服務端,端口的狀態變化
先在本機(IP地址為:192.168.1.10)配置FTP服務,然后在其它計算機(IP地址為:192.168.1.1)訪問FTP服務,從TCPView看看端口的狀態變化。
下面黑體字顯示的是從TCPView中截取的部分。
1、LISTENING狀態
FTP服務啟動后首先處于偵聽(LISTENING)狀態。
State顯示是LISTENING時表示處于偵聽狀態,就是說該端口是開放的,等待連接,但還沒有被連接。就像你房子的門已經敞開的,但還沒有人進來。
從TCPView可以看出本機開放FTP的情況。它的意思是:程序inetinfo.exe開放了21端口,FTP默認的端口為21,可見在本機開放了FTP服務。目前正處于偵聽狀態。
inetinfo.exe:1260 TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
2、ESTABLISHED狀態
現在從192.168.1.1這臺計算機訪問一下192.168.1.10的FTP服務。在本機的TCPView可以看出端口狀態變為ESTABLISHED。
ESTABLISHED的意思是建立連接。表示兩臺機器正在通信。
下面顯示的是本機的FTP服務正在被192.168.1.1這臺計算機訪問。
inetinfo.exe:1260 TCP 192.168.1.10:21 192.168.1.1:3009 ESTABLISHED
注意:處于ESTABLISHED狀態的連接一定要格外注意,因為它也許不是個正常連接。后面我們要講到這個問題。
3、 TIME_WAIT狀態
現在從192.168.1.1這臺計算機結束訪問192.168.1.10的FTP服務。在本機的TCPView可以看出端口狀態變為TIME_WAIT。
TIME_WAIT的意思是結束了這次連接。說明21端口曾經有過訪問,但訪問結束了。
[System Process]:0 TCP 192.168.1.10:21 192.168.1.1:3009 TIME_WAIT
4、小技巧
a、可以telnet一個開放的端口,來觀察該端口的變化。比如看1025端口是開放的,在命令狀態(如圖1運行cmd)運行:
telnet 192.168.1.10 1025
b、從本機也可以測試,只不過顯示的是本機連本機
c、在Tcpview中雙擊連接可看出程序的位置,右鍵點擊該連接,選擇End Process即可結束該連接
客戶端,端口的狀態變化
客戶端口實際上就是從本機訪問其它計算機服務時打開的源端口,最多的應用是上網,下面就以訪問www.baidu.com為例來看看端口開放以及狀態的變化情況。
1、SYN_SENT狀態
SYN_SENT狀態表示請求連接,當你要訪問其它的計算機的服務時首先要發個同步信號給該端口,此時狀態為SYN_SENT,如果連接成功了就變為ESTABLISHED,此時SYN_SENT狀態非常短暫。但如果發現SYN_SENT非常多且在向不同的機器發出,那你的機器可能中了沖擊波或震蕩波之類的病毒了。這類病毒為了感染別的計算機,它就要掃描別的計算機,在掃描的過程中對每個要掃描的計算機都要發出了同步請求,這也是出現許多SYN_SENT的原因。
下面顯示的是本機連接www.baidu.com網站時的開始狀態,如果你的網絡正常的,那很快就變為ESTABLISHED的連接狀態。
IEXPLORE.EXE:2928 TCP 192.168.1.10:1035 202.108.250.249:80 SYN_SENT
2、ESTABLISHED狀態
下面顯示的是本機正在訪問www.baidu.com網站。如果你訪問的網站有許多內容比如訪問www.yesky.com,那會發現一個地址有許多ESTABLISHED,這是正常的,網站中的每個內容比如圖片、flash等都要單獨建立一個連接。看ESTABLISHED狀態時一定要注意是不是IEXPLORE.EXE程序(IE)發起的連接,如果是EXPLORE.EXE之類的程序發起的連接,那也許是你的計算機中了木馬了。
IEXPLORE.EXE:3120 TCP 192.168.1.10:1045 202.108.250.249:80 ESTABLISHED
3、TIME_WAIT狀態
如果瀏覽網頁完畢,那就變為TIME_WAIT狀態。
[System Process]:0 TCP 192.168.1.10:4259 202.108.250.249:80 TIME_WAIT