TCP连接暗藏杀机 查！

　　编者按：杀毒软件，你有；网络防火墙，你也有；各种防范措施，你都略知一二。然而，面对各种不安定因素，你能保证自己永不中招？千万别在出现异常情况时六神无主，自检，它能帮你找出安全隐患、制定防守战略。从容应对安全问题，得从自检开始。自本期开始，我们将为大家带来自检三部曲，指导大家学会自检。今天，将介绍的就是针对tcp连接的自检。

　　病毒和木马对个人电脑的威胁越来越大，它们不但破坏本地电脑的安宁，甚至完全摧毁电脑，而且它们还会利用网络技术，开启多个tcp连接感染网络中的其他电脑，使病毒或木马的破坏力大大增强。俗话说“打蛇要打七寸”，如何将这些来自于网络的威胁降到最低点，非常重要的一个防范措施就是管好电脑中的tcp连接，经常自检尤为重要。

　　电脑中的tcp连接分为两种，一种是本机中危险进程开启的由内到外的tcp连接，另一种是来自外部恶意攻击的外部tcp连接。对于这两种tcp连接，需要采用不同的自检和处理方法，今天我们就会为大家介绍这两种方法。

　　小知识：当用户使用某些危险的网络服务，或某些病毒、黑客控制系统的时候，就会先使用tcp协议建立端对端的连接，然后进行下一步的操作，这就是所谓的恶意tcp连接。

细心：检测由内向外的tcp连接

　　安全警报：报警！报警！网内突发传播性极强的攻击性事件，它不但感染本地系统，造成计算机异常，而且它还通过网络扩散，开启大量的tcp连接，感染网络中的其他机器。此时，对于这种还未探明具体成因的恶意事件，可对由内向外的tcp连接进行自检，找出并关闭异常或恶意的网络进程。

　　如果你的电脑不幸中了某些病毒或木马（如震荡波、冲击波等），它们在感染本地windows系统的同时，还会开启很多由内到外的tcp连接以攻击网络中的其他电脑，此时如果杀毒软件不能进行查杀，那么你就会在无形中充当病毒的帮凶。

　　岂能轻易当帮凶？虽然此时不能彻底清除病毒，但我们完全可以减缓病毒的危害性，阻止病毒、木马创建由内向外的tcp连接，防止它们进一步扩散。

1．请来tcpview

　　虽然用windows系统自带的“netstat”命令可以检测本机的tcp连接情况，但该命令毕竟是基于命令行方式的，使用起来非常不方便，而且tcp连接情况不能实时更新。因此笔者建议大家使用“tcpview”这款工具（下载地址：http://amez.nease.net/antivirus/rescue/tools/tcpview.exe）。

　　在tcpview的网络连接显示框中，会显示出所有进程的网络连接情况，包括病毒建立的由内到外的tcp连接。这些连接信息还是实时动态变化的，能够显示出详细的tcp连接参数信息，如进程名、进程id、连接使用的协议、本地地址和端口号。现在，通过tcpview程序，就可以很容易地分析出每个tcp连接的情况。

2．仔细检查tcp连接

　　如果你发现tcpview网络连接显示框中有不熟悉的进程名（图1），而且这个进程的tcp连接数量非常多，变化频率也很快，这说明这些tcp连接可能就是系统中存在的病毒或木马建立的由内到外的tcp连接。

　　为了防止恶意程序的蔓延和传播，可以记录相关进程使用的本地端口号，然后右键点击这些进程项目，选择“end process”结束这些由内到外的tcp连接。接下来，就利用网络防火墙关闭病毒所使用的端口，禁止病毒开启恶意的tcp连接。

　　笔者在此还建议大家一定要给windows xp系统安装sp2补丁，它可以将程序开启的线程数限制在10个以内，这样也就有效地限制了病毒建立的由内到外的tcp连接数。

　　方法总结：以上方法适用于对本机中的病毒或木马创建的tcp连接进行自检，也就是对由内到外的tcp连接进行检测，这可以有效地缓解这些害群之马所带来的危害。但笔者还是要提醒大家，要想彻底消灭这些由内到外的tcp连接，还需要即时升级杀毒软件，安装windows系统的相应补丁程序。

谨慎：严查外部tcp连接

　　安全警报：报警！报警！本机某个端口突然有大量tcp连接，严重消耗本机的网络资源，网络速度急剧降低且不稳定，疑是来自外部的病毒或黑客攻击。

　　除了病毒或木马会利用由内到外的tcp连接，危害网络中的其他电脑外。本机也可能受到来自外部的攻击，如病毒或黑客攻击本机的某个网络端口，当然这些攻击也是利用tcp连接实现的，不同的是它们都是来自外部的恶意tcp连接。因此针对本机是否受到外部tcp连接攻击的检测，非常必要。

　　要想知道本机是否受到外部tcp连接的攻击，就需要通过监控某个端口来实现，使用“tcp攻击监控器v1.0”这款工具是不错的选择。

1．配置监控参数

　　如果笔者想监控windows xp系统的iis服务器的80端口是否受到攻击，可运行tcp攻击监控器，首先在“监控端口”栏中输入“80”，然后根据需要设置好“刷新周期”和“单ip最小连接数”，接下来该工具就会监控iis服务器的80端口的外部tcp连接情况（图2）。

2．从记录中找出攻击源

　　在“tcp连接数”栏中详细地记录着每个与iis服务器建立tcp连接的机器的ip地址，并且还记录了这个ip的tcp连接数。

　　如果短时间内，来自某个ip地址的tcp连接数非常多，那么很有可能就是使用这个ip地址的机器对iis服务在进行tcp攻击，这是非常危险的。由于这些来自外部的tcp攻击很可能是病毒或黑客所为，为了保证iis服务器的安全，我们可以在iis服务器或网络防火墙中，彻底禁止该ip地址发起的访问，这样就摆脱了外部恶意tcp连接的攻击， windows系统会更加安全。

　　方法总结：此方法适用于对来自外部的tcp连接进行自检，做好对这些外部的tcp连接的监控和自检工作，过滤有害的外部tcp连接，能够最大限度地减轻外部病毒或黑客攻击所带来的危害。

　　以上我们介绍了如何对由内到外和外部的tcp连接进行自检。高效地完成自检工作，对防止病毒和木马的传播、攻击有着重要的作用。当然，任何恶意的tcp连接都是针对某个端口而建立的，因此做好端口的自检工作非常重要。接着我们将会为大家介绍如何对端口进行自检，敬请期待。