QQ登录

只需一步,快速开始

登录 | 注册 | 找回密码

三维网

 找回密码
 注册

QQ登录

只需一步,快速开始

展开

通知     

查看: 1281|回复: 1
收起左侧

[分享] 教你学会查看自己开放的端口

[复制链接]
发表于 2007-1-28 09:24:46 | 显示全部楼层 |阅读模式 来自: 中国河南济源

马上注册,结识高手,享用更多资源,轻松玩转三维网社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
1. Windows本身自带的netstat命令
+ z+ b$ ~& e+ q6 j
( K: h) E5 F6 _1 w8 y# }! q  关于netstat命令,我们先来看看windows帮助文件中的介绍: 4 [4 Q- q& \3 E1 l' D

1 }  C4 y/ o5 Y6 o7 v" _  Netstat
  {) \! l* D3 v+ I. C- _, {, G1 D) _$ U, `" E) x
  显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。
0 }4 b& Q. D. M+ H' F
/ m4 z( F! E5 w, J! c* ?& l7 q! ?, U4 m  netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
$ }$ K0 P8 v! m" f
, n- S  a4 Y' R  参数
# p5 n4 \2 m7 O9 L
, k: M( o3 j9 O3 Q  -a
- [6 }2 I, l6 Q* w) |" Z% [
* t* |$ h1 F. H( h  显示所有连接和侦听端口。服务器连接通常不显示。 6 J) b/ b# B! N% d
1 t3 ]7 Y. ^/ L+ ^% |8 r1 j8 T
  -e
7 [* F* G" A) J8 I0 l
1 m$ X2 t; G/ _  显示以太网统计。该参数可以与 -s 选项结合使用。
( c. k! ?9 u6 `) R4 S9 f
) `" z0 \6 u1 i/ v, w+ h% g4 p( A  -n ! O- ]2 k4 i1 n6 L. ]% Y

: O" V- e8 o# i- V" {: o& e  以数字格式显示地址和端口号(而不是尝试查找名称)。
  P! o) i8 Y5 c! W3 b9 V) t
! D& m5 j& z5 n+ o, h* }& @* @  -s
! S, z* X$ k1 r, m! f. e& r- N1 [& z. l5 N  m
  显示每个协议的统计。默认情况下,显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。 , k6 c/ k% T6 ?& d- K+ f

" h( _: t$ s' |- W  -p protocol
1 G1 b* M  S+ _, [& N. |7 e. g8 R8 f6 r/ D* {5 s) g8 w
  显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。 ; s2 z  H  C$ L. c8 w5 V

1 U7 r$ u/ y! j( {3 N) `' E  -r
" L6 Q7 k* i1 O+ h
' p4 o" Q5 `% ?6 K8 o, R& P0 E! W# H  显示路由表的内容。 ) |* H) }# N' t7 b

5 {1 G0 Y5 @' w$ N: S; U  interval
( o7 i- U$ {. j6 y$ S6 f3 t
9 Y4 z/ o" s4 L( S; f+ K9 d: s  重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。 1 \: K8 E$ G. O8 V7 D* H  S5 U; n* h
2.工作在windows2000下的命令行工具fport
* W& M! B. \6 }) q+ |+ y! {: S使用windows2000的朋友要比使用windows9X的幸运一些,因为可以使用fport这个程序来显示本机开放端口与进程的对应关系。
" D+ u, D+ G2 G' C- w" Y  Q! ^* E3 l+ d8 g1 V. g0 X
  Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口,以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用,请看例子: - I' r5 O" \. U  Y: Z7 S& b* t5 d/ R! A
8 E, m& o! }+ V! C: x$ Q
  D:\>fport.exe . g. n5 c; ?& o- E) K8 t( Z
. ^0 b  T% F* Y7 g% E8 e
  FPort v1.33 - TCP/IP Process to Port Mapper ' a5 B9 c" m- E4 ~) x" ]
! O: s. M; J+ N3 L+ J2 y& |+ a
  Copyright 2000 by Foundstone, Inc.
# [' b. ^6 X8 i
8 d: g  {9 e' ~- l% [2 P& P  
http://www.foundstone.com ' G2 Y7 l1 ^. v, ^" I% i, w5 K. n) i
& G# O3 R) `" t) q8 E% K7 ^
  Pid Process Port Proto Path : C5 L1 U; |$ i  k* h' n8 ], f7 a& V
/ |' {$ ?$ r9 ^4 j9 ]
  748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe - T7 x+ O% ], c2 f- \$ M8 J/ r9 X
# X7 {: ~* s/ O% O# r
  748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe ! x& i: U7 x' X( o+ m0 k

3 F. y  i1 L+ c- [$ N: D5 `  748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
7 v3 b8 i/ _5 F8 \1 d# b# O% {/ Q+ F
  416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe ! u3 i+ z6 k# k3 b
* m2 g# {! C  R5 m9 V0 D1 n
是不是一目了然了。这下,各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口,可千万不要大意哦,也许那就是一只狡猾的木马! * Z% i7 n& I9 d0 i1 k+ o7 A8 k

* Z3 @" g( L. A. d- ?9 X3 mFport的最新版本是2.0。在很多网站都提供下载,但是为了安全起见,当然最好还是到它的老家去下:
http://www.foundstone.com/knowledge/zips/fport.zip - j6 e: J  w/ z! @7 Q1 E

: l+ T0 ?( I, U3 ^: e* D  3.与Fport功能类似的图形化界面工具Active Ports + V2 t5 t  H: Q* e9 `
( o/ P2 |( F' U2 `. N- g
  Active Ports为SmartLine出品,你可以用来监视电脑所有打开的TCP/IP/UDP端口,不但可以将你所有的端口显示出来,还显示所有端口所对应的程序所在的路径,本地IP和远端IP(试图连接你的电脑IP)是否正在活动。 1 b2 B+ ~2 n% c0 G

5 z- ?3 x6 ]- ?8 z0 P( E2 M! d% \  更棒的是,它还提供了一个关闭端口的功能,在你用它发现木马开放的端口时,可以立即将端口关闭。这个软件工作在Windows NT/2000/XP平台下。你可以在
http://www.smartline.ru/software/aports.zip得到它。 % t- `$ m* T( ~1 }/ t
8 a+ ~' g5 q$ H, L4 L
  其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出端口与进程的对应来。 2 X0 w6 `# E" a" O8 {! _0 {$ B

/ K0 ?2 v3 H; X# s  上面介绍了几种查看本机开放端口,以及端口和进程对应关系的方法,通过这些方法可以轻松的发现基于TCP/UDP协议的木马,希望能给你的爱机带来帮助。但是对木马重在防范,而且如果碰上反弹端口木马,利用驱动程序及动态链接库技术制作的新木马时,以上这些方法就很难查出木马的痕迹了。所以我们一定要养成良好的上网习惯,不要随意运行邮件中的附件,安装一套杀毒软件,像国内的瑞星就是个查杀病毒和木马的好帮手。从网上下载的软件先用杀毒软件检查一遍再使用,在上网时打开网络防火墙和病毒实时监控,保护自己的机器不被可恨的木马入侵。
: Z) F2 T: {1 k! {% H' F* }% Z好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。现在就让我们现学现用,用这个命令看一下自己的机器开放的端口。进入到命令行下,使用netstat命令的a和n两个参数: . ]4 ?8 K  w3 y- b4 B  f" ?3 \
( K9 ^/ `- a+ J  c0 P
  C:\>netstat -an : x6 ^% Z) b* W
3 X2 L7 P$ G" u
  Active Connections 5 x2 A3 m8 a* _+ |/ w0 c9 ?3 n$ r

$ H) h' Y. z4 @/ `7 V. u; N  Proto Local Address Foreign Address State 2 E( Q8 v% a2 t% o5 |
+ s% r5 I8 d5 H. x8 q
  TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
3 {4 H( j" o* U1 {
( m2 x, I5 W; L" h& f" S2 s2 I  TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
* @- u  @% ]+ u! i; p/ K; r5 G" i3 D% s
  TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING 4 J# o, r0 C, h( D1 Z$ _0 f- v( s

4 k. A/ R: B& g6 x5 m1 {" I  UDP 0.0.0.0:445 0.0.0.0:0 ; \8 Z$ m" w) u# n8 M
/ C; ^- W* O& Q/ J2 E+ O/ k
  UDP 0.0.0.0:1046 0.0.0.0:0 5 @4 j& U3 b; N4 m5 K( V: P+ f

, r' a6 i3 _0 E& W9 {% \0 n  UDP 0.0.0.0:1047 0.0.0.0:0
! ^; Q8 U. t- N/ E3 U
- Q7 }+ X- s4 X( ]  [   解释一下,Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的 IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP 连接的状态,你可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。看!我的机器的7626端口已经开放,正在监听等待连接,像这样的情况极有可能是已经感染了冰河!急忙断开网络,用杀毒软件查杀病毒是正确的做法
发表于 2007-1-28 20:29:33 | 显示全部楼层 来自: 中国河北石家庄
不错,谢谢。自己试试看。
发表回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Licensed Copyright © 2016-2020 http://www.3dportal.cn/ All Rights Reserved 京 ICP备13008828号

小黑屋|手机版|Archiver|三维网 ( 京ICP备2023026364号-1 )

快速回复 返回顶部 返回列表