【来源:网友世界】
三、监视端口的一举一动
监视端口实际上就是监视网络连接,有经验的网络安全人员可以通过监视端口,分析各种网络连接入侵等情况。一个自动化的端口监视记录工具,可以有效的帮助我们进行网络入侵分析。
1.使用netstat监视记录端口
“netstat”命令也可以完成简单的端口监视功能,执行“netstat-ano
10>>c:\port.txt”,即可在C盘下生成名为“port.txt”的网络端口状态记录文件,并每隔10秒钟将刷新的状态追加保存在文本中。按下+键,即可中止监视。通过该端口监视记录,可以查看到是否有非法的入侵连接(如图2)。
2.图形化的监视工具
图形界面的端口监视工具也是有不少的,比如“DiamondCS Port Explorer
2.00”就是一个很好的端口管理工具。它除了具备查看显示所有端口、结束端口连接进程,显示进程路径等功能外,还有监控监口的作用。
a.监视端口和进程
“DiamondCS Port
Explorer”有一项很强的功能,就是可以显示所有端口连接,包括一些使用了特殊技术进行隐藏的端口连接。这对查看到隐藏的木马和后门连接是非常有用的!查询到的隐藏端口连接将在列表中以红色高亮显示(如图3)。
在中间的端口列表中右键点击某个端口或进程,选择弹出菜单中的“Socket”→“Enable
Spying”命令,激活对该端口的监视功能(如图4)。然后点击菜单“Settings”→“File
Logging”,在这里选择监视记录数据文件的大小限制,勾选“No Limiton Logfile”即可。如果要查看已经记录的端口情况,可选择“View
File Log”命令;使用“Clear File Log”可清除所有监视数据。
b.监控数据包
在“DiamondCS Port
Explorer”的商品列表中选择某个端口,在下部窗口中即可看到通过端口收发的数据包。右键点击端口,在其中可选择禁止该端口的数据发送或接收,并可设置“Max.Recv
Speed(最大接收速度)”和“Max.Send Speed(最大发送速度)”。
小提示
“DiamondCS Port Explorer”还有其它许多实用功能,如端口追踪、远程IP的whois等。
除了上面提到的两种工具,还有微软开发的一个更强大端口监视工具“Port
Reporter”,它以服务的形式加载运行,记录本地Windows系统中TCP和UDP端口的活动,包括哪些端口正在使用、哪些服务进程正被端口所使用,哪些模块已被进程载入以及哪些用户帐户正在运行进程等等……
(责任编辑:luwei) |