怎么做网站广告位,网站做淘宝联盟,种植类网站模板,网站关键词可以修改吗一#xff09;、说到端口#xff0c;这确实是个老话题#xff0c;但一切都是从它开始的#xff0c;不得不说。何谓端口#xff0c;打个比方#xff0c;你住在一座房子里#xff0c;想让别人来拜访你#xff0c;得在房子上开个大门#xff0c;你养了个可爱的小猫#… 一、说到端口这确实是个老话题但一切都是从它开始的不得不说。何谓端口打个比方你住在一座房子里想让别人来拜访你得在房子上开个大门你养了个可爱的小猫为了它的进出专门给它修了个小门为了到后花园又开了个后门……所有这些为了进到这所房子里而开的门叫端口这些为了别人进来而开的端口称它为“服务端口”。 你要拜访一个叫张三的人张三家应该开了个允许你来的门--服务端口否则将被拒之门外。去时首先你在家开个“门”然后通过这个“门”径直走进张三家的大门。为了访问别人而在自己的房子开的“门”称为“客户端口”。它是随机开的而且是主动打开的访问完就自行关闭了。它和服务端口性质是不一样的服务端口是开了个门等着别人来访问而客户端口是主动打开一个门去打开别人的门这点一定要清楚。 下面从专业的角度再简单解释一下端口的概念。联网的计算机要能相互通信必须用同一种协议协议就是计算机通信的语言计算机之间必须说一种语言才能彼此通信internet的通用语言是tcp/tp它是一组协议它规定在网络的第四层运输层有两种协议tcp、udp。端口就是这两个协议打开的端口分为源端口和目的端口源端口是本机打开的目的端口是正在和本机通信的另一台计算机的端口源端口分主动打开的客户端口和被动连接的服务端口两种。在internet中你访问一个网站时就是在本机开个端口去连网站服务器的一个端口别人访问你时也是如此。也就是说计算机的通讯就像互相串门一样从这个门走进哪个门。 当装好系统后默认就开了很多“服务端口”。如何知道自己的计算机系统开了那些端口呢这就是下面要说的。 二、查看端口的方法 1、命令方式 下面以windows xp为例看看新安装的系统都开了那些端口也就是说都预留了那些门不借助任何工具来查看端口的命令是netstat方法如下 a、在“开始”的“运行”处键入cmd回车 b、在dos命令界面键入netstat -na图2显示的就是打开的服务端口其中proto 代表协议该图中可以看出有tcp和udp两种协议。local address代表本机地址该地址冒号后的数字就是开放的端口号。foreign address代表远程地址如果和其它机器正在通信显示的就是对方的地址state代表状态显示的listening表示处于侦听状态就是说该端口是开放的等待连接但还没有被连接。就像你房子的门已经敞开了但此时还没有人进来。以第一行为例看看它的意思。 tcp 0.0.0.0:135 0.0.0.0:0 listening 这一行的意思是本机的135端口正在等待连接。注意:只有tcp协议的服务端口才能处于listening状态。 图1 用netstat命令查看端口状态 2、用tcpview工具 为了更好的分析端口最好用tcpview这个软件该软件很小只有93kb而且是个绿色软件不用安装。 图3是tcpview的运行界面。第一次显示时字体有些小在“options”-“font”中将字号调大即可。tcpview显示的数据是动态的。图3中local address显示的就是本机开放的哪个端口:号后面的数字tcpview可以看出哪个端口是由哪个程序发起的。从图3可以看出445、139、1025、135、5000等端口是开放的445、139等端口都是system发起的135等都是svchost发起的。 图2 用tcpview查看端口状态 三、研究端口的目的 1、知道本机开了那些端口也就是可以进入到本机的“门”有几个都是谁开的 2、目前本机的端口处于什么状态是等待连接还是已经连接如果是已经连接那就要特别注意看连接是个正常连接还是非正常连接木马等 3、目前本机是不是正在和其它计算机交换数据是正常的程序防问到一个正常网站还是访问到一个陷阱 当你上网时就是本机和其它机器传递数据的过程要传递数据必须要用到端口即使是有些非常高明的木马利用正常的端口传送数据也不是了无痕迹的数据在开始传输、正在传输和结束传输的不同阶段都有各自的状态要想搞明白上述3个问题就必须清楚端口的状态变化。下面结合实例先分析服务端口的状态变化。只有tcp协议才有状态udp协议是不可靠传输是没有状态的。 四、服务端口的状态变化 先在本机ip地址为:192.168.1.10配置ftp服务然后在其它计算机ip地址为:192.168.1.1访问ftp服务从tcpview看看端口的状态变化。 下面黑体字显示的是从tcpview中截取的部分。 1、listening状态 ftp服务启动后首先处于侦听listening状态。 state显示是listening时表示处于侦听状态就是说该端口是开放的等待连接但还没有被连接。就像你房子的门已经敞开的但还没有人进来。 从tcpview可以看出本机开放ftp的情况。它的意思是:程序inetinfo.exe开放了21端口ftp默认的端口为21可见在本机开放了ftp服务。目前正处于侦听状态。 inetinfo.exe:1260 tcp 0.0.0.0:21 0.0.0.0:0 listening 2、established状态 现在从192.168.1.1这台计算机访问一下192.168.1.10的ftp服务。在本机的tcpview可以看出端口状态变为established。 established的意思是建立连接。表示两台机器正在通信。 下面显示的是本机的ftp服务正在被192.168.1.1这台计算机访问。 inetinfo.exe:1260 tcp 192.168.1.10:21 192.168.1.1:3009 established 注意:处于established状态的连接一定要格外注意因为它也许不是个正常连接。后面要讲到这个问题。 3、 time_wait状态 现在从192.168.1.1这台计算机结束访问192.168.1.10的ftp服务。在本机的tcpview可以看出端口状态变为time_wait。 time_wait的意思是结束了这次连接。说明21端口曾经有过访问但访问结束了。 [system process]:0 tcp 192.168.1.10:21 192.168.1.1:3009 time_wait 4、小技巧 a、可以telnet一个开放的端口来观察该端口的变化。比如看1025端口是开放的在命令状态如图1运行cmd运行: telnet 192.168.1.10 1025 b、从本机也可以测试只不过显示的是本机连本机 c、在tcpview中双击连接可看出程序的位置右键点击该连接选择end process即可结束该连接 五、客户端口的状态变化 客户端口实际上就是从本机访问其它计算机服务时打开的源端口最多的应用是上网下面就以访问baidu.com为例来看看端口开放以及状态的变化情况。 1、syn_sent状态 syn_sent状态表示请求连接当你要访问其它的计算机的服务时首先要发个同步信号给该端口此时状态为syn_sent如果连接成功了就变为established此时syn_sent状态非常短暂。但如果发现syn_sent非常多且在向不同的机器发出那你的机器可能中了冲击波或震荡波之类的病毒了。这类病毒为了感染别的计算机它就要扫描别的计算机在扫描的过程中对每个要扫描的计算机都要发出了同步请求这也是出现许多syn_sent的原因。 下面显示的是本机连接baidu.com网站时的开始状态如果你的网络正常的那很快就变为established的连接状态。 iexplore.exe:2928 tcp 192.168.1.10:1035 202.108.250.249:80 syn_sent 2、established状态 下面显示的是本机正在访问baidu.com网站。如果你访问的网站有许多内容比如访问www.yesky.com那会发现一个地址有许多established这是正常的网站中的每个内容比如图片、flash等都要单独建立一个连接。看established状态时一定要注意是不是iexplore.exe程序ie发起的连接如果是explore.exe之类的程序发起的连接那也许是你的计算机中了木马了。 iexplore.exe:3120 tcp 192.168.1.10:1045 202.108.250.249:80 established 3、time_wait状态 如果浏览网页完毕那就变为time_wait状态。 [system process]:0 tcp 192.168.1.10:4259 202.108.250.249:80 time_wait 六、端口详细变迁图 以上是最主要的几个状态实际还有一些图4是tcp的状态详细变迁图从tcp/ip详解中剪来用粗的实线箭头表示正常的客户端状态变迁用粗的虚线箭头表示正常的服务器状态变迁。这些不在本文的讨论范围。有兴趣的朋友可以好好研究一下。 图3 tcp的状态变迁图 七、要点 一般用户一定要熟悉再嗦几句: 1、服务端口重点要看的是listening状态和established状态listening是本机开了哪些端口established是谁在访问你的机器从哪个地址访问的。 2、客户端口的syn_sent状态和established状态syn_sent是本机向其它计算机发出的连接请求一般这个状态存在的时间很短但如果本机发出了很多syn_sent那可能就是中毒了。看established状态是要发现本机正在和哪个机器传送数据主要看是不是一个正常程序发起的。 二、木马 什么是木马简单的说就是在未经你许可偷偷在你的计算机中开个后门木马开后门主要有两种方式。 1、有服务端口的木马 这类木马都要开个服务端口的后门成功后该后门处于listening状态它的端口号可能固定一个数也可能变化还有的木马可以与正常的端口合用例如你开着正常的80端口web服务木马也用80端口。这种木马最大的特点就是有端口处于listening状态需要远程计算机连接它。这种木马对一般用户比较好防范将防火墙设为拒绝从外到内的连接即可。比较难防范的是反弹型木马。 2、反弹型木马 反弹型木马是从内向外的连接它可以有效的穿透防火墙而且即使你使用的是内网ip他一样也能访问你的计算机。这种木马的原理是服务端主动连接客户端黑客地址。木马的服务端软件就像你的internet explorer一样使用动态分配端口去连接客户端的某一端口通常是常用端口像端口80。而且会使用隐避性较强的文件名像iexpiore.exe、explorerie的程序是iexplore.exe。如果你不仔细看你可能会以为是你的internet explorer。这样你的防火墙也会被骗过。如果你在tcpview中看到下面这样的连接一定要注意很有可能是种木马了。 iexpiore.exe 192.168.1.10本机ip:1035你的端口 y.y.y.y远程ip:80远程端口 或 rundll32.exe 192.168.1.10本机ip:1035你的端口 y.y.y.y远程ip:80远程端口 或 explorer.exe 192.168.1.10本机ip:1035你的端口 y.y.y.y远程ip:80远程端口 三、安全 分析端口的目的就是要保证上网安全根据以上的思路可以从以下几个方面来防范。 一、关闭不需要的端口 对一般上网用户来说只要能访问internet就行了并不需要别人来访问你也就是说没有必要开放服务端口在win 98可以做到不开放任何服务端口上网但在win xp、win 2000、win 2003下不行但可以关闭不必要的端口。图3是安装完win xp系统默认开的端口以此为例关闭不必要的端口。 1、关闭137、138、139、445端口 这几个端口都是为共享而开的是netbios协议的应用一般上网用户是不需要别人来共享你的内容的而且也是漏洞最多的端口。关闭的方法很多最近从网上学了一招非常好用一次全部关闭上述端口。 开始- 控制面板- 系统- 硬件- 设备管理器- 查看- 显示隐藏的设备- 非即插即用驱动程序- netbios over tcpip。 找到图5界面后禁用该设备重新启动后即可。 图4 关闭137、138、139、445端口 2、关闭123端口 有些蠕虫病毒可利用udp 123端口关闭的方法:如图6停止windows time服务。 图5 关闭123端口 3、关闭1900端口 攻击者只要向某个拥有多台win xp系统的网络发送一个虚假的udp包就可能会造成这些win xp主机对指定的主机进行攻击ddos。另外如果向该系统1900端口发送一个udp包令location域的地址指向另一系统的chargen端口就有可能使系统陷入一个死循环消耗掉系统的所有资源需要安装硬件时需手动开启。 关闭1900端口的方法如图7所示――停止ssdp discovery service 服务。 图6 关闭1900端口 通过上面的办法关闭了一些有漏洞的或不用的端口后是不是就没问题了呢不是。因为有些端口是不能关掉的。像135端口它是rpc服务打开的端口如果把这个服务停掉那计算机就关机了同样像lsass打开的端口500和4500也不能关闭。冲击波病毒利用的就是135端口对于不能关闭的端口最好的办法一是常打补丁端口都是相应的服务打开的但是对于一般用户很难判断这些服务到底有什么用途也很难找到停止哪些服务就能关闭相应的端口。最好的办法就是下面要讲的安装防火墙。安装防火墙的作用通俗的说就像你不管住在一所结实的好房子里还是住在一所千疮百孔的破房子里只要你在房子的四周建了一堵密不透风的墙那对于墙里的房子就是安全的。 二、安装防火墙 对于一般用户来讲有下面三类防火墙 1、 自带的防火墙 关于win xp 与win 2003自带防火墙的设置请参阅天极网中拙作不再赘述。 2、adsl猫防火墙 通过adsl上网的如果有条件最好将adsl猫设置为地址转换方式nat也就是大家常说的路由模式其实路由与nat是不一样的权且这么叫吧。用nat方式最大的好处是设置完毕后adsl猫就是一个放火墙它一般只开放80、21、161等为了对adsl猫进行设置开放的端口。如果不做端口映射的话一般从远程是攻击不到adsl猫后面的计算机的。adsl猫最大的安全隐患就是很多用户都不改变默认密码。这样黑客如果进到你的猫做个端口映射就有可能进入到你的计算机一定把默认密码改掉。 用自带的放火墙和adsl猫的nat方式基本可以抵御从外到内的攻击也就是说即使服务端口开放包括系统开放的端口和中了开个服务端口的木马黑客和类似震荡波一类的病毒也奈何不了你的计算机。上述防火墙只能防止从外到内的连接不能防止从内到外的连接当你打开网页和用qq聊天时就是从内到外的连接反弹型木马就是利用放火墙的这一特性来盗取你机器的数据的。反弹型木马虽然十分隐蔽但也不是没有马脚防范这类木马最好的办法就是用第三方防火墙。 3、第三方防火墙 前面说过反弹型木马而且会使用隐避性较强的文件名像iexpiore.exe、explorer等与ie的程序iexplore.exe很想的名字或用一些rundll32之类的好像是系统文件的名字但木马的本质就是要与远程的计算机通讯只要通讯就会有连接。如下所示:正常连接是iexplore.exe发起的而非正常连接是木马程序explorer发起的。 图7 正常连接 图8 木马连接 一般的防火墙都有应用程序访问网络的权限设置如图8所示在防火墙的这类选项中将不允许访问网络的应用程序选择x即不允许访问网络。 在写这篇文章之前笔者中了一个反弹型木马就是explorer程序向外连接用了好几个查毒软件也没有杀掉当时就先用天网放火墙阻止它访问网络然后手工费了很大的劲才清除掉。可惜没有做截图。没有勇气为了写这篇文章再牺牲一把了。 4、用tcpview结束一个连接 当你用tcpview观察哪个连接有可能是不正常的连接可在tcpview中直接鼠标右键点击该连接选择end process即可结束该连接。 四、扫描 谈起扫描又是个大话题了有端口扫描superscan、漏洞扫描x-scan等关于扫描的话题以后再论本文只对一般用户简单说一下在线安全检测。如果你按上面的说得作了相应的安全措施就可以在网上找个在线测试安全的网站测试一下你目前系统的安全情况如到下面网站: 1、千禧在线--在线检测 2、蓝盾在线检测 3、天网安全在线 4、诺顿在线安全检测 说明一点测试机器时开了21、23、80端口但这都是adsl的服务端口modem没有提供修改和关闭的地方不过没关系只要把密码设的复杂点就行了。 五、震荡波 如果你按上述关闭了445端口或者开启了放火墙那就不会受到震荡波及类似的病毒骚扰了关于震荡波病毒的文章太多了此处就不多谈。只要做好了安全防护不管是震荡大波还是冲击小波只能在你的计算机门前掠过而奈何不了你。 六、后记 关于计算机的安全还有很多要设置但对于一般用户来说太多的安全设置就等于没有了安全因为即使对于专业从事计算机安全的人员对于安全的设置也不是件容易的事何况对于对计算机的知识还不够的一般用户。如果要作很多设置才能保证安全那肯定就有很多人不做了。对一般用户个人的建议是力所能及的事一定要做比如: 1、上网时一定要安装防病毒软件并及时升级。 2、至少安装一个防火墙adsl用户最好用路由方式上网改掉默认密码。 3、经常打补丁windows用户最好将系统设为自动升级。 4、自己要做的就是用tcpview 常常看看连接防止反弹型木马。常常看看时间长了也许就看成专家了。 5、udp协议是不可靠传输没有状态从tcpview中很难看出它是不是在传输数据感兴趣的朋友可以用iris、sniffer这类的协议分析工具看看是不是有udp的数据。关于这个话题以后再聊。 6、本文题目起的很大但写起来又觉得很多问题都是别人说了再说的也就没有深谈。 道高一尺魔高一丈。网络安全将是一个永恒的话题没有绝对的安全但有了防范意识总比敞开了大门还不知道好吧。 【转自】http://ty.cquc.edu.cn/show.aspx?id50729cid29
