教你学会查看自己开放的端口

我是萧天

1． Windows本身自带的netstat命令
9 J' q. A% w1 a1 B5 V/ D
! f* ^& o# \5 R! }　　关于netstat命令，我们先来看看windows帮助文件中的介绍：

　　Netstat
9 H4 J4 h0 d$ A! v( y
; Q/ e' U, F) |/ D8 N　　显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。

+ m. Q7 i7 [/ S2 n6 b$ S# J& r　　netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
4 L/ R# y  B9 v8 W5 ^8 n  V# u
　　参数
7 P1 ]& j9 K( e: Q4 Z, |) g
　　-a
: g% n3 k5 P6 p6 {
　　显示所有连接和侦听端口。服务器连接通常不显示。
+ f! [& w! y; I: {) e
　　-e

　　显示以太网统计。该参数可以与 -s 选项结合使用。

/ k% T" v. G- `; b6 b　　-n
, o6 m, R: Y( Z7 A: j
　　以数字格式显示地址和端口号（而不是尝试查找名称）。

　　-s

　　显示每个协议的统计。默认情况下，显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。
0 a% x# o# T9 S3 A' c% J
　　-p protocol
! J8 U2 ?+ ^% k/ [$ \
　　显示由 protocol 指定的协议的连接；protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计，protocol 可以是 tcp、udp、icmp 或 ip。

$ l- H9 @0 ~% f0 K　　-r
0 E% q1 ~, f7 u) U! n7 Q3 Y2 u
　　显示路由表的内容。
, `" J9 {) v3 G8 |, h, v( L* T
3 Q0 d( A% t& ?+ V　　interval
- |3 j) X  S4 X0 u1 S
& d* f* U7 N& b) d; W/ c0 x  [# r6 v　　重新显示所选的统计，在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数，netstat 将打印一次当前的配置信息。
2．工作在windows2000下的命令行工具fport
使用windows2000的朋友要比使用windows9X的幸运一些，因为可以使用fport这个程序来显示本机开放端口与进程的对应关系。
# u9 {. m' w$ m( u8 z) J8 ]
　　Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口，以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用，请看例子：
: t2 z) n5 w. E! P5 Z9 R
' Q# V# [2 |- |  [' r6 Z; s' w; ?　　D:\>fport.exe
& x: q/ w' D, c4 }! S" b
: ]% m/ b# [3 V/ U' g　　FPort v1.33 - TCP/IP Process to Port Mapper

　　Copyright 2000 by Foundstone, Inc.
$ o( N$ F, o* b9 d; e& W) h
9 \% X2 c5 @; G6 K9 H; u　　http://www.foundstone.com

2 t0 u' F2 }8 @) X3 ~3 Z　　Pid Process Port Proto Path

- D* q. a: Y4 O6 s　　748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe

- y; x, t/ ~8 M4 I) c　　748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe

　　748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
% X4 F" @1 Y" _- t0 N
　　416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

4 I( X% ?: P$ ^是不是一目了然了。这下，各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口，可千万不要大意哦，也许那就是一只狡猾的木马！
# A( \& A+ Y1 O9 z' h! a, ]: P
) x0 C) O7 f: NFport的最新版本是2.0。在很多网站都提供下载，但是为了安全起见，当然最好还是到它的老家去下：http://www.foundstone.com/knowledge/zips/fport.zip
* B! g7 F7 K- j3 {0 w
  Z0 U4 Q/ e& M: D& Q　　3.与Fport功能类似的图形化界面工具Active Ports

　　Active Ports为SmartLine出品，你可以用来监视电脑所有打开的TCP/IP/UDP端口，不但可以将你所有的端口显示出来，还显示所有端口所对应的程序所在的路径，本地IP和远端IP(试图连接你的电脑IP)是否正在活动。

, t# p" k4 v6 g0 z' `! K　　更棒的是，它还提供了一个关闭端口的功能，在你用它发现木马开放的端口时，可以立即将端口关闭。这个软件工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。
# V1 [, }9 h9 J8 [8 f% M0 U, c* A
　　其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系，因为windows xp所带的netstat命令比以前的版本多了一个O参数，使用这个参数就可以得出端口与进程的对应来。
2 ~3 w, k/ ?# k# v/ I7 K/ G! }
　　上面介绍了几种查看本机开放端口，以及端口和进程对应关系的方法，通过这些方法可以轻松的发现基于TCP/UDP协议的木马，希望能给你的爱机带来帮助。但是对木马重在防范，而且如果碰上反弹端口木马，利用驱动程序及动态链接库技术制作的新木马时，以上这些方法就很难查出木马的痕迹了。所以我们一定要养成良好的上网习惯，不要随意运行邮件中的附件，安装一套杀毒软件，像国内的瑞星就是个查杀病毒和木马的好帮手。从网上下载的软件先用杀毒软件检查一遍再使用，在上网时打开网络防火墙和病毒实时监控，保护自己的机器不被可恨的木马入侵。
+ z, K0 n- b( F  `2 b' t/ q好了，看完这些帮助文件，我们应该明白netstat命令的使用方法了。现在就让我们现学现用，用这个命令看一下自己的机器开放的端口。进入到命令行下，使用netstat命令的a和n两个参数：
% q6 [" Q5 p7 g$ q: P
　　C:\>netstat -an

; y( V, w# z3 u8 T0 s. T　　Active Connections
1 g9 ?. j' Y7 q/ u5 ^1 ]; M# C
　　Proto Local Address Foreign Address State
3 G7 F1 Q0 ~4 J5 p5 Q# [% ?* |6 n
7 \) g) D8 K+ {& P2 e: ~9 J6 x: G　　TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
, q7 b# b5 |5 `" q& K
) Z. H2 }. O( d/ @* y' Q; U# z　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
3 o- k3 P8 x0 p- ?2 C. U& b: s  l/ K% W
　　TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
! Y/ h) d  Y; d
　　UDP 0.0.0.0:445 0.0.0.0:0

, ]  G/ w; Y; I4 F. I2 N　　UDP 0.0.0.0:1046 0.0.0.0:0
' ]9 F& h( x  R, H; V5 \
　　UDP 0.0.0.0:1047 0.0.0.0:0

　　 解释一下，Active Connections是指当前本机活动连接，Proto是指连接使用的协议名称，Local Address是本地计算机的 IP 地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的 IP 地址和端口号，State则是表明TCP 连接的状态，你可以看到后面三行的监听端口是UDP协议的，所以没有State表示的状态。看！我的机器的7626端口已经开放，正在监听等待连接，像这样的情况极有可能是已经感染了冰河！急忙断开网络，用杀毒软件查杀病毒是正确的做法

wangyihu216

不错，谢谢。自己试试看。