每台电脑要与外界网络每建立一个网络连接时,都必须打开电脑中的某个端口。端口就像是电脑与外界网络连接的一扇门,让连接网络成为可能的同时,也带来了许多安全隐患——黑客可能通过打开某个端口后门,用木马控制你的电脑;网络病毒也可能在通过端口感染攻击你的电脑……
一、Windows中的端口查看器
当网速变慢或者出现电脑操作故障时,排除其它原因后,有可能我们已遭受了网络攻击。这时可以查看一下网络端口使用状况。
使用Windows中自带的netstat命令,可以清楚的查看到电脑中打开的端口连接,其格式为:“netstat -an”。在显示的信息中包括连接使用的协议、本地和远程计算机的IP地址及连接端口……很多木马和网络病毒都会开放一些特殊的端口,如果在列表中显示一些不常见的端口,也许系统有可能感染了木马或病毒。
二、图形化的端口管理工具
一些图形化的工具可能显得更为简单实用些,TCPView就是一个方便直观的图形化端口连接查看器,可以显示打开的端口及其对应的进程名和进程路径,并可以轻松的关闭某个连接端口。
在TCPView可以清楚的看到某个端口是什么程序所打开的(如图1)。有的木马常常会伪装成svchost或explorer等系统进程,可以右键点击这些可疑进程,选择“Process Properties”命令打开进程属性窗口,在“Path”中可以查看到进程的真正路径。如果确定打开此端口的进程是木马的话,直接点击对话窗口中的“End Process”按钮即可。
TCPView的端口管理非常强,除了查看端口,结束非法使用端口的进程外,它还可以直接关闭某个端口的连接。在窗口中右键点击列表中的某个端口进程,选择“Close Connection”命令,即可关闭该端口连接而不结束进程。 三、监视端口的一举一动
监视端口实际上就是监视网络连接,有经验的网络安全人员可以通过监视端口,分析各种网络连接入侵等情况。一个自动化的端口监视记录工具,可以有效的帮助我们进行网络入侵分析。
1.使用netstat监视记录端口
“netstat”命令也可以完成简单的端口监视功能,执行“netstat-ano 10>>c:port.txt”,即可在C盘下生成名为“port.txt”的网络端口状态记录文件,并每隔10秒钟将刷新的状态追加保存在文本中。按下+键,即可中止监视。通过该端口监视记录,可以查看到是否有非法的入侵连接(如图2)。
2.图形化的监视工具
图形界面的端口监视工具也是有不少的,比如“DiamondCS Port Explorer 2.00”就是一个很好的端口管理工具。它除了具备查看显示所有端口、结束端口连接进程,显示进程路径等功能外,还有监控监口的作用。
a.监视端口和进程
“DiamondCS Port Explorer”有一项很强的功能,就是可以显示所有端口连接,包括一些使用了特殊技术进行隐藏的端口连接。这对查看到隐藏的木马和后门连接是非常有用的!查询到的隐藏端口连接将在列表中以红色高亮显示(如图3)。
在中间的端口列表中右键点击某个端口或进程,选择弹出菜单中的“Socket”→“Enable Spying”命令,激活对该端口的监视功能(如图4)。然后点击菜单“Settings”→“File Logging”,在这里选择监视记录数据文件的大小限制,勾选“No Limiton Logfile”即可。如果要查看已经记录的端口情况,可选择“View File Log”命令;使用“Clear File Log”可清除所有监视数据。
b.监控数据包
在“DiamondCS Port Explorer”的商品列表中选择某个端口,在下部窗口中即可看到通过端口收发的数据包。右键点击端口,在其中可选择禁止该端口的数据发送或接收,并可设置“Max.Recv Speed(最大接收速度)”和“Max.Send Speed(最大发送速度)”。
小提示
“DiamondCS Port Explorer”还有其它许多实用功能,如端口追踪、远程IP的whois等。
除了上面提到的两种工具,还有微软开发的一个更强大端口监视工具“Port Reporter”,它以服务的形式加载运行,记录本地Windows系统中TCP和UDP端口的活动,包括哪些端口正在使用、哪些服务进程正被端口所使用,哪些模块已被进程载入以及哪些用户帐户正在运行进程等等……