在分析防火墙日志或者IDS警告的时候，可能会碰到不熟悉的资源或者目的端口。分析过程的下一步是确定哪些服务正在使用哪些端口，这样就能决定网络是否存在风险。

　　识别并开始监控网络端口的最简单的方法是查看每个现代的TCP/IP堆栈的服务文件。就是在Windows系统下的C:WINDOWSSYSTEM32DRIVERSETCSERVICES（提示：可以使用记事本来查看或编辑文件——只需双击它，然后从列表中选择记事本），或者大部分Unix版本下的/etc/services。Windows的“find”或者Unix的“grep”可以快速搜索到这些文件。通常在默认服务文件中找不到端口，因为他们只列出可以得到的网络端口和服务的很少的子集。然后就该使用Web了：

• 互联网端口数据库是带有Web和DNS界面的网络端口的大型数据库，和一个可以用于替换或者补充主要的服务文件的刻下在uber-services文件。这个站点从来都没让我失望过。
• SANS Institute有大量的安全信息，包括（有点儿陈旧的）一般特洛伊使用的端口列表。
• DoSHelp.com有相似的列表。
• Nmap的列表包含2200个端口。
• Internet Assigned Numbers Authority (IANA) listing中提供了指定端口数量的确定资源。这里的关键词是“指定”。破解者不能为他们的恶意项目记录端口数，而且用户可以为了安全，通过不明的物质或者防火墙把服务移动到不同的端口。

　　一旦你发现了使用可疑端口的服务，不要做任何假设。首先。它真的是看起来那样吗？还是有人改变了端口数？有些端口通常用于不止一种服务，那么哪个是它呢？这种服务是环境允许的吗？应该有它吗？下面的工作可以帮助发现到底发生了什么。

• Foundstone有一个叫做fpor的命令行功能，而SysInternals有一个叫做TCPView的GUI项目。这两个工具可以 向你显示你的Window电脑上打开的Tcp和UDP端口，以及使用它们的项目和程序。这些项目出现在简单的ZIP文件中，你可以解压、使用，然后删除它们——不需要安装。
• 在Unix上，只要使用‘netstat -anp | less’或者更好一点，使用‘lsof -Pni’。lsof (LiSt Open Files)和Linux分布在一起，虽然它通常不是默认安装的。和名字显示的一样，它可以把打开的文件列表，但是因为Unix中的所有都是文件，这个工具要做的比名字中显示的多得多。我高度推荐使用它。
• Nmap最近增加了服务和网络端口扫描器。还有些其他的工作也可以作这些工作，但是Nmap可能是最好最简的。它还在Winsows上运行。和通常一样，在你编写可以这么做的许可前，一点不要端口扫面任何东西。

　　如果其他的都失败了，试一试Google搜索，但是不要对你的发现作过多的设想。目的是为了验证你的环境中发生了什么——为什么你收到了警告，为什么这个日志会产生，它是恶性的还是良性的。你要比Web上的任何人都了解你的网络。