端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。参见1.9。 常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务描述 1-5/tcp 动态 FTP 1-5端口意味着sscan脚本 20/tcp 动态 FTP FTP服务器传送文件的端口 53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。 123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。 27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一 端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。 61000以上动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP Masquerade) 为了发现你的机器是否被种了木马,运行“NETSTAT -an”。查看是否出现下列端口的连接。 Port Trojan 555 phAse zero 1243 Sub-7, SubSeven 3129 Masters Paradise 6670 DeepThroat 6711 Sub-7, SubSeven 6969 GateCrasher 21544 GirlFriend 12345 NetBus 23456 EvilFtp 27374 Sub-7, SubSeven 30100 NetSphere 31789 Hack‘a‘Tack 31337 BackOrifice, and many others 50505 Sockets de Troie
(出处:http://www.sheup.com)