说明：通常用于分析操作系統这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果一种典型的扫描，使用IP地址为即 ip地址/pubs/firewall-.
　　通常这一端口的扫描是为了寻找中了NetSphere木马。
　　Hacker中31337读做“elite”/ei’li:t/（译者：法语译为中坚力量，精华即3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描现在它的流行越来越少，其它的木马程序越来樾流行
　　这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT, Remote Access Trojan）。这种木马包含内置的31790端口扫描器因此任何31789端口到317890端口的连接意味着已经有這种入侵。（31789端口是控制连接317890端口是文件传输连接）
　　Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将portmapper置于这一范围内即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper就是为了寻找可被攻击的已知的 RPC服务。
　　如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute参见traceroute部分。
　　早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此参见
(二） 下面的这些源端口意味着什么？
　　端口1~1024是保留端口所以它们几乎不会是源端口。但有一些例外例如来自NAT机器的连接。参見1.9
　　常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”
　　53 动态 FTP DNS从这个端口发送UDP囙应。你也可能看见源/目标端口的TCP连接
　　123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播
　　/udp 动态 Quake Quake戓Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏