安全知識:連接埠·木馬·安全·掃描

安全知識:連接埠·木馬·安全·掃描

作者:不詳

來源:不詳

一、 連接埠一）、連接埠的一般含義說到連接埠，這確實是個老話題，但一切都是從它開始的，不得不說。何謂連接埠，打個比方，你住在一座房子裡，想讓別人來拜訪你，得在房子上開個大門，你養了個可愛的小貓，為了它的進出，專門給它修了個小門，為了到後花園，又開了個後門……所有這些為了進到這所房子裡而開的門我們叫它連接埠，這些為了別人進來而開的連接埠稱它為"服務連接埠"。你要拜訪一個叫張三的人，張三家應該開了個允許你來的門____服務連接埠，否則將被拒之門外。去時，首先你在家開個"門"，然後通過這個"門"徑直走進張三家的大門。為了訪問別人而在自己的房子開的"門"，我們稱它為"用戶端口"。它是隨機開的而且是主動開啟的，訪問完就自行關閉了。它和服務連接埠性質是不一樣的，服務連接埠是開了個門等著別人來訪問，而用戶端口是主動開啟一個門去開啟別人的門，這點一定要清楚。下面我們從專業的角度再簡單解釋一下連接埠的概念。連網的電腦要能相互連信必須用同一種協議，協議就是電腦通訊的語言，電腦之間必須說一種語言才能彼此通訊，Internet的通用語言是TCP/TP，它是一組協議，它規定在網路的第四層運輸層有兩種協議TCP、UDP。連接埠就是這兩個協議開啟的，連接埠分為源連接埠和目的連接埠，源連接埠是本機開啟的，目的連接埠是正在和本機通訊的另一台電腦的連接埠，源連接埠分主動開啟的用戶端口和被動已連線的服務連接埠兩種。在Internet中，你訪問一個網站時就是在本機開個連接埠去連網站伺服器的一個連接埠，別人訪問你時也是如此。也就是說電腦的通訊就像我們互相串門一樣，從這個門走進哪個門。 當你裝好系統後預設就開了很多"服務連接埠"。如何知道自己的電腦系統開了那些連接埠呢？這就是下面要說的：二）、查看連接埠的方法1、命令方式下面以Windows XP為例看看新安裝的系統都開了那些連接埠，也就是說都預留了那些門，不藉助任何工具來查看連接埠的命令是netstat，方法如下：　　a、在"開始"的"運行"處鍵入cmd，斷行符號  b、在dos命令介面，鍵入netstat -na，顯示的就是開啟的服務連接埠，其中Proto代表協議，該圖中可以看出有TCP和UDP兩種協議。Local Address代表本機地址，該地址冒號後的數字就是開放的連接埠號碼。Foreign Address代表遠程地址，如果和其它機器正在通訊，顯示的就是對方的地址，State代表狀態，顯示的LISTENING表示處於偵聽狀態，就是說該連接埠是開放的，等待串連，但還沒有被串連。就像你房子的門已經敞開了，但此時還沒有人進來。以第一行為例看看它的意思。　　TCP 0.0.0.0:135 0.0.0.0:0 LISTENING這一行的意思是原生135連接埠正在等待串連。注意：只有TCP協議的服務連接埠才能處於LISTENING狀態。 　2、用TCPView工具為了更好的分析連接埠，最好用TCPView這個軟體，該軟體很小隻有93KB，而且是個綠色軟體，不用安裝。是TCPView的運行介面。第一次顯示時字型有些小，在"Options"->"Font"中將字型大小調大即可。TCPView顯示的資料是動態。圖3中Local Address顯示的就是本機開放的哪個連接埠（：號後面的數字），TCPView可以看出哪個連接埠是由哪個程式發起的。從圖3可以看出445、139、1025、135、5000等連接埠是開放的，445、139等連接埠都是system發起的，135等都是SVCHOST發起的。  三）、研究連接埠的目的：　　1、知道本機開了那些連接埠，也就是可以進入到原生"門"有幾個，都是誰開的？　　2、目前原生連接埠處於什麼狀態，是等待串連還是已經串連，如果是已經串連那就要特別注意看串連是個正常串連還是非正常串連（木馬等）？　　3、目前本機是不是正在和其它電腦交換資料，是正常的程式防問到一個正常網站還是訪問到一個陷阱？　　當你上網時就是本機和其它機器傳遞資料的過程，要傳遞資料必須要用到連接埠，即使是有些非常高明的木馬利用正常的連接埠傳送資料也不是了無痕迹的，資料在開始傳輸、正在傳輸和結束傳輸的不同階段都有各自的狀態，要想搞明白上述3個問題，就必須清楚連接埠的狀態變化。下面結合執行個體先分析服務連接埠的狀態變化。只有TCP協議才有狀態，UDP協議是不可靠傳輸，是沒有狀態的。 四）、服務連接埠的狀態變化先在本機（IP地址為：192.168.1.10）配置FTP服務，然後在其它電腦（IP地址為：192.168.1.1）訪問FTP服務，從TCPView看看連接埠的狀態變化。下面黑體字顯示的是從TCPView中截取的部分。　　1、LISTENING狀態FTP服務啟動後首先處於偵聽（LISTENING）狀態。State顯示是LISTENING時表示處於偵聽狀態，就是說該連接埠是開放的，等待串連，但還沒有被串連。就像你房子的門已經敞開的，但還沒有人進來。從TCPView可以看出本機開放FTP的情況。它的意思是:程式inetinfo.exe開放了21連接埠，FTP預設的連接埠為21，可見在本機開放了FTP服務。目前正處於偵聽狀態。　　inetinfo.exe:1260 TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 　　2、ESTABLISHED狀態現在從192.168.1.1這台電腦訪問一下192.168.1.10的FTP服務。在原生TCPView可以看出連接埠狀態變為ESTABLISHED。ESTABLISHED的意思是建立串連。表示兩台機器正在通訊。下面顯示的是原生FTP服務正在被192.168.1.1這台電腦訪問。　　inetinfo.exe:1260 TCP 192.168.1.10:21 192.168.1.1:3009 ESTABLISHED 注意：處於ESTABLISHED狀態的串連一定要格外注意，因為它也許不是個正常串連。後面我們要講到這個問題。　　3、 TIME_WAIT狀態現在從192.168.1.1這台電腦結束訪問192.168.1.10的FTP服務。在原生TCPView可以看出連接埠狀態變為TIME_WAIT。TIME_WAIT的意思是結束了這次串連。說明21連接埠曾經有過訪問，但訪問結束了。[System Process]:0 TCP 192.168.1.10:21 192.168.1.1:3009 TIME_WAIT 　　4、小技巧　　a、可以telnet一個開放的連接埠，來觀察該連接埠的變化。比如看1025連接埠是開放的，在命令狀態（1運行cmd）運行：　　telnet 192.168.1.10 1025　　b、從本機也可以測試，只不過顯示的是本機連本機 　　c、在Tcpview中雙擊串連可看出程式的位置，右鍵點擊該串連，選擇End Process即可結束該串連 五）、用戶端口的狀態變化用戶端口實際上就是從本機訪問其它電腦服務時開啟的源連接埠，最多的應用是上網，下面就以訪問baidu.com為例來看看連接埠開放以及狀態的變化情況　　1、SYN_SENT狀態SYN_SENT狀態表示請求串連，當你要訪問其它的電腦的服務時首先要發個同步訊號給該連接埠，此時狀態為SYN_SENT，如果串連成功了就變為ESTABLISHED，此時SYN_SENT狀態非常短暫。但如果發現SYN_SENT非常多且在向不同的機器發出，那你的機器可能中了衝擊波或震蕩波之類的病毒了。這類病毒為了感染別的電腦，它就要掃描別的電腦，在掃描的過程中對每個要掃描的電腦都要發出了同步請求，這也是出現許多SYN_SENT的原因。下面顯示的是本機串連http://www.baidu.com/網站時的開始狀態，如果你的網路正常的，那很快就變為ESTABLISHED的串連狀態.IEXPLORE.EXE:2928 TCP 192.168.1.10:1035 202.108.250.249:80 SYN_SENT　　2、ESTABLISHED狀態下面顯示的是本機正在訪問http://www.baidu.com/網站。如果你訪問的網站有許多內容比如訪問http://www.yesky.com/，那會發現一個地址有許多ESTABLISHED，這是正常的，網站中的每個內容比片、flash等都要單獨建立一個串連。看ESTABLISHED狀態時一定要注意是不是IEXPLORE.EXE程式（IE）發起的串連，如果是EXPLORE.EXE之類的程式發起的串連，那也許是你的電腦中了木馬了。" target=_blank>baidu.com網站。如果你訪問的網站有許多內容比如訪問http://www.yesky.com/，那會發現一個地址有許多ESTABLISHED，這是正常的，網站中的每個內容比片、flash等都要單獨建立一個串連。看ESTABLISHED狀態時一定要注意是不是IEXPLORE.EXE程式（IE）發起的串連，如果是EXPLORE.EXE之類的程式發起的串連，那也許是你的電腦中了木馬了。IEXPLORE.EXE:3120 TCP 192.168.1.10:1045 202.108.250.249:80 ESTABLISHED　　3、TIME_WAIT狀態如果瀏覽網頁完畢，那就變為TIME_WAIT狀態。[System Process]:0 TCP 192.168.1.10:4259 202.108.250.249:80 TIME_WAIT 六）、連接埠詳細變遷圖以上是最主要的幾個狀態，實際還有一些，圖4是TCP的狀態詳細變遷圖（從TCP/IP詳解中剪來），用粗的實線箭頭表示正常的用戶端狀態變遷，用粗的虛線箭頭表示正常的伺服器狀態變遷。這些不在本文的討論範圍。有興趣的朋友可以好好研究一下。  七）、要點 一般使用者一定要熟悉（再囉嗦幾句）： 　　1、服務連接埠重點要看的是LISTENING狀態和ESTABLISHED狀態，LISTENING是本機開了哪些連接埠，　　ESTABLISHED是誰在訪問你的機器，從哪個地址訪問的。 　　2、用戶端口的SYN_SENT狀態和ESTABLISHED狀態，SYN_SENT是本機向其它電腦發出的串連請求，一般這個狀態存在的時間很短，但如果本機發出了很多SYN_SENT，那可能就是中毒了。看ESTABLISHED狀態是要發現本機正在和哪個機器傳送資料，主要看是不是一個正常程式發起的。 二、木馬什麼是木馬，簡單的說就是在未經你許可偷偷在你的電腦中開個後門，木馬開後門主要有兩種方式。　　1、有服務連接埠的木馬，這類木馬都要開個服務連接埠的後門，成功後該後門處於LISTENING狀態，它的連接埠號碼可能固定一個數，也可能變化，還有的木馬可以與正常的連接埠合用，例如你開著正常的80連接埠（WEB服務），木馬也用80連接埠。這種木馬最大的特點就是有連接埠處於LISTENING狀態，需要遠端電腦串連它。這種木馬對一般使用者比較好防範，將防火牆設為拒絕從外到內的串連即可。比較難防範的是反彈型木馬。 　　2、反彈型木馬，反彈型木馬是從內向外的串連，它可以有效穿透防火牆，而且即使你使用的是內網IP，他一樣也能訪問你的電腦。這種木馬的原理是服務端主動串連用戶端（駭客）地址。木馬的服務端軟體就像你的Internet Explorer一樣，使用動態分配連接埠去串連用戶端的某一連接埠，通常是常用連接埠，像連接埠80。而且會使用隱避性較強的檔案名稱，像iexpiore.exe、explorer（IE的程式是IEXPLORE.EXE）。如果你不仔細看，你可能會以為是你的Internet Explorer。這樣你的防火牆也會被騙過。如果你在TcpView中看到下面這樣的串連一定要注意，很有可能是種木馬了。 iexpiore.exe 192.168.1.10(本機IP)：1035（你的連接埠） Y.Y.Y.Y（遠程IP）：80（遠程連接埠）或 Rundll32.exe 192.168.1.10(本機IP)：1035（你的連接埠） Y.Y.Y.Y（遠程IP）：80（遠程連接埠）或 explorer.exe 192.168.1.10(本機IP)：1035（你的連接埠） Y.Y.Y.Y（遠程IP）：80（遠程連接埠） 三、安全我們分析連接埠的目的就是要保證上網安全，根據以上的思路可以從以下幾個方面來防範。 一）、關閉不需要的連接埠對一般上網使用者來說只要能訪問Internet就行了，並不需要別人來訪問你，也就是說沒有必要開放服務連接埠，在WIN 98可以做到不開放任何服務連接埠上網，但在Win XP、Win 2000、Win 2003下不行，但可以關閉不必要的連接埠。圖3是安裝完WIN XP系統預設開的連接埠，以此為例關閉不必要的連接埠。　　1、關閉137、138、139、445連接埠這幾個連接埠都是為共用而開的，是NetBios協議的應用，一般上網使用者是不需要別人來共用你的內容的，而且也是漏洞最多的連接埠。關閉的方法很多，最近從網上學了一招非常好用，一次全部關閉上述連接埠。開始-> 控制台-> 系統-> 硬體-> 裝置管理員-> 查看-> 顯示隱藏的裝置-> 非隨插即用驅動程式-> Netbios over Tcpip。找到介面後禁用該裝置重新啟動後即可。  2、關閉123連接埠 有些蠕蟲可利用UDP 123連接埠，關閉的方法：停止windows time服務。  3、關閉1900連接埠 攻擊者只要向某個擁有多台Win XP系統的網路發送一個虛假的UDP包，就可能會造成這些Win XP主機對指定的主機進行攻擊（DDoS）。另外如果向該系統1900連接埠發送一個UDP包，令"Location"域的地址指向另一系統的chargen連接埠，就有可能使系統陷入一個死迴圈，消耗掉系統的所有資源（需要安裝硬體時需手動開啟）。 關閉1900連接埠的方法：停止SSDP Discovery Service 服務  通過上面的辦法關閉了一些有漏洞的或不用的連接埠後是不是就沒問題了呢？不是。因為有些連接埠是不能關掉的。像135連接埠，它是RPC服務開啟的連接埠如果把這個服務停掉，那電腦就關機了，同樣像Lsass開啟的連接埠500和4500也不能關閉。衝擊波病毒利用的就是135連接埠，對於不能關閉的連接埠最好的辦法一是常打補丁，連接埠都是相應的服務開啟的，但是對於一般使用者很難判斷這些服務到底有什麼用途，也很難找到停止哪些服務就能關閉相應的連接埠。最好的辦法就是下面我們要講的安裝防火牆。安裝防火牆的作用通俗的說就像你不管住在一所結實的好房子裡還是住在一所千瘡百孔的破房子裡，只要你在房子的四周建了一堵密不透風的牆，那對於牆裡的房子就是安全的。 二）、安裝防火牆對於一般使用者來講有下面三類防火牆　　1、 內建的防火牆關於Win XP 與Win 2003內建防火牆的設定請參閱天極網中拙作，不再贅述。　　2、ADSL貓防火牆通過ADSL上網的，如果有條件最好將ADSL貓設定為地址轉換方式（NAT），也就是大家常說的路由模式，其實路由與NAT是不一樣的，權且這麼叫吧。用NAT方式最大的好處是設定完畢後，ADSL貓就是一個放火牆，它一般只開放80、21、161等為了對ADSL貓進行設定開放的連接埠。如果不做連接埠映射的話，一般從遠程是攻擊不到ADSL貓後面的電腦的。ADSL貓最大的安全隱患就是很多使用者都不改變預設密碼。這樣駭客如果進到你的貓做個連接埠映射就有可能進入到你的電腦，一定把預設密碼改掉。用內建的放火牆和ADSL貓的NAT方式基本可以抵禦從外到內的攻擊，也就是說即使服務連接埠開放（包括系統開放的連接埠和中了開個服務連接埠的木馬），駭客和類似震蕩波一類的病毒也奈何不了你的電腦。上述防火牆只能防止從外到內的串連，不能防止從內到外的串連，當你開啟網頁和用QQ聊天時就是從內到外的串連，反彈型木馬就是利用放火牆的這一特性來盜取你機器的資料的。反彈型木馬雖然十分隱蔽，但也不是沒有馬腳，防範這類木馬最好的辦法就是用第三方防火牆。　　3、第三方防火牆前面說過，反彈型木馬而且會使用隱避性較強的檔案名稱，像iexpiore.exe、explorer等與IE的程式IEXPLORE.EXE很想的名字或用一些rundll32之類的好像是系統檔案的名字，但木馬的本質就是要與遠端電腦通訊，只要通訊就會有串連。如下所示：正常串連是IEXPLORE.EXE發起的，而非正常串連是木馬程式explorer發起的。 1812  一般的防火牆都有應用程式訪問網路的使用權限設定，8所示，在防火牆的這類選項中將不允許訪問網路的應用程式選擇X，即不允許訪問網路。在寫這篇文章之前我中了一個反彈型木馬，就是explorer程式向外串連，用了好幾個查毒軟體也沒有殺掉，當時就先用天網放火牆阻止它訪問網路，然後手工費了很大的勁才清除掉。可惜沒有做。沒有勇氣為了寫這篇文章再犧牲一把了。  　4、用Tcpview結束一個串連當你用Tcpview觀察哪個串連有可能是不正常的串連，可在Tcpview中直接滑鼠右鍵點擊該串連，選擇End Process即可結束該串連。 四、掃描談起掃描又是個大話題了，有連接埠掃描（Superscan）、漏洞掃描(X-scan)等，關於掃描的話題以後再論，本文只對一般使用者簡單說一下線上安全檢測。如果你按上面的說得作了相應的安全措施，就可以在網上找個線上測試安全的網站測試一下你目前系統的安全情況，如到下面網站：　　1、千禧線上--線上檢測　　2、藍盾線上檢測　　3、天網安全線上　　4、諾頓線上安全檢測　　說明一點，測試我的機器時開了21、23、80連接埠，但這都是ADSL的服務連接埠，我的貓沒有提供修改和關閉的地方，不過沒關係，只要把密碼設的複雜點就行了。 五、震蕩波如果你按上述關閉了445連接埠或者開啟了放火牆那就不會受到震蕩波及類似的病毒騷擾了，關于震蕩波病毒的文章太多了，我就不在這囉嗦了。只要做好了安全防護，不管是震蕩大波還是衝擊小波只能在你的電腦門前掠過而奈何不了你。 六、後記關於電腦的安全還有很多要設定，但對於一般使用者來說，太多的安全設定就等於沒有了安全，因為即使對於專業從事電腦安全的人員對於安全的設定也不是件容易的事，何況對於對電腦的知識還不夠的一般使用者。如果要作很多設定才能保證安全，那肯定就有很多人不做了。對一般使用者我的建議是力所能及的事一定要做，比如： 　　1、上網時一定要安裝防毒軟體並及時升級。　　2、至少安裝一個防火牆，ADSL使用者最好用路由方式上網，改掉預設密碼。　　3、經常打補丁，Windows使用者最好將系統設為自動升級。　　4、自己要做的就是用Tcpview 常常看看串連，防止反彈型木馬。常常看看，時間長了也許就看成專家了。　　5、Udp協議是不可靠傳輸，沒有狀態，從Tcpview中很難看出它是不是在傳輸資料，感興趣的朋友可以用iris、sniffer這類的協議分析工具看看是不是有Udp的資料。