教你学会查看自己开放的端口

我是萧天

1． Windows本身自带的netstat命令

　　关于netstat命令，我们先来看看windows帮助文件中的介绍：
% a" [9 H% b/ A% D/ g' x9 n
  f& }6 d# N2 b' E* T; I1 j5 n　　Netstat

' k7 l; ]% A' w; N% W　　显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。
0 i' W4 c* ~. S6 h, n
　　netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

　　参数

3 f4 J  a( C' K& Z$ P) |　　-a
6 R$ [0 [' E) i& ?% K) {: S, }
　　显示所有连接和侦听端口。服务器连接通常不显示。
9 Q3 Y& y4 ?5 `" }4 P
. B& s; v1 g& }$ K( n　　-e

　　显示以太网统计。该参数可以与 -s 选项结合使用。

# b# q# C9 D6 `" G( p6 t- E+ K　　-n
, }: ^/ {3 X) C5 w" }
. x$ w0 g/ t( ^1 H　　以数字格式显示地址和端口号（而不是尝试查找名称）。
0 Q, C* u3 P3 S: \# ^  j
. ~# S  u3 N3 d: t4 H$ L　　-s
# |' H$ Y- {" f# j. C
2 ?) L& v; r% h8 J. x6 Y/ e　　显示每个协议的统计。默认情况下，显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。

　　-p protocol
0 r6 S5 |9 U  i9 j+ t- n2 C  _
　　显示由 protocol 指定的协议的连接；protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计，protocol 可以是 tcp、udp、icmp 或 ip。

& F7 c  A$ G1 `: A! C　　-r

　　显示路由表的内容。

* K5 v  y# q* Y+ ?, v; \, l　　interval
" A# a- [# H6 e9 L
　　重新显示所选的统计，在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数，netstat 将打印一次当前的配置信息。
  }: ~. T6 D* {& F6 \. ?0 B0 v8 H2．工作在windows2000下的命令行工具fport
使用windows2000的朋友要比使用windows9X的幸运一些，因为可以使用fport这个程序来显示本机开放端口与进程的对应关系。

　　Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口，以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用，请看例子：
* S' I9 G7 c, z& V# g
6 C1 W$ B, N8 m, P$ Q" [' T, I) }  E$ F　　D:\>fport.exe

- ]  N6 a. g6 G' \6 }1 U5 ^7 F/ z+ [　　FPort v1.33 - TCP/IP Process to Port Mapper

　　Copyright 2000 by Foundstone, Inc.
  ^9 y- h  a& i7 {5 \1 Z- L7 N2 Z4 |$ Y
$ ^, N+ u! a  s　　http://www.foundstone.com

　　Pid Process Port Proto Path
4 @/ t6 P" J9 m: i, w
: G; S2 M% ?8 N" J* k/ p0 n- ~- S　　748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe
7 [: }. Y0 C( K
9 t4 x* `! K& ~" r3 @　　748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
4 E! J# {2 Q# Z( w2 ?( p
; u1 _- D; |0 F1 G( \　　748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe

$ s; E8 |  J* L2 H4 ^# @　　416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
0 @6 O- U( P8 r, ^2 {8 g1 x% H
  l) e/ I  G/ z% ?( |# Q, ]是不是一目了然了。这下，各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口，可千万不要大意哦，也许那就是一只狡猾的木马！

! M2 y" O9 S3 b5 FFport的最新版本是2.0。在很多网站都提供下载，但是为了安全起见，当然最好还是到它的老家去下：http://www.foundstone.com/knowledge/zips/fport.zip

* \2 j: T9 K) p% |/ F　　3.与Fport功能类似的图形化界面工具Active Ports
1 r" A3 G' }1 X4 G
　　Active Ports为SmartLine出品，你可以用来监视电脑所有打开的TCP/IP/UDP端口，不但可以将你所有的端口显示出来，还显示所有端口所对应的程序所在的路径，本地IP和远端IP(试图连接你的电脑IP)是否正在活动。

  Z9 T* c7 i  e9 H2 T　　更棒的是，它还提供了一个关闭端口的功能，在你用它发现木马开放的端口时，可以立即将端口关闭。这个软件工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。
8 Y- c# J0 }4 Q# D; _* Z
　　其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系，因为windows xp所带的netstat命令比以前的版本多了一个O参数，使用这个参数就可以得出端口与进程的对应来。

　　上面介绍了几种查看本机开放端口，以及端口和进程对应关系的方法，通过这些方法可以轻松的发现基于TCP/UDP协议的木马，希望能给你的爱机带来帮助。但是对木马重在防范，而且如果碰上反弹端口木马，利用驱动程序及动态链接库技术制作的新木马时，以上这些方法就很难查出木马的痕迹了。所以我们一定要养成良好的上网习惯，不要随意运行邮件中的附件，安装一套杀毒软件，像国内的瑞星就是个查杀病毒和木马的好帮手。从网上下载的软件先用杀毒软件检查一遍再使用，在上网时打开网络防火墙和病毒实时监控，保护自己的机器不被可恨的木马入侵。
好了，看完这些帮助文件，我们应该明白netstat命令的使用方法了。现在就让我们现学现用，用这个命令看一下自己的机器开放的端口。进入到命令行下，使用netstat命令的a和n两个参数：

( l! }- q& f, t0 b( o/ ~% r% b　　C:\>netstat -an

　　Active Connections

- h% ~, w2 c, m3 r/ J, u/ p　　Proto Local Address Foreign Address State

) F% a% c( @8 N4 ]　　TCP 0.0.0.0:80 0.0.0.0:0 LISTENING

7 v, H$ {+ V- U$ C% r* |　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

4 q$ U- i6 X. s8 C5 m　　TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
. q& \! w  R+ _# q3 ~
　　UDP 0.0.0.0:445 0.0.0.0:0
- `% a& B! t4 _( H7 t
6 c, `& ~- a1 U　　UDP 0.0.0.0:1046 0.0.0.0:0

9 a9 L- F6 t, H3 u9 P( m( q　　UDP 0.0.0.0:1047 0.0.0.0:0
2 U; l3 z% L# b; q# y" ?
　　 解释一下，Active Connections是指当前本机活动连接，Proto是指连接使用的协议名称，Local Address是本地计算机的 IP 地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的 IP 地址和端口号，State则是表明TCP 连接的状态，你可以看到后面三行的监听端口是UDP协议的，所以没有State表示的状态。看！我的机器的7626端口已经开放，正在监听等待连接，像这样的情况极有可能是已经感染了冰河！急忙断开网络，用杀毒软件查杀病毒是正确的做法

wangyihu216

不错，谢谢。自己试试看。