湯勇鋒

摘 要：端口在TCP/IP協(xié)議中具有重要作用，它負責將數(shù)據(jù)分組交付給正確進程，而我們與網(wǎng)絡進行信息交互又離不開TCP/IP協(xié)議。當今網(wǎng)絡環(huán)境并不安全，黑客活動十分猖獗，端口也成為網(wǎng)絡黑客發(fā)動網(wǎng)絡攻擊的一個突破口。本文首先介紹端口的類型，探討端口發(fā)揮作用的原理，從而依據(jù)其原理提出一些有效地應對基于網(wǎng)絡端口的病毒的防范策略，以期為人們在預防計算機病毒方面提供一些借鑒和思路。

關鍵詞：計算機網(wǎng)絡；端口；病毒；防范

1 端口的分類

端口一共有2的16次冪個，也就是有65536個端口號，其范圍是0～65535，端口按其范圍分成三類，分別是：（1）周知端口號：周知端口號的范圍是0～1023，從名字上也可以看出來，周知端口號也就是眾所周知的端口號，它們被固定地分配給一些特定服務，如HTTP服務使用的端口號為80，F(xiàn)TP服務使用的端口號為21，SMTP服務使用的端口號為25。（2）注冊端口號：注冊端口號的范圍是1024～49151，它們被分配給非系統(tǒng)的進程或應用程序，這些進程或應用程序主要是用戶進程或用戶安裝的一些應用程序，如知名的QQ聊天軟件客戶端使用的是8000端口號。（3）動態(tài)端口號：動態(tài)端口號的范圍是49152～65535，從字面意思也可以知道它不是固定分配給進程的，而是動態(tài)分配。動態(tài)分配指的是當一個進程需要通過網(wǎng)絡進行通信時，它會向主機申請一個端口號，這時主機會從未分配的動態(tài)端口號中選擇一個端口號分配給該進程使用，當進程關閉時，分配給該進程使用的端口號也隨之被釋放。

2 端口的作用

數(shù)據(jù)分組從源主機發(fā)出后到被目標主機上對應的進程接收是一個非常復雜的過程，TCP/IP協(xié)議能夠確保發(fā)出的數(shù)據(jù)分組被目標主機正確接收，那么，如何保證數(shù)據(jù)分組被交付給正確的進程呢？這就是端口的作用！數(shù)據(jù)分組都會包含源主機IP地址，目標主機IP地址，這樣可以使數(shù)據(jù)分組被交付給正確的目標主機，同時數(shù)據(jù)分組的頭部信息中還包含有源端口號和目標端口號，正是這兩個端口號使得數(shù)據(jù)分組能夠交付給正確的進程。

3 防范基于網(wǎng)絡端口的病毒

3.1 監(jiān)視端口狀態(tài)

監(jiān)視本機的網(wǎng)絡端口的狀態(tài)可以使用netstat命令，netstat是在內(nèi)核中訪問網(wǎng)及相關信息的程序，它可以提供TCP和UDP監(jiān)聽的相關報告。一般常用的命令形式為netstat–na命令，其中-a顯示一個所有的有效連接信息列表，包括已建立的連接（ESTABLISHED），也包括監(jiān)聽連接請求（LISTENING）的那些連接，-n選項顯示所有已建立的有效連接。在控制臺窗口執(zhí)行netstat–na命令后效果如果2所示。

圖2中自左向右各個字段分別表示協(xié)議類型、本機IP地址和打開的端口號，遠程主機IP地址和打開的端口號、連接狀態(tài)。在查詢了本機打開的端口后，可以察看是什么程序占用了某個端口，如要查詢占用81號端口的進程，則運行命令netstat –ano|findstr “81”，得到如下結果：

TCP 192.168.0.14：50700 203.81.17.130：443 TIME_WAIT 0

TCP 192.168.0.14：50705 203.81.17.130：443 ESTABLISHED 4968

TCP 192.168.0.14：50709 203.81.17.130：443 TIME_WAIT 0

其中最后的數(shù)字代表進程ID，如要查看ID為4968的進程，則可運行命令tasklist|findstr“4968”，得到如下結果：

AmazonCloudDriveW.exe 4968 Console 1 53，676 K

由進程名稱知該進程是Amazon云計算的服務。一旦發(fā)現(xiàn)可疑端口號后迅速找出占用該端口號的進程，若該進程既不是系統(tǒng)進程也不是用戶安裝的程序產(chǎn)生的進行，那么計算機就極有可能被病毒入侵，應立即殺死該進程。

3.2 關閉高危端口

默認情況下Windows操作系統(tǒng)開放許多端口，這些端口通常情況下用戶不需要使用，但卻非常容易遭黑客攻擊。此類高危端口主要有TCP協(xié)議的139、445、593和1025端口，UDP協(xié)議的123、137、138、445、1900端口，同時還有一些流行病毒的后門端口2513、2745、3217和6129端口，對于此類端口如不需要使用時就及時關閉。如要關閉139端口，則在控制臺中運行命令netsh firewall set portopening TCP 139 DISABLE就可以關閉139端口，從而減少被黑客攻擊的幾率。

3.3 使用防火墻系統(tǒng)

防火墻一種位于內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的網(wǎng)絡安全系統(tǒng)，它功能強大，使用起來又非常簡單，安裝防火墻系統(tǒng)可以有效地阻止端口掃描，極大地提高系統(tǒng)的安全系數(shù)。

[參考文獻]

[1]湯建龍.Windows系統(tǒng)網(wǎng)絡端口的安全防范[J].沙洲職業(yè)工學院學報.2010（06）.

[2]石利平.基于TCP協(xié)議的端口掃描技術[J].電腦開發(fā)與應用.2011（01）.