安全知识:端口・木马・安全

　　看到这个题目你也许有些奇怪，怎么把这几个词放在了一起，其实谈起端口和木马都是老生常谈了，但即使是常谈还有很多人的计算机被“冲击波”冲过之后又被“震荡波”狠狠地震了一下，看来很有必要再谈谈老话题，免得再被什么波温柔地扫过。其实说这些最终的目的就是为了计算机的上网安全。

　　一、端口

　　一）、端口的一般含义

　　说到端口，这确实是个老话题，但一切都是从它开始的，不得不说。何谓端口，打个比方，你住在一座房子里，想让别人来拜访你，得在房子上开个大门，你养了个可爱的小猫，为了它的进出，专门给它修了个小门，为了到后花园，又开了个后门……所有这些为了进到这所房子里而开的门我们叫它端口，这些为了别人进来而开的端口称它为服务端口。你要拜访一个叫张三的人，张三家应该开了个允许你来的门____服务端口，否则将被拒之门外。去时，首先你在家开个门，然后通过这个门径直走进张三家的大门。为了访问别人而在自己的房子开的门，我们称它为客户端口。它是随机开的而且是主动打开的，访问完就自行关闭了。它和服务端口性质是不一样的，服务端口是开了个门等着别人来访问，而客户端口是主动打开一个门去打开别人的门，这点一定要清楚。下面我们从专业的角度再简单解释一下端口的概念。联网的计算机要能相互通信必须用同一种协议，协议就是计算机通信的语言，计算机之间必须说一种语言才能彼此通信，Internet的通用语言是TCP/TP，它是一组协议，它在网络的第四层运输层有两种协议TCP、UDP。端口就是这两个协议打开的，端口分为源端口和目的端口，源端口是本机打开的，目的端口是正在和本机通信的另一台计算机的端口，源端口分主动打开的客户端口和被动连接的服务端口两种。在Internet中，你访问一个网站时就是在本机开个端口去连网站服务器的一个端口，别人访问你时也是如此。也就是说计算机的通讯就像我们互相串门一样，从这个门走进哪个门。当你装好系统后默认就开了很多服务端口。如何知道自己的计算机系统开了那些端口呢？这就是下面要说的：

　　进192.168.1.1二）、查看端口的方法

　　1、命令方式下面以WindowsXP为例看看新安装的系统都开了那些端口，也就是说都预留了那些门，不借助任何工具来查看端口的命令是netstat，方法如下：a、如图1，在开始的运行处键入cmd，回车。b、在dos命令界面，键入netstat-na，显示的就是打开的服务端口，其中Proto代表协议，可以看出有TCP和UDP两种协议。LocalAddress代表本机地址，该地址冒号后的数字就是的端口号。ForeignAddress代表远程地址，如果和其它机器正在通信，显示的就是对方的地址，State代表状态，显示的LISTENING表示处于侦听状态，就是说该端口是的，等待连接，但还没有被连接。就像你房子的门已经敞开了，但此时还没有人进来。以第一行为例看看它的意思。TCP0.0.0.0:1350.0.0.0:0LISTENING这一行的意思是本机的135端口正在等待连接。注意：只有TCP协议的服务端口才能处于LISTENING状态。

　　三）、研究端口的目的：

　　1、知道本机开了那些端口，也就是可以进入到本机的门有几个，都是谁开的？

　　3、目前本机是不是正在和其它计算机交换数据，是正常的程序防问到一个正常网站还是访问到一个陷阱？当你上网时就是本机和其它机器传递数据的过程，要传递数据必须要用到端口，即使是有些非常高明的木马利用正常的端口传送数据也不是了无痕迹的，数据在开始传输、正在传输和结束传输的不同阶段都有各自的状态，要想搞明白上述3个问题，就必须清楚端口的状态变化。下面结合实例先分析服务端口的状态变化。只有TCP协议才有状态，UDP协议是不可靠传输，是没有状态的。

　　四）、服务端口的状态变化

　　先在本机（IP地址为：192.168.1.10）配置FTP服务，然后在其它计算机（IP地址为：192.168.1.1）访问FTP服务，从TCPView看看端口的状态变化。下面黑体字显示的是从TCPView中截取的部分。

　　1、LISTENING状态FTP服务启动后首先处于侦听(LISTENING)状态。State显示是LISTENING时表示处于侦听状态，就是说该端口是的，等待连接，但还没有被连接。就像你房子的门已经敞开的，但还没有人进来。从TCPView可以看出本机FTP的情况。它的意思是:程序inetinfo.exe了21端口，FTP默认的端口为21，可见在本机了FTP服务。目前正处于侦听状态。inetinfo.exe:1260TCP0.0.0.0:210.0.0.0:0LISTENING

　　4、小技巧a、可以telnet一个的端口，来观察该端口的变化。比如看1025端口是的，在命令状态运行：telnet192.168.1.101025b、从本机也可以测试，只不过显示的是本机连本机c、在Tcpview中双击连接可看出程序的，右键点击该连接，选择EndProcess即可结束该连接

　　五）、客户端口的状态变化

　　客户端口实际上就是从本机访问其它计算机服务时打开的源端口，最多的应用是上网，下面就以访问baidu.com为例来看看端口以及状态的变化情况

　　1、SYN_SENT状态SYN_SENT状态表示请求连接，当你要访问其它的计算机的服务时首先要发个同步信号给该端口，此时状态为SYN_SENT，如果连接成功了就变为ESTABLISHED，此时SYN_SENT状态非常短暂。但如果发现SYN_SENT非常多且在向不同的机器发出，那你的机器可能中了冲击波或震荡波之类的病毒了。这类病毒为了感染别的计算机，它就要扫描别的计算机，在扫描的过程中对每个要扫描的计算机都要发出了同步请求，这也是出现许多SYN_SENT的原因。下面显示的是本机连接www.baidu.com网站时的开始状态，如果你的网络正常的，那很快就变为ESTABLISHED的连接状态.IEXPLORE.EXE:2928TCP192.168.1.10:1035202.108.250.249:80SYN_SENT

　　六）、端口详细变迁图

　　以上是最主要的几个状态，实际还有一些，图4是TCP的状态详细变迁图（从TCP/IP详解中剪来），用粗的实线箭头表示正常的客户端状态变迁，用粗的虚线箭头表示正常的服务器状态变迁。这些不在本文的讨论范围。有兴趣的朋友可以好好研究一下。图4TCP的状态变迁图

　　七）、要点一般用户一定要熟悉

　　1、服务端口重点要看的是LISTENING状态和ESTABLISHED状态，LISTENING是本机开了哪些端口，ESTABLISHED是谁在访问你的机器，从哪个地址访问的。2、客户端口的SYN_SENT状态和ESTABLISHED状态，SYN_SENT是本机向其它计算机发出的连接请求，一般这个状态存在的时间很短，但如果本机发出了很多SYN_SENT，那可能就是中毒了。看ESTABLISHED状态是要发现本机正在和哪个机器传送数据，主要看是不是一个正常程序发起的。