關閉危險埠
阿新 • • 發佈:2019-01-24
電腦在Internet上相互通訊需要使用TCP/IP協議,根據TCP/IP協議規定,電腦有256×256(65536)個埠,這些埠可分為TCP埠和UDP埠兩種。如果按照埠號劃分,它們又可以分為以下兩大類:
1.系統保留埠(從0到1023)
這些埠不允許使用者使用,它們都有確切的定義,對應著因特網上常見的一些服務,每一個開啟的此類埠,都代表一個系統服務,例如80埠就代表Web服務.21對應著FTP,25對應著SMTP、110對應著POP3等;
2.動態埠(從1024到65535)
當需要與別人通訊時,Windows會從1024起,在本機上分配一個動態埠,如果1024埠未關閉,再需要埠時就會分配1025埠供使用者使用,依次類推.
但是有個別的系統服務會繫結在1024到49151的埠上,例如3389埠(遠端終端服務).從49152到65535這一段埠,通常沒有捆綁系統服務,允許Windows動態分配給使用者使用.
如何檢視本機開放了哪些埠:
在預設狀態下,Windows會開啟很多“服務埠”,如果想檢視本機打開了哪些埠、有哪些電腦正在與本機連線, 利用netstat命令,Windows提供了netstat命令,能夠顯示當前的 TCP/IP 網路連線情況,注意:只有安裝了TCP/IP協議,才能使用netstat命令.操作方法:單擊“開始→執行→cmd”,進入DOS視窗,輸入命令 netstat -na 回車,於是就會顯示本機連線情況及開啟的埠,其中Local Address代表本機IP地址和開啟的埠號,Foreign Address是遠端計算機IP地址和埠號,State表明當前TCP的連線狀態,LISTENING是監聽狀態,等待遠端電腦的連線.
21埠
埠說明:21埠主要用於FTP(File Transfer Protocol,檔案傳輸協議)服務,FTP服務主要是為了在兩臺計算機之間實現檔案的上傳與下載,一臺計算機作為FTP客戶端,另一臺計算機作為FTP伺服器,可以採用匿名(anonymous)登入和授權使用者名稱與密碼登入兩種方式登入FTP伺服器.操作建議:如果不架設FTP伺服器,建議關閉21埠.關閉FTP Publishing Service服務;
23埠
主要用於Telnet(遠端登入)服務,也是TTS(Tiny Telnet Server)木馬的預設埠,結束方法:開始-設定-控制面版-管理工具-服務-Telnet-雙擊-服務狀態-停止-啟動型別:禁用;
25埠
埠說明:25埠為SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議),如果不是要架設SMTP郵件伺服器,可以將該埠關閉。關閉Simple Mail Transport Protocol (SMTP)服務;
53埠
為DNS(Domain Name Server,域名伺服器)伺服器所開放,主要用於域名解析,如果當前的計算機不是用於提供域名解析服務,建議關閉該埠。關閉方法:關閉 DNS Client服務;
UDP123埠
單擊“開始→設定→控制面板”,雙擊“管理工具→服務”,停止Windows Time服務即可.關閉UDP 123埠,可以防範某些蠕蟲病毒.建議:禁用;
135埠
135埠主要用於使用RPC(Remote Procedure Call,遠端過程呼叫)協議並提供DCOM(分散式元件物件模型)服務,通過RPC可以保證在一臺計算機上執行的程式可以順利地執行遠端計算機上的程式碼;關閉方法:1.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM 反鍵-修改為“N”
2. HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Rpc-DCOM Protocols 中刪除“ncacn_ip_tcp”
3. 開始-設定-控制面版-管理工具-服務-禁用 Distributed Transaction Coordinator 服務;
137; 138埠
是UDP埠,當通過網路上的芳鄰傳輸檔案時用這個埠,因為是UDP埠,對於攻擊者來說,通過傳送請求很容易就獲取目標計算機的相關資訊,有些資訊是直接可以被利用,並分析漏洞的,比如IIS服務.另外,通過捕獲正在利用137埠進行通訊的資訊包,還可能得到目標計算機的啟動和關閉的時間,這樣就可以利用專門的工具來攻擊.關閉方法 網路上的芳鄰屬性-本地連線屬性,去掉Microsoft網路的檔案和印表機共享,和Microsoft網路客戶端前的鉤;
139埠
是為“NetBIOS Session Service”提供的,主要用於提供Windows檔案和印表機共享以及Unix中的Samba服務.在Windows中要在區域網中進行檔案的共享,必須使用該服務.開啟139埠雖然可以提供共享服務,但是常常被攻擊者所利用進行攻擊,利用專門的掃描工具掃描目標計算機的139埠,如果發現有漏洞,可以試圖獲取使用者名稱和密碼,這是非常危險的.如果不需要提供檔案和印表機共享,建議關閉該埠.關閉方法 網路上的芳鄰屬性-本地連線屬性-Internet協議屬性-高階,選 “禁用TCP/IP上的NetBIOS”;
445埠
是關於檔案和列印共享的 ,也是比較容易受攻擊的一個地方,如果不用共享,可以將其關閉.關閉方法 開始-執行-輸入 regedit 找到下面目錄HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters,在編輯視窗的右邊空白處點選滑鼠右鍵,“新建”一個“DWORD值”將新建的DWORD引數命名為“SMBDeviceEnabled”,數值為“0”;
(補充:一次性關閉137、138、139、445埠:方法是:單擊“開始→控制面板→系統→硬體→裝置管理器”,單擊“檢視”選單下的“顯示隱藏的裝置”,雙擊“非即插即用驅動程式”,找到並雙擊NetBios over Tcpip,在開啟的“NetBios over Tcpip屬性”視窗中,單擊選中“常規”標籤下的“不要使用這個裝置(停用)”,單擊“確定”按鈕後重新啟動後即可。)
UDP1900埠
在控制面板中雙擊“管理工具→服務”,停止SSDP Discovery Service 服務即可.關閉這個埠,可以防範DDoS攻擊。建議:禁用;
3389埠
3389埠是windows的遠端管理終端所開的埠,它並不是一個木馬程式,請先確定該服務是否是你自己開放的.如果不是必須的,請關閉該服務.如果這埠開啟並被黑客遠端登陸,你的電腦就成了他們口中的“肉雞”,幾乎所有黑客會在機子植入木馬……
關閉方法:我的電腦-屬性-遠端,將 允許從這臺計算機發送遠端協助邀請和允許使用者遠端連線到此計算機前面的鉤去掉.
1.系統保留埠(從0到1023)
這些埠不允許使用者使用,它們都有確切的定義,對應著因特網上常見的一些服務,每一個開啟的此類埠,都代表一個系統服務,例如80埠就代表Web服務.21對應著FTP,25對應著SMTP、110對應著POP3等;
2.動態埠(從1024到65535)
當需要與別人通訊時,Windows會從1024起,在本機上分配一個動態埠,如果1024埠未關閉,再需要埠時就會分配1025埠供使用者使用,依次類推.
但是有個別的系統服務會繫結在1024到49151的埠上,例如3389埠(遠端終端服務).從49152到65535這一段埠,通常沒有捆綁系統服務,允許Windows動態分配給使用者使用.
如何檢視本機開放了哪些埠:
在預設狀態下,Windows會開啟很多“服務埠”,如果想檢視本機打開了哪些埠、有哪些電腦正在與本機連線, 利用netstat命令,Windows提供了netstat命令,能夠顯示當前的 TCP/IP 網路連線情況,注意:只有安裝了TCP/IP協議,才能使用netstat命令.操作方法:單擊“開始→執行→cmd”,進入DOS視窗,輸入命令 netstat -na 回車,於是就會顯示本機連線情況及開啟的埠,其中Local Address代表本機IP地址和開啟的埠號,Foreign Address是遠端計算機IP地址和埠號,State表明當前TCP的連線狀態,LISTENING是監聽狀態,等待遠端電腦的連線.
21埠
埠說明:21埠主要用於FTP(File Transfer Protocol,檔案傳輸協議)服務,FTP服務主要是為了在兩臺計算機之間實現檔案的上傳與下載,一臺計算機作為FTP客戶端,另一臺計算機作為FTP伺服器,可以採用匿名(anonymous)登入和授權使用者名稱與密碼登入兩種方式登入FTP伺服器.操作建議:如果不架設FTP伺服器,建議關閉21埠.關閉FTP Publishing Service服務;
23埠
主要用於Telnet(遠端登入)服務,也是TTS(Tiny Telnet Server)木馬的預設埠,結束方法:開始-設定-控制面版-管理工具-服務-Telnet-雙擊-服務狀態-停止-啟動型別:禁用;
25埠
埠說明:25埠為SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議),如果不是要架設SMTP郵件伺服器,可以將該埠關閉。關閉Simple Mail Transport Protocol (SMTP)服務;
53埠
為DNS(Domain Name Server,域名伺服器)伺服器所開放,主要用於域名解析,如果當前的計算機不是用於提供域名解析服務,建議關閉該埠。關閉方法:關閉 DNS Client服務;
UDP123埠
單擊“開始→設定→控制面板”,雙擊“管理工具→服務”,停止Windows Time服務即可.關閉UDP 123埠,可以防範某些蠕蟲病毒.建議:禁用;
135埠
135埠主要用於使用RPC(Remote Procedure Call,遠端過程呼叫)協議並提供DCOM(分散式元件物件模型)服務,通過RPC可以保證在一臺計算機上執行的程式可以順利地執行遠端計算機上的程式碼;關閉方法:1.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM 反鍵-修改為“N”
2. HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Rpc-DCOM Protocols 中刪除“ncacn_ip_tcp”
3. 開始-設定-控制面版-管理工具-服務-禁用 Distributed Transaction Coordinator 服務;
137; 138埠
是UDP埠,當通過網路上的芳鄰傳輸檔案時用這個埠,因為是UDP埠,對於攻擊者來說,通過傳送請求很容易就獲取目標計算機的相關資訊,有些資訊是直接可以被利用,並分析漏洞的,比如IIS服務.另外,通過捕獲正在利用137埠進行通訊的資訊包,還可能得到目標計算機的啟動和關閉的時間,這樣就可以利用專門的工具來攻擊.關閉方法 網路上的芳鄰屬性-本地連線屬性,去掉Microsoft網路的檔案和印表機共享,和Microsoft網路客戶端前的鉤;
139埠
是為“NetBIOS Session Service”提供的,主要用於提供Windows檔案和印表機共享以及Unix中的Samba服務.在Windows中要在區域網中進行檔案的共享,必須使用該服務.開啟139埠雖然可以提供共享服務,但是常常被攻擊者所利用進行攻擊,利用專門的掃描工具掃描目標計算機的139埠,如果發現有漏洞,可以試圖獲取使用者名稱和密碼,這是非常危險的.如果不需要提供檔案和印表機共享,建議關閉該埠.關閉方法 網路上的芳鄰屬性-本地連線屬性-Internet協議屬性-高階,選 “禁用TCP/IP上的NetBIOS”;
445埠
是關於檔案和列印共享的 ,也是比較容易受攻擊的一個地方,如果不用共享,可以將其關閉.關閉方法 開始-執行-輸入 regedit 找到下面目錄HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters,在編輯視窗的右邊空白處點選滑鼠右鍵,“新建”一個“DWORD值”將新建的DWORD引數命名為“SMBDeviceEnabled”,數值為“0”;
(補充:一次性關閉137、138、139、445埠:方法是:單擊“開始→控制面板→系統→硬體→裝置管理器”,單擊“檢視”選單下的“顯示隱藏的裝置”,雙擊“非即插即用驅動程式”,找到並雙擊NetBios over Tcpip,在開啟的“NetBios over Tcpip屬性”視窗中,單擊選中“常規”標籤下的“不要使用這個裝置(停用)”,單擊“確定”按鈕後重新啟動後即可。)
UDP1900埠
在控制面板中雙擊“管理工具→服務”,停止SSDP Discovery Service 服務即可.關閉這個埠,可以防範DDoS攻擊。建議:禁用;
3389埠
3389埠是windows的遠端管理終端所開的埠,它並不是一個木馬程式,請先確定該服務是否是你自己開放的.如果不是必須的,請關閉該服務.如果這埠開啟並被黑客遠端登陸,你的電腦就成了他們口中的“肉雞”,幾乎所有黑客會在機子植入木馬……
關閉方法:我的電腦-屬性-遠端,將 允許從這臺計算機發送遠端協助邀請和允許使用者遠端連線到此計算機前面的鉤去掉.