基于網(wǎng)絡(luò)端口的病毒防范技術(shù)分析

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

1 引言

在網(wǎng)絡(luò)技術(shù)中，端口(Port)的意思有多種：集線器、交換機(jī)、路由器的端口是指連接其他網(wǎng)絡(luò)設(shè)備的接口，如RJ-45端口、Serial端口等。這里所指的端口不是指物理意義上的端口，而是特指TCP/IP協(xié)議中的端口，是邏輯意義上的端口。那么TCP/IP協(xié)議中的端口指的是什么呢? Intemet的通用語(yǔ)言是TCP/TP，它是一組協(xié)議，它規(guī)定在網(wǎng)絡(luò)的第四層運(yùn)輸層有兩種協(xié)議TCP、UDP。端口就是這兩個(gè)協(xié)議打開的。當(dāng)我們?cè)L問一個(gè)網(wǎng)站時(shí)，就是在本機(jī)開個(gè)端口去連網(wǎng)站服務(wù)器的一個(gè)端口，別人訪問我們時(shí)也是如此。也就是說(shuō)，計(jì)算機(jī)的通訊就像我們互相串門一樣，從這個(gè)門走進(jìn)那個(gè)門，而病毒與黑客也是會(huì)想方設(shè)法由這些門(端口)入侵。統(tǒng)計(jì)數(shù)據(jù)顯示：約90％的攻擊來(lái)自蠕蟲，蠕蟲病毒具有反復(fù)攻擊的特性，它們會(huì)尋找同一端口并大規(guī)模入侵這些端口。96％的掃描集中在端口。

2 TCP網(wǎng)絡(luò)端口類型分析

TCP使用端口來(lái)識(shí)別出一臺(tái)主機(jī)所擁有的不同的TCP連接，端口范圍為o-65535，每一項(xiàng)服務(wù)都對(duì)應(yīng)相應(yīng)的端口，比如，眾所周知的WWW服務(wù)的端口是80，Smtp是25，ftp是端口,可分為3大類：

(1)熟知端口(Well Known Ports)：從0到1023，它們緊密綁定于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的協(xié)議。常用的熟知端口如表l所示。

表1常用的熟知端口

(2)注冊(cè)端口(Registered Pons)：從1024到49151。它們松散地綁定于一些服務(wù)，也就是說(shuō)有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其他目的。

(3)動(dòng)態(tài)和/或私有端口(Dynamic and/or PrivatePorts)：從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口。實(shí)際上，機(jī)器通常從1024起分配動(dòng)態(tài)端口。

3 端口狀態(tài)分析

查看系統(tǒng)正在使用的端口狀態(tài)和動(dòng)作，可用命令netstat及常用的監(jiān)控軟件TCPView、Active Ports、IPTools等。在TCP/IP協(xié)議中，IP加端口構(gòu)成套接字Socket，是網(wǎng)絡(luò)定位方法之一。而Socket有3種，一種是操作系統(tǒng)自身使用的系統(tǒng)Socket，另一種是普通應(yīng)用程序使用的普通Socket；最后一種是隱藏Socket，它在操作系統(tǒng)的任務(wù)列表中是看不到的。黑客程序大多使用隱藏Socket。功能較強(qiáng)的監(jiān)控軟件IceSword(冰刃)、PortExplore就可以將隱藏Socket用紅色顯示出來(lái)并有關(guān)閉功能。

3．1下面列出上述軟件監(jiān)控窗口中各參數(shù)的中英文對(duì)照

表2各參數(shù)中英文對(duì)照