本地端口:16422

你不是不经过路由器直接接收你的数据吗？

我已经把这个东西整理好贴在这里了。"

现在流行天网。一是因为国产，大家都有这个热情，二是功能确实不错。第三，大家的安全意识更高。

但也有人觉得天网一开，百毒不侵，想法偏激。有人打开过天网，黄色感叹号经常闪烁。一个兄弟的电脑重启了几次，以为是黑客攻击，就担心了，让我去看，说被攻击了。其实也没什么。普通防火墙拦截信息。

可能有很多兄弟也会对此产生疑问。我只解释我所知道的一些问题。希望对大家有用。

天网的日志一般有三行:

第一行:包发送(接收)时间/发送方IP地址/对方通信端口/包类型/本地通信端口。

第二行是TCP包的标志位。* *有六个标志位，即:URG、ACK、PSH、RST、SYN和FIN。天网在显示标志位时取这六个标志位的第一个字母，即A代表ASK，S代表SYN等。，其中标志位A、S和F是常用的。

ACK:确认标志表示远程系统已成功接收所有数据。

SYN:同步标志该标志仅在建立TCP连接时有效，它提示TCP连接的服务器检查序列号。

FIN: End Flag带有此标志位的数据包用于结束TCP会话，但相应的端口仍然打开，准备接收后续数据。

RST:复位标志，具体功能未知。

第三行:数据包的处理方法:不符合规则的数据包会被拦截或拒绝，显示为“操作被拒绝”，即防火墙已经拦截！所以，对方不确定你是否在线！

⑴:最常见的:试着ping一下这台机器。

在防火墙规则中设置“防止他人使用PING命令检测主机”，你的电脑就不会向对方返回ICMP数据包，这样别人就无法使用PING命令检测到你电脑的存在。这种情况只是简单的ping命令检测，比如:ping 210 . 29 . 14.130，会出现如下日志:

[11:13:35]互联网控制报文协议谁收到210 . 29 . 14.136，

类型:8，代码:0，

包裹被截获了。

这个日志经常出现。IGMP的全称是internet group management protocol，是IP协议的扩展，主要用于IP主机向其邻居主机通知组成员关系。通常这种日志的出现并不能说明电脑受到了攻击，但是黑客可以利用windows本身的BUG，通过编写攻击程序对目标电脑发起攻击，使被攻击电脑的操作系统蓝屏、崩溃。蓝屏炸弹一般使用IGMP协议。

一般来说，当IGMP攻击形成时，它会在日志中显示为来自同一个IP地址的大量IGMP数据包。但是，有时候收到这样的提示信息不一定是黑客或病毒的攻击，局域网中也经常收到来自网关的类似数据包。

另外:你的电脑已经安装了很多可以在线自动升级的软件，比如瑞星、KV、WINDOWS自动更新、特洛伊克星、魔兔等等。当这些软件的提供者是服务器时，当他想升级这些软件时，他检查他的客户端并发送升级指令。查客户的过程就是PING客户。这是很多好朋友忽略的。这是一种平。

还有另一个PING信息日志:

[14:00:24]210 . 29 . 14.130尝试Ping这台机器。

操作被拒绝。

这种情况下，扫描器一般检测主机，主要目的是检测远程主机是否联网！

如果偶尔有一两条来自同一个IP地址的记录，很有可能是别人用黑客工具检测到了你的主机信息或者是因为病毒。比如:

尝试Ping这台机器。

操作被拒绝。

210.29.14.13尝试Ping这台机器。

操作被拒绝。

210.29.14.85尝试Ping这台机器。

操作被拒绝。

[14:01:20]210 . 29 . 14.68尝试Ping这台机器。

操作被拒绝。

如果不是黑客所为，那么这些机器一般都感染了冲击波病毒。感染了“冲击波杀手”的机器会通过ping网络中的其他机器来寻找RPC漏洞，一旦找到，就会将病毒传播到这些机器上。局域网上感染病毒的机器也会自动发送消息。这种情况下，需要注意先给冲击波打补丁，检查病毒。我赢了V-King但是同一个网络的人就是不杀病毒不理会。我不得不停止每天和他们一起上网。

⑵:一些常见的端口信息日志

[16:47:24]60.31.133.146尝试连接到该机器的端口135。

TCP标志:

操作被拒绝。

同上，是利用RPC服务漏洞的冲击波蠕虫。该病毒的主要攻击手段是扫描电脑的135端口进行攻击。有必要更新一下微软的补丁。

尝试连接到这台计算机的NetBios-SSN[139]端口。

TCP标志:

操作被拒绝。

特点:一个IP多次连接本机的NetBios-SSN[139]端口，特点是时间间隔短，连接频繁。

端口139是NetBIOS协议使用的端口。安装TCP/IP协议时，NetBIOS也将作为默认设置安装在系统中。139端口的开放意味着硬盘可能在网络中共享；网络黑客也可以通过NetBIOS知道你电脑里的一切！NetBIOS是网络的输入输出系统。虽然TCP/IP协议已经成为广泛使用的传输协议，但是NetBIOS提供的NetBEUI协议仍然在局域网中广泛使用。NetBIOS对于联网的机器完全没用，可以去掉。不会吗？你自己检查一下

60.31.135.195尝试连接到此机器的CIFS[445]端口。

TCP标志:

操作被拒绝。

通过445端口，你可以轻松访问局域网内的各种* * *文件夹或* * *打印机，但正因为有了它，别有用心的人就有了可乘之机。

SMB: Windows协议系列，用于文件和打印服务。

NBT:基于TCP/IP的NETBIOS互联是用137 (UDP)、138 (UDP)、139 (TCP)实现的。

在NBT之上，有SMB基本消息头。SMB可以直接在TCP上运行，无需NBT。

在Windows NT中，SMB是基于NBT实现的。在WinXP中，SMB不仅基于NBT实现，还直接通过445端口实现。当WinXP(允许NBT)用作客户端连接到SMB服务器时，它将尝试同时连接到端口139和445。如果端口445响应，它将向端口139发送一个RST数据包，以断开并继续与端口455的通信。当端口445没有响应时，将使用端口139。

端口135用于提供RPC通信服务，端口445与端口139一样，用于为文件和打印机提供服务。正常情况下，局域网机器* * *享受和传输文件(端口139。连接你的端口135和445的机器应该是被动发送数据包的，也可能是正常的非病毒连接——虽然这种可能性比较小。那样的话，当然也可以通过聊天的人来扫描ip段。这也是常见的。新手在黑客技术上都是这样，但往往一无所获。这样的人应该好好看看。

TCP/IP协议原理。

如前所述，局域网传播的病毒会PING局域网机器。当然，易受攻击的主机无法逃脱端口连接。连接到135端口的病毒是蠕虫。尝试Ping检测本地机器也属于这种情况。这种对端口135的检测一般是通过局域网传播的，现象是本地机器的端口135不断连接同一个ip。此时远程主机没有给冲击波打补丁，蠕虫一直在扫描同一个ip段(这是我自己的看法，冲击波在WAN和LAN的传播方式估计不一样，请指正！)

一个IP多次连接到本机的NetBios-SSN[139]端口，特点是时间间隔短，连接频繁。此时，日志中列出的计算机感染了“尼姆达病毒”。感染“尼姆达病毒”的电脑有一个特点。他们会搜索局域网内所有可用的* * *共享资源，将病毒复制到拥有完全控制权的* * *共享文件夹中，从而达到病毒传播的目的。这种人要有同情心，好好杀毒！

尝试连接到此机器

天网教程:/soft/day-mesh work/day-network/4 . htm，如果你愿意，有空的话可以去看看，但是自己探索一下就够了。做比看教程好。