QQ登录

只需一步,快速开始

登录 | 注册 | 找回密码

三维网

 找回密码
 注册

QQ登录

只需一步,快速开始

展开

通知     

查看: 1279|回复: 1
收起左侧

[分享] 教你学会查看自己开放的端口

[复制链接]
发表于 2007-1-28 09:24:46 | 显示全部楼层 |阅读模式 来自: 中国河南济源

马上注册,结识高手,享用更多资源,轻松玩转三维网社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
1. Windows本身自带的netstat命令
9 J' q. A% w1 a1 B5 V/ D
! f* ^& o# \5 R! }  关于netstat命令,我们先来看看windows帮助文件中的介绍: % d, }5 h, V  @& ~, r/ z4 K
( ?9 g- N( J7 P. z! G9 r( y
  Netstat
9 H4 J4 h0 d$ A! v( y
; Q/ e' U, F) |/ D8 N  显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。   J2 w( R0 D; P

+ m. Q7 i7 [/ S2 n6 b$ S# J& r  netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
4 L/ R# y  B9 v8 W5 ^8 n  V# u) e  a" j, o4 y# T) l
  参数
7 P1 ]& j9 K( e: Q4 Z, |) g2 L/ i! M' C. U$ q$ D* q6 m8 s
  -a
: g% n3 k5 P6 p6 {/ y7 t' X5 u; C" f; Y# p- f
  显示所有连接和侦听端口。服务器连接通常不显示。
+ f! [& w! y; I: {) e9 Q/ r/ b' T7 V0 x
  -e + G) w$ ^7 B2 L0 \
7 e6 f: Z0 i( f1 |
  显示以太网统计。该参数可以与 -s 选项结合使用。 ) w$ N9 M9 d0 ]+ f

/ k% T" v. G- `; b6 b  -n
, o6 m, R: Y( Z7 A: j* W8 h: H& {" t% _2 X, `1 ]) k
  以数字格式显示地址和端口号(而不是尝试查找名称)。 ' k+ j- p9 D3 L9 q; \9 K
$ f/ _; v" A- ~' I2 P6 d
  -s   K0 E5 i: n/ j. t! b# w- @
1 z- O4 b+ P  [* i" o0 Q2 O+ u! y
  显示每个协议的统计。默认情况下,显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。
0 a% x# o# T9 S3 A' c% J4 F# g  T& l  o8 h# N
  -p protocol
! J8 U2 ?+ ^% k/ [$ \8 q' E+ T/ e/ d; L
  显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。 ; {6 K5 G7 K) @# `. P

$ l- H9 @0 ~% f0 K  -r
0 E% q1 ~, f7 u) U! n7 Q3 Y2 u" f8 c3 d$ d) K0 g6 ]
  显示路由表的内容。
, `" J9 {) v3 G8 |, h, v( L* T
3 Q0 d( A% t& ?+ V  interval
- |3 j) X  S4 X0 u1 S
& d* f* U7 N& b) d; W/ c0 x  [# r6 v  重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。 9 {! T9 G8 B, T$ Q2 M# E0 g6 ]# ?
2.工作在windows2000下的命令行工具fport ( Z  O% Q2 Z* n# d8 o4 k( c+ r
使用windows2000的朋友要比使用windows9X的幸运一些,因为可以使用fport这个程序来显示本机开放端口与进程的对应关系。
# u9 {. m' w$ m( u8 z) J8 ]% y5 [; h: e3 R8 t* E6 ~
  Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口,以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用,请看例子:
: t2 z) n5 w. E! P5 Z9 R
' Q# V# [2 |- |  [' r6 Z; s' w; ?  D:\>fport.exe
& x: q/ w' D, c4 }! S" b
: ]% m/ b# [3 V/ U' g  FPort v1.33 - TCP/IP Process to Port Mapper 1 |, O1 U( S1 V+ R
) B% p6 }& F" t  r  Z
  Copyright 2000 by Foundstone, Inc.
$ o( N$ F, o* b9 d; e& W) h
9 \% X2 c5 @; G6 K9 H; u  
http://www.foundstone.com : E5 D% i* z  y1 o5 C* `

2 t0 u' F2 }8 @) X3 ~3 Z  Pid Process Port Proto Path ) I" ~3 f* Y/ \* J, c

- D* q. a: Y4 O6 s  748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe , r6 e8 s  E. m: K5 j

- y; x, t/ ~8 M4 I) c  748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe ) H0 N! U8 K9 W+ P7 [; T- T. j
  i3 o8 a$ L' ]& y
  748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
% X4 F" @1 Y" _- t0 N  J, j' P6 l; U+ |* e: }+ W
  416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe " ^7 y, a7 O- t6 H! t$ @& _5 o

4 I( X% ?: P$ ^是不是一目了然了。这下,各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口,可千万不要大意哦,也许那就是一只狡猾的木马!
# A( \& A+ Y1 O9 z' h! a, ]: P
) x0 C) O7 f: NFport的最新版本是2.0。在很多网站都提供下载,但是为了安全起见,当然最好还是到它的老家去下:
http://www.foundstone.com/knowledge/zips/fport.zip
* B! g7 F7 K- j3 {0 w
  Z0 U4 Q/ e& M: D& Q  3.与Fport功能类似的图形化界面工具Active Ports / X8 j0 e. y( |& S( D8 ?% ]4 T6 K
% _* B3 q0 D) }6 Q7 v/ k3 T# H
  Active Ports为SmartLine出品,你可以用来监视电脑所有打开的TCP/IP/UDP端口,不但可以将你所有的端口显示出来,还显示所有端口所对应的程序所在的路径,本地IP和远端IP(试图连接你的电脑IP)是否正在活动。 3 i9 v( x+ g% S5 K( V

, t# p" k4 v6 g0 z' `! K  更棒的是,它还提供了一个关闭端口的功能,在你用它发现木马开放的端口时,可以立即将端口关闭。这个软件工作在Windows NT/2000/XP平台下。你可以在
http://www.smartline.ru/software/aports.zip得到它。
# V1 [, }9 h9 J8 [8 f% M0 U, c* A* H6 n4 q2 `. w: \) r! U
  其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为windows xp所带的netstat命令比以前的版本多了一个O参数,使用这个参数就可以得出端口与进程的对应来。
2 ~3 w, k/ ?# k# v/ I7 K/ G! }! n% B3 j+ O) l' m  U6 H
  上面介绍了几种查看本机开放端口,以及端口和进程对应关系的方法,通过这些方法可以轻松的发现基于TCP/UDP协议的木马,希望能给你的爱机带来帮助。但是对木马重在防范,而且如果碰上反弹端口木马,利用驱动程序及动态链接库技术制作的新木马时,以上这些方法就很难查出木马的痕迹了。所以我们一定要养成良好的上网习惯,不要随意运行邮件中的附件,安装一套杀毒软件,像国内的瑞星就是个查杀病毒和木马的好帮手。从网上下载的软件先用杀毒软件检查一遍再使用,在上网时打开网络防火墙和病毒实时监控,保护自己的机器不被可恨的木马入侵。
+ z, K0 n- b( F  `2 b' t/ q好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。现在就让我们现学现用,用这个命令看一下自己的机器开放的端口。进入到命令行下,使用netstat命令的a和n两个参数:
% q6 [" Q5 p7 g$ q: P! H' r# O9 C; d/ a. S  [
  C:\>netstat -an ! u- T1 ?9 j* ^( C6 j8 g( _5 }! t

; y( V, w# z3 u8 T0 s. T  Active Connections
1 g9 ?. j' Y7 q/ u5 ^1 ]; M# C3 d6 ?% ?7 C# m& X+ [3 K
  Proto Local Address Foreign Address State
3 G7 F1 Q0 ~4 J5 p5 Q# [% ?* |6 n
7 \) g) D8 K+ {& P2 e: ~9 J6 x: G  TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
, q7 b# b5 |5 `" q& K
) Z. H2 }. O( d/ @* y' Q; U# z  TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
3 o- k3 P8 x0 p- ?2 C. U& b: s  l/ K% W4 a2 J% [& T- d9 X* s5 W
  TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
! Y/ h) d  Y; d7 N4 Y4 X8 l( e4 R$ e
  UDP 0.0.0.0:445 0.0.0.0:0 1 h+ \% x# s  H' o  S% A

, ]  G/ w; Y; I4 F. I2 N  UDP 0.0.0.0:1046 0.0.0.0:0
' ]9 F& h( x  R, H; V5 \$ r" b! F& R5 c. l; K
  UDP 0.0.0.0:1047 0.0.0.0:0   N+ s' m; m: s* H8 M+ C8 X" B% E
. @2 C2 p3 A3 j( c& q
   解释一下,Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的 IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP 连接的状态,你可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。看!我的机器的7626端口已经开放,正在监听等待连接,像这样的情况极有可能是已经感染了冰河!急忙断开网络,用杀毒软件查杀病毒是正确的做法
发表于 2007-1-28 20:29:33 | 显示全部楼层 来自: 中国河北石家庄
不错,谢谢。自己试试看。
发表回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Licensed Copyright © 2016-2020 http://www.3dportal.cn/ All Rights Reserved 京 ICP备13008828号

小黑屋|手机版|Archiver|三维网 ( 京ICP备2023026364号-1 )

快速回复 返回顶部 返回列表