大家在上网的时候,我们设置了www,当有来自internet的www要求时,我们的主机就会予以响应。这是因为你的主机已经开启了www的监听端口。所以,当我们启用一个daemon时,就可能触发主机的端口进行监听的动作,此时该daemon就已经对网络上面提供服务好了。万一这个daemon程序有漏洞,仔细检查自己系统上的端口开了多少个,并且予以严格的管理,才能降低被攻击的可能性。
当你启动一个网络服务时,这个服务会依据tcp/ip的相关通信协议启动一个端口进行监听,那就是tcp/udp数据包的port了。下面有一些主要的要点:
1.服务器端启动的监听端口所对应的服务时固定的
比如WWW服务开启在port80、FTP服务开启在port 21、E-MAIL传送开启在port25等,这些是通信协议上的规范。
2.客户端启动程序时,随机启动一个大于1024的端口。
客户端启动的port是随机产生的,主要是开启大于1024以上的端口。这个port也是由某些软件产生的,例如浏览器、Filezilla这个FTP客户端程序等。
3.一台服务器可以同时提供多种服务
所谓的监听,是某个服务程序会一直常驻在内存当中,所以该程序启动的port就会一直存在。只要服务器软件激活的端口不同,那就不会造成冲突。当客户端连接到此服务器,通过不同的端口就可以取得不同的服务数据,所以,一台主机当然可以同时开启很多不同的服务。
4.一共65536个port
port一共有16个位,因此一般主机会有65536个port,而这些port又分为两个部分,以port 1024分开。
只有root才能启动保留的port:在小于1024的端口,都是需要以root的身份才能启动的,这些port主要是用于一些常见的通信服务,在Linux系统下,常见的协议与port的对应是记录在/etc/services里面的。
大于1024用于Client端的port;大于1024以上的port主要是作为client端的如软件激活端口。
是否需要三次握手,比如建立TCP协议。
产看端口在basis的日常中经常出现,这个时候也不要慌,找个这个文件 /etc/services.而常用的用来查看port的程序有两个。
netstat:在本机上面以自己的程序检测自己的port。
nmap:通过网络的检测软件辅助,可检测非本机上的其他网络主机,但有违法的嫌疑。
1.netstat
在作为服务器的Linux系统中,开启的网络服务越少越好,因为较少的服务容易排错与了解安全漏洞,并可以避免不必要的入侵管道。所以,这个时候请了解一下您的系统当中有没有哪些服务呗开启了呢?想了解系统中的服务项目,就需要使用netstat,不但简单,功能不错。
列出正在监听的网咯服务的命令是
netstat -tun1
列出已连接的网络连接状态
netstat -tun
从上面的数据来看,本地端服务器192.18.1.100目前仅有一条已建立的连接,那就是和192.168.1.101那台主机的连接,并且连接方向是由对方连接到我主机的port22来采取用我的服务器的服务。
删除已建立或在监听中的连接
先用命令 netstat -tunp找到该链接的PID,然后将他kill掉。从上面的范例,我们可以找出来该sshd这个程序来启动的,并且他的PID事1342.希望你不要心急的用killall这个命令,否则容易删错人,再试用命令kill,如下:
kill -9 1342
nmap
如果你要探测的设备并没有可让你登录的操作系统时,那该怎么办,举例来说,你想了解公司的网络打印机是否开放某些协议时,netstat可以用来查阅本机上面的许多监听中的通信协议,比如网络打印机这样的非本机的设备。
nmap的软件名称为 Network exploration tool and security / port scanner,顾名思义,它是被系统管理员用来管理系统安全检查工具,
nmap 扫描类型 扫面参数 hosts 地址和范围
,命令行如下:
yum install nmap
namp localhost
PORT state service
22/tcp open ssh
25/tcp open smtp
111/tcp open rpcbnd
默认状态下,nmap仅仅扫描TCP的协议。
要分析TCP/UDP这两个常见的通信协议,如下:
nmap -sTU localhost