廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1940 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 如何查看開放的端口
如何查看開放的端口
作者: 362909821 發表日期: 2006-09-01 15:28 文章屬性: 轉載 複製鏈結
http://big5.ccidnet.com:89/gate/big5/362909821.blog.cci...wone/tid_85196.html#89801

關於netstat命令,我們先來看看windows幫助文件中的介紹:

Netstat

顯示協議統計和當前的 TCP/IP 網路連接。該命令只有在安裝了 TCP/IP 協議後才可以使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

參數

-a

顯示所有連接和偵聽端口。伺服器連接通常不顯示。

-e

顯示乙太網統計。該參數可以與 -s 選項結合使用。

-n

以數字格式顯示地址和端口號(而不是嘗試搜尋名稱)。
-s

顯示每個協議的統計。默認情況下,顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可以用來指定默認的子集。

-p protocol

顯示由 protocol 指定的協議的連接;protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個協議的統計,protocol 可以是 tcp、udp、icmp 或 ip。

-r

顯示路由表的內容。

interval

重新顯示所選的統計,在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數,netstat 將列印一次當前的配置資訊。

好了,看完這些幫助文件,我們應該明白netstat命令的使用方法了。現在就讓我們現學現用,用這個命令看一下自己的機器開放的端口。進入到命令行下,使用netstat命令的a和n兩個參數:

C:\>netstat -an

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0
UDP 0.0.0.0:1046 0.0.0.0:0
UDP 0.0.0.0:1047 0.0.0.0:0

解釋一下,Active Connections是指當前本機活動連接,Proto是指連接使用的協議名稱,Local Address是本地電腦的 IP 地址和連接正在使用的端口號,Foreign Address是連接該端口的遠程電腦的 IP 地址和端口號,State則是表明TCP 連接的狀態,你可以看到後面三行的監聽端口是UDP協議的,所以沒有State表示的狀態。看!我的機器的7626端口已經開放,正在監聽等待連接,像這樣的情況極有可能是已經感染了冰河!急忙斷開網路,用殺毒軟體查殺病毒是正確的做法。
LISTENING:正在監聽,只有tcp端口才可以這樣(如果是udp的話,那麼肯定是木馬)
ESTABLISHED:正在共用,表示兩者連接著(如果135端口這樣的話,注意殺毒)
CLOSE_WAIT:有過連接,現在已經結束了

2.工作在windows2000下的命令行工具fport

使用windows2000的朋友要比使用windows9X的幸運一些,因為可以使用fport這個程式來顯示本機開放端口與進程的對應關係。

Fport是FoundStone出品的一個用來列出系統中所有打開的TCP/IP和UDP端口,以及它們對應應用程式的完整路徑、PID標識、進程名稱等資訊的軟體。在命令行下使用,請看例子:

D:\>fport.exe
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foun...e.com

Pid Process Port Proto Path
748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe
748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

是不是一目了然了。這下,各個端口究竟是什麼程式打開的就都在你眼皮底下了。如果發現有某個可疑程式打開了某個可疑端口,可千萬不要大意哦,也許那就是一隻狡猾的木馬!

Fport的最新版本是2.0。在很多網站都提供下載,但是為了安全起見,當然最好還是到它的老家去下:http://www.foundstone.com/knowledge/zips/fport.zip

3.與Fport功能類似的圖形化介面工具Active Ports

Active Ports為SmartLine出品,你可以用來監視電腦所有打開的TCP/IP/UDP端口,不但可以將你所有的端口顯示出來,還顯示所有端口所對應的程式所在的路徑,本地IP和遠端IP(試圖連接你的電腦IP)是否正在活動。下面是軟體截圖:

是不是很直觀?更棒的是,它還提供了一個關閉端口的功能,在你用它發現木馬開放的端口時,可以立即將端口關閉。這個軟體工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。

其實使用windows xp的用戶無須借助其他軟體即可以得到端口與進程的對應關係,因為windows xp所帶的netstat命令比以前的版本多了一個O參數,使用這個參數就可以得出端口與進程的對應來。

上面介紹了幾種查看本機開放端口,以及端口和進程對應關係的方法,通過這些方法可以輕鬆的發現基於TCP/UDP協議的木馬,希望能給你的愛機帶來幫助。但是對木馬重在防範,而且如果碰上反彈端口木馬,利用驅動程式及動態鏈結庫技術製作的新木馬時,以上這些方法就很難查出木馬的痕跡了。所以我們一定要養成良好的上網習慣,不要隨意運行郵件中的附件,安裝一套殺毒軟體,像國內的瑞星就是個查殺病毒和木馬的好幫手。從網上下載的軟體先用殺毒軟體檢查一遍再使用,在上網時打開網路防火牆和病毒實時監控,保護自己的機器不被可恨的木馬入侵。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣 和信超媒體寬帶網 | Posted:2006-11-12 17:38 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

LISTENING:正在監聽,只有tcp端口才可以這樣(如果是udp的話,那麼肯定是木馬)
ESTABLISHED:正在共用,表示兩者連接著(如果135端口這樣的話,注意殺毒)
CLOSE_WAIT:有過連接,現在已經結束了


爸爸 你一路好走
獻花 x0 回到頂端 [1 樓] From:台灣 和信超媒體寬帶網 | Posted:2006-11-12 17:38 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.059892 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言