埠知識：通透了解電腦安全之門

　　每台電腦要與外界網路每建立一個網路連接時，都必須打開電腦中的某個埠。埠就像是電腦與外界網路連接的一扇門，讓連接網路成為可能的同時，也帶來了許多安全隱患——黑客可能通過打開某個埠後門，用木馬控制你的電腦;網路病毒也可能在通過埠感染攻擊你的電腦……

　　一、Windows中的埠查看器

　　當網速變慢或者出現電腦操作故障時，排除其它原因后，有可能我們已遭受了網路攻擊。這時可以查看一下網路埠使用狀況。

　　使用Windows中自帶的netstat命令，可以清楚的查看到電腦中打開的埠連接，其格式為:「netstat -an」。在顯示的信息中包括連接使用的協議、本地和遠程計算機的IP地址及連接埠……很多木馬和網路病毒都會開放一些特殊的埠，如果在列表中顯示一些不常見的埠，也許系統有可能感染了木馬或病毒。

　　二、圖形化的埠管理工具

　　一些圖形化的工具可能顯得更為簡單實用些，TCPView就是一個方便直觀的圖形化埠連接查看器，可以顯示打開的埠及其對應的進程名和進程路徑，並可以輕鬆的關閉某個連接埠。

　　在TCPView可以清楚的看到某個埠是什麼程序所打開的(如圖1)。有的木馬常常會偽裝成svchost或explorer等系統進程，可以右鍵點擊這些可疑進程，選擇「Process Properties」命令打開進程屬性窗口，在「Path」中可以查看到進程的真正路徑。如果確定打開此埠的進程是木馬的話，直接點擊對話窗口中的「End Process」按鈕即可。

　　

　　TCPView的埠管理非常強，除了查看埠，結束非法使用埠的進程外，它還可以直接關閉某個埠的連接。在窗口中右鍵點擊列表中的某個埠進程，選擇「Close Connection」命令，即可關閉該埠連接而不結束進程。　　三、監視埠的一舉一動

　　監視埠實際上就是監視網路連接，有經驗的網路安全人員可以通過監視埠，分析各種網路連接入侵等情況。一個自動化的埠監視記錄工具，可以有效的幫助我們進行網路入侵分析。

　　1.使用netstat監視記錄埠

　　「netstat」命令也可以完成簡單的埠監視功能，執行「netstat-ano 10>>c:\port.txt」，即可在C盤下生成名為「port.txt」的網路埠狀態記錄文件，並每隔10秒鐘將刷新的狀態追加保存在文本中。按下+鍵，即可中止監視。通過該埠監視記錄，可以查看到是否有非法的入侵連接(如圖2)。

　　

　　2.圖形化的監視工具

　　圖形界面的埠監視工具也是有不少的，比如「DiamondCS Port Explorer 2.00」就是一個很好的埠管理工具。它除了具備查看顯示所有埠、結束埠連接進程，顯示進程路徑等功能外，還有監控監口的作用。

　　a.監視埠和進程

　　「DiamondCS Port Explorer」有一項很強的功能，就是可以顯示所有埠連接，包括一些使用了特殊技術進行隱藏的埠連接。這對查看到隱藏的木馬和後門連接是非常有用的!查詢到的隱藏埠連接將在列表中以紅色高亮顯示(如圖3)。

　　

　　在中間的埠列表中右鍵點擊某個埠或進程，選擇彈出菜單中的「Socket」→「Enable Spying」命令，激活對該埠的監視功能(如圖4)。然後點擊菜單「Settings」→「File Logging」，在這裡選擇監視記錄數據文件的大小限制，勾選「No Limiton Logfile」即可。如果要查看已經記錄的埠情況，可選擇「View File Log」命令;使用「Clear File Log」可清除所有監視數據。

　　

　　b.監控數據包

　　在「DiamondCS Port Explorer」的商品列表中選擇某個埠，在下部窗口中即可看到通過埠收發的數據包。右鍵點擊埠，在其中可選擇禁止該埠的數據發送或接收，並可設置「Max.Recv Speed(最大接收速度)」和「Max.Send Speed(最大發送速度)」。

　　小提示

　　「DiamondCS Port Explorer」還有其它許多實用功能，如埠追蹤、遠程IP的whois等。

　　除了上面提到的兩種工具，還有微軟開發的一個更強大埠監視工具「Port Reporter」，它以服務的形式載入運行，記錄本地Windows系統中TCP和UDP埠的活動，包括哪些埠正在使用、哪些服務進程正被埠所使用，哪些模塊已被進程載入以及哪些用戶帳戶正在運行進程等等……

謝謝，不過這挺深的。難懂。