如何使用命令查看电脑开放的端口

当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的，既然利用到这两个协议，就不可避免要在server端（就是被种了木马的机器了）打开监听端口来等待连接。例如鼎鼎大名的冰河使用的监听端口是7626，Back Orifice 2000则是使用54320等等。那么，我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它hacker程序。以下是详细方法介绍。

1．Windows本身自带的netstat命令

关于netstat命令，我们先来看看windows帮助文件中的介绍：

打开:运行-CMD

C:\Documents and Settings\Administrator>netstat help

显示协议统计信息和当前 TCP/IP 网络连接。

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]

-a 显示所有连接和监听端口。

-b 显示包含于创建每个连接或监听端口的

可执行组件。在某些情况下已知可执行组件

拥有多个独立组件，并且在这些情况下

包含于创建连接或监听端口的组件序列

被显示。这种情况下，可执行组件名

在底部的 [] 中，顶部是其调用的组件，

等等，直到 TCP/IP 部分。注意此选项

可能需要很长时间，如果没有足够权限

可能失败。

-e 显示以太网统计信息。此选项可以与 -s

选项组合使用。

-n 以数字形式显示地址和端口号。

-o 显示与每个连接相关的所属进程 ID。

-p proto 显示 proto 指定的协议的连接；proto 可以是

下列协议之一: TCP、UDP、TCPv6 或 UDPv6。

如果与 -s 选项一起使用以显示按协议统计信息，proto 可以是下列协议

之一:

IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。

-r 显示路由表。

-s 显示按协议统计信息。默认地，显示 IP、

IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 的统计信息；

-p 选项用于指定默认情况的子集。

-v 与 -b 选项一起使用时将显示包含于

为所有可执行组件创建连接或监听端口的

组件。

interval 重新显示选定统计信息，每次显示之间

暂停时间间隔(以秒计)。按 CTRL+C 停止重新

显示统计信息。如果省略，netstat 显示当前

配置信息(只显示一次)

[code]好了，看完这些帮助文件，我们应该明白netstat命令的使用方法了。现在就让我们现学现用，用这个命令看一下自己的机器开放的端口。进入到命令行下，使用netstat命令的a和n两个参数：

C:\Documents and Settings\Administrator>netstat -an

Active Connections

Proto Local Address Foreign Address State

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP 0.0.0.0:843 0.0.0.0:0 LISTENING

TCP 0.0.0.0:4466 0.0.0.0:0 LISTENING

TCP 0.0.0.0:8909 0.0.0.0:0 LISTENING

TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING

TCP 127.0.0.1:1027 0.0.0.0:0 LISTENING

TCP 127.0.0.1:1183 127.0.0.1:8909 ESTABLISHED

TCP 127.0.0.1:1184 127.0.0.1:1185 ESTABLISHED

TCP 127.0.0.1:1185 127.0.0.1:1184 ESTABLISHED

TCP 127.0.0.1:1240 127.0.0.1:1241 ESTABLISHED

TCP 211.65.45.166:1638 118.228.24.209:80 CLOSE_WAIT

TCP 211.65.45.166:1641 121.195.178.202:80 CLOSE_WAIT

TCP 211.65.45.166:2538 121.195.178.201:80 CLOSE_WAIT

TCP 211.65.45.166:2540 74.125.235.136:80 ESTABLISHED

TCP 211.65.45.166:2541 74.125.71.101:80 ESTABLISHED

TCP 211.65.45.166:2542 112.80.197.63:4466 ESTABLISHED

TCP 211.65.45.166:2543 211.103.12.219:48763 ESTABLISHED

TCP 211.65.45.166:2544 117.130.230.159:4466 ESTABLISHED

TCP 211.65.45.166:2546 121.194.0.108:80 TIME_WAIT

TCP 211.65.45.166:2547 121.195.178.202:80 CLOSE_WAIT

TCP 211.65.45.166:2548 121.195.178.201:80 CLOSE_WAIT

UDP 0.0.0.0:445 :

UDP 0.0.0.0:1639 :

UDP 0.0.0.0:1642 :

UDP 127.0.0.1:123 :

UDP 127.0.0.1:1406 :

UDP 127.0.0.1:1637 :

UDP 127.0.0.1:2348 :

UDP 172.21.134.137:123 :

UDP 172.21.134.137:137 :

UDP 172.21.134.137:138 :

解释一下

Active Connections是指当前本机活动连接

Proto是指连接使用的协议名称

Local Address是本地计算机的IP地址和连接正在使用的端口号

Foreign Address是连接该端口的远程计算机的IP地址和端口号

State则是表明TCP连接的状态，你可以看到后面的监听端口是UDP协议的，所以没有State表示的状态。

LISTENING：正在监听，只有TCP端口才可以这样（如果UDP有的话，那么肯定是木马）

ESTABLISHED：正在共享，表示两者连接着

CLOSE_WAIT：有过连接，现在已经结束了

TIME_WAIT：表示系统在等待客户端的响应，是正常的。一段时间后它会自动转换到另一状态，或结束。你可以缩短等待时间。

看!电脑的7626端口已经开放，正在监听等待连接，像这样的情况极有可能是已经感染了冰河!急忙断开网络，用杀毒软件查杀病毒是正确的做法。

2 fport.exe和mport.exe

　　这也是两个命令行下查看本地机器开放端口的小程序，其实与netstat -an这个命令大同小异，只不过它能够显示打开端口的进程，信息更多一些而已，如果你怀疑自己的奇怪端口可能是木马，那就用他们查查吧。

3 activeport.exe（也称aports.exe）

　　还是用来查看本地机器开放端口的东东，除了具有上面两个程序的全部功能外，他还有两个更吸引人之处：图形界面以及可以关闭端口。这对菜鸟来说是个绝对好用的东西，推荐使用喔。

4 superscan3.0

　　它的大名你不会没听说过吧，纯端口扫描类软件中的NO.1，速度快而且可以指定扫描的端口，不多说了，绝对必备工具。

5 Visual Sniffer

　　这个可以拦截网络数据包，查看正在开放的各个端口，非常好用。

保护好自己的端口

　　刚接触网络的朋友一般都对自己的端口很敏感，总怕自己的电脑开放了过多端口，更怕其中就有后门程序的端口，但由于对端口不是很熟悉，所以也没有解决办法，上起网来提心吊胆。其实保护自己的端口并不是那么难，只要做好下面几点就行了：

　　1) 查看：经常用命令或软件查看本地所开放的端口，看是否有可疑端口；

　　2) 判断：如果开放端口中有你不熟悉的，应该马上查找端口大全或木马常见端口等资料（网上多的很），看看里面对你那个可疑端口的作用描述，或者通过软件查看开启此端口的进程来进行判断；

　　3) 关闭：如果真是木马端口或者资料中没有这个端口的描述，那么应该关闭此端口，你可以用防火墙来屏蔽此端口，也可以用本地连接－TCP/IP－高级－选项－TCP/IP筛选，启用筛选机制来筛选端口；

　　注意：判断时候要慎重，因为一些动态分配的端口也容易引起你多余的怀疑，这类端口一般比较低，且连续。还有，一些狡猾的后门软件，他们会借用80等一些常见端口来进行通信（穿透了防火墙），令人防不胜防，因此不轻易运行陌生程序才是关键。