检测SQL Server数据库服务器异常现象(2)

　　3: 查看开放的端口

　　你可以使用Windows内置的netstat工具来查看哪些端口开放的，并且连接到服务器上。在命令行中，输入netstat –an　more，可以一页挨着一页地查看开放的和监听的TCP和UDP端口。还有一种更好的方法就是使用Foundstone的 Vision工具或者Sysinternals公司的TCPView工具来完成。

　　4: 查看你的网络流量

　　也许判断你的SQL Server中是否发生了恶意行为的最简单办法就是看看它是否进行了网络通信。如果你有一个非常顺手的网络分析器，那么你就可以在1、2分钟之内发现情况。你可以使用SQL Server自身携带的分析器，或者从别处连接到你的以太网交换器的交换或者镜像端口上。

　　我比较喜欢EtherPeek这个网络分析器，它可以像大多数其它分析器一样捕捉进出你的SQL Server的包。如下图所示，一些跑在TCP端口12345上(通常是NetBus的特洛伊端口)流量就被发现了。

　　EtherPeek可以轻松抓取网络流量，并且高亮显示特洛伊的动作——在本次网络流量抓取过程中你可以真正地创建你自己的网络分析触发器和过滤器，如果你知道要寻找什么的话。这里的列表列出了常见的特洛伊和相关端口的细腻向。这种发现恶意流量的方法并不是十分安全，因为端口号是可以经常更换的，但是它的服务器是个不错的目标。

　　你可以在“监控”模式下运行Ether Peek，让它对网络上发生的事情有个从上到下的整体视角，——而不需要抓取包。你可以查看正在使用哪个协议，寻找巨大的流量，奇怪的通信，以及其它网络进出你的SQL Server系统的倾向。

　　5:对付恶意软件的方法