收藏
下载资源

端口,扫描和安全

上传人:子 文档编号:43808096 上传时间:2018-06-07 格式:DOC 页数:8 大小:123.66KB
返回 下载 相关 举报
端口,扫描和安全_第1页
第1页 / 共8页
端口,扫描和安全_第2页
第2页 / 共8页
端口,扫描和安全_第3页
第3页 / 共8页
端口,扫描和安全_第4页
第4页 / 共8页
端口,扫描和安全_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《端口,扫描和安全》由会员分享,可在线阅读,更多相关《端口,扫描和安全(8页珍藏版)》请在金锄头文库上搜索。

1、看到这个题目你也许有些奇怪,怎么把这几个词放在了一起,其实谈起端口和木马都是老 生常谈了,但即使是常谈还有很多人的计算机被“冲击波”冲过之后又被“震荡波”狠狠地震 了一下,看来很有必要再谈谈老话题,免得再被什么波温柔地扫过。其实说这些最终的目 的就是为了保证计算机的上网安全。 一、一、 端口端口一)一) 、端口的一般含义、端口的一般含义说到端口,这确实是个老话题,但一切都是从它开始的,不得不说。何谓端口,打个 比方,你住在一座房子里,想让别人来拜访你,得在房子上开个大门,你养了个可爱的小 猫,为了它的进出,专门给它修了个小门,为了到后花园,又开了个后门所有这些为了 进到这所房子里而开的门叫端口

2、,这些为了别人进来而开的端口称它为“服务端口”。你要拜访一个叫张三的人,张三家应该开了个允许你来的门-服务端口,否则将被拒 之门外。去时,首先你在家开个“门”,然后通过这个“门”径直走进张三家的大门。为了访 问别人而在自己的房子开的“门”,称为“客户端口”。它是随机开的而且是主动打开的,访 问完就自行关闭了。它和服务端口性质是不一样的,服务端口是开了个门等着别人来访问, 而客户端口是主动打开一个门去打开别人的门,这点一定要清楚。下面从专业的角度再简单解释一下端口的概念。联网的计算机要能相互通信必须用同 一种协议,协议就是计算机通信的语言,计算机之间必须说一种语言才能彼此通信, Internet

3、 的通用语言是 TCP/TP,它是一组协议,它规定在网络的第四层运输层有两种协议 TCP、UDP。端口就是这两个协议打开的,端口分为源端口和目的端口,源端口是本机打开 的,目的端口是正在和本机通信的另一台计算机的端口,源端口分主动打开的客户端口和 被动连接的服务端口两种。在 Internet 中,你访问一个网站时就是在本机开个端口去连网 站服务器的一个端口,别人访问你时也是如此。也就是说计算机的通讯就像互相串门一样, 从这个门走进哪个门。当装好系统后默认就开了很多“服务端口”。如何知道自己的计算机系统开了那些端口 呢?这就是下面要说的。二)二) 、查看端口的方法、查看端口的方法1、命令方式下面

4、以 Windows XP 为例看看新安装的系统都开了那些端口,也就是说都预留了那些 门,不借助任何工具来查看端口的命令是 netstat,方法如下:a、在“开始”的“运行”处键入 cmd,回车b、在 dos 命令界面,键入 netstat -na,图 2 显示的就是打开的服务端口,其中 Proto代表协议,该图中可以看出有 TCP 和 UDP 两种协议。Local Address 代表本机地址,该 地址冒号后的数字就是开放的端口号。Foreign Address 代表远程地址,如果和其它机器正 在通信,显示的就是对方的地址,State 代表状态,显示的 LISTENING 表示处于侦听状态,

5、就是说该端口是开放的,等待连接,但还没有被连接。就像你房子的门已经敞开了,但此 时还没有人进来。以第一行为例看看它的意思。TCP 0.0.0.0:135 0.0.0.0:0 LISTENING这一行的意思是本机的 135 端口正在等待连接。注意:只有 TCP 协议的服务端口才能处 于 LISTENING 状态。图 1 用 netstat 命令查看端口状态2、用 TCPView 工具为了更好的分析端口,最好用 TCPView 这个软件,该软件很小只有 93KB,而且是个绿 色软件,不用安装。图 3 是 TCPView 的运行界面。第一次显示时字体有些小,在“Options”-“Font”中将字

6、号调大即可。TCPView 显示的数据是动态的。图 3 中 Local Address 显示的就是本机开放的 哪个端口(:号后面的数字) ,TCPView 可以看出哪个端口是由哪个程序发起的。从图 3 可 以看出 445、139、1025、135、5000 等端口是开放的,445、139 等端口都是 system 发起 的,135 等都是 SVCHOST 发起的。图 2 用 TCPView 查看端口状态三)三) 、研究端口的目的、研究端口的目的1、知道本机开了那些端口,也就是可以进入到本机的“门”有几个,都是谁开的?2、目前本机的端口处于什么状态,是等待连接还是已经连接,如果是已经连接那就要

7、特别注意看连接是个正常连接还是非正常连接(木马等)?3、目前本机是不是正在和其它计算机交换数据,是正常的程序防问到一个正常网站还 是访问到一个陷阱?当你上网时就是本机和其它机器传递数据的过程,要传递数据必须要用到端口,即使 是有些非常高明的木马利用正常的端口传送数据也不是了无痕迹的,数据在开始传输、正 在传输和结束传输的不同阶段都有各自的状态,要想搞明白上述 3 个问题,就必须清楚端 口的状态变化。下面结合实例先分析服务端口的状态变化。只有 TCP 协议才有状态,UDP协议是不可靠传输,是没有状态的。四)四) 、服务端口的状态变化、服务端口的状态变化先在本机(IP 地址为:192.168.1.

8、10)配置 FTP 服务,然后在其它计算机(IP 地址为: 192.168.1.1)访问 FTP 服务,从 TCPView 看看端口的状态变化。下面黑体字显示的是从 TCPView 中截取的部分。1、LISTENING 状态FTP 服务启动后首先处于侦听(LISTENING)状态。State 显示是 LISTENING 时表示处于侦听状态,就是说该端口是开放的,等待连接,但 还没有被连接。就像你房子的门已经敞开的,但还没有人进来。从 TCPView 可以看出本机开放 FTP 的情况。它的意思是:程序 inetinfo.exe 开放了 21 端 口,FTP 默认的端口为 21,可见在本机开放了

9、FTP 服务。目前正处于侦听状态。inetinfo.exe:1260 TCP 0.0.0.0:21 0.0.0.0:0 LISTENING2、ESTABLISHED 状态现在从 192.168.1.1 这台计算机访问一下 192.168.1.10 的 FTP 服务。在本机的 TCPView 可以看出端口状态变为 ESTABLISHED。ESTABLISHED 的意思是建立连接。表示两台机器正在通信。下面显示的是本机的 FTP 服务正在被 192.168.1.1 这台计算机访问。inetinfo.exe:1260 TCP 192.168.1.10:21 192.168.1.1:3009 ESTA

10、BLISHED注意:处于 ESTABLISHED 状态的连接一定要格外注意,因为它也许不是个正常连接。后 面要讲到这个问题。3、 TIME_WAIT 状态现在从 192.168.1.1 这台计算机结束访问 192.168.1.10 的 FTP 服务。在本机的 TCPView 可以看出端口状态变为 TIME_WAIT。TIME_WAIT 的意思是结束了这次连接。说明 21 端口曾经有过访问,但访问结束了。System Process:0 TCP 192.168.1.10:21 192.168.1.1:3009 TIME_WAIT4、小技巧a、可以 telnet 一个开放的端口,来观察该端口的变化

11、。比如看 1025 端口是开放的, 在命令状态(如图 1 运行 cmd)运行:telnet 192.168.1.10 1025b、从本机也可以测试,只不过显示的是本机连本机c、在 Tcpview 中双击连接可看出程序的位置,右键点击该连接,选择 End Process 即 可结束该连接五)五) 、客户端口的状态变化、客户端口的状态变化客户端口实际上就是从本机访问其它计算机服务时打开的源端口,最多的应用是上网, 下面就以访问 为例来看看端口开放以及状态的变化情况。1、SYN_SENT 状态SYN_SENT 状态表示请求连接,当你要访问其它的计算机的服务时首先要发个同步信号 给该端口,此时状态为

12、 SYN_SENT,如果连接成功了就变为 ESTABLISHED,此时 SYN_SENT 状态非常短暂。但如果发现 SYN_SENT 非常多且在向不同的机器发出,那你的机器可能中 了冲击波或震荡波之类的病毒了。这类病毒为了感染别的计算机,它就要扫描别的计算机, 在扫描的过程中对每个要扫描的计算机都要发出了同步请求,这也是出现许多 SYN_SENT 的原因。下面显示的是本机连接 网站时的开始状态,如果你的网络正常的,那很快 就变为 ESTABLISHED 的连接状态。IEXPLORE.EXE:2928 TCP 192.168.1.10:1035 202.108.250.249:80 SYN_S

13、ENT2、ESTABLISHED 状态下面显示的是本机正在访问 网站。如果你访问的网站有许多内容比如访问 ,那会发现一个地址有许多 ESTABLISHED,这是正常的,网站中的每个内容 比如图片、flash 等都要单独建立一个连接。看 ESTABLISHED 状态时一定要注意是不是 IEXPLORE.EXE 程序(IE)发起的连接,如果是 EXPLORE.EXE 之类的程序发起的连接,那也许 是你的计算机中了木马了。IEXPLORE.EXE:3120 TCP 192.168.1.10:1045 202.108.250.249:80 ESTABLISHED3、TIME_WAIT 状态如果浏览网

14、页完毕,那就变为 TIME_WAIT 状态。System Process:0 TCP 192.168.1.10:4259 202.108.250.249:80 TIME_WAIT六)六) 、端口详细变迁图、端口详细变迁图以上是最主要的几个状态,实际还有一些,图 4 是 TCP 的状态详细变迁图(从 TCP/IP 详解中剪来) ,用粗的实线箭头表示正常的客户端状态变迁,用粗的虚线箭头表示正常的服 务器状态变迁。这些不在本文的讨论范围。有兴趣的朋友可以好好研究一下。图 3 TCP 的状态变迁图七)七) 、要点、要点一般用户一定要熟悉(再啰嗦几句):1、服务端口重点要看的是 LISTENING 状态

15、和 ESTABLISHED 状态,LISTENING 是本机开 了哪些端口,ESTABLISHED 是谁在访问你的机器,从哪个地址访问的。2、客户端口的 SYN_SENT 状态和 ESTABLISHED 状态,SYN_SENT 是本机向其它计算机发 出的连接请求,一般这个状态存在的时间很短,但如果本机发出了很多 SYN_SENT,那可能 就是中毒了。看 ESTABLISHED 状态是要发现本机正在和哪个机器传送数据,主要看是不是 一个正常程序发起的。二、木马二、木马什么是木马,简单的说就是在未经你许可偷偷在你的计算机中开个后门,木马开后门 主要有两种方式。1、有服务端口的木马、有服务端口的木马

16、这类木马都要开个服务端口的后门,成功后该后门处于 LISTENING 状态,它的端口号 可能固定一个数,也可能变化,还有的木马可以与正常的端口合用,例如你开着正常的 80 端口(WEB 服务) ,木马也用 80 端口。这种木马最大的特点就是有端口处于 LISTENING 状 态,需要远程计算机连接它。这种木马对一般用户比较好防范,将防火墙设为拒绝从外到 内的连接即可。比较难防范的是反弹型木马。2、反弹型木马、反弹型木马反弹型木马是从内向外的连接,它可以有效的穿透防火墙,而且即使你使用的是内网 IP,他一样也能访问你的计算机。这种木马的原理是服务端主动连接客户端(黑客)地址。 木马的服务端软件就像你的 Internet Explorer 一样,使用动态分配端口去连接客户端的某一 端口,通常是常用端口,像端口 80。而且会使用隐避性较强的文件名,像 iexpiore.exe、explorer(IE 的程序是 IEXPLORE.EXE) 。如果你不仔细看,你可能会以为是你 的 Internet

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号