端口监听

目录

·基本概念
·详细描述
·基本功能
·端口监听工具
·CiscoCATALYST交换机端口监听配置
·3COM交换机端口监听配置
·DELL交换机端口监听配置
·NetCore交换机端口监听配置
·Intel交换机端口监听配置
·Avaya交换机端口监听配置
·华为交换机端口监听配置

　　对客户端(个人机器)所操作的一种信息记录。　　很多人都已经知道了可以借助NETSTAT-AN来查看当前的连接与开放的端口，但NETSTAT并不万能，比如你的Win95遭到OOB攻击的时候，不等NETSTAT你就已经死机了。为此，出现了一种特殊的小工具——端口监听程序。端口监听并不是一项复杂的技术，但却能解决一些局部问题，当OOB攻击风行的时候，有些程序员期望借助端口监听的简单方式堵住这一漏洞，于是就有了象ICMPWATCH、ANTINUKE、NUKENABER等工具，而后来BO、NETBUS等流行起来，也有人试图通过NUKENABER来监听12345、31337这样的端口，来发现木马并防止黑客的攻击，后来出现的一些专门针对BO设计的程序，如BS120的前期版本也主要是依靠端口监听的方法，当然随着木马的日趋泛滥和木马Server端端口的可定义性，这种方法还是被放弃了。

　　不过值得一提的是ANTINUKE，这虽然是一个只有几十K的小程序，但他带有一个反击的功能，就是说，会用OOB攻击的方式反击发包向你139端口的人，而且它会使HACKTEK这样的扫描器在扫描到139时发生溢出而终止，大家不妨实验一下。

　　NUKENABER的优点在于他可以监听多个端口，Portmagic也有这样的功能。　　另外需要说明的是，端口监听还用于实现对共享目录访问的监测和控制，我们都知道远程访问一台机器的共享目录实际是访问139端口，那么只要对本机139的监听就可以察觉对远程的访问请求，这样的软件有很多，如ProtectX、NetAlert等等，他们的功能比较近似，都可以记录或显示试图连接你机器的IP地址并发出警告，可以让选择拒绝还是允许。

　　有些端口监听工具，不仅可以被动监听，也提供了一些有意思的功能，比如fakeserv让你的机器开放多个端口，使扫描者误认为你开放了Wingate、TELNET等多种服务，忙了一塌糊涂，结果才发现是个骗局。不仅浪费时间，而且还被你记录了IP。还有的让你的机器开放12345、31337等端口，待到有人用木马的客户端连接上来时，就发给他警告信息或利用木马本身的漏洞让他死机。

　　端口扫描器的缺陷就是只能监视固定的端口，面对越发恶劣的安全环境，仅仅凭借简单的端口监控程序是不够的。　　sniffer软件，主要作用是端口监听，很不错的，可以从网上下载。Catalyst2900XL/3500XL/2950系列交换机端口监听配置　　以下命令配置端口监听：

　　portmonitor

　　例如，F0/1和F0/2、F0/2同属VLAN1，F0/1监听F0/2、F0/2端口：

　　interfaceFastEthernet0/1

　　portmonitorFastEthernet0/2

　　portmonitorFastEthernet0/5

　　portmonitorVLAN1

　　2.Catalyst4000，5000，and6000系列交换机端口监听配置

　　以下命令配置端口监听：

　　setspan

　　例如，模块6中端口1和端口2同属VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2监听端口1和3、4、5，setspan6/1,6/3-56/2

　　以下命令禁止端口监听：

　　setspandisable[dest_mod/dest_port|all]　　CISCOCATALYST交换机分为两种，在CATALYST家族中称监听端口为分析端口(analysisport)。

　　1、Catalyst2900XL/3500XL/2950系列交换机端口监听配置(基于CLI)

　　以下命令配置端口监听：

　　portmonitor

　　例如，F0/1和F0/2、F0/5同属VLAN1，F0/1监听F0/2、F0/5端口：

　　interfaceFastEthernet0/1

　　portmonitorFastEthernet0/2

　　portmonitorFastEthernet0/5

　　portmonitorVLAN1

　　2、Catalyst4000/5000/6000系列交换机端口监听配置(基于IOS)

　　以下命令配置端口监听：

　　setspan

　　例如，模块6中端口1和端口2同属VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2监听端口1和3、4、5，

　　setspan6/1,6/3-56/2　　在3COM交换机中，端口监听被称为“RovingAnalysis”。网络流量被监听的端口称作“监听口”（MonitorPort），连接监听设备的端口称作“分析口”（AnalyzerPort）。

　　以下命令配置端口监听：

　　指定分析口

　　featurerovingAnalysisadd，或缩写fra

　　例如：

　　Selectmenuoption:featurerovingAnalysisadd

　　Selectanalysisslot:1

　　Selectanalysisport:2

　　指定监听口并启动端口监听

　　featurerovingAnalysisstart，或缩写frsta

　　例如：

　　Selectmenuoption:featurerovingAnalysisstart

　　Selectslottomonitor(1-12):1

　　Selectporttomonitor (1-8):3

　　停止端口监听

　　featurerovingAnalysisstop，或缩写frsto　　在Dell交换机中，端口监听被称为“端口镜像”（PortMirroring）。使用交换机的管理界面，参数如下：

　　DestinationPort（目的地端口）：定义端口通信要镜像到的端口号；

　　SourcePort（源端口）：定义被镜像端口的端口号。

　　Add（添加）：添加端口镜像操作。

　　Type（类型）：指定要镜像的端口通信类型。可能的字段值包括：“RX”-表示镜像进入网络的数据；“TX”-表示镜像流出网络的数据；Both（）-表示镜像所有数据。

　　Status（状态）：表示端口的状态。可能的字段值包括：“Active”-表示端口被启用；“NotActive”-表示端口被禁用。

　　Remove（删除）：删除端口镜像会话。可能的字段值包括：“已选取”-删除端口镜像会话；“未选取”-保留端口镜像会话。

　　具体设置：

　　1、在PortMirroring对话框中的DestinationPort中选中目的端口（镜像端口），再单击Add按钮；

　　2、在系统将打开“AddSourcePort”（添加源端口）页面中，定义“SourcePort”（源端口）和“Type”（类型）字段，并单击“ApplyChanges”（应用更改），使系统接收更改。

　　（注：如果需要从端口镜像会话删除副本端口，请打开“PortMirroring”（端口镜像）页面，选取“Remove”（删除）复选框，再单击“ApplyChanges”（应用更改）。系统将删除端口镜像会话，并更新设备。）

　　以下命令配置端口监听：

　　指定分析口

　　CLI命令实例：

　　Console(config)#interfaceethernet1/e1

　　Console(config-if)#portmonitor1/e8

　　Console#showportsmonitor

　　SourceportDestinationPortTypeStatus

　　---------------------------------------

　　1/e11/e8RX,TXActive　　NetCore交换机中，端口监听被称为“端口镜像”（PortMirroring）。

　　交换机提供四种监视状态：

　　Off关闭Mirror功能

　　Rx捕获被监视端口的接收数据

　　Tx捕获被监视端口的发送数据

　　Both捕获被监视端口的接收和发送的数据

　　进入NetCore的超级终端，在主菜单中输入“5”进入端口镜像设置界面，输入“1”设置端口镜像状态。

　　如设置端口1为镜像端口，端口8为被镜像端口，捕获该端口的接收和发送数据。

　　配置命令如下：

　　1.选择配置的选项(1,off,2.Rx,3.Tx,4.Both)：4

　　2.选择捕获端口：1

　　3.选择被镜像端口：8

　　按Esc键退回镜像设置界面，设置成功。　　Intel称端口监听为“MirrorPorts”。网络流量被监听的端口称作“源端口”（SourcePort），连接监听设备的端口称作“镜像口”（MirrorPort）。

　　配置端口监听步骤如下：

　　●在navigation菜单，点击Statistics下的MirrorPorts，弹出MirrorPorts信息。

　　●在ConfigureSource列中点击端口来选择源端口，弹出MirrorPortsConfiguration。

　　●进行源端口设置：

　　●源端口是镜像流量的来源口，镜像口是接收来自源端口流量的端口。

　　●点击Apply确定

　　可以选择三种监听的方式：

　　1．连续（Always）：镜像全部流量。

　　2．周期（Periodic）：在一定周期内镜像全部流量。镜像周期在SamplingIntervalconfiguration中设置。

　　3．禁止（Disabled）：关闭流量镜像。　　在Avaya交换机用户手册中，端口监听被称为“端口镜像”（PortMirror）。

　　以下命令配置端口监听：

　　{set|clear}PortMirror

　　设置端口侦听：

　　setportmirrorsource-port

　　mirror-portsampling[max-packets-sec

　　][piggyback-port]

　　禁止端口监听：

　　clearportmirror

　　命令中，

　　mod-port-range指定端口的范围；

　　mod-port-spec指定特定的端口；

　　piggyback-port指定双向镜像的端口；

　　sampling指定镜像周期；

　　max-packets-sec仅在sampling设置为periodic时使用，指定监听口每秒最多的数据报数量。　　华为交换机用户手册中，端口监听被称为“端口镜像”（PortMirroring）。

　　使用HuaweiLanswitchView管理系统添加一个镜像端口：

　　选择DeviceSetup或StackSetup。

　　点击PortMirroring。

　　点击Add按钮。对于堆叠，点击Switch并从列表选择一个交换机。

　　点击Reflectfrom并选择流量将被镜像的端口。

　　点击Reflectto并选上面所选择的端口上的