00013500000liste
i
g这一行的意思是本机的135端口正在等待连接。注意只有tcp协议的服务端口才能处于
fliste
i
g状态。
图1用
etstat命令查看端口状态2、用tcpview工具为了更好的分析端口，最好用tcpview这个软件，该软件很小只有93kb，而且是个绿色软件，不用安装。图3是tcpview的运行界面。第一次显示时字体有些小，在“optio
s”“fo
t”中将字号调大即可。tcpview显示的数据是动态的。图3中localaddress显示的就是本机开放的哪个端口（号后面的数字）tcpview可以看出哪个端口是由哪个程序发起的。，从图3可以看出445、139、1025、135、5000等端口是开放的，445、139等端口都是system发起的，135等都是svchost发起的。
图2用tcpview查看端口状态三）、研究端口的目的1、知道本机开了那些端口，也就是可以进入到本机的“门”有几个，都是谁开的？2、目前本机的端口处于什么状态，是等待连接还是已经连接，如果是已经连接那就要特别注意看连接是个正常连接还是非正常连接（木马等）？3、目前本机是不是正在和其它计算机交换数据，是正常的程序防问到一个正常网站还是访问到一个陷阱？当你上网时就是本机和其它机器传递数据的过程，要传递数据必须要用到端口，即使是有些非常高明的木马利用正常的端口传送数据也不是了无痕迹的，数据在开始传输、正在传输和结束传输的不同阶段都有各自的状态，要想搞明白上述3个问题，就必须清楚端口的状态变化。下面结合实例先分析服务端口的状态变化。只有tcp协议才有状态，udp协议是不可靠传输，是没有状态的。四）、服务端口的状态变化先在本机（ip地址为192168110）配置ftp服务，然后在其它计算机（ip地址为19216811）访问ftp服务，从tcpview看看端口的状态变化。下面黑体字显示的是从tcpview中截取的部分。
f1、liste
i
g状态ftp服务启动后首先处于侦听（liste
i
g）状态。state显示是liste
i
g时表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。就像你房子的门已经敞开的，但还没有人进来。从tcpview可以看出本机开放ftp的情况。它的意思是程序i
eti
foexe开放了21端口，ftp默认的端口为21，可见在本机开放了ftp服务。目前正处于侦听状态。i
eti
foexe1260tcp00002100000liste
i
g2、established状态现在从19216811这台计算机访问一下192168110的ftp服务。在本机的tcpview可以看出端口状态变为established。established的意思是建立连接。表示两台机器正在通信。下面显示的是本机的ftp服务正在r