木马安全防护常识
看到那个题目你或许有些奇怪,怎么把这几个词放在了一路,其实谈起端口和木马都是老生常谈 了,但即即是常谈还有很多人的运算机被“冲击波”冲过以后又被“震荡波”狠狠地震了一下,看来很有必要再谈谈老话题,免得再被什么波温柔地扫过。其实说这 些最终的目的就是为了保证运算机的上网安全。
一、 端口
一)、端口的一般含义
说到端口,这确实是个老话题,但一切都是从它开始的,不能不说。何谓端口,打个例如,你住在一座屋子里,想让他人来造访你,得在屋子上开个大门,你养 了个可爱的小猫,为了它的进出,专门给它修了个小门,为了到后花园,又开了个后门……所有这些为了进到这所屋子里而开的门叫端口,这些为了他人进来而开的 端口称它为“服务端口”。
你要造访一个叫张三的人,张三家应该开了个允许你来的门--服务端口,不然将被拒之门外。去时,第一你在家开个“门”,然后通过那个“门”径直走进张 三家的大门。为了访问他人
而在自己的屋子开的“门”,称为“客户端口”。它是随机开的而且是主动打开的,访问完就自行关闭了。它和服务端口性质是不一样 的,服务端口是开了个门等着他人来访问,而客户端口是主动打开一个门去打开他人的门,这点必然要清楚。
下面从专业的角度再简单解释一下端口的概念。联网的运算机要能彼此通信必需用同一种协议,协议就是运算机通信的语言,运算机之间必需说一种语言才能彼 此通信,Internet的通用语言是TCP/TP,它是一组协议,它规定在网络的第四层运输层有两种协议TCP、UDP。端口就是这两个协议打开的,端 口分为源端口和目的端口,源端口是本机打开的,目的端口是正在和本机通信的另一台运算机的端口,源端口分主动打开的客户端口和被动连接的服务端口两种。在 Internet中,你访问一个网站时就是在本机开个端口去连网站服务器的一个端口,他人访问你时也是如此。也就是说运算机的通信就像彼此串门一样,从这 个门走进哪个门。
当装好系统后默许就开了很多“服务端口”。如何明白自己的运算机系统开了那些端口呢?这就是下面要说的。
二)、查看端口的方式
一、命令方式
下面以Windows XP为例看看新安装的系统都开了那些端口,也就是说都预留了那些门,不借助任何工具来查看端口的命令是netstat,方式如下:boxi
a、在“开始”的“运行”处键入cmd,回车
b、在dos命令界面,键入netstat -na,图2显示的就是打开的服务端口,其中Proto
代表协议,该图中能够看出有TCP和UDP两种协议。Local Address代表本机地址,该地址冒号后的数字就是开放的端口号。Foreign Address代表远程地址,若是和其它机械正在通信,显示的就是对方的地址,State代表状态,显示的LISTENING表示处于侦听状态,就是说该 端口是开放的,等待连接,但尚未被连接。就像你屋子的门已经敞开了,但现在尚未人进来。以第一行为例看看它的意思。
P 0.0.0:135 LISTENING
这一行的意思是本机的135端口正在等待连接。注意:只有TCP协议的服务端口才能处于LISTENING状态。
迈克杰克逊的歌曲
图1 用netstat命令查看端口状态
二、用TCPView工具
为了更好的分析端口,最好用TCPView那个软件,该软件很小只有93KB,而且是个绿色软件,不用安装。
图3是TCPView的运行界面。第一次显示时字体有些小,在“Options”->“Font”中将字号调大
即可。TCPView显示的数据 是动态的。图3中Local Address显示的就是本机开放的哪个端口(:号后面的数字),TCPView能够看出哪个端口是由哪个程序发起的。从图3能够看出44五、13九、 102五、13五、5000等端口是开放的,44五、139等端口都是system发起的,135等都是SVCHOST发起的。
图2 用TCPView查看端口状态
三)、研究端口的目的
一、明白本机开了那些端口,也就是能够进入到本机的“门”有几个,都是谁开的?
二、目前本机的端口处于什么状态,是等待连接仍是已经连接,若是是已经连接那就要特别注意看连接是个正常连接仍是非正常连接(木马等)?
3、目前本机是不是正在和其它运算机互换数据,是正常的程序防问到一个正常网站仍是访问到一个陷阱?
当你上网时就是本机和其它机械传递数据的进程,要传递数据必需要用到端口,即即是有些超级高超的木马利用正常的端口传送数据也不是了无痕迹的,数据在 开始传输、正在传输和结束传输的不同阶段都有各自的状态,要想弄明白上述3个问题,就必需清楚端口的状态转变。下面结合实例先分析服务端口的状态转变。只 有TCP协议才有状态,UDP协议是不靠得住传输,是没有状态的。
四)、服务端口的状态转变
先在本机(IP地址为:)配置FTP服务,然后在其它运算机(IP地址为:)访问FTP服务,从TCPView看看端口的状态转变。
下面黑体字显示的是从TCPView中截取的部份。
一、LISTENING状态
FTP服务启动后第一处于侦听(LISTENING)状态。
State显示是LISTENING时表示处于侦听状态,就是说该端口是开放的,等待连接,但尚未被连接。就像你屋子的门已经敞开的,但尚未人进来。rollover
万宝路的意思产品英文从TCPView能够看出本机开放FTP的情形。它的意思是:程序开放了21端口,FTP默许的端口为21,可见在本机开放了FTP服务。目前正处于侦听状态。
褥垫:1260 P 0.0.0:21 LISTENING
二、ESTABLISHED状态
此刻从这台运算机访问一下的FTP服务。在本机的TCPView能够看出端口状态变成ESTABLISHED。
ESTABLISHED的意思是成立连接。表示两台机械正在通信。
下面显示的是本机的FTP服务正在被这台运算机访问。
:1260 TCP ESTABLISHED
注意:处于ESTABLISHED状态的连接必然要分外注意,因为它或许不是个正常连接。后面要讲到那个问题。
3、 TIME_WAIT状态
此刻从这台运算机结束访问的FTP服务。在本机的TCPView能够看出端口状态变成TIME_WAIT。
TIME_WAIT的意思是结束了这次连接。说明21端口曾经有过访问,但访问结束了。
[System Process]:0 TCP TIME_WAIT
4、小技能
a、能够telnet一个开放的端口,来观察该端口的转变。比如看1025端口是开放的,在命令状态(如图1运行cmd)运行:
telnet 1025
b、从本机也能够测试,只不过显示的是本机连本机
c、在Tcpview中双击连接可看出程序的位置,右键点击该连接,选择End Process即可结束该连接
五)、客户端口的状态转变
客户端话柄际上就是从本机访问其它运算机服务时打开的源端口,最多的应用是上网,下面就以访问为例来看看端口开放和状态的转变情形。
一、SYN_SENT状态
SYN_SENT状态表示请求连接,当你要访问其它的运算机的服务时第一要发个同步信号给该端口,现在状态为SYN_SENT,若是连接成功了就变成 ESTABLISHED,现在SYN_SENT状态超级短暂。但如果是发觉SYN_SENT超级多且在向不同的机械发出,那你的机械可能中了冲击波或震荡波 之类的病毒了。这种病毒为了感染别的运算机,它就要扫描别的运算机,在扫描的进程中对每一个要扫描的运算机都要发出了同步请求,这也是出现许多 SYN_SENT的原因。
下面显示的是本机连接网站时的开始状态,若是你的网络正常的,那专门快就变成ESTABLISHED的连接状态。
:2928 TCP SYN_SENT
二、ESTABLISHED状态
下面显示的是本机正在访问网站。若是你访问的网站有许多内容比如访问, 那会发觉一个地址有许多ESTABLISHED,这是正常的,网站中的每一个内容比如图片、flash等都要单独成立一个连接。看ESTABLISHED状 态时必然要注意是不是程序(IE)发起的连接,若是是之类的程序发起的连接,那或许是你的运算机中了木马 了。
:3120 TCP ESTABLISHED
3、TIME_WAIT状态
the show
若是阅读网页完毕,那就变成TIME_WAIT状态。
[System Process]:0 TCP TIME_WAIT
英语在线翻译有道六)、端口详细变迁图
以上是最主要的几个状态,实际还有一些,图4是TCP的状态详细变迁图(从TCP/IP详解中剪来),用粗的实线箭头表示正常的客户端状态变迁,用粗的虚线箭头表示正常的服务器状态变迁。这些不在本文的讨论范围。有兴趣的朋友能够好好研究一下。
正规翻译公司图3 TCP的状态变迁图
主题风格七)、要点
一般用户必然要熟悉(再啰嗦几句):
1、服务端口重点要看的是LISTENING状态和ESTABLISHED状态,LISTENING是本机开了哪些端口,ESTABLISHED是谁在访问你的机器,从哪个地址访问的。
2、客户端口的SYN_SENT状态和ESTABLISHED状态,SYN_SENT是本机向其它计算机发出的连接请求,一般这个状态存在的时间很 短,但如果本机发出了很多SYN_SENT,那可能就是中毒了。看ESTABLISHED状态是要发现本机正在和哪个机器传送数据,主要看是不是一个正常 程序发起的。
