端口問(wèn)題解決全集(一)

端口問(wèn)題解決全集（一）Tags:端口

如果你跟俺一樣，都是網(wǎng)絡(luò)狂人的話，也一定遇到過(guò)如下問(wèn)題，莫名其妙的遭到黑客的攻擊，某些網(wǎng)絡(luò)服務(wù)速度過(guò)慢或者干脆不能訪問(wèn)(FTP或BT服務(wù))，無(wú)法在自己家里架設(shè)服務(wù)器等等。經(jīng)過(guò)俺歷時(shí)幾個(gè)月的調(diào)查，終于將上述問(wèn)題一一解決，并且發(fā)現(xiàn)造成這些問(wèn)題的罪魁禍?zhǔn)?，都與一個(gè)家伙有關(guān)——端口，這個(gè)東西如果設(shè)置不當(dāng)就會(huì)給我們帶來(lái)很多的麻煩，本文就叫你徹底玩轉(zhuǎn)它。第一篇:看清端口1、端口簡(jiǎn)介說(shuō)到端口的原理，就要從網(wǎng)絡(luò)的基礎(chǔ)說(shuō)起，我們的網(wǎng)絡(luò)是一種精密的分層結(jié)構(gòu)，在網(wǎng)絡(luò)分層結(jié)構(gòu)中，各層之間是嚴(yán)格互相依賴的，而“服務(wù)”是描述網(wǎng)絡(luò)分層結(jié)構(gòu)中相鄰層之間關(guān)系的一種抽象概念。一般來(lái)說(shuō)下層向上層提供服務(wù)的。在國(guó)際化標(biāo)準(zhǔn)化組織(IOS)的開(kāi)放互連體系模型(OSI)中共有七層，在最上端的應(yīng)用層，運(yùn)行著我們需要的各種服務(wù)，如:HTTP網(wǎng)頁(yè)瀏覽服務(wù)、FTP文件傳輸服務(wù)、POP3郵件傳輸服務(wù)等，簡(jiǎn)單的說(shuō)，從網(wǎng)絡(luò)中傳送過(guò)來(lái)的數(shù)據(jù)是無(wú)法判斷由哪個(gè)服務(wù)接收的，例如:你發(fā)送了一個(gè)瀏覽網(wǎng)頁(yè)的請(qǐng)求，由你的瀏覽器使用HTTP服務(wù)發(fā)送，但對(duì)方網(wǎng)站返回的數(shù)據(jù)，你的網(wǎng)卡不知道應(yīng)該給哪個(gè)服務(wù)或軟件處理。而這個(gè)時(shí)候我們的端口就發(fā)揮作用了，每個(gè)服務(wù)都有自己的端口，就像每個(gè)地區(qū)的郵編，而下層網(wǎng)絡(luò)服務(wù)就像投遞員，根據(jù)郵編(端口號(hào))，將數(shù)據(jù)包裹投遞到各個(gè)服務(wù)的“郵箱”，而各個(gè)服務(wù)會(huì)實(shí)時(shí)的檢查自己的“郵箱”，只要發(fā)現(xiàn)有數(shù)據(jù)包裹過(guò)來(lái)，就馬上處理。所以每個(gè)網(wǎng)絡(luò)服務(wù)都有一個(gè)或者多個(gè)端口，如果沒(méi)有端口，則無(wú)法正常工作。端口數(shù)最大可以到65535，但是實(shí)際上常用的端口才幾十個(gè)，由此可以看出未定義的端口相當(dāng)多。這是那么多黑客程序都可以采用某種方法定義出一個(gè)特殊的端口來(lái)達(dá)到入侵的目的的原因所在。從端口的性質(zhì)來(lái)分，通?？梢苑譃橐韵氯?公認(rèn)端口(WellKnownPorts):這類端口也常稱之為“常用端口”。這類端口的端口號(hào)從0到1023，它們緊密綁定于一些特定的服務(wù)。通常這些端口的通信明確表明了某種服務(wù)的協(xié)議，這種端口是不可再重新定義它的作用對(duì)象。例如:80端口為HTTP使用，21端口為FTP使用;注冊(cè)端口(RegisteredPorts):端口號(hào)從1024到49151。它們松散地綁定于一些服務(wù)。也是說(shuō)有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其他目的。這些端口多數(shù)沒(méi)有明確的定義服務(wù)對(duì)象;動(dòng)態(tài)和/或私有端口(Dynamicand/orPrivatePorts):端口號(hào)從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口。實(shí)際上，有些較為特殊的程序，特別是一些木馬程序就非常喜歡用這些端口，因?yàn)檫@些端口常常不被引起注意，容易隱蔽。2、經(jīng)常給端口體檢說(shuō)了這么多云山霧罩的概念，還是來(lái)點(diǎn)實(shí)際的吧，教你真真切切的看看你機(jī)器正在運(yùn)行的端口。Windows本身自帶了命令用于查看端口號(hào)，點(diǎn)擊“開(kāi)始→運(yùn)行”，輸入“cmd”并回車，打開(kāi)命令提示符窗口。在命令提示符狀態(tài)下鍵入“netstat-a-n”，按下回車鍵后就可以看到以數(shù)字形式顯示的TCP和UDP連接的端口號(hào)及狀態(tài)，如圖1所示。

圖1用命令查看當(dāng)前開(kāi)放的端口netstat具體的命令格式為:netstat-a-e-n-o-s，具體參數(shù)的解釋可以輸入:netstat/?進(jìn)行查詢。不過(guò)這個(gè)命令的功能實(shí)在有限，只能知道開(kāi)放了哪些端口，而無(wú)法獲知開(kāi)放端口的工作狀況，什么程序在使用這個(gè)端口等信息，也無(wú)法斷開(kāi)正在使用的端口，這時(shí)候我們就需要第三方軟件來(lái)幫助管理，我們以DiamondCSPortExplorer為例進(jìn)行介紹，軟件下載地址:.au/portexplorer/。安裝軟件后需要重新啟動(dòng)計(jì)算機(jī)，運(yùn)行軟件，選擇“All”標(biāo)簽，在里邊可以看到有哪些端口正在使用中，以及使用這些端口的程序名稱，協(xié)議類型，工作狀態(tài)等，如圖2所示。

圖2監(jiān)控當(dāng)前端口其中，“l(fā)ocalport”為本地端口，即當(dāng)前主機(jī)IP地址的端口;“remoteport”為遠(yuǎn)程端口，即與本級(jí)IP地址端口通信的遠(yuǎn)程主機(jī)的端口;“status”為端口狀態(tài)，即端口所處的狀態(tài)，一般為“l(fā)istening”(監(jiān)聽(tīng))、“established”(已建立)兩種;“send”為已發(fā)送，端口發(fā)送的數(shù)據(jù)包數(shù)量和字節(jié)數(shù);“received”為已接受，端口接受的數(shù)據(jù)包數(shù)量和字節(jié)數(shù)。PortExplorer還具有分類顯示端口的功能，分別點(diǎn)擊“All”(所有)、“TCP”(TCP協(xié)議)、“UDP”(UDP協(xié)議)、“Remote”(遠(yuǎn)程)、“Listening”(監(jiān)聽(tīng))、“Established”(已建立的連接)選項(xiàng)卡，可以分別按上述的要求顯示符合條件的端口，如圖3，點(diǎn)擊“UDP”選項(xiàng)卡后的效果。

圖3查看UDP連接的端口狀態(tài)PortExplorer窗口的左下角有“44Sockets(31System，1Hidden，30Normal)”的字樣，這個(gè)可是有含義的，在TCP/IP協(xié)議中，Socket是指一個(gè)IP加一個(gè)端口組成的一對(duì)參數(shù)，在PortExplorer的列表中，一行顯示一個(gè)Socket。一個(gè)網(wǎng)絡(luò)應(yīng)用程序至少要使用一個(gè)Socket。而這個(gè)Socket又分為三種類型:操作系統(tǒng)本身自帶的稱為“System”;普通的應(yīng)用程序使用的為“Normal”;最后一種是“Hidden”(隱藏)，隱藏的應(yīng)用程序的操作系統(tǒng)的任務(wù)列表中是看不見(jiàn)的，而用PortExplorer就把它們挖出來(lái)。由于黑客們比較喜歡使用隱藏Socket，所以一定要注意用紅色標(biāo)出的隱藏Socket。你可以對(duì)所有顯示出來(lái)的Socket進(jìn)行管理，你可以手動(dòng)結(jié)束這些進(jìn)程，或者禁止其發(fā)送或接收，也可以對(duì)這個(gè)進(jìn)程進(jìn)行詳細(xì)監(jiān)視。在不正常的Socket上右擊鼠標(biāo)，雙擊其中一個(gè)Socket，如圖4所示，將顯示該Socket為哪個(gè)程序所使用，該程序的位置，尺寸，資源占用率等信息。單擊里邊的“KillProcess”按鈕就可以結(jié)束該Socket。

圖4對(duì)特定Socket進(jìn)行管理當(dāng)你選中某一個(gè)Socket后，在下方還會(huì)顯示該Socket的數(shù)據(jù)發(fā)送和接收情況，如圖5所示。從圖中可以很清楚地看到每個(gè)數(shù)