查看連接埠命令及連接埠功能詳解

在運行裡-cmd-netstat -an就會顯示出你開的連接埠了!!

最近被病毒搞的頭昏腦漲的，不過也收穫不小喲，知道了點小方法，與大家共勉。

　　當前最為常見的木馬通常是基於TCP/UDP協議進行client端與server端之間的通訊的，既然利用到這兩個協議，就不可避免要在server端（就是被種了木馬的機器了）開啟監聽連接埠來等待串連。例如鼎鼎大名的冰河使用的監聽連接埠是7626，Back Orifice 2000則是使用54320等等。那麼，我們可以利用查看本機開放連接埠的方法來檢查自己是否被種了木馬或其它hacker程式。以下是詳細方法介紹。

　　1． Windows本身內建的netstat命令

　　關於netstat命令，我們先來看看windows協助檔案中的介紹：

　　Netstat

　　顯示協議統計和當前的 TCP/IP 網路連接。該命令只有在安裝了 TCP/IP 協議後才可以使用。

　　netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

　　參數

　　-a

　　顯示所有串連和偵聽連接埠。伺服器串連通常不顯示。

　　-e

　　顯示乙太網路統計。該參數可以與 -s 選項結合使用。

　　-n

　　以數字格式顯示地址和連接埠號碼（而不是嘗試尋找名稱）。

　　-s

　　顯示每個協議的統計。預設情況下，顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可以用來指定預設的子集。

　　-p protocol

　　顯示由 protocol 指定的協議的串連；protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個協議的統計，protocol 可以是 tcp、udp、icmp 或 ip。

　　-r

　　顯示路由表的內容。

　　interval

　　重新顯示所選的統計，在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數，netstat 將列印一次當前的配置資訊。

　　好了，看完這些協助檔案，我們應該明白netstat命令的使用方法了。現在就讓我們現學現用，用這個命令看一下自己的機器開放的連接埠。進入到命令列下，使用netstat命令的a和n兩個參數：

　　C:/>netstat -an

　　Active Connections

　　Proto Local Address Foreign Address State

　　TCP 0.0.0.0:80 0.0.0.0:0 LISTENING

　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

　　TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING

　　UDP 0.0.0.0:445 0.0.0.0:0

　　UDP 0.0.0.0:1046 0.0.0.0:0

　　UDP 0.0.0.0:1047 0.0.0.0:0

　　解釋一下，Active Connections是指當前本機活動串連，Proto是指串連使用的協議名稱，Local Address是本機電腦的 IP 位址和串連正在使用的連接埠號碼，Foreign Address是串連該連接埠的遠端電腦的 IP 位址和連接埠號碼，State則是表明TCP 串連的狀態，你可以看到後面三行的監聽連接埠是UDP協議的，所以沒有State表示的狀態。看！我的機器的7626連接埠已經開放，正在監聽等待串連，像這樣的情況極有可能是已經感染了冰河！急忙斷開網路，用殺毒軟體查殺病毒是正確的做法。 　2．工作在windows2000下的命令列工具fport

　　使用windows2000的朋友要比使用windows9X的幸運一些，因為可以使用fport這個程式來顯示本機開放連接埠與進程的對應關係。

　　Fport是FoundStone出品的一個用來列出系統中所有開啟的TCP/IP和UDP連接埠，以及它們對應應用程式的完整路徑、PID標識、進程名稱等資訊的軟體。在命令列下使用，請看例子：

　　D:/>fport.exe

　　FPort v1.33 - TCP/IP Process to Port Mapper

　　Copyright 2000 by Foundstone, Inc.

　　http://www.foundstone.com

　　Pid Process Port Proto Path

　　748 tcpsvcs -> 7 TCP C:/WINNT/System32/ tcpsvcs.exe

　　748 tcpsvcs -> 9 TCP C:/WINNT/System32/tcpsvcs.exe

　　748 tcpsvcs -> 19 TCP C:/WINNT/System32/tcpsvcs.exe

　　416 svchost -> 135 TCP C:/WINNT/system32/svchost.exe

　　是不是一目瞭然了。這下，各個連接埠究竟是什麼程式開啟的就都在你眼皮底下了。如果發現有某個可疑程式開啟了某個可疑連接埠，可千萬不要大意哦，也許那就是一隻狡猾的木馬！

　　Fport的最新版本是2.0。在很多網站都提供下載，但是為了安全起見，當然最好還是到它的老家去下：http://www.foundstone.com/knowledge/zips/fport.zip

　　3.與Fport功能類似的圖形化介面工具Active Ports

　　Active Ports為SmartLine出品，你可以用來監視電腦所有開啟的TCP/IP/UDP連接埠，不但可以將你所有的連接埠顯示出來，還顯示所有連接埠所對應的程式所在的路徑，本地IP和遠端IP(試圖串連你的電腦IP)是否正在活動。

　　更棒的是，它還提供了一個關閉連接埠的功能，在你用它發現木馬開放的連接埠時，可以立即將連接埠關閉。這個軟體工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。

　　其實使用windows xp的使用者無須藉助其它軟體即可以得到連接埠與進程的對應關係，因為windows xp所帶的netstat命令比以前的版本多了一個O參數，使用這個參數就可以得出連接埠與進程的對應來。

　　上面介紹了幾種查看本機開放連接埠，以及連接埠和進程對應關係的方法，通過這些方法可以輕鬆的發現基於TCP/UDP協議的木馬，希望能給你的愛機帶來協助。但是對木馬重在防範，而且如果碰上反彈連接埠木馬，利用驅動程式及動態連結程式庫技術製作的新木馬時，以上這些方法就很難查出木馬的痕迹了。所以我們一定要養成良好的上網習慣，不要隨意運行郵件中的附件，安裝一套殺毒軟體，像國內的瑞星就是個查殺病毒和木馬的好幫手。從網上下載的軟體先用殺毒軟體檢查一遍再使用，在上網時開啟網路防火牆和病毒即時監控，保護自己的機器不被可恨的木馬入侵

 

作者Blog：http://blog.csdn.net/navyforce/