网络攻防学习笔记 Day49
一般的计算机用户要查看自己的主机是否感染木马,比较简单的方法是查看系统中运行的进程以及通信进程的网络端口使用情况。
除了查看进程信息这种方法,用户还可以通过网络端口的使用情况推断主机感染木马的信息。
以 Windows 系统为例,要查看系统中网络端口的使用情况可以使用系统自带的 netstat 命令。
RFC 793 中规定的 TCP 连接状态信息:
LISTENING 状态表明本机相应的端口处于监听状态,等待 TCP 连接请求。
SYN-SENT 状态表明本机在发送 SYN 连接请求后等待响应信息时的状态。
SYN-RECEIVED 状态指的是本机在接收到 SYN 连接请求并返回 SYN+ACK 响应后,等待对方确认时所处的状态。
ESTABLISHED 状态表明网络连接已经建立时的状态。
FIN-WAIT-1 状态指的是本机要求关闭连接的 FIN 请求已经发送,等待对方确认时的状态。
FIN-WAIT-2 状态指的是本机在进入 FIN-WAIT-1 状态以后收到了对方的 ACK 确认,连接单向中断,本机等待对方发出 FIN 请求时的状态。
CLOSE-WAIT 状态指的是远程主机单向关闭连接以后,本地主机等待连接关闭时的状态,此时,一般需要本地相应程序调用 close()函数正常关闭连接。
LAST-ACK 状态指的是在 CLOSE-WAIT 状态后本地主机发出了 FIN 请求,等待接收对方 ACK 确认时的状态。TIME-WAIT 状态描述的是关闭网络连接阶段,本地主机在发送连接关闭的 ACK 确认后所进入的等待状态,该状态将持续一段时间以确保对方接收到 ACK 信息。
CLOSED 状态指的是没有网络连接时的状态。
用户主机上的网络连接,大致可以分为三类。第一类的网络连接是由用户主动操作所建立的。第二类的网络连接是系统中安装的软件所建立的。第三类的网络连接是由木马等恶意软件所建立的,它们与第二类的共性是由软件自动建立的。
个人防火墙在木马防护方面是杀毒软件的必要补充。基本上所有的木马程序都需要进行网络通信。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/d0e9e6aa84be749f9507c0972】。文章转载请联系作者。
评论