《如何关闭关闭高危端口.doc》由会员分享,可在线阅读,更多相关《如何关闭关闭高危端口.doc(6页珍藏版)》请在金锄头文库上搜索。
1、关闭高危端口1.系统保留端口(从0到1023)2.动态端口(从1024到65535)当访问远程站点或者一些应用服务,Windows会从1024起,在本机上分配一个动态端口,如果1024端口未关闭,再需要端口时就会分配1025端口供你使用,依此类推。但是有个别的系统服务会绑定在1024到49151的端口上,默认状态下,Windows会打开很多服务端口,我们查看下本机开放的端口。Netstat -anProto(协议) Local Address(本地)Foreign Address(远程) State(状态)21端口(如果不架设FTP服务器,建议关闭 21端口。关闭FTP Publishing
2、Service服务)23端口(主要用于Telnet(远程登录)服务,也是TTS(Tiny Telnet Server)木马的缺省端口,结束方法:开始设置控制面版管理工具服务Telnet双击服务状态停止启动类型:禁用;)25端口端口说明:25端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议),如果不是要架设SMTP邮件服务器,可以将该端口关闭。关闭Simple Mail Transport Protocol (SMTP)服务;53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析,如果当前的计算机不是用于提供
3、域名解析服务,建议关闭该端口。关闭方法:关闭 DNS Client服务。123 UDP端口单击“开始设置控制面板”,双击“管理工具服务”,停止Windows Time服务即可。关闭UDP 123端口,可以防范某些蠕虫病毒。建议:禁用;135端口135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码关闭方法:1.HKEY_LOCAL_MACHINESOFTWAREMicrosoftOleEnableDCOM键值修改为“N” 2.HKEY_LOC
4、AL_MACHINESOFTWAREMicrosoftrpcDCOMProtocols删除“ncacn_ip_tcp” 3.开始设置控制面版管理工具服务禁用 Distributed Transaction Coordinator 服务;137; 138端口UDP端口,当通过网上邻居传输文件时用这个端口,因为是UDP端口,对于攻击者来说,通过发送请求很容易就获取目标计算机的相关信息,有些信息是直接可以被利用,并分析漏洞的,比如IIS服务。另外,通过捕获正在利用137端口进行通信的信息包,还可能得到目标计算机的启动和关闭的时间,这样就可以利用专门的工具来攻击。关闭方法网上邻居-属性-本地连接属性,
5、取消Microsoft网络的文件和打印机共享,和Microsoft网络客户端前的钩;139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享,必须使用该服务。开启139端口虽然可以提供共享服务,但是常常被攻击者所利用进行攻击,利用专门的扫描工具扫描目标计算机的139端口,如果发现有漏洞,可以试图获取用户名和密码,这是非常危险的。 如果不需要提供文件和打印机共享,建议关闭该端口。 关闭方法网上邻居属性本地连接属性Internet协议属性高级,选 “禁用TCP/IP
6、上的NetBIOS”;445端口是关于文件和打印共享的 ,也是比较容易受攻击的一个地方,如果不用共享,可以将其关闭。关闭方法 开始运行输入 regedit 在弹出的注册表编辑窗口的左边找到下面目录HKEY_LOCAL_MACHINESystemCurrentControlSetServices NetBTParameters,在编辑窗口的右边空白处点击鼠标右键,出现的“新建”菜单中选择“DWORD值”将新建的DWORD参数命名为 “SMBDeviceEnabled”,数值为缺省的“0”。单击“开始控制面板系统硬件设备管理器”,单击“查看”菜单下的“显示隐藏的设备”,双击“非即插即用驱动程序”,
7、找到并双击NetBios over Tcpip,在打开的“NetBios over Tcpip属性”窗口中,单击选中“常规”标签下的“不要使用这个设备(停用)”,单击“确定”按钮后重新启动后即可。UDP1900端口在控制面板中双击“管理工具服务”,停止SSDP Discovery Service 服务即可。关闭这个端口,可以防范DDoS攻击。建议:禁用;3389端口3389端口是windows的远程管理终端所开的端口,关闭方法:我的电脑属性远程,将 允许从这台计算机发送远程协助邀请和允许用户远程连接到此计算机前面的钩去掉。建议:禁用。服务端端口状态解释1、LISTENING状态 FTP服务启动
8、后首先处于侦听(LISTENING)状态。 State显示是LISTENING时表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。就像你房子的门已经敞开的,但还没有人进来。2、ESTABLISHED状态 现在从192.168.0.X这台计算机访问一下192.168.0.100的FTP服务。在本机的TCPView可以看出端口状态变为ESTABLISHED。 ESTABLISHED的意思是建立连接。表示两台机器正在通信。 注意:处于ESTABLISHED状态的连接一定要格外注意,因为它也许不是个正常连接。3、TIME_WAIT状态 现在从192.168.0.X这台计算机结束访问19
9、2.168.0.100的FTP服务。在本机的TCPView可以看出端口状态变为TIME_WAIT。 TIME_WAIT的意思是结束了这次连接。说明21端口曾经有过访问,但访问结束了。 客户端端口状态解释客户端,端口的状态变化 客户端口实际上就是从本机访问其它计算机服务时打开的源端口,最多的应用是上网,下面就以访问为例来看看端口开放以及状态的变化情况。 1、SYN_SENT状态 SYN_SENT状态表示请求连接,当你要访问其它的计算机的服务时首先要发个同步信号给该端口,此时状态为SYN_SENT,如果连接成功了就变为ESTABLISHED,此时SYN_SENT状态非常短暂。但如果发现SYN_SE
10、NT非常多且在向不同的机器发出,那你的机器可能中了冲击波或震荡波之类的病毒了。这类病毒为了感染别的计算机,它就要扫描别的计算机,在扫描的过程中对每个要扫描的计算机都要发出了同步请求,这也是出现许多SYN_SENT的原因。 下面显示的是本机连接网站时的开始状态,如果你的网络正常的,那很快就变为ESTABLISHED的连接状态。 2、ESTABLISHED状态 下面显示的是本机正在访问网站。如果你访问的网站有许多内容比如访问http:/,那会发现一个地址有许多ESTABLISHED,这是正常的,网站中的每个内容比如图片、flash等都要单独建立一个连接。看ESTABLISHED状态时一定要注意是不是Iexplore.exe程序(IE)发起的连接,如果是Explore.exe之类的程序发起的连接,那也许是你的计算机中了木马了。 3、TIME_WAIT状态 如果浏览网页完毕,那就变为TIME_WAIT状态。
