到這種情況。端口: 1170服務(wù):null說(shuō)明:木馬 streaming audio trojan > psyber strea

22、m server. voice 開(kāi)放此端口。端口： 1234、1243. 671k 6776服務(wù)：null說(shuō)明：木馬 subseven2.0、ultors trojan 開(kāi)放 1234、6776 端口。木subseven1.0/1.9 開(kāi)放 1243、 6711. 6776 端口。端口： 1245服務(wù):null說(shuō)明：木馬vodoo開(kāi)放此端口。端口： 1433服務(wù)：sql說(shuō)明：microsoft的sql服務(wù)開(kāi)放的端口。端口： 1492服務(wù)：stone-design-1說(shuō)明：木馬ftp99cmp開(kāi)放此端口。端口： 1500服務(wù):rpc die nt fixed port sessi on queries說(shuō)明：rpc客戶(hù)固泄端口會(huì)話查詢(xún)端口: 1503服務(wù)：netmeetingt.120說(shuō)明:netmeeting t.120端口： 1524服務(wù)：ingress說(shuō)明：許多攻擊腳本將安裝一個(gè)后門(mén)shell于這個(gè)端口，尤其是針對(duì)sun系統(tǒng)中sendmail和rpc 服務(wù)漏洞的腳本。如果剛安裝了防火墻就