当我们处于网络环境中,运行各种网络程序后,就会在本机和远程主机间建立各种网络连接,在CMD下执行“netstat-an”命令,可以显示当前的所有网络连接信息,但是这种管理网络连接的方式过于简单,我们不仅无法了解目标网络连接和什么进程相关,也无法对网络连接进行有效的控制。实际上,除了正常的网络程序外,病毒、木马、流氓软件等恶意程序也可以在电脑中建立非法的网络连接,达到盗窃重要数据、传播病毒、远程控制、弹出广告等目的,如果不对其进行拦截,无疑会对我们的系统安全构成极大威胁,使用TCPEye、BeeThink IP Blocker、CurrPorts、TCPView等软件,就可以彻底切断非法网络连接的“魔爪”。
一、使用TCPEye关闭非法连接
在TCPEye主窗口中显示了当前所有的网络连接项,包括相关进程的名称、本地地址和端口、远程地址和端口、连接状态、协议类型、远程地址所属国家、关联的程序路径、程序名称、开发者、文件描述信息、文件版本等信息。TCPEys可以动态刷新网络连接信息(默认周期为1秒),在“State”列中以不同的颜色表示目标网络连接所处的状态,绿色表示连接已经建立,黄色表示正在发送数据,浅红色表示正在等待连接,深红色表示连接请求等。在工具栏上按下倒数第二个按钮,表示仅仅显示打开的监听端口,还没有建立实际连接的“空连接”项目。在工具栏上按下倒数第一个按钮,可以打开网址解析功能,在本地地址和远程地址中就会显示对应主机的名称,用来替代实际的IP地址。如果我们觉得连接列表看起来有些眼花缭乱的感觉,可以使用TCPEye提供的连接自动检测功能,在工具栏上按下第三个按钮,TCPEye就可以对网络连接进行实时监控,当发现新的网络连接后,就会在屏幕右下角弹出提示面板,在其中显示目标连接的远程地址、端口、相关的进程名和所属国家等信息。如果在工具栏上按下第四个按钮,可以激活声音报警功能,当出现新的网络连后,TCPEye就可以发出报警声提醒我们的注意。
对于可疑的网络连接,可以点击右键,选择菜单中的“Whois IP”,TCPEye可以对该连接的远程地址进行深入分析,并在报告窗口中显示其详细信息,据此可以判断出其来历。选择右键菜单中的“GeoIP Tool”项,TCPEye可以打开Google地图,在其中标识出目标连接远程地址的具体位置,在检测窗口左侧显示其主机的名称、所属国家、地区、城市、经度和纬度等信息。对于来历不明的网络连接,可以点击右键,选择菜单中的“Cechk Whit VirusTotal”项,TCPEye可以将相关程序上传到在线病毒检测网站上,进行全面检测分析,确定其是否存在危害性。对于确认是非法的网络连接,点击右键选择菜单中的“Close Connection”项(或者按下“Ctrl+K”键),就可以关闭该网络连接(前提是其处于该连接处于建立状态)。选择右键菜单中的“Properties”项,可以显示相关进程的详细信息,点击“End Process”项,可以直接中止相关进程的运行。这样,就可以将非法网络连接彻底关闭了。
二、使用BeeThink IP Blocker关闭非法连接
和其它软件相比,BeeThink IP Blocker的功能最为强大,它可以在系统中安装特殊驱动模块,从系统底层对网络连接进行管理操作,BeeThink IP Blocker安装完成后会在系统中创建名称为“BeeThink IP Blocker Service”的系统服务,能够跟随系统自动运行。在系统托盘中双击BeeThink IP Blocker图标,在其管理窗口中显示了当前所有网络连接信息,包括其是否处于被拦截状态、连接持续时间、发送数据量、接收数据量、本机地址和远程地址等内容,选中对应的网络连接项目,点击工具上的“Detail”按钮,在弹出窗口中可以动态显示该连接的详细信息,包括传输的数据内容、使用的网络协议、本机和远程主机的端口等。在目标网络连接的右键菜单中选择“Look up the remote IP address”项,在弹出窗口中就可以对该连接的远程地址进行深入分析,在“Result栏中还可以得到关于该地址的详细信息。
对于非法的网络连接,可以在其右键菜单中选择“Add the remote IP address to the IP block list”项,BeeThink IP Blocker就可以将该连接中的远程主机地址发送到拦截列表中,禁止本机和其连接网络连接,达到控制非法连接的目的,按照上述方法,可以将所有的非法连接全部添加到拦截列表中。实际上,BeeThink IP Blodker已经提供了大量的非祛连接地址可供下载。 在其中分门别类的提供了各种地址列表文件,例如点击“Download ADS List”链接,可以下载包含了大量广告连接的地址列表文件,将其解压后得到“ads-trackers-and-bad-pron txt”文件,其中包含了和非法广告连接有关的大量主机名称和IP地址。在BeeThink IP Blocker主窗口工具栏上点击“Merge IP Liist”按钮,选中上述文本文件,就可以直接将其导入到BeeThink IP Blocker的拦截列表中。在上述网页中还可以按照地区名称,下载包含非法连接信息的列表文件。例如点击“America”链接的右键菜单中选择“目标另存为”项,就可以得到包含和美洲地区相关的非法连接地址信息,按照上述方法将其导入到BeeThink lP Blocker即可。实际上,BeeThink IP Blocker还可以直接导入其它软件的的地址过滤列表文件,例如eMale地址过滤文件、APACHE服务器的Htaccess文件、PeerGuardian地址过滤文件等。这样,我们可以方便快捷的在BeeThink IP Blocker拦截列表添加大量地址信息,当本机试图和拦截列表中的地址建立网络连接时,BeeThink IP Bliocker即可对其进行拦截。
在默认状态下,当BeeThink IP Blocker启动后即可激活网络拦截功能,点击菜单“Tool”→“Disable Blocking”或者“Enable Blocking”项,可以在激活和关闭拦截功能之间切换。点击菜单“Tool”→“Configure lP List”项,在设置窗口右侧显示拦截列表中的所有地址信息。勾选“Alwaye allow HTTP protocol”项,表示对于HTTP连接不予限制,当然HTTP连接必须由本机发起才行。其余的设置保持默认即可,点击窗口左侧的“Add”按钮,可以手工添加拦截的目标地址,可以添加单个地址或者地址段。点击“lmport”或者“Export”按钮,可以导入拦截列表备份文件或者将拦截列表导出为备份文件,点击“Rules”按钮,可以创建和管理网络连接管理规则。
三、使用CurrPorts关闭非法连接
CurrPofts是一款体积小巧的网络连接管理软件,在其主窗口中显示了当前所有的网络连接项目,包括进程名、进程ID、所用协议、本地端口、本机端口名、本机地址、远程主机端口、远程主机端口名、远程地址、远程主机名、连接状态、相关程序路径、开发者、程序名称和描述信息等。如果网络连接项目过多的话,可以按“Ctrl+F”键,在搜索栏中输入搜索内容(进程名、端口等),就可以快速找到所需的网络连接。CurrPorts提供了网络连接过滤功能,可以让我们专注于特定的网络连接。按F9键,在过滤窗口中输入过滤内容(例如“include:remote:tcp:80,表示只显示远程端口为80的网络连接),点击OK按钮,就可以只显示符台条件的网络连接项目。按“F7”键可以禁用所有的过滤项目。对于可疑的网络连接,在其右键菜单中选择“Close Selected TCP Connections”(或者点击“Ctrl+T”键),就可以关闭选中的网络连接。如果选择“Kill Process of Selected Ports”项,可以中止和目标连接关联的进程。
四、使用TCPView关闭非法连接
TCPView同样是一款小巧实用的网络连接管理软件,在其主窗口中显示了当前所有的网络连接项目,包括相关的进程名称、进程ID、协议类型、本机地址和端口、远程地址和端口、连接状态等。如果目标网络连接状态发生改变的话,TCPView可以以红色高亮度将其显示出来。在工具栏上按下第三个按钮,可以隐藏所有的空连接项目。选中目标网络连接,在其右键菜单中选择“Whois”项,可以显示远程地址的详细解析信息。对于可疑的网络连接,在其右键菜单中选择“结束连接”,就可以立即关闭该网络连接项目。点击“关闭进程”项,可以中止相关进程的运行,达到拦截非法网络连接的目的。