端口与IP策略

一、端口（port）

1、可认为是计算机与外界信息交流的进/出口。硬件领域的如usb端口、串行端口等。软件领域的端口，一般指网络中用来连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和i/o（基本输入/输出）缓冲区。网络技术中的端口，通常是特指tcp/ip协议中的端口，是逻辑意义上的端口。

2、在网络上，各电脑间通过tcp/ip协议发送和接收数据包，大多数电脑操作系统（比如xp）都支持多程序（进程）-----比如上网看新闻、玩游戏、聊天、下载......同时进行。那么系统接收到的数据包传送给同时运行的程序中的哪一个呢？为什么这麽多程序可以同时进行呢？

3、因为电脑中的操作系统会给那些有需求的进程分配协议端口来提供不同的服务，比如：通常tcp/ip协议规定web（网页）采用80号端口，ftp（下载）采用21号端口等，而邮件服务器是采用25号端口等等。

4、这样，电脑在接收到数据包后，将根据目的端口号，把数据发送至相应端口进行处理，通过不同端口，计算机就可以与外界进行互不干扰的通信。

5、不光接受数据包的进程需要开启它自己的端口，发送数据包的进程也需要开启端口，数据包中会标识有源端口，以便接受方能顺利的回传相应的数据包到这个端口。


二、端口的分类

1、从端口的性质来分，通常可以分为以下三类：

1）.公认端口：也常称为常用端口。端口号从0到1024，它们紧密绑定于一些特定的服务。通常是不可再重新定义它的作用对象。例如：80端口总是http通信所使用等等

2）.注册端口：端口号从1025到49151。它们松散地绑定于一些服务。有许多服务绑定于这些端口，多数没有明确的定义服务对象，不同程序可根据实际需要自己定义，如后面要介绍的远程控制软件和木马程序中都会有这些端口的定义的。

3）.动态和/或私有端口：端口号从49152到65535。理论上不应把常用服务分配在这些端口上。但有些较为特殊的程序，特别是一些木马程序就非常喜欢用这些端口，因为这些端口常常不被引起注意，容易隐蔽。


4）.本地端口（源端口）：你的电脑（本地）打开的，可以对外界提供服务或与外界进行连接的端口。

5）.远程端口（目的端口）：正在和本机通信的另一台计算机的端口，所有可以与外界（包括你的电脑）进行连接的其他电脑或服务器的端口。


2、tcp协议端口和udp协议端口：

计算机之间相互通信一般采用这两种通信协议。由于tcp和udp 两个协议是独立的，因此各自的端口号也相互独立，比如tcp有235端口，udp也可以有235端口，两者并不冲突。

a、使用tcp协议

端口的服务主要有以下几种：

1）ftp：定义了文件传输协议，使用21端口。常说某某计算机开了ftp服务便是启动了文件传输服务。下载文件、上传主页，都要用到ftp服务。

2）telnet：一种用于远程登陆的端口，用户可以用自己的身份远程连接到计算机上，通过这种端口可以提供一种基于dos模式下的通信服务。

3）smtp：简单邮件传送协议，现在很多邮件服务器都用的是这个协议，用于发送邮件。服务器开放的是25号端口。

4）pop3：和smtp对应，用于接收邮件。通常情况下用的是110端口。只要有相应的使用pop3协议的程序（例如foxmail或outlook），可以不以web方式登陆进邮箱界面，直接用邮件程序就可以收到邮件（如163邮箱就没有必要先进入网易了）。

b、使用udp协议端口的服务主要有以下几种：

1）http：用得最多的协议，它就是常说的"超文本传输协议"。上网浏览网页时，就得在提供网页资源的计算机上打开80号端口以提供服务。常说的www服务、web服务器用的就是这个端口。

2）dns：用于域名解析服务，访问计算机的时候只需要知道域名，域名和ip地址之间的变换由dns服务器来完成。dns用的是53号端口。

3）snmp：简单网络管理协议，161号端口，用来管理网络设备的。由于网络设备很多，无连接的服务就体现出其优势。

4）oicq：oicq聊天程序，用的是无连接的udp协议。oicq服务器是使用8000号端口，侦听是否有信息到来，客户端使用4000号端口，向外发送信息。


3、代理服务器常用以下端口：

1）、http协议代理服务器常用端口号：80、8080、3128、8081、9080

2）、socks代理协议服务器常用端口号：1080

3）、ftp协议代理服务器常用端口号：21

4）、telnet协议代理服务器常用端口：23


三、端口在入侵中的作用:

1、打个比方，如果把电脑主机比作房间，那么可以把端口比作通向不同房间（电脑主机）的门，入侵者要进入房间，了解这所房子有几扇门、都是什么样的门、门后面有什么东西就显得至关重要。

2、入侵者通常会用扫描器对目标电脑的端口进行扫描，以确定哪些端口是开放的。从开放的端口，可以知道目标电脑大致提供了哪些服务，进而猜测到这个系统可能存在的漏洞来选择下一步的入侵方式。

3、电脑端口数最大可以有65535个，但是实际常用的端口才几十个，由此可以看出未定义的端口相当多。h客程序都可以采用某种方法，给木马定义出一个特殊的端口来达到入侵的目的。

4、为了定义出这个端口，就要依靠某种程序在计算机启动之前自动加载到内存，强行控制计算机打开那个特殊的端口。这个程序就是后门程序

，这些后门程序就是常说的木马程序。

5、简单的说，这些木马程序在入侵前是先通过某种手段在一台个人计算机中植入一个程序，打开某个特定的端口（后门），使这台电脑变成一台开放性极高（用户拥有极高权限）的ftp服务器（肉鸡），然后从后门就可以达到侵入的目的。

6、举个例子，如果你不小心运行了**木马，那么它就会告诉windows，以后每次开电脑的时候都要运行它，然后，**木马又在你的电脑上开了一扇门，门的编号是7306端口，只要你上网，这个端口就开放。其他的h客只要通过扫描，知道你的7306端口是开放的，就可以用软件进到电脑中来。


四、端口监听和端口扫描。


1、端口侦听：

1)、正常来说，是指主机中负责网络通讯的进程在接受到ip数据包后，察看数据包的目标端口是不是自己的端口号，如果是的话就接受该数据包进行处理。进行网络通讯的主机，既要发送数据，也要接受数据，所以就要开启相应的端口以接受数据。主机有可能开启多个网络进程（如浏览网页又上qq），也就是监听了多个端口。

2）、利用某种程序对目标计算机的端口进行监视，查看目标计算机上有哪能些端口是空闲、可以利用的。通过侦听还可以捕获别人或自己的有用的信息，可以用侦听程序来保护自己的计算机，在自己计算机的选定端口进行监视，这样可以发现并拦截一些黑客的攻击。

3）、以太网（ethernet）协议的工作方式：将要发送的数据包发往连接在一起的所有计算机。在包头中包括有应该接收数据包的计算机的正确地址，因为只有与数据包中目标地址一致的那台计算机才能接收到信息包。但是当计算机工作在侦听模式下，不管数据包中的目标物理地址是什么，计算机都将可以接收到。

4）、网络接口不会识别ip地址的，在网络接口中，由ip协议层来的带有ip地址的数据包又增加了一部分以太网的帧头信息。在帧头中，有两个域分别为只有网络接口才能识别的源计算机和目的计算机的物理地址，这是一个48位的地址，这个48位的地址是与 ip地址相对应的。换句话说，一个ip地址也会对应一个物理地址。

5）、端口侦听属于一种被动的过程，等待别人的连接的出现，通过对方的连接才能侦听到需要的信息。在防护应用中，如果通过软件设置了当侦听到有异常连接，立即向用户报告这个功能时，就可以有效的监听h客的连接企图，及时把驻留在本机上的木马程序清除掉。这个侦听程序一般是安装在目标计算机上。h客用的端口侦听通常是指木马驻留在服务器（肉鸡）端，等待肉鸡在进行正常活动时，捕获黑客需要的信息，然

后通过udp协议无连接方式发送给h客。

2、端口扫描：

1）、通过连接到目标系统的tcp协议或udp协议端口，来确定什么服务正在运行，然后获取相应的用户信息。

2）、端口扫描则是一种主动过程，它是主动对目标计算机的选定端口进行扫描，实时地发现所选定端口的所有活动（特别是对一些网上活动）。扫描程序一般是安装在客户端，但是它与服务器端的连接也主要是通过无连接方式的udp协议连接进行。

3）、在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在侦听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。端口侦听在网络中的任何一个位置模式下都可实施进行，而h客一般都是利用端口侦听来截取用户口令。现在的这类软件干脆把两个功能都集成在一块。

4）、用同一信息，对目标计算机的所有需要扫描的端口进行发送，然后根据返回的端口状态来分析目标计算机的某些端口是否打开、是否可用。端口扫描行为的一个重要特征是：在短时期内，有很多来自相同的源地址传向不同的目的地端口的数据包。

5）、隐藏源地址的方法是发送大量的欺骗性的端口扫描包（1000个），其中只有一个是从真正的源地址来的。这样，即使全部包（1000）都被察觉，被记录下来，也没有人知道哪个是真正的信源地址。能发现的仅仅是"曾经被扫描过"。所以h客们才乐此不彼的大量使用这种端口扫描技术，来达到他们获取目标计算机信息、并进行恶意攻击。


3、端口扫描器：用来扫描监听端口的软件。

1）、识别目标系统上正在运行的tcp协议和udp协议服务。2）、识别目标系统的操作系统类型。3）、识别某个应用程序或某个特定服务的版本号。4）、发现一个计算机或网络的能力；5）、一旦发现一台计算机，就有发现目标计算机正在运行什么服务的能力；6）、通过测试目标计算机上的这些服务，发现存在的漏洞的能力。

五、保护好自己的端口

1、查看：经常用命令或软件查看电脑所开放的端口，看是否有可疑端口。

2、判断：如果开放端口中有你不熟悉的，应该马上查找端口大全或木马常见端口等资料，看看里面对你那个可疑端口的作用描述，或者通过软件查看开启此端口的进程来进行判断。

3、关闭：如果真是木马端口或者资料中没有这个端口的描述，那么应该关闭此端口，你可以用防火墙来屏蔽此端口，也可以用本地连接→tcp/ip→高级→选项→tcp/ip筛选→启用筛选机制来筛选端口。

4、注意：判断时候要慎重，因为一些动态分配的端口也容易引起你多余的怀疑，这类端口一般比较

低，且连续。还有一些狡猾的木马软件，会借用80（常规上网端口）等一些常见端口来进行通信，这表明该木马已经穿透了防火墙的防护，令人防不胜防，因此不轻易运行陌生程序才是关键。


六、查看端口的相关命令和工具

1、开始→运行→输入cmd→打开命令行窗口→输入netstat -an（注意空格）。

active connections（当前本机活动连接）

proto local address foreign address state
协议名称 本地ip和端口号 对方ip和端口号 tcp连接状态，udp无显示

tcp 0.0.0.0:135 0.0.0.0:0 listening

tcp 0.0.0.0:445 0.0.0.0:0 listening

tcp 0.0.0.0:1025 0.0.0.0:0 listening

tcp 0.0.0.0:1026 0.0.0.0:0 listening

tcp 0.0.0.0:1028 0.0.0.0:0 listening

tcp 0.0.0.0:3372 0.0.0.0:0 listening

udp 0.0.0.0:135 *:*

udp 0.0.0.0:445 *:*

udp 0.0.0.0:1027 *:*

udp 127.0.0.1:1029 *:*

udp 127.0.0.1:1030 *:*


2、这是没上网的时候机器所开的端口，两个135和445是固定端口，其余几个都是动态端口。

3、服务端口的状态变化:

1）、listening状态：处于监听状态，就是说该端口是开放的，等待连接，但还没有被连接。

2）、established状态：建立连接。表示两台机器正在通信。

3）、time_wait状态：结束了这次连接。


4、客户端口的状态变化:

1）、syn_sent状态：请求连接，当你要访问其它的计算机的服务时,首先要发个同步信号给该端口

2）、established状态：正在连接通信中.

5、查看端口的软件：

fport.exe、mport.exe、activeport.exe、superscan3.0、fport2.0都是专门查看端口的，很多防火墙也都可以查看。


6、这些方法可以轻松的发现基于tcp/udp协议的木马，但是如果碰上反弹木马、利用驱动程序及动态链接库技术制作的新木马时，以上这些方法就很难查出木马的端口使用痕迹（因为它们可以隐藏自己使用的端口）。



七、通过ip安全策略关闭端口


第一步

开始菜单→设置→控制面板→管理工具→本地安全策略→ip安全策略 在本地计算机→在右边窗格的空白位置→右击鼠标→弹出快捷菜单→创建ip安全策略→弹出创建向导→下一步→为新的安全策略命名→下一步→安全通信请求→激活默认相应规则→左边的钩去掉→完成→创建了一个新的ip安全策略。


第二步

右键单击该ip安全策略→属性对话框→使用添加向导→左边的钩去掉→添加→添加新的规则→新规

则属性对话框→添加→弹出ip筛选器列表窗口→使用添加向导→左边的钩去掉→添加→添加新的筛选器。


第三步

筛选器属性对话框→寻址→源地址→任何ip地址→目标地址选→我的ip地址→协议选项卡→选择协议类型的下拉列表中→选择tcp→到此端口下的文本框中→输入135→确定→这样就添加了一个屏蔽 tcp/135端口的筛选器，可以防止外界通过135端口连上你的电脑→确定→回到筛选器列表的对话框→可以看到已经添加了一条策略

重复以上步骤继续添加 tcp 137、139、445、593 端口和 udp 135、139、445 端口，为它们建立相应的筛选器。重复以上步骤添加tcp 1025、2745、3127、6129、3389 端口的屏蔽策略→建好上述端口的筛选器→确定


第四步

新规则属性对话框中→新ip筛选器列表→点击其左边的圆圈→上加一个点，表示已经激活→筛选器操作选项卡→使用添加向导→左边的钩去掉→添加→阻止→新筛选器操作属性→安全措施选项卡→阻止→确定


第五步

进新规则属性对话框→新筛选器操作→其左边的圆圈会加了一个点，表示已经激活→关闭→关闭对话框→回到新ip安全策略属性对话框→新的ip筛选器列表→左边打钩→确定→关闭对话框→本地安全策略窗口→鼠标右击新添加的ip安全策略→指派。


重新启动后，电脑中上述网络端口就被关闭了，病毒和h客再也不能连上这些端口，从而保护了你的电脑。