18.2.4  监视开放的端口和连接

对日志的监视只能发现已经发生的入侵事件，它却对正在进行的入侵和破坏行为无能为力。这就需要系统管理员掌握一些基本的实时监视技术。
通常被黑客或病毒入侵系统后，就会在系统中留下木马类后门。同时它和外界的通信会建立一个Socket会话连接，这样就可能发现它，netstat命令可以进行会话状态的检查，并查看已经打开的端口和已经建立的连接，如图18-32所示。当然也可以采用一些专用的检测程序对端口和连接进行检测，这里不再详细介绍。

图18-32  查看会话连接