有些不常见的TCP端口扫描的次数比其他端口少吗？

Question

• 忽略端口扫描器通常针对的公共服务端口号的前5-10% (即端口22-ssh、23-telnet、80-http、139-smb/cifs、443-https、3389-rdp等)，是否以统计随机的方式扫描端口号？换句话说，对于随机IP (即不是定向攻击目标的人的IP )，是否存在或多或少被扫描的端口或端口范围？
• 是否有任何蜜罐可以跟踪随机IP端口扫描的统计数据？

Answer 1

一定。请参阅http://nmap.org/svn/nmap-services以获得端口的列表以及它们打开的预期机会。

国家地图提供了两个与此相关的选项：

--top-ports <number>: Scan <number> most common ports
--port-ratio <ratio>: Scan ports more common than <ratio>

其他方法包括端口< 1024，在/ etc /services文件中列出，等等。默认情况下，Nmap扫描每个协议最常见的1000个端口。我认为nmap是默认的工具，但是当然还有其他的工具是很常见的。

我猜很多端口(49152-65535).未注册的列表)是最不可能被扫描的。另见http://en.wikipedia.org/wiki/List_的_TCP_和_UDP_端口_数字

在任何情况下，我都无法想象，除了产生统计数据，随机扫描与确定性比率扫描相比会有帮助，而且我从未听说过这样做的任何事情。

关于蜜罐方面的一些统计数据，这里有一些文件。http://cseweb.ucsd.edu/~clbailey/PortScans.pdf就是一个例子。

Answer 2

攻击者进行端口扫描的方式是首先针对那些具有已知漏洞或通常保护不力的人。

http://www.iss.net/security_中心/通知/利用/端口/default.htm的列表是一个典型的列表。

当然，您可以得到一些扫描程序，它们可以搜索整个端口范围，但是由于效率要低得多，这个列表将很好地显示扫描最多的端口。

Answer 3

除了@RoryAlsop 's的回答外，NMAP项目还保留了一个端口列表，以及可能被发现是打开的这里，