端口监听

端口监听是指对客户端(个人机器)所操作的一种信息记录。端口监听还用于实现对共享目录访问的监测和控制。

详细描述

基本功能

端口监听工具

CiscoCATALYST交换机端口监听配置

3COM交换机端口监听配置

DELL交换机端口监听配置

NetCore交换机端口监听配置

Intel交换机端口监听配置

Avaya交换机端口监听配置

华为交换机端口监听配置

详细描述

很多人都已经知道了可以借助NETSTAT-AN来查看当前的连接与开放的端口，但NETSTAT并不万能，比如你的Win95遭到OOB攻击的时候，不等NETSTAT你就已经死机了。为此，出现了一种特殊的小工具——端口监听程序。端口监听并不是一项复杂的技术，但却能解决一些局部问题，当OOB攻击风行的时候，有些程序员期望借助端口监听的简单方式堵住这一漏洞，于是就有了象ICMPWATCH、ANTINUKE、NUKENABER等工具，而后来BO、NETBUS等流行起来，也有人试图通过NUKENABER来监听12345、31337这样的端口，来发现木马并防止黑客的攻击，后来出现的一些专门针对BO设计的程序，如BS120的前期版本也主要是依靠端口监听的方法，当然随着木马的日趋泛滥和木马Server端端口的可定义性，这种方法还是被放弃了。

不过值得一提的是ANTINUKE，这虽然是一个只有几十K的小程序，但他带有一个反击的功能，就是说，会用OOB攻击的方式反击发包向你139端口的人，而且它会使HACKTEK这样的扫描器在扫描到139时发生溢出而终止，大家不妨实验一下。

NUKENABER的优点在于他可以监听多个端口，Portmagic也有这样的功能。

基本功能

我们都知道远程访问一台机器的共享目录实际是访问139端口，那么只要对本机139的监听就可以察觉对远程的访问请求，这样的软件有很多，如ProtectX、NetAlert等等，他们的功能比较近似，都可以记录或显示试图连接你机器的IP地址并发出警告，可以让选择拒绝还是允许。

有些端口监听工具，不仅可以被动监听，也提供了一些有意思的功能，比如fakeserv让你的机器开放多个端口，使扫描者误认为你开放了Wingate、TELNET等多种服务，忙了一塌糊涂，结果才发现是个骗局。不仅浪费时间，而且还被你记录了IP。还有的让你的机器开放12345、31337等端口，待到有人用木马的客户端连接上来时，就发给他警告信息或利用木马本身的漏洞让他死机。

端口扫描器的缺陷就是只能监视固定的端口，面对越发恶劣的安全环境，仅仅凭借简单的端口监控程序是不够的。

端口监听工具

sniffer软件，主要作用是端口监听，很不错的，可以从网上下载。Catalyst2900XL/3500XL/2950系列交换机端口监听配置　以下命令配置端口监听：

portmonitor

例如，F0/1和F0/2、F0/2同属VLAN1，F0/1监听F0/2、F0/2端口：

interfaceFastEthernet0/1

portmonitorFastEthernet0/2

portmonitorFastEthernet0/5

portmonitorVLAN1

2.Catalyst4000，5000，and6000系列交换机端口监听配置

以下命令配置端口监听：

setspan

例如，模块6中端口1和端口2同属VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2监听端口1和3、4、5，setspan6/1,6/3-56/2

以下命令禁止端口监听：

setspandisable[dest_mod/dest_port|all]

CiscoCATALYST交换机端口监听配置

CISCOCATALYST交换机分为两种，在CATALYST家族中称监听端口为分析端口(analysisport)。

1、Catalyst2900XL/3500XL/2950系列交换机端口监听配置(基于CLI)

以下命令配置端口监听：

portmonitor

例如，F0/1和F0/2、F0/5同属VLAN1，F0/1监听F0/2、F0/5端口：

interfaceFastEthernet0/1

portmonitorFastEthernet0/2

portmonitorFastEthernet0/5

portmonitorVLAN1

2、Catalyst4000/5000/6000系列交换机端口监听配置(基于IOS)

以下命令配置端口监听：

setspan

例如，模块6中端口1和端口2同属VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2监听端口1和3、4、5，

setspan6/1,6/3-56/2

3COM交换机端口监听配置

在3COM交换机中，端口监听被称为“RovingAnalysis”。网络流量被监听的端口称作“监听口”（MonitorPort），连接监听设备的端口称作“分析口”（AnalyzerPort）。

以下命令配置端口监听：

指定分析口

featurerovingAnalysisadd，或缩写fra

例如：

Selectmenuoption:featurerovingAnalysisadd

Selectanalysisslot:1

Selectanalysisport:2

指定监听口并启动端口监听

featurerovingAnalysisstart，或缩写frsta

例如：

Selectmenuoption:featurerovingAnalysisstart

Selectslottomonitor(1-12):1

Selectporttomonitor (1-8):3

停止端口监听

featurerovingAnalysisstop，或缩写frsto

DELL交换机端口监听配置

在Dell交换机中，端口监听被称为“端口镜像”（PortMirroring）。使用交换机的管理界面，参数如下：

DestinationPort（目的地端口）：定义端口通信要镜像到的端口号；

SourcePort（源端口）：定义被镜像端口的端口号。

Add（添加）：添加端口镜像操作。

Type（类型）：指定要镜像的端口通信类型。可能的字段值包括：“RX”-表示镜像进入网络的数据；“TX”-表示镜像流出网络的数据；Both（）-表示镜像所有数据。

Status（状态）：表示端口的状态。可能的字段值包括：“Active”-表示端口被启用；“NotActive”-表示端口被禁用。

Remove（删除）：删除端口镜像会话。可能的字段值包括：“已选取”-删除端口镜像会话；“未选取”-保留端口镜像会话。

具体设置：

1、在PortMirroring对话框中的DestinationPort中选中目的端口（镜像端口），再单击Add按钮；

2、在系统将打开“AddSourcePort”（添加源端口）页面中，定义“SourcePort”（源端口）和“Type”（类型）字段，并单击“ApplyChanges”（应用更改），使系统接收更改。

（注：如果需要从端口镜像会话删除副本端口，请打开“PortMirroring”（端口镜像）页面，选取“Remove”（删除）复选框，再单击“ApplyChanges”（应用更改）。系统将删除端口镜像会话，并更新设备。）

以下命令配置端口监听：

指定分析口

CLI命令实例：

Console(config)#interfaceethernet1/e1

Console(config-if)#portmonitor1/e8

Console#showportsmonitor

SourceportDestinationPortTypeStatus

---------------------------------------

1/e11/e8RX,TXActive

NetCore交换机端口监听配置

NetCore交换机中，端口监听被称为“端口镜像”（PortMirroring）。

交换机提供四种监视状态：

Off关闭Mirror功能

Rx捕获被监视端口的接收数据

Tx捕获被监视端口的发送数据

Both捕获被监视端口的接收和发送的数据

进入NetCore的超级终端，在主菜单中输入“5”进入端口镜像设置界面，输入“1”设置端口镜像状态。

如设置端口1为镜像端口，端口8为被镜像端口，捕获该端口的接收和发送数据。

配置命令如下：

1.选择配置的选项(1,off,2.Rx,3.Tx,4.Both)：4

2.选择捕获端口：1

3.选择被镜像端口：8

按Esc键退回镜像设置界面，设置成功。

Intel交换机端口监听配置

Intel称端口监听为“MirrorPorts”。网络流量被监听的端口称作“源端口”（SourcePort），连接监听设备的端口称作“镜像口”（MirrorPort）。

配置端口监听步骤如下：

在navigation菜单，点击Statistics下的MirrorPorts，弹出MirrorPorts信息。

在ConfigureSource列中点击端口来选择源端口，弹出MirrorPortsConfiguration。

进行源端口设置：

源端口是镜像流量的来源口，镜像口是接收来自源端口流量的端口。

点击Apply确定

可以选择三种监听的方式：

1．连续（Always）：镜像全部流量。

2．周期（Periodic）：在一定周期内镜像全部流量。镜像周期在SamplingIntervalconfiguration中设置。

3．禁止（Disabled）：关闭流量镜像。

Avaya交换机端口监听配置

在Avaya交换机用户手册中，端口监听被称为“端口镜像”（PortMirror）。

以下命令配置端口监听：

{set|clear}PortMirror

设置端口侦听：

setportmirrorsource-port

mirror-portsampling[max-packets-sec

][piggyback-port]

禁止端口监听：

clearportmirror

命令中，

mod-port-range指定端口的范围；

mod-port-spec指定特定的端口；

piggyback-port指定双向镜像的端口；

sampling指定镜像周期；

max-packets-sec仅在sampling设置为periodic时使用，指定监听口每秒最多的数据报数量。

华为交换机端口监听配置

华为交换机用户手册中，端口监听被称为“端口镜像”（PortMirroring）。

使用HuaweiLanswitchView管理系统添加一个镜像端口：

选择DeviceSetup或StackSetup。

点击PortMirroring。

点击Add按钮。对于堆叠，点击Switch并从列表选择一个交换机。

点击Reflectfrom并选择流量将被镜像的端口。

点击Reflectto并选上面所选择的端口上的