扫描,让危险端口无处遁形
方法一:在命令行下查看本机开放的端口
Windows 中为我们提供了查看本机端口开放情况的命令行工具“netstat”,利用netstat命令我们可以查看本机开放了哪些端口,都是谁开的?目前本机的端口处于什么状态,是等待连接还是已经连接,如果是已经连接,那就要特别注意看连接是正常连接还是非正常连接,从中可以发现木马行踪。
在“运行”对话框中键入“cmd”,回车后打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”,回车后就可以显示TCP和UDP连接的端口号及状态(如图1)。其中,Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的 IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP 连接的状态。
小提示:(1)LISTENING状态:表示该端口是开放的,处于侦听状态,等待连接,但还没有被连接。(2)ESTABLISHED状态:表示已经建立了连接,两台机器正在通信中。(3)TIME_WAIT状态:表示计算机曾经与外部建立过连接,但现在已经结束了。
方法二:利用端口分析大师扫描本机开放的端口
在命令提示符窗口查看本机端口,有一定的局限性,找到的可疑端口也不一定就是病毒或木马留下的后门,如果不进行深入分析妄加判断,可能会冤枉了“好人”。如果不假思索封闭该端口,很可能会影响网络的使用。在这里向电脑新手推荐使用端口分析大师(下载地址:http://www.onlinedown.net/soft/46625.htm)。下载安装完毕,启动端口分析大师,在“本机IP”文本框中会自动侦测出本机的IP,我们只需在“起始端口”、“结束端口”文本框中输入欲扫描的端口段即可。为全面检查本机安全状况,建议大家将端口段设置为“0—65535”。设置完毕,单击“开始分析”按钮即可(如图2)。扫描结束后,我们还可以单击“屏蔽危险端口”按钮将危险端口屏蔽掉。另外,许多黑客攻击通常都是利用系统漏洞,通过特定的端口进行的,因此,给系统打上补丁可以最大限度地减少自己被网络攻击的几率。单击“系统补丁下载”按钮,可以连接到微软安全中心进行最新补丁的更新。
作为普通用户,我们一般仅仅用到21、25、80、110等为数不多的端口,例如,我们建立FTP站点用的是21号端口,浏览网页用的是80号端口,收发邮件用的是110号端口,QQ用的是4000号端口。如果把计算机比作一间大房子 ,端口就是出入这间房子的门。一台计算机的网络端口有65536个,端口是通过端口号来标记的,端口号只有整数,范围是从0 到65535。那些有用的端口通常不大于1024(QQ例外,使用UDP 4000端口进行通信)。而病毒、木马和间谍软件等恶意程序往往会使用大于1024端口的高端端口进行传播、攻击,例如鼎鼎大名的冰河使用的监听端口是7626,Back Orifice 2000使用的则是54320等等。恶意程序使用的高端端口号通常比较隐蔽,用户一般很难发现。
关门、禁用高危端口
准确找出病毒或木马使用的可疑端口后,首先要利用进程管理器结束这个恶意进程,然后立即升级病毒库和个人网络防火墙,查杀系统中存在的病毒和木马。当然,为了保险起见,我们还应当禁用这些高危险端口。在这里我们可以借助于微软自己的小工具ipseccmd.exe,例如我们要关闭木马BackDoor默认服务端口,则输入命令:“ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1999" -f *+0:1999:TCP -n BLOCK -x”。
小提示:Windows XP用ipseccmd命令,该命令位于安装光盘的SUPPORT\TOOLS\SUPP-ORT.CAB压缩包中,用户只需找到 ipseccmd文件将其释放到系统安装目录的System32目录中即可使用。而Windows 2000下用ipsecpol,位于Windows 2000 Resource Kit中,还需要带上ipsecutil.dll和text2pol.dll这两个文件才能使用;Windows 2003下用IPSEC命令。
对于普通用户来说,要找全木马常用的高危端口并不是一件容易的事,不过,剑客技术联盟的防黑高手们已经为我们量身定做了“有害端口自动关闭器”(下载地址:http://www.xpblue.com/down/10511.html)。下载完毕,解压后我们会得到一个批处理文件,其利用的正是ipseccmd.exe命令。现在我们只需轻轻双击一下,即可免疫所有的高危端口,实属一劳永逸之举。