17、常見端口的介紹
TCP
21 FTP
22 SSH
23
TELNET
25 TCP SMTP
53 TCP DNS
80
HTTP
135 epmap
138 [衝擊波]
139 smb
445
1025
DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026
DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631
TCP PCANYWHERE
5632 UDP PCANYWHERE
3389 Terminal
Services
4444[衝擊波]
UDP
67[衝擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
SNMPAgent
關於UDP一般只有騰訊QQ會打開4000或者是8000端口或者8080,那麼,我們只運行本機使用4000這幾個端口就行了
附:1 端口基礎知識大全
端口分為3大類
1)公認端口(Well Known Ports):從0到1023,它們緊密綁定於一些服務。通常 這些端口的通訊明確表明了某種服務的協議。例如:80端口實際上總是h++p通訊。
2)註冊端口(Registered Ports):從1024到49151。它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些端口,這些端口同樣用於許多其它目的。例如: 許多系統處理動態端口從1024左右開始。
3)動態和/或私有端口(Dynamic and/or Private Ports):從49152到65535。
理論上,不應為服務分配這些端口。實際上,機器通常從1024起分配動態端口。但也 有例外:SUN的RPC端口從32768開始。
本節講述通常TCP/UDP端口掃瞄在防火牆記錄中的信息。
記住:並不存在所謂ICMP端口。如果你對解讀ICMP數據感興趣,請參看本文的其它部分。
0 通常用於分析操作系統。這一方公能夠工作是因為在一些系統中「0」是無效端口,當你試 圖使用一 種通常的閉合端口連接它時將產生不同的結果。一種典型的掃瞄:使用IP地址為0.0.0.0,設置ACK位並在以太網層廣播。
1 tcpmux這顯示有人在尋找SGIIrix機器。Irix是實現tcpmux的主要提供者,缺省情況下tcpmux在這種系統中被打開。Iris 機器在發佈時含有幾個缺省的無密碼的帳戶,如lp,guest,uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,和4Dgifts。許多管理員安裝後忘記刪除這些帳戶。因此Hacker們在Internet上搜索 tcpmux 並利用這些帳戶。
7Echo你能看到許多人們搜索Fraggle放大器時,發送到x.x.x.0和x.x.x.255的信息。常見的一種DoS攻擊是echo循環(echo-loop),攻擊者偽造從一個機器發送到另一個UDP數據包,而兩個機器分別以它們最快的方式回應這些數據包。(參見Chargen)另一種東西是由DoubleClick在詞端口建立的TCP連接。有一種產品叫做Resonate GlobalDispatch」,它與DNS的這一端口連接以確定最近的路 由。Harvest/squidcache將從3130端口發送UDPecho:「如果將cache的source_ping on選項打開,它將對原始主機的UDP echo端口回應一個HITreply。」這將會產生許多這類數據包。
11sysstat這是一種UNIX服務,它會列出機器上所有正在運行的進程以及是什麼啟動 了這些進程。這為入侵者提供了許多信息而威脅機器的安全,如暴露已知某些弱點或帳戶的程序。這與UNIX系統中「ps」命令的結果相似再說一遍:ICMP沒有端口,ICMP port 11通常是ICMPtype=1119 chargen
這是一種僅僅發送字符的服務。UDP版本將 會在收到UDP包後回應含有用處不大!字符的包。TCP連接時,會發送含有用處不大!字符的數據流知道連接關閉。Hacker利用IP欺騙可以發動DoS 攻擊偽造兩個chargen服務器之間的UDP由於服務器企圖回應兩個服務器之間的無限 的往返數據通訊一個chargen和echo將導致服務器過載。同樣fraggleDoS攻擊向目標 地址的這個端口廣播一個帶有偽造受害者IP的數據包,受害者為了回應這些數據而過載。
21ftp最常見的攻擊者用於尋找打開「anonymous」的ftp服務器的方*。這些服務器帶有可讀寫的目錄。Hackers或tackers利用這些服務器作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜索引擎分類)的節點。
22 sshPcAnywhere建立TCP和這一端口的連接可能是為了尋找ssh。這一服務有許多弱點。如果配置成特定的模式,許多使用RSAREF庫的版本有不少漏洞。(建議在其它端口運行ssh)還應該注意的是ssh工具包帶有一個稱為ake-ssh-known-hosts的程序。它會掃瞄整個域的ssh主機。你有時會被使用這一程序的人無意中掃瞄到。
UDP(而不是TCP)與另一端的5632端口相連意味著存在搜索pcAnywhere的掃瞄。5632(十六進 制的0x1600)位交換後是0x0016(使進制的22)。
23 Telnet入侵者在搜索遠程登陸UNIX的服務。大多數情況下入侵者掃瞄這一端口是 為了找到機器運行的*作系統。此外使用其它技術,入侵者會找到密碼。
#225 smtp攻擊者(spammer)尋找SMTP服務器是為了傳遞他們的spam。入侵者的帳戶總被關閉,他們需要撥號連接到高帶寬的e-mail服務器上,將簡單的信息傳遞到不同的地址。SMTP服務器(尤其是sendmail)是進入系統的最常用方法之一,因為它們必須完整的暴露於Internet且郵件的路由是複雜的(暴露+複雜=弱點)。
53DNSHacker或crackers可能是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏 其它通訊。因此防火牆常常過濾或記錄53端口。
需要注意的是你常會看到53端口做為 UDP源端口。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回復。Hacker 常使用這種方法穿透防火牆。
67和68 Bootp和DHCPUDP上的Bootp/DHCP:通過DSL和cable-modem的防火牆常會看見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP服務器請求一個地址分配。Hacker常進入它們分配一個地址把自己作為局部路由器而發起大量的「中間人」(man-in-middle)攻擊。客戶端向68端口(bootps)廣播請求配置,服務器向67端口(bootpc)廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發 送的IP地址。69 TFTP(UDP)許多服務器與bootp一起提供這項服務,便於從系統下載 啟動代碼。但是它們常常錯誤配置而從系統提供任何文件,如密碼文件。它們也可用 於向系統寫入文件79 finger Hacker用於獲得用戶信息,查詢*作系統,探測已知的緩衝區溢出錯誤,回應從自己機器到其它機器finger掃瞄。
98linuxconf 這個程序提供linuxboxen的簡單管理。通過整合的h++p服務器在98端口提供基於Web界面的服務。它已發現有許多安全問題。一些版本setuidroot,信任局域網,在/tmp下建立Internet可訪問的文件,LANG環境變量有緩衝區溢出。此外 因為它包含整合的服務器,許多典型的h++p漏洞可能存在(緩衝區溢出,歷遍目錄等)109 POP2並不像POP3那樣有名,但許多服務器同時提供兩種服務(向後兼容)。在同一個服務器上POP3的漏洞在POP2中同樣存在。
110POP3用於客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交換緩衝區溢出的弱點至少有20個(這意味著Hacker可以在真正登陸前進 入系統)。成功登陸後還有其它緩衝區溢出錯誤。
111 sunrpcportmap rpcbind Sun RPCPortMapper/RPCBIND。訪問portmapper是 掃瞄系統查看允許哪些RPC服務的最早的一步。常見RPC服務有:pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提供 服務的特定端口測試漏洞。記住一定要記錄線路中的daemon, IDS, 或sniffer,你可以發現入侵者正使用什麼程序訪問以便發現到底發生了什麼。
113 Ident auth .這是一個許多機器上運行的協議,用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多機器的信息(會被Hacker利用)。但是它可作為許多服 務的記錄器,尤其是FTP, POP, IMAP,SMTP和IRC等服務。通常如果有許多客戶通過 防火牆訪問這些服務,你將會看到許多這個端口的連接請求。記住,如果你阻斷這個端口客戶端會感覺到在防火牆另一邊與e-mail服務器的緩慢連接。許多防火牆支持在 TCP連接的阻斷過程中發回T,著將回停止這一緩慢的連接。
119NNTP news新聞組傳輸協議,承載USENET通訊。當你鏈接到諸 如:news:p.security.firewalls/. 的地址時通常使用這個端口。這個端口的連接 企圖通常是人們在尋找USENET服務器。多數ISP限制只有他們的客戶才能訪問他們的新聞組服務器。打開新聞組服務器將允許發/讀任何人的帖子,訪問被限制的新聞組服務 器,匿名發帖或發送spam。
135 oc-serv MS RPCend-point mapper Microsoft在這個端口運行DCE RPC end- point mapper為它的DCOM服務。這與UNIX111端口的功能很相似。使用DCOM和/或 RPC的服務利用 機器上的end-pointmapper註冊它們的位置。遠端客戶連接到機器時,它們查詢end-point mapper找到服務的位置。同樣Hacker掃瞄 機器的這個端口是為了找到諸如:這個機器上運行Exchange Server嗎?是什麼版 本? 這個端口除了被用來查詢服務(如使用epdump)還可以被用於直接攻擊。有一些 DoS攻擊直接針對這個端口。
137 NetBIOS name service nbtstat (UDP)這是防火牆管理員最常見的信息,請仔細閱讀文章後面的NetBIOS一節 139 NetBIOS File and Print Sharing通過這個端口進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於Windows「文件和打印機共享」和SAMBA。在Internet上共享自己的硬盤是可能是最常見的問題。 大量針對這一端口始於1999,後來逐漸變少。2000年又有回升。一些VBS(IE5VisualBasic***ing)開始將它們自己拷貝到這個端口,試圖在這個端口繁殖。
143IMAP和上面POP3的安全問題一樣,許多IMAP服務器有緩衝區溢出漏洞運行登陸過程中進入。記住:一種Linux蠕蟲(admw0rm)會通過這個端口繁殖,因此許多這個端口的掃瞄來自不知情的已被感染的用戶。當RadHat在他們的Linux發佈版本中默認允許IMAP後,這些漏洞變得流行起來。Morris蠕蟲以後這還是第一次廣泛傳播的蠕蟲。 這一端口還被用於IMAP2,但並不流行。
已有一些報道發現有些0到143端口的攻擊源 於腳本。
161 SNMP(UDP)入侵者常探測的端口。SNMP允許遠程管理設備。所有配置和運行信息都儲存在數據庫中,通過SNMP客獲得這些信息。許多管理員錯誤配置將它們暴露於Internet。Crackers將試圖使用缺省的密碼「public」「private」訪問系統。他們 可能會試驗所有可能的組合。
SNMP包可能會被錯誤的指向你的網絡。Windows機器常 會因為錯誤配置將HPJetDirect rmote management軟件使用SNMP。HPOBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網 內廣播(cable modem,DSL)查詢sysName和其它信息。
162 SNMP trap 可能是由於錯誤配置
177 xdmcp 許多Hacker通過它訪問X-Windows控制台,它同時需要打開6000端口。
513 rwho 可能是從使用cablemodem或DSL登陸到的子網中的UNIX機器發出的廣播。 這些人為Hacker進入他們的系統提供了很有趣的信息
553 CORBA IIOP(UDP) 如果你使用cable modem或DSL VLAN,你將會看到這個端口 的廣播。
CORBA是一種面向對象的RPC(remote procedurecall)系統。Hacker會利 用這些信息進入系統。 600 Pcserver backdoor請查看1524端口一些玩***的孩子認為他們通過修改ingreslock和pcserver文件已經完全攻破了系統-- AlanJ. Rosenthal.635 mountdLinux的mountd Bug。這是人們掃瞄的一個流行的Bug。大多數對這個端口的掃瞄是基於UDP的,但基於TCP的mountd有所增加(mountd同時運行於兩個端口)。記住,mountd可運行於任何端口(到底在哪個端口,需要在端口111做portmap查詢),只是Linux默認為635端口,就像NFS通常運行於20491024 許多人問這個端口是幹什麼的。它是動態端口的開始。許多程序並不在乎用哪個端口連接網絡,它 們請求*作系統為它們分配「下一個閒置端口」。基於這一點分配從端口1024開始。
這意味著第一個向系統請求分配動態端口的程序將被分配端口1024。為了驗證這一 點,你可以重啟機器,打開Telnet,再打開一個窗口運行「natstat-a」,你將會看 到Telnet被分配1024端口。請求的程序越多,動態端口也越多。*作系統分配的端口將逐漸變大。再來一遍,當你瀏覽Web頁時用「netstat」查看,每個Web頁需要一個 新端口。 ?ersion 0.4.1, June 20, 2000
h++p://www.robertgraham.com/ pubs/firewall-seen.html Copyright
1998-2000 by Robert Graham (mailto:firewall-seen1@robertgraham.com.
All rights reserved. This document may only be reproduced (whole orin part)
for
non-commercial purposes. All reproductions must
contain this copyright
notice and must not be altered, except by
permission of the
author.
#3
1025 參見1024
1026參見1024
1080 SOCKS
這一協議以管道方式穿過防火牆,允許防火牆後面的許多人通過一個IP 地址訪問Internet。理論上它應該只允許內部的通信向外達到Internet。但是由於錯誤的配置,它會允許Hacker/Cracker 的位於防火牆外部的攻擊穿過防火牆。或者簡單地回應位於Internet上的計算機,從而掩飾他們對你的直接 攻擊。
WinGate是一種常見的Windows個人防火牆,常會發生上述的錯誤配置。在加入IRC聊 天室時常會看到這種情況。
1114 SQL系統本身很少掃瞄這個端口,但常常是sscan腳本的一部分。
1243 Sub-7木馬(TCP)參見Subseven部分。
1524ingreslock後門 許多攻擊腳本將安裝一個後門Sh*ll 於這個端口(尤其是那些針對Sun系統中Sendmail和RPC服務漏洞的腳本,如statd,ttdbserver和cmsd)。如果你剛剛安裝了你的防火牆就看到在這個端口上的連接企圖,很可能是上述原因。你 可以試試Telnet到你的機器上的這個端口,看看它是否會給你一個Sh*ll 。連接到600/pcserver也存在這個問題。
2049 NFS NFS程序常運行於這個端口。通常需要訪問portmapper查詢這個服務運行於哪個端口,但是大部分情況是安裝後NFS杏謖飧齠絲塚?acker/Cracker因而可以閉開 portmapper直接測試這個端口。
3128 squid這是Squid h++p代理服務器的默認端口。攻擊者掃瞄這個端口是為了搜 尋一個代理服務器而匿名訪問Internet。你也會看到搜索其它代理服務器的端口:000/8001/8080/8888。掃瞄這一端口的另一原因是:用戶正在進入聊天室。
其它用戶(或服務器本身)也會檢驗這個端口以確定用戶的機器是否支持代理。請查看5.3節。
5632pcAnywere你會看到很多這個端口的掃瞄,這依賴於你所在的位置。當用戶打開pcAnywere時,它會自動掃瞄局域網C類網以尋找可能得代理(譯者:指agent而不是proxy)。Hacker/cracker也會尋找開放這種服務的機器,所以應該查看這種掃瞄的源地址。一些搜尋pcAnywere的掃瞄常包含端口22的UDP數據包。參見撥號掃瞄。
6776 Sub-7 artifact 這個端口是從Sub-7主端口分離出來的用於傳送數據的端口。 例如當控制者通過電話線控制另一台機器,而被控機器掛斷時你將會看到這種情況。 因此當另一人以此IP撥入時,他們將會看到持續的,在這個端口的連接企圖。(譯者:即看到防火牆報告這一端口的連接企圖時,並不表示你已被Sub-7控制。
6970 RealAudio客戶將從服務器的6970-7170的UDP端口接收音頻數據流。這是由TCP7070 端口外向控制連接設置13223 PowWow PowWow是Tribal Voice的聊天程序。它允許 用戶在此端口打開私人聊天的接。這一程序對於建立連接非常具有「進攻性」。它會「駐紮」在這一TCP端口等待回應。這造成類似心跳間隔的連接企圖。如果你是一個 撥號用戶,從另一個聊天者手中「繼承」了IP地址這種情況就會發生:好像很多不同的人在測試這一端口。這一協議使用「OPNG」作為其連接企圖的前四個字節。
17027Conducent這是一個外向連接。這是由於公司內部有人安裝了帶有Conducent"adbot" 的共享軟件。
Conducent"adbot"是為共享軟件顯示廣告服務的。使用這種服務的一種流行的軟件是Pkware。有人試驗:阻斷這一外向連接不會有任何問題,但是封掉IP地址本身將會導致adbots持續在每秒內試圖連接多次而導致連接過載:
機器會不斷試圖解析DNS名─ads.conducent.com,即IP地址216.33.210.40 ; 216.33.199.77
;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者:不知NetAnts使用的Radiate是否也有這種現象)
27374 Sub-7木馬(TCP) 參見Subseven部分。
30100NetSphere木馬(TCP) 通常這一端口的掃瞄是為了尋找中了NetSphere木馬。
31337 Back Orifice「eliteHacker中31337讀做「elite」/ei』li:t/(譯者:* 語,譯為中堅力量,精華。即 3=E, 1=L,7=T)。因此許多後門程序運行於這一端 口。其中最有名的是Back Orifice。曾經一段時間內這是Internet上最常見的掃瞄。 現在它的流行越來越少,其它的 木馬程序越來越流行。
31789 Hack-a-tack這一端口的UDP通訊通常是由於"Hack-a-tack"遠程訪問木馬 (RAT,RemoteAccessTrojan)。這種木馬包含內置的31790端口掃瞄器,因此任何 31789端口到317890端口的連 接意味著已經有這種入侵。(31789端口是控制連接,317890端口是文件傳輸連接)
32770~32900 RPC服務 Sun Solaris的RPC服務在這一範圍內。詳細的說:早期版本的Solaris(2.5.1之前)將 portmapper置於這一範圍內,即使低端口被防火牆封閉仍然允許Hacker/cracker訪問這一端口。 掃瞄這一範圍內的端口不是為了尋找 portmapper,就是為了尋找可被攻擊的已知的RPC服務。
33434~33600 traceroute 如果你看到這一端口範圍內的UDP數據包(且只在此範圍 之內)則可能是由於traceroute。參見traceroute分。
41508 Inoculan早期版本的Inoculan會在子網內產生大量的UDP通訊用於識別彼此。
參見
h++p://www.circlemud.org/~jelson/software/udpsend.html
h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留端口,所以它們幾乎不會是源端口。但有一些例外,例如來自NAT機器的連接。
常看見 緊接著1024的端口,它們是系統分配給那些並不在乎使用哪個端口連接的應用程序
的「動態端口」。 Server Client 服務描述
1-5/tcp 動態 FTP 1-5端口意味著sscan腳本
20/tcp 動態 FTP
FTP服務器傳送文件的端口
53 動態 FTP DNS從這個端口發送UDP回應。你也可能看見源/目標端口的TCP連 接。
123 動態
S/NTP 簡單網絡時間協議(S/NTP)服務器運行的端口。它們也會發送 到這個端口的廣播。
27910~27961/udp 動態 Quake
Quake或Quake引擎驅動的遊戲在這一端口運行其 服務器。因此來自這一端口範圍的UDP包或發送至這一端口範圍的UDP包通常是遊戲。
61000以上
動態 FTP 61000以上的端口可能來自Linux NAT服務器
#4 補充、端口大全(中文翻譯)
1 tcpmux TCP Port Service Multiplexer 傳輸控制協議端口服務多路開關選擇器
2 compressnet Management Utility compressnet 管理實用程序
3 compressnet Compression Process 壓縮進程
5 rje Remote Job Entry 遠程作業登錄
7 echo Echo 回顯
9 discard Discard 丟棄
11 systat Active Users 在線用戶
13 daytime Daytime 時間
17 qotd Quote of the Day 每日引用
18 msp Message Send Protocol 消息發送協議
19 chargen Character Generator 字符發生器
20 ftp-data File Transfer [Default Data] 文件傳輸協議(默認數據口)
21 ftp File Transfer [Control] 文件傳輸協議(控制)
22 ssh SSH Remote Login Protocol SSH遠程登錄協議
23 telnet Telnet 終端仿真協議
24 ? any private mail system 預留給個人用郵件系統
25 smtp Simple Mail Transfer 簡單郵件發送協議
27 nsw-fe NSW User System FE NSW 用戶系統現場工程師
29 msg-icp MSG ICP MSG ICP
31 msg-auth MSG Authentication MSG驗證
33 dsp Display Support Protocol 顯示支持協議
35 ? any private printer server 預留給個人打印機服務
37 time Time 時間
38 rap Route Access Protocol 路由訪問協議
39 rlp Resource Location Protocol 資源定位協議
41 graphics Graphics 圖形
42 nameserver WINS Host Name Server WINS 主機名服務
43 nicname Who Is "綽號" who is服務
44 mpm-***s MPM ***S Protocol MPM(消息處理模塊)標誌協議
45 mpm Message Processing Module [recv] 消息處理模塊
46 mpm-snd MPM [defaultsend] 消息處理模塊(默認發送口)
47 ni-ftp NI FTP NIFTP
48 auditd Digital Audit Daemon 數碼音頻後台服務
49 tacacs Login Host Protocol (TACACS) TACACS登錄主機協議
50 re-mail-ck Remote Mail Checking Protocol 遠程郵件檢查協議
51 la-maint IMP Logical Address Maintenance IMP(接口信息處理機)邏輯地址維護
52 xns-time XNS Time Protocol 施樂網絡服務系統時間協議
53 domain Domain Name Server 域名服務器
54 xns-ch XNS Clearinghouse 施樂網絡服務系統票據交換
55 isi-gl ISIGraphics Language ISI圖形語言
56 xns-auth XNS Authentication 施樂網絡服務系統驗證
57 ? any private terminal access 預留個人用終端訪問
58 xns-mail XNSMail 施樂網絡服務系統郵件
59 ? any private fileservice 預留個人文件服務
60 ? Unassigned 未定義
61 ni-mail NIMAIL NI郵件?
62 acas ACA Services 異步通訊適配器服務
63 whois+whois+ WHOIS+
64 covia Communications Integrator(CI) 通訊接口
65 tacacs-ds TACACS-Database Service TACACS數據庫服務
66 sql*net Oracle SQL*NET OracleSQL*NET
67 bootps Bootstrap ProtocolServer 引導程序協議服務端
68 bootpc Bootstrap ProtocolClient 引導程序協議客戶端
69 tftp Trivial File Transfer 小型文件傳輸協議
70 gopher Gopher 信息檢索協議
71 netrjs-1 Remote Job Service 遠程作業服務
72 netrjs-2 Remote Job Service 遠程作業服務
73 netrjs-3 Remote Job Service 遠程作業服務
74 netrjs-4 Remote Job Service 遠程作業服務
75 ? any private dial out service 預留給個人撥出服務
76 deos Distributed External Object Store 分佈式外部對像存儲
77 ? any private RJE service 預留給個人遠程作業輸入服務
78 vettcp vettcp 修正TCP?
79 finger Finger FINGER(查詢遠程主機在線用戶等信息)
80 http World Wide Web HTTP 全球信息網超文本傳輸協議
81 hosts2-ns HOSTS2 Name Server HOST2名稱服務
82 xfer XFER Utility 傳輸實用程序
83 mit-ml-dev MIT ML Device 模塊化智能終端ML設備
84 ctf Common Trace Facility 公用追蹤設備
85 mit-ml-dev MIT ML Device 模塊化智能終端ML設備
86 mfcobol Micro Focus Cobol Micro Focus Cobol編程語言
87 ? any private terminal link 預留給個人終端連接
88 kerberos Kerberos Kerberros安全認證系統
89 su-mit-tg SU/MIT Telnet Gateway SU/MIT終端仿真網關
90 dnsix DNSIX Securit Attribute Token Map DNSIX 安全屬性標記圖
91 mit-dov MIT Dover Spooler MIT Dover假脫機
92 npp Network Printing Protocol 網絡打印協議
93 dcp Device Control Protocol 設備控制協議
94 objcall Tivoli Object Dispatcher Tivoli對像調度
95 supdup SUPDUP
96 dixie DIXIE Protocol Specification DIXIE協議規範
97 swift-rvf Swift Remote Virtural File Protocol 快速遠程虛擬文件協議
98 tacnews TAC News TAC(東京大學自動計算機)新聞協議
99 metagram Metagram Relay
100 newacct [unauthorized use]