每台電腦要與外界網絡每建立一個網絡連接時,都必須打開電腦中的某個端口。端口就像是電腦與外界網絡連接的一扇門,讓連接網絡成為可能的同時,也帶來了許多安全隱患——黑客可能通過打開某個端口後門,用木馬控製你的電腦;網絡病毒也可能在通過端口感染攻擊你的電腦……
一、Windows中的端口查看器 當網速變慢或者出現電腦操作故障時,排除其它原因後,有可能我們已遭受了網絡攻擊。這時可以查看一下網絡端口使用狀況。
使用Windows中自帶的netstat命令,可以清楚的查看到電腦中打開的端口連接,其格式為:“netstat -an”。在顯示的信息中包括連接使用的協議、本地和遠程計算機的IP地址及連接端口……很多木馬和網絡病毒都會開放一些特殊的端口,如果在列表中顯示一些不常見的端口,也許係統有可能感染了木馬或病毒。
二、圖形化的端口管理工具 一些圖形化的工具可能顯得更為簡單實用些,TCPView就是一個方便直觀的圖形化端口連接查看器,可以顯示打開的端口及其對應的進程名和進程路徑,並可以輕鬆的關閉某個連接端口。
在TCPView可以清楚的看到某個端口是什麽程序所打開的(如圖1)。有的木馬常常會偽裝成svchost或explorer等係統進程,可以右鍵點擊這些可疑進程,選擇“Process Properties”命令打開進程屬性窗口,在“Path”中可以查看到進程的真正路徑。如果確定打開此端口的進程是木馬的話,直接點擊對話窗口中的“End Process”按鈕即可。
TCPView的端口管理非常強,除了查看端口,結束非法使用端口的進程外,它還可以直接關閉某個端口的連接。在窗口中右鍵點擊列表中的某個端口進程,選擇“Close Connection”命令,即可關閉該端口連接而不結束進程。
三、監視端口的一舉一動 監視端口實際上就是監視網絡連接,有經驗的網絡安全人員可以通過監視端口,分析各種網絡連接入侵等情況。一個自動化的端口監視記錄工具,可以有效的幫助我們進行網絡入侵分析。
1.使用netstat監視記錄端口
“netstat”命令也可以完成簡單的端口監視功能,執行“netstat-ano 10>>c:port.txt”,即可在C盤下生成名為“port.txt”的網絡端口狀態記錄文件,並每隔10秒鍾將刷新的狀態追加保存在文本中。按下+鍵,即可中止監視。通過該端口監視記錄,可以查看到是否有非法的入侵連接(如圖2)。
2.圖形化的監視工具
圖形界麵的端口監視工具也是有不少的,比如“DiamondCS Port Explorer 2.00”就是一個很好的端口管理工具。它除了具備查看顯示所有端口、結束端口連接進程,顯示進程路徑等功能外,還有監控監口的作用。
a.監視端口和進程
“DiamondCS Port Explorer”有一項很強的功能,就是可以顯示所有端口連接,包括一些使用了特殊技術進行隱藏的端口連接。這對查看到隱藏的木馬和後門連接是非常有用的!查詢到的隱藏端口連接將在列表中以紅色高亮顯示(如圖3)。
在中間的端口列表中右鍵點擊某個端口或進程,選擇彈出菜單中的“Socket”→“Enable Spying”命令,激活對該端口的監視功能(如圖4)。然後點擊菜單“Settings”→“File Logging”,在這裏選擇監視記錄數據文件的大小限製,勾選“No Limiton Logfile”即可。如果要查看已經記錄的端口情況,可選擇“View File Log”命令;使用“Clear File Log”可清除所有監視數據。
b.監控數據包
在“DiamondCS Port Explorer”的商品列表中選擇某個端口,在下部窗口中即可看到通過端口收發的數據包。右鍵點擊端口,在其中可選擇禁止該端口的數據發送或接收,並可設置“Max.Recv Speed(最大接收速度)”和“Max.Send Speed(最大發送速度)”。
小提示
“DiamondCS Port Explorer”還有其它許多實用功能,如端口追蹤、遠程IP的whois等。
除了上麵提到的兩種工具,還有微軟開發的一個更強大端口監視工具“Port Reporter”,它以服務的形式加載運行,記錄本地Windows係統中TCP和UDP端口的活動,包括哪些端口正在使用、哪些服務進程正被端口所使用,哪些模塊已被進程載入以及哪些用戶帳戶正在運行進程等等……