看好本機端口謹(jǐn)防病從“口”入

我們之所以能夠借助于一根小小的網(wǎng)線“周游”世界，是因為計算機網(wǎng)絡(luò)“端口”合理地將我們的請求發(fā)送到了該去的地方。計算機上這一扇扇敞開的“門”（端口）既能讓各種正常的網(wǎng)絡(luò)通信暢通無阻，同時也會被木馬、病毒所利用，這就是為什么計算機已經(jīng)安裝了殺毒軟件和防火墻，但還是頻頻受到來自網(wǎng)絡(luò)和病毒的攻擊。實病毒特別是一些木馬正是從這些看不見的“口”中長驅(qū)而入，安家落戶的。那么，要防毒，首先就要看好計算機的端口，謹(jǐn)防病從“口”入 。
    掃描，讓危險端口無處遁形
    方法一：在命令行下查看本機開放的端口
    Windows 中為我們提供了查看本機端口開放情況的命令行工具“netstat”，利用netstat命令我們可以查看本機開放了哪些端口，都是誰開的？目前本機的端口處于什么狀態(tài)，是等待連接還是已經(jīng)連接，如果是已經(jīng)連接，那就要特別注意看連接是正常連接還是非正常連接，從中可以發(fā)現(xiàn)木馬行蹤。
    在“運行”對話框中鍵入“cmd”，回車后打開命令提示符窗口。在命令提示符狀態(tài)下鍵入“netstat -a -n”，回車后就可以顯示TCP和UDP連接的端口號及狀態(tài)（如圖1）。其中，Active Connections是指當(dāng)前本機活動連接，Proto是指連接使用的協(xié)議名稱，Local Address是本地計算機的 IP 地址和連接正在使用的端口號，F(xiàn)oreign Address是連接該端口的遠(yuǎn)程計算機的 IP 地址和端口號，State則是表明TCP 連接的狀態(tài)。
    考試大提示: (1)LISTENING狀態(tài)：表示該端口是開放的，處于偵聽狀態(tài)，等待連接，但還沒有被連接。(2)ESTABLISHED狀態(tài)：表示已經(jīng)建立了連接，兩臺機器正在通信中。(3)TIME_WAIT狀態(tài)：表示計算機曾經(jīng)與外部建立過連接，但現(xiàn)在已經(jīng)結(jié)束了。
    方法二：利用端口分析大師掃描本機開放的端口
    在命令提示符窗口查看本機端口，有一定的局限性，找到的可疑端口也不一定就是病毒或木馬留下的后門，如果不進(jìn)行深入分析妄加判斷，可能會冤枉了“好人”。如果不假思索封閉該端口，很可能會影響網(wǎng)絡(luò)的使用。在這里向電腦新手推薦使用端口分析大師（下載地址：http://www.onlinedown.net/soft/46625.htm）。下載安裝完畢，啟動端口分析大師，在“本機IP”文本框中會自動偵測出本機的IP，我們只需在“起始端口”、“結(jié)束端口”文本框中輸入欲掃描的端口段即可。為全面檢查本機安全狀況，建議大家將端口段設(shè)置為“0—65535”。設(shè)置完畢，單擊“開始分析”按鈕即可（如圖2）。掃描結(jié)束后，我們還可以單擊“屏蔽危險端口”按鈕將危險端口屏蔽掉。另外，許多黑客攻擊通常都是利用系統(tǒng)漏洞，通過特定的端口進(jìn)行的，因此，給系統(tǒng)打上補丁可以限度地減少自己被網(wǎng)絡(luò)攻擊的幾率。單擊“系統(tǒng)補丁下載”按鈕，可以連接到微軟安全中心進(jìn)行最新補丁的更新。
    哪些端口最危險
    作為普通用戶，我們一般僅僅用到21、25、80、110等為數(shù)不多的端口，例如，我們建立FTP站點用的是21號端口，瀏覽網(wǎng)頁用的是80號端口，收發(fā)郵件用的是110號端口，QQ用的是4000號端口。如果把計算機比作一間大房子 ，端口就是出入這間房子的門。一臺計算機的網(wǎng)絡(luò)端口有65536個，端口是通過端口號來標(biāo)記的，端口號只有整數(shù)，范圍是從0 到65535。那些有用的端口通常不大于1024（QQ例外，使用UDP 4000端口進(jìn)行通信）。而病毒、木馬和間諜軟件等惡意程序往往會使用大于1024端口的高端端口進(jìn)行傳播、攻擊，例如鼎鼎大名的冰河使用的監(jiān)聽端口是7626，Back Orifice 2000使用的則是54320等等。惡意程序使用的高端端口號通常比較隱蔽，用戶一般很難發(fā)現(xiàn)。
    關(guān)門、禁用高危端口
    準(zhǔn)確找出病毒或木馬使用的可疑端口后，首先要利用進(jìn)程管理器結(jié)束這個惡意進(jìn)程，然后立即升級病毒庫和個人網(wǎng)絡(luò)防火墻，查殺系統(tǒng)中存在的病毒和木馬。當(dāng)然，為了保險起見，我們還應(yīng)當(dāng)禁用這些高危險端口。在這里我們可以借助于微軟自己的小工具ipseccmd.exe，例如我們要關(guān)閉木馬BackDoor默認(rèn)服務(wù)端口，則輸入命令：“ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1999" -f *+0:1999:TCP -n BLOCK -x”。
    examda提示: Windows XP用ipseccmd命令，該命令位于安裝光盤的SUPPORT\TOOLS\SUPP-ORT.CAB壓縮包中，用戶只需找到 ipseccmd文件將其釋放到系統(tǒng)安裝目錄的System32目錄中即可使用。而Windows 2000下用ipsecpol，位于Windows 2000 Resource Kit中，還需要帶上ipsecutil.dll和text2pol.dll這兩個文件才能使用；Windows 2003下用IPSEC命令。
    對于普通用戶來說，要找全木馬常用的高危端口并不是一件容易的事，不過，劍客技術(shù)聯(lián)盟的防黑高手們已經(jīng)為我們量身定做了“有害端口自動關(guān)閉器”。下載完畢，解壓后我們會得到一個批處理文件，其利用的正是ipseccmd.exe命令。現(xiàn)在我們只需輕輕雙擊一下，即可免疫所有的高危端口，實屬一勞永逸之舉。