端口开关我说了算——Active Ports
网络通信
经常听说某某木马用到了7626端口,某某漏洞是通过3389端口入侵。那么我们如何监视端口?如何掌握端口的开关呢?今天就给大家介绍一个菜鸟级的端口控制软件──Active Ports(http://www.sometips.com/soft/aports.zip下载)。这个软件安装方法很简单,一路Next就可以了。
1.轻松关闭139端口
Step1:启动Active Ports。
Step2:选中要关闭的端口,如139端口,点中后,软件界面下方的Close Port按钮就会变亮。点击此按钮就关闭了139端口。
小提示:如果没有Active Ports我们可以在DOS环境下,输入netstat –an后回车来查看端口开启情况,但不能随时关闭端口,而且查看起来也相当复杂。
2.查找端口活捉“木马”
论坛上经常有网友发出求救,询问自己的爱机是否中了木马。其实大多数木马自身对外传输数据所用的端口都是固定的,所以我们完全有理由用Active Ports来达到查找木马及木马程序的目的。
Step1:启动Active Ports查看可疑端口和进程。
Step2:笔者在扫描结果中发现当前系统中有一个netserver.exe的进程(实际上是灰鸽子木马),我们会看到本机已经和远端机器建立了连接“Established”,在Remoteip处是对方的IP。可以根据进程名的和所连接IP的可疑性对这个网络连接作出是否为木马的判断。如果发现一个不熟悉的端口处于Listen状态即监听状态也是不容忽视的,此时虽然没有外部IP通过木马程序连接到本机,但你的机器已经加载了相应的木马程序。
Step3:为了进一步判断,我们可以从Path处看到当前进程是由C:\WINNT\SYSTEM32\NETSERVER.EXE这个程序启用的,由此判断这个程序有问题,可以对这个EXE文件进行删除或者杀毒。
小知识:认识端口
如果把机器比作一个坚实的城堡,那么每个端口就相当于一条通向城堡的路。有多少条通往城堡的路呢?一共是65535条路,不过这些道路又进行了细分。
①公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议,例如:80端口实际上总是HTTP通讯。
②注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其他目的。例如:许多系统处理动态端口从1024左右开始。
③动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。也就是说木马所使用的一般都是1024以上的端口。