1、怎样关闭端口.txt 你妈生你的时候是不是把人给扔了把胎盘养大?别把虾米不当海鲜。别把虾米不当海鲜。怎样关闭端口 每一项服务都对应相应的端口,比如众如周知的 WWW 服务的端口是 80,smtp 是 25,ftp 是21,win2000 安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。 “控制面板”的“管理工具”中的“服务”中来配置。 1、关闭 7.9 等等端口:关闭 Simple TCP/IP Service,支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote o
2、f the Day。 2、关闭 80 口:关掉 WWW 服务。在“服务”中显示名称为“World Wide Web Publishing Service“,通过 Internet 信息服务的管理单元提供 Web 连接和管理。 3、关掉 25 端口:关闭 Simple Mail Transport Protocol (SMTP)服务,它提供的功能是跨网传送电子邮件。 4、关掉 21 端口:关闭 FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。 5、关掉 23 端口:关闭 Telnet 服务,它允许远程用户登录到系统并
3、且使用命令行运行控制台程序。 6、还有一个很重要的就是关闭 server 服务,此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了 win2k 的默认共享,比如 ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。 7、还有一个就是 139 端口,139 端口是 NetBIOS Session 端口,用来文件和打印共享,注意的是运行 samba 的 unix 机器也开放了 139 端口,功能一样。以前流光 2000 用来判断对方主机类型不太准确,估计就是 139 端口开放既认为是 NT 机,现在好了。 关闭 139 口听方法是在“网络和拨号连接”中“本地连接”中选
4、取“Internet 协议(TCP/IP)”属性,进入“高级 TCP/IP 设置” “WINS 设置”里面有一项“禁用 TCP/IP 的 NETBIOS”,打勾就关闭了139 端口。 对于个人用户来说,可以在各项服务属性设置中设为“禁用” ,以免下次重启服务也重新启动,端口也开放了。电脑端口基础知识端口可分为 3 大类: 1) 公认端口(Well Known Ports):从 0 到 1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80 端口实际上总是 HTTP 通讯。 2) 注册端口(Registered Ports):从 1024 到 49151。它们松
5、散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从 1024 左右开始。 3) 动态和/或私有端口(Dynamic and/or Private Ports):从 49152 到 65535。理论上,不应为服务分配这些端口。实际上,机器通常从 1024 起分配动态端口。但也有例外:SUN的 RPC 端口从 32768 开始。 本节讲述通常 TCP/UDP 端口扫描在防火墙记录中的信息。记住:并不存在所谓 ICMP 端口。如果你对解读 ICMP 数据感兴趣,请参看本文的其它部分。 0 通常用于分析操作系统。这一方法能够工作是因为在一些
6、系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用 IP地址为 0.0.0.0,设置 ACK 位并在以太网层广播。 1 tcpmux 这显示有人在寻找 SGI Irix 机器。Irix 是实现 tcpmux 的主要提供者,缺省情况下 tcpmux 在这种系统中被打开。Iris 机器在发布时含有几个缺省的无密码的帐户,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和 4Dgifts。许多管理员安装后忘记删除这些帐户。因此 Hacker 们在 Internet 上搜索
7、 tcpmux 并利用这些帐户。 7 Echo 你能看到许多人们搜索 Fraggle 放大器时,发送到 x.x.x.0 和 x.x.x.255 的信息。 常见的一种 DoS 攻击是 echo 循环(echo-loop) ,攻击者伪造从一个机器发送到另一个机器的 UDP 数据包,而两个机器分别以它们最快的方式回应这些数据包。 (参见 Chargen) 另一种东西是由 DoubleClick 在词端口建立的 TCP 连接。有一种产品叫做“Resonate Global Dispatch”,它与 DNS 的这一端口连接以确定最近的路由。 Harvest/squid cache 将从 3130 端口发
8、送 UDP echo:“如果将 cache 的 source_ping on 选项打开,它将对原始主机的 UDP echo 端口回应一个 HIT reply。 ”这将会产生许多这类数据包。 11 sysstat 这是一种 UNIX 服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与 UNIX 系统中“ps”命令的结果相似 再说一遍:ICMP 没有端口,ICMP port 11 通常是 ICMP type=11 19 chargen 这是一种仅仅发送字符的服务。UDP 版本将会在收到 UDP 包后回应含有
9、垃圾字符的包。TCP 连接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker 利用 IP 欺骗可以发动 DoS 攻击。伪造两个 chargen 服务器之间的 UDP 包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个 chargen 和 echo 将导致服务器过载。同样 fraggle DoS 攻击向目标地址的这个端口广播一个带有伪造受害者 IP 的数据包,受害者为了回应这些数据而过载。 21 ftp 最常见的攻击者用于寻找打开“anonymous”的 ftp 服务器的方法。这些服务器带有可读写的目录。Hackers 或 Crackers 利用这些服务器作为传送 warez (
10、私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。 22 ssh PcAnywhere 建立 TCP 和这一端口的连接可能是为了寻找 ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用 RSAREF 库的版本有不少漏洞。 (建议在其它端口运行 ssh) 还应该注意的是 ssh 工具包带有一个称为 make-ssh-known-hosts 的程序。它会扫描整个域的 ssh 主机。你有时会被使用这一程序的人无意中扫描到。 UDP(而不是 TCP)与另一端的 5632 端口相连意味着存在搜索 pcAnywhere 的扫描。5632(十六进制的 0x1600)位交换后是 0x00
11、16(使进制的 22) 。 23 Telnet 入侵者在搜索远程登陆 UNIX 的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。 25 smtp 攻击者(spammer)寻找 SMTP 服务器是为了传递他们的 spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的 e-mail 服务器上,将简单的信息传递到不同的地址。SMTP 服务器(尤其是 sendmail)是进入系统的最常用方法之一,因为它们必须完整的暴露于 Internet 且邮件的路由是复杂的(暴露+复杂=弱点) 。 53 DNS Hacker 或 crackers 可能是试
12、图进行区域传递(TCP) ,欺骗 DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录 53 端口。 需要注意的是你常会看到 53 端口做为 UDP 源端口。不稳定的防火墙通常允许这种通讯并假设这是对 DNS 查询的回复。Hacker 常使用这种方法穿透防火墙。 67 和 68 Bootp 和 DHCP UDP 上的 Bootp/DHCP:通过 DSL 和 cable-modem 的防火墙常会看见大量发送到广播地址 255.255.255.255 的数据。这些机器在向 DHCP 服务器请求一个地址分配。Hacker 常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-
13、in-middle)攻击。客户端向 68 端口(bootps)广播请求配置,服务器向 67 端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的 IP 地址。 69 TFTP(UDP) 许多服务器与 bootp 一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件。 79 finger Hacker 用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器 finger 扫描。 98 linuxconf 这个程序提供 linux boxen 的简单管理。通过整合的 HTT
14、P 服务器在 98端口提供基于 Web 界面的服务。它已发现有许多安全问题。一些版本 setuid root,信任局域网,在/tmp 下建立 Internet 可访问的文件,LANG 环境变量有缓冲区溢出。此外因为它包含整合的服务器,许多典型的 HTTP 漏洞可能存在(缓冲区溢出,历遍目录等) 109 POP2 并不象 POP3 那样有名,但许多服务器同时提供两种服务(向后兼容) 。在同一个服务器上 POP3 的漏洞在 POP2 中同样存在。 110 POP3 用于客户端访问服务器端的邮件服务。POP3 服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有 20 个(这意味着 Ha
15、cker 可以在真正登陆前进入系统) 。成功登陆后还有其它缓冲区溢出错误。 111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问 portmapper 是扫描系统查看允许哪些 RPC 服务的最早的一步。常见 RPC 服务有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd 等。入侵者发现了允许的 RPC 服务将转向提供服务的特定端口测试漏洞。 记住一定要记录线路中的 daemon, IDS, 或 sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。 113
16、Ident auth 这是一个许多机器上运行的协议,用于鉴别 TCP 连接的用户。使用标准的这种服务可以获得许多机器的信息(会被 Hacker 利用) 。但是它可作为许多服务的记录器,尤其是 FTP, POP, IMAP, SMTP 和 IRC 等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与 e-mail 服务器的缓慢连接。许多防火墙支持在 TCP 连接的阻断过程中发回 RST,着将回停止这一缓慢的连接。 119 NNTP news 新闻组传输协议,承载 USENET 通讯。当你链接到诸如:news:/
17、comp.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找 USENET 服务器。多数 ISP 限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送 spam。 135 oc-serv MS RPC end-point mapper Microsoft 在这个端口运行 DCE RPC end-point mapper 为它的 DCOM 服务。这与 UNIX 111 端口的功能很相似。使用 DCOM 和/或 RPC的服务利用机器上的 end-point mapper
18、注册它们的位置。远端客户连接到机器时,它们查询 end-point mapper 找到服务的位置。同样 Hacker 扫描机器的这个端口是为了找到诸如:这个机器上运行 Exchange Server 吗?是什么版本? 这个端口除了被用来查询服务(如使用 epdump)还可以被用于直接攻击。有一些 DoS攻击直接针对这个端口。 137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息,请仔细阅读文章后面的 NetBIOS 一节 139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SM
19、B 服务。这个协议被用于 Windows“文件和打印机共享”和 SAMBA。在 Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于 1999,后来逐渐变少。2000 年又有回升。一些 VBS(IE5 VisualBasic Scripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。 143 IMAP 和上面 POP3 的安全问题一样,许多 IMAP 服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种 Linux 蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当 RadHat 在他们的 Linux 发布版本中默
20、认允许 IMAP后,这些漏洞变得流行起来。Morris 蠕虫以后这还是第一次广泛传播的蠕虫。 这一端口还被用于 IMAP2,但并不流行。 已有一些报道发现有些 0 到 143 端口的攻击源于脚本。 161 SNMP(UDP) 入侵者常探测的端口。SNMP 允许远程管理设备。所有配置和运行信息都储存在数据库中,通过 SNMP 客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers 将试图使用缺省的密码“public” “private”访问系统。他们可能会试验所有可能的组合。 SNMP 包可能会被错误的指向你的网络。Windows 机器常会因为错误配置将 HP JetD
21、irect remote management 软件使用 SNMP。HP OBJECT IDENTIFIER 将收到 SNMP 包。新版的 Win98 使用 SNMP 解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName 和其它信息。 162 SNMP trap 可能是由于错误配置 177 xdmcp 许多 Hacker 通过它访问 X-Windows 控制台,它同时需要打开 6000 端口。 513 rwho 可能是从使用 cable modem 或 DSL 登陆到的子网中的 UNIX 机器发出的广播。这些人为 Hacker 进入他们的系统提供了很有趣的
22、信息。 553 CORBA IIOP (UDP) 如果你使用 cable modem 或 DSL VLAN,你将会看到这个端口的广播。CORBA 是一种面向对象的 RPC(remote procedure call)系统。Hacker 会利用这些信息进入系统。 600 Pcserver backdoor 请查看 1524 端口 一些玩 script 的孩子认为他们通过修改 ingreslock 和 pcserver 文件已经完全攻破了系统- Alan J. Rosenthal. 635 mountd Linux 的 mountd Bug。这是人们扫描的一个流行的 Bug。大多数对这个端口的扫描
23、是基于 UDP 的,但基于 TCP 的 mountd 有所增加(mountd 同时运行于两个端口) 。记住,mountd 可运行于任何端口(到底在哪个端口,需要在端口 111 做 portmap 查询) ,只是 Linux 默认为 635 端口,就象 NFS 通常运行于 2049 端口。 1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口” 。基于这一点分配从端口1024 开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口 1024。为了验证这一点,你可以重启机器,打开 Telnet,再打开一个窗口
24、运行“natstat -a” ,你将会看到Telnet 被分配 1024 端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览 Web 页时用“netstat”查看,每个 Web 页需要一个新端口。 ?ersion 0.4.1, June 20, 2000 http:/ Copyright 1998-2000 by Robert Graham (mailto:firewall-. All rights reserved. This document may only be reproduced (whole or in part) for non-commer
25、cial purposes. All reproductions must contain this copyright notice and must not be altered, except by permission of the author. 1025 参见 1024 1026 参见 1024 1080 SOCKS 这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个 IP 地址访问Internet。理论上它应该只允许内部的通信向外达到 Internet。但是由于错误的配置,它会允许 Hacker/Cracker 的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Int
26、ernet 上的计算机,从而掩饰他们对你的直接攻击。WinGate 是一种常见的 Windows 个人防火墙,常会发生上述的错误配置。在加入 IRC 聊天室时常会看到这种情况。 1114 SQL 系统本身很少扫描这个端口,但常常是 sscan 脚本的一部分。 1243 Sub-7 木马(TCP) 参见 Subseven 部分。 1524 ingreslock 后门 许多攻击脚本将安装一个后门 Sh*ll 于这个端口(尤其是那些针对 Sun 系统中Sendmail 和 RPC 服务漏洞的脚本,如 statd, ttdbserver 和 cmsd) 。如果你刚刚安装了你的防火墙就看到在这个端口上的
27、连接企图,很可能是上述原因。你可以试试 Telnet 到你的机器上的这个端口,看看它是否会给你一个 Sh*ll 。连接到 600/pcserver 也存在这个问题。 2049 NFS NFS 程序常运行于这个端口。通常需要访问 portmapper 查询这个服务运行于哪个端口,但是大部分情况是安装后 NFS 杏谡飧龆丝冢?acker/Cracker 因而可以闭开 portmapper 直接测试这个端口。 3128 squid 这是 Squid HTTP 代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问 Internet。你也会看到搜索其它代理服务器的端口:8000/8
28、001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看 5.3 节。 5632 pcAnywere 你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开 pcAnywere 时,它会自动扫描局域网 C 类网以寻找可能得代理(译者:指 agent 而不是 proxy) 。Hacker/cracker 也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻 pcAnywere 的扫描常包含端口 22 的 UDP 数据包。参见拨号扫描。 6776 Sub-7 artifact 这个端口
29、是从 Sub-7 主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此 IP 拨入时,他们将会看到持续的,在这个端口的连接企图。 (译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被 Sub-7 控制。 ) 6970 RealAudio RealAudio 客户将从服务器的 6970-7170 的 UDP 端口接收音频数据流。这是由 TCP7070端口外向控制连接设置的。 13223 PowWow PowWow 是 Tribal Voice 的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非
30、常具有“进攻性” 。它会“驻扎”在这一 TCP 端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了 IP 地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。 17027 Conducent 这是一个外向连接。这是由于公司内部有人安装了带有 Conducent “adbot“ 的共享软件。Conducent “adbot“是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉 IP 地址本身将会导致adbots 持续在每秒内试图连
31、接多次而导致连接过载: 机器会不断试图解析 DNS 名,即 IP 地址 216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。 (译者:不知NetAnts 使用的 Radiate 是否也有这种现象) 27374 Sub-7 木马(TCP) 参见 Subseven 部分。 30100 NetSphere 木马(TCP) 通常这一端口的扫描是为了寻找中了 NetSphere 木马。 31337 Back Orifice “elite” Hacker 中 31337 读做“elite”/eili:t/(译者:
32、法语,译为中坚力量,精华。即3=E, 1=L, 7=T) 。因此许多后门程序运行于这一端口。其中最有名的是 Back Orifice。曾经一段时间内这是 Internet 上最常见的扫描。现在它的流行越来越少,其它的木马程序越来越流行。 31789 Hack-a-tack 这一端口的 UDP 通讯通常是由于“Hack-a-tack“远程访问木马(RAT, Remote Access Trojan) 。这种木马包含内置的 31790 端口扫描器,因此任何 31789 端口到 317890 端口的连接意味着已经有这种入侵。 (31789 端口是控制连接,317890 端口是文件传输连接) 3277
33、032900 RPC 服务 Sun Solaris 的 RPC 服务在这一范围内。详细的说:早期版本的 Solaris(2.5.1 之前)将 portmapper 置于这一范围内,即使低端口被防火墙封闭仍然允许 Hacker/cracker 访问这一端口。扫描这一范围内的端口不是为了寻找 portmapper,就是为了寻找可被攻击的已知的 RPC 服务。 3343433600 traceroute 如果你看到这一端口范围内的 UDP 数据包(且只在此范围之内)则可能是由于traceroute。参见 traceroute 部分。 41508 Inoculan 早期版本的 Inoculan 会在子
34、网内产生大量的 UDP 通讯用于识别彼此。参见 http:/www.circlemud.org/jelson/software/udpsend.html http:/www.ccd.bnl.gov/nss/tips/inoculan/index.html (二) 下面的这些源端口意味着什么? 端口 11024 是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自 NAT机器的连接。参见 1.9。 常看见紧接着 1024 的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口” 。 Server Client 服务 描述 1-5/tcp 动态 FTP 1-5 端口意味
35、着 sscan 脚本 20/tcp 动态 FTP FTP 服务器传送文件的端口 53 动态 FTP DNS 从这个端口发送 UDP 回应。你也可能看见源/目标端口的 TCP 连接。 123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。 2791027961/udp 动态 Quake Quake 或 Quake 引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的 UDP 包或发送至这一端口范围的 UDP 包通常是游戏。 61000 以上 动态 FTP 61000 以上的端口可能来自 Linux NAT 服务器(IP Masquerad
36、e)查看开放端口判断木马的方法前最为常见的木马通常是基于 TCP/UDP 协议进行 client 端与 server 端之间的通讯的,既然利用到这两个协议,就不可避免要在 server 端(就是被种了木马的机器了)打开监听端口来等待连接。例如鼎鼎大名的冰河使用的监听端口是 7626,Back Orifice 2000 则是使用54320 等等。那么,我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。以下是详细方法介绍。1 Windows 本身自带的 netstat 命令关于 netstat 命令,我们先来看看 windows 帮助文件中的介绍:Netstat显示协议统计
37、和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。netstat -a -e -n -s -p protocol -r interval参数-a显示所有连接和侦听端口。服务器连接通常不显示。-e显示以太网统计。该参数可以与 -s 选项结合使用。-n以数字格式显示地址和端口号(而不是尝试查找名称) 。-s显示每个协议的统计。默认情况下,显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。 -p protocol显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示
38、每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。-r显示路由表的内容。interval重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。好了,看完这些帮助文件,我们应该明白 netstat 命令的使用方法了。现在就让我们现学现用,用这个命令看一下自己的机器开放的端口。进入到命令行下,使用 netstat 命令的a 和 n 两个参数:C:netstat -anActive ConnectionsProto Local Address Foreign Addres
39、s StateTCP 0.0.0.0:80 0.0.0.0:0 LISTENINGTCP 0.0.0.0:21 0.0.0.0:0 LISTENINGTCP 0.0.0.0:7626 0.0.0.0:0 LISTENINGUDP 0.0.0.0:445 0.0.0.0:0 UDP 0.0.0.0:1046 0.0.0.0:0 UDP 0.0.0.0:1047 0.0.0.0:0 解释一下,Active Connections 是指当前本机活动连接,Proto 是指连接使用的协议名称,Local Address 是本地计算机的 IP 地址和连接正在使用的端口号,Foreign Address是连
40、接该端口的远程计算机的 IP 地址和端口号,State 则是表明 TCP 连接的状态,你可以看到后面三行的监听端口是 UDP 协议的,所以没有 State 表示的状态。看!我的机器的7626 端口已经开放,正在监听等待连接,像这样的情况极有可能是已经感染了冰河!急忙断开网络,用杀毒软件查杀病毒是正确的做法。2工作在 windows2000 下的命令行工具 fport使用 windows2000 的朋友要比使用 windows9X 的幸运一些,因为可以使用 fport 这个程序来显示本机开放端口与进程的对应关系。Fport 是 FoundStone 出品的一个用来列出系统中所有打开的 TCP/I
41、P 和 UDP 端口,以及它们对应应用程序的完整路径、PID 标识、进程名称等信息的软件。在命令行下使用,请看例子:D:fport.exeFPort v1.33 - TCP/IP Process to Port MapperCopyright 2000 by Foundstone, Inc.http:/ Pid Process Port Proto Path748 tcpsvcs - 7 TCP C:WINNTSystem32 tcpsvcs.exe748 tcpsvcs - 9 TCP C:WINNTSystem32tcpsvcs.exe748 tcpsvcs - 19 TCP C:WINN
42、TSystem32tcpsvcs.exe416 svchost - 135 TCP C:WINNTsystem32svchost.exe是不是一目了然了。这下,各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口,可千万不要大意哦,也许那就是一只狡猾的木马!Fport 的最新版本是 2.0。在很多网站都提供下载,但是为了安全起见,当然最好还是到它的老家去下:http:/ /knowledge/zips/fport.zip3.与 Fport 功能类似的图形化界面工具 Active PortsActive Ports 为 SmartLine 出品,你可以用来监视
43、电脑所有打开的 TCP/IP/UDP 端口,不但可以将你所有的端口显示出来,还显示所有端口所对应的程序所在的路径,本地 IP 和远端 IP(试图连接你的电脑 IP)是否正在活动。下面是软件截图:是不是很直观?更棒的是,它还提供了一个关闭端口的功能,在你用它发现木马开放的端口时,可以立即将端口关闭。这个软件工作在 Windows NT/2000/XP 平台下。你可以在http:/www.smartline.ru/software/aports.zip 得到它。 其实使用 windows xp 的用户无须借助其它软件即可以得到端口与进程的对应关系,因为 windows xp 所带的 netstat
44、 命令比以前的版本多了一个 O 参数,使用这个参数就可以得出端口与进程的对应来。端口扫描分析(一)常用的网络相关命令一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息。进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行。在手工进行扫描时,需要熟悉各种命令。对命令执行后的输出进行分析。用扫描软件进行扫描时,许多扫描器软件都有分析数据的功能。通过端口扫描,可以得到许多有用的信息,从而发现系统的安全漏洞。下面首先介绍几个常用网络命令,对端口扫描原理进行介绍,然后提供一个简单的扫描程序。第一节 几个常用网络相关命令Ping 命令经常用来对
45、TCP/IP 网络进行诊断。通过目标计算机发送一个数据包,让它将这个数据包反送回来,如果返回的数据包和发送的数据包一致,那就是说你的 PING 命令成功了。通过这样对返回的数据进行分析,就能判断计算机是否开着,或者这个数据包从发送到返回需要多少时间。一。几个常用网络相关命令1.Ping 命令的基本格式:ping hostname 其中 hostname 是目标计算机的地址。Ping 还有许多高级使用,下面就是一个例子。C: ping -f hostname 这条命令给目标机器发送大量的数据,从而使目标计算机忙于回应。在 Windows 95 的计算机上,使用下面的方法:c:windowspin
46、g -l 65510 saddam_puter.mil 这样做了之后,目标计算机有可能会挂起来,或从新启动。由于 -l 65510 产生一个巨大的数据包。由于要求返回一个同样的数据包,会使目标计算机反应不过来。在 Linux 计算机上,可以编写一个程序来实现上述方法。#include #include #include #include #include #include #include #include /* * If your kernel doesnt muck with raw packets, #define REALLY_RAW. * This is probably only
47、Linux. */ #ifdef REALLY_RAW #define FIX(x) htons(x) #else #define FIX(x) (x) #endif int main(int argc, char *argv) int s; char buf1500; struct ip *ip = (struct ip *)buf; struct icmp *icmp = (struct icmp *)(ip + 1); struct hostent *hp; struct sockaddr_in dst; int offset; int on = 1; bzero(buf, sizeof
48、 buf); if (s = socket(AF_INET, SOCK_RAW, IPPROTO_IP) ip_dst.s_addr = inet_addr(argv1) = -1) fprintf(stderr, “%s: unknown hostn“, argv1); else bcopy(hp-h_addr_list0, printf(“Sending to %sn“, inet_ntoa(ip-ip_dst); ip-ip_v = 4; ip-ip_hl = sizeof *ip 2; ip-ip_tos = 0; ip-ip_len = FIX(sizeof buf); ip-ip_
49、id = htons(4321); ip-ip_off = FIX(0); ip-ip_ttl = 255; ip-ip_p = 1; ip-ip_sum = 0; /* kernel fills in */ ip-ip_src.s_addr = 0; /* kernel fills in */ dst.sin_addr = ip-ip_dst; dst.sin_family = AF_INET; icmp-icmp_type = ICMP_ECHO; icmp-icmp_code = 0; icmp-icmp_cksum = htons(ICMP_ECHO ip_off = FIX(offset 3); if (offset ip_off |= FIX(IP_MF); else ip-ip_len = FIX(418); /* make total 65538 */