基本概念

对客户端(个人机器)所操作的一种信息记录。

详细描述

很多人都已经知道了可以借助NETSTAT-AN来查看当前的连接与开放的端口，但NETSTAT并不万能，比如你的Win95遭到OOB攻击的时候，不等NETSTAT你就已经死机了。为此，出现了一种特殊的小工具——端口监听程序。端口监听并不是一项复杂的技术，但却能解决一些局部问题，当OOB攻击风行的时候，有些程序员期望借助端口监听的简单方式堵住这一漏洞，于是就有了象ICMPWATCH、ANTINUKE、NUKENABER等工具，而后来BO、NETBUS等流行起来，也有人试图通过NUKENABER来监听12345、31337这样的端口，来发现木马并防止黑客的攻击，后来出现的一些专门针对BO设计的程序，如BS120的前期版本也主要是依靠端口监听的方法，当然随着木马的日趋泛滥和木马Server端端口的可定义性，这种方法还是被放弃了。

不过值得一提的是ANTINUKE，这虽然是一个只有几十K的小程序，但他带有一个反击的功能，就是说，会用OOB攻击的方式反击发包向你139端口的人，而且它会使HACKTEK这样的扫描器在扫描到139时发生溢出而终止，大家不妨实验一下。

NUKENABER的优点在于他可以监听多个端口，Portmagic也有这样的功能。

基本功能

端口监听

　　有些端口监听工具，不仅可以被动监听，也提供了一些有意思的功能，比如fakeserv让你的机器开放多个端口，使扫描者误认为你开放了Wingate、TELNET等多种服务，忙了一塌糊涂，结果才发现是个骗局。不仅浪费时间，而且还被你记录了IP。还有的让你的机器开放12345、31337等端口，待到有人用木马的客户端连接上来时，就发给他警告信息或利用木马本身的漏洞让他死机。

端口扫描器的缺陷就是只能监视固定的端口，面对越发恶劣的安全环境，仅仅凭借简单的端口监控程序是不够的。

工具

sniffer软件，主要作用是端口监听，很不错的，可以从网上下载。Catalyst 2900XL/3500XL/2950系列交换机端口监听配置　　以下命令配置端口监听：

portmonitor

例如，F0/1和F0/2、F0/2同属VLAN1，F0/1监听F0/2、F0/2端口：

interface Fast Ethernet 0/1

portmonitor Fast Ethernet 0/2

portmonitor Fast Ethernet 0/5

portmonitor VLAN 1

2.Catalyst 4000，5000，and6000系列交换机端口监听配置