教你如何查看自己已经开放的端口

当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的，既然利用到这两个协议，就不可避免要在server端(就是被种了木马的机器了)打开监听端口来等待连接。例: 例如鼎鼎大名的冰河使用的监听端口是7626，Back Orifice 2000则是使用54320等等。那么，我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它hacker程序。以下是详细方法介绍。 ;wTc_i  
c2L\m*^o  
　　1.Windows本身自带的netstat命令 X&Sah}0V&  
cucT|y  
　　关于netstat命令，我们先来看看windows帮助文件中的介绍: 8L
]Cc!~  
^z~drcR  
　　Netstat "'/+}xM"5  
mHa~c(x  
　　显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。 K /%5\h  
&.PAIe.  
　　netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval] X":2o|R  
&wN}<Ge6  
　　参数 D(WV
k  
Fc=6*.hy  
　　-a -显示所有连接和侦听端口。服务器连接通常不显示。 G[u{! 2RS  
m"6K_4r]  
　　-e -显示以太网统计。该参数可以与 -s 选项结合使用。 KHGUR(\Rd6  
Wtp=1  
　　-n -以数字格式显示地址和端口号(而不是尝试查找名称)。 `$FB[Z} &  
2fNNdxdbT  
　　-s -显示每个协议的统计。默认情况下，显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。 ):A.A,skf  
AYfe_Dj  
　　-p protocol -显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计，protocol 可以是 tcp、udp、icmp 或 ip。 fwh/#V-i  
G:`So  
　　-r -显示路由表的内容。 P>^$X  
y=jZ8+M   
　　interval r;E5e]w*-  
=k;X}/  
　　重新显示所选的统计，在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数，netstat 将打印一次当前的配置信息。 zMM~4?4  
Mm1
>g~o  
　　好了，看完这些帮助文件，我们应该明白netstat命令的使用方法了。现在就让我们现学现用，用这个命令看一下自己的机器开放的端口。进入到命令行下，使用netstat命令的a和n两个参数: /LtbmV  
THB[(3q  
　　C:\>netstat -an Y kvEQ=  
[Z&<# -  
　　Active Connections e2g`T{6M  
1^ go)(Mx  
　　Proto Local Address Foreign Address State M@p<L VP  
@ScC32X  
　　TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 4/v[.5  
b!teSf  
　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING XQmg^x[,A  
ZwiXeD+4  
　　TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING 8dJ+Ei~M  
Q'?VLv|@  
　　UDP 0.0.0.0:445 0.0.0.0:0 3JqGLR`z3  
G({VK  
　　UDP 0.0.0.0:1046 0.0.0.0:0 woF{O)~X  
O
7yj<  
　　UDP 0.0.0.0:1047 0.0.0.0:0 ~:|V,1  
sP~x
e(  
　　解释一下，Active Connections是指当前本机活动连接，Proto是指连接使用的协议名称，Local Address是本地计算机的 IP 地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的 IP 地址和端口号，State则是表明TCP 连接的状态，你可以看到后面三行的监听端口是UDP协议的，所以没有State表示的状态。看!我的机器的7626端口已经开放，正在监听等待连接，像这样的情况极有可能是已经感染了冰河!急忙断开网络，用杀毒软件查杀病毒是正确的做法。