可以用Windows本身自带的netstat命令
关于netstat命令,我们先来看看windows帮助文件中的介绍:
Netstat
显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
参数
-a
显示所有连接和侦听端口。服务器连接通常不显示。
-e
显示以太网统计。该参数可以与 -s 选项结合使用。
-n
以数字格式显示地址和端口号(而不是尝试查名称)。
-s
显示每个协议的统计。默认情况下,显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。
-p protocol
显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。
-r
显示路由表的内容。
interval
重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。
好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。现在就让我们现学现用,用这个命令看一下自己的机器开放的端口。进入到命令行下,使用netstat命令的a和n两个参数:
C:\>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0
UDP 0.0.0.0:1046 0.0.0.0:0
UDP 0.0.0.0:1047 0.0.0.0:0
解释一下,Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的 IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP 连接的状态,你可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。看!我的机器的7626端口已经开放,正在监听等待连接,像这样的情况极有可能是已经感染了冰河!急忙断开网络,用杀毒软件查杀病毒是正确的做法。
2.工作在windows2000下的命令行工具fport
使用windows2000的朋友要比使用windows9X的幸运一些,因为可以使用fport这个程序来显示本机开放端口与进程的对应关系。
Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口,以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用,请看例子:
D:\&
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
www.foundstone
Pid Process Port Proto Path
748 tcpsvcs -> 7 TCP C:\WINNT\System32\
748 tcpsvcs -> 9 TCP C:\WINNT\
748 tcpsv
cs -> 19 TCP C:\WINNT\
416 svchost -> 135 TCP C:\WINNT\
是不是一目了然了。这下,各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口,可千万不要大意哦,也许那就是一只狡猾的木马!
Fport的最新版本是2.0。在很多网站都提供下载,但是为了安全起见,当然最好还是到它的老家去下:www.foundstone/knowledge/zips/fport.zip
3.与Fport功能类似的图形化界面工具Active Ports
Active Ports为SmartLine出品,你可以用来监视电脑所有打开的TCP/IP/UDP端口,不但可以将你所有
的端口显示出来,还显示所有端口所对应的程序所在的路径,本地IP和远端IP(试图连接你的电脑IP)是否正在活动。下面是软件截图:
是不是很直观?更棒的是,它还提供了一个关闭端口的功能,在你用它发现木马开放的端口时,可以立即将端口关闭。这个软件工作在Windows NT/2000/XP平台下。你可以在www.smartline.ru/software/aports.zip得到它。
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出端口与进程的对应来。
上面介绍了几种查看本机开放端口,以及端口和进程对应关系的方法,通过这些方法可以轻松的发现基于TCP/UDP协议的木马,希望能给你的爱机带来帮助。但是对木马重在防范,而且如果碰上反弹端口木马,利用驱动程序及动态链接库技术制作的新木马时,以上这些方法就很难查出木马的痕迹了。所以我们一定要养成良好的上网习惯,不要随意运行邮件中的附件,安装一套杀毒软件,像国内的瑞星就是个查杀病毒和木马的好帮手。从网上下载的软件先用杀毒软件检查一遍再使用,在上网时打开网络防火墙和病毒实时监控,保护自己的机器不被可恨的木马入侵。
每一项服务都对应相应的端口,比如众如周知的 WWW 服务的端口是 80 , smtp 是 25 , ftp 是 21 , win2000 安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要,关掉端口也就是关闭无
用的服务。 “ 控制面板 ” 的 “ 管理工具 ” 中的 “ 服务 ” 中来配置。
1 、关闭 7.9 等等端口:关闭 Simple TCP/IP Service, 支持以下 TCP/IP 服务: Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day 。
2 、关闭 80 口:关掉 WWW 服务。在 “ 服务 ” 中显示名称为 "World Wide Web Publishing Service" ,通过 Internet 信息服务的管理单元提供 Web 连接和管理。
3 、关掉 25 端口:关闭 Simple Mail Transport Protocol (SMTP) 服务,它提供的功能是跨网传送电子
邮件。
4 、关掉 21 端口:关闭 FTP Publishing Service, 它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
5 、关掉 23 端口:关闭 Telnet 服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
6 、还有一个很重要的就是关闭 server 服务,此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了 win2k 的默认共享,比如 ipc$ 、 c$ 、 admin$ 等等,此服务关闭不影响您的共他操作。
7 、还有一个就是 139 端口, 139 端口是 NetBIOS Session 端口,用来文件和打印共享,注意的是运行 samba 的 unix 机器也开放了 139 端口,功能一样。以前流光 2000 用来判断对方主机类型不太准确,估计就是 139 端口开放既认为是 NT 机,现在好了。 关闭 139 口听方法是在 “ 网络和拨号连接 ” 中 “ 本地连接 ” 中选取 “Internet 协议 (TCP/IP)” 属性,进入 “ 高级 TCP/IP 设置 ”“WINS 设置 ” 里面有一项 “ 禁用 TCP/IP 的 NETBIOS” ,打勾就关闭了 139 端口。 对于个人用户来说,可以在各项服务属性设置中设为 “ 禁用 ” ,以免下次重启服务也重新启动,端口也开放了。
每一项服务都对应相应的端口,比如众如周知的 WWW 服务的端口是 80 , smtp 是 25 , ftp 是 21 , win2000 安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。
“ 控制面板 ” 的 “ 管理工具 ” 中的 “ 服务 ” 中来配置 。
1 、关闭 7.9 等等端口:关闭 Simple TCP/IP Service, 支持以下 TCP/IP 服务: Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day 。
2 、关闭 80 口:关掉 WWW 服务。在 “ 服务 ” 中显示名称为 "World Wide Web Publishing Service" ,通过 Internet 信息服务的管理单元提供 Web 连接和管理。
3 、关掉 25 端口:关闭 Simple Mail Transport Protocol (SMTP) 服务,它提供的功能是跨网传送。
4 、关掉 21 端口:关闭 FTP Publishing Service, 它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
5 、关掉 23 端口:关闭 Telnet 服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
6 、还有一个很重要的就是关闭 server 服务,此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了 win2k 的默认共享,比如 ipc$ 、 c$ 、 admin$ 等等,此服务关闭不影响您的共他操作。
7 、还有一个就是 139 端口, 139 端口是 NetBIOS Session 端口,用来文件和打印共享,注意的是运行 samba 的 unix 机器也开放了 139 端口,功能一样。以前流光 2000 用来判断对方主机类型不太准确,估计就是 139 端口开放既认为是 NT 机,现
在好了。
关闭 139 口听方法是在 “ 网络和拨号连接 ” 中 “ 本地连接 ” 中选取 “Internet 协议 (TCP/IP)” 属性,进入 “ 高级 TCP/IP 设置 ”“WINS 设置 ” 里面有一项 “ 禁用 TCP/IP 的 NETBIOS” ,打勾就关闭了 139 端口。
对于个人用户来说,可以在各项服务属性设置中设为 “ 禁用 ” ,以免下次重启服务也重新启动,端口也开放了。
我们一般采用一些功能强大的反黑软件和防火墙来保证我们的系统安全,但是有些用户不具备上述条件。怎么办呢?下面就介绍一种简易的办法 —— 通过限制端口来帮助大家防止非法入侵。
非法入侵的方式
简单说来,非法入侵的方式可粗略分为 4 种:
1 、扫描端口,通过已知的系统 Bug 攻入主机。
2 、种植木马,利用木马开辟的后门进入主机。
3 、采用数据溢出的手段,迫使主机提供后门进入主机。
4 、利用某些软件设计的漏洞,直接或间接控制主机。
非法入侵的主要方式是前两种,尤其是利用一些流行的黑客工具,通过第一种方式攻击主机的情况最多、也最普遍;而对后两种方式来说,只有一些手段高超的黑客才利用,波及面并不广泛,而且只要这两种问题一出现,软件服务商很快就会提供补丁,及时修复系统。
因此,如果能限制前两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点,就是通过端口进入主机。
端 口就像一所房子 ( 服务器 ) 的几个门一样,不同的门通向不同的房间 ( 服务器提供的不同服务 ) 。我们常用的 FTP 默认端口为 21 ,而 WWW 网页一般默认端口是 80 。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务,比如 139 等;还有一些木马程序,比如冰河、 BO 、广外等都是自动开辟一个您不察觉的端口。那么,只要我们把自己用不到的端口全部封锁起来,不就杜绝了这两种非法入侵吗?
限制端口的方法
对 于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口 ( 比如 WWW 端口 80 、 FTP 端口 21 、邮件服务端口 25 、 110 等 ) 开放,其他的端口则全部关闭。
这里,对于采用 Windows 2000 或者 Windows XP 的用户来说,不需要安装任何其他软件,可以利用 “TCP/IP 筛选 ” 功能限制服务器的端口。具体设置如下:
1 、右键点击 “ 网上邻居 ” ,选择 “ 属性 ” ,然后双击 “ 本地连接 ”( 如果是拨号上网用户,选择 “ 我的连接 ” 图标 ) ,弹出 “ 本地连接状态 ” 对话框。 telnet ip 端口号
2 、点击 [ 属性 ] 按钮,弹出 “ 本地连接属性
” ,选择 “ 此连接使用下列项目 ” 中的 “Internet 协议 (TCP/IP)” ,然后点击 [ 属性 ] 按钮。
3 、在弹出的 “Internet 协议 (TCP/IP)” 对话框中点击 [ 高级 ] 按钮。在弹出的 “ 高级 TCP/IP 设置 ” 中,选择 “ 选项 ” 标签,选中 “TCP/IP 筛选 ” ,然后点击 [ 属性 ] 按钮。
4 、在弹出的 “TCP/IP 筛选 ” 对话框里选择 “ 启用 TCP/IP 筛选 ” 的复选框,然后把左边 “TCP 端口 ” 上的 “ 只允许 ” 选上 ( 请见附图 ) 。
这样,您就可以来自己添加或删除您的 TCP 或 UDP 或 IP 的各种端口了。
添加或者删除完毕,重新启动机器以后,您的服务器就被保护起来了。
如果只上网浏览的话,可以不添加任何端口。但是要利用一些网络联络工具,比如 OICQ 的话,就要把 “4000” 这个端口打开,同理,如果发现某个常用的网络工具不能起作用的时候,请搞清它在您主机所开的端口,然后在 “TCP/IP 筛选 ” 中添加端口即可

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。