久久亚洲国产精品一区二区,国精品日韩欧美一区二区三区,爱爱的网址

安全知識:端口·木馬·安全·掃描應用知識(1)

作者: 福星發(fā)布日期: 2006-2-20 查看數(shù): 2 出自: http://www.ice.com.cn

看到這個題目你也許有些奇怪，怎么把這幾個詞放在了一起，其實談起端口和木馬都是老生常談了，但即使是常談還有很多人的計算機被“沖擊波”沖過之后又被“震蕩波”狠狠地震了一下，看來很有必要再談談老話題，免得再被什么波溫柔地掃過。其實說這些最終的目的就是為了保證計算機的上網(wǎng)安全。
　　一、端口
　　一）、端口的一般含義
　　說到端口，這確實是個老話題，但一切都是從它開始的，不得不說。何謂端口，打個比方，你住在一座房子里，想讓別人來拜訪你，得在房子上開個大門，你養(yǎng)了個可愛的小貓，為了它的進出，專鷗蘗爍魴∶?，为琳f膠蠡ㄔ埃摯爍齪竺擰姓廡┪私秸饉孔永鋃拿盼頤墻興絲?，諒T┪吮鶉私炊畝絲誄撲?quot;服務端口"。
　　你要拜訪一個叫張三的人，張三家應該開了個允許你來的門____服務端口，否則將被拒之門外。去時，首先你在家開個"門"，然后通過這個"門"徑直走進張三家的大門。為了訪問別人而在自己的房子開的"門"，我們稱它為"客戶端口"。它是隨機開的而且是主動打開的，訪問完就自行關閉了。它和服務端口性質(zhì)是不一樣的，服務端口是開了個門等著別人來訪問，而客戶端口是主動打開一個門去打開別人的門，這點一定要清楚。
　　下面我們從專業(yè)的角度再簡單解釋一下端口的概念。聯(lián)網(wǎng)的計算機要能相互通信必須用同一種協(xié)議，協(xié)議就是計算機通信的語言，計算機之間必須說一種語言才能彼此通信，Internet的通用語言是TCP/TP，它是一組協(xié)議，它規(guī)定在
網(wǎng)絡
的第四層運輸層有兩種協(xié)議TCP、UDP。端口就是這兩個協(xié)議打開的，端口分為源端口和目的端口，源端口是本機打開的，目的端口是正在和本機通信的另一臺計算機的端口，源端口分主動打開的客戶端口和被動連接的服務端口兩種。在Internet中，你訪問一個
網(wǎng)站
時就是在本機開個端口去連
網(wǎng)站
服務器的一個端口，別人訪問你時也是如此。也就是說計算機的通訊就像我們互相串門一樣，從這個門走進哪個門。
　　當你裝好系統(tǒng)后默認就開了很多"服務端口"。如何知道自己的計算機系統(tǒng)開了那些端口呢？這就是下面要說的：
　　二）、查看端口的方法
　　1、命令方式
　　下面以Windows XP為例看看新安裝的系統(tǒng)都開了那些端口，也就是說都預留了那些門，不借助任何
工具
來查看端口的命令是netstat，方法如下：
　　a、如圖1，在"開始"的"運行"處鍵入cmd，回車
　　

圖1
　　b、在dos命令界面，鍵入netstat -na，圖2顯示的就是打開的服務端口，其中Proto
　　代表協(xié)議，該圖中可以看出有TCP和UDP兩種協(xié)議。Local Address代表本機地址，該地址冒號后的數(shù)字就是開放的端口號。Foreign Address代表遠程地址，如果和其它機器正在通信，顯示的就是對方的地址，State代表狀態(tài)，顯示的LISTENING表示處于偵聽狀態(tài)，就是說該端口是開放的，等待連接，但還沒有被連接。就像你房子的門已經(jīng)敞開了，但此時還沒有人進來。以第一行為例看看它的意思。
　　TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
　　這一行的意思是本機的135端口正在等待連接。注意：只有TCP協(xié)議的服務端口才能處于LISTENING狀態(tài)。
　　

圖2
　　2、用TCPView
工具
　　為了更好的分析端口，最好用TCPView這個
軟件
，該
軟件
很小只有93KB，而且是個綠色
軟件
，不用安裝。
　　圖3是TCPView的運行界面。第一次顯示時字體有些小，在"Options"->"Font"中將字號調(diào)大即可。TCPView顯示的數(shù)據(jù)是動態(tài)的。圖3中Local Address顯示的就是本機開放的哪個端口（：號后面的數(shù)字），TCPView可以看出哪個端口是由哪個程序發(fā)起的。從圖3可以看出445、139、1025、135、5000等端口是開放的，445、139等端口都是system發(fā)起的，135等都是SVCHOST發(fā)起的。
　　

圖3
　　三）、研究端口的目的：
　　1、知道本機開了那些端口，也就是可以進入到本機的"門"有幾個，都是誰開的？
　　2、目前本機的端口處于什么狀態(tài)，是等待連接還是已經(jīng)連接，如果是已經(jīng)連接那就要特別注意看連接是個正常連接還是非正常連接（木馬等）？
　　3、目前本機是不是正在和其它計算機交換數(shù)據(jù)，是正常的程序防問到一個正常
網(wǎng)站
還是訪問到一個陷阱？
　　當你上網(wǎng)時就是本機和其它機器傳遞數(shù)據(jù)的過程，要傳遞數(shù)據(jù)必須要用到端口，即使是有些非常高明的木馬利用正常的端口傳送數(shù)據(jù)也不是了無痕跡的，數(shù)據(jù)在開始傳輸、正在傳輸和結(jié)束傳輸?shù)牟煌A段都有各自的狀態(tài)，要想搞明白上述3個問題，就必須清楚端口的狀態(tài)變化。下面結(jié)合實例先分析服務端口的狀態(tài)變化。只有TCP協(xié)議才有狀態(tài)，UDP協(xié)議是不可靠傳輸，是沒有狀態(tài)的。
　　四）、服務端口的狀態(tài)變化
　　先在本機（IP地址為：192.168.1.10）配置FTP服務，然后在其它計算機（IP地址為：192.168.1.1）訪問FTP服務，從TCPView看看端口的狀態(tài)變化。
　　下面黑體字顯示的是從TCPView中截取的部分。
　　1、LISTENING狀態(tài)
　　FTP服務啟動后首先處于偵聽（LISTENING）狀態(tài)。
　　State顯示是LISTENING時表示處于偵聽狀態(tài)，就是說該端口是開放的，等待連接，但還沒有被連接。就像你房子的門已經(jīng)敞開的，但還沒有人進來。
　　從TCPView可以看出本機開放FTP的情況。它的意思是:程序inetinfo.exe開放了21端口，F(xiàn)TP默認的端口為21，可見在本機開放了FTP服務。目前正處于偵聽狀態(tài)。
　　inetinfo.exe:1260 TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
　　2、ESTABLISHED狀態(tài)
　　現(xiàn)在從192.168.1.1這臺計算機訪問一下192.168.1.10的FTP服務。在本機的TCPView可以看出端口狀態(tài)變?yōu)镋STABLISHED。
　　ESTABLISHED的意思是建立連接。表示兩臺機器正在通信。
　　下面顯示的是本機的FTP服務正在被192.168.1.1這臺計算機訪問。
　　inetinfo.exe:1260 TCP 192.168.1.10:21 192.168.1.1:3009 ESTABLISHED
　　注意：處于ESTABLISHED狀態(tài)的連接一定要格外注意，因為它也許不是個正常連接。后面我們要講到這個問題。
　　3、 TIME_WAIT狀態(tài)
　　現(xiàn)在從192.168.1.1這臺計算機結(jié)束訪問192.168.1.10的FTP服務。在本機的TCPView可以看出端口狀態(tài)變?yōu)門IME_WAIT。
　　TIME_WAIT的意思是結(jié)束了這次連接。說明21端口曾經(jīng)有過訪問，但訪問結(jié)束了。
　　[System Process]:0 TCP 192.168.1.10:21 192.168.1.1:3009 TIME_WAIT
　　4、小技巧
　　a、可以telnet一個開放的端口，來觀察該端口的變化。比如看1025端口是開放的，在命令狀態(tài)（如圖1運行cmd）運行：
　　telnet 192.168.1.10 1025
　　b、從本機也可以測試，只不過顯示的是本機連本機
　　c、在Tcpview中雙擊連接可看出程序的位置，右鍵點擊該連接，選擇End Process即可結(jié)束該連接
　　五）、客戶端口的狀態(tài)變化
　　客戶端口實際上就是從本機訪問其它計算機服務時打開的源端口，最多的應用是上網(wǎng)，下面就以訪問baidu.com為例來看看端口開放以及狀態(tài)的變化情況
　　1、SYN_SENT狀態(tài)
　　SYN_SENT狀態(tài)表示請求連接，當你要訪問其它的計算機的服務時首先要發(fā)個同步信號給該端口，此時狀態(tài)為SYN_SENT，如果連接成功了就變?yōu)镋STABLISHED，此時SYN_SENT狀態(tài)非常短暫。但如果發(fā)現(xiàn)SYN_SENT非常多且在向不同的機器發(fā)出，那你的機器可能中了沖擊波或震蕩波之類的病毒了。這類病毒為了感染別的計算機，它就要掃描別的計算機，在掃描的過程中對每個要掃描的計算機都要發(fā)出了同步請求，這也是出現(xiàn)許多SYN_SENT的原因。
　　下面顯示的是本機連接www.baidu.com
網(wǎng)站
時的開始狀態(tài)，如果你的
網(wǎng)絡
正常的，那很快就變?yōu)镋STABLISHED的連接狀態(tài).
　　IEXPLORE.EXE:2928 TCP 192.168.1.10:1035 202.108.250.249:80 SYN_SENT
　　2、ESTABLISHED狀態(tài)
　　下面顯示的是本機正在訪問www.baidu.com
網(wǎng)站
。如果你訪問的
網(wǎng)站
有許多內(nèi)容比如訪問www.yesky.com，那會發(fā)現(xiàn)一個地址有許多ESTABLISHED，這是正常的，
網(wǎng)站
中的每個內(nèi)容比如圖片、flash等都要單獨建立一個連接?？碋STABLISHED狀態(tài)時一定要注意是不是IEXPLORE.EXE程序（IE）發(fā)起的連接，如果是EXPLORE.EXE之類的程序發(fā)起的連接，那也許是你的計算機中了木馬了。" target=_blank>baidu.com
網(wǎng)站
。如果你訪問的
網(wǎng)站
有許多內(nèi)容比如訪問www.yesky.com，那會發(fā)現(xiàn)一個地址有許多ESTABLISHED，這是正常的，
網(wǎng)站
中的每個內(nèi)容比如圖片、flash等都要單獨建立一個連接?？碋STABLISHED狀態(tài)時一定要注意是不是IEXPLORE.EXE程序（IE）發(fā)起的連接，如果是EXPLORE.EXE之類的程序發(fā)起的連接，那也許是你的計算機中了木馬了。
　　IEXPLORE.EXE:3120 TCP 192.168.1.10:1045 202.108.250.249:80 ESTABLISHED
　　3、TIME_WAIT狀態(tài)
　　如果瀏覽網(wǎng)頁完畢，那就變?yōu)門IME_WAIT狀態(tài)。
　　[System Process]:0 TCP 192.168.1.10:4259 202.108.250.249:80 TIME_WAIT
　　六）、端口詳細變遷圖
　　以上是最主要的幾個狀態(tài)，實際還有一些，圖4是TCP的狀態(tài)詳細變遷圖（從TCP/IP詳解中剪來），用粗的實線箭頭表示正常的客戶端狀態(tài)變遷，用粗的虛線箭頭表示正常的服務器狀態(tài)變遷。這些不在本文的討論范圍。有興趣的朋友可以好好研究一下。
　　

圖4 TCP的狀態(tài)變遷圖

本站僅提供存儲服務，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點擊舉報。

免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版