教你如何查看自己开放的端口 [转]

当 前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的，既然利用到这两个协议，就不可避免要在server端 （就是被种了木马的机器了）打开监听端口来等待连接。例如鼎鼎大名的冰河使用的监听端口是7626，Back Orifice 2000则是使用 54320等等。那么，我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它hacker程序。以下是详细方法介绍。  1． Windows本身自带的netstat命令  关于netstat命令，我们先来看看windows帮助文件中的介绍：  Netstat  显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。  netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]  参数  -a  显示所有连接和侦听端口。服务器连接通常不显示。  -e  显示以太网统计。该参数可以与 -s 选项结合使用。  -n  以数字格式显示地址和端口号（而不是尝试查找名称）。  -s  显示每个协议的统计。默认情况下，显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。  -p protocol  显示由 protocol 指定的协议的连接；protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计，protocol 可以是 tcp、udp、icmp 或 ip。  -r  显示路由表的内容。  interval  重新显示所选的统计，在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数，netstat 将打印一次当前的配置信息。  好了，看完这些帮助文件，我们应该明白netstat命令的使用方法了。现在就让我们现学现用，用这个命令看一下自己的机器开放的端口。进入到命令行下，使用netstat命令的a和n两个参数：  C:">netstat -an  Active Connections  Proto Local Address Foreign Address State  TCP 0.0.0.0:80 0.0.0.0:0 LISTENING  TCP 0.0.0.0:21 0.0.0.0:0 LISTENING  TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING  UDP 0.0.0.0:445 0.0.0.0:0  UDP 0.0.0.0:1046 0.0.0.0:0  UDP 0.0.0.0:1047 0.0.0.0:0  解释一下，Active Connections是指当前本机活动连接，Proto是指连接使用的协议名称，Local Address是本地计算机 的 IP 地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的 IP 地址和端口号，State则是表明TCP 连 接的状态，你可以看到后面三行的监听端口是UDP协议的，所以没有State表示的状态。看！我的机器的7626端口已经开放，正在监听等待连接，像这样 的情况极有可能是已经感染了冰河！急忙断开网络，用杀毒软件查杀病毒是正确的做法。  2．工作在windows2000下的命令行工具fport  使用windows2000的朋友要比使用windows9X的幸运一些，因为可以使用fport这个程序来显示本机开放端口与进程的对应关系。  Fport是FoundStone出品的一个用来列出系统中所有打开的TCP/IP和UDP端口，以及它们对应应用程序的完整路径、PID标识、进程名称等信息的软件。在命令行下使用，请看例子：  D:">fport.exe  FPort v1.33 - TCP/IP Process to Port Mapper  Copyright 2000 by Foundstone, Inc.  http://www.foundstone.com  Pid Process Port Proto Path  748 tcpsvcs -> 7 TCP C:"WINNT"System32" tcpsvcs.exe  748 tcpsvcs -> 9 TCP C:"WINNT"System32"tcpsvcs.exe  748 tcpsvcs -> 19 TCP C:"WINNT"System32"tcpsvcs.exe  416 svchost -> 135 TCP C:"WINNT"system32"svchost.exe  是不是一目了然了。这下，各个端口究竟是什么程序打开的就都在你眼皮底下了。如果发现有某个可疑程序打开了某个可疑端口，可千万不要大意哦，也许那就是一只狡猾的木马！  Fport的最新版本是2.0。在很多网站都提供下载，但是为了安全起见，当然最好还是到它的老家去下：http://www.foundstone.com/knowledge/zips/fport.zip  3.与Fport功能类似的图形化界面工具Active Ports  Active Ports为SmartLine出品，你可以用来监视电脑所有打开的TCP/IP/UDP端口，不但可以将你所有的端口显示出来，还显示所有端口所对应的程序所在的路径，本地IP和远端IP(试图连接你的电脑IP)是否正在活动。  更棒的是，它还提供了一个关闭端口的功能，在你用它发现木马开放的端口时，可以立即将端口关闭。这个软件工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。  其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系，因为windows xp所带的netstat命令比以前的版本多了一个O参数，使用这个参数就可以得出端口与进程的对应来。  上面介绍了几种查看本机开放端口，以及端口和进程对应关系的方法，通过这些方法可以轻松的发现基于TCP/UDP协议的木马，希望能给你的爱机带来帮助。 但是对木马重在防范，而且如果碰上反弹端口木马，利用驱动程序及动态链接库技术制作的新木马时，以上这些方法就很难查出木马的痕迹了。所以我们一定要养成 良好的上网习惯，不要随意运行邮件中的附件，安装一套杀毒软件，像国内的瑞星就是个查杀病毒和木马的好帮手。从网上下载的软件先用杀毒软件检查一遍再使 用，在上网时打开网络防火墙和病毒实时监控，保护自己的机器不被可恨的木马入侵。    将端口号分为两部分，少量的作为保留端口，以全局方式分配给服务进程。每一个标准服务器都拥有一个全局公认的端口叫周知口，即使在不同的机器上，其端口号 也相同。剩余的为自由端口，以本地方式进行分配。TCP和UDP规定，小于256的端口才能作为保留端口。 按端口号可分为3大类：（1）公认端口（Well Known Ports）：从0到1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是 HTTP通讯。 （2）注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处 理动态端口从1024左右开始。 （3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口 从32768开始。 系统管理员可以“重定向”端口：一种常见的技术是把一个端口重定向到另一个地址。例如默认的HTTP端口是80，不少人将它重定向到另一个端口，如 8080。如果是这样改了，要访问本文就应改用这个地址http://wwd.3322.net:8080/net/port.htm（当 然，这仅仅是理论上的举例）。实现重定向是为了隐藏公认的默认端口，降低受破坏率。这样如果有人要对一个公认的默认端口进行攻击则必须先进行端口扫描。大 多数端口重定向与原端口有相似之处，例如多数HTTP端口由80变化而来：81，88，8000，8080，8888。同样POP的端口原来在110，也 常被重定向到1100。也有不少情况是选取统计上有特别意义的数，象1234，23456，34567等。许多人有其它原因选择奇怪的 数，42，69，666，31337。近来，越来越多的远程控制木马( Remote Access Trojans, RATs )采用相同的默认端口。如NetBus的默认端口是12345。Blake R. Swopes指出使用重定向端口还有一个原因，在UNIX系统上，如果你想侦听1024以下的端口需要有root权限。如果你没有root权限而又想开 web服务，你就需要将其安装在较高的端口。此外，一些ISP的防火墙将阻挡低端口的通讯，这样的话即使你拥有整个机器你还是得重定向端口。

转载于:https://www.cnblogs.com/NeuqUstcIim/archive/2008/08/06/1261850.html