版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、2009-07-3107:12看电脑端口哪些开了如何检测自己的电脑是否已被远程控制或者被监视在连接的说到端口,这确实是个老话题,但一切都是从它开始的,不得不说。何谓端口,打个比方,你住在一座房子里,想让别人来拜访你,得在房子上开个大门,你养了个可爱的小猫,为了它的进出,专门给它修了个小门,为了到后花园,又开了个后门,所有这些为了进到这所房子里而开的门叫端口,这些为了别人进来而开的端口称它为“服务端口”。你要拜访一个叫张三的人,张三家应该开了个允许你来的门-服务端口,否则将被拒之门外。去时,首先你在家开个“门”,然后通过这个“门”径直走进张三家的大门。为了访问别人而在自己的房子开的“门”,称为“
2、客户端口”。它是随机开的而且是主动打开的,访问完就自行关闭了。它和服务端口性质是不一样的,服务端口是开了个门等着别人来访问,而客户端口是主动打开一个门去打开别人的门,这点一定要清楚。下面从专业的角度再简单解释一下端口的概念。联网的计算机要能相互通信必须用同一种协议,协议就是计算机通信的语言,计算机之间必须说一种语言才能彼此通信,internet的通用语言是tcp/tp,它是一组协议,它规定在网络的第四层运输层有两种协议tcp、udp。端口就是这两个协议打开的,端口分为源端口和目的端口,源端口是本机打开的,目的端口是正在和本机通信的另一台计算机的端口,源端口分主动打开的客户端口和被动连接的服务端
3、口两种。在internet中,你访问一个网站时就是在本机开个端口去连网站服务器的一个端口,别人访问你时也是如此。也就是说计算机的通讯就像互相串门一样,从这个门走进哪个门。当装好系统后默认就开了很多“服务端口”。如何知道自己的计算机系统开了那些端口呢?这就是下面要说的。二)、查看端口的方法1、命令方式下面以windowsxp为例看看新安装的系统都开了那些端口,也就是说都预留了那些门,不借助任何工具来查看端口的命令是netstat,方法如下:a、在“开始”的“运行”处键入cmd,回车b、在dos命令界面,键入netstat-na,图2显示的就是打开的服务端口,其中proto代表协议,该图中可以看出
4、有tcp和udp两种协议。localaddress代表本机地址,该地址冒号后的数字就是开放的端口号。foreignaddress代表远程地址,如果和其它机器正在通信,显示的就是对方的地址,state代表状态,显示的listening表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。就像你房子的门已经敞开了,但此时还没有人进来。以第一行为例看看它的意思。tcp:13:0listening这一行的意思是本机的135端口正在等待连接。注意:只有tcp协议的服务端口才能处于listening状态。图1用netstat命令查看端口状态2、用tcpview工具
5、为了更好的分析端口,最好用tcpview这个软件,该软件很小只有93kb,而且是个绿色软件,不用安装。图3是tcpview的运行界面。第一次显示时字体有些小,在"options"->"font"中将字号调大即可。tcpview显示的数据是动态的。图3中localaddress显示的就是本机开放的哪个端口(:号后面的数字),tcpview可以看出哪个端口是由哪个程序发起的。从图3可以看出445、139、1025、135、5000等端口是开放的,445、139等端口都是system发起的,135等都是svchost发起的。图2用tcpview查看端口状
6、态三)、研究端口的目的1、知道本机开了那些端口,也就是可以进入到本机的“门”有几个,都是谁开的?2、目前本机的端口处于什么状态,是等待连接还是已经连接,如果是已经连接那就要特别注意看连接是个正常连接还是非正常连接(木马等)?3、目前本机是不是正在和其它计算机交换数据,是正常的程序防问到一个正常网站还是访问到一个陷阱?当你上网时就是本机和其它机器传递数据的过程,要传递数据必须要用到端口,即使是有些非常高明的木马利用正常的端口传送数据也不是了无痕迹的,数据在开始传输、正在传输和结束传输的不同阶段都有各自的状态,要想搞明白上述3个问题,就必须清楚端口的状态变化。下面结合实例先分析服务端口的状态变化。
7、只有tcp协议才有状态,udp协议是不可靠传输,是没有状态的。四)、服务端口的状态变化先在本机(ip地址为:0)配置ftp服务,然后在其它计算机(ip地址为:)访问ftp服务,从tcpview看看端口的状态变化。下面黑体字显示的是从tcpview中截取的部分。1、listening状态ftp服务启动后首先处于侦听(listening)状态。state显示是listening时表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。就像你房子的门已经敞开的,但还没有人进来。从tcpview可以看出本机开放ftp的情况。它的意思是:程序inet
8、info.exe开放了21端口,即默认的端口为21,可见在本机开放了即服务。目前正处于侦听状态。inetinfo.exe:1260tcp::0listening2、established状态现在从这台计算机访问一下0的ftp服务。在本机的tcpview可以看出端口状态变为established。established的意思是建立连接。表示两台机器正在通信。下面显示的是本机的ftp服务正在被这台计算机访问。inetinfo.exe:1260tcp0:21:
9、3009established注意:处于established状态的连接一定要格外注意,因为它也许不是个正常连接。后面要讲到这个问题。3、time_wait状态现在从这台计算机结束访问0的ftp服务。在本机的tcpview可以看出端口状态变为time_wait。time_wait的意思是结束了这次连接。说明21端口曾经有过访问,但访问结束了。systemprocess:。tcp0:21:3009time_wait4、小技巧a、可以telnet一个开放的端口,来观察该端口的变化。比如看1025端口是开放的,在
10、命令状态(如图1运行cmd)运行:b、从本机也可以测试,只不过显示的是本机连本机c、在tcpview中双击连接可看出程序的位置,右键点击该连接,选择endprocess即可结束该连接五)、客户端口的状态变化客户端口实际上就是从本机访问其它计算机服务时打开的源端口,最多的应用是上网,下面就以访问为例来看看端口开放以及状态的变化情况。1、syn_sent状态syn_sent状态表示请求连接,当你要访问其它的计算机的服务时首先要发个同步信号给该端口,此时状态为syn_sent,如果连接成功了就变为established,此时syn_sent状态非常短暂。但如果发现syn_sent非常多且在向不同的机
11、器发出,那你的机器可能中了冲击波或震荡波之类的病毒了。这类病毒为了感染别的计算机,它就要扫描别的计算机,在扫描的过程中对每个要扫描的计算机都要发出了同步请求,这也是出现许多syn_sent的原因。下面显示的是本机连接网站时的开始状态,如果你的网络正常的,那很快就变为established的连接状态。iexplore.exe:2928tcp0:103549:80syn_sent2、established状态下面显示的是本机正在访问网站。如果你访问的网站有许多内容比如访问,那会发现一个地址有许多established,这是正常的,网站中的每个内容比如
12、图片、flash等都要单独建立一个连接。看established状态时一定要注意是不是iexplore.exe程序(ie)发起的连接,如果是explore.exe之类的程序发起的连接,那也许是你的计算机中了木马了。iexplore.exe:3120tcp0:104549:80established3、time_wait状态如果浏览网页完毕,那就变为time_wait状态。systemprocess:0tcp0:425949:80time_wait六)、端口详细变迁图以上是最主要的几个状态,实际还有一
13、些,图4是tcp的状态详细变迁图(从tcp/ip详解中剪来),用粗的实线箭头表示正常的客户端状态变迁,用粗的虚线箭头表示正常的服务器状态变迁。这些不在本文的讨论范围。有兴趣的朋友可以好好研究一下。图3tcp的状态变迁图七)、要点一般用户一定要熟悉(再?嗦几句):1、服务端口重点要看的是listening状态和established状态,listening是本机开了哪些端口,established是谁在访问你的机器,从哪个地址访问的。2、客户端口的syn_sent状态和established状态,syn_sent是本机向其它计算机发出的连接请求,一般这个状态存在的时间很短,但如果本机发出了很多s
14、yn_sent,那可能就是中毒了。看established状态是要发现本机正在和哪个机器传送数据,主要看是不是一个正常程序发起的。二、木马什么是木马,简单的说就是在未经你许可偷偷在你的计算机中开个后门,木马开后门主要有两种方式。1、有服务端口的木马这类木马都要开个服务端口的后门,成功后该后门处于listening状态,它的端口号可能固定一个数,也可能变化,还有的木马可以与正常的端口合用,例如你开着正常的80端口(web服务),木马也用80端口。这种木马最大的特点就是有端口处于listening状态,需要远程计算机连接它。这种木马对一般用户比较好防范,将防火墙设为拒绝从外到内的连接即可。比较难防
15、范的是反弹型木马。2、反弹型木马反弹型木马是从内向外的连接,它可以有效的穿透防火墙,而且即使你使用的是内网ip,他一样也能访问你的计算机。这种木马的原理是服务端主动连接客户端(黑客)地址。木马的服务端软件就像你的internetexplorer一样,使用动态分配端口去连接客户端的某一端口,通常是常用端口,像端口80。而且会使用隐避性较强的文件名,像iexpiore.exe、explorer(ie的程序是iexplore.exe)。如果你不仔细看,你可能会以为是你的internetexplorer。这样你的防火墙也会被骗过。如果你在tcpview中看到下面这样的连接一定要注意,很有可能是种木马了
16、。iexpiore.exe0(本机ip):1035(你的端口)y.y.y.y(远程ip):80(远程端口)或rundll32.exe0(本机ip):1035(你的端口)y.y.y.y(远程ip):80(远程端口)或explorer.exe0(本机ip):1035(你的端口)y.y.y.y(远程ip):80(远程端口)三、安全分析端口的目的就是要保证上网安全,根据以上的思路可以从以下几个方面来防范。一)、关闭不需要的端口对一般上网用户来说只要能访问internet就行了,并不需要别人来访问你,也就是说没有必要开放服务端口,在win
17、98可以做到不开放任何服务端口上网,但在winxp、win2000、win2003下不行,但可以关闭不必要的端口。图3是安装完winxp系统默认开的端口,以此为例关闭不必要的端口。1、关闭137、138、139、445端口这几个端口都是为共享而开的,是netbios协议的应用,一般上网用户是不需要别人来共享你的内容的,而且也是漏洞最多的端口。关闭的方法很多,最近从网上学了一招非常好用,一次全部关闭上述端口。开始->控制面板->系统->硬件->设备管理器->查看->显示隐藏的设备->非即插即用马区动程序->netbiosovertcpip。找到图5
18、界面后禁用该设备重新启动后即可。图4关闭137、138、139、445端口2、关闭123端口有些蠕虫病毒可利用udp123端口,关闭的方法:如图6停止windowstime服务。图5关闭123端口3、关闭1900端口攻击者只要向某个拥有多台winxp系统的网络发送一个虚假的udp包,就可能会造成这些winxp主机对指定的主机进行攻击(ddos)。另外如果向该系统1900端口发送一个udp包,令"location"域的地址指向另一系统的chargen端口,就有可能使系统陷入一个死循环,消耗掉系统的所有资源(需要安装硬件时需手动开启)。关闭1900端口的方法如图7所示停止ssd
19、pdiscoveryservice服务。图6关闭1900端口通过上面的办法关闭了一些有漏洞的或不用的端口后是不是就没问题了呢?不是。因为有些端口是不能关掉的。像135端口,它是rpc服务打开的端口如果把这个服务停掉,那计算机就关机了,同样像lsass打开的端口500和4500也不能关闭。冲击波病毒利用的就是135端口,对于不能关闭的端口最好的办法一是常打补丁,端口都是相应的服务打开的,但是对于一般用户很难判断这些服务到底有什么用途,也很难找到停止哪些服务就能关闭相应的端口。最好的办法就是下面要讲的安装防火墙。安装防火墙的作用通俗的说就像你不管住在一所结实的好房子里还是住在一所千疮百孔的破房子里
20、,只要你在房子的四周建了一堵密不透风的墙,那对于墙里的房子就是安全的。二)、安装防火墙对于一般用户来讲有下面三类防火墙1、自带的防火墙关于winxp与win2003自带防火墙的设置请参阅天极网中拙作,不再赘述。2、adsl猫防火墙通过adsl上网的,如果有条件最好将adsl猫设置为地址转换方式(nat),也就是大家常说的路由模式,其实路由与nat是不一样的,权且这么叫吧。用nat方式最大的好处是设置完毕后,adsl猫就是一个放火墙,它一般只开放80、21、161等为了对adsl猫进行设置开放的端口。如果不做端口映射的话,一般从远程是攻击不到adsl猫后面的计算机的。adsl猫最大的安全隐患就是
21、很多用户都不改变默认密码。这样黑客如果进到你的猫做个端口映射就有可能进入到你的计算机,一定把默认密码改掉。用自带的放火墙和adsl猫的nat方式基本可以抵御从外到内的攻击,也就是说即使服务端口开放(包括系统开放的端口和中了开个服务端口的木马),黑客和类似震荡波一类的病毒也奈何不了你的计算机。上述防火墙只能防止从外到内的连接,不能防止从内到外的连接,当你打开网页和用qq聊天时就是从内到外的连接,反弹型木马就是利用放火墙的这一特性来盗取你机器的数据的。反弹型木马虽然十分隐蔽,但也不是没有马脚,防范这类木马最好的办法就是用第三方防火墙。3、第三方防火墙前面说过,反弹型木马而且会使用隐避性较强的文件名
22、,像iexpiore.exe、explorer等与ie的程序iexplore.exe很想的名字或用一些rundll32之类的好像是系统文件的名字,但木马的本质就是要与远程的计算机通讯,只要通讯就会有连接。如下所示:正常连接是iexplore.exe发起的,而非正常连接是木马程序explorer发起的。图7正常连接图8木马连接一般的防火墙都有应用程序访问网络的权限设置,如图8所示,在防火墙的这类选项中将不允许访问网络的应用程序选择x,即不允许访问网络。在写这篇文章之前笔者中了一个反弹型木马,就是explorer程序向外连接,用了好几个查毒软件也没有杀掉,当时就先用天网放火墙阻止它访问网络,然后手
23、工费了很大的劲才清除掉。可惜没有做截图。没有勇气为了写这篇文章再牺牲一把了。4、用tcpview结束一个连接当你用tcpview观察哪个连接有可能是不正常的连接,可在tcpview中直接鼠标右键点击该连接,选择endprocess即可结束该连接。四、扫描谈起扫描又是个大话题了,有端口扫描(superscan)、漏洞扫描(x-scan)等,关于扫描的话题以后再论,本文只对一般用户简单说一下在线安全检测。如果你按上面的说得作了相应的安全措施,就可以在网上找个在线测试安全的网站测试一下你目前系统的安全情况,如到下面网站:1、千禧在线-在线检测2、蓝盾在线检测3、天网安全在线4、诺顿在线安全检测说明一
24、点,测试机器时开了21、23、80端口,但这都是adsl的服务端口,modem没有提供修改和关闭的地方,不过没关系,只要把密码设的复杂点就行了。五、震荡波如果你按上述关闭了445端口或者开启了放火墙那就不会受到震荡波及类似的病毒骚扰了,关于震荡波病毒的文章太多了,此处就不多谈。只要做好了安全防护,不管是震荡大波还是冲击小波只能在你的计算机门前掠过而奈何不了你。六、后记关于计算机的安全还有很多要设置,但对于一般用户来说,太多的安全设置就等于没有了安全,因为即使对于专业从事计算机安全的人员对于安全的设置也不是件容易的事,何况对于对计算机的知识还不够的一般用户。如果要作很多设置才能保证安全,那肯定就有很多人不做了。对一般用户个人的建议是力所能及的事一定
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 4.1 线段、射线、直线 北师版数学七年级上册课件
- 初中物理第三章第五节《光的反射》说课稿
- 5年中考3年模拟试卷初中道德与法治七年级下册01第1课时单音与和声
- 非人力资源的人力资源管理
- 高效节能节水织造印染加工项目可行性研究报告写作模板-申批备案
- 卡通课件教学课件
- (统考版)2023版高考化学一轮复习课时作业38烃卤代烃
- (统考版)2023版高考化学一轮复习第三章金属及其化合物第2讲镁、铝及其化合物学生用书
- 乐器行翻新附加合同范本
- 花园景观装修承包装修
- GB/T 617-2006化学试剂熔点范围测定通用方法
- GB/T 3215-2019石油、石化和天然气工业用离心泵
- GB/T 25113-2010移动消防指挥中心通用技术要求
- GA 450-2013台式居民身份证阅读器通用技术要求
- 国学第九册第四课《道育万物》第四课时优秀教案
- 时代与变革-为人生而艺术(第一课时) 课件- 高中美术人美版(2019)美术鉴赏
- 世界十大航空公司课件
- 松江新城-总体城市设计2021-2035年
- 《膜分离技术》教学课件
- 法人单位基础信息库设计方案
- 最新国家开放大学电大《课程与教学论》形考任务4试题及答案
评论
0/150
提交评论