端口1~1024是保留端口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。参见1.9。

常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。

ServerClient服务描述

1-5/tcp动态FTP1-5端口意味着sscan脚本

20/tcp动态FTPFTP服务器传送文件的端口53动态FTPDNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。

123动态S/NTP简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播。

27910~27961/udp动态QuakeQuake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

61000以上动态FTP61000以上的端口可能来自LinuxNAT服务器（IPMasquerade）

为了发现你的机器是否被种了木马，运行“NETSTAT－an”。查看是否出现下列端口的连接。PortTrojan555phAsezero1243Sub-7,SubSeven3129MastersParadise6670DeepThroat6711Sub-7,SubSeven6969GateCrasher21544GirlFriend12345NetBus23456EvilFtp27374Sub-7,SubSeven30100NetSphere31789Hack‘a‘Tack31337BackOrifice,andmanyothers50505SocketsdeTroie