端口就像網(wǎng)絡(luò)通信中的一扇窗戶，要想進(jìn)行通信就必須開放某些特定的端口。然而，大家必須特別注意，對于已經(jīng)打開的窗戶，一定要做到心中有數(shù)，否則就會有“竊賊”乘虛而入。

1．哪些端口最危險

　　對于本地系統(tǒng)中的應(yīng)用程序來說，它們一般使用大于1024的高端端口，如QQ客戶端程序使用UDP 4000端口進(jìn)行通信。而病毒、木馬和間諜軟件等高危險性程序同樣會使用高端端口進(jìn)行傳播、攻擊，而且它們使用的高端端口號比較隱蔽，一般用戶很難發(fā)現(xiàn)。

　　因此，對本地系統(tǒng)中開放的端口進(jìn)行自檢是有必要的，這樣一來用戶就可掌握系統(tǒng)開放端口的情況，病毒、木馬使用的端口就無處遁形。

　　SuperScan（下載地址：http://www.jfsky.com/SoftView/SoftView_1718.html）就是筆者向大家推薦的端口掃描工具，利用這款工具，大家可以自檢端口的開放狀況。

2．掃描端口，檢測安全性

　　掃描本地系統(tǒng)的端口開放情況，最好在遠(yuǎn)端機(jī)器中進(jìn)行。下面筆者要掃描IP地址為“192.168.1.28”的機(jī)器的端口開放情況，在遠(yuǎn)端機(jī)器中運(yùn)行SuperScan3.0（見圖），在“IP起始”欄中輸入“192.168.1.28”，在“結(jié)束”欄中也輸入“192.168.1.28”，這表示掃描的目標(biāo)就是IP地址為“192.168.1.28”的機(jī)器。

　　然后在“掃描類型”欄中選中“所有端口定義”單選項，在后面的空白欄中輸入“1-65535”，這表示要掃描目標(biāo)機(jī)器“1-65535”的端口。點擊“開始”按鈕，SuperScan就開始掃描目標(biāo)機(jī)器的端口，并在下方的列表框中顯示出開放的端口號，用戶就可知道本地系統(tǒng)中有哪些端口開放了，如果發(fā)現(xiàn)不熟悉的端口號可以通過網(wǎng)絡(luò)查詢“常用端口對應(yīng)表”，了解相關(guān)端口號的具體情況。

　　提示：常用端口對應(yīng)表請參看http://www.mh.fy.cn/2005/常用網(wǎng)絡(luò)端口對應(yīng)表.txt。

3．如何辨別漏洞

　　如果碰到某些高端端口已開放，而且在“常用端口對應(yīng)表”中無法查找到時，你就得留意了。為了防止可疑的高端端口對本地系統(tǒng)帶來安全隱患，或引來致命攻擊，建議大家在第一時間內(nèi)升級病毒和網(wǎng)絡(luò)防火墻，即時查殺和封堵系統(tǒng)中存在的可疑程序。

　　方法總結(jié)：利用SuperScan雖然可以清楚地查看本地系統(tǒng)的端口開放情況，但它有很大的不足。你找到的可疑端口一定就是病毒或木馬留下的后門嗎？這個很難說，也許這個端口是你不了解的本地系統(tǒng)中的正常應(yīng)用程序所使用的端口，如果不假思索封閉該端口，很可能會影響系統(tǒng)的運(yùn)行。

　　窗戶打開了，但進(jìn)來的一定就是新鮮空氣嗎？它也很可能是蚊蟲和細(xì)菌乘虛而入的通道。要想保證本地系統(tǒng)的安全，必須快速、準(zhǔn)確地找出哪些是高危險端口。

　　筆者剛才提到了SuperScan對端口進(jìn)行自檢的不足，那么如何才能確定某個端口就是“恐怖分子”所為呢？單純通過端口號進(jìn)行判斷會證據(jù)不足的，這時不妨利用與該可疑端口相關(guān)聯(lián)的進(jìn)程來取證，找到使用該端口的進(jìn)程，通過分析它的進(jìn)程名、路徑和主程序名，來進(jìn)行鎖定。這樣一來，對可疑端口地判斷就比較準(zhǔn)確了。

　　Windows系統(tǒng)自帶的命令或工具無法查看端口和進(jìn)程的關(guān)聯(lián)，這時不妨考慮動用第三方工具（如Fport和Active Ports等）。下面筆者就介紹一下如何查看端口與進(jìn)程的關(guān)聯(lián)。