安全警报:报警!报警!本机某个端口突然有大量TCP连接,严重消耗本机的网络资源,网络速度急剧降低且不稳定,疑是来自外部的病毒或黑客攻击。
除了病毒或木马会利用由内到外的TCP连接,危害网络中的其他电脑外。本机也可能受到来自外部的攻击,如病毒或黑客攻击本机的某个网络端口,当然这些攻击也是利用TCP连接实现的,不同的是它们都是来自外部的恶意TCP连接。因此针对本机是否受到外部TCP连接攻击的检测,非常必要。
要想知道本机是否受到外部TCP连接的攻击,就需要通过监控某个端口来实现,使用“TCP攻击监控器v1.0”这款工具是不错的选择。
1.配置监控参数
如果笔者想监控Windows XP系统的IIS服务器的80端口是否受到攻击,可运行TCP攻击监控器,首先在“监控端口”栏中输入“80”,然后根据需要设置好“刷新周期”和“单IP最小连接数”,接下来该工具就会监控IIS服务器的80端口的外部TCP连接情况(图2)。
2.从记录中找出攻击源
在“TCP连接数”栏中详细地记录着每个与IIS服务器建立TCP连接的机器的IP地址,并且还记录了这个IP的TCP连接数。
如果短时间内,来自某个IP地址的TCP连接数非常多,那么很有可能就是使用这个IP地址的机器对IIS服务在进行TCP攻击,这是非常危险的。由于这些来自外部的TCP攻击很可能是病毒或黑客所为,为了保证IIS服务器的安全,我们可以在IIS服务器或网络防火墙中,彻底禁止该IP地址发起的访问,这样就摆脱了外部恶意TCP连接的攻击, Windows系统会更加安全。
方法总结:此方法适用于对来自外部的TCP连接进行自检,做好对这些外部的TCP连接的监控和自检工作,过滤有害的外部TCP连接,能够最大限度地减轻外部病毒或黑客攻击所带来的危害。
本期,我们介绍了如何对由内到外和外部的TCP连接进行自检。高效地完成自检工作,对防止病毒和木马的传播、攻击有着重要的作用。当然,任何恶意的TCP连接都是针对某个端口而建立的,因此做好端口的自检工作非常重要。在下期,我们将会为大家介绍如何对端口进行自检,敬请期待。
关注此文的读者还看过:
