基于網(wǎng)絡端口的病毒防范技術(shù)分析

申請免費試用、咨詢電話：400-8352-114

1 引言

在網(wǎng)絡技術(shù)中，端口(Port)的意思有多種：集線器、交換機、路由器的端口是指連接其他網(wǎng)絡設備的接口，如RJ-45端口、Serial端口等。這里所指的端口不是指物理意義上的端口，而是特指TCP/IP協(xié)議中的端口，是邏輯意義上的端口。那么TCP/IP協(xié)議中的端口指的是什么呢? Intemet的通用語言是TCP/TP，它是一組協(xié)議，它規(guī)定在網(wǎng)絡的第四層運輸層有兩種協(xié)議TCP、UDP。端口就是這兩個協(xié)議打開的。當我們訪問一個網(wǎng)站時，就是在本機開個端口去連網(wǎng)站服務器的一個端口，別人訪問我們時也是如此。也就是說，計算機的通訊就像我們互相串門一樣，從這個門走進那個門，而病毒與黑客也是會想方設法由這些門(端口)入侵。統(tǒng)計數(shù)據(jù)顯示：約90％的攻擊來自蠕蟲，蠕蟲病毒具有反復攻擊的特性，它們會尋找同一端口并大規(guī)模入侵這些端口。96％的掃描集中在端口。

2 TCP網(wǎng)絡端口類型分析

TCP使用端口來識別出一臺主機所擁有的不同的TCP連接，端口范圍為o-65535，每一項服務都對應相應的端口，比如，眾所周知的WWW服務的端口是80，Smtp是25，ftp是端口,可分為3大類：

(1)熟知端口(Well Known Ports)：從0到1023，它們緊密綁定于一些服務。通常這些端口的通訊明確表明了某種服務的協(xié)議。常用的熟知端口如表l所示。

表1常用的熟知端口

(2)注冊端口(Registered Pons)：從1024到49151。它們松散地綁定于一些服務，也就是說有許多服務綁定于這些端口，這些端口同樣用于許多其他目的。

(3)動態(tài)和/或私有端口(Dynamic and/or PrivatePorts)：從49152到65535。理論上，不應為服務分配這些端口。實際上，機器通常從1024起分配動態(tài)端口。

3 端口狀態(tài)分析

查看系統(tǒng)正在使用的端口狀態(tài)和動作，可用命令netstat及常用的監(jiān)控軟件TCPView、Active Ports、IPTools等。在TCP/IP協(xié)議中，IP加端口構(gòu)成套接字Socket，是網(wǎng)絡定位方法之一。而Socket有3種，一種是操作系統(tǒng)自身使用的系統(tǒng)Socket，另一種是普通應用程序使用的普通Socket；最后一種是隱藏Socket，它在操作系統(tǒng)的任務列表中是看不到的。黑客程序大多使用隱藏Socket。功能較強的監(jiān)控軟件IceSword(冰刃)、PortExplore就可以將隱藏Socket用紅色顯示出來并有關(guān)閉功能。

3．1下面列出上述軟件監(jiān)控窗口中各參數(shù)的中英文對照

表2各參數(shù)中英文對照