談新時期下的網(wǎng)絡(luò)端口病毒預(yù)防技術(shù)

湯勇鋒

摘 要：端口在TCP/IP協(xié)議中具有重要作用，它負(fù)責(zé)將數(shù)據(jù)分組交付給正確進(jìn)程，而我們與網(wǎng)絡(luò)進(jìn)行信息交互又離不開TCP/IP協(xié)議。當(dāng)今網(wǎng)絡(luò)環(huán)境并不安全，黑客活動十分猖獗，端口也成為網(wǎng)絡(luò)黑客發(fā)動網(wǎng)絡(luò)攻擊的一個突破口。本文首先介紹端口的類型，探討端口發(fā)揮作用的原理，從而依據(jù)其原理提出一些有效地應(yīng)對基于網(wǎng)絡(luò)端口的病毒的防范策略，以期為人們在預(yù)防計算機(jī)病毒方面提供一些借鑒和思路。

關(guān)鍵詞：計算機(jī)網(wǎng)絡(luò)；端口；病毒；防范

1 端口的分類

端口一共有2的16次冪個，也就是有65536個端口號，其范圍是0～65535，端口按其范圍分成三類，分別是：（1）周知端口號：周知端口號的范圍是0～1023，從名字上也可以看出來，周知端口號也就是眾所周知的端口號，它們被固定地分配給一些特定服務(wù)，如HTTP服務(wù)使用的端口號為80，F(xiàn)TP服務(wù)使用的端口號為21，SMTP服務(wù)使用的端口號為25。（2）注冊端口號：注冊端口號的范圍是1024～49151，它們被分配給非系統(tǒng)的進(jìn)程或應(yīng)用程序，這些進(jìn)程或應(yīng)用程序主要是用戶進(jìn)程或用戶安裝的一些應(yīng)用程序，如知名的QQ聊天軟件客戶端使用的是8000端口號。（3）動態(tài)端口號：動態(tài)端口號的范圍是49152～65535，從字面意思也可以知道它不是固定分配給進(jìn)程的，而是動態(tài)分配。動態(tài)分配指的是當(dāng)一個進(jìn)程需要通過網(wǎng)絡(luò)進(jìn)行通信時，它會向主機(jī)申請一個端口號，這時主機(jī)會從未分配的動態(tài)端口號中選擇一個端口號分配給該進(jìn)程使用，當(dāng)進(jìn)程關(guān)閉時，分配給該進(jìn)程使用的端口號也隨之被釋放。

2 端口的作用

數(shù)據(jù)分組從源主機(jī)發(fā)出后到被目標(biāo)主機(jī)上對應(yīng)的進(jìn)程接收是一個非常復(fù)雜的過程，TCP/IP協(xié)議能夠確保發(fā)出的數(shù)據(jù)分組被目標(biāo)主機(jī)正確接收，那么，如何保證數(shù)據(jù)分組被交付給正確的進(jìn)程呢？這就是端口的作用！數(shù)據(jù)分組都會包含源主機(jī)IP地址，目標(biāo)主機(jī)IP地址，這樣可以使數(shù)據(jù)分組被交付給正確的目標(biāo)主機(jī)，同時數(shù)據(jù)分組的頭部信息中還包含有源端口號和目標(biāo)端口號，正是這兩個端口號使得數(shù)據(jù)分組能夠交付給正確的進(jìn)程。

3 防范基于網(wǎng)絡(luò)端口的病毒

3.1 監(jiān)視端口狀態(tài)

監(jiān)視本機(jī)的網(wǎng)絡(luò)端口的狀態(tài)可以使用netstat命令，netstat是在內(nèi)核中訪問網(wǎng)及相關(guān)信息的程序，它可以提供TCP和UDP監(jiān)聽的相關(guān)報告。一般常用的命令形式為netstat–na命令，其中-a顯示一個所有的有效連接信息列表，包括已建立的連接（ESTABLISHED），也包括監(jiān)聽連接請求（LISTENING）的那些連接，-n選項顯示所有已建立的有效連接。在控制臺窗口執(zhí)行netstat–na命令后效果如果2所示。

圖2中自左向右各個字段分別表示協(xié)議類型、本機(jī)IP地址和打開的端口號，遠(yuǎn)程主機(jī)IP地址和打開的端口號、連接狀態(tài)。在查詢了本機(jī)打開的端口后，可以察看是什么程序占用了某個端口，如要查詢占用81號端口的進(jìn)程，則運行命令netstat –ano|findstr “81”，得到如下結(jié)果：

TCP 192.168.0.14：50700 203.81.17.130：443 TIME_WAIT 0

TCP 192.168.0.14：50705 203.81.17.130：443 ESTABLISHED 4968

TCP 192.168.0.14：50709 203.81.17.130：443 TIME_WAIT 0

其中最后的數(shù)字代表進(jìn)程ID，如要查看ID為4968的進(jìn)程，則可運行命令tasklist|findstr“4968”，得到如下結(jié)果：

AmazonCloudDriveW.exe 4968 Console 1 53，676 K

由進(jìn)程名稱知該進(jìn)程是Amazon云計算的服務(wù)。一旦發(fā)現(xiàn)可疑端口號后迅速找出占用該端口號的進(jìn)程，若該進(jìn)程既不是系統(tǒng)進(jìn)程也不是用戶安裝的程序產(chǎn)生的進(jìn)行，那么計算機(jī)就極有可能被病毒入侵，應(yīng)立即殺死該進(jìn)程。

3.2 關(guān)閉高危端口

默認(rèn)情況下Windows操作系統(tǒng)開放許多端口，這些端口通常情況下用戶不需要使用，但卻非常容易遭黑客攻擊。此類高危端口主要有TCP協(xié)議的139、445、593和1025端口，UDP協(xié)議的123、137、138、445、1900端口，同時還有一些流行病毒的后門端口2513、2745、3217和6129端口，對于此類端口如不需要使用時就及時關(guān)閉。如要關(guān)閉139端口，則在控制臺中運行命令netsh firewall set portopening TCP 139 DISABLE就可以關(guān)閉139端口，從而減少被黑客攻擊的幾率。

3.3 使用防火墻系統(tǒng)

防火墻一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，它功能強(qiáng)大，使用起來又非常簡單，安裝防火墻系統(tǒng)可以有效地阻止端口掃描，極大地提高系統(tǒng)的安全系數(shù)。

[參考文獻(xiàn)]

[1]湯建龍.Windows系統(tǒng)網(wǎng)絡(luò)端口的安全防范[J].沙洲職業(yè)工學(xué)院學(xué)報.2010（06）.

[2]石利平.基于TCP協(xié)議的端口掃描技術(shù)[J].電腦開發(fā)與應(yīng)用.2011（01）.