危險(xiǎn)端口包藏禍心關(guān)！

2020-04-18 13:03:06

字體：大中小

供稿：網(wǎng)友

　　端口就像網(wǎng)絡(luò)通信中的一扇窗戶，要想進(jìn)行通信就必須開(kāi)放某些特定的端口。然而，大家必須特別注意，對(duì)于已經(jīng)打開(kāi)的窗戶，一定要做到心中有數(shù)，否則就會(huì)有“竊賊”乘虛而入。

1．哪些端口最危險(xiǎn)

　　對(duì)于本地系統(tǒng)中的應(yīng)用程序來(lái)說(shuō)，它們一般使用大于1024的高端端口，如QQ客戶端程序使用UDP 4000端口進(jìn)行通信。而病毒、木馬和間諜軟件等高危險(xiǎn)性程序同樣會(huì)使用高端端口進(jìn)行傳播、攻擊，而且它們使用的高端端口號(hào)比較隱蔽，一般用戶很難發(fā)現(xiàn)。

　　因此，對(duì)本地系統(tǒng)中開(kāi)放的端口進(jìn)行自檢是有必要的，這樣一來(lái)用戶就可掌握系統(tǒng)開(kāi)放端口的情況，病毒、木馬使用的端口就無(wú)處遁形。

　　SuperScan（下載地址：http://www.jfsky.com/SoftView/SoftView_1718.html）就是筆者向大家推薦的端口掃描工具，利用這款工具，大家可以自檢端口的開(kāi)放狀況。

2．掃描端口，檢測(cè)安全性

　　掃描本地系統(tǒng)的端口開(kāi)放情況，最好在遠(yuǎn)端機(jī)器中進(jìn)行。下面筆者要掃描IP地址為“192.168.1.28”的機(jī)器的端口開(kāi)放情況，在遠(yuǎn)端機(jī)器中運(yùn)行SuperScan3.0（見(jiàn)圖），在“IP起始”欄中輸入“192.168.1.28”，在“結(jié)束”欄中也輸入“192.168.1.28”，這表示掃描的目標(biāo)就是IP地址為“192.168.1.28”的機(jī)器。

　　然后在“掃描類型”欄中選中“所有端口定義”單選項(xiàng)，在后面的空白欄中輸入“1-65535”，這表示要掃描目標(biāo)機(jī)器“1-65535”的端口。點(diǎn)擊“開(kāi)始”按鈕，SuperScan就開(kāi)始掃描目標(biāo)機(jī)器的端口，并在下方的列表框中顯示出開(kāi)放的端口號(hào)，用戶就可知道本地系統(tǒng)中有哪些端口開(kāi)放了，如果發(fā)現(xiàn)不熟悉的端口號(hào)可以通過(guò)網(wǎng)絡(luò)查詢“常用端口對(duì)應(yīng)表”，了解相關(guān)端口號(hào)的具體情況。

　　提示：常用端口對(duì)應(yīng)表請(qǐng)參看http://www.mh.fy.cn/2005/常用網(wǎng)絡(luò)端口對(duì)應(yīng)表.txt。

3．如何辨別漏洞

　　如果碰到某些高端端口已開(kāi)放，而且在“常用端口對(duì)應(yīng)表”中無(wú)法查找到時(shí)，你就得留意了。為了防止可疑的高端端口對(duì)本地系統(tǒng)帶來(lái)安全隱患，或引來(lái)致命攻擊，建議大家在第一時(shí)間內(nèi)升級(jí)病毒和網(wǎng)絡(luò)防火墻，即時(shí)查殺和封堵系統(tǒng)中存在的可疑程序。

　　方法總結(jié)：利用SuperScan雖然可以清楚地查看本地系統(tǒng)的端口開(kāi)放情況，但它有很大的不足。你找到的可疑端口一定就是病毒或木馬留下的后門(mén)嗎？這個(gè)很難說(shuō)，也許這個(gè)端口是你不了解的本地系統(tǒng)中的正常應(yīng)用程序所使用的端口，如果不假思索封閉該端口，很可能會(huì)影響系統(tǒng)的運(yùn)行。

　　窗戶打開(kāi)了，但進(jìn)來(lái)的一定就是新鮮空氣嗎？它也很可能是蚊蟲(chóng)和細(xì)菌乘虛而入的通道。要想保證本地系統(tǒng)的安全，必須快速、準(zhǔn)確地找出哪些是高危險(xiǎn)端口。

　　筆者剛才提到了SuperScan對(duì)端口進(jìn)行自檢的不足，那么如何才能確定某個(gè)端口就是“恐怖分子”所為呢？單純通過(guò)端口號(hào)進(jìn)行判斷會(huì)證據(jù)不足的，這時(shí)不妨利用與該可疑端口相關(guān)聯(lián)的進(jìn)程來(lái)取證，找到使用該端口的進(jìn)程，通過(guò)分析它的進(jìn)程名、路徑和主程序名，來(lái)進(jìn)行鎖定。這樣一來(lái)，對(duì)可疑端口地判斷就比較準(zhǔn)確了。

　　Windows系統(tǒng)自帶的命令或工具無(wú)法查看端口和進(jìn)程的關(guān)聯(lián)，這時(shí)不妨考慮動(dòng)用第三方工具（如Fport和Active Ports等）。下面筆者就介紹一下如何查看端口與進(jìn)程的關(guān)聯(lián)。

小知識(shí)：關(guān)聯(lián)

　　所謂端口和進(jìn)程的關(guān)聯(lián)，是指某個(gè)程序的進(jìn)程使用哪個(gè)或哪些通信端口進(jìn)行通信，這樣一來(lái)進(jìn)程就會(huì)和這些通信端口建立起聯(lián)系，這就是大家所說(shuō)的關(guān)聯(lián)。

1．快捷，用命令查關(guān)聯(lián)

　　Fport（下載地址：http://www.foundstone.com/knowledge/zips/fport.zip）是一個(gè)命令行工具，在Windows系統(tǒng)“命令提示符”窗口中運(yùn)行“Fport”命令后回車(chē)，就會(huì)顯示本地系統(tǒng)中所有進(jìn)程的通信情況，而且每個(gè)進(jìn)程項(xiàng)目所包含的信息都很詳細(xì)。

　　通過(guò)本地端口號(hào)屬性欄，查明可疑端口號(hào)對(duì)應(yīng)哪個(gè)進(jìn)程項(xiàng)目，接著就能找到該端口所對(duì)應(yīng)的進(jìn)程名，以及它的路徑和主程序名。通過(guò)這些有力的證據(jù)，能夠很容易地判斷出該端口是不是被木馬和病毒所利用，準(zhǔn)確性很高。

2．直觀，用工具查尋關(guān)聯(lián)

　　Fport工具畢竟是一個(gè)命令，有些用戶使用起來(lái)很不習(xí)慣。那么大家不妨使用一下圖形用戶界面下的關(guān)聯(lián)查看工具Active Ports。

　　Active Ports（下載地址：http://ftp15.enet.com.cn:83/pub/network/ip/aports.zip）提供的端口和進(jìn)程關(guān)聯(lián)查看和Fport基本相同，只不過(guò)Active Ports是在圖形用戶界面下使用的，操作起來(lái)更方便，而且它的功能也很強(qiáng)，除了提供進(jìn)程ID（PID）、進(jìn)程名、使用的本地端口號(hào)、使用的通信協(xié)議以及該進(jìn)程的路徑和主程序名外，還提供遠(yuǎn)端機(jī)器的IP地址、遠(yuǎn)程端口號(hào)和通信狀態(tài)等。

　　方法總結(jié)：Fport和Active Ports可以快速查找出端口和進(jìn)程的關(guān)聯(lián)情況，但它們也有小小的不足之處，這就是它們無(wú)法動(dòng)態(tài)監(jiān)控端口和進(jìn)程的關(guān)聯(lián)情況。如果用戶有特殊需要，想看動(dòng)態(tài)監(jiān)控端口和進(jìn)程的關(guān)聯(lián)，不妨使用微軟提供的“PortReporter”。

上一篇：XP中網(wǎng)絡(luò)怪異事件解決方法

下一篇：內(nèi)網(wǎng)互訪網(wǎng)絡(luò)防火墻別當(dāng)絆腳石