地址和端口

互联网上所有的操作，涉及网，就是通信，通信就必然是IP端口和另一个IP端口之间的信息交互。也许并不清楚端口的作用，那么就围绕这个问题简单聊聊吧。

通信必然是两个端口之间（通信，无处不在，上网，追究，听歌，微信聊天，滴滴叫车，都是通信。），可以发生在不同IP，也可以自己和自己通信，比如web和数据库都在同一个服务器上。那么就是同一个IP，不同端口之间通信。

举个简单例子吧。 学生ST和老师XY手机微信聊天。使用的是它的4G运营商分配给它的IP（凡是通信必然有IP才可以）,然后使用此IP的某个端口，比如地址 1.1.1.1 的 3332端口（这里的端口是随机的，一般是1024以上的端口，因为小一些的端口都被一些大家约定的服务所默认使用了，你懂的，比如80端口就不会使用，因为，因为什么你还记得的，我相信。。。），此时XY老师的IP是4G分配的另一个IP 2.2.2.2，用的端口是3445（也是随机分配的）。那么 学生ST和XY的通信就是 在1.1.1.1：3332 和 2.2.2.2：3445之间进行的。于是源IP是？源port端口是？ 目的IP是？目的端口是？

请TT思考一下。

IP可以理解为一个主体，它上面可以有很多个端口，不同的端口做不同的工作。一个IP，一般来说，理论上可以有65535个端口。如果要同时完成多个通信，那么一个IP是可以的，只是使用不同的端口通信。比如用3332端口和XY老师微信，同时QQ用4321端口和闺蜜聊天，浏览器使用5321端口在百度里查流金岁月的主角资料，爱奇艺客户端在使用6322端口持续追剧中。。。这些都是同时进行的。

困，差点睡着。

1.1.1.1：3332   -------   2.2.2.2：3445 ，回到TT和XY聊天的问题，通信发生在一对IP:PORT之间。通信的内容是一些数据包，数据包可以简单理解为，源IP，端口，目的IP，端口，通信内容。没错，就是和快递一样，快递我们需要有寄件人地址姓名，也要有收件人地址姓名，还有就是快递的物体。在网络通信上，我们聊天的内容，就是快递的物体，只是被分成了很多个（到了目的地，再拼接起来，因为每次快递的重量是不可以超标的），这些就可以理解为流量。我们截获流量，就截获了包裹，可以检查其安全性。

还记得http吗，如果截获了流量，看到的包裹是明明白白的。如果是https，同样可以截获流量，只是看到的是加密的东西，可以理解为看到的只是一个箱子，需要有密钥（或证书）才能打开箱子，看到真实的内容。

机器中毒的时候，我们会使用命令查看端口连接状态，这个在很多时候对于安全检查都非常有用。中毒的机器，一般会向外部大量发起连接请求。比如前年很流行的永恒之蓝病毒（MS17-010）。会向网络内的其他机器去狂发请求，企图连接对方机器445端口，一旦连接成功，那么就感染对方。这种情况下，源IP唯一，使用不同的随机端口，去请求连接大量不同IP（也就是不同主机）的445端口。 

在安全行业里，随机的端口情况很多，但是定向访问端口是更多的业务场景，访问A网站，就是访问A的80端口，访问B的FTP站点，就是访问它的21端口，访问C的mysql数据库，就是访问它的3306端口。很多黑客工具都是默认指定端口（比如一些木马就是默认访问某一端口，如灰鸽子就是访问5000这个端口，如果一个机器5000端口，打开着，可能他就中了灰鸽子木马），所以从端口我们就可以初步判断是不是正常业务，当然端口现在基本都可以更改，这是最低级的一种绕过安全检查的方式。

一个IP在网络中有大量通信请求，是不正常的，如果是安全设备，可能存在一些扫描任务。但如果排除安全设备，很可能就是中毒了，成为肉鸡了（或跳板机），被用来做内网扫描和渗透跳板。

自己的电脑上也可以查看端口情况 ，命令行下输入 netstat -an 可以查看，或者用终端安全工具，火绒，也很方便。

睡姿问题，竟然被自己的呼噜吵醒了。。。。虽然很少呼噜。

12点03分，太困了，睡觉先。