殺毒軟件,你有;網(wǎng)絡(luò)防火墻,你也有;各種防范措施,你都略知一二,
小心:TCP連接中也暗藏殺機
。然而,面對各種不安定因素,你能保證自己永不中招?千萬別在出現(xiàn)異常情況時六神無主,自檢,它能幫你找出安全隱患、制定防守戰(zhàn)略。從容應(yīng)對安全問題,得從自檢開始。自本期開始,我們將為大家?guī)碜詸z三部曲,指導(dǎo)大家學(xué)會自檢。今天,將介紹的就是針對TCP連接的自檢。病毒和木馬對個人電腦的威脅越來越大,它們不但破壞本地電腦的安寧,甚至完全摧毀電腦,而且它們還會利用網(wǎng)絡(luò)技術(shù),開啟多個TCP連接感染網(wǎng)絡(luò)中的其他電腦,使病毒或木馬的破壞力大大增強。俗話說“打蛇要打七寸”,如何將這些來自于網(wǎng)絡(luò)的威脅降到最低點,非常重要的一個防范措施就是管好電腦中的TCP連接,經(jīng)常自檢尤為重要。
電腦中的TCP連接分為兩種,一種是本機中危險進程開啟的由內(nèi)到外的TCP連接,另一種是來自外部惡意攻擊的外部TCP連接。對于這兩種TCP連接,需要采用不同的自檢和處理方法,今天我們就會為大家介紹這兩種方法。
小知識:當(dāng)用戶使用某些危險的網(wǎng)絡(luò)服務(wù),或某些病毒、 控制系統(tǒng)的時候,就會先使用TCP協(xié)議建立端對端的連接,然后進行下一步的操作,這就是所謂的惡意TCP連接。
細(xì)心:檢測由內(nèi)向外的TCP連接
安全警報:報警!報警!網(wǎng)內(nèi)突發(fā)傳播性極強的攻擊性事件,它不但感染本地系統(tǒng),造成計算機異常,而且它還通過網(wǎng)絡(luò)擴散,開啟大量的TCP連接,感染網(wǎng)絡(luò)中的其他機器。此時,對于這種還未探明具體成因的惡意事件,可對由內(nèi)向外的TCP連接進行自檢,找出并關(guān)閉異常或惡意的網(wǎng)絡(luò)進程。
如果你的電腦不幸中了某些病毒或木馬(如震蕩波、沖擊波等),它們在感染本地Windows系統(tǒng)的同時,還會開啟很多由內(nèi)到外的TCP連接以攻擊網(wǎng)絡(luò)中的其他電腦,此時如果殺毒軟件不能進行查殺,那么你就會在無形中充當(dāng)病毒的幫兇。
豈能輕易當(dāng)幫兇?雖然此時不能徹底清除病毒,但我們完全可以減緩病毒的危害性,阻止病毒、木馬創(chuàng)建由內(nèi)向外的TCP連接,防止它們進一步擴散。
1、請來Tcpview
雖然用Windows系統(tǒng)自帶的“NETSTAT”命令可以檢測本機的TCP連接情況,但該命令畢竟是基于命令行方式的,使用起來非常不方便,而且TCP連接情況不能實時更新。因此筆者建議大家使用“Tcpview”這款工具
在Tcpview的網(wǎng)絡(luò)連接顯示框中,會顯示出所有進程的網(wǎng)絡(luò)連接情況,包括病毒建立的由內(nèi)到外的TCP連接。這些連接信息還是實時動態(tài)變化的,能夠顯示出詳細(xì)的TCP連接參數(shù)信息,如進程名、進程ID、連接使用的協(xié)議、本地地址和端口號。現(xiàn)在,通過Tcpview程序,就可以很容易地分析出每個TCP連接的情況。
2.仔細(xì)檢查TCP連接
如果你發(fā)現(xiàn)Tcpview網(wǎng)絡(luò)連接顯示框中有不熟悉的進程名,而且這個進程的TCP連接數(shù)量非常多,變化頻率也很快,這說明這些TCP連接可能就是系統(tǒng)中存在的病毒或木 立的由內(nèi)到外的TCP連接,
電腦資料
《小心:TCP連接中也暗藏殺機》(http://www.dameics.com)。為了防止惡意程序的蔓延和傳播,可以記錄相關(guān)進程使用的本地端口號,然后右鍵點擊這些進程項目,選擇“End Process”結(jié)束這些由內(nèi)到外的TCP連接。接下來,就利用網(wǎng)絡(luò)防火墻關(guān)閉病毒所使用的端口,禁止病毒開啟惡意的TCP連接。
筆者在此還建議大家一定要給Windows XP系統(tǒng)安裝SP2補丁,它可以將程序開啟的線程數(shù)限制在10個以內(nèi),這樣也就有效地限制了病毒建立的由內(nèi)到外的TCP連接數(shù)。
方法總結(jié):以上方法適用于對本機中的病毒或木馬創(chuàng)建的TCP連接進行自檢,也就是對由內(nèi)到外的TCP連接進行檢測,這可以有效地緩解這些害群之馬所帶來的危害。但筆者還是要提醒大家,要想徹底消滅這些由內(nèi)到外的TCP連接,還需要即時升級殺毒軟件,安裝Windows系統(tǒng)的相應(yīng)補丁程序。
謹(jǐn)慎:嚴(yán)查外部TCP連接
安全警報:報警!報警!本機某個端口突然有大量TCP連接,嚴(yán)重消耗本機的網(wǎng)絡(luò)資源,網(wǎng)絡(luò)速度急劇降低且不穩(wěn)定,疑是來自外部的病毒或 攻擊。
除了病毒或木馬會利用由內(nèi)到外的TCP連接,危害網(wǎng)絡(luò)中的其他電腦外。本機也可能受到來自外部的攻擊,如病毒或 攻擊本機的某個網(wǎng)絡(luò)端口,當(dāng)然這些攻擊也是利用TCP連接實現(xiàn)的,不同的是它們都是來自外部的惡意TCP連接。因此針對本機是否受到外部TCP連接攻擊的檢測,非常必要。
要想知道本機是否受到外部TCP連接的攻擊,就需要通過監(jiān)控某個端口來實現(xiàn),使用“TCP攻擊監(jiān)控器v1.0”這款工具是不錯的選擇。
1、配置監(jiān)控參數(shù)
如果筆者想監(jiān)控Windows XP系統(tǒng)的IIS服務(wù)器的80端口是否受到攻擊,可運行TCP攻擊監(jiān)控器,首先在“監(jiān)控端口”欄中輸入“80”,然后根據(jù)需要設(shè)置好“刷新周期”和“單IP最小連接數(shù)”,接下來該工具就會監(jiān)控IIS服務(wù)器的80端口的外部TCP連接情況。
2.從記錄中找出攻擊源
在“TCP連接數(shù)”欄中詳細(xì)地記錄著每個與IIS服務(wù)器建立TCP連接的機器的IP地址,并且還記錄了這個IP的TCP連接數(shù)。
如果短時間內(nèi),來自某個IP地址的TCP連接數(shù)非常多,那么很有可能就是使用這個IP地址的機器對IIS服務(wù)在進行TCP攻擊,這是非常危險的。由于這些來自外部的TCP攻擊很可能是病毒或 所為,為了保證IIS服務(wù)器的安全,我們可以在IIS服務(wù)器或網(wǎng)絡(luò)防火墻中,徹底禁止該IP地址發(fā)起的訪問,這樣就擺脫了外部惡意TCP連接的攻擊, Windows系統(tǒng)會更加安全。
方法總結(jié):此方法適用于對來自外部的TCP連接進行自檢,做好對這些外部的TCP連接的監(jiān)控和自檢工作,過濾有害的外部TCP連接,能夠最大限度地減輕外部病毒或 攻擊所帶來的危害。