連接埠是作業系統中網路連線的虛擬起始位置。它們可協助電腦對收到的網路流量進行排序。
閱讀本文後,您將能夠:
複製文章連結
連接埠是網路連線開始和結束的虛擬點。連接埠是基於軟體的,並由電腦的作業系統進行管理。每個連接埠都與一個特定的處理序或服務相關。連接埠讓電腦能夠輕鬆區分不同種類的流量:例如,儘管電子郵件與網頁都透過相同的網際網路連線到達電腦,但它們會進入不同的連接埠。
連接埠在網路連接的所有裝置中都統一標準,每個連接埠都有一個號碼。大多數連接埠為某些通訊協定而保留,例如,所有超文字傳輸通訊協定 (HTTP) 訊息都進入連接埠 80。IP 位址使訊息能夠進出特定裝置,而連接埠號碼允許針對這些裝置中的特定服務或應用程式。
在同一個網路連線上,有大量不同類型的資料進出電腦。連接埠的使用有助於電腦瞭解如何處理它們收到的資料。
假設 Bob 使用檔案傳輸通訊協定 (FTP) 將 MP3 錄音傳輸給 Alice。如果 Alice 的電腦將 MP3 檔案資料傳遞給 Alice 的電子郵件應用程式,電子郵件應用程式將不知道如何解譯它。但是因為 Bob 的檔案傳輸使用了為 FTP 指定的連接埠(連接埠 21),所以 Alice 的電腦能夠接收和儲存檔案。
同時,Alice 的電腦可以使用連接埠 80 載入 HTTP 網頁,即使網頁檔案和 MP3 聲音檔案都透過同一個 WiFi 連線流向 Alice 的電腦。
OSI 模型是網際網路運作方式的概念模型。它將不同的網際網路服務和處理序劃分為 7 層。這些層是:
連接埠是一個傳輸層(第四層)概念。只有傳輸控制通訊協定 (TCP) 或使用者資料包通訊協定 (UDP) 之類的傳輸通訊協定才能指示封包應去往哪個連接埠。TCP 和 UDP 標頭有一個用於指示連接埠號碼的區段。網路層通訊協定(例如,網際網路通訊協定 (IP))不知道在給定的網路連線中使用什麼連接埠。在標準的 IP 標頭中,沒有任何地方可以表明封包應該去往哪個連接埠。IP 標頭只表明目的地 IP 位址,而不是該 IP 位址的連接埠號碼。
通常,無法在網路層表明連接埠對網路處理序沒有影響,因為網路層通訊協定幾乎總是與傳輸層通訊協定結合使用。但是,這確實會影響測試軟體的功能,這是使用網際網路控制訊息通訊協定 (ICMP) 封包「ping」IP 位址的軟體。ICMP 是一種網路層通訊協定,可以 ping 聯網裝置。但如果無法 ping 特定連接埠,網路管理員就無法測試這些裝置中的特定服務。
一些 ping 軟體(如 My Traceroute)提供了傳送 UDP 封包的選項。與不能指定特定連接埠的 ICMP 相反,UDP 是一種可以指定特定連接埠的傳輸層通訊協定。透過向 ICMP 封包新增 UDP 標頭,網路管理員可以測試聯網裝置中的特定連接埠。
防火牆是一種網路安全系統,它基於一組安全規則來封鎖或允許網路流量。防火牆通常位於受信任的網路和不受信任的網路之間;通常,不受信任的網路是網際網路。例如,辦公室網路通常使用防火牆來保護其網路免受在線威脅。
一些攻擊者試圖將惡意流量傳送到隨機連接埠,寄希望於這些連接埠保持「開啟」狀態,這意味著它們能夠接收流量。這種舉措有點像一個偷車賊走在街上,試圖打開停放車輛的門,希望其中一輛車沒有鎖。出於這個原因,防火牆應設定為封鎖指向大多數可用連接埠的網路流量。並不存在什麼正當理由來讓大部分可用連接埠接收流量。
正確設定的防火牆在預設情況下會封鎖前往所有連接埠的流量,但已知的幾個預先確定的常用連接埠除外。例如,企業防火牆可以只開放連接埠 25(用於電子郵件)、80(用於 Web 流量)、443(用於 Web 流量)和少數其他幾個連接埠,允許內部員工使用這些基本服務,然後封鎖其餘 65000 多個連接埠。
舉一個更具體的範例,攻擊者有時試圖透過向連接埠 3389 傳送攻擊流量來利用 RDP 通訊協定的漏洞。為了阻止這些攻擊,防火牆可能會預設封鎖連接埠 3389。由於該連接埠僅用於遠端桌面連線,若員工無需遠端工作,則此規則對日常業務營運幾乎無甚影響。
有 65,535 個可能的連接埠號碼,但並非所有連接埠都常用。下面列出了一些最常用的連接埠及其關聯的網路通訊協定:
Internet Assigned Numbers Authority (IANA) 維護指派給它們的連接埠號碼和通訊協定的完整清單。
入門
關於網路層級
網路類型
網路基礎知識