编者按:杀毒软件,你有;网络防火墙,你也有;各种防范措施,你都略知一二。然而,面对各种不安定因素,你能保证自己永不中招?千万别在出现异常情况时六神无主,自检,它能帮你找出安全隐患、制定防守战略。从容应对安全问题,得从自检开始。自本期开始,我们将为大家带来自检三部曲,指导大家学会自检。今天,将介绍的就是针对TCP连接的自检。 病毒和木马对个人电脑的威胁越来越大,它们不但破坏本地电脑的安宁,甚至完全摧毁电脑,而且它们还会利用网络技术,开启多个TCP连接感染网络中的其他电脑,使病毒或木马的破坏力大大增强。俗话说“打蛇要打七寸”,如何将这些来自于网络的威胁降到最低点,非常重要的一个防范措施就是管好电脑中的TCP连接,经常自检尤为重要。 1.请来Tcpview 虽然用Windows系统自带的“NETSTAT”命令可以检测本机的TCP连接情况,但该命令毕竟是基于命令行方式的,使用起来非常不方便,而且TCP连接情况不能实时更新。因此笔者建议大家使用“Tcpview”这款工具(下载地址:http://amez.nease.net/antivirus/rescue/tools/Tcpview.exe)。 在Tcpview的网络连接显示框中,会显示出所有进程的网络连接情况,包括病毒建立的由内到外的TCP连接。这些连接信息还是实时动态变化的,能够显示出详细的TCP连接参数信息,如进程名、进程ID、连接使用的协议、本地地址和端口号。现在,通过Tcpview程序,就可以很容易地分析出每个TCP连接的情况。 2.仔细检查TCP连接 如果你发现Tcpview网络连接显示框中有不熟悉的进程名(图1),而且这个进程的TCP连接数量非常多,变化频率也很快,这说明这些TCP连接可能就是系统中存在的病毒或木马建立的由内到外的TCP连接。 为了防止恶意程序的蔓延和传播,可以记录相关进程使用的本地端口号,然后右键点击这些进程项目,选择“End Process”结束这些由内到外的TCP连接。接下来,就利用网络防火墙关闭病毒所使用的端口,禁止病毒开启恶意的TCP连接。 笔者在此还建议大家一定要给Windows XP系统安装SP2补丁,它可以将程序开启的线程数限制在10个以内,这样也就有效地限制了病毒建立的由内到外的TCP连接数。 谨慎:严查外部TCP连接 安全警报:报警!报警!本机某个端口突然有大量TCP连接,严重消耗本机的网络资源,网络速度急剧降低且不稳定,疑是来自外部的病毒或黑客攻击。 除了病毒或木马会利用由内到外的TCP连接,危害网络中的其他电脑外。本机也可能受到来自外部的攻击,如病毒或黑客攻击本机的某个网络端口,当然这些攻击也是利用TCP连接实现的,不同的是它们都是来自外部的恶意TCP连接。因此针对本机是否受到外部TCP连接攻击的检测,非常必要。 要想知道本机是否受到外部TCP连接的攻击,就需要通过监控某个端口来实现,使用“TCP攻击监控器v1.0”这款工具是不错的选择。 1.配置监控参数 如果笔者想监控Windows XP系统的IIS服务器的80端口是否受到攻击,可运行TCP攻击监控器,首先在“监控端口”栏中输入“80”,然后根据需要设置好“刷新周期”和“单IP最小连接数”,接下来该工具就会监控IIS服务器的80端口的外部TCP连接情况(图2)。 2.从记录中找出攻击源 |