練就火眼金睛 關(guān)閉包藏禍心的危險(xiǎn)端口WEB安全 -電腦資料

    端口就像網(wǎng)絡(luò)通信中的一扇窗戶，要想進(jìn)行通信就必須開放某些特定的端口，

練就火眼金睛 關(guān)閉包藏禍心的危險(xiǎn)端口WEB安全

。然而，大家必須特別注意，對(duì)于已經(jīng)打開的窗戶，一定要做到心中有數(shù)，否則就會(huì)有“竊賊”乘虛而入。

    一個(gè)不漏：檢查已開放的端口

    1．哪些端口最危險(xiǎn)

    對(duì)于本地系統(tǒng)中的應(yīng)用程序來說，它們一般使用大于1024的高端端口，如QQ客戶端程序使用UDP 4000端口進(jìn)行通信。而病毒、木馬和間諜軟件等高危險(xiǎn)性程序同樣會(huì)使用高端端口進(jìn)行傳播、攻擊，而且它們使用的高端端口號(hào)比較隱蔽，一般用戶很難發(fā)現(xiàn)。

    因此，對(duì)本地系統(tǒng)中開放的端口進(jìn)行自檢是有必要的，這樣一來用戶就可掌握系統(tǒng)開放端口的情況，病毒、木馬使用的端口就無處遁形。

    SuperScan（下載地址：http://www.jfsky.com/SoftView/SoftView_1718.html）就是筆者向大家推薦的端口掃描工具，利用這款工具，大家可以自檢端口的開放狀況。

    2．掃描端口，檢測(cè)安全性

    掃描本地系統(tǒng)的端口開放情況，最好在遠(yuǎn)端機(jī)器中進(jìn)行。下面筆者要掃描IP地址為“192.168.1.28”的機(jī)器的端口開放情況，在遠(yuǎn)端機(jī)器中運(yùn)行SuperScan3.0（見圖），在“IP起始”欄中輸入“192.168.1.28”，在“結(jié)束”欄中也輸入“192.168.1.28”，這表示掃描的目標(biāo)就是IP地址為“192.168.1.28”的機(jī)器。

   

    然后在“掃描類型”欄中選中“所有端口定義”單選項(xiàng)，在后面的空白欄中輸入“1-65535”，這表示要掃描目標(biāo)機(jī)器“1-65535”的端口。點(diǎn)擊“開始”按鈕，SuperScan就開始掃描目標(biāo)機(jī)器的端口，并在下方的列表框中顯示出開放的端口號(hào)，用戶就可知道本地系統(tǒng)中有哪些端口開放了，如果發(fā)現(xiàn)不熟悉的端口號(hào)可以通過網(wǎng)絡(luò)查詢“常用端口對(duì)應(yīng)表”，了解相關(guān)端口號(hào)的具體情況。

    提示：常用端口對(duì)應(yīng)表請(qǐng)參看http://www.mh.fy.cn/2005/常用網(wǎng)絡(luò)端口對(duì)應(yīng)表.txt。

    3．如何辨別漏洞

    如果碰到某些高端端口已開放，而且在“常用端口對(duì)應(yīng)表”中無法查找到時(shí)，你就得留意了。為了防止可疑的高端端口對(duì)本地系統(tǒng)帶來安全隱患，或引來致命攻擊，建議大家在第一時(shí)間內(nèi)升級(jí)病毒和網(wǎng)絡(luò)防火墻，即時(shí)查殺和封堵系統(tǒng)中存在的可疑程序。

    方法總結(jié)：利用SuperScan雖然可以清楚地查看本地系統(tǒng)的端口開放情況，但它有很大的不足。你找到的可疑端口一定就是病毒或木馬留下的后門嗎？這個(gè)很難說，也許這個(gè)端口是你不了解的本地系統(tǒng)中的正常應(yīng)用程序所使用的端口，如果不假思索封閉該端口，很可能會(huì)影響系統(tǒng)的運(yùn)行。

    理清關(guān)系：查看端口和進(jìn)程關(guān)聯(lián)

    窗戶打開了，但進(jìn)來的一定就是新鮮空氣嗎？它也很可能是蚊蟲和細(xì)菌乘虛而入的通道。要想保證本地系統(tǒng)的安全，必須快速、準(zhǔn)確地找出哪些是高危險(xiǎn)端口，

電腦資料

《練就火眼金睛 關(guān)閉包藏禍心的危險(xiǎn)端口WEB安全》(http://m.clearvueentertainment.com)。

    筆者剛才提到了SuperScan對(duì)端口進(jìn)行自檢的不足，那么如何才能確定某個(gè)端口就是“ ”所為呢？單純通過端口號(hào)進(jìn)行判斷會(huì)證據(jù)不足的，這時(shí)不妨利用與該可疑端口相關(guān)聯(lián)的進(jìn)程來取證，找到使用該端口的進(jìn)程，通過分析它的進(jìn)程名、路徑和主程序名，來進(jìn)行鎖定。這樣一來，對(duì)可疑端口地判斷就比較準(zhǔn)確了。

    Windows系統(tǒng)自帶的命令或工具無法查看端口和進(jìn)程的關(guān)聯(lián)，這時(shí)不妨考慮動(dòng)用第三方工具（如Fport和Active Ports等）。下面筆者就介紹一下如何查看端口與進(jìn)程的關(guān)聯(lián)。

    小知識(shí)：關(guān)聯(lián)

    所謂端口和進(jìn)程的關(guān)聯(lián)，是指某個(gè)程序的進(jìn)程使用哪個(gè)或哪些通信端口進(jìn)行通信，這樣一來進(jìn)程就會(huì)和這些通信端口建立起聯(lián)系，這就是大家所說的關(guān)聯(lián)。

    1．快捷，用命令查關(guān)聯(lián)

    Fport（下載地址：http://www.foundstone.com/knowledge/zips/fport.zip）是一個(gè)命令行工具，在Windows系統(tǒng)“命令提示符”窗口中運(yùn)行“Fport”命令后回車，就會(huì)顯示本地系統(tǒng)中所有進(jìn)程的通信情況，而且每個(gè)進(jìn)程項(xiàng)目所包含的信息都很詳細(xì)。

    通過本地端口號(hào)屬性欄，查明可疑端口號(hào)對(duì)應(yīng)哪個(gè)進(jìn)程項(xiàng)目，接著就能找到該端口所對(duì)應(yīng)的進(jìn)程名，以及它的路徑和主程序名。通過這些有力的證據(jù)，能夠很容易地判斷出該端口是不是被木馬和病毒所利用，準(zhǔn)確性很高。

    2．直觀，用工具查尋關(guān)聯(lián)

    Fport工具畢竟是一個(gè)命令，有些用戶使用起來很不習(xí)慣。那么大家不妨使用一下圖形用戶界面下的關(guān)聯(lián)查看工具Active Ports。

    Active Ports（下載地址：http://ftp15.enet.com.cn:83/pub/network/ip/aports.zip）提供的端口和進(jìn)程關(guān)聯(lián)查看和Fport基本相同，只不過Active Ports是在圖形用戶界面下使用的，操作起來更方便，而且它的功能也很強(qiáng)，除了提供進(jìn)程ID（PID）、進(jìn)程名、使用的本地端口號(hào)、使用的通信協(xié)議以及該進(jìn)程的路徑和主程序名外，還提供遠(yuǎn)端機(jī)器的IP地址、遠(yuǎn)程端口號(hào)和通信狀態(tài)等。

    方法總結(jié)：Fport和Active Ports可以快速查找出端口和進(jìn)程的關(guān)聯(lián)情況，但它們也有小小的不足之處，這就是它們無法動(dòng)態(tài)監(jiān)控端口和進(jìn)程的關(guān)聯(lián)情況。如果用戶有特殊需要，想看動(dòng)態(tài)監(jiān)控端口和進(jìn)程的關(guān)聯(lián)，不妨使用微軟提供的“PortReporter”。

    關(guān)門：禁用高危端口

    準(zhǔn)確找出病毒或木馬使用的可疑端口后，首先要利用進(jìn)程管理器結(jié)束這個(gè)惡意進(jìn)程（如Windows進(jìn)程管理器、Active Ports等），然后即時(shí)升級(jí)病毒庫和個(gè)人網(wǎng)絡(luò)防火墻，查殺系統(tǒng)中存在的病毒和木馬。當(dāng)然，為了保險(xiǎn)起見，還可利用個(gè)人網(wǎng)絡(luò)防火墻定制通信規(guī)則阻斷某個(gè)端口與互聯(lián)網(wǎng)的通信，甚至可以利用“TCP/IP”篩選功能禁用這些高危險(xiǎn)端口。

    沒有最好，只有更好，雖然以上介紹的兩種端口自檢方法都有不足之處，但將兩種方法相結(jié)合，相輔相成，完全可以滿足絕大多數(shù)用戶的端口安全需要。在端口自檢操作過程中，用戶一定要細(xì)心謹(jǐn)慎，防止錯(cuò)判和誤判的發(fā)生，相信病毒和木馬都逃脫不了這對(duì)火眼金睛地甄別。