Primeiro, os números de porta conhecidos são "bem conhecidos". Eles eliminam algumas suposições sobre a porta na qual um determinado serviço está escutando.
Segundo, as portas 1024 e inferiores só podem ser abertas por root
. Isso dá um nível adicional de "confiança" a esses serviços. I.E., o serviço ao qual estou me conectando na porta 22 deve estar em execução (ou ter sido iniciado) como root. Se um serviço estiver sendo executado em 1234, pode ser qualquer usuário que tenha acesso à caixa que abriu e iniciou um programa "programa-que-age-como-SSHD-mas-intercepta-senhas". (Isso pressupõe que não há NAT ou outros redirecionamentos no lugar - veja a resposta de mmi.)
Também concordou com um ponto feito por mmi - Eu não precisaria executar um programa desnecessariamente como root apenas para obter o número de porta desejado. Se um programa em execução como root fosse comprometido, todo o sistema seria comprometido. No entanto, se um programa já estiver sendo executado como root para outras necessidades, também pode usar o número de porta correto.
Algumas pessoas desaconselham o uso de portas conhecidas em um esforço para "ocultar" serviços comuns que podem ser usados para tentativas de exploração, mas considero que isso seja apenas "segurança por obscuridade" - e não aconselho fazer isso.