端口扫描技术的基本原理-端口扫描系统需求

网络管理员会出于什么目的使用 nmap 工具

用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统。nmap工具具体功能如下：

1、探测一组主机是否在线；

2、扫描 主机端口，嗅探所提供的网络服务；

3、可以推断主机所用的操作系统 。

Nmap可用于扫描仅有两个节点的LAN，直至500个节点以上的网络。Nmap 还允许用户定制扫描技巧。

通常，一个简单的使用ICMP协议的ping操作可以满足一般需求；也可以深入探测UDP或者TCP端口，直至主机所 使用的操作系统；还可以将所有探测结果记录到各种格式的日志中， 供进一步分析操作。

扩展资料：

Nmap的优点：

1、 灵活。支持数十种不同的扫描方式，支持多种目标对象的扫描。

2、强大。Nmap可以用于扫描互联网上大规模的计算机。

3、可移植。支持主流操作系统：Windows/Linux/Unix/MacOS等等；源码开放，方便移植。

4、简单。提供默认的操作能覆盖大部分功能，基本端口扫描nmap targetip，全面的扫描nmap _A targetip。

5、自由。Nmap作为开源软件，在GPL License的范围内可以自由的使用。

6、文档丰富。Nmap官网提供了详细的文档描述。Nmap作者及其他安全专家编写了多部Nmap参考书籍。

参考资料来源：百度百科-nmap

如何实现代理的扫描？

每当提到搜索代理服务器地址，首先想到的大概是《代理猎手》这款经典工具。但是，它的相关设置对于初学者而言并非轻而易举就能掌握。因此，笔者在本文中为大家介绍一款傻瓜化的工具——《代理服务器搜索者》。它最突出的特色在于支持程序自动搜索，通过实时获得的IP地址段，全自动化扫描并显示有效代理服务器。代理服务器搜索者小档案：软件版本：v1.8 简体中文版授权方式：免费软件软件大小：2313KB运行环境：Win9X/Me/NT/2000/XP /2003下载地址：http：// 运行《代理服务器搜索者》程序后，你可以不作任何设置，直接将它最小化至系统托盘后，让程序自动搜索。在搜索过程中，你可随时把鼠标指针置于托盘中的程序图标上，在显示的提示信息中，获知当前的扫描线程、检验线程以及总代理数量(即已搜索出的有效代理服务器地址)。当发现已扫描出代理信息后，双击图标即可显示程序主界面(图1)。在“所有记录”项目中显示了若干代理服务器IP、端口及代理类型等信息。此时，你可以将选中的代理服务器拷贝到内存中，以便于在“Internet选项”的“代理服务器设置”中直接粘贴。也可以将选中的代理或全部代理导出至文本文件中，以便于日后调用。以上提及的这些操作大家在“动作”项目中可按需执行。随着搜索到的代理服务器地址越来越多，你会发现“代理类型”都不尽相同，有些是SOCKS协议，有些是HTTP协议……下列表中是这些不同类型的代理服务器常用的端口以及实际用途。当然你也可以自定义《代理服务器搜索者》程序设置。例如，可自定义搜索IP地址段;自行添加预搜索端口;管理检验选项及更改线程设置等等。这些会因使用者的个人需求及网络状态而异。随着搜索到的代理服务器地址越来越多，你会发现“代理类型”都不尽相同，有些是SOCKS协议，有些是HTTP协议……下列表中是这些不同类型的代理服务器常用的端口以及实际用途。当然你也可以自定义《代理服务器搜索者》程序设置。例如，可自定义搜索IP地址段;自行添加预搜索端口;管理检验选项及更改线程设置等等。这些会因使用者的个人需求及网络状态而异。获得匿名代理有些代理服务器是对公众开放的，而有些则是匿名的，如果你要使用匿名代理访问Web地址，则可以使用软件检测匿名代理。Winnow Anonymous Proxy这款软件就可以隐藏你的真实IP，匿名访问Web地址。它通过匿名代理服务器给用户提供另一个IP地址。Winnow Anonymous Proxy小档案：软件版本：v2.0软件语言：英文授权方式：共享软件软件大小：775KB运行环境：Win9X/Me/NT/2000/XP /2003下载地址：http：//

Kali Linux 网络扫描秘籍 第三章 端口扫描（二）

执行 TCP 端口扫描的一种方式就是执行一部分。目标端口上的 TCP 三次握手用于识别端口是否接受连接。这一类型的扫描指代隐秘扫描， SYN 扫描，或者半开放扫描。这个秘籍演示了如何使用 Scapy 执行 TCP 隐秘扫描。

为了使用 Scapy 执行 TCP 隐秘 扫描，你需要一个运行 TCP 网络服务的远程服务器。这个例子中我们使用 Metasploitable2 实例来执行任务。配置 Metasploitable2 的更多信息请参考第一章中的“安装 Metasploitable2”秘籍。

此外，这一节也需要编写脚本的更多信息，请参考第一章中的“使用文本编辑器*VIM 和 Nano）。

为了展示如何执行 SYN 扫描，我们需要使用 Scapy 构造 TCP SYN 请求，并识别和开放端口、关闭端口以及无响应系统有关的响应。为了向给定端口发送 TCP SYN 请求，我们首先需要构建请求的各个层面。我们需要构建的第一层就是 IP 层：

为了构建请求的 IP 层，我们需要将 IP 对象赋给变量 i 。通过调用 display 函数，我们可以确定对象的属性配置。通常，发送和接受地址都设为回送地址， 127.0.0.1 。这些值可以通过修改目标地址来修改，也就是设置 i.dst 为想要扫描的地址的字符串值。通过再次调用 dislay 函数，我们看到不仅仅更新的目标地址，也自动更新了和默认接口相关的源 IP 地址。现在我们构建了请求的 IP 层，我们可以构建 TCP 层了。

为了构建请求的 TCP 层，我们使用和 IP 层相同的技巧。在这个立即中， TCP 对象赋给了 t 变量。像之前提到的那样，默认的配置可以通过调用 display 函数来确定。这里我们可以看到目标端口的默认值为 HTTP 端口 80。对于我们的首次扫描，我们将 TCP 设置保留默认。现在我们创建了 TCP 和 IP 层，我们需要将它们叠放来构造请求。

我们可以通过以斜杠分离变量来叠放 IP 和 TCP 层。这些层面之后赋给了新的变量，它代表整个请求。我们之后可以调用 dispaly 函数来查看请求的配置。一旦构建了请求，可以将其传递给 sr1 函数来分析响应：

相同的请求可以不通过构建和堆叠每一层来执行。反之，我们使用单独的一条命令，通过直接调用函数并传递合适的参数：

要注意当 SYN 封包发往目标 Web 服务器的 TCP 端口 80，并且该端口上运行了 HTTP 服务时，响应中会带有 TCP 标识 SA 的值，这表明 SYN 和 ACK 标识都被激活。这个响应表明特定的目标端口是开放的，并接受连接。如果相同类型的封包发往不接受连接的端口，会收到不同的请求。

当 SYN 请求发送给关闭的端口时，返回的响应中带有 TCP 标识 RA，这表明 RST 和 ACK 标识为都被激活。ACK 为仅仅用于承认请求被接受，RST 为用于断开连接，因为端口不接受连接。作为替代，如果 SYN 封包发往崩溃的系统，或者防火墙过滤了这个请求，就可能接受不到任何信息。由于这个原因，在 sr1 函数在脚本中使用时，应该始终使用 timeout 选项，来确保脚本不会在无响应的主机上挂起。

如果函数对无响应的主机使用时， timeout 值没有指定，函数会无限继续下去。这个演示中， timout 值为 1秒，用于使这个函数更加完备，响应的值可以用于判断是否收到了响应：

Python 的使用使其更易于测试变量来识别 sr1 函数是否对其复制。这可以用作初步检验，来判断是否接收到了任何响应。对于接收到的响应，可以执行一系列后续检查来判断响应表明端口开放还是关闭。这些东西可以轻易使用 Python 脚本来完成，像这样：

在这个 Python 脚本中，用于被提示来输入 IP 地址，脚本之后会对定义好的端口序列执行 SYN 扫描。脚本之后会得到每个连接的响应，并尝试判断响应的 SYN 和 ACK 标识是否激活。如果响应中出现并仅仅出现了这些标识，那么会输出相应的端口号码。

运行这个脚本之后，输出会显示所提供的 IP 地址的系统上，前 100 个端口中的开放端口。

这一类型的扫描由发送初始 SYN 封包给远程系统的目标 TCP 端口，并且通过返回的响应类型来判断端口状态来完成。如果远程系统返回了 SYN+ACK 响应，那么它正在准备建立连接，我们可以假设这个端口开放。如果服务返回了 RST 封包，这就表明端口关闭并且不接收连接。此外，如果没有返回响应，扫描系统和远程系统之间可能存在防火墙，它丢弃了请求。这也可能表明主机崩溃或者目标 IP 上没有关联任何系统。

Nmap 拥有可以执行远程系统 SYN 扫描的扫描模式。这个秘籍展示了如何使用 Namp 执行 TCP 隐秘扫描。

为了使用 Nmap 执行 TCP 隐秘扫描，你需要一个运行 TCP 网络服务的远程服务器。这个例子中我们使用 Metasploitable2 实例来执行任务。配置 Metasploitable2 的更多信息请参考第一章中的“安装 Metasploitable2”秘籍。

就像多数扫描需求那样，Nmap 拥有简化 TCP 隐秘扫描执行过程的选项。为了使用 Nmap 执行 TCP 隐秘扫描，应使用 -sS 选项，并附带被扫描主机的 IP 地址。

在提供的例子中，特定的 IP 地址的 TCP 80 端口上执行了 TCP 隐秘扫描。和 Scapy 中的技巧相似，Nmap 监听响应并通过分析响应中所激活的 TCP 标识来识别开放端口。我们也可以使用 Namp 执行多个特定端口的扫描，通过传递逗号分隔的端口号列表。

在这个例子中，目标 IP 地址的端口 21、80 和 443 上执行了 SYN 扫描。我们也可以使用 Namp 来扫描主机序列，通过标明要扫描的第一个和最后一个端口号，以破折号分隔：

在所提供的例子中，SYN 扫描在 TCP 20 到 25 端口上执行。除了拥有指定被扫描端口的能力之外。Nmap 同时拥有配置好的 1000 和常用端口的列表。我们可以执行这些端口上的扫描，通过不带任何端口指定信息来运行 Nmap：

在上面的例子中，扫描了 Nmap 定义的 1000 个常用端口，用于识别 Metasploitable2 系统上的大量开放端口。虽然这个技巧在是被多数设备上很高效，但是也可能无法识别模糊的服务或者不常见的端口组合。如果扫描在所有可能的 TCP 端口上执行，所有可能的端口地址值都需要被扫描。定义了源端口和目标端口地址的 TCP 头部部分是 16 位长。并且，每一位可以为 1 或者 0。因此，共有 2 ** 16 或者 65536 个可能的 TCP 端口地址。对于要扫描的全部可能的地址空间，需要提供 0 到 65535 的端口范围，像这样：

这个例子中，Metasploitable2 系统上所有可能的 65536 和 TCP 地址都扫描了一遍。要注意该扫描中识别的多数服务都在标准的 Nmap 1000 扫描中识别过了。这就表明在尝试识别目标的所有可能的攻击面的时候，完整扫描是个最佳实践。Nmap 可以使用破折号记法，扫描主机列表上的 TCP 端口：

这个例子中，TCP 80 端口的 SYN 扫描在指定地址范围内的所有主机上执行。虽然这个特定的扫描仅仅执行在单个端口上，Nmap 也能够同时扫描多个系统上的多个端口和端口范围。此外，Nmap 也能够进行配置，基于 IP 地址的输入列表来扫描主机。这可以通过 -iL 选项并指定文件名，如果文件存放于执行目录中，或者文件路径来完成。Nmap 之后会遍历输入列表中的每个地址，并对地址执行特定的扫描。

Nmap SYN 扫描背后的底层机制已经讨论过了。但是，Nmap 拥有多线程功能，是用于执行这类扫描的快速高效的方式。

除了其它已经讨论过的工具之外，Metasploit 拥有用于 SYN 扫描的辅助模块。这个秘籍展示了如何使用 Metasploit 来执行 TCP 隐秘扫描。

为了使用 Metasploit 执行 TCP 隐秘扫描，你需要一个运行 TCP 网络服务的远程服务器。这个例子中我们使用 Metasploitable2 实例来执行任务。配置 Metasploitable2 的更多信息请参考第一章中的“安装 Metasploitable2”秘籍。

Metasploit 拥有可以对特定 TCP 端口执行 SYN 扫描的辅助模块。为了在 Kali 中启动 Metasploit，我们在终端中执行 msfconsole 命令。

为了在 Metasploit 中执行 SYN 扫描，以辅助模块的相对路径调用 use 命令。一旦模块被选中，可以执行 show options 命令来确认或修改扫描配置。这个命令会展示四列的表格，包括 name 、 current settings 、 required 和 description 。 name 列标出了每个可配置变量的名称。 current settings 列列出了任何给定变量的现有配置。 required 列标出对于任何给定变量，值是否是必须的。 description 列描述了每个变量的功能。任何给定变量的值可以使用 set 命令，并且将新的值作为参数来修改。

在上面的例子中， RHOSTS 值修改为我们打算扫描的远程系统的 IP 地址。地外，线程数量修改为 20。 THREADS 的值定义了在后台执行的当前任务数量。确定线程数量涉及到寻找一个平衡，既能提升任务速度，又不会过度消耗系统资源。对于多数系统，20 个线程可以足够快，并且相当合理。 PORTS 值设为 TCP 端口 80（HTTP）。修改了必要的变量之后，可以再次使用 show options 命令来验证。一旦所需配置验证完毕，就可以执行扫描了。

上面的例子中，所指定的远程主机的钱 100 个 TCP 端口上执行了 TCP SYN 扫描。虽然这个扫描识别了目标系统的多个设备，我们不能确认所有设备都识别出来，除非所有可能的端口地址都扫描到。定义来源和目标端口地址的TCP 头部部分是 16 位长。并且，每一位可以为 1 或者 0。因此，共有 2 ** 16 或 65536 个可能的 TCP 端口地址。对于要扫描的整个地址空间，需要提供 0 到 65535 的 端口范围，像这样：

在这个李忠，远程系统的所有开放端口都由扫描所有可能的 TCP 端口地址来识别。我们也可以修改扫描配置使用破折号记法来扫描地址序列。

这个例子中，TCP SYN 扫描执行在由 RHOST 变量指定的所有主机地址的 80 端口上。与之相似， RHOSTS 可以使用 CIDR 记法定义网络范围。

Metasploit SYN 扫描辅助模块背后的底层原理和任何其它 SYN 扫描工具一样。对于每个被扫描的端口，会发送 SYN 封包。SYN+ACK 封包会用于识别活动服务。使用 MEtasploit 可能更加有吸引力，因为它拥有交互控制台，也因为它是个已经被多数渗透测试者熟知的工具。

除了我们之前学到了探索技巧，hping3 也可以用于执行端口扫描。这个秘籍展示了如何使用 hping3 来执行 TCP 隐秘扫描。

为了使用 hping3 执行 TCP 隐秘扫描，你需要一个运行 TCP 网络服务的远程服务器。这个例子中我们使用 Metasploitable2 实例来执行任务。配置 Metasploitable2 的更多信息请参考第一章中的“安装 Metasploitable2”秘籍。

除了我们之前学到了探索技巧，hping3 也可以用于执行端口扫描。为了使用 hping3 执行端口扫描，我们需要以一个整数值使用 --scan 模式来指定要扫描的端口号。

上面的例子中，SYN 扫描执行在指定 IP 地址的 TCP 端口 80 上。 -S 选项指明了发给远程系统的封包中激活的 TCP 标识。表格展示了接收到的响应封包中的属性。我们可以从输出中看到，接收到了SYN+ACK 响应，所以这表示目标主机端口 80 是开放的。此外，我们可以通过输入够好分隔的端口号列表来扫描多个端口，像这样：

在上面的扫描输出中，你可以看到，仅仅展示了接受到 SYN+ACK 标识的结果。要注意和发送到 443 端口的 SYN 请求相关的响应并没有展示。从输出中可以看出，我们可以通过使用 -v 选项增加详细读来查看所有响应。此外，可以通过传递第一个和最后一个端口地址值，来扫描端口范围，像这样：

这个例子中，100 个端口的扫描足以识别 Metasploitable2 系统上的服务。但是，为了执行 所有 TCP 端口的扫描，需要扫描所有可能的端口地址值。定义了源端口和目标端口地址的 TCP 头部部分是 16 位长。并且，每一位可以为 1 或者 0。因此，共有 2 ** 16 或者 65536 个可能的 TCP 端口地址。对于要扫描的全部可能的地址空间，需要提供 0 到 65535 的端口范围，像这样：

hping3 不用于一些已经提到的其它工具，因为它并没有 SYN 扫描模式。但是反之，它允许你指定 TCP 封包发送时的激活的 TCP 标识。在秘籍中的例子中， -S 选项让 hping3 使用 TCP 封包的 SYN 标识。

在多数扫描工具当中，TCP 连接扫描比 SYN 扫描更加容易。这是因为 TCP 连接扫描并不需要为了生成和注入 SYN 扫描中使用的原始封包而提升权限。Scapy 是它的一大例外。Scapy 实际上非常难以执行完全的 TCP 三次握手，也不实用。但是，出于更好理解这个过程的目的，我们来看看如何使用 Scapy 执行连接扫描。

为了使用 Scapy 执行全连接扫描，你需要一个运行 UDP 网络服务的远程服务器。这个例子中我们使用 Metasploitable2 实例来执行任务。配置 Metasploitable2 的更多信息请参考第一章中的“安装 Metasploitable2”秘籍。

此外，这一节也需要编写脚本的更多信息，请参考第一章中的“使用文本编辑器*VIM 和 Nano）。

Scapy 中很难执行全连接扫描，因为系统内核不知道你在 Scapy 中发送的请求，并且尝试阻止你和远程系统建立完整的三次握手。你可以在 Wireshark 或 tcpdump 中，通过发送 SYN 请求并嗅探相关流量来看到这个过程。当你接收到来自远程系统的 SYN+ACK 响应时，Linux 内核会拦截它，并将其看做来源不明的响应，因为它不知道你在 Scapy 中 发送的请求。并且系统会自动使用 TCP RST 封包来回复，因此会断开握手过程。考虑下面的例子：

这个 Python 脚本的例子可以用做 POC 来演系统破坏三次握手的问题。这个脚本假设你将带有开放端口活动系统作为目标。因此，假设 SYN+ACK 回复会作为初始 SYN 请求的响应而返回。即使发送了最后的 ACK 回复，完成了握手，RST 封包也会阻止连接建立。我们可以通过观察封包发送和接受来进一步演示。

在这个 Python 脚本中，每个发送的封包都在传输之前展示，并且每个收到的封包都在到达之后展示。在检验每个封包所激活的 TCP 标识的过程中，我们可以看到，三次握手失败了。考虑由脚本生成的下列输出：

在脚本的输出中，我们看到了四个封包。第一个封包是发送的 SYN 请求，第二个封包时接收到的 SYN+ACK 回复，第三个封包时发送的 ACK 回复，之后接收到了 RST 封包，它是最后的 ACK 回复的响应。最后一个封包表明，在建立连接时出现了问题。Scapy 中可能能够建立完成的三次握手，但是它需要对本地 IP 表做一些调整。尤其是，如果你去掉发往远程系统的 TSR 封包，你就可以完成握手。通过使用 IP 表建立过滤机制，我们可以去掉 RST 封包来完成三次握手，而不会干扰到整个系统（这个配置出于功能上的原理并不推荐）。为了展示完整三次握手的成功建立，我们使用 Netcat 建立 TCP 监听服务。之后尝试使用 Scapy 连接开放的端口。

这个例子中，我们在 TCP 端口 4444 开启了监听服务。我们之后可以修改之前的脚本来尝试连接 端口 4444 上的 Netcat 监听服务。

这个脚本中，SYN 请求发送给了监听端口。收到 SYN+ACK 回复之后，会发送 ACK回复。为了验证连接尝试被系统生成的 RST 封包打断，这个脚本应该在 Wireshark 启动之后执行，来捕获请求蓄力。我们使用 Wireshark 的过滤器来隔离连接尝试序列。所使用的过滤器是 tcp (ip.src == 172.16.36.135 || ip.dst == 172.16.36.135) 。过滤器仅仅用于展示来自或发往被扫描系统的 TCP 流量。像这样：

既然我们已经精确定位了问题。我们可以建立过滤器，让我们能够去除系统生成的 RST 封包。这个过滤器可以通过修改本地 IP 表来建立：

在这个例子中，本地 IP 表的修改去除了所有发往被扫描主机的目标地址的 TCP RST 封包。 list 选项随后可以用于查看 IP 表的条目，以及验证配置已经做了修改。为了执行另一次连接尝试，我们需要确保 Natcat 仍旧监听目标的 4444 端口，像这样：

和之前相同的 Python 脚本可以再次使用，同时 WIreshark 会捕获后台的流量。使用之前讨论的显示过滤器，我们可以轻易专注于所需的流量。要注意三次握手的所有步骤现在都可以完成，而不会收到系统生成的 RST 封包的打断，像这样：

此外，如果我们看一看运行在目标系统的 Netcat 服务，我们可以注意到，已经建立了连接。这是用于确认成功建立连接的进一步的证据。这可以在下面的输出中看到：

虽然这个练习对理解和解决 TCP 连接的问题十分有帮助，恢复 IP 表的条目也十分重要。RST 封包 是 TCP 通信的重要组成部分，去除这些响应会影响正常的通信功能。洗唛按的命令可以用于刷新我们的 iptable 规则，并验证刷新成功：

就像例子中展示的那样， flush 选项应该用于清楚 IP 表的条目。我们可以多次使用 list 选项来验证 IP 表的条目已经移除了。

执行 TCP 连接扫描的同居通过执行完整的三次握手，和远程系统的所有被扫描端口建立连接。端口的状态取决于连接是否成功建立。如果连接建立，端口被认为是开放的，如果连接不能成功建立，端口被认为是关闭的。

关于电脑的端口介绍以及查看自己电脑端口的办法

用netstat -a —n命令查看！再stat下面有一些英文

LISTEN：侦听来自远方的TCP端口的连接请求

SYN-SENT：再发送连接请求后等待匹配的连接请求

SYN-RECEIVED：再收到和发送一个连接请求后等待对方对连接请求的确认

ESTABLISHED：代表一个打开的连接

FIN-WAIT-1：等待远程TCP连接中断请求，或先前的连接中断请求的确认

FIN-WAIT-2：从远程TCP等待连接中断请求

CLOSE-WAIT：等待从本地用户发来的连接中断请求

CLOSING：等待远程TCP对连接中断的确认

LAST-ACK：等待原来的发向远程TCP的连接中断请求的确认

TIME-WAIT：等待足够的时间以确保远程TCP接收到连接中断请求的确认

CLOSED：没有任何连接状态

在Internet上，各主机间通过TCP/TP协议发送和接收数据报，各个数据报根据其目的主机的ip地址来进行互联网络中的路由选择。可见，把数据报顺利的传送到目的主机是没有问题的。问题出在哪里呢?我们知道大多数操作系统都支持多程序（进程）同时运行，那么目的主机应该把接收到的数据报传送给众多同时运行的进程中的哪一个呢？显然这个问题有待解决，端口机制便由此被引入进来。

本地操作系统会给那些有需求的进程分配协议端口（protocal port，即我们常说的端口），每个协议端口由一个正整数标识，如：80，139，445，等等。当目的主机接收到数据报后，将根据报文首部的目的端口号，把数据发送到相应端口，而与此端口相对应的那个进程将会领取数据并等待下一组数据的到来。说到这里，端口的概念似乎仍然抽象，那么继续跟我来，别走开。

端口其实就是队，操作系统为各个进程分配了不同的队，数据报按照目的端口被推入相应的队中，等待被进程取用，在极特殊的情况下，这个队也是有可能溢出的，不过操作系统允许各进程指定和调整自己的队的大小。

不光接受数据报的进程需要开启它自己的端口，发送数据报的进程也需要开启端口，这样，数据报中将会标识有源端口，以便接受方能顺利的回传数据报到这个端口。

端口的分类:

在Internet上，按照协议类型分类，端口被分为TCP端口和UDP端口两类，虽然他们都用正整数标识，但这并不会引起歧义，比如TCP的80端口和UDP的80端口，因为数据报在标明端口的同时，还将标明端口的类型。

从端口的分配来看，端口被分为固定端口和动态端口两大类（一些教程还将极少被用到的高端口划分为第三类：私有端口）：

固定端口（0－1023）：

使用集中式管理机制，即服从一个管理机构对端口的指派，这个机构负责发布这些指派。由于这些端口紧绑于一些服务，所以我们会经常扫描这些端口来判断对方是否开启了这些服务，如TCP的21（ftp），80（http），139（netbios），UDP的7（echo），69（tftp）等等一些大家熟知的端口；

动态端口（1024－49151）：

这些端口并不被固定的捆绑于某一服务，操作系统将这些端口动态的分配给各个进程，同一进程两次分配有可能分配到不同的端口。不过一些应用程序并不愿意使用操作系统分配的动态端口，他们有其自己的‘商标性’端口，如oicq客户端的4000端口，木马冰河的7626端口等都是固定而出名的。

端口在入侵中的作用:

有人曾经把服务器比作房子，而把端口比作通向不同房间（服务）的门，如果不考虑细节的话，这是一个不错的比喻。入侵者要占领这间房子，势必要破门而入（物理入侵另说），那么对于入侵者来说，了解房子开了几扇门，都是什么样的门，门后面有什么东西就显得至关重要。

入侵者通常会用扫描器对目标主机的端口进行扫描，以确定哪些端口是开放的，从开放的端口，入侵者可以知道目标主机大致提供了哪些服务，进而猜测可能存在的漏洞，因此对端口的扫描可以帮助我们更好的了解目标主机，而对于管理员，扫描本机的开放端口也是做好安全防范的第一步。

常见端口的介绍

由于本人知识有限，在这里只介绍一些浅显的内容。

1）21 ftp

此端口开放表示服务器提供了FTP服务，入侵者通常会扫描此端口并判断是否允许匿名登陆，如果能找到可写目录，还可以上传一些黑客程序做近一步入侵。要想关闭此端口，需要关闭FTP服务。

2）23 Telnet

此端口开放表示服务器提供了远程登陆服务，如果你有管理员的用户名和密码，可以通过这个服务来完全控制主机（不过要先搞定NTLM身份认证），获得一个命令行下的shell。许多入侵者喜欢开启这个服务作为后门。要想关闭此端口，需要关闭Telnet服务。

3）25 smtp

此端口开放表示服务器提供了SMTP服务，一些不支持身份验证的服务器允许入侵者发送邮件到任何地点，SMTP服务器（尤其是sendmail）也是进入系统的最常用方法之一。要想关闭此端口，需要关闭SMTP服务。

4）69 TFTP(UDP)

此端口开放表示服务器提供了TFTP服务，它允许从服务器下载文件，也可以写入文件，如果管理员错误配置，入侵者甚至可以下载密码文件。许多入侵者通过在自己机器运行此服务来传文件到目标机器，从而实现文件的传输。要想关闭此端口，需要关闭TFTP服务。

5）79 finger

用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误， 回应从自己机器到其它机器finger扫描。

6）80 http

此端口开放表示服务器提供了HTTP服务，可以让访问者浏览其网页等，大部分针对IIS服务器的溢出攻击都是通过这个端口的，可以说是入侵者最常攻击的一个端口了。要想关闭此端口，需要关闭HTTP服务。

7）110 POP3

用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统，成功登陆后还有其它缓冲区溢出错误。

8）TCP的139和445

许多人都很关心这两个端口，那我就来详细的介绍一下吧：

首先我们来了解一些基础知识：

1 SMB:(Server Message Block) Windows协议族，用于文件打印共享的服务；

2 NBT:(NETBios Over TCP/IP)使用137（UDP）138（UDP）139（TCP）端口实现基于TCP/IP协议的NETBIOS网络互联。

3 在WindowsNT中SMB基于NBT实现，即使用139（TCP）端口；而在Windows2000中，SMB除了基于NBT实现，还可以直接通过445端口实现。

有了这些基础知识，我们就可以进一步来讨论访问网络共享对端口的选择了：

对于win2000客户端（发起端）来说：

1 如果在允许NBT的情况下连接服务器时，客户端会同时尝试访问139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，用455端口进行会话，当445端口无响应时，才使用139端口，如果两个端口都没有响应，则会话失败；

2 如果在禁止NBT的情况下连接服务器时，那么客户端只会尝试访问445端口，如果445端口无响应，那么会话失败。

对于win2000服务器端来说：

1 如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放（LISTENING）；

2 如果禁止NBT，那么只有445端口开放。

我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见，如果远程服务器没有监听139或445端口，ipc$会话是无法建立的。那么如何关闭2000上这两个端口呢？

139端口可以通过禁止NBT来屏蔽

本地连接－TCP/IT属性－高级－WINS－选‘禁用TCP/IT上的NETBIOS’一项

445端口可以通过修改注册表来屏蔽

添加一个键值

Hive: HKEY_LOCAL_MACHINE

Key: System\Controlset\Services\NetBT\Parameters

Name: SMBDeviceEnabled

Type: REG_DWORD

value: 0

修改完后重启机器

9）3389 Terminal Services

此端口开放表示服务器提供了终端服务，如果你获得了管理员的用户名和密码，那么你可以通过这个服务在图形界面下完全控制主机，这的确是一件令人向往的事情，但如果你得不到密码也找不到输入法漏洞，你会感到束手无策。要想关闭此端口，需要关闭终端服务。

端口的相关工具

1 netstat -an

的确，这并不是一个工具，但他是查看自己所开放端口的最方便方法，在cmd中输入这个命令就可以了。如下：

C:\netstat -an

Active Connections

Proto Local Address Foreign Address State

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING

TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING

UDP 0.0.0.0:135 *:*

UDP 0.0.0.0:445 *:*

UDP 0.0.0.0:1027 *:*

UDP 127.0.0.1:1029 *:*

UDP 127.0.0.1:1030 *:*

这是我没上网的时候机器所开的端口，两个135和445是固定端口，其余几个都是动态端口。

2 fport.exe和mport.exe

这也是两个命令行下查看本地机器开放端口的小程序，其实与netstat -an这个命令大同小异，只不过它能够显示打开端口的进程，信息更多一些而已，如果你怀疑自己的奇怪端口可能是木马，那就用他们查查吧。

3 activeport.exe（也称aports.exe）

还是用来查看本地机器开放端口的东东，除了具有上面两个程序的全部功能外，他还有两个更吸引人之处：图形界面以及可以关闭端口。这对菜鸟来说是个绝对好用的东西，推荐使用喔。

4 superscan3.0

它的大名你不会没听说过吧，纯端口扫描类软件中的NO.1，速度快而且可以指定扫描的端口，不多说了，绝对必备工具。

保护好自己的端口:

刚接触网络的朋友一般都对自己的端口很敏感，总怕自己的电脑开放了过多端口，更怕其中就有后门程序的端口，但由于对端口不是很熟悉，所以也没有解决办法，上起网来提心吊胆。其实保护自己的端口并不是那么难，只要做好下面几点就行了：

1 查看：经常用命令或软件查看本地所开放的端口，看是否有可疑端口；

2 判断：如果开放端口中有你不熟悉的，应该马上查找端口大全或木马常见端口等资料（网上多的很），看看里面对你那个可疑端口的作用描述，或者通过软件查看开启此端口的进程来进行判断；

3 关闭：如果真是木马端口或者资料中没有这个端口的描述，那么应该关闭此端口，你可以用防火墙来屏蔽此端口，也可以用本地连接－TCP/IP－高级－选项－TCP/IP筛选，启用筛选机制来筛选端口；

网络规划师的考试

考试说明

1．考试目标

通过本考试的合格人员应具备以下能力：

（1）熟悉所涉及的应用领域的业务。

（2）能够进行计算机网络领域的需求分析、规划设计、部署实施、评测、运行维护等工作。

●　在需求分析阶段，能分析用户的需求和约束条件，写出网络系统需求规格说明书。

●　在规划设计阶段，能根据系统需求规格说明书，完成逻辑结构设计、物理结构设计，选用适宜的网络设备，按照标准规范编写系统设计文档及项目开发计划。

●　在部署实施阶段，能按照系统设计文档和项目开发计划组织项目施工，对项目实施过程进行质量控制、进度控制、成本管理，能具体指导项目实施。

●　在评测运维阶段，能根据相关标准和规范对网络进行评估测试，能制定运行维护、故障分析与处理机制，确保网络提供正常服务。

（3）能指导制订用户的数据和网络战略规划，能指导网络工程师进行系统建设实施。

（4）具有高级工程师的实际工作能力和业务水平。

2．考试要求

（1）系统掌握数据通信基本原理；

（2）系统掌握计算机网络的原理；

（3）系统掌握计算机系统的基本原理；

（4）系统掌握局域网、广域网、Internet的技术；

（5）系统掌握TCP/IP体系结构及协议；

（6）掌握网络计算环境与网络应用；

（7）熟练掌握各类网络产品及其应用规范；

（8）掌握网络安全和信息安全技术、安全产品及其应用规范；

（9）熟练应用项目管理的方法和工具实施网络工程项目；

（10）具备大中型网络设计、部署和管理的时间经验和能力；

（11）具有大中型网络测试及评估的实践经验和能力；

（12）熟悉有关的法律法规与标准；

（13）具有应用数学、经济与管理科学的相关基础知识；

（14）熟练阅读和正确理解相关领域的英文文献。

3．本考试设置的科目

（1）网络规划与设计综合知识，考试时间为150分钟，笔试，选择题；

（2）网络规划与设计案例分析，考试时间为90分钟，笔试，问答题；

（3）网络规划与设计论文，考试时间为120分钟，笔试，论文题。

二、考试范围

考试科目1：网络规划与设计综合知识

1．计算机网络原理

1.1　计算机网络基础知识

1.1.1　计算机网络的定义与应用

1.1.2　计算机网络组成

●　计算机网络物理组成

●　计算机网络功能组成

1.1.3　计算机网络分类

●　按分布范围分类

●　按拓扑结构分类

●　按交换技术分类

●　按采用协议分类

●　按使用传输介质分类

1.1.4　网络体系结构模型

●　分层与协议

●　接口与服务

●　ISO/OSI与TCP/IP体系结构模型

1.2　数据通信基础知识

1.2.1　数据通信概念

●　数字传输与模拟传输

●　基带传输与频带传输

1.2.2　数据通信系统

●　数据通信系统模型

●　同步方式

●　检错与纠错

1.2.3　数据调制与编码

●　数字数据的编码与调制

●　模拟数据的编码与调制

1.2.4　复用技术

●　时分复用

●　频分复用

●　波分复用

●　码分复用

●　统计时分复用

1.2.5　数据交换方式

●　电路交换

●　报文交换

●　分组交换

●　信元交换

1.2.6　传输介质

●　双绞线

●　同轴电缆

●　光纤

●　无线

1.3　网络分层与功能

1.3.1　应用层

●　应用层功能

●　应用层实现模型

1.3.2　传输层

●　传输层的功能

●　传输层的实现模型

●　流量控制策略

1.3.3　网络层

●　网络层功能

●　数据报与虚电路

1.3.4　数据链路层

●　数据链路层功能

●　数据链路层差错控制方法

●　基本链路控制规程

●　数据链路层协议

1.3.5　物理层

●　物理层功能

●　物理层协议

1.4　网络设备与网络软件

1.4.1　网卡

1.4.2　调制解调器（MODEM）

1.4.3　交换机

●　交换机的功能

●　交换机的工作原理

●　交换机的类型

1.4.4　路由器

●　路由器的功能

●　路由器的结构与工作原理

1.4.5　网关

1.4.6　无线局域网设备（AP、AC）

1.4.7　防火墙

1.4.8　网络操作系统

1.4.9　常用的网络软件

1.5　局域网

1.5.1　局域网基础知识

●　局域网定义

●　局域网拓扑结构

1.5.2访问控制方式

●　访问控制方式的分类

●　令牌访问控制方式

●　CSMA/CD访问控制方式

1.5.3　局域网协议

●　IEEE802 LAN体系结构与协议

●　IEEE802.3协议

1.5.4　高速局域网

●　100M以太网

●　1G以太网

●　10G以太网

1.5.5　无线局域网

●　Wi-Fi (802.11)无线局域网

●　蓝牙技术

1.5.6　虚拟局域网

●　VLAN的概念

●　VLAN的实现

●　IEEE 802.1Q/ISL VTP协议

1.5.7　冗余网关技术（HSRP、VRRP、GLBP）

1.5.8　以太网环保护技术（RPR）

1.6　广域网与接入

1.6.1　广域网的概念

1.6.2　拥塞控制

●　拥塞概念

●　拥塞控制原理

●　拥塞控制方法

1.6.3　公用通信网

●　PSTN

●　ISDN/BISDN网络

●　SDH网络

●　WDM网络

●　MSTP网络

●　移动通信网络

1.6.4接入技术

●　PSTN接入

●　ISDN接入

●　xDSL接入

●　Cable Modem接入

●　局域网接入

●　无线接入

●　光网络接入（PON）

1.7　网络互连

1.7.1　网络互连概念

1.7.2　网络互连方法

1.7.3　路由算法

●　静态路由算法

●　自适应路由算法

●　广播路由算法

●　分层路由算法

1.8　Internet协议

1.8.1　网络层协议

●　IPv4协议

●　IP地址与子网概念

●　IPv4分组格式

●　IP封装与分片

●　路由协议

●　路由信息协议RIP

●　开放最短路径优先协议OSPF

●　边界网关协议BGP

●　组播协议PIM与MOSPF

●　地址解析协议ARP与反向地址解析协议RARP

●　Internet控制报文协议ICMP

●　IPv6协议

●　IPv6地址

●　IPv6分组格式

●　IPv6地址自动配置

●　邻节点发现过程

●　IPv4向IPv6的过渡

1.8.2　传输层协议TCP与UDP

●　TCP协议

●　TCP定时管理机制

●　TCP拥塞控制策略（含RED）

●　UDP协议

1.8.3　应用层协议

●　域名系统DNS

●　电子邮件协议

●　文件传输协议FTP

●　远程登录协议Telnet

●　Web应用与HTTP协议

●　动态主机配置协议DHCP

●　P2P应用协议

1.8.4　代理与NAT

1.8.5　无线网路协议

●　移动IP协议

●　无线TCP

●　无线Web协议WAP

1.9　网络管理

1.9.1　网络管理基本概念

1.9.2　管理信息的组织与表示

●　抽象语法表示ASN.1

●　管理信息结构SMI

●　管理信息库MIB

1.9.3　简单网络管理协议

●　SNMPv1、SNMPv2、SNMPv3

●　RMON

1.9.4　网络管理工具

●　基于Web的管理

●　典型网络管理工具

1.10　服务质量控制技术

1.10.1　IntServ

1.10.2　DiffServ

1.10.3　MPLS

2．计算机网络规划与设计知识

2.1　网络分析与设计过程

2.1.1　网络生命周期

2.1.2　网络开发过程

2.1.3　网络设计文档要素

2.2　需求分析

2.2.1　需求分析内容

2.2.2　业务流量分析要素与方法

2.2.3　通信量分析要素与方法

2.2.4　网络设计的约束条件

2.2.5　需求说明书编制

2.3　逻辑设计

2.3.1　物理层设计

2.3.2　网络互联设计

2.3.3　网络逻辑结构

2.3.4　节点容量和传输流量估算

2.3.5　VLAN策略

2.3.6　网络管理设计

2.3.7　网络地址设计

2.3.8　网络安全设计

2.3.9　逻辑网络设计文档规范

2.4　物理设计

2.4.1　结构化布线设计

2.4.2　网络中心机房要求

2.4.3　网络物理结构

2.4.4　设备选型和配置

2.4.5　物理网络设计文档规范

2.5　网络测试、优化和管理

2.5.1　网络测试的方法和工具

2.5.2　性能优化的方法和技术

2.5.3　网络管理和网络监控

2.5.4　测试文档

2.6　网络故障分析与处理

2.6.1　常见的网络故障

2.6.2　网络故障的分析

2.6.3　网络故障的检测

2.6.4　网络故障的定位与排除

2.6.5　故障处理文档

2.7　网络系统性能评估技术和方法

3．网络资源设备

3.1　网络服务器

3.1.1　RISC架构服务器

3.1.2　IA架构服务器

3.1.3　性能要求及配置要点

3.1.4　服务器相关技术

3.2　网络存储系统

3.2.1　SCSI接口卡与控制卡

3.2.2　独立磁盘冗余阵列（RAID）

3.2.3　磁带库

3.2.4　光盘塔

3.2.5　DAS技术

3.2.6　NAS技术

3.2.7　SAN技术

3.2.8　备份系统及备份软件

3.3　其它资源

3.3.1　视频会议系统

3.3.2　网络电话系统

4．网络安全

4.1　网络不安全因素与网络安全体系

4.2　恶意软件的防治

4.2.1　计算机病毒知识

4.2.2　计算机病毒防护软件

4.2.3　网络蠕虫病毒的清除与预防

4.2.4　木马的检测与清除方法

4.3　黑客攻击及预防方法

4.3.1　拒绝服务攻击与防御

4.3.2　缓冲区溢出攻击与防御

4.3.3　程序漏洞攻击与防御

4.3.4　欺骗攻击与防御

4.3.5　端口扫描

4.3.6　强化TCP/IP堆栈以抵御拒绝服务攻击

4.3.7　系统漏洞扫描

4.4　防火墙应用

4.4.1　防火墙应用规则

4.4.2　防火墙系统应用设计

4.5　ISA　Server应用配置

4.6　IDS与IPS

4.6.1　IDS原理及应用

4.6.2　IPS原理及应用

4.7　访问控制技术

4.7.1　自主访问控制

4.7.2　强制访问控制

4.7.3　基于角色访问控制

4.7.4　访问控制机制

4.8　VPN技术

4.8.1　PPTP/L2TP/GRE

4.8.2　IPSec

4.8.3　MPLS VPN

4.8.4　VPDN

4.9　网络安全隔离

4.9.1　划分子网隔离

4.9.2　VLAN子网隔离

4.9.3　逻辑隔离

4.9.4　物理隔离

4.10　安全认证方法与技术

4.10.1　PKI

4.10.2　证书管理

4.10.3　身份认证

4.11　加密和数字签名

4.11.1　加密技术

4.11.2　数字签名技术

4.11.3　密钥管理

4.11.4　电子印章

4.12　网络安全应用协议

4.12.1　SSL

4.12.2　SET

4.12.3　HTTPS

4.13　安全审计

4.13.1　审计内容

4.13.2　审计工具

4.14　安全管理策略和制度

5．项目管理

5.1　项目计划管理

5.2　项目范围管理

5.2.1　工作分解结构

5.2.2　范围确认和控制

5.3　项目进度控制

5.3.1　活动资源估算

5.3.2　活动历时估算

5.3.3　进度控制技术和工具

5.4　项目成本管理

5.4.1　项目估算

5.4.2　成本预算

5.4.3　成本控制技术和工具

5.5　项目风险管理

5.6　项目质量管理

5.6.1　质量管理的内容

5.6.2　质量管理的方法

5.7　项目文档管理

6．标准化与法律法规

6.1　标准的分类

6.2　标准化机构

6.3　知识产权

6.4　互联网有关的法律法规

7．财务管理相关知识

7.1　会计常识

7.2　财务管理实务

8.　应用数学

8.1　概率统计应用

8.2　图论应用

8.3　组合分析

8.4　运筹方法

9.　专业英语

9.1　具有高级工程师所要求的英文阅读水平

9.2　熟悉网络规划设计师岗位相关领域的专业英文术语

考试科目2：网络规划与设计案例分析

1．网络规划与设计

●　大中型企业网络规划

●　大中型园区网络规划

●　无线网络规划

●　网络需求分析

●　网络安全性分析

●　逻辑网络设计

●　物理网络设计

●　网络设备选型

●　网络设备选型性能评估

2．网络工程管理

●　网络工程计划及成本控制

●　网络工程进度控制

●　网络工程质量控制

3．网络优化

●　网络现状分析

●　网络缺陷分析

●　网络优化方案

●　网络优化投资预算

4．网络配置

●　桥接配置（交换部分）

●　路由配置

●　IP地址配置

●　服务质量配置

●　VLAN配置

●　防火墙配置

●　IDS/IPS配置

●　隔离网闸配置

●　VPN配置

●　服务器配置

5．网络性能分析与测试

6．网络故障分析

●　故障分析

●　故障检测

●　故障处理

考试科目3：网络规划与设计论文

根据试卷上给出的与网络规划与设计有关的若干个论文题目，选择其中一个题目，按照规定的要求撰写论文。论文涉及的内容如下：

1．网络技术应用与对比分析

●　交换技术类

●　路由技术类

●　网络安全技术类

●　服务器技术类

●　存储技术类

2．网络技术对应用系统建设的影响

●　网络计算模式

●　应用系统集成技术

●　P2P技术

●　容灾备份与灾难恢复

●　网络安全技术

●　基于网络的应用系统开发技术

3．专用网络需求分析、设计、实施和项目管理

●　工业网络

●　电子政务网络

●　电子商务网络

●　保密网络

●　无线数字城市网络

●　应急指挥网络

●　视频监控网络

●　机房工程

4．下一代网络技术分析

●　IPv6

●　全光网络

●　3G、B3G、4G、WiMAX、WMN等无线网络

●　多网融合

电脑文件夹自动出来一些黄色信息是怎么回事

分类: 电脑/网络 操作系统/系统故障

问题描述:

就像那个qq文件夹 莫名奇妙的出现了一些黄色信息 或者黄色图片 有时候自己都不知道 而且删除了文件夹又出现了 自己完全的不知道 各位好心人 帮帮忙 阿 ！

解析:

肯定是中毒了！

推荐你用世界知名的杀毒软件－卡巴斯基

软件介绍如下：

卡巴斯基®互联网安全套装6.0个人版是为计算机提供信息安全保障的组合解决方案，可使您的计算机免受各种网络威胁，包括：病毒、黑客攻击、垃圾邮件及间谍软件。近来,“地下犯罪”组织日益侵扰互联网，多数计算机随时都有遭受“综合威胁”的风险，因此，仅仅针对反病毒的防护产品也许不能为您的计算机提供完整保护。卡巴斯基®互联网安全套装6.0个人版结合了所有卡巴斯基实验室的最新技术，针对恶意代码、网络攻击、以及垃圾邮件进行防护。所有的程序组件可以无缝结合，从而避免了不必要的系统冲突，确保系统高效运行。

软件特征：

◇建立统一的防护体系

卡巴斯基®互联网安全套装6.0个人版能够处理进出计算机的所有数据，包括电子邮件、互联网数据流和网络互动，带给用户非一般的完整防护。保护在线交流在用户通过邮件、即时通讯工具和skype交流与沟通时，本软件可以提供实时的保护，包括持续、稳定的反病毒扫描和垃圾邮件过滤，使您的邮箱远离病毒并且免受垃圾邮件的骚扰。

◇简单便捷

最初的配置向导帮助您选择程序最佳的运行模式，反病毒数据库与程序模块的常规更新将自动执行。准确的程序设置内容介绍，帮助用户迅速理解程序设置的细节要点。

◇邮件保护

对所有符合POP3、IMAP、NNTP和SMTP协议接收或发送的邮件进行扫描。适用于任意一款邮件程序,并针对现今流行的邮件客户端例如微软Outlook和微软Outlook Express作了专门的优化(可扫描邮件数据库）。

◇系统文件保护

能对所有单独的文件、目录或者逻辑分区进行病毒扫描，而且可以只对操作系统的系统文件夹以及启动对象等关键区域进行扫描。把注意力集中在容易被感染的对象和区域将大大节约扫描时间。

◇主动防御

本软件可在任何危险的、可疑的或隐藏的（Rootkits）进程出现时发出警报，阻断对系统的所有有害更改，并可在恶意行为出现后将系统复原。(操作说明详见用户手册）

◇保护机密信息

防止泄露机密信息。程序可以检测钓鱼信息，并警告用户连接到了钓鱼站点，避免网络诈骗者使用社会工程学方法以及似是而非的借口说服用户提供机密信息，例如帐户、密码及访问在线银行的信息。

◇无忧网上冲浪

在用户登陆网络站点访问时预防危险进程的嵌入，以阻止弹出窗口和广告标语，这些危险的行为不仅令人讨厌，同时也是恶意代码进入用户计算机的一种方式。阻止自动拨号程序识别并阻止试图以用户的调制解调器来拨打付费服务电话的恶意程序。

◇阻止网络攻击

检测是否存在对用户计算机进行端口扫描的操作，在网络攻击之前做出预警。通过对常见的几种攻击行为的检测阻止黑客攻击，并且对所有的网络行为进行监控，提供有效的统计信息。

◇对网络行为的完全控制

控制应用程序的所有请求，并根据不同的网络源定义不同的程序规则设置，同时跟踪所有进出的数据包。

◇对任意网络的保护工作

允许用户计算机在连接网络时指定网络类型（可信赖的网络、企业内部或者互联网），为防火墙选择不同规则。

◇在线工作时选用隐身模式

选用此模式可以防止用户的计算机在互联网上被其他的计算机看见。当切换到此模式时，所有的网络行为会“隐形”，并且允许用户在不同的网络区域里设置不同的模式。

◇使用综合的方式检测垃圾邮件

使用多种方法检测垃圾邮件，例如：邮件地址的黑白名单（包括钓鱼站点的URL地址）、列举邮件正文的短语、分析邮件正文时使用自我学习法。我们的软件同样可以检测包含图像文件的垃圾邮件。

◇支持常见的邮件客户端

专门针对微软Outlook、微软Outlook Express和The Bat!等常用的邮件客户端做了优化，允许用户设置邮件的处理规则，并可对发件人的身份进行分析。

◇初步的邮件分析

节约用户设置网络通信的时间，邮件管理者可以利用快速学习向导分析所有收取邮件的标题，定制相应的黑白名单，并有选择地下载邮件，以便减少垃圾邮件和病毒被下载到用户计算机上的风险。

系统需求：

常规系统需求：

50 MB 可用硬盘空间

CD-ROM

( 可通过 CD 安装程序 )

可连接互联网

( 以激活本产品 )

微软 IE 5.5 或更高

( 以便通过互联网升级反病毒库和程序模块 )

Microsoft Windows 98 (SE)

英特尔奔腾 133 MHz 或更高

64 MB RAM

Microsoft Windows ME

英特尔奔腾 150 MHz 或更高

64MB RAM

Microsoft Windows NT

Workstation 4.0

( 需要 Service Pack 6a ):

英特尔奔腾 133 MHz 或更高

64MB RAM

Microsoft Windows 2000

Professional

( 需要 Service Pack 2 或更高 )

英特尔奔腾 133 MHz 或更高

64MB RAM

Microsoft Windows XP

Home Edition

英特尔奔腾 300 MHz 或更高

128 MB RAM

下载地址：yuhudie/downinfo/610