|
當前最為常見的木馬通常是基于TCP/UDP協(xié)議進行client端與server端之間的通訊的����,
既然利用到這兩個協(xié)議�,就不可避免要在server端(就是被種了木馬的機器了)打開監(jiān)
聽端口來等待連接。例如鼎鼎大名的冰河使用的監(jiān)聽端口是7626��,Back Orifice 2000
則是使用54320等等����。那么,我們可以利用查看本機開放端口的方法來檢查自己是否被
種了木馬或其它黑客程序����。以下是詳細方法介紹�。
1. Windows本身自帶的netstat命令
關于netstat命令�,我們先來看看windows幫助文件中的介紹:
Netstat
顯示協(xié)議統(tǒng)計和當前的 TCP/IP 網絡連接。該命令只有在安裝了 TCP/IP 協(xié)議后才可以
使用����。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
參數(shù)
-a
顯示所有連接和偵聽端口。服務器連接通常不顯示����。
-e
顯示以太網統(tǒng)計。該參數(shù)可以與 -s 選項結合使用����。
-n
以數(shù)字格式顯示地址和端口號(而不是嘗試查找名稱)。
-s
顯示每個協(xié)議的統(tǒng)計����。默認情況下,顯示 TCP����、UDP��、ICMP 和 IP 的統(tǒng)計。-p 選項可
以用來指定默認的子集��。
-p protocol
顯示由 protocol 指定的協(xié)議的連接��;protocol 可以是 tcp 或 udp�。如果與 -s 選項
一同使用顯示每個協(xié)議的統(tǒng)計,protocol 可以是 tcp����、udp、icmp 或 ip�。
-r
顯示路由表的內容。
interval
重新顯示所選的統(tǒng)計�,在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統(tǒng)
計����。如果省略該參數(shù),netstat 將打印一次當前的配置信息����。
好了,看完這些幫助文件����,我們應該明白netstat命令的使用方法了�,F(xiàn)在就讓我們現(xiàn)
學現(xiàn)用��,用這個命令看一下自己的機器開放的端口��。進入到命令行下����,使用netstat命
令的a和n兩個參數(shù):
C:\>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0
UDP 0.0.0.0:1046 0.0.0.0:0
UDP 0.0.0.0:1047 0.0.0.0:0
解釋一下,Active Connections是指當前本機活動連接��,Proto是指連接使用的協(xié)議名
稱�,Local Address是本地計算機的 IP 地址和連接正在使用的端口號,F(xiàn)oreign
Address是連接該端口的遠程計算機的 IP 地址和端口號����,State則是表明TCP 連接的狀
態(tài),你可以看到后面三行的監(jiān)聽端口是UDP協(xié)議的��,所以沒有State表示的狀態(tài)�。看��!我
的機器的7626端口已經開放����,正在監(jiān)聽等待連接����,像這樣的情況極有可能是已經感染了
冰河�!急忙斷開網絡�,用殺毒軟件查殺病毒是正確的做法。
本文出自:億恩科技【www.riomediacenter.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商�!15年品質保障��!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
