网页设计   C#  |  服务   FreeBSD   数据库   交换机   编程问答   托福   技术专栏  |  网络   编程   操作系统   Photoshop  |  网页制作

关闭包藏祸心的危险端口

端口就像网络通信中的一扇窗户，要想进行通信就必须开放某些特定的端口。然而，大家必须特别注意，对于已经打开的窗户，一定要做到心中有数，否则就会有“窃贼”乘虚而入。
　　一个不漏：检查已开放的端口
　　1．哪些端口最危险
　　 对于本地系统中的应用程序来说，它们一般使用大于1024的高端端口，如qq客户端程序使用udp
4000端口进行通信。而病毒、木马和间谍软件等高危险性程序同样会使用高端端口进行传播、攻击，而且它们使用的高端端口号比较隐蔽，一般用户很难发现。
　　因此，对本地系统中开放的端口进行自检是有必要的，这样一来用户就可掌握系统开放端口的情况，病毒、木马使用的端口就无处遁形。
　　superscan（下载地址：http://www.jfsky.com/softview/softview_1718.html）就是笔者向大家推荐的端口扫描工具，利用这款工具，大家可以自检端口的开放状况。
　　2．扫描端口，检测安全性
　　扫描本地系统的端口开放情况，最好在远端机器中进行。下面笔者要扫描ip地址为“192.168.1.28”的机器的端口开放情况，在远端机器中运行superscan3.0（见图），在“ip起始”栏中输入“192.168.1.28”，在“结束”栏中也输入“192.168.1.28”，这表示扫描的目标就是ip地址为“192.168.1.28”的机器。
[点击这里用新窗口浏览图片]
　　然后在“扫描类型”栏中选中“所有端口定义”单选项，在后面的空白栏中输入“1-65535”，这表示要扫描目标机器“1-65535”的端口。点击“开始”按钮，superscan就开始扫描目标机器的端口，并在下方的列表框中显示出开放的端口号，用户就可知道本地系统中有哪些端口开放了，如果发现不熟悉的端口号可以通过网络查询“常用端口对应表”，了解相关端口号的具体情况。
　　提示：常用端口对应表请参看http://www.mh.fy.cn/2005/常用网络端口对应表.txt。
　　3．如何辨别漏洞
　　如果碰到某些高端端口已开放，而且在“常用端口对应表”中无法查找到时，你就得留意了。为了防止可疑的高端端口对本地系统带来安全隐患，或引来致命攻击，建议大家在第一时间内升级病毒和网络防火墙，即时查杀和封堵系统中存在的可疑程序。
　　方法总结：利用superscan虽然可以清楚地查看本地系统的端口开放情况，但它有很大的不足。你找到的可疑端口一定就是病毒或木马留下的后门吗？这个很难说，也许这个端口是你不了解的本地系统中的正常应用程序所使用的端口，如果不假思索封闭该端口，很可能会影响系统的运行。


理清关系：查看端口和进程关联
　　窗户打开了，但进来的一定就是新鲜空气吗？它也很可能是蚊虫和细菌乘虚而入的通道。要想保证本地系统的安全，必须快速、准确地找出哪些是高危险端口。
　　笔者刚才提到了superscan对端口进行自检的不足，那么如何才能确定某个端口就是“恐怖分子”所为呢？单纯通过端口号进行判断会证据不足的，这时不妨利用与该可疑端口相关联的进程来取证，找到使用该端口的进程，通过分析它的进程名、路径和主程序名，来进行锁定。这样一来，对可疑端口地判断就比较准确了。
　　windows系统自带的命令或工具无法查看端口和进程的关联，这时不妨考虑动用第三方工具（如fport和active
ports等）。下面笔者就介绍一下如何查看端口与进程的关联。
　　小知识：关联
　　所谓端口和进程的关联，是指某个程序的进程使用哪个或哪些通信端口进行通信，这样一来进程就会和这些通信端口建立起联系，这就是大家所说的关联。
　　1．快捷，用命令查关联
　　fport（下载地址：http://www.foundstone.com/knowledge/zips/fport.zip）是一个命令行工具，在windows系统“命令提示符”窗口中运行“fport”命令后回车，就会显示本地系统中所有进程的通信情况，而且每个进程项目所包含的信息都很详细。
　　通过本地端口号属性栏，查明可疑端口号对应哪个进程项目，接着就能找到该端口所对应的进程名，以及它的路径和主程序名。通过这些有力的证据，能够很容易地判断出该端口是不是被木马和病毒所利用，准确性很高。
　　2．直观，用工具查寻关联
　　fport工具毕竟是一个命令，有些用户使用起来很不习惯。那么大家不妨使用一下图形用户界面下的关联查看工具active ports。
　　active
ports（下载地址：http://ftp15.enet.com.cn:83/pub/network/ip/aports.zip）提供的端口和进程关联查看和fport基本相同，只不过active
ports是在图形用户界面下使用的，操作起来更方便，而且它的功能也很强，除了提供进程id（pid）、进程名、使用的本地端口号、使用的通信协议以及该进程的路径和主程序名外，还提供远端机器的ip地址、远程端口号和通信状态等。
　　方法总结：fport和active
ports可以快速查找出端口和进程的关联情况，但它们也有小小的不足之处，这就是它们无法动态监控端口和进程的关联情况。如果用户有特殊需要，想看动态监控端口和进程的关联，不妨使用微软提供的“portreporter”。
　　关门：禁用高危端口
　　准确找出病毒或木马使用的可疑端口后，首先要利用进程管理器结束这个恶意进程（如windows进程管理器、active
ports等），然后即时升级病毒库和个人网络防火墙，查杀系统中存在的病毒和木马。当然，为了保险起见，还可利用个人网络防火墙定制通信规则阻断某个端口与互联网的通信，甚至可以利用“tcp/ip”筛选功能禁用这些高危险端口。
　　没有最好，只有更好，虽然以上介绍的两种端口自检方法都有不足之处，但将两种方法相结合，相辅相成，完全可以满足绝大多数用户的端口安全需要。在端口自检操作过程中，用户一定要细心谨慎，防止错判和误判的发生，相信病毒和木马都逃脱不了这对火眼金睛地甄别。

（）

• · 几个易被误认为病毒的文件
• · 没有电脑的入侵 深入浅出社会工程学
• · 通过asp木马配合serv－u取得管理员权限
• · 信息安全的隐患-GoogleHacking原理和防范
• · 用Wingate5.02设置网站过滤
• · 澄清Web网站安全性的五个误解
• · 中国黑客谱系
• · Microsoft RSS Feed 产品索引
• · HONEYPOT（蜜罐）技术
• · 网卡网络配置基础
• · 教你如何调试思科路由器
• · 百炼成钢－打磨你的Outpost防火墙
• · 卡巴斯基杀毒软件优化设置指南
• · Internet Explorer 7 的新图标
• · 255台以上电脑网络互连,IP的分配
• · 高危病毒预警：近日可能爆发大规模蠕虫病毒
• · 无线上网有了新突破--CDMA1X亮相十运会 最高传输速率达2.4Mbps
• · Google、雅虎搜索技术大比拼
• · 详解六大QQ病毒特征及清除方法
• · 浅析ICMP洪水攻击
• · 互联--破解卡卡系统
• · 设置磁盘读写权限 彻底封杀QQ的各种广告
• · 金梅电影系统破解笔记（破解率80%以上）
• · DLL木马揭秘
• · 游戏外挂基本原理及实现
• · Word 2003的10个小技巧
• · 如何在Windows 2003中得到登陆密码
• · 让ADSL永不断线 实战
• · Md5密码破解武器大揭密
• · 网络钓鱼式攻击 挂QQ等级网站
• · 获得leadbbs论坛站webshell后进后台最简便之法
• · 菜鸟入门：webshell是什么？
• · PHP注入+MYSQL=SYSTEM权限
• · 高端系统FreeBSD 照样给你溢出
• · 清除恶意RM文件的弹出窗口广告
• · Regsvr32的特殊作用
• · 加强网络防护的四个步骤
• · 宽带名词解释
• · 宽带共享上网实现方法
• · 建立隐藏的超级用户
• · 妙用Maxthon清理收藏夹无效链接
• · 利用“http暗藏通道”攻破局域网
• · SQL注入和CSS攻击的检测
• · SQL中的五种数据类型：[新手初学篇]
• · Windows系统安装免输序列号的方法总结
• · 一个好汉六个帮 打造极速Windows系统
• · 解析Cookie欺骗实现过程及具体应用
• · 打造WIN2000/XP/2003系统万能克隆
• · 河南网通宽带共享:破解河南网通宽带共享完全版
• · 变态传文件法（比tftp，ftp，iget.vbe都爽的）
• · 死杀毒软件 逼疯防火墙—新兴木马NameLess BackDoor复仇记
• · 实战体会Java的多线程编程
• · 防御DDoS的六大绝招
• · XP系统绕过正版验证的方法
• · 巧妙解决Windows XP系统网络访问难题
• · 高手详解Windows操作系统帐户权限设置
• · 打破常规：改良Windows XP的打开窗口
• · MSN 菜鸟入门
• · Windows XP使用28个超级技巧
• · 收集MD5破解网站[在线搜索]