网络安全基础之端口

网络安全基础之端口

一、什么是端口

         Internet的通用语言是TCP/TP，它是一组协议，它规定在网络的第四层运输层有两种协议TCP、UDP。端口就是这两个协议打开的，端口分为 源端口和目的端口，源端口是本机打开的，目的端口是正在和本机通信的另一台计算机的端口，源端口分主动打开的客户端口和被动连接的服务端口两种。在 Internet中，你访问一个网站时就是在本机开个端口去连网站服务器的一个端口，别人访问你时也是如此。

二、查看端口的方法 

1、命令方式（nestat -na）
        在cmd下键入netstat -na。
        图中显示的就是打开的服务端口，该图中可以看出有TCP和UDP两种协议。本机地址中冒号后的数字就是开放的端口号。外部地址中显 示的是你通信中的机器地址。状态中显示的LISTENING表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。注意：只有TCP协议的 服务端口才能处于LISTENING状态。在win7中nestat -na和netstat -an是一样的。

2、用TCPView工具
        为了更好的分析端口，最好用TCPView这个软件，该软件很小，而且是个绿色软件，不用安装。
        下图是TCPView的运行界面。第一次显示时字体有些小，在"Options"->"Font"中将字号调大即可。TCPView显示的数据是动 态的。图中Local Address显示的就是本机开放的哪个端口（：号后面的数字），TCPView可以看出哪个端口是由哪个程序发起的。

三、服务端口的状态变化

1、LISTENING状态
       State显示是LISTENING时表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。就像你房子的门已经敞开的，但还没有人进来。
2、ESTABLISHED状态
       ESTABLISHED的意思是建立连接。表示两台机器正在通信。注意：处于ESTABLISHED状态的连接一定要格外注意，因为它也许不是个正常连接。
3、 TIME_WAIT状态
       TIME_WAIT的意思是结束了这次连接。说明21端口曾经有过访问，但访问结束了。

四、要点

       一般用户一定要熟悉：
       1、服务端口重点要看的是LISTENING状态和ESTABLISHED状态，LISTENING是本机开了哪些端口，ESTABLISHED是谁在访问你的机器，从哪个地址访问的。
       2、客户端口的SYN_SENT状态和ESTABLISHED状态，SYN_SENT是本机向其它计算机发出的连接请求，一般这个状态存在的时间很短，但 如果本机发出了很多SYN_SENT，那可能就是中毒了。看ESTABLISHED状态是要发现本机正在和哪个机器传送数据，主要看是不是一个正常程序发 起的
       3、总之要记住，查看端口的命令，以及端口的状态，可以使用TCPview，360,金山等安全工具查看网络连接，如果发现不正常的网络连接，要引起注意。