史萊姆論壇 - 連接埠監視軟體套用實例

連接埠監視軟體套用實例

連接埠監視，是維護系統，保證安全的重要手段。本文通過幾個例子來講述，如何使用軟體進行有效的監視．

第一個案例：連接埠佔用

其實如果是簡單的檢視連接埠佔用情況，我們用「netstat -a -n -o」or
NETSTAT -AON ..............
就可以顯示當前哪些連接埠被佔用？不過問題顯而易見的「不直觀，信息量少」。

我推薦個小軟體：

Active Ports 1.4

Active Ports 是一款執行於 Windows 下，非常容易使用的網路連接監測工具。通過它，用戶能檢測本機機上所有 TCP/IP 和 UDP 連接，並且它能將活動連接埠對應的應用程式也列出來。網路管理員利用此工具，能察看伺服器是否存在非法連結。

最新下載：　　
http://www.zdnet.com.cn/download/win...017281s,00.htm
Active Ports V1.4 免安裝漢化版
http://51zz.com:81/SoftView.asp?SoftID=6196

軟體執行界面如下：

界面一目瞭然，Process（工作名）， PID（工作號）Local　IP（本機IP），Local　Port（本機連接埠），Remote　IP（遠端IP），Remote Port（遠端連接埠），State（狀態），Protocol（傳輸協定），Path（程序路徑）

第一個案例：解決連接埠衝突

事情是這樣的：我要用自己的機器建立代理伺服器，給他人提供上網的機會，不過問題就是，執行CCPROXY，就發現如下錯誤

呵呵，FTP代理啟動失敗，看來可能是連接埠佔用問題！檢視了一下CCProxy連接埠設定情況，FTP服務要求佔用2121連接埠，只要我們查出那個程序佔用了2121連接埠就可以，於是執行Active Ports檢視，情況如圖，大家注意紅線和箭頭位置：

ServUDamemon！查google就知道ServUDaemon.exe（Serv-U引擎）其實是一個常駐後台的程序，也是Serv-U整個軟體的心臟部分，它負責處理來自各種FTP客戶端軟體的FTP指令，也是負責執行各種文件傳送的軟體。

大家就明白了吧？我機器曾經測試Serv-U，而且將連接埠號該成了2121，以後雖然關了程序而Serv-U預設服務模式還是佔用了連接埠2121，造成和CCProxy衝突，知道原因解決問題很簡單完全關閉Serv-U服務，CCProxy衝突就執行正常了。

多說一句，類似工具還有antiy ports 和　fpor 不過在案例１中只有 Active Ports能看到2121佔用，這是我選項Active Ports的原因，更使人高興的是，它還提供了一個關閉工作的功能（左下Terminate　 Process），在你用它發現木馬開放的連接埠時，可以立即將連接埠關閉。

Active Ports另外一個優點，能用顏色表明當前正在進行資料傳輸的工作，非常棒的功能！

第二個案例：木馬檢測

我的機器很高階（不過是４年前嘍），我為了加快機器速度，病毒防火牆和網路防火牆是一個也沒安（上帝原諒我，XDJM別學我）。

我的理論，是中毒我不怕，憑借自己的經驗，機器變慢，出現不明文件，我都很敏感，差不多用鼻子就能聞出來（吹個牛皮嘍　^_^）；
至於木馬嗎？
是有點怕，但是我有我的「高明」辦法，我關閉了系統及軟體的所有自動昇級，在XP裡面開啟了「本機連接」和我的ADSL連接的「連接後在通知區域顯示圖示」選項，我的右下托盤區就有兩個互連圖示，當我關上所有應用程式事後，這兩個連接圖示應該是暗的，應該不會有亮的情況，因為木馬一般都是要像外傳送信息的，如果亮的不明不白我就會小心！

所以有一次，當我關閉全部網路應用程式時候，竟然看見兩個小圖示在亮，FT！有東西！
在我鄭重裝殺毒軟體前我要驗證一下，執行Active Ports，如下圖（這裡有個技巧，要先中斷連線ADSL網路，再連接，如果正常，不會有圖示一直閃亮，如果有木馬可就不一定了）

看上，system32目錄下的internet.exe很異常，到google去搜尋「system32 internet.exe」，呵呵，好多木馬病毒都這麼干啊！
安裝執行木馬剋星

再安裝執行AVP

55555，Backdoor.Nethief.39，真沒面子中了這麼老的木馬病毒！

第三個案例，檢查非病毒不明程序

第二個例子有人說，我有防火牆，不怕，可是，有的時候當你發現有來歷不明的網路連接，而又查不出來病毒和木馬的時候，不妨用Active Ports看看網路情況！

那時侯突然發現自己的兩個互連圖示小燈偶爾要亮一兩下，時間很短，查毒沒有顯示。亮燈不怕，當你發現在你不注意這燈悄悄亮的時侯這才最要命的，這樣我就祭起我的法寶－翻天印Active Ports。

為了減少其他程序干擾，我將其他能關的程序都關了，看看

呵呵，最讓人懷疑的比較特殊的只有一個上紅線指示D:\Program Files\Common Files\GMT\GMT.exe。
為了看這程序是不是真的傳送接收資料包，我等啊等，等得好辛苦最終等到了下面的圖片

這可以證明了肯定是和網際網路進行了聯繫，於是我調動了google，最後還是在CCF論壇搜尋到了比較確切的答案：GMT.exe 免費DIVX帶的廣告程序，處理也很簡單，用AD-aware清除就可以。

講到這這個軟體的使用可以告一段落了，其實大家舉一反三，靈活運用，可以解決不少問題，比如很多人都在問的起機為什麼ASDL自動撥號，借助Active Ports 可以比較輕鬆查出原因，查不出至少也提供有用的信息以供參考。

寫完了，XDJM有不滿意的地方……..不要找我，我也是摸索來的，摸著石頭過河嗎　^_^　！