防黑必備--關(guān)閉端口詳解

chenxue

&lt;div class=tpc_content><font style="BACKGROUND-COLOR: #ccffff" face=隸書 color=#ff0000 size=4><strong>在和段臣風(fēng)同志聊天的時候，說到端口的問題，今天就發(fā)個帖子，說一下！呵呵！</strong></font>&lt;/div>&lt;div class=tpc_content><font style="BACKGROUND-COLOR: #ccffff" face=隸書 color=#ff0000 size=4><strong>首先還得聲明一下，這是流云寫的，并非本人自己的，我希望能和大家一起學(xué)習(xí)與交流！</strong></font>&lt;/div>&lt;div class=tpc_content><font color=#008000 size=4>我相信有很多人都不知道自己開了什么端口.更加不知道怎么關(guān)閉端口.<br />你可以用查看端口的軟件查看.<br />也可以通過在運行里輸入"cmd"<br />在彈出的cmd命令行里輸入<br />netstat -an 來查看自己開放端口.ip地址的后面的就是端口號.<br />以下是我自己寫的一篇關(guān)于關(guān)閉端口的詳細(xì)步驟和多種方法<br />有很多人問我如何關(guān)閉端口,所以我(流云)整理了一下關(guān)于關(guān)閉端口的資料,并給大家寫這篇文章介紹關(guān)于關(guān)閉端口的多種方法(包括系統(tǒng)的方法:修改注冊表和關(guān)閉服務(wù);通過創(chuàng)建 IP 安全策略來屏蔽端口的方法;增加防火墻的規(guī)則屏蔽端口;通過本地連接的TCP/IP篩選來過濾端口;)由于入侵的基礎(chǔ)就在于端口,所以關(guān)閉掉可能會被入侵的端口,這樣你的電腦的安全悉數(shù)就提高了.這里先介紹一下,關(guān)于入侵最多的幾個端口的系統(tǒng)關(guān)閉方法.<br /><br />1.系統(tǒng)關(guān)閉方法:<br /><br />(1)21端口:<br />端口說明: ftp 最常見的攻擊者用于尋找打開“anonymous”的ftp服務(wù)器的方法。<br />這些服務(wù)器帶有可讀寫的目錄。Hackers或Crackers 利用這些服務(wù)器<br />作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜索引擎分<br />類)的節(jié)點。<br /><br />關(guān)閉方法:控制面板--管理工具--服務(wù)<br />關(guān)閉FTP Publishing Service,它提供的服務(wù)是通過 Internet 信息服務(wù)<br />的管理單元提供 FTP 連接和管理。<br /><br />(2)23端口<br />端口說明:Telnet 入侵者在搜索遠(yuǎn)程登陸UNIX的服務(wù)。大多數(shù)情況下入侵者掃<br />描這一端口是為了找到機器運行的操作系統(tǒng)。此外使用其它技術(shù)，入<br />侵者會找到密碼。 <br /><br />關(guān)閉方法:控制面板--管理工具--服務(wù)<br />關(guān)閉Telnet服務(wù)，它允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運行控<br />制臺程序。<br /><br />(3)25端口<br />端口說明:smtp 攻擊者（spammer）尋找SMTP服務(wù)器是為了傳遞他們的spam。<br />入侵者的帳戶總被關(guān)閉，他們需要撥號連接到高帶寬的e-mail服務(wù)器<br />上，將簡單的信息傳遞到不同的地址。SMTP服務(wù)器（尤其是sendmail）<br />是進入系統(tǒng)的最常用方法之一，因為它們必須完整的暴露于Internet且<br />郵件的路由是復(fù)雜的（暴露+復(fù)雜=弱點）。 <br /><br />關(guān)閉方法:控制面板--管理工具--服務(wù)<br />關(guān)閉Simple Mail Transport Protocol (SMTP)服務(wù)，它提供的功能是<br />跨網(wǎng)傳送電子郵件.<br /><br />(4)80端口<br />端口說明:80端口是為HTTP（HyperText Transport Protocol，超文本傳輸協(xié)<br />議）開放的，這是上網(wǎng)沖浪使用最多的協(xié)議，主要用于在WWW<br />（World Wide Web，萬維網(wǎng)）服務(wù)上傳輸信息的協(xié)議。<br /><br />關(guān)閉方法:控制面板--管理工具--服務(wù)<br />關(guān)掉WWW服務(wù)。在“服務(wù)”中顯示名稱為"World Wide Web <br />Publishing Service"，通過Internet 信息服務(wù)的管理單元提供 Web <br />連接和管理。<br /><br />(5)135端口<br />端口說明c-serv MS RPC end-point mapper Microsoft在這個端口運行DCE <br />RPC end-point mapper為它的DCOM服務(wù)。這與UNIX 111 端口的功<br />能很相似。使用DCOM和/或RPC的服務(wù)利用機器上的end-point mapper<br />注冊它們的位置。遠(yuǎn)端客戶連接到機器時，它們查詢end-point<br />mapper找到服務(wù)的位置。同樣Hacker掃描機器的這個端口是為了找到<br />諸如：這個機器上運行ExchangeServer嗎?是什么版本？ <br /><br />關(guān)閉方法:用一款16為編輯軟件（推薦UltraEdit）打開你系統(tǒng) <br />winnt&#92;system32&nbsp; 或者 x:&#92;windows&#92;system32下的rpcss.dll文件。<br />查找31 00 33 00 35<br />替換為30 00 30 00 30<br />查找3100330035，將其替換為3000300030，意思就是將135端口<br />改為000。至此修改的任務(wù)已經(jīng)完成，下面將面臨一個保存的問題。<br />因為該文件正在運行，在Windows環(huán)境下是不能覆蓋的。如果你是<br />FAT32文件系統(tǒng)，那么直接引導(dǎo)進DOS環(huán)境，將修改好的文件覆蓋掉<br />原來的文件。<br />如果是NTFS格式，相對就麻煩一些。進安全模式。然后啟動pulist列<br />出進程，然后用pskill這個程序（黑客網(wǎng)站有下的）殺掉svchost.exe<br />程序。然后在COPY過去。<br />覆蓋后重新啟動，使用netstat -an命令，可以看到Windows 2000下<br />已經(jīng)沒有135端口了。XP系統(tǒng)還有TCP的135，但是UDP里面已經(jīng)沒有<br />135端口了。<br />(如果看不懂以上的方法,我?guī)痛蠹艺伊艘粋�有圖片的關(guān)閉方法<br /></font><a target=_blank href="http://www.pcpop.com/hard/03/8/26909.shtml" target=_blank><font color=#008000 size=4>http://www.pcpop.com/hard/03/8/26909.shtml</font></a><font color=#008000 size=4>)<br /><br />135端口的詳細(xì)關(guān)閉方法:<br /></font><a target=_blank href="http://www.shengfang.org/blog/p/block135port.php" target=_blank><font color=#008000 size=4>http://www.shengfang.org/blog/p/block135port.php</font></a><br /><br /><font color=#008000 size=4>(6)139端口<br />端口說明: File and Print Sharing 通過這個端口進入的連接試圖獲<br />NetBIOS/SMB服務(wù)。這個協(xié)議被用于Windows“文件和打印機共享”<br />和SAMBA。在Internet上共享自己的硬盤是可能是最常見的問題。<br />Ipc$就是要依賴這個端口的.<br />關(guān)于此端口的命令詳解和入侵技巧請參照我發(fā)的帖子<br /></font><a target=_blank href="http://www.fskybase.com/bbs/viewthread.php?tid=18&amp;fpage=1" target=_blank><font color=#008000 size=4>http://www.fskybase.com/bbs/viewthread.php?tid=18&amp;fpage=1</font></a><br /><br /><font color=#008000 size=4>關(guān)閉方法:139端口可以通過禁止NBT來屏蔽<br />本地連接－TCP/IT屬性－高級－WINS－選‘禁用TCP/IT上的NETBIOS’<br />一項<br /><br />(7)445端口:<br />端口說明: 445端口是般是信息流通數(shù)據(jù)的端口，一般黑客都是通過這個端口對你<br />的計算機或木馬的控制，windows2000以后的版本都會自動打開這個<br />端口。一般流行性病毒，如沖擊波，震蕩婆，災(zāi)飛都是從這個端口對<br />計算機開始攻擊！ <br /><br />關(guān)閉方法:445端口可以通過修改注冊表來屏蔽<br />添加一個鍵值<br />Hive: HKEY_LOCAL_MACHINE<br />Key: System&#92;Controlset&#92;Services&#92;NetBT&#92;Parameters<br />Name: SMBDeviceEnabled <br />Type: REG_DWORD<br />Value: 0<br />修改完后重啟機器<br /><br />(8)3389端口<br />端口說明: 3389又稱Terminal Service，服務(wù)終端。在WindowsNT中最先開始使<br />用的一種終端，在Win2K的Professional版本中不可以安裝，在Server <br />或以上版本才可以安裝這個服務(wù)，其服務(wù)端口為3389。由于使用簡<br />單，方便等特點，一直受系統(tǒng)管理員的青昧。也正式因為他的簡便，<br />不產(chǎn)生交互式登陸，可以在后臺操作，因此也受到了黑客朋友的喜<br />愛，事實可以說明，現(xiàn)在大多數(shù)朋友在入侵之后，都想打開windows<br />終端服務(wù)，甚至不惜重啟對方的計算機，也要把終端服務(wù)安裝上，由<br />此可見他的普遍性。另，在在XP系統(tǒng)中又叫做“遠(yuǎn)程桌面”。<br /><br />關(guān)閉方法:首先說明3389端口是windows的遠(yuǎn)程管理終端所開的端口，它并不是<br />一個木馬程序，請先確定該服務(wù)是否是你自己開放的。如果不是必須<br />的，請關(guān)閉該服務(wù)。 <br /><br />win2000關(guān)閉的方法： <br />win2000server 開始--&gt;程序--&gt;管理工具--&gt;服務(wù)里找到Terminal Services服務(wù)項， <br />選中屬性選項將啟動類型改成手動，并停止該服務(wù)。 <br />win2000pro 開始--&gt;設(shè)置--&gt;控制面板--&gt;管理工具--&gt;服務(wù)里找到Terminal Services <br />服務(wù)項，選中屬性選項將啟動類型改成手動，并停止該服務(wù)。 <br />winxp關(guān)閉的方法： <br />在我的電腦上點右鍵選屬性--&gt;遠(yuǎn)程，將里面的遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面兩個選項框里的勾去掉。 <br /><br />(9)4489端口<br />端口說明: 首先說明4899端口是一個遠(yuǎn)程控制軟件（remote administrator)服務(wù)<br />端監(jiān)聽的端口，他不能 算是一個木馬程序，但是具有遠(yuǎn)程控制功能，<br />通常殺毒軟件是無法查出它來的，請先確定該服務(wù)是否是你自己開放 <br />并且是必需的。如果不是請關(guān)閉它。<br /><br />關(guān)閉方法:請在開始--&gt;運行中輸入cmd(98以下為command),然后cd <br />C:&#92;winnt&#92;system32(你的系統(tǒng)安裝目錄），輸入r_server.exe /stop<br />后按回車然后在輸入r_server /uninstall /silence 到C:&#92;winnt&#92;system32<br />(系統(tǒng)目錄）下刪除r_server.exe admdll.dll radbrv.dll三個文件 <br /><br />(10)默認(rèn)共享:<br />很多人根本就還不知道有默認(rèn)共享這么一回事,其實系統(tǒng)一裝好都是打開默認(rèn)共享的.把c,d默認(rèn)共享為c$,d$.其實這個是相當(dāng)危險的,這個就相當(dāng)于開著門讓黑課進來.可以通過很多種方法入侵.其中以ipc$最為著名.所以一定關(guān)閉它.關(guān)閉的方法有很多種.<br /><br />端口說明:這是在安裝服務(wù)器的時候，把系統(tǒng)安裝分區(qū)自動進行共享，雖然對其訪<br />問還需要超級用戶的密碼，但這是潛在的安全隱患，從服務(wù)器的安全考<br />慮，最好關(guān)閉這個“默認(rèn)共享”，以保證系統(tǒng)安全。<br /><br />關(guān)閉方法：關(guān)于默認(rèn)共享的關(guān)閉方法有很多種方法.我這里根據(jù)自己所知的,歸納<br />了4種最常用的方法.<br />1.DOS下刪除共享<br />單擊“開始/運行”，在運行窗口中輸入“cmd”(98則是command)，打開cmd命令行.用net share 命令查看自己是否開了默認(rèn)共享和ipc$,所有的共享信息都可以在里面顯示.選擇你要的刪除的共享.用net share xx /delete(此處的xx表示你要刪除的共享文件)例如:net share c$ /delete 表示刪除c盤的默認(rèn)共享(根據(jù)我的經(jīng)驗net share c:&#92; /delete 其實也是一樣刪除c盤的默認(rèn)共享的).<br />2.盤符屬性<br />確定你要刪除的盤符,單擊鼠標(biāo)右鍵選擇共享和安全的選項.在彈出的窗口中選擇不共享此文件夾.然后點確定.這樣就關(guān)閉了共享(包括默認(rèn)共享).<br />3.控制面板中刪除<br />控制面板—管理工具—計算機管理—共享文件夾—共享<br />關(guān)閉里面的默認(rèn)共享(包括admin$的刪除)<br />4. 修改注冊表<br />單擊“開始/運行”，在運行窗口中輸入“Regedit”，打開注冊表編輯器，展開“HKEY_LOCAL_MACHINE&#92;SYSTEM&#92;CurrentControlSet&#92;Lanmanworkstation&#92;parameters”，在右側(cè)窗口中創(chuàng)建一個名為“AutoShareWks”的雙字節(jié)值，將其值設(shè)置為0，(win2000 專業(yè)版 win xp);[HKEY_LOCAL_MACHINE&#92;SYSTEM&#92;CurrentControlSet&#92;Services&#92;<br />lanmanserver&#92;parameters]"AutoShareServer"=dword:00000000&nbsp; (win2000 server、win2003 server)這樣就可以徹底關(guān)閉“默認(rèn)共享”。<br /><br />以上幾個端口都是最常入侵的端口,也是最適合一般用戶的電腦.至于其他特定軟件所開放的端口可以根據(jù)通過創(chuàng)建 IP 安全策略來屏蔽端口的方法;增加防火墻的規(guī)則屏蔽端口;通過本地連接的TCP/IP篩選來過濾端口的方法來關(guān)閉端口.以下介紹一下通過創(chuàng)建 IP 安全策略來屏蔽端口的方法的方法來關(guān)閉端口,由于增加防火墻的規(guī)則屏蔽端口;通過本地連接的TCP/IP篩選來過濾端口的方法和過創(chuàng)建 IP 安全策略來屏蔽端口的方法差不多,所以就不重復(fù)講了.這里就先介紹一下創(chuàng)建 IP 安全策略來屏蔽端口的方法.<br /><br />2.創(chuàng)建 IP 安全策略來屏蔽端口:<br />關(guān)閉的端口有，135，137，138，139，445，1025，2475，3127，6129，3389，593，還有tcp.<br />具體操作如下:<br />默認(rèn)情況下，Windows有很多端口是開放的，在你上網(wǎng)的時候，網(wǎng)絡(luò)病毒和黑客可以通過這些端口連上你的電腦。為了讓你的系統(tǒng)變?yōu)殂~墻鐵壁，應(yīng)該封閉這些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后門端口（如 TCP 2745、3127、6129 端口），以及遠(yuǎn)程服務(wù)訪問端口3389。下面介紹如何在WinXP/2000/2003下關(guān)閉這些網(wǎng)絡(luò)端口： <br /><br />　　第一步，點擊“開始”菜單/設(shè)置/控制面板/管理工具，雙擊打開“本地安全策略”，選中“IP 安全策略，在本地計算機”，在右邊窗格的空白位置右擊鼠標(biāo)，彈出快捷菜單，選擇“創(chuàng)建 IP 安全策略”（如右圖），于是彈出一個向?qū)�。在向�(qū)е悬c擊“下一步”按鈕，為新的安全策略命名；再按“下一步”，則顯示“安全通信請求”畫面，在畫面上把“激活默認(rèn)相應(yīng)規(guī)則”左邊的鉤去掉，點擊“完成”按鈕就創(chuàng)建了一個新的IP 安全策略。 <br /><br />　　第二步，右擊該IP安全策略，在“屬性”對話框中，把“使用添加向?qū)А弊筮叺你^去掉，然后單擊“添加”按鈕添加新的規(guī)則，<br />隨后彈出“新規(guī)則屬性”對話框，在畫面上點擊“添加”按鈕，彈出IP篩選器列表窗口；在列表中，首先把“使用添加向?qū)А?lt;br />左邊的鉤去掉，然后再點擊右邊的“添加”按鈕添加新的篩選器。<br /><br />　　第三步，進入“篩選器屬性”對話框，首先看到的是尋址，源地址選“任何 IP 地址”，目標(biāo)地址選“我的 IP 地址”；<br />點擊“協(xié)議”選項卡，在“選擇協(xié)議類型”的下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，點擊<br />“確定”按鈕（如左圖），這樣就添加了一個屏蔽 TCP 135（RPC）端口的篩選器，它可以防止外界通過135端口連上你的電腦 。 <br />　　點擊“確定”后回到篩選器列表的對話框，可以看到已經(jīng)添加了一條策略，重復(fù)以上步驟繼續(xù)添加 TCP 137、139、445、593 <br />端口和 UDP 135、139、445 端口，為它們建立相應(yīng)的篩選器。 <br />　　重復(fù)以上步驟添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的篩選器，最后點擊“確定”按鈕。 <br /><br />　　第四步，在“新規(guī)則屬性”對話框中，選擇“新 IP 篩選器列表”，然后點擊其左邊的圓圈上加一個點，表示已經(jīng)激活，<br />最后點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中，把“使用添加向?qū)А弊筮叺你^去掉，點擊“添加”按鈕，添加<br />“阻止”操作（右圖）：在“新篩選器操作屬性”的“安全措施”選項卡中，選擇“阻止”，然后點擊“確定”按鈕。 <br /><br />　　第五步、進入“新規(guī)則屬性”對話框，點擊“新篩選器操作”，其左邊的圓圈會加了一個點，表示已經(jīng)激活，點擊“關(guān)閉”按鈕，關(guān)閉對話框；最后回到“新IP安全策略屬性”對話框，在“新的IP篩選器列表”左邊打鉤，按“確定”按鈕關(guān)閉對話框。<br /><br />在“本地安全策略”窗口，用鼠標(biāo)右擊新添加的 IP 安全策略，然后選擇“指派”。 <br />　　于是重新啟動后，電腦中上述網(wǎng)絡(luò)端口就被關(guān)閉了，病毒和黑客再<br />也不能連上這些端口，從而保護了你的電腦。<br /><br />本人建議:如果你要關(guān)閉的端口是比較常見的入侵端口的話,我建議你采用系統(tǒng)的關(guān)閉方法.這樣更加直接和有效.而一般的端口的話,你不想開可以采用ip安全策略或者防火墻或者TCP&#92;IP篩選來關(guān)閉.將來你想開這個端口或者軟件需要用的時候,只要去掉規(guī)則就可以了.這里還有提醒大家一點,端口從1024開始到65535都是應(yīng)用程序所開啟的端口(當(dāng)然也包括木馬和病毒).除非你很確定這個端口是木馬或者病毒或者是沒用途的端口,不然不建議關(guān)閉.不然會出現(xiàn)很多問題.<br />以下是電腦端口基礎(chǔ)知識<br />端口可分為3大類： <br />1） 公認(rèn)端口（Well Known Ports）：從0到1023，它們緊密綁定于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的協(xié)議。例如：80端口實際上總是HTTP通訊。<br /><br />2） 注冊端口（Registered Ports）：從1024到49151。它們松散地綁定于一些服務(wù)。也就是說有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動態(tài)端口從1024左右開始。 <br /><br />3） 動態(tài)和/或私有端口（Dynamic and/or Private Ports）：從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口。實際上，機器通常從1024起分配動態(tài)端口。但也有例外：SUN的RPC端口從32768開始。<br />&lt;/div></font>

段臣風(fēng)

　呵呵　　謝謝　兄弟了