看到這個(gè)題目你也許有些奇怪，怎么把這幾個(gè)詞放在了一起，其實(shí)談起端口和木馬都是老生常談了，但即使是常談還有很多人的計(jì)算機(jī)被“沖擊波”沖過(guò)之后又被“震蕩波”狠狠地震了一下，看來(lái)很有必要再談?wù)劺显掝}，免得再被什么波溫柔地掃過(guò)。其實(shí)說(shuō)這些最終的目的就是為了保證計(jì)算機(jī)的上網(wǎng)安全。

　　一、 端口

　　一)、端口的一般含義

　　說(shuō)到端口，這確實(shí)是個(gè)老話題，但一切都是從它開(kāi)始的，不得不說(shuō)。何謂端口，打個(gè)比方，你住在一座房子里，想讓別人來(lái)拜訪你，得在房子上開(kāi)個(gè)大門(mén)，你養(yǎng)了個(gè)可愛(ài)的小貓，為了它的進(jìn)出，專(zhuān)門(mén)給它修了個(gè)小門(mén)，為了到后花園，又開(kāi)了個(gè)后門(mén)……所有這些為了進(jìn)到這所房子里而開(kāi)的門(mén)我們叫它端口，這些為了別人進(jìn)來(lái)而開(kāi)的端口稱它為'服務(wù)端口'。

　　你要拜訪一個(gè)叫張三的人，張三家應(yīng)該開(kāi)了個(gè)允許你來(lái)的門(mén)____服務(wù)端口，否則將被拒之門(mén)外。去時(shí)，首先你在家開(kāi)個(gè)'門(mén)'，然后通過(guò)這個(gè)'門(mén)'徑直走進(jìn)張三家的大門(mén)。為了訪問(wèn)別人而在自己的房子開(kāi)的'門(mén)'，我們稱它為'客戶端口'。它是隨機(jī)開(kāi)的而且是主動(dòng)打開(kāi)的，訪問(wèn)完就自行關(guān)閉了。它和服務(wù)端口性質(zhì)是不一樣的，服務(wù)端口是開(kāi)了個(gè)門(mén)等著別人來(lái)訪問(wèn)，而客戶端口是主動(dòng)打開(kāi)一個(gè)門(mén)去打開(kāi)別人的門(mén)，這點(diǎn)一定要清楚。

　　下面我們從專(zhuān)業(yè)的角度再簡(jiǎn)單解釋一下端口的概念。聯(lián)網(wǎng)的計(jì)算機(jī)要能相互通信必須用同一種協(xié)議，協(xié)議就是計(jì)算機(jī)通信的語(yǔ)言，計(jì)算機(jī)之間必須說(shuō)一種語(yǔ)言才能彼此通信，Internet的通用語(yǔ)言是TCP/TP，它是一組協(xié)議，它規(guī)定在網(wǎng)絡(luò)的第四層運(yùn)輸層有兩種協(xié)議TCP、UDP。端口就是這兩個(gè)協(xié)議打開(kāi)的，端口分為源端口和目的端口，源端口是本機(jī)打開(kāi)的，目的端口是正在和本機(jī)通信的另一臺(tái)計(jì)算機(jī)的端口，源端口分主動(dòng)打開(kāi)的客戶端口和被動(dòng)連接的服務(wù)端口兩種。在Internet中，你訪問(wèn)一個(gè)網(wǎng)站時(shí)就是在本機(jī)開(kāi)個(gè)端口去連網(wǎng)站服務(wù)器的一個(gè)端口，別人訪問(wèn)你時(shí)也是如此。也就是說(shuō)計(jì)算機(jī)的通訊就像我們互相串門(mén)一樣，從這個(gè)門(mén)走進(jìn)哪個(gè)門(mén)。

　　當(dāng)你裝好系統(tǒng)后默認(rèn)就開(kāi)了很多'服務(wù)端口'。如何知道自己的計(jì)算機(jī)系統(tǒng)開(kāi)了那些端口呢?這就是下面要說(shuō)的:

　　二)、查看端口的方法

　　1、命令方式

　　下面以Windows XP為例看看新安裝的系統(tǒng)都開(kāi)了那些端口，也就是說(shuō)都預(yù)留了那些門(mén)，不借助任何工具來(lái)查看端口的命令是netstat，方法如下:

　　a、在'開(kāi)始'的'運(yùn)行'處鍵入cmd，回車(chē)

　　b、在dos命令界面，鍵入netstat -na，圖2顯示的就是打開(kāi)的服務(wù)端口，其中Proto

　　代表協(xié)議，該圖中可以看出有TCP和UDP兩種協(xié)議。Local Address代表本機(jī)地址，該地址冒號(hào)后的數(shù)字就是開(kāi)放的端口號(hào)。Foreign Address代表遠(yuǎn)程地址，如果和其它機(jī)器正在通信，顯示的就是對(duì)方的地址，State代表狀態(tài)，顯示的LISTENING表示處于偵聽(tīng)狀態(tài)，就是說(shuō)該端口是開(kāi)放的，等待連接，但還沒(méi)有被連接。就像你房子的門(mén)已經(jīng)敞開(kāi)了，但此時(shí)還沒(méi)有人進(jìn)來(lái)。以第一行為例看看它的意思。

　　TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

　　這一行的意思是本機(jī)的135端口正在等待連接。注意:只有TCP協(xié)議的服務(wù)端口才能處于LISTENING狀態(tài)。

圖2

　　2、用TCPView工具

　　為了更好的分析端口，最好用TCPView這個(gè)軟件，該軟件很小只有93KB，而且是個(gè)綠色軟件，不用安裝。

　　圖3是TCPView的運(yùn)行界面。第一次顯示時(shí)字體有些小，在'Options'->'Font'中將字號(hào)調(diào)大即可。TCPView顯示的數(shù)據(jù)是動(dòng)態(tài)的。圖3中Local Address顯示的就是本機(jī)開(kāi)放的哪個(gè)端口(:號(hào)后面的數(shù)字)，TCPView可以看出哪個(gè)端口是由哪個(gè)程序發(fā)起的。從圖3可以看出445、139、1025、135、5000等端口是開(kāi)放的，445、139等端口都是system發(fā)起的，135等都是SVCHOST發(fā)起的。

圖3

　　三)、研究端口的目的:

　　1、知道本機(jī)開(kāi)了那些端口，也就是可以進(jìn)入到本機(jī)的'門(mén)'有幾個(gè)，都是誰(shuí)開(kāi)的?

　　2、目前本機(jī)的端口處于什么狀態(tài)，是等待連接還是已經(jīng)連接，如果是已經(jīng)連接那就要特別注意看連接是個(gè)正常連接還是非正常連接(木馬等)?

　　3、目前本機(jī)是不是正在和其它計(jì)算機(jī)交換數(shù)據(jù)，是正常的程序防問(wèn)到一個(gè)正常網(wǎng)站還是訪問(wèn)到一個(gè)陷阱?

　　當(dāng)你上網(wǎng)時(shí)就是本機(jī)和其它機(jī)器傳遞數(shù)據(jù)的過(guò)程，要傳遞數(shù)據(jù)必須要用到端口，即使是有些非常高明的木馬利用正常的端口傳送數(shù)據(jù)也不是了無(wú)痕跡的，數(shù)據(jù)在開(kāi)始傳輸、正在傳輸和結(jié)束傳輸?shù)牟煌�階段都有各自的狀態(tài)，要想搞明白上述3個(gè)問(wèn)題，就必須清楚端口的狀態(tài)變化。下面結(jié)合實(shí)例先分析服務(wù)端口的狀態(tài)變化。只有TCP協(xié)議才有狀態(tài)，UDP協(xié)議是不可靠傳輸，是沒(méi)有狀態(tài)的。

　　四)、服務(wù)端口的狀態(tài)變化

　　先在本機(jī)(IP地址為:192.168.1.10)配置FTP服務(wù)，然后在其它計(jì)算機(jī)(IP地址為:192.168.1.1)訪問(wèn)FTP服務(wù)，從TCPView看看端口的狀態(tài)變化。

　　下面黑體字顯示的是從TCPView中截取的部分。

　　1、LISTENING狀態(tài)

　　FTP服務(wù)啟動(dòng)后首先處于偵聽(tīng)(LISTENING)狀態(tài)。

　　State顯示是LISTENING時(shí)表示處于偵聽(tīng)狀態(tài)，就是說(shuō)該端口是開(kāi)放的，等待連接，但還沒(méi)有被連接。就像你房子的門(mén)已經(jīng)敞開(kāi)的，但還沒(méi)有人進(jìn)來(lái)。

　　從TCPView可以看出本機(jī)開(kāi)放FTP的情況。它的意思是:程序inetinfo.exe開(kāi)放了21端口，F(xiàn)TP默認(rèn)的端口為21，可見(jiàn)在本機(jī)開(kāi)放了FTP服務(wù)。目前正處于偵聽(tīng)狀態(tài)。

　　inetinfo.exe:1260 TCP 0.0.0.0:21 0.0.0.0:0 LISTENING

　　2、ESTABLISHED狀態(tài)

　　現(xiàn)在從192.168.1.1這臺(tái)計(jì)算機(jī)訪問(wèn)一下192.168.1.10的FTP服務(wù)。在本機(jī)的TCPView可以看出端口狀態(tài)變?yōu)镋STABLISHED。

　　ESTABLISHED的意思是建立連接。表示兩臺(tái)機(jī)器正在通信。

　　下面顯示的是本機(jī)的FTP服務(wù)正在被192.168.1.1這臺(tái)計(jì)算機(jī)訪問(wèn)。

　　inetinfo.exe:1260 TCP 192.168.1.10:21 192.168.1.1:3009 ESTABLISHED

　　注意:處于ESTABLISHED狀態(tài)的連接一定要格外注意，因?yàn)樗�也許不是個(gè)正常連接。后面我們要講到這個(gè)問(wèn)題。

　　3、 TIME_WAIT狀態(tài)

　　現(xiàn)在從192.168.1.1這臺(tái)計(jì)算機(jī)結(jié)束訪問(wèn)192.168.1.10的FTP服務(wù)。在本機(jī)的TCPView可以看出端口狀態(tài)變?yōu)門(mén)IME_WAIT。

　　TIME_WAIT的意思是結(jié)束了這次連接。說(shuō)明21端口曾經(jīng)有過(guò)訪問(wèn)，但訪問(wèn)結(jié)束了。

　　[System Process]:0 TCP 192.168.1.10:21 192.168.1.1:3009 TIME_WAIT

　　4、小技巧

　　a、可以telnet一個(gè)開(kāi)放的端口，來(lái)觀察該端口的變化。比如看1025端口是開(kāi)放的，在命令狀態(tài)(如圖1運(yùn)行cmd)運(yùn)行:

　　telnet 192.168.1.10 1025

　　b、從本機(jī)也可以測(cè)試，只不過(guò)顯示的是本機(jī)連本機(jī)

　　c、在Tcpview中雙擊連接可看出程序的位置，右鍵點(diǎn)擊該連接，選擇End Process即可結(jié)束該連接

　　五)、客戶端口的狀態(tài)變化

　　客戶端口實(shí)際上就是從本機(jī)訪問(wèn)其它計(jì)算機(jī)服務(wù)時(shí)打開(kāi)的源端口，最多的應(yīng)用是上網(wǎng)，下面就以訪問(wèn)baidu.com為例來(lái)看看端口開(kāi)放以及狀態(tài)的變化情況。

　　1、SYN_SENT狀態(tài)

　　SYN_SENT狀態(tài)表示請(qǐng)求連接，當(dāng)你要訪問(wèn)其它的計(jì)算機(jī)的服務(wù)時(shí)首先要發(fā)個(gè)同步信號(hào)給該端口，此時(shí)狀態(tài)為SYN_SENT，如果連接成功了就變?yōu)镋STABLISHED，此時(shí)SYN_SENT狀態(tài)非常短暫。但如果發(fā)現(xiàn)SYN_SENT非常多且在向不同的機(jī)器發(fā)出，那你的機(jī)器可能中了沖擊波或震蕩波之類(lèi)的病毒了。這類(lèi)病毒為了感染別的計(jì)算機(jī)，它就要掃描別的計(jì)算機(jī)，在掃描的過(guò)程中對(duì)每個(gè)要掃描的計(jì)算機(jī)都要發(fā)出了同步請(qǐng)求，這也是出現(xiàn)許多SYN_SENT的原因。

　　下面顯示的是本機(jī)連接baidu.com網(wǎng)站時(shí)的開(kāi)始狀態(tài)，如果你的網(wǎng)絡(luò)正常的，那很快就變?yōu)镋STABLISHED的連接狀態(tài)。

　　IEXPLORE.EXE:2928 TCP 192.168.1.10:1035 202.108.250.249:80 SYN_SENT

　　2、ESTABLISHED狀態(tài)

　　下面顯示的是本機(jī)正在訪問(wèn)baidu.com網(wǎng)站。如果你訪問(wèn)的網(wǎng)站有許多內(nèi)容比如訪問(wèn)www.yesky.com，那會(huì)發(fā)現(xiàn)一個(gè)地址有許多ESTABLISHED，這是正常的，網(wǎng)站中的每個(gè)內(nèi)容比如圖片、flash等都要單獨(dú)建立一個(gè)連接�？碋STABLISHED狀態(tài)時(shí)一定要注意是不是IEXPLORE.EXE程序(IE)發(fā)起的連接，如果是EXPLORE.EXE之類(lèi)的程序發(fā)起的連接，那也許是你的計(jì)算機(jī)中了木馬了。

　　IEXPLORE.EXE:3120 TCP 192.168.1.10:1045 202.108.250.249:80 ESTABLISHED

　　3、TIME_WAIT狀態(tài)

　　如果瀏覽網(wǎng)頁(yè)完畢，那就變?yōu)門(mén)IME_WAIT狀態(tài)。

　　[System Process]:0 TCP 192.168.1.10:4259 202.108.250.249:80 TIME_WAIT

　　六)、端口詳細(xì)變遷圖

　　以上是最主要的幾個(gè)狀態(tài)，實(shí)際還有一些，圖4是TCP的狀態(tài)詳細(xì)變遷圖(從TCP/IP詳解中剪來(lái))，用粗的實(shí)線箭頭表示正常的客戶端狀態(tài)變遷，用粗的虛線箭頭表示正常的服務(wù)器狀態(tài)變遷。這些不在本文的討論范圍。有興趣的朋友可以好好研究一下。

圖4 TCP的狀態(tài)變遷圖

　　七)、要點(diǎn)

　　一般用戶一定要熟悉(再啰嗦幾句):

　　1、服務(wù)端口重點(diǎn)要看的是LISTENING狀態(tài)和ESTABLISHED狀態(tài)，LISTENING是本機(jī)開(kāi)了哪些端口，　　ESTABLISHED是誰(shuí)在訪問(wèn)你的機(jī)器，從哪個(gè)地址訪問(wèn)的。

　　2、客戶端口的SYN_SENT狀態(tài)和ESTABLISHED狀態(tài)，SYN_SENT是本機(jī)向其它計(jì)算機(jī)發(fā)出的連接請(qǐng)求，一般這個(gè)狀態(tài)存在的時(shí)間很短，但如果本機(jī)發(fā)出了很多SYN_SENT，那可能就是中毒了�？碋STABLISHED狀態(tài)是要發(fā)現(xiàn)本機(jī)正在和哪個(gè)機(jī)器傳送數(shù)據(jù)，主要看是不是一個(gè)正常程序發(fā)起的。

　　二、木馬

　　什么是木馬，簡(jiǎn)單的說(shuō)就是在未經(jīng)你許可偷偷在你的計(jì)算機(jī)中開(kāi)個(gè)后門(mén)，木馬開(kāi)后門(mén)主要有兩種方式。

　　1、有服務(wù)端口的木馬，這類(lèi)木馬都要開(kāi)個(gè)服務(wù)端口的后門(mén)，成功后該后門(mén)處于LISTENING狀態(tài)，它的端口號(hào)可能固定一個(gè)數(shù)，也可能變化，還有的木馬可以與正常的端口合用，例如你開(kāi)著正常的80端口(WEB服務(wù))，木馬也用80端口。這種木馬最大的特點(diǎn)就是有端口處于LISTENING狀態(tài)，需要遠(yuǎn)程計(jì)算機(jī)連接它。這種木馬對(duì)一般用戶比較好防范，將防火墻設(shè)為拒絕從外到內(nèi)的連接即可。比較難防范的是反彈型木馬。

　　2、反彈型木馬，反彈型木馬是從內(nèi)向外的連接，它可以有效的穿透防火墻，而且即使你使用的是內(nèi)網(wǎng)IP，他一樣也能訪問(wèn)你的計(jì)算機(jī)。這種木馬的原理是服務(wù)端主動(dòng)連接客戶端(黑客)地址。木馬的服務(wù)端軟件就像你的Internet Explorer一樣，使用動(dòng)態(tài)分配端口去連接客戶端的某一端口，通常是常用端口，像端口80。而且會(huì)使用隱避性較強(qiáng)的文件名，像iexpiore.exe、explorer(IE的程序是IEXPLORE.EXE)。如果你不仔細(xì)看，你可能會(huì)以為是你的Internet Explorer。這樣你的防火墻也會(huì)被騙過(guò)。如果你在TcpView中看到下面這樣的連接一定要注意，很有可能是種木馬了。 iexpiore.exe 192.168.1.10(本機(jī)IP):1035(你的端口) Y.Y.Y.Y(遠(yuǎn)程IP):80(遠(yuǎn)程端口)

　　或 Rundll32.exe 192.168.1.10(本機(jī)IP):1035(你的端口) Y.Y.Y.Y(遠(yuǎn)程IP):80(遠(yuǎn)程端口)

　　或 explorer.exe 192.168.1.10(本機(jī)IP):1035(你的端口) Y.Y.Y.Y(遠(yuǎn)程IP):80(遠(yuǎn)程端口)

　　三、安全

　　我們分析端口的目的就是要保證上網(wǎng)安全，根據(jù)以上的思路可以從以下幾個(gè)方面來(lái)防范。

　　一)、關(guān)閉不需要的端口

　　對(duì)一般上網(wǎng)用戶來(lái)說(shuō)只要能訪問(wèn)Internet就行了，并不需要?jiǎng)e人來(lái)訪問(wèn)你，也就是說(shuō)沒(méi)有必要開(kāi)放服務(wù)端口，在WIN 98可以做到不開(kāi)放任何服務(wù)端口上網(wǎng)，但在Win XP、Win 2000、Win 2003下不行，但可以關(guān)閉不必要的端口。圖3是安裝完WIN XP系統(tǒng)默認(rèn)開(kāi)的端口，以此為例關(guān)閉不必要的端口。

　　1、關(guān)閉137、138、139、445端口

　　這幾個(gè)端口都是為共享而開(kāi)的，是NetBios協(xié)議的應(yīng)用，一般上網(wǎng)用戶是不需要?jiǎng)e人來(lái)共享你的內(nèi)容的，而且也是漏洞最多的端口。關(guān)閉的方法很多，最近從網(wǎng)上學(xué)了一招非常好用，一次全部關(guān)閉上述端口。

　　開(kāi)始-> 控制面板-> 系統(tǒng)-> 硬件-> 設(shè)備管理器-> 查看-> 顯示隱藏的設(shè)備-> 非即插即用驅(qū)動(dòng)程序-> Netbios over Tcpip。

　　找到圖5界面后禁用該設(shè)備重新啟動(dòng)后即可。

圖5

　　2、關(guān)閉123端口

　　有些蠕蟲(chóng)病毒可利用UDP 123端口，關(guān)閉的方法:如圖6停止windows time服務(wù)。

圖6 關(guān)閉123端口

　　3、關(guān)閉1900端口

　　攻擊者只要向某個(gè)擁有多臺(tái)Win XP系統(tǒng)的網(wǎng)絡(luò)發(fā)送一個(gè)虛假的UDP包，就可能會(huì)造成這些Win XP主機(jī)對(duì)指定的主機(jī)進(jìn)行攻擊(DDoS)。另外如果向該系統(tǒng)1900端口發(fā)送一個(gè)UDP包，令'Location'域的地址指向另一系統(tǒng)的chargen端口，就有可能使系統(tǒng)陷入一個(gè)死循環(huán)，消耗掉系統(tǒng)的所有資源(需要安裝硬件時(shí)需手動(dòng)開(kāi)啟)。

　　關(guān)閉1900端口的方法如圖7所示:停止SSDP Discovery Service 服務(wù)

圖7 關(guān)閉1900端口

　　通過(guò)上面的辦法關(guān)閉了一些有漏洞的或不用的端口后是不是就沒(méi)問(wèn)題了呢?不是。因?yàn)橛行┒丝谑遣荒荜P(guān)掉的。像135端口，它是RPC服務(wù)打開(kāi)的端口如果把這個(gè)服務(wù)停掉，那計(jì)算機(jī)就關(guān)機(jī)了，同樣像Lsass打開(kāi)的端口500和4500也不能關(guān)閉。沖擊波病毒利用的就是135端口，對(duì)于不能關(guān)閉的端口最好的辦法一是常打補(bǔ)丁，端口都是相應(yīng)的服務(wù)打開(kāi)的，但是對(duì)于一般用戶很難判斷這些服務(wù)到底有什么用途，也很難找到停止哪些服務(wù)就能關(guān)閉相應(yīng)的端口。最好的辦法就是下面我們要講的安裝防火墻。安裝防火墻的作用通俗的說(shuō)就像你不管住在一所結(jié)實(shí)的好房子里還是住在一所千瘡百孔的破房子里，只要你在房子的四周建了一堵密不透風(fēng)的墻，那對(duì)于墻里的房子就是安全的。

　　二)、安裝防火墻

　　對(duì)于一般用戶來(lái)講有下面三類(lèi)防火墻

　　1、 自帶的防火墻

　　關(guān)于Win XP 與Win 2003自帶防火墻的設(shè)置請(qǐng)參閱天極網(wǎng)中拙作，不再贅述。

　　2、ADSL貓防火墻

　　通過(guò)ADSL上網(wǎng)的，如果有條件最好將ADSL貓?jiān)O(shè)置為地址轉(zhuǎn)換方式(NAT)，也就是大家常說(shuō)的路由模式，其實(shí)路由與NAT是不一樣的，權(quán)且這么叫吧。用NAT方式最大的好處是設(shè)置完畢后，ADSL貓就是一個(gè)放火墻，它一般只開(kāi)放80、21、161等為了對(duì)ADSL貓進(jìn)行設(shè)置開(kāi)放的端口。如果不做端口映射的話，一般從遠(yuǎn)程是攻擊不到ADSL貓后面的計(jì)算機(jī)的。ADSL貓最大的安全隱患就是很多用戶都不改變默認(rèn)密碼。這樣黑客如果進(jìn)到你的貓做個(gè)端口映射就有可能進(jìn)入到你的計(jì)算機(jī)，一定把默認(rèn)密碼改掉。

　　用自帶的放火墻和ADSL貓的NAT方式基本可以抵御從外到內(nèi)的攻擊，也就是說(shuō)即使服務(wù)端口開(kāi)放(包括系統(tǒng)開(kāi)放的端口和中了開(kāi)個(gè)服務(wù)端口的木馬)，黑客和類(lèi)似震蕩波一類(lèi)的病毒也奈何不了你的計(jì)算機(jī)。上述防火墻只能防止從外到內(nèi)的連接，不能防止從內(nèi)到外的連接，當(dāng)你打開(kāi)網(wǎng)頁(yè)和用QQ聊天時(shí)就是從內(nèi)到外的連接，反彈型木馬就是利用放火墻的這一特性來(lái)盜取你機(jī)器的數(shù)據(jù)的。反彈型木馬雖然十分隱蔽，但也不是沒(méi)有馬腳，防范這類(lèi)木馬最好的辦法就是用第三方防火墻。

　　3、第三方防火墻

　　前面說(shuō)過(guò)，反彈型木馬而且會(huì)使用隱避性較強(qiáng)的文件名，像iexpiore.exe、explorer等與IE的程序IEXPLORE.EXE很想的名字或用一些rundll32之類(lèi)的好像是系統(tǒng)文件的名字，但木馬的本質(zhì)就是要與遠(yuǎn)程的計(jì)算機(jī)通訊，只要通訊就會(huì)有連接。如下所示:正常連接是IEXPLORE.EXE發(fā)起的，而非正常連接是木馬程序explorer發(fā)起的。

　　正常連接

　　木馬連接

　　一般的防火墻都有應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)的權(quán)限設(shè)置，如圖8所示，在防火墻的這類(lèi)選項(xiàng)中將不允許訪問(wèn)網(wǎng)絡(luò)的應(yīng)用程序選擇X，即不允許訪問(wèn)網(wǎng)絡(luò)。

　　在寫(xiě)這篇文章之前我中了一個(gè)反彈型木馬，就是explorer程序向外連接，用了好幾個(gè)查毒軟件也沒(méi)有殺掉，當(dāng)時(shí)就先用天網(wǎng)放火墻阻止它訪問(wèn)網(wǎng)絡(luò)，然后手工費(fèi)了很大的勁才清除掉�？上�沒(méi)有做截圖。沒(méi)有勇氣為了寫(xiě)這篇文章再犧牲一把了。

圖8

　　4、用Tcpview結(jié)束一個(gè)連接

　　當(dāng)你用Tcpview觀察哪個(gè)連接有可能是不正常的連接，可在Tcpview中直接鼠標(biāo)右鍵點(diǎn)擊該連接，選擇End Process即可結(jié)束該連接。

　　四、掃描

　　談起掃描又是個(gè)大話題了，有端口掃描(Superscan)、漏洞掃描(X-scan)等，關(guān)于掃描的話題以后再論，本文只對(duì)一般用戶簡(jiǎn)單說(shuō)一下在線安全檢測(cè)。如果你按上面的說(shuō)得作了相應(yīng)的安全措施，就可以在網(wǎng)上找個(gè)在線測(cè)試安全的網(wǎng)站測(cè)試一下你目前系統(tǒng)的安全情況，如到下面網(wǎng)站:

　　1、千禧在線--在線檢測(cè)

　　2、藍(lán)盾在線檢測(cè)

　　3、天網(wǎng)安全在線

　　4、諾頓在線安全檢測(cè)

　　說(shuō)明一點(diǎn)，測(cè)試我的機(jī)器時(shí)開(kāi)了21、23、80端口，但這都是ADSL的服務(wù)端口，我的貓沒(méi)有提供修改和關(guān)閉的地方，不過(guò)沒(méi)關(guān)系，只要把密碼設(shè)的復(fù)雜點(diǎn)就行了。

　　五、震蕩波

　　如果你按上述關(guān)閉了445端口或者開(kāi)啟了放火墻那就不會(huì)受到震蕩波及類(lèi)似的病毒騷擾了，關(guān)于震蕩波病毒的文章太多了，我就不在這啰嗦了。只要做好了安全防護(hù)，不管是震蕩大波還是沖擊小波只能在你的計(jì)算機(jī)門(mén)前掠過(guò)而奈何不了你。

　　六、后記

　　關(guān)于計(jì)算機(jī)的安全還有很多要設(shè)置，但對(duì)于一般用戶來(lái)說(shuō)，太多的安全設(shè)置就等于沒(méi)有了安全，因?yàn)榧词箤?duì)于專(zhuān)業(yè)從事計(jì)算機(jī)安全的人員對(duì)于安全的設(shè)置也不是件容易的事，何況對(duì)于對(duì)計(jì)算機(jī)的知識(shí)還不夠的一般用戶。如果要作很多設(shè)置才能保證安全，那肯定就有很多人不做了。對(duì)一般用戶我的建議是力所能及的事一定要做，比如:

　　1、上網(wǎng)時(shí)一定要安裝防病毒軟件并及時(shí)升級(jí)。

　　2、至少安裝一個(gè)防火墻，ADSL用戶最好用路由方式上網(wǎng)，改掉默認(rèn)密碼。

　　3、經(jīng)常打補(bǔ)丁，Windows用戶最好將系統(tǒng)設(shè)為自動(dòng)升級(jí)。

　　4、自己要做的就是用Tcpview 常常看看連接，防止反彈型木馬。常�？纯�，時(shí)間長(zhǎng)了也許就看成專(zhuān)家了。

　　5、Udp協(xié)議是不可靠傳輸，沒(méi)有狀態(tài)，從Tcpview中很難看出它是不是在傳輸數(shù)據(jù)，感興趣的朋友可以用iris、sniffer這類(lèi)的協(xié)議分析工具看看是不是有Udp的數(shù)據(jù)。關(guān)于這個(gè)話題以后再聊。

　　6、本文題目起的很大，但寫(xiě)起來(lái)又覺(jué)得很多問(wèn)題都是別人說(shuō)了再說(shuō)的，也就沒(méi)有深談。

　　道高一尺，魔高一丈。網(wǎng)絡(luò)安全將是一個(gè)永恒的話題，沒(méi)有絕對(duì)的安全，但有了防范意識(shí)總比敞開(kāi)了大門(mén)還不知道好吧。