卡巴斯基技术先锋:通讯端口防控全攻略

端口原理及分类

　　开卷语:端口，作为计算机与外界通讯交流的出口，近年来颇受用户关注，因为任何互通都要过它这关，一些威胁也会利用此处，来试图上传窃听到的数据内容，所以有很多网友都比较关心，如何保护端口安全，防止数据流失，对此，本期卡巴斯基技术先锋栏目，也将分别为大家介绍，端口防护的相关技术原理、扫描方式、监控方式……

　　从2009年10月开始，由ZOL软件事业部和国际著名安全厂商卡巴斯基联手打造的《ZOL&卡巴斯基技术先锋》栏目。正式与广大网友见面了，《ZOL&卡巴斯技术先锋》是ZOL软件事业部和卡巴斯基联手打造的安全技术分享栏目，每一期中，我们都将为网友讲解当前热门安全技术信息，分享使用心得和应用技巧等，希望能够给予您参考和帮助，使得您正确使用安全软件，免遭病毒侵袭……

卡巴斯基技术先锋:通讯端口防控全攻略（ZOL:刘晶晶）

　　很多朋友对于“端口”原理还非常陌生。的确，在网络技术中，端口（Port）有好几种意思。集线器、在线交换机的端口指的是连接其他网络设备的接口，如Serial端口等。而我们所介绍的，则并非是物理意义上的链接端口，而是在TCP/IP协议中的端口。

　　所谓“端口”主要泛指，发送同一组信息到目标计算机时，所需要进行扫描的入口，根据对应的端口状态，用于分析计算机当前的信息出、入状态。一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息。进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。 

　　其中，按照对应分类，同时分为“标准端口”和非标准”两种类型。前者，包括在范围0～1023之内的常用端口，其固定会分配一些应用服务，如此前我们较为熟悉的，发送邮件时要使用到的25端口，使用FTP时必须要开启的21端口等。而后者，非标准端口，范围在1024～65535之间，并不固定分配给某个服务，使得很多服务，只要通过发送访问网络申请，系统默认便会从中分配一组端口来调配使用。使用时占用，使用后则进行自动释放。

通过netstat命令查询系统端口通讯信息

　　同时，按照通讯协议，通过TCP和UDP方式划分端口，也是目前所最常使用的分类方式之一，前者为传输控制状态协议端口，客户机和服务机之间进行链接，进行数据传输时，必须要通过其来中转。后者则为数据包协议端口，比如DNS解析服务器等。无需客户机和终端服务机链接，即可快速远程访问。

　　2.查看系统端口状态

　　如何查看当前系统端口的利用状态，实际通过Windows Vista/7操作系统，使用“命令提示符”的相关命令（netstat -a-n）即可详细查看TCP和UDP链接端口的状态。

 
输入相关命令，查询相应端口通信状态（-e、-n）

 
输入相关命令，查询相应端口通信状态（-o、-s）

　　同时，将命令格式调整为-a可以显示当前所有正在活动的TCP连接和UDP窗口状态。输入-e则可查看当前网络发送和接受的字节数、数据包数量，-n和-o则可以显示对应连接的地址数、端口号，进程ID等。-s还能详细了解到相关协议的连接统计信息等。根据不同命令进行相应查询。

如何扫描“弱”端口？

　　3.扫描端口寻找弱点

　　什么是扫描器

　　扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器你可一不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本！这就能让我们间接的或直观的了解到远程主机所存在的安全问题。

　　工作原理

　　扫描器通过选用远程TCP/IP不同的端口的服务，并记录目标给予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息。

　　通过自动检测或远程对计算机安全弱点进行检测，快速了解当前主机的对应TCP协议端口的分配情况。搜集各类数据信息后，帮助黑客做好入侵准备。

　　如何扫描“弱”端口？

　　（1）巧用自带命令搜寻

　　通过“Nmap”命令，调用TCP connect则是最基本的TCP扫描方式。connect()是一种系统调用，由操作系统提供，用来打开一个连接。如果目标端口有程序监听，connect()就会成功返回，否则这个端口是不可达的。这项技术最大的优点是，你勿需root权限。任何UNIX用户都可以自由使用这个系统调用。这种扫描很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息。

　　查询方法非常简单，我们同样，通过系统“命令提示符”，输入nmap命令，即可调取相关提示、帮助文件输入（namp -sT xxx.xxx.xxx.xxxx)即可进行查看。

　　（2）通过专业工具查找

　　当前，网上有很多免费的端口扫描软件，比如，以“X-SCAN”软件为例，其可以快速对制定主机或IP段进行扫描，并检测其是否存在安全漏洞。同时搜索如远程服务类型、操作系统类型、版本、当前系统存在的弱口令、后门和应用程序的漏洞等等。启动软件后，指定相应IP段或主机名，便可快速进行扫描操作。

通过X-SCAN扫描目标系统潜在威胁和端口漏洞

检测过程中实时显示目标主机的漏洞情况

扫描完成后，自动生成检测报告

|提供相应主机分析结果和对应的解决方案

　　另外，使用工具扫描同时，还可通过操作系统自带的“Nmap”命令，来详细查询当前操作系统潜在的危险端口情况。

通过卡巴斯基防范

　　4.通过卡巴斯基防范

　　查找到相关问题后，我们就需要对其进行监控和防范，以卡巴斯基软件为例，卡巴斯基在端口管理方面，为用户提供了相对非常全面和详尽的设置选项，我们只需通过其“设置”功能，进入到卡巴斯基的“选项”设定，在其子菜单中点中“网络监控”，此时在右侧便会自动显示包括监控端口、加密连接、服务代理、数据分析等模块，通过“要监控的端口”区域，可以根据我们的实际需要，选择监控所有的网络端口，或仅监控选定的端口内容。

卡巴斯基全功能安全软件“端口监控”设置选区

　　根据我们的需要，可以进行选择，如果监控所有端口，那么防护效果将有明显提高，不过考虑到用户的网络环境和配置情况，笔者倒并不推荐如此，因为这样因为监控功能的大量启动，会耗费很多系统资源，从而影响到整体效率，所以，再此笔者反倒建议，我们还是将一些相对可能存在威胁较多的端口，如21、22、23、135、137、138、139、161等添加其中，这样在一定程度上可有效防护盗号威胁。

　　添加方法非常简单，选择“仅监控选定的窗口”并点击选择按钮，进入到设置窗口，此时在上方，我们即可通过“添加”来将部分端口号列入其中，从而实现对其的智能检测，另外，在卡巴斯基全功能安全软件2010版本中，还为用户提供了除对特定端口进行监控外，对相关应用程序进行监控的功能，在端口设定窗口中，我们一样可以通过添加选项，从目录树中选取部分程序，加入到信任列表当中。

通过卡巴斯基“端口”监控选项添加相关号段到监控列表中

除添加端口，也可将部分应用程序置于卡巴斯基的安全保护之下

　　这样我们添加了这些端口和应用程序后，具备强大病毒和威胁识别能力的卡巴斯基全功能安全软件2010版本，就可以及时地监测到来自这些端口和应用程序的威胁，为用户采取对应措施，从而有效杜绝威胁，增强系统的整体安全和可靠性。为您的系统带来全方位安全保护。

　　编辑点评：

　　本期《卡巴斯基技术先锋》栏目，笔者为大家介绍了端口的相关知识、分类、扫描和防护方法。结合卡巴斯基软件的技术优势，来介绍如何真正、彻底杜绝网络安全威胁，实现对于系统乃至手机系统的全面保护，作为ZOL软件事业部安全行业品牌栏目 - ZOL&卡巴斯基技术先锋栏目将长期举办，邀请更多技术专家、安全工程师为大家讲解相关安全知识、使用技巧，敬请广大网友期待！也非常希望您能给参与到我们的栏目中来。