TCPView是一個用來顯示系統中所有的TCP和UDP端點(endpoint)列表的Windows程序,包括本地和遠程的網絡地址,以及TCP連接的狀態。在Windows Server 2008、Vista、NT、2000和XP上,TCPView還會顯示擁有端點的進程名。TCPView是Windows自帶的netstat程序的一個子集,但是信息更加豐富且方便實用。隨TCPView一起下載的還有一個功能相同的命令行版本Tcpvcon。
Sysinternals網址:http://technet.microsoft.com/en-us/Sysinternals/bb897437.aspx
一、TCPView警察看守的叫端口
通俗地講,端口(Port)就是電腦向網絡開放的信息出入“門戶”。和小區大門不同的是,在電腦上這種“門戶”有個256×256(65535)個,而且它們還有多種狀態。
1.端口的分類
根據端口和服務的綁定情況,端口可分為公認端口、注冊端口和動態端口。
公認端口:0~1023。這個范圍內的端口系統一般保留給一些常用的系統服務,比如WEB服務使用80端口,FTP服務使用21端口。因為這些端口和服務形成了一一對應關系,已被大家所公認,所以這些端口叫做公認端口。
注冊端口:1024~49151。這個范圍內的端口比較松散地綁定于一些服務,也就是說,和公認端口相比,這些端口和服務并沒有形成一一對應關系,許多服務可綁定于這些端口,這些端口同樣可用于許多其它目的
動態端口:49152~65535。這個范圍內的端口一般不為服務所使用,它常常被動態分配給客戶端,因而這個范圍內的端口叫做動態端口。需要注意的是在實際應用中,端口從1024起就開始動態分配了。
小提示:為了防止和系統服務發生沖突,大多數木馬和病毒的服務端使用1024以上的端口。為了躲避掃描軟件對端口的掃描,木馬和病毒使用的端口有高端化的傾向,即盡量使用一些端口號較大的端口。
2.端口的狀態
一個端口可以有多個狀態。端口的狀態不同,在電腦中所起的作用就不相同。下面介紹幾個常見的端口狀態。
LISTENING:即端口的監聽狀態。處于這種狀態的端口就是我們常說的監聽端口,這種狀態的端口一般由某個服務程序打開,等待其它主機來連接,因而這種端口又叫做服務端口。
ESTABLISHED:即端口的連接狀態。如果處于監聽狀態的端口已和其它主機建立了連接,那么端口的“LISTENING”狀態就會變為“ESTABLISHED”狀態。
SYN_SENT:大多數情況下,我們的電腦會主動打開一個端口去連接其它機器,這時端口的狀態就表現為“SYN_SENT”。處于這種狀態的端口一般是由客戶端程序打開,所以這種端口也叫做客戶端口。客戶端口如果和服務端口建立了連接,那么端口的狀態就會由“SYN_SENT”狀態變為“ESTABLISHED”狀態。
TIME_WAIT:處于“ESTABLISHED”狀態的端口,如果連接被結束,那么端口的狀態就會變為“TIME_WAIT”狀態,它表示該端口曾經被訪問過,現在訪問結束了。
小提示:在上述所有的端口狀態中,監聽狀態的端口尤其值得注意,特別是1024以上的監聽端口,很有可能就是木馬服務端打開的服務端口。
二、TCPView的十八般武藝
理解了端口的種類和狀態以后,下面來看TCPView這個免費警察的十八般武藝。
實例1:查看端口及狀態
Windows也內置了一個查看端口的程序“Netstat”,但它是命令行模式的,不易操作。TCPView的特點就是能夠以圖形界面的方式實時顯示電腦中所有打開的端口及狀態。
實例2:查看進程及位置
TCPView能夠查看進程對應的程序在硬盤上的保存位置。
實例3:關閉連接及進程
在TCPView中,我們不僅可以關閉和外部發生的連接,還可以強制結束進程。在該進程上點擊右鍵,在彈出的菜單上選擇“關閉連接”。
文章列表
留言列表
