1. 生成ICMP报文的SPORT和DPORT信息

1.1 ICMP的ECHO及ECHO REPLY报文

回送请求和回答的报文格式如下图：

Request方向：SPORT=icmp_id[15:0]，DPORT=icmp_type[7:0]<<8|icmp_code[7:0]； Reply方向：SPORT=icmp_request_type[7:0]<<8|icmp_code[7:0]，dport=icmp_id[15:0]；

例如：用抓包器抓到ICMP的request和reply报文，格式如下所示

Request：

0000 00 60 08 3e 26 59 00 11 d8 69 6c f0 08 00 45 00 .`.>&Y.. .il...E. 0010 00 3c aa 91 00 00 40 01 92 0b c0 a8 5e 69 c0 a8 .<....@. ....^i.. 0020 5e 6a 08 00 d3 5a 02 00 78 01 61 62 63 64 65 66 ^j...Z.. x.abcdef 0030 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 ghijklmn opqrstuv 0040 77 61 62 63 64 65 66 67 68 69 wabcdefg hi Reply：

0000 00 11 d8 69 6c f0 00 60 08 3e 26 59 08 00 45 00 ...il..` .>&Y..E. 0010 00 3c c3 bc 00 00 40 01 78 e0 c0 a8 5e 6a c0 a8 .<....@. x...^j.. 0020 5e 69 00 00 db 5a 02 00 78 01 61 62 63 64 65 66 ^i...Z.. x.abcdef 0030 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 ghijklmn opqrstuv 0040 77 61 62 63 64 65 66 67 68 69 wabcdefg hi

根据上面的报文内容可以看出：

标识符为0x0200。由此可以获得源端口号和目的端口号? 请求方向ICMP类型为0x08，

分别为：SPORT = 0x0200，DPORT = 0x0800；

? 应答方向ICMP类型为0x00（对应的请求类型为0x08），标识符为0x0200。由此可

以获得源端口号和目的端口号分别为：SPORT = 0x0800，DPORT = 0x0200；

1.2 ICMP的地址掩码请求与应答报文

地址掩码请求和回答的报文格式如下图所示：

根据上面的报文内容格式（假设标识符为0x0200）可以看出：

?

? 请求方向ICMP类型为0x11，标识符为0x0200。由此可以获得源端口号和目的端口号分别为：SPORT = 0x0200，DPORT = 0x1100； 应答方向ICMP类型为0x12（对应的请求类型为0x11），标识符为0x0200。由此可

以获得源端口号和目的端口号分别为：SPORT = 0x1100，DPORT = 0x0200；

1.3 ICMP的时间戳请求与应答报文

时间戳请求和回答的报文格式如下图所示：

根据上面的报文内容格式（假设标识符为0x0200）可以看出：

? 请求方向ICMP类型为0x0D，标识符为0x0200。由此可以获得源端口号和目的端口

号分别为：SPORT = 0x0200，DPORT = 0x0D00；

? 应答方向ICMP类型为0x0E（对应的请求类型为0x0D），标识符为0x0200。由此可

以获得源端口号和目的端口号分别为：SPORT = 0x0D00，DPORT = 0x0200；

1.4 ICMP的信息请求与信息响应报文（已经废弃）

信息请求和信息响应报文格式如下图所示：

根据上面的报文内容格式（假设标识符为0x0200）可以看出：

? 请求方向ICMP类型为0x0F，标识符为0x0200。由此可以获得源端口号和目的端口

号分别为：SPORT = 0x0200，DPORT = 0x0F00；

? 应答方向ICMP类型为0x10（对应的请求类型为0x0F），标识符为0x0200。由此可

以获得源端口号和目的端口号分别为：SPORT = 0x0F00，DPORT = 0x0200；

第二篇：8000端口

开始--运行--cmd 进入命令提示符 输入netstat -ano 即可看到所有连接的PID 之后在任务管理器中找到这个PID所对应的程序如果任务管理器中没有PID这一项,可以在任务管理器中选"查看"-"选择列"

经常，我们在启动应用的时候发现系统需要的端口被别的程序占用，如何知道谁占有了我们需要的端口，很多人都比较头疼，下面就介绍一种非常简单的方法，希望对大家有用

假如我们需要确定谁占用了我们的9050端口

1、Windows平台

在windows命令行窗口下执行：

1.查看所有的端口占用情况

C:\>netstat -ano

协议 本地地址 外部地址 状态 PID

TCP 127.0.0.1:1434 0.0.0.0:0 LISTENING 3236

TCP 127.0.0.1:5679 0.0.0.0:0 LISTENING 4168

TCP 127.0.0.1:7438 0.0.0.0:0 LISTENING 4168

TCP 127.0.0.1:8015 0.0.0.0:0 LISTENING 1456

TCP 192.168.3.230:139 0.0.0.0:0 LISTENING 4

TCP 192.168.3.230:1957 220.181.31.225:443 ESTABLISHED 3068

TCP 192.168.3.230:2020 183.62.96.189:1522 ESTABLISHED 1456

TCP 192.168.3.230:2927 117.79.91.18:80 ESTABLISHED 4732

TCP 192.168.3.230:2929 117.79.91.18:80 ESTABLISHED 4732

TCP 192.168.3.230:2930 117.79.91.18:80 ESTABLISHED 4732

TCP 192.168.3.230:2931 117.79.91.18:80 ESTABLISHED 4732

2.查看指定端口的占用情况

C:\>netstat -aon|findstr "9050"

协议 本地地址 外部地址 状态 PID

TCP 127.0.0.1:9050 0.0.0.0:0 LISTENING 2016

P: 看到了吗，端口被进程号为2016的进程占用，继续执行下面命令：以去任务管理器中查看pid对应的进程）

3.查看PID对应的进程

C:\>tasklist|findstr "2016"

映像名称 PID 会话名 会话# 内存使用

========================= ======== ================ （也可

tor.exe 2016 Console 0 16,064 K

P:很清楚吧，tor占用了你的端口。

4.结束该进程

C:\>taskkill /f /t /im tor.exe

其他不懂的用 help吧~

win7在安全性上比windows XP有了很大的提高，我们现在来看一看win7在防火墙方面的一些设计。

关于win7的防火墙。

在设置win7的防火墙时，需要注意这样一些问题。

1，首先要关闭win7的自动还原功能。win7的自动还原称为智能还原，当初设置防火墙的时候让我

很是郁闷，不知哪出了问题。因为一设置好之后重启的时候它就还原了。搞得我以为中了木马，

还因此卸载了360相关软件。关闭自动还原的操作如下：单击开始---控制面板---系统---系统保护

选本地磁盘(C:)(系统)--关闭之。其中可能出现UAC，需要你输入管理员口令。

2，点开始---在搜索程序和文件框中输入cmd，在上面会显示出cmd.exe这个程序，右键单击--以管理员

身分运行，如果你已经是管理员了，UAC只提示你是或否而以，如果不是管理员，你需要输入管理员

口令。现在处于命令行下了。运行secpol.msc,打开本地安全策略对话框。注意win7与win xp的区别

在win xp中，管理员帐户必然有管理员权限，它们是一致的。但在win7，虽然是管理员帐户，但仍

以普通帐户身分运行程序。从cmd中也可看出来，如果是管理员，上面会显示管理员，如果是一般身

分，则不会显示。不过如果你以administrator帐号运行程序，你就是以管理员权限运行的。这是

administrator与其他管理员帐号的区别。在win7中administrator默认是禁用的。

3，导航到高级安全Windows防火墙。右键单击高级安全Windows防火墙-本地组策略对象-点属性，打开

属性对话框。对于家庭用户而言，一般把域，专用，公用设置为一致，实际上你如果只使用公用网

络，你只需设置公用配置文件选项卡。不过为简单，我们把它设为一致。防火墙状态：启用

（推荐）；

入站连接：阻止所有连接；出站连接：阻止。我们没有选默认设置，默认的安全性低于我们的设置。

对于家庭用户，如果你选了入站连接：阻止所有连接，那么你的电脑不可能作成服务器了，会阻止

emule,kugoo,等许多软件的功能，如果你不想那么严格，比如你还想用远程桌面，就设为入站连接：

阻止（默认）吧。出站连接我们不使用默认，使用阻止。

我们对这两项进行简单的介绍。

入站连接如果设为默认值，那么符合规则的入站连接是允许的，如果设为阻止所有连接，那么任

何入站连接都是禁止的，那怕它符合规则也是不能连接到本机的。所以在这种性况下，远程桌面不能

使用。

出站连接如果设为允许（默认），则任何程序都可以访问互连网，这是我们不希望的，我们只希望

我们允许的程序访问互联网。

设好之后点确定。如果不出意外，则任何程序此时都不能访问互联网了。(如果IE能，说明它已经加

入到规则中了。我们后面也就不需要加IE访问的规则了。）

4，点入站规则和出站规则可以看到，下面是空的。因为我们还没有允许程序访问网络。入站规则我们不

需要设置，因为前面我们已经阻止了所有连接，设了也是无用。

出站规则是我们需要设置的，否则我们怎么上网？右键点出站规则--新建规则--出现一对话框，选程序

下一步 在此程序路径中输入system,下一步，其后依次设为 允许连接，名称中输入“允许system访问

网络”,完成。在右边的规则框中可以修改我们建立的这条规则。对于system我们不需要修改。注意如果你在上网的时候

把你的网络设成了专用网络，你需要在专用前打勾而不是公用。这条规则配置好之后，其余的就类同了。

我们需要建三条规则，才能为上网打好基础。另外两条规则如下：

(1) 名称：允许DNS；程序和服务-此程序：%SystemRoot%\System32\svchost.exe；协议和端口-协议类型：UDP

本地端口：1024-65535，远程端口：53 ；高级：公用。

(2) 名称：允许回显；程序和服务：所有符合指定条件的程序；协议和端口-协议类型：ICMPv4；高级：公用。

加上前面那条允许system访问网络，共三条。好，这一阶段完成。

5,点控制面板--windows防火墙--windows高级设置,出现UAC控制对话框，要求你确认是否继续，如不是管理员

要求你输入管理员口令。打开本地计算机上的高级windows安全防火墙，下面的入站连接，出站连接，与我们

在组策略下的一样，设置也完全一样。其中有三条规则是我们在前面设过的了，在此是不能更改的。组

策略的设置高于这里的设置。我们把这里的规则导出保存在一个文件中以备以后恢复用，如果你都懂了，根本就

不需要恢复了，这里只是以防万一你弄错了好还原。然后把能删除的都删了(也可把能禁的都禁了，就不需要

导出了）。当然我们前面设的三条是删不了的。点出站规则，新建一条规则，如下

名称：“允许IE访问互联网”；程序和服务：%ProgramFiles%\Internet Explorer\iexplore.exe；协议和端

口--协议类型：TCP，本地端口：1024-65535，远程端口：80；高级：公用。

此时打开IE，可以看到，可以上网了。

其他的设置类似，如此，只有经过我们允许的程序才能访问网络。

QQ的设置：

名称：允许QQ访问互联网；协议和端口--协议类型：UDP，远程端口：8000，高级：公用。 你如果对QQ作了如上设置，就需在QQ的登陆界面指定QQ的登陆端口号。如果你没有指定远程端口号，就不必。

如果你不能确定某程序所用的端口号，就用任意。用了端口号之后就限制得更严格些了。

从我们前面的设置中可以看出，只有system是开放的。还有svchost.exe所用的端口是开放的，并且它只

能和远程的53号端口通信，本质上是关闭的。因为木马是不可能与远程的53号端口通信的。 在组策略的设置中，我不能确信是否必须开放system 。我最初试的时候，如果不开放，好象不能上网样。

而现在我不用这条规则它又能上一样。其余两项是必须开放的。否则上不了网。