看好本机端口，防止病从“口”入

 

 

我们之所以能够借助于一根小小的网线“周游”世界，是因为计算机网络“端口”合理地将我们的请求发送到了该去的地方。计算机上这一扇扇敞开的“门”（端口）既能让各种正常的网络通信畅通无阻，同时也会被木马、病毒所利用，这就是为什么计算机已经安装了杀毒软件和防火墙，但还是频频受到来自网络和病毒的攻击

 

我们之所以能够借助于一根小小的网线“周游”世界，是因为计算机网络“端口”合理地将我们的请求发送到了该去的地方。计算机上这一扇扇敞开的“门”（端口）既能让各种正常的网络通信畅通无阻，同时也会被木马、病毒所利用，这就是为什么计算机已经安装了杀毒软件和防火墙，但还是频频受到来自网络和病毒的攻击。实病毒特别是一些木马正是从这些看不见的“口”中长驱而入，安家落户的。那么，要防毒，首先就要看好计算机的端口，谨防病从“口”入 。

    扫描，让危险端口无处遁形

    方法一：在命令行下查看本机开放的端口

    Windows 中为我们提供了查看本机端口开放情况的命令行工具“netstat”，利用netstat命令我们可以查看本机开放了哪些端口，都是谁开的？目前本机的端口处于什么状态，是等待连接还是已经连接，如果是已经连接，那就要特别注意看连接是正常连接还是非正常连接，从中可以发现木马行踪。

    在“运行”对话框中键入“cmd”，回车后打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”，回车后就可以显示TCP和UDP连接的端口号及状态（如图1）。其中，Active Connections是指当前本机活动连接，Proto是指连接使用的协议名称，Local Address是本地计算机的 IP 地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的 IP 地址和端口号，State则是表明TCP 连接的状态。

   

 

    小提示：(1)LISTENING状态：表示该端口是开放的，处于侦听状态，等待连接，但还没有被连接。(2)ESTABLISHED状态：表示已经建立了连接，两台机器正在通信中。(3)TIME_WAIT状态：表示计算机曾经与外部建立过连接，但现在已经结束了。

    方法二：利用端口分析大师扫描本机开放的端口

    在命令提示符窗口查看本机端口，有一定的局限性，找到的可疑端口也不一定就是病毒或木马留下的后门，如果不进行深入分析妄加判断，可能会冤枉了“好人”。如果不假思索封闭该端口，很可能会影响网络的使用。在这里向电脑新手推荐使用端口分析大师（下载地址：http://www.onlinedown.net/soft/46625.htm）。下载安装完毕，启动端口分析大师，在“本机IP”文本框中会自动侦测出本机的IP，我们只需在“起始端口”、“结束端口”文本框中输入欲扫描的端口段即可。为全面检查本机安全状况，建议大家将端口段设置为“0—65535”。设置完毕，单击“开始分析”按钮即可（如图2）。扫描结束后，我们还可以单击“屏蔽危险端口”按钮将危险端口屏蔽掉。另外，许多黑客攻击通常都是利用系统漏洞，通过特定的端口进行的，因此，给系统打上补丁可以最大限度地减少自己被网络攻击的几率。单击“系统补丁下载”按钮，可以连接到微软安全中心进行最新补丁的更新。

   

　　
　　   哪些端口最危险
    作为普通用户，我们一般仅仅用到21、25、80、110等为数不多的端口，例如，我们建立FTP站点用的是21号端口，浏览网页用的是80号端口，收发邮件用的是110号端口，QQ用的是4000号端口。如果把计算机比作一间大房子 ，端口就是出入这间房子的门。一台计算机的网络端口有65536个，端口是通过端口号来标记的，端口号只有整数，范围是从0 到65535。那些有用的端口通常不大于1024（QQ例外，使用UDP 4000端口进行通信）。而病毒、木马和间谍软件等恶意程序往往会使用大于1024端口的高端端口进行传播、攻击，例如鼎鼎大名的冰河使用的监听端口是7626，Back Orifice 2000使用的则是54320等等。恶意程序使用的高端端口号通常比较隐蔽，用户一般很难发现。

    关门、禁用高危端口

    准确找出病毒或木马使用的可疑端口后，首先要利用进程管理器结束这个恶意进程，然后立即升级病毒库和个人网络防火墙，查杀系统中存在的病毒和木马。当然，为了保险起见，我们还应当禁用这些高危险端口。在这里我们可以借助于微软自己的小工具ipseccmd.exe，例如我们要关闭木马BackDoor默认服务端口，则输入命令：“ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/1999" -f *+0:1999:TCP -n BLOCK -x”。

    小提示：Windows XP用ipseccmd命令，该命令位于安装光盘的SUPPORT/TOOLS/SUPP-ORT.CAB压缩包中，用户只需找到 ipseccmd文件将其释放到系统安装目录的System32目录中即可使用。而Windows 2000下用ipsecpol，位于Windows 2000 Resource Kit中，还需要带上ipsecutil.dll和text2pol.dll这两个文件才能使用；Windows 2003下用IPSEC命令。　

    对于普通用户来说，要找全木马常用的高危端口并不是一件容易的事，不过，剑客技术联盟的防黑高手们已经为我们量身定做了“有害端口自动关闭器”（下载地址：http://www.xpblue.com/down/10511.html）。下载完毕，解压后我们会得到一个批处理文件，其利用的正是ipseccmd.exe命令。现在我们只需轻轻双击一下，即可免疫所有的高危端口，实属一劳永逸之举。