转贴
默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、 138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。下面介绍如何在 WinXP/2000/2003下关闭这些网络端口:
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”(如右图),于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成” 按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击 “确定”按钮(如左图),这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。
重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作(右图):在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
第五步、进入“新规则属性”对话框,点
击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后
回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
于是重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑。
关闭139端口之二:打开“本地连接”选择“属性”-》打开tcp/ip属性窗口选择“高级”再选用WINS选项,选择禁用NETBIOS,这样也可以禁用139端口。
1.关闭135端口
使用Windows 2000或者XP的用户今天都被那个利用RPC服务漏洞的蠕虫病毒折腾的够戗吧,该病毒主要攻击手段就是扫描计算机的135端口来进行攻击,现在教大家一种手动关闭135端口的方法,虽然不能完全解决问题,但也是能解一时的燃眉之急。更新微软的补丁还是必要的。
用一款16为编辑软件(推荐UltraEdit)打开你系统x:winntsystem32或者x:windowssystem32下的rpcss.dll文件。
查31 00 33 00 35替换为30 00 30 00 30
查3100330035,将其替换为3000300030,意思就是将135端口改为000。
至此修改的任务已经完成,下面将面临一个保存的问题。因为该文件正在运行,在Windows环境下是不能覆盖的。如果你是FAT32文件系统,那么直接引导进DOS环境,将修改好的文件覆盖掉原来的文件。
如果是NTFS格式,相对就麻烦一些。进安全模式。然后启动pulist列出进程,然后用pskill这个程序(不少黑客网站有的下)杀掉程序。然后在COPY过去。
覆盖后重新启动,使用netstat -an命令,可以看到Windows 2000下已经没有135端口了。XP系统下还有TCP的135,但是UDP里面已经没有135端口了。
2.关闭445端口
关闭445端口的方法有很多,但是我比较推荐以下这种方法:
修改注册表,添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
Value: 0
修改完后重启机器,运行“netstat -an”,你将会发现你的445端口已经不再Listening了。
如何查看开放端口判断木马
协议进行client端与server端之间的通讯的,
既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器了)打开监
听端口来等待连接。例如鼎鼎大名的冰河使用的监听端口是7626,back orifice 2000
则是使用54320等等。那么,我们可以利用查看本机开放端口的方法来检查自己是否被
种了木马或其它黑客程序。以下是详细方法介绍。
1. windows本身自带的netstat命令
关于netstat命令,我
们先来看看windows帮助文件中的介绍:
netstat
建国大业 观后感显示协议统计和当前的 tcp/ip 网络连接。该命令只有在安装了 tcp/ip 协议后才可以
使用。
netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]
参数
-a
显示所有连接和侦听端口。服务器连接通常不显示。
-e
显示以太网统计。该参数可以与 -s 选项结合使用。
-n
以数字格式显示地址和端口号(而不是尝试查名称)。
-s
显示每个协议的统计。默认情况下,显示 tcp、udp、icmp 和 ip 的统计。-p 选项可
以用来指定默认的子集。
-p protocol
显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -s 选项
一同使用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。
-r
显示路由表的内容。
interval 烧带鱼
重新显示所选的统计,在每次显示之间暂停 interval 秒。按 ctrl+b 停止重新显示统
计。如果省略该参数,netstat 将打印一次当前的配置信息。
好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。现在就让我们现
学现用,用这个命令看一下自己的机器开放的端口。进入到命令行下,使用netstat命
令的a和n两个参数:
c:\>netstat -an
active connections
proto local address foreign address state
tcp 0.0.0.0:80 0.0.0.0:0 listening
tcp 0.0.0.0:21 0.0.0.0:0 listening
tcp 0.0.0.0:7626 0.0.0.0:0 listening
udp 0.0.0.0:445 0.0.0.0:0
电脑ipudp 0.0.0.0:1046 0.0.0.0:0
udp 0.0.0.0:1047 0.0.0.0:0
解释一下,active connections是指当前本机活动连接,proto是指连接使用的协议名
称,local address是本地计算机的 ip 地址和连接正在使用的端口号,foreign
address是连接该端口的远程计算机的 ip 地址和端口号,state则是表明tcp 连接的状
态,你可以看到后面三行的监听端口是udp协议的,所以没有state表示的状态。看!我
的机器的7626端口已经开放,正在监听等待连接,像这样的情况极有可能是已经感染了
冰河!急忙断开网络,用杀毒软件查杀病毒是正确的做法。
2.工作在windows2000下的命令行工具fport
使用windows2000的朋友要比使用windows9x的幸运一些,因为可以使用fport这个程序
中国十大名校大学来显示本机开放端口与进程的对应关系。
fport是foundstone出品的一个用来列出系统中所有打开的tcp/ip和udp端口,以及它们
对应应用程序的完整路径、pid标识、进程名称等信息的软件。在命令行下使用,请看
例子:
d:\&
fport v1.33 - tcp/ip process to port mapper
copyright 2000 by foundstone, inc.
www.foundstone
pid process port proto path
748 tcpsvcs -> 7 tcp c:\winnt\system32\
748 tcpsvcs -> 9 tcp c:\winnt\
748 tcpsvcs -> 19 tcp c:\winnt\
416 svchost ->
135 tcp c:\winnt\
是不是一目了然了。这下,各个端口究竟是什么程序打开的就都在你眼皮底下了。如果
发现有某个可疑程序打开了某个可疑端口,可千万不要大意哦,也许那就是一只狡猾的
木马!
fport的最新版本是2.0。在很多网站都提供下载,但是为了安全起见,当然最好还是到
兰博基尼最好的跑车它的老家去下:www.foundstone/knowledge/zips/fport.zip
3.与fport功能类似的图形化界面工具active ports
active ports为smartline出品,你可以用来监视电脑所有打开的tcp/ip/udp端口,不
但可以将你所有的端口显示出来,还显示所有端口所对应的程序所在的路径,本地ip和
林志玲个人档案远端ip(试图连接你的电脑ip)是否正在活动。
更棒的是,它还提供了一个关闭端口的功能,在你用它发现木马开放的端口时,可以立
即将端口关闭。这个软件工作在windows nt/2000/xp平台下。你可以在
www.smartline.ru/software/aports.zip得到它。
其实使用windows xp的用户无须借助其它软件即可以得到端口与进程的对应关系,因为
windows xp所带的netstat命令比以前的版本多了一个o参数,使用这个参数就可以得出
端口与进程的对应来。
上面介绍了几种查看本机开放端口,以及端口和进程对应关系的方法,通过这些方法可
以轻松的发现基于tcp/udp协议的木马,希望能给你的爱机带来帮助。但是对木马重在
防范,而且如果碰上反弹端口木马,利用驱动程序及动态链接库技术制作的新木马时,
以上这些方法就很难查出木马的痕迹了。所以我们一定要养成良好的上网习惯,不要随
意运行邮件中的附件,安装一套杀毒软件。
Windows XP关闭端口保安
Windows XP作为一个被广泛使用的系统,现在已经受到了越来越多攻击者的“青睐”。当然最简单的防范方法是装个网络防火墙,不过在没有防火墙时,我们有什么办法呢?关闭Windows XP中的无用端口可以让系统安全很多。
一、出自身开放的端口
扫描端口,然后漏洞是攻击者入侵的基本思路。可以说,机器上开放的端口越多,攻击者入侵的机会就越大,因此我们可以通过关闭一些我们不用的端口来提高电脑的安全性。
那如何知道我们的Windows XP开放了哪些端口呢?我们可以用命令“Netstat”来查看系统中开放的端口。
我们需要用到这个命令的两个参数:-a、-n。参数-a显示当前所有连接和侦听端口,而参数-n以数字格式显示地址和端口号(而不是尝试查名称),两者可以结合起来使用:Netstatan(如图1),就能查看当前端口的开放情况。
通过这个命令,如果我们发现一个异常的端口号在监听,可以先去网上查常见木马的端口号对照一
下,如果发现有木马使用的端口,就应该用杀除木马的软件检查系统了。
二、关闭无用端口
知道怎么查看机器的端口情况之后,接下来一个问题是,哪些端口是必需的,哪些端口是可以关闭的?这个问题稍微复杂一点,因为除了Windows XP默认开放的135、137、138、139和445,有些跟网络有关的软件需要使用到一些端口,最常用的比如QQ使用4000端口。这里笔者把情况想 像成最简单:一台只需要浏览网页的电脑。那么针对这个系统,我们自己来配置一下以提高安全性。
1、 关闭软件开启的端口。可以打开本地连接的“属性→Internet协议(TCP/IP)→属性→高级→选项→TCP/IP筛选属性”,然后都选上“只允 许”(如图2)。请注意,如果发现某个常用的网络工具不能起作用的时候,请搞清它在你主机所开的端口,然后在“TCP/IP筛选”中添加相应的端口。
2、禁用NetBIOS。打开本地连接的“属性→Internet协议(TCP/IP)→属性→高级→WINS→禁用TCP/IP上的NetBIOS”(如图3)。这样一来就关闭了137、138以及139端口,从而预防IPC$入侵。
3、开启Windows XP自带的网络防火墙。打开本地连接的“属性→高级”(如图4),启用防火墙之后,单击设置可以设置系统开放关闭哪些服务。一般来说,这些服务都可以不要,关闭这些服务后,这些服务涉及的端口就不会被轻易打开了。
4、禁用445端口。向注册表“HKEY_LO-CAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters”中追加名为“SMBDeviceEnabled”的DWord值,并将其设置为0,就好了。
通过以上设置,你的Windows XP系统的安全性将大大提高。要补充的是,文章是针对那些直接拨号上网的机器,而不包括通过网关代理上网的机器。
关闭端口详解
运行里输入"cmd"
在弹出的cmd命令行里输入
netstat -an 来查看自己开放端口.ip地址的后面的就是端口号.
以下是我自己写的一篇关于关闭端口的详细步骤和多种方法
有 很多人问我如何关闭端口,所以我(流云)整理了一下关于关闭端口的资料,并给大家写这篇文章介绍关于关闭端口的多种方法(包括系统的方法:修改注册表和关 闭服务;通过创建 IP 安全策略来屏蔽端口的方法;增加防火墙的规则屏蔽端口;通过本地连接的TCP/IP筛选来过滤端口;)由于入侵的基础就在于端口,所以关闭掉可能会被入侵 的端口,这样你的电脑的安全悉数就提高了.这里先介绍一下,关于入侵最多的几个端口的系统关闭方法.
1.系统关闭方法:
(1)21端口:
端口说明: ftp 最常见的攻击者用于寻打开“anonymous”的ftp服务器的方法。
这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器
作为传送warez (私有程
发布评论