【www.shanpow.com--网络散文】
137端口篇(1):服务器135、137、138、139、445等端口解释和关闭方法
在服务器中,3389端口的开放是必需的,因为任何服务器的管理员如果想很好地管理自己的服务器,都需要开启这种方便的网络管理服务。不过3389端口一旦开启,必然会引来无数黑客,即便那些黑客破解不了密码,也很可能占用你的连接请求数,使你无法登录自己的服务器。
关闭服务器中的3389端口的方法很简单。在windows2000或2003中,进入控制面板,然后选择“管理工具”中的“服务”,在弹出的服务列表中,选中“Terminal Services”,将该服务的启动类型改为“手动”,然后停止这个服务就可关闭3389端口了。
在windows XP中被黑客悄悄开启远程协作的现象也不是没有发生过。可以右键点击“我的电脑”,进入“系统属性”窗口中的“远程”选项卡界面,取消对“远程桌面”和“远程协作”选择,再单击确定即可关闭3389端口。
135端口:
利用135端口的黑客想要得到管理员的宇航局码和口令,过程往往是很简单,他们似乎部有自己的方法和手段。关闭135端口,停止可能被黑客利用的RPC服务,不给他们任何能够利用系统弱点的机会。
但单纯地将RPC服务停止会对某些网络用户造成不必要的麻烦。在网络中,只有使用微软DCOM技术的程序才会调用RemoteProcedure Call,也就是135端口服务,所以在面临这个问题时,将DCOM服务停止是最好的方法。
首先点击“开始”菜单,在“运行”里输入dcomcnfg.exe命令,在弹出的设置窗口中选择“默认设置”标签选项,然后点击选择此选项页面中的“在这台计算机上启用分布式COM”选项,最后点击确定完成。这样你就可以很好地保护你的电脑了,任何黑客都无法对你电脑中的DCOM服务和DCOM应用程序进行远程操作与访问,达到了既不关闭又能够停止135端口,让黑客放弃攻击你的目的。
137、138端口:
在关闭137和138端口之前,先介绍一下NetBIOS服务。很多人认为NetBIOS服务是一个网络协议,其实不然。NetBIOS只是网络基本的输入/输出系统,是一个应用于程序接口,用于数据源与目的地之间的数据交换。不过它所包含的端口及一些命名原则属于OSI(Open System Interconnection)模式的上三层,与低层的通讯协议是全然独立的。因此NetBIOS服务能够成功地建构于不同的通讯协议上,让它支持访问计算机应用程序和设备通信时所要用到各种服务。正是由于考虑到了NetBIOS服务这种基于TCP/IP协议下的特点,而NetNBIOS又完全依靠137、138端口支撑,因此如果停止了NetBIOS,就能够将137和138端口的危险根除。
停止NetBIOS方法很简单,鼠标右击桌面上的“网上邻居”图标,然后从弹出的快捷菜单中选择“属性”命令,再在“本地连接”中再一次点击右键,选择属性。在弹出的窗口中找到并打开“Internet协议(TCP/IP)”参数设置窗口,单击“高级”按钮,在随后弹出的设置框中选中“WINS”标签。打开WINS的标签页面后,选中“禁用TCP/IP上的NetBIOS(S)”,最后单击确定按钮完成关闭即可。这样黑客就只有完全打消利用你的137和138端口进行攻击的想法了。
139端口:
仅仅停止TCP/IP协议下的NetBIOS服务,是不能将139端口完全关闭的。因为网络中的打印机共享服务是通过139端口实现的,通过上面的方法关闭139端口的话你还必须将打印机服务停止掉。
关闭打印机服务首先鼠标右键单击桌面的“网上邻居”图标,选择属性,打开“网络和拨号连接”窗口。然后再右击“本地连接”或“Internet”图标,选择属性,在弹出的界面中取消“Microsoft网络的文件和打印机共享”选项,再单击确定完成操作。只有这样才能够配合NetBIOS的关闭将139端口完全关闭。
还有一种方法,首先同样打开网络协议中的“Internet协议(TCP/IP)”属性设置界面,选择界面中的“常规”标签选项,在常规标签选项页面中单击“高级”按钮,此时会弹出一个高级设置窗口,再点击该窗口中”选项”标签,将该页面中的“TCP/IP筛选”选中,然后点击属性按钮,在弹出的设置界面中选择“只允许”,此时再点击下面那个“添加”按钮,将系统中需要用到的所有端口号码输出入在这个对话框中。当然要关闭的端口不用输入,这样你不仅能够关闭139端口的访问权,还能够控制住所有端口的活动。
445端口:
对于445端口的潜在危胁,可以通过设置天网防火墙的“自定义IP规则”来限制。首先双击打开天网防火墙的主界面,然后点击界面右边的“自定义IP规则”按钮,在弹出的规则菜单中点击“新增加规则”在弹出的新增加规则窗口中点击“TCP”标签选项。在选项中的“本地端口”中输入从445到0的数字,对方端口中均填写为0,满足条件选择为“拦截”,然后勾选“警报”和“记录”选项,最后再将上面的症结和症状作为说明填写到“名称”和“说明”中,点击确定完成操作。金山网镖中,我们需要点击工具中的“IP规则编辑”,在弹出的窗口中同样点击添加IP规则,具体设置方法和天网一样。不过金山网镖中默认已经添加了445端口的防护。
当电脑中没有安装防火墙的时候,我们可以通过注册表来手工关闭,在开始运行菜单输入“regedit”打开注册表编辑器,然后依次单击“HKEY-LOCAL-MACHINE\SYSTEM\Current ControlSet\Services\NetBT\Parameters”分支,新建一个名为“SMBDeviceEnabled”的双字节值。最后双击“SMBDeviceEnabled”选项,在弹出的数值设置界面中,将其数值设置为“0”。关闭注册表编辑界面,将系统重新启动,445服务端口就会被彻底的关闭了。
21端口:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务。
23端口:23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。
25端口:25端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器所开放,主要用于发送邮件,如今绝大多数邮件服务器都使用该协议。
53端口:53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析,DNS服务在NT系统中使用的最为广泛。
67、68端口:67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。
69端口:TFTP是Cisco公司开发的一个简单文件传输协议,类似于FTP。
79端口:79端口是为Finger服务开放的,主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。
80端口:80端口是为HTTP(HyperText Transport Protocol,超文本传输协议)开放的,这是上网冲浪使用最多的协议,主要用于在WWW(World Wide Web,万维网)服务上传输信息的协议。
99端口:99端口是用于一个名为“Metagram Relay”(亚对策延时)的服务,该服务比较少见,一般是用不到的。
109、110端口:109端口是为POP2(Post Office Protocol Version 2,邮局协议2)服务开放的,110端口是为POP3(邮件协议3)服务开放的,POP2、POP3都是主要用于接收邮件的。
111端口:111端口是SUN公司的RPC(Remote Procedure Call,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信,RPC在多种网络服务中都是很重要的组件。
113端口:113端口主要用于Windows的“Authentication Service”(验证服务)。
119端口:119端口是为“Network News Transfer Protocol”(网络新闻组传输协议,简称NNTP)开放的。
135端口:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。
137端口:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务)。
139端口:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。
143端口:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP)。
161端口:161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP)。
443端口:43端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。
554端口:554端口默认情况下用于“Real Time Streaming Protocol”(实时流协议,简称RTSP)。
1024端口:1024端口一般不固定分配给某个服务,在英文中的解释是“Reserved”(保留)。
1080端口:1080端口是Socks代理服务使用的端口,大家平时上网使用的WWW服务使用的是HTTP协议的代理服务。
1755端口:1755端口默认情况下用于“Microsoft Media Server”(微软媒体服务器,简称MMS)。
4000端口:4000端口是用于大家经常使用的QQ聊天工具的,再细说就是为QQ客户端开放的端口,QQ服务端使用的端口是8000。
5554端口:在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波(Worm.Sasser),该病毒可以利用TCP 5554端口开启一个FTP服务,主要被用于病毒的传播。
5632端口:5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口。
8080端口:8080端口同80端口,是被用于WWW代理服务的,可以实现网页浏览。
脚本之家小编注意:一般有两种方法一个使用防火墙、另外一个就是使用安全策略来实现。
安全策略
为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口:
方法/步骤
1、 第一步, 点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP安全策略”(如右图),于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
2、 第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
3、 第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮(如左图),这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和UDP 135、139、445 端口,为它们建立相应的筛选器。
重复以上步骤添加TCP 1025、2745、3127、6129、3389端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
4、 第四步,在“新规则属性”对话框中,选择“新 IP筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作(右图):在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
5、第五步,进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;
最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
注意事项
于是重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑。
你的系统中的“IPSEC Policy Agent”服务必须在启动状态,否则前面的规则会不起作用。
如对本文有疑问,请提交到交流社区,广大热心网友会为你解答!!
137端口篇(2):135 端口、137端口、139端口等主要用途
135端口、137端口、139端口等主要用途
作者:佚名 厚朴教育来源:网络 点击数:1583 更新时间:2009-4-23
135端口:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。
端口说明:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地 执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。
端口漏洞:相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒,该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口,该接口侦听的端口就是135。
操作建议:为了避免“冲击波”病毒的攻击,建议关闭该端口。
137端口:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务)。
端口说明:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务),属于UDP端口,使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求,就可以获取该计算机的名称、注册用户名,以及是否安装主域控制器、IIS是否正在运行等信息。
端口漏洞:因为是UDP端口,对于攻击者来说,通过发送请求很容易就获取目标计算机的相关信息,有些信息是直接可以被利用,并分析漏洞的,比如IIS服务。另外,通过捕获正在利用137端口进行通信的信息包,还可能得到目标计算机的启动和关闭的时间,这样就可以利用专门的工具来攻击。
操作建议:建议关闭该端口。
139端口:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。
端口说明:139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享,必须使用该服务。比如在Windows 98中,可以打开“控制面板”,双击“网络”图标,在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务;在Windows 2000/XP中,可以打开“控制面板”,双击“网络连接”图标,打开本地连接属性;接着,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮;然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WINS”选项卡,在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。
端口漏洞:开启139端口虽然可以提供共享服务,但是常常被攻击者所利用进行攻击,比如使用流光、SuperScan等端口扫描工具,可以扫描目标计算机的139端口,如果发现有漏洞,可以试图获取用户名和密码,这是非常危险的。
操作建议:如果不需要提供文件和打印机共享,建议关闭该端口。
143端口:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP)。
端口说明:143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP),和POP3一样,是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接收邮件的情况下,知道信件的内容,方便管理服务器中的电子邮件。不过,相对于POP3协议要负责一些。如今,大部分主流的电子邮件客户端软件都支持该协议。
端口漏洞:同POP3协议的110端口一样,IMAP使用的143端口也存在缓冲区溢出漏洞,通过该漏洞可以获取用户名和密码。另外,还有一种名为“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。
操作建议:如果不是使用IMAP服务器操作,应该将该端口关闭。
161端口:161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP)。
端口说明:161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP),该协议主要用于管理TCP/IP网络中的网络协议,在Windows中通过SNMP服务可以提供关于TCP/IP网络上主机以及各种网络设备的状态信息。目前,几乎所有的网络设备厂商都实现对SNMP的支持。
在Windows 2000/XP中要安装SNMP服务,我们首先可以打开“Windows组件向导”,在“组件”中选择“管理和监视工具”,单击“详细信息”按钮就可以看到“简单网络管理协议(SNMP)”,选中该组件;然后,单击“下一步”就可以进行安装。
端口漏洞:因为通过SNMP可以获得网络中各种设备的状态信息,还能用于对网络设备的控制,所以黑客可以通过SNMP漏洞来完全控制网络。
操作建议:建议关闭该端口。
443端口:43端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。
端口说明:443端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站,比如银行、证券、购物等,都采用HTTPS服务,这样在这些网站上的交换信息其他人都无法 看到,保证了交易的安全性。网页的地址以https://开始,而不是常见的http://。
端口漏洞:HTTPS服务一般是通过SSL(安全套接字层)来保证安全性的,但是SSL漏洞可能会受到黑客的攻击,比如可以黑掉在线银行系统,盗取信用卡账号等。
操作建议:建议开启该端口,用于安全性网页的访问。另外,为了防止黑客的攻击,应该及时安装微软针对SSL漏洞发布的最新安全补丁。
554端口:554端口默认情况下用于“Real Time Streaming Protocol”(实时流协议,简称RTSP)。
端口说明:554端口默认情况下用于“Real Time Streaming Protocol”(实时流协议,简称RTSP),该协议是由RealNetworks和Netscape共同提出的,通过RTSP协议可以借助于Internet将流媒体文件传送到RealPlayer中播放,并能有效地、最大限度地利用有限的网络带宽,传输的流媒体文件一般是Real服务器发布的,包括有.rm、.ram。如今,很多的下载软件都支持RTSP协议,比如FlashGet、影音传送带等等。
端口漏洞:目前,RTSP协议所发现的漏洞主要就是RealNetworks早期发布的Helix Universal Server存在缓冲区溢出漏洞,相对来说,使用的554端口是安全的。
操作建议:为了能欣赏并下载到RTSP协议的流媒体文件,建议开启554端口。
1024端口:1024端口一般不固定分配给某个服务,在英文中的解释是“Reserved”(保留)。
端口说明:1024端口一般不固定分配给某个服务,在英文中的解释是“Reserved”(保留)。之前,我们曾经提到过动态端口的范围是从1024~65535,而1024正是动态端口的开始。该端口一般分配给第一个向系统发出申请的服务,在关闭服务的时候,就会释放1024端口,等待其他服务的调用。
端口漏洞:著名的YAI木马病毒默认使用的就是1024端口,通过该木马可以远程控制目标计算机,获取计算机的屏幕图像、记录键盘事件、获取密码等,后果是比较严重的。
操作建议:一般的杀毒软件都可以方便地进行YAI病毒的查杀,所以在确认无YAI病毒的情况下建议开启该端口。
1080端口:1080端口是Socks代理服务使用的端口,大家平时上网使用的WWW服务使用的是HTTP协议的代理服务。
端口说明:1080端口是Socks代理服务使用的端口,大家平时上网使用的WWW服务使用的是HTTP协议的代理服务。而Socks代理服务不同于HTTP代理服务,它是以通道方式穿越防火墙,可以让防火墙后面的用户通过一个IP地址访问Internet。Socks代理服务经常被使用在局域网中,比如限制了QQ,那么就可以打开QQ参数设置窗口,选择“网络设置”,在其中设置Socks代理服务。另外,还可以通过安装Socks代理软件来使用QQ,比如Socks2HTTP、SocksCap32等。
端口漏洞:著名的代理服务器软件WinGate默认的端口就是1080,通过该端口来实现局域网内计算机的共享上网。不过,如Worm.Bugbear.B(怪物II)、Worm.Novarg.B(SCO炸弹变种B)等蠕虫病毒也会在本地系统监听1080端口,给计算机的安全带来不利。
操作建议:除了经常使用WinGate来共享上网外,那么其他的建议关闭该端口。
1755端口:1755端口默认情况下用于“Microsoft Media Server”(微软媒体服务器,简称MMS)。
4000端口:4000端口是用于大家经常使用的QQ聊天工具的,再细说就是为QQ客户端开放的端口,QQ服务端使用的端口是8000。
端口说明:1755端口默认情况下用于“Microsoft Media Server”(微软媒体服务器,简称MMS),该协议是由微软发布的流媒体协议,通过MMS协议可以在Internet上实现Windows Media服务器中流媒体文件的传送与播放。这些文件包括.asf、.wmv等,可以使用Windows Media Player等媒体播放软件来实时播放。其中,具体来讲,1755端口又可以分为TCP和UDP的MMS协议,分别是MMST和MMSU,一般采用TCP的MMS协议,即MMST。目前,流媒体和普通下载软件大部分都支持MMS协议。
端口漏洞:目前从微软官方和用户使用MMS协议传输、播放流媒体文件来看,并没有什么特别明显的漏洞,主要一个就是MMS协议与防火墙和NAT(网络地址转换)之间存在的兼容性问题。
操作建议:为了能实时播放、下载到MMS协议的流媒体文件,建议开启该端口。
5554端口:在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波(Worm.Sasser),该病毒可以利用TCP 5554端口开启一个FTP服务,主要被用于病毒的传播。
端口说明:4000端口是用于大家经常使用的QQ聊天工具的,再细说就是为QQ客户端开放的端口,QQ服务端使用的端口是8000。通过4000端口,QQ客户端程序可以向QQ服务器发送信息,实现身份验证、消息转发等,QQ用户之间发送的消息默认情况下都是通过该端口传输的。4000和8000端口都不属于TCP协议,而是属于UDP协议。
端口漏洞:因为4000端口属于UDP端口,虽然可以直接传送消息,但是也存在着各种漏洞,比如Worm_Witty.A(维迪)蠕虫病毒就是利用4000端口向随机IP发送病毒,并且伪装成ICQ数据包,造成的后果就是向硬盘中写入随机数据。另外,Trojan.SkyDance特洛伊木马病毒也是利用该端口的。
操作建议:为了用QQ聊天,4000大门敞开也无妨。
5632端口:5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口。
端口说明:在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波(Worm.Sasser),该病毒可以利用TCP 5554端口开启一个FTP服务,主要被用于病毒的传播。
端口漏洞:在感染“震荡波”病毒后会通过5554端口向其他感染的计算机传送蠕虫病毒,并尝试连接TCP 445端口并发送攻击,中毒的计算机会出现系统反复重启、运行缓慢、无法正常上网等现象,甚至会被黑客利用夺取系统的控制权限。
操作建议:为了防止感染“震荡波”病毒,建议关闭5554端口。
8080端口:8080端口同80端口,是被用于WWW代理服务的,可以实现网页浏览。
端口说明:8080端口同80端口,是被用于WWW代理服务的,可以实现网页浏览,经常在访问某个网站或使用代理服务器的时候,会加上“:8080”端口号,比如http://www.cce.com.cn:8080。
端口漏洞:8080端口可以被各种病毒程序所利用,比如Brown Orifice(BrO)特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外,RemoConChubo,RingZero木马也可以利用该端口进行攻击。
操作建议:一般我们是使用80端口进行网页浏览的,为了避免病毒的攻击,我们可以关闭该端口。
137端口篇(3):端口使用
135端口
借助IEen工具能够借助135端口轻松连接到Internet上的其他工作站,并远程控制该工作站的IE浏览器。IEen可以监控到在浏览器中执行的任何操作,包括浏览页面内容、输入帐号密码、输入搜索关键字等,甚至包括在网上银行中输入的各种密码信息。除了可以对远程工作站上的IE浏览器进行操作、控制外,IEen工具通过135端口几乎可以对所有的借助DCOM开发技术设计出来的应用程序进行远程控制,例如IEen工具也能轻松进入到正在运行Excel的计算机中,直接对Excel进行各种编辑操作。
怎么样?135端口对外开放是不是很危险呀?当然,这种危险毕竟是理论上的,要想真正地通过135端口入侵其他系统,还必须提前知道对方计算机的IP地址、系统登录名和密码等。只要你严格保密好这些信息,你的计算机被IEen工具攻击的可能性几乎不存在。
由于该工具采用了一种DCOM技术,所以它可以直接对其他工作站的DCOM程序进行远程控制。DCOM技术与对方计算机进行通信时,会调用目标主机中的RPC服务,而RPC服务将会自动询问目标主机中的135端口,查出当前有哪些端口可以被用来通信。如此一来,目标主机就会提供一个可用的服务端口作为数据传输通道使用。在这一通信过程中,135端口的作用其实就是为RPC通信提供一种服务端口的映射功能。不过现在135基本上已经绝迹了,大家不要担心。
137端口
137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,安装了NetBIOS协议后,该端口会自动处于开放状态。
要是非法入侵者知道目标主机的IP地址,并向该IP的137端口发送一个连接请求时,就可能获得目标主机的相关名称信息。包括目标主机的计算机名称,注册该目标主机的用户信息,目标主机本次开机、关机时间等。
139端口
139端口在你通过网上邻居访问局域网中的共享文件或共享打印机时就能发挥作用。
139端口一旦被Internet上的某个攻击者利用的话,就能成为一个危害极大的漏洞之门哦。黑客要是与目标主机的139端口建立连接的话,就很有可能浏览到指定网段内所有工作站中的所有共享信息,甚至可以对目标主机中的共享文件夹进行各种复制、删除等操作,倘若攻击者还知道目标主机的IP地址和登录帐号的话,甚至能轻松地查看到目标主机中的隐藏共享信息。
445端口
445端口在Windows 2000 Server或Windows Server 2003系统中发挥的作用与139端口是完全相同的。它提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议(通用因特网文件系统协议)工作的,而139端口是基于SMB协议(服务器协议族)对外提供共享服务。虽然2个端口服务不同,但是攻击者与445端口建立请求连接,也能获得指定局域网内的各种共享信息。
关闭网络端口
到了这里,相信你对各端口开放时存在的安全威胁了解了吧,开放这些端口真是太可怕了。下面我就给大家提供了一些防范措施,让你轻松除去这些隐患
关闭135端口
关闭135端口最直接有效的方法,就是将RPC服务停止掉。点击开始菜单中的"运行",在"运行"中输入"services.msc"后回车,打开"服务"窗口中,将"Remote Procedure Call"选中,再单击右键菜单中的"属性"命令,弹出设置窗口;在启动类型设置项处,选中"已禁用"选项,并单击"确定"按钮。
以后需要重新启用RPC服务时,必须运行"regedit.exe"打开注册表编辑窗口,找到"HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services \RpcSs"子键,双击该子键下面的"Start"项,将其数值设置为"0x02",然后把系统重新启动一下就OK了。
上面的关闭方法有很大的局限性,因为一旦停止了RPC服务,服务器中的许多功能都有可能失效。例如数据库查询功能、Outlook功能、远程拨号功能等,都不能正常工作了。因此这种关闭方法只能适合在简单的Web服务器或DNS服务器中使用。
由此可见,简单地关闭RPC服务,会"殃及池鱼"。考虑到只有采用DCOM开发技术设计出来的应用程序,才会调用RPC服务,因此只要禁止使用系统中的DCOM,同样也会达到禁用RPC服务的目的。要禁用DCOM设置的话,可以按下面方法来进行:依次单击"开始" → "运行"命令,打开运行对话框,输入"dcomcnfg.exe"命令,单击回车键后,打开一个设置窗口。选中该窗口的"默认属性"标签,在其后的标签页面中,将"在这台计算机上启用分布式COM选项选中,最后单击"确定"按钮,退出设置窗口。这样一来,任何黑客或非法入侵者都不能对计算机中的DCOM应用程序进行远程操作,至此你也就实现了间接关闭135端口的目的。
除了上面的方法外,你还可以采取另外一种相对复杂的办法来关闭135端口。这种方法是先用UltraEdit工具,打开系统文件夹system32下面的rpcss.dll文件。然后在该程序的主界面中,依次执行"搜索" → "查找"命令,并在弹出的查找对话框中,输入十六进制数"3100330035",再单击一下"查找下一个"按钮,最后打开一个界面,在这里你必须将"3100330035",修改为"3000300030",这样就可以将"135端口",修改为"000"了,接着将该文件重新换名保存。
关闭137、138端口
考虑到基于TCP/IP协议下的NetBIOS服务,几乎都是通过137、138端口实现的,因此你只要将基于TCP/IP协议下的NetBIOS服务停止掉,就能实现间接关闭137、138端口的目的。现在就来看看停止NetBIOS服务的具体步骤。先用鼠标右键单击桌面上的"网上邻居"图标,从弹出的右键菜单中,点击"属性",打开"Internet协议(TCP/IP)"参数设置窗口;再单击一下"高级"按钮,并在随后弹出的设置框中,选中"WINS"标签;再打开标签页面,选中"禁用TCP/IP上的NetBIOS(S)",最后单击"确定"按钮,完成关闭NetBIOS服务的设置操作。这样,Internet上的入侵者就不能利用137、138端口对你的系统胡作非为了。
关闭139端口
通过139端口,黑客可以在Internet上访问到你硬盘中的文件或打印机。因此对外开放139端口的危害性是极大的。除了通过停止NetBIOS服务来关闭139端口外,你还能按下面步骤实现关闭139端口的目的。
按关闭137、138步骤,打开"Internet协议(TCP/IP)"属性设置界面,选中"常规"标签,并在对应的标签页面中,单击"高级"按钮,弹出高级设置窗口。选中该窗口中"选项"标签,再将该页面中的"TCP/IP筛选"选中。然后点击"属性"按钮,弹出一个界面,选中"只允许"项,下面的"添加"按钮便可用了。单击该按钮,将当前系统中需要用到的所有端口号码在这里输入,而将需要关闭的139端口排除在外,就能轻松关闭139端口。这种方法操作起来比较方便,可以适用于其他任何端口的关闭。
另外,需要注意的是,仅仅停止TCP/IP协议下的NetBIOS服务,是不能将139端口完全关闭的。因为打印机共享服务也有可能通过139端口实现,为此你还必须将这种服务停止掉,具体步骤为:鼠标右键单击桌面上的"网上邻居"图标,从弹出的快捷菜单中执行"属性"命令,打开"网络和拨号连接"窗口;鼠标右键单击"本地连接"或"Internet连接"图标,执行快捷菜单中的"属性"命令,弹出一个界面;在该界面中,取消"Microsoft网络的文件和打印机共享"选项,再单击"确定"按钮,完成关闭打印机共享服务的设置操作。这样一来,139端口就得到彻底关闭了。
此外,还有一种更为有效的方法,可以彻底关闭139端口,那就是自定义IP安全策略。
以139为例
1.开始->控制面板(或者管理)->管理工具->本地安全策略
2.右击"Ip安全策略,在 本地计算机", 选择 "管理 IP 筛选器表和筛选器操作",
<就可以启动管理 IP 筛选器表和筛选器操作对话框>
3.在"管理 IP 筛选器表"中,按"添加"按钮 打开IP筛选器列表
4.在名称(N) 下面添上"禁止139端口" 任何名字都行,只要你知道就行描述(D) 也写上"禁止139端口"
5.添加按扭 进入ip筛选向导
6.点击下一步 进入筛选向导
7.在源地址(s): 出选择 下拉里的第二项"任何 ip 地址" 点击下一步
8.在目标地址(D): 选上"我的 ip 地址" 点击下一步
9.选择协议类型(S): 把"任意"选改为"tcp" 点击下一步
10.设置ip协议断口: 可以看到很相似的两组选项选择 到端口(O) 添上你要禁止的端口"139" 点击下一步即可
关闭445端口
其关闭的方法,几乎与关闭139端口的方法完全一致。但除了使用上面的方法外,你也可以采取另外一种个性化的方法,来彻底关闭445端口。
依次单击"开始" → "运行"命令,在随后出现的运行框中,输入"regedit"命令,打开注册表编辑器。依次展开"HKEY_LOCAL_MACHINE\SYSTEM\Current- ControlSet\Services\NetBT\Parameters"子键,在右边的窗口中,用鼠标右击一下空白区域,从弹出的快捷菜单中,依次执行"新建" → "双字节值"命令,并将该值命名为"SMBDeviceEnabled"。
双击"SMBDeviceEnabled"选项,在弹出的数值设置界面中,将其数值设置为"0"。保存后关闭注册表编辑界面,将系统重新启动,445服务端口就会被彻底关闭了。
此外,设置好防火墙安全规则,也能实现彻底关闭服务端口的目的。例如,你可以启动"天网个人防火墙"程序,依次单击菜单栏中的"设置" → "设置规则"命令,在随后出现的规则设置界面中,依次执行"规则" → "添加"命令。
在打开的设置界面中,将名称设置为"关闭445端口",将类别设置为"拒绝服务",将方向设置为"接收",将协议设置为"TCP",将操作设置为"禁止",将数据链设置为"广域网"。接着,单击该界面中的"地址"标签,并在对应的标签页面中,将源地址设置为"主机地址",然后正确输入本地主机的IP地址。将目的地址设置为"任何地址",然后选中"端口号"标签,在弹出的设置界面中,将源端口设置为"一个端口",并输入具体的端口号码"445",将目的端口设置为"一个端口",并输入具体的端口号码"0"。
最后,再单击一下"TCP标志"标签,并在随后弹出的标签页面中,选中"SYN"选项。完成上面所有设置后,再单击一下"添加"按钮,就能创建好一个过滤规则。返回到瑞星个人防火墙的规则设置界面,选中前面创建好的"关闭445端口"的IP规则,这样天网防火墙就能自动禁止从445端口来的各种入侵。
