HTML5网页设计

电脑技巧

如何查看计算机端口状态(3)

时间:2011-09-23 10:08来自:未知作者:admin点击:
七)、要点 一般用户一定要熟悉(再啰嗦几句): 1、服务端口重点要看的是LISTENING状态和ESTABLISHED状态,LISTENING是本机开了哪些端口,ESTABLISHED是谁在访问你的机器,从哪个地址访问的。 2、客户端口的SYN_SENT状

七)、要点

一般用户一定要熟悉(再啰嗦几句):

1、服务端口重点要看的是LISTENING状态和ESTABLISHED状态,LISTENING是本机开了哪些端口,ESTABLISHED是谁在访问你的机器,从哪个地址访问的。

2、客户端口的SYN_SENT状态和ESTABLISHED状态,SYN_SENT是本机向其它计算机发出的连接请求,一般这个状态存在的时间很 短,但如果本机发出了很多SYN_SENT,那可能就是中毒了。看ESTABLISHED状态是要发现本机正在和哪个机器传送数据,主要看是不是一个正常 程序发起的。

[NextPage]二、木马

什么是木马,简单的说就是在未经你许可偷偷在你的计算机中开个后门,木马开后门主要有两种方式。

1、有服务端口的木马

这类木马都要开个服务端口的后门,成功后该后门处于LISTENING状态,它的端口号可能固定一个数,也可能变化,还有的木马可以与正常的端口合 用,例如你开着正常的80端口(WEB服务),木马也用80端口。这种木马最大的特点就是有端口处于LISTENING状态,需要远程计算机连接它。这种 木马对一般用户比较好防范,将防火墙设为拒绝从外到内的连接即可。比较难防范的是反弹型木马。

2、反弹型木马

反弹型木马是从内向外的连接,它可以有效的穿透防火墙,而且即使你使用的是内网IP,他一样也能访问你的计算机。这种木马的原理是服务端主动连接客户端(黑客)地址。木马的服务端软件就像你的Internet Explorer一样,使用动态分配端口去连接客户端的某一端口,通常是常用端口,像端口80。而且会使用隐避性较强的文件名, 像iexpiore.exe、explorer(IE的程序是IEXPLORE.EXE)。如果你不仔细看,你可能会以为是你的Internet Explorer。这样你的防火墙也会被骗过。如果你在TcpView中看到下面这样的连接一定要注意,很有可能是种木马了。 iexpiore.exe 192.168.1.10(本机IP):1035(你的端口) Y.Y.Y.Y(远程IP):80(远程端口)

或 Rundll32.exe 192.168.1.10(本机IP):1035(你的端口) Y.Y.Y.Y(远程IP):80(远程端口)

或 explorer.exe 192.168.1.10(本机IP):1035(你的端口) Y.Y.Y.Y(远程IP):80(远程端口)

三、安全

分析端口的目的就是要保证上网安全,根据以上的思路可以从以下几个方面来防范。

一)、关闭不需要的端口

对一般上网用户来说只要能访问Internet就行了,并不需要别人来访问你,也就是说没有必要开放服务端口,在WIN 98可以做到不开放任何服务端口上网,但在Win XP、Win 2000、Win 2003下不行,但可以关闭不必要的端口。图3是安装完WIN XP系统默认开的端口,以此为例关闭不必要的端口。

1、关闭137、138、139、445端口

这几个端口都是为共享而开的,是NetBios协议的应用,一般上网用户是不需要别人来共享你的内容的,而且也是漏洞最多的端口。关闭的方法很多,最近从网上学了一招非常好用,一次全部关闭上述端口。

开始-> 控制面板-> 系统-> 硬件-> 设备管理器-> 查看-> 显示隐藏的设备-> 非即插即用驱动程序-> Netbios over Tcpip。

找到图5界面后禁用该设备重新启动后即可。

端口、木马、安全和扫描应用知识

图4 关闭137、138、139、445端口

2、关闭123端口

有些蠕虫病毒可利用UDP 123端口,关闭的方法:如图6停止windows time服务。

端口、木马、安全和扫描应用知识

图5 关闭123端口

3、关闭1900端口

攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包,就可能会造成这些Win XP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包,令"Location"域的地址指向另一系统的 chargen端口,就有可能使系统陷入一个死循环,消耗掉系统的所有资源(需要安装硬件时需手动开启)。

关闭1900端口的方法如图7所示——停止SSDP Discovery Service 服务。

端口、木马、安全和扫描应用知识

图6 关闭1900端口

通过上面的办法关闭了一些有漏洞的或不用的端口后是不是就没问题了呢?不是。因为有些端口是不能关掉的。像135端口,它是RPC服务打开的端口如 果把这个服务停掉,那计算机就关机了,同样像Lsass打开的端口500和4500也不能关闭。冲击波病毒利用的就是135端口,对于不能关闭的端口最好 的办法一是常打补丁,端口都是相应的服务打开的,但是对于一般用户很难判断这些服务到底有什么用途,也很难找到停止哪些服务就能关闭相应的端口。最好的办 法就是下面要讲的安装防火墙。安装防火墙的作用通俗的说就像你不管住在一所结实的好房子里还是住在一所千疮百孔的破房子里,只要你在房子的四周建了一堵密 不透风的墙,那对于墙里的房子就是安全的。

二)、安装防火墙

对于一般用户来讲有下面三类防火墙

1、 自带的防火墙

关于Win XP 与Win 2003自带防火墙的设置请参阅天极网中拙作,不再赘述。

2、ADSL猫防火墙

通过ADSL上网的,如果有条件最好将ADSL猫设置为地址转换方式(NAT),也就是大家常说的路由模式,其实路由与NAT是不一样的,权且这么 叫吧。用NAT方式最大的好处是设置完毕后,ADSL猫就是一个放火墙,它一般只开放80、21、161等为了对ADSL猫进行设置开放的端口。如果不做 端口映射的话,一般从远程是攻击不到ADSL猫后面的计算机的。ADSL猫最大的安全隐患就是很多用户都不改变默认密码。这样黑客如果进到你的猫做个端口 映射就有可能进入到你的计算机,一定把默认密码改掉。

用自带的放火墙和ADSL猫的NAT方式基本可以抵御从外到内的攻击,也就是说即使服务端口开放(包括系统开放的端口和中了开个服务端口的木马), 黑客和类似震荡波一类的病毒也奈何不了你的计算机。上述防火墙只能防止从外到内的连接,不能防止从内到外的连接,当你打开网页和用QQ聊天时就是从内到外 的连接,反弹型木马就是利用放火墙的这一特性来盗取你机器的数据的。反弹型木马虽然十分隐蔽,但也不是没有马脚,防范这类木马最好的办法就是用第三方防火 墙。

3、第三方防火墙

前面说过,反弹型木马而且会使用隐避性较强的文件名,像iexpiore.exe、explorer等与IE的程序IEXPLORE.EXE很想的 名字或用一些rundll32之类的好像是系统文件的名字,但木马的本质就是要与远程的计算机通讯,只要通讯就会有连接。如下所示:正常连接是 IEXPLORE.EXE发起的,而非正常连接是木马程序explorer发起的。

端口、木马、安全和扫描应用知识

图7 正常连接

端口、木马、安全和扫描应用知识

图8 木马连接

一般的防火墙都有应用程序访问网络的权限设置,如图8所示,在防火墙的这类选项中将不允许访问网络的应用程序选择X,即不允许访问网络。

在写这篇文章之前笔者中了一个反弹型木马,就是explorer程序向外连接,用了好几个查毒软件也没有杀掉,当时就先用天网放火墙阻止它访问网络,然后手工费了很大的劲才清除掉。可惜没有做截图。没有勇气为了写这篇文章再牺牲一把了。

4、用Tcpview结束一个连接

当你用Tcpview观察哪个连接有可能是不正常的连接,可在Tcpview中直接鼠标右键点击该连接,选择End Process即可结束该连接。

六、后记

关于计算机的安全还有很多要设置,但对于一般用户来说,太多的安全设置就等于没有了安全,因为即使对于专业从事计算机安全的人员对于安全的设置也不 是件容易的事,何况对于对计算机的知识还不够的一般用户。如果要作很多设置才能保证安全,那肯定就有很多人不做了。对一般用户个人的建议是力所能及的事一 定要做,比如:

1、上网时一定要安装防病毒软件并及时升级。

2、至少安装一个防火墙,ADSL用户最好用路由方式上网,改掉默认密码。

3、经常打补丁,Windows用户最好将系统设为自动升级。

4、自己要做的就是用Tcpview 常常看看连接,防止反弹型木马。常常看看,时间长了也许就看成专家了。

5、Udp协议是不可靠传输,没有状态,从Tcpview中很难看出它是不是在传输数据,感兴趣的朋友可以用iris、sniffer这类的协议分析工具看看是不是有Udp的数据。关于这个话题以后再聊。

6、本文题目起的很大,但写起来又觉得很多问题都是别人说了再说的,也就没有深谈。

当前文章地址:http://www.shejicool.com/computer/skills/240.html

阅完本篇文章?您还可以: 收藏本文 文章挑错 朋友推荐