【转贴】教你如何查看自己开放的端口！

pydhn

教你如何查看自己开放的端口！
最近被病毒搞的头昏脑涨的，不过也收获不小哟，知道了点小方法，与大家共勉。
当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的，既然利用到这两个协议，就不可避免要在server端（就是被种了木马的机器了）打开监听端口来等待连接。例如鼎鼎大名的冰河使用的监听端口是7626，Back Orifice 2000则是使用54320等等。那么，我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它hacker程序。以下是详细方法介绍。
1． Windows本身自带的netstat命令
关于netstat命令，我们先来看看windows帮助文件中的介绍：

Netstat
显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

参数

-a

显示所有连接和侦听端口。服务器连接通常不显示。

-e

显示以太网统计。该参数可以与 -s 选项结合使用。

-n

以数字格式显示地址和端口号（而不是尝试查找名称）。

-s

显示每个协议的统计。默认情况下，显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。

-p protocol

显示由 protocol 指定的协议的连接；protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计，protocol 可以是 tcp、udp、icmp 或 ip。

-r

显示路由表的内容。

interval

    重新显示所选的统计，在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数，netstat 将打印一次当前的配置信息。


    好了，看完这些帮助文件，我们应该明白netstat命令的使用方法了。现在就让我们现学现用，用这个命令看一下自己的机器开放的端口。进入到命令行下，使用netstat命令的a和n两个参数：
C:\\>netstat -an

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:80       0.0.0.0:0       LISTENING
TCP 0.0.0.0:21       0.0.0.0:0       LISTENING
TCP 0.0.0.0:7626     0.0.0.0:0       LISTENING
UDP 0.0.0.0:445      0.0.0.0:0
UDP 0.0.0.0:1046     0.0.0.0:0
UDP 0.0.0.0:1047     0.0.0.0:0


    解释一下，Active Connections是指当前本机活动连接，Proto是指连接使用的协议名称，Local Address是本地计算机的 IP 地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的 IP 地址和端口号，State则是表明TCP 连接的状态，你可以看到后面三行的监听端口是UDP协议的，所以没有State表示的状态。看！我的机器的7626端口已经开放，正在监听等待连接，像这样的情况极有可能是已经感染了冰河！急忙断开网络，用杀毒软件查杀病毒是正确的做法。
2．工作在windows2000下的命令行工具fport

    使用windows2000的朋友要比使用windows9X的幸运一些，因为可以使用fport这个程序来显示本机开放端口与进程的对应关系。
    Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口，以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用，请看例子：
D:\\>fport.exe
FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path
748 tcpsvcs -> 7 TCP C:\\WINNT\\System32\\ tcpsvcs.exe
748 tcpsvcs -> 9 TCP C:\\WINNT\\System32\\tcpsvcs.exe
748 tcpsvcs -> 19 TCP C:\\WINNT\\System32\\tcpsvcs.exe
416 svchost -> 135 TCP C:\\WINNT\\system32\\svchost.exe


    是不是一目了然了。这下，各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口，可千万不要大意哦，也许那就是一只狡猾的木马！
    Fport的最新版本是2.0。在很多网站都提供下载，但是为了安全起见，当然最好还是到它的老家去下：http://www.foundstone.com/knowledge/zips/fport.zip
3.与Fport功能类似的图形化界面工具Active Ports

    Active Ports为SmartLine出品，你可以用来监视电脑所有打开的TCP/IP/UDP端口，不但可以将你所有的端口显示出来，还显示所有端口所对应的程序所在的路径，本地IP和远端IP(试图连接你的电脑IP)是否正在活动。


    更棒的是，它还提供了一个关闭端口的功能，在你用它发现木马开放的端口时，可以立即将端口关闭。这个软件工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。
    其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系，因为windows xp所带的netstat命令比以前的版本多了一个O参数，使用这个参数就可以得出端口与进程的对应来。
    上面介绍了几种查看本机开放端口，以及端口和进程对应关系的方法，通过这些方法可以轻松的发现基于TCP/UDP协议的木马，希望能给你的爱机带来帮助。但是对木马重在防范，而且如果碰上反弹端口木马，利用驱动程序及动态链接库技术制作的新木马时，以上这些方法就很难查出木马的痕迹了。所以我们一定要养成良好的上网习惯，不要随意运行邮件中的附件，安装一套杀毒软件，像国内的瑞星就是个查杀病毒和木马的好帮手。从网上下载的软件先用杀毒软件检查一遍再使用，在上网时打开网络防火墙和病毒实时监控，保护自己的机器不被可恨的木马入侵。

pydhn

【转贴】教你怎样怎样关闭端口！
上次发了一个关于如何检测自己的开放端口的贴子，有朋友对如何关闭端口感兴趣，故发此贴。供有兴趣的朋友参考。

每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。“控制面板”的“管理工具”中的“服务”中来配置。
1、关闭7.9等等端口：关闭SimpleTCP/IPService,支持以下TCP/IP服务：CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。
2、关闭80口：关掉WWW服务。在“服务”中显示名称为"WorldWideWebPublishingService"，通过Internet信息服务的管理单元提供Web连接和管理。
3、关掉25端口：关闭SimpleMailTransportProtocol(SMTP)服务，它提供的功能是跨网传送电子邮件。
4、关掉21端口：关闭FTPPublishingService,它提供的服务是通过Internet信息服务的管理单元提供FTP连接和管理。
5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。
6、还有一个很重要的就是关闭server服务，此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。
7、还有一个就是139端口，139端口是NetBIOS　Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。

[此贴子已经被作者于2003-12-27 15:15:08编辑过]

磁铁

太好了！我一直都不会，现在弄懂了！

alex119

斑竹最近收获很大哦！呵呵

dullboy

斑竹就是与众不同,呵...好厉害哟!

dwjnet

win98 上呢？

林光0

确实很好，有用，谢谢。

pydhn

以下是引用alex119在2004-1-3 0:30:05的发言：
斑竹最近收获很大哦！呵呵

我是看到有关端口的帖子，再加上怀疑自己的机子可能有木马，就到百度上去检索了关于端口的文章，顺便转贴过来了！

cup

不错，长知识，也很实用

zhuce2003

我的机子好像也中什么木马了，但我安装的正版木马克星查又没有查出来木马，我安装的正版瑞星也没有杀出来什么病毒，用瑞星和金山的冲击波专杀工具也没有查出有冲击波病毒，但我的机子就是莫名其妙的被强行关闭重起，而被强行关闭重起前一秒钟总是有一个信使服务的窗口弹出，然后就一个报告出来：“C:\WINNT\System32\services.exe被意外终止，你的机器将在40秒后关闭并重起”。我这几天这个现象已经发生几次了，我百思不得其解哦，pydhn斑竹这样一说，我也去看看端口情况，但木马克星那里好像可以看见端口的情况啊，remote ip和我本地的ip和端口之间的关系“estab”、“time_wait"、”listen“几种情况都有啊。但在木马克星里面好像我不能关闭那些本地端口。

我的机子可是三大防火墙开着的啊：天网、木马克星、瑞星。
好，我把你上面的东西拷贝回去研究研究，试验试验。谢谢。

[此贴子已经被作者于2004-1-6 22:19:56编辑过]