📄 20061104005300_2[1].html
字号:
<td height=10 vAlign=top class=main_tdbg_575><table width="100%" border="0">
<tr>
<td width="3%"><div align="center"><img src="http://www.77169.com/Skin/2005/digest.gif" width="14" height="11"></div></td>
<td width="66%" height="25"><strong>端口·木马·安全·扫描应用知识</strong></td>
<td width="18%"> <font color=red>热</font> <font color='#009999'>★★★</font></td>
<td width="13%">【字体:<a href="javascript:fontZoomA();" class="top_UserLogin">小</a> <a href="javascript:fontZoomB();" class="top_UserLogin">大</a>】</td>
</tr>
</table></td>
</tr>
</table></td>
<td width="10" background="http://www.77169.com/Skin/2005/cnbbs_images/biao-5.gif"><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-5.gif" width="10" height="3"></td>
</tr>
</table>
<table width="100%" border="0" cellpadding="0" cellspacing="0" bgcolor="C6C9C3">
<tr>
<td width="10"><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-6.gif" width="10" height="11"></td>
<td><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-8.gif" width="100%" height="11"></td>
<td width="10"><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-7.gif" width="10" height="11"></td>
</tr>
</table>
<table width="100%" border="0" cellpadding="0" cellspacing="0" bgcolor="C6C9C3">
<tr>
<td width="10"><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-9.gif" width="10" height="11"></td>
<td><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-3.gif" width="100%" height="11"></td>
<td width="10"><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-10.gif" width="10" height="11"></td>
</tr>
</table>
<table width="100%" border="0" cellpadding="0" cellspacing="0" bgcolor="C6C9C3">
<tr>
<td width="10" background="http://www.77169.com/Skin/2005/cnbbs_images/biao-4.gif"><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-4.gif" width="10" height="2"></td>
<td><table cellSpacing=0 cellPadding=0 width="100%" border=0>
<tr>
<td><table width="100%" border=0>
<tr align="center" valign="middle">
<td height="50" colspan="2" class="main_ArticleTitle" style="word-break:break-all;Width:fixed">端口·木马·安全·扫描应用知识</td>
</tr>
<tr align="center" valign="middle">
<td height="20" colspan="2" class="main_ArticleSubheading" style="word-break:break-all;Width:fixed"></td>
</tr>
<tr align="center" class="left_tdbgall">
<td colspan="2">作者:未知 文章来源:<a href='http://www.77169.com/ShowCopyFrom.asp?ChannelID=1010&SourceName=华盟收集'>华盟收集</a> 点击数:
<script language='javascript' src='http://count.77169.com/hack/GetHits.asp?ArticleID=68285'></script>
更新时间:2006-11-4</td>
</tr>
</table></td>
</tr>
<tr>
<td class=main_tdbg_760 id=fontzoom style="WORD-BREAK: break-all" vAlign=top colSpan=2 height=300><span style="font-size:14.8px;line-height:18px">
<table cellSpacing=0 cellPadding=10 align=left border=0>
<tr>
<td><script language='javascript' src='http://www.77169.com/AD/200604/17.js'></script></td>
</tr>
</table>
<P style="TEXT-INDENT: 2em" align=left>
<P style="TEXT-INDENT: 2em" align=left>1、LISTENING状态
<P style="TEXT-INDENT: 2em" align=left>FTP服务启动后首先处于侦听(LISTENING)状态。
<P style="TEXT-INDENT: 2em" align=left>State显示是LISTENING时表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。就像你房子的门已经敞开的,但还没有人进来。
<P style="TEXT-INDENT: 2em" align=left>从TCPView可以看出本机开放FTP的情况。它的意思是:程序inetinfo.exe开放了21端口,FTP默认的端口为21,可见在本机开放了FTP服务。目前正处于侦听状态。
<P style="TEXT-INDENT: 2em" align=left></P><CCID_NOBR>
<DIV align=left>
<TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1>
<TBODY>
<TR>
<TD class=code style="FONT-SIZE: 9pt" bgColor=#e6e6e6><PRE><CCID_CODE> inetinfo.exe:1260 TCP 0.0.0.0:21 0.0.0.0:0 LISTENING</CCID_CODE></PRE></TD></TR></TBODY></TABLE></DIV></CCID_NOBR>
<P style="TEXT-INDENT: 2em" align=left>2、ESTABLISHED状态
<P style="TEXT-INDENT: 2em" align=left>现在从192.168.1.1这台计算机访问一下192.168.1.10的FTP服务。在本机的TCPView可以看出端口状态变为ESTABLISHED。
<P style="TEXT-INDENT: 2em" align=left>ESTABLISHED的意思是建立连接。表示两台机器正在通信。
<P style="TEXT-INDENT: 2em" align=left>下面显示的是本机的FTP服务正在被192.168.1.1这台计算机访问。
<P style="TEXT-INDENT: 2em" align=left></P><CCID_NOBR>
<DIV align=left>
<TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1>
<TBODY>
<TR>
<TD class=code style="FONT-SIZE: 9pt" bgColor=#e6e6e6><PRE><CCID_CODE> inetinfo.exe:1260 TCP 192.168.1.10:21 192.168.1.1:3009 ESTABLISHED</CCID_CODE></PRE></TD></TR></TBODY></TABLE></DIV></CCID_NOBR>
<P style="TEXT-INDENT: 2em" align=left>注意:处于ESTABLISHED状态的连接一定要格外注意,因为它也许不是个正常连接。后面我们要讲到这个问题。
<P style="TEXT-INDENT: 2em" align=left>3、 TIME_WAIT状态
<P style="TEXT-INDENT: 2em" align=left>现在从192.168.1.1这台计算机结束访问192.168.1.10的FTP服务。在本机的TCPView可以看出端口状态变为TIME_WAIT。
<P style="TEXT-INDENT: 2em" align=left>TIME_WAIT的意思是结束了这次连接。说明21端口曾经有过访问,但访问结束了。
<P style="TEXT-INDENT: 2em" align=left></P><CCID_NOBR>
<DIV align=left>
<TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1>
<TBODY>
<TR>
<TD class=code style="FONT-SIZE: 9pt" bgColor=#e6e6e6><PRE><CCID_CODE> [System Process]:0 TCP 192.168.1.10:21 192.168.1.1:3009 TIME_WAIT</CCID_CODE></PRE></TD></TR></TBODY></TABLE></DIV></CCID_NOBR>
<P style="TEXT-INDENT: 2em" align=left>4、小技巧
<P style="TEXT-INDENT: 2em" align=left>a、可以telnet一个开放的端口,来观察该端口的变化。比如看1025端口是开放的,在命令状态运行:
<P style="TEXT-INDENT: 2em" align=left></P><CCID_NOBR>
<DIV align=left>
<TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1>
<TBODY>
<TR>
<TD class=code style="FONT-SIZE: 9pt" bgColor=#e6e6e6><PRE><CCID_CODE> telnet 192.168.1.10 1025</CCID_CODE></PRE></TD></TR></TBODY></TABLE></DIV>
<DIV align=left><SPAN style="FONT-SIZE: 9pt"> </DIV>
<DIV align=left> </DIV>
<DIV style="TEXT-INDENT: 2em" align=left>b、从本机也可以测试,只不过显示的是本机连本机 </DIV>
<DIV style="TEXT-INDENT: 2em" align=left>c、在Tcpview中双击连接可看出程序的位置,右键点击该连接,选择End Process即可结束该连接 </DIV>
<DIV style="TEXT-INDENT: 2em" align=left>五)、客户端口的状态变化 </DIV>
<DIV style="TEXT-INDENT: 2em" align=left>客户端口实际上就是从本机访问其它计算机服务时打开的源端口,最多的应用是上网,下面就以访问baidu.com为例来看看端口开放以及状态的变化情况。 </DIV>
<DIV style="TEXT-INDENT: 2em" align=left>1、SYN_SENT状态 </DIV>
<DIV style="TEXT-INDENT: 2em" align=left>SYN_SENT状态表示请求连接,当你要访问其它的计算机的服务时首先要发个同步信号给该端口,此时状态为SYN_SENT,如果连接成功了就变为ESTABLISHED,此时SYN_SENT状态非常短暂。但如果发现SYN_SENT非常多且在向不同的机器发出,那你的机器可能中了冲击波或震荡波之类的<a class="channel_keylink" href="http://hack.77169.com/List/List_40.html" target="_blank">病毒</a>了。这类<a class="channel_keylink" href="http://hack.77169.com/List/List_40.html" target="_blank">病毒</a>为了感染别的计算机,它就要扫描别的计算机,在扫描的过程中对每个要扫描的计算机都要发出了同步请求,这也是出现许多SYN_SENT的原因。 </DIV>
<DIV style="TEXT-INDENT: 2em" align=left>下面显示的是本机连接baidu.com网站时的开始状态,如果你的网络正常的,那很快就变为ESTABLISHED的连接状态。 </DIV>
<DIV style="TEXT-INDENT: 2em" align=left> </DIV><CCID_NOBR>
<DIV align=left>
<TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1>
<TBODY>
<TR>
<TD class=code style="FONT-SIZE: 9pt" bgColor=#e6e6e6><PRE><CCID_CODE> IEXPLORE.EXE:2928 TCP 192.168.1.10:1035 202.108.250.249:80 SYN_SENT</CCID_CODE></PRE></TD></TR></TBODY></TABLE></DIV></CCID_NOBR>
<DIV style="TEXT-INDENT: 2em" align=left>2、ESTABLISHED状态 </DIV>
<DIV style="TEXT-INDENT: 2em" align=left>下面显示的是本机正在访问baidu.com网站。如果你访问的网站有许多内容比如访问[url]www.yesky.com[/url],那会发现一个地址有许多ESTABLISHED,这是正常的,网站中的每个内容比如图片、flash等都要单独建立一个连接。看ESTABLISHED状态时一定要注意是不是IEXPLORE.EXE程序(IE)发起的连接,如果是EXPLORE.EXE之类的程序发起的连接,那也许是你的计算机中了<a class="channel_keylink" href="http://hack.77169.com/List/List_41.html" target="_blank">木马</a>了。 </DIV>
<DIV style="TEXT-INDENT: 2em" align=left> </DIV><CCID_NOBR>
<DIV align=left>
<TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1>
<TBODY>
<TR>
<TD class=code style="FONT-SIZE: 9pt" bgColor=#e6e6e6><PRE><CCID_CODE> IEXPLORE.EXE:3120 TCP 192.168.1.10:1045 202.108.250.249:80 ESTABLISHED</CCID_CODE></PRE></TD></TR></TBODY></TABLE></DIV></CCID_NOBR>
<DIV style="TEXT-INDENT: 2em" align=left>3、TIME_WAIT状态 </DIV>
<DIV style="TEXT-INDENT: 2em" align=left>如果浏览网页完毕,那就变为TIME_WAIT状态。 </DIV>
<DIV style="TEXT-INDENT: 2em" align=left> </DIV><CCID_NOBR>
<DIV align=left>
<TABLE cellSpacing=0 borderColorDark=#ffffff cellPadding=2 width=400 align=center borderColorLight=black border=1>
<TBODY>
<TR>
<TD class=code style="FONT-SIZE: 9pt" bgColor=#e6e6e6><PRE><CCID_CODE> [System Process]:0 TCP 192.168.1.10:4259 202.108.250.249:80 TIME_WAIT</PRE></TD></TR></TBODY></TABLE></DIV>
<DIV style="TEXT-INDENT: 2em" align=left>七)、要点 </DIV>
<DIV style="TEXT-INDENT: 2em" align=left>一般用户一定要熟悉(再啰嗦几句): </DIV>
<DIV style="TEXT-INDENT: 2em" align=left>1、服务端口重点要看的是LISTENING状态和ESTABLISHED状态,LISTENING是本机开了哪些端口, ESTABLISHED是谁在访问你的机器,从哪个地址访问的。 </DIV>
<DIV style="TEXT-INDENT: 2em" align=left>2、客户端口的SYN_SENT状态和ESTABLISHED状态,SYN_SENT是本机向其它计算机发出的连接请求,一般这个状态存在的时间很短,但如果本机发出了很多SYN_SENT,那可能就是中毒了。看ESTABLISHED状态是要发现本机正在和哪个机器传送数据,主要看是不是一个正常程序发起的。 </DIV>
<DIV style="TEXT-INDENT: 2em" align=left></p><p align='center'><b><a href='http://hack.77169.com/HTML/20061104005300.html'>上一页</a> <a href='http://hack.77169.com/HTML/20061104005300.html'>[1]</a> <font color='red'>[2]</font> <a href='http://hack.77169.com/HTML/20061104005300_3.html'>[3]</a> <a href='http://hack.77169.com/HTML/20061104005300_3.html'>下一页</a> </b></p></span> </td>
</tr>
</table>
<table cellSpacing=0 cellPadding=0 width="100%" border=0>
<TR>
<TD><div align="center">
<script>function copyToClipBoard(){ var clipBoardContent=document.location.href;clipBoardContent+='\r\n' + document.title;window.clipboardData.setData("Text",clipBoardContent);alert("复制成功,请用“粘贴”推荐给你的好友!\r\n\r\n内容如下:\r\n" + clipBoardContent);}</script>
<INPUT name="button" type=button title='点击复制标题和地址,发送给您网络上的好友!' onClick="copyToClipBoard()" value='点击复制本页地址,发送给您网络上的好友!'>
</div></TD>
</TR>
</TABLE>
<table width="100%" cellspacing="1" bgcolor="#959A90" >
<tr >
<td height="25" valign="middle" bgcolor="#F3F4EE" ><table width="600" border="0" align="right" cellpadding="0" cellspacing="0">
<tr>
<td width="400"><div align="right"> 责任编辑:华夏编辑6 联系方式 Email:华夏编辑6</div></td>
<td width="68" height="17"><img src="http://www.77169.com/Images/ucxogu/indextuku/email.gif" width="68" height="17" align="left" /></td>
<td width="125" valign="middle"><div align="center">电话:51228163</div></td>
</tr>
</table></td>
</tr>
<tr >
<td height="40" valign="middle" bgcolor="#F3F4EE" ><li>上一篇黑客: <a class='LinkPrevArticle' href='http://hack.77169.com/HTML/20061201005300.html' title='文章标题:选择好你的漏洞扫描工具
作 者:未知
更新时间:2006-12-1 0:53:00'>选择好你的漏洞扫描工具</a></li><br>
<li>下一篇黑客: <a class='LinkNextArticle' href='http://hack.77169.com/HTML/20061108005300.html' title='文章标题:顺利登入Gmail邮箱常用的七条技巧
作 者:未知
更新时间:2006-11-8 0:53:00'>顺利登入Gmail邮箱常用的七条技巧</a></li></td>
</tr>
<tr >
<td height="25" valign="middle" bgcolor="#F3F4EE" ><div align="right">【<a href="http://hack.77169.com/Comment.asp?ArticleID=68285" target="_blank">发表评论</a>】【<a href="http://www.77169.com/User/User_Favorite.asp?Action=Add&ChannelID=1010&InfoID=68285" target="_blank">加入收藏</a>】【<a href="http://hack.77169.com/SendMail.asp?ArticleID=68285" target="_blank">告诉好友</a>】【<a href="http://hack.77169.com/Print.asp?ArticleID=68285" target="_blank">打印此文</a>】【<a href="javascript:window.close();">关闭窗口</a>】</div></td>
</tr>
</table></td>
<td width="10" background="http://www.77169.com/Skin/2005/cnbbs_images/biao-5.gif"><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-5.gif" width="10" height="3"></td>
</tr>
</table>
<table width="100%" border="0" cellpadding="0" cellspacing="0" bgcolor="C6C9C3">
<tr>
<td width="10"><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-6.gif" width="10" height="11"></td>
<td><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-8.gif" width="100%" height="11"></td>
<td width="10"><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-7.gif" width="10" height="11"></td>
</tr>
</table>
<table width="100%" border="0" cellpadding="0" cellspacing="0" bgcolor="C6C9C3">
<tr>
<td width="10"><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-9.gif" width="10" height="11"></td>
<td><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-3.gif" width="100%" height="11"></td>
<td width="10"><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-10.gif" width="10" height="11"></td>
</tr>
</table>
<table width="100%" border="0" cellpadding="0" cellspacing="0" bgcolor="C6C9C3">
<tr>
<td width="10" background="http://www.77169.com/Skin/2005/cnbbs_images/biao-4.gif"><img src="http://www.77169.com/Skin/2005/cnbbs_images/biao-4.gif" width="10" height="2"></td>
<td><table cellSpacing=0 cellPadding=0 width="100%" border=0>
<tr>
<td class=main_title_575><table width="100%" border=0>
<tr>
<td width="17%" height=15><img src="http://www.77169.com/Skin/2005/sub/wypl.gif" width="98" height="13"></td>
<td width="83%">(只显示最新5条。评论内容只代表网友观点,与本站立场无关!)</td>
</tr>
</table></td>
</tr>
<tr>
<td height=4 vAlign=top class=main_tdbg_575><script language='javascript' src='http://count.77169.com/hack/Comment.asp?Action=JS&ArticleID=68285'></script>
</td>
</tr>
<tr>
<td class=main_tdbg_760><FORM name=form1 onsubmit="return Check();" action=http://count.77169.com/hack/Comment.asp method=post target=_blank>
<table class=main_tdbg_575 style="WORD-BREAK: break-all" cellSpacing=0 cellPadding=0 width=100% align=center border=0>
<tr>
<td><div align="right">姓 名:</div></td>
<td width=370><Input maxLength=16 name=Name>
<FONT color=red>* 游客填写 <a href='http://www.77169.com/Reg/User_Reg.asp' target=_blank>·注册用户</a></font></td>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -