先學(xué)者為師

服務(wù)端,端口的狀態(tài)變化
　　先在本機(jī)（IP地址為：192.168.1.10）配置FTP服務(wù)，然后在其它計(jì)算機(jī)（IP地址為：192.168.1.1）訪問FTP服務(wù)，從TCPView看看端口的狀態(tài)變化。
　　下面黑體字顯示的是從TCPView中截取的部分。
　　1、LISTENING狀態(tài)
　　FTP服務(wù)啟動(dòng)后首先處于偵聽（LISTENING）狀態(tài)。
　　State顯示是LISTENING時(shí)表示處于偵聽狀態(tài)，就是說該端口是開放的，等待連接，但還沒有被連接。就像你房子的門已經(jīng)敞開的，但還沒有人進(jìn)來。
　　從TCPView可以看出本機(jī)開放FTP的情況。它的意思是:程序inetinfo.exe開放了21端口，F(xiàn)TP默認(rèn)的端口為21，可見在本機(jī)開放了FTP服務(wù)。目前正處于偵聽狀態(tài)。
　　inetinfo.exe:1260 TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
　　2、ESTABLISHED狀態(tài)
　　現(xiàn)在從192.168.1.1這臺(tái)計(jì)算機(jī)訪問一下192.168.1.10的FTP服務(wù)。在本機(jī)的TCPView可以看出端口狀態(tài)變?yōu)镋STABLISHED。
　　ESTABLISHED的意思是建立連接。表示兩臺(tái)機(jī)器正在通信。
　　下面顯示的是本機(jī)的FTP服務(wù)正在被192.168.1.1這臺(tái)計(jì)算機(jī)訪問。
　　inetinfo.exe:1260 TCP 192.168.1.10:21 192.168.1.1:3009 ESTABLISHED
　　注意：處于ESTABLISHED狀態(tài)的連接一定要格外注意，因?yàn)樗苍S不是個(gè)正常連接。后面我們要講到這個(gè)問題。
　　3、 TIME_WAIT狀態(tài)
　　現(xiàn)在從192.168.1.1這臺(tái)計(jì)算機(jī)結(jié)束訪問192.168.1.10的FTP服務(wù)。在本機(jī)的TCPView可以看出端口狀態(tài)變?yōu)門IME_WAIT。
　　TIME_WAIT的意思是結(jié)束了這次連接。說明21端口曾經(jīng)有過訪問，但訪問結(jié)束了。
　　[System Process]:0 TCP 192.168.1.10:21 192.168.1.1:3009 TIME_WAIT
　　4、小技巧
　　a、可以telnet一個(gè)開放的端口，來觀察該端口的變化。比如看1025端口是開放的，在命令狀態(tài)（如圖1運(yùn)行cmd）運(yùn)行：
　　telnet 192.168.1.10 1025
　　b、從本機(jī)也可以測(cè)試，只不過顯示的是本機(jī)連本機(jī)
　　c、在Tcpview中雙擊連接可看出程序的位置，右鍵點(diǎn)擊該連接，選擇End Process即可結(jié)束該連接
　　客戶端,端口的狀態(tài)變化
　　客戶端口實(shí)際上就是從本機(jī)訪問其它計(jì)算機(jī)服務(wù)時(shí)打開的源端口，最多的應(yīng)用是上網(wǎng)，下面就以訪問www.baidu.com為例來看看端口開放以及狀態(tài)的變化情況。
　　1、SYN_SENT狀態(tài)
　　SYN_SENT狀態(tài)表示請(qǐng)求連接，當(dāng)你要訪問其它的計(jì)算機(jī)的服務(wù)時(shí)首先要發(fā)個(gè)同步信號(hào)給該端口，此時(shí)狀態(tài)為SYN_SENT，如果連接成功了就變?yōu)镋STABLISHED，此時(shí)SYN_SENT狀態(tài)非常短暫。但如果發(fā)現(xiàn)SYN_SENT非常多且在向不同的機(jī)器發(fā)出，那你的機(jī)器可能中了沖擊波或震蕩波之類的病毒了。這類病毒為了感染別的計(jì)算機(jī)，它就要掃描別的計(jì)算機(jī)，在掃描的過程中對(duì)每個(gè)要掃描的計(jì)算機(jī)都要發(fā)出了同步請(qǐng)求，這也是出現(xiàn)許多SYN_SENT的原因。
　　下面顯示的是本機(jī)連接www.baidu.com網(wǎng)站時(shí)的開始狀態(tài)，如果你的網(wǎng)絡(luò)正常的，那很快就變?yōu)镋STABLISHED的連接狀態(tài)。
　　IEXPLORE.EXE:2928 TCP 192.168.1.10:1035 202.108.250.249:80 SYN_SENT
　　2、ESTABLISHED狀態(tài)
　　下面顯示的是本機(jī)正在訪問www.baidu.com網(wǎng)站。如果你訪問的網(wǎng)站有許多內(nèi)容比如訪問www.yesky.com，那會(huì)發(fā)現(xiàn)一個(gè)地址有許多ESTABLISHED，這是正常的，網(wǎng)站中的每個(gè)內(nèi)容比如圖片、flash等都要單獨(dú)建立一個(gè)連接。看ESTABLISHED狀態(tài)時(shí)一定要注意是不是IEXPLORE.EXE程序（IE）發(fā)起的連接，如果是EXPLORE.EXE之類的程序發(fā)起的連接，那也許是你的計(jì)算機(jī)中了木馬了。
　　IEXPLORE.EXE:3120 TCP 192.168.1.10:1045 202.108.250.249:80 ESTABLISHED
　　3、TIME_WAIT狀態(tài)
　　如果瀏覽網(wǎng)頁完畢，那就變?yōu)門IME_WAIT狀態(tài)。
　　[System Process]:0 TCP 192.168.1.10:4259 202.108.250.249:80 TIME_WAIT