系統 - 常見連接阜的關閉

[psac]

113連接阜或說端口,木馬的清除（僅適用於windows系統）：
這是一個關於irc聊天室控制的木馬程序。
1.首先使用netstat -an指令確定自己的系統上是否開放了113連接阜
2.使用fport指令察看出是哪個程序在監聽113連接阜
fport工具下載
例如我們用fport看到如下結果：
Pid Process Port Proto Path
392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe

我們就可以確定在監聽在113連接阜的木馬程序是vhos.exe而該程序所在的路徑為
c:\winnt\system32下。
3.確定了木馬程序名（就是監聽113連接阜的程序）後，在任務管理器中搜尋到該工作，
並使用管理器結束該工作。
4.在開始-執行中鍵入regedit執行註冊表管理程序，在註冊表裡搜尋剛才找到那個程序，
並將相關的鍵值全部刪掉。
5.到木馬程序所在的目錄下刪除該木馬程序。（通常木馬還會包括其他一些程序，如
rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根據
木馬程序不同，文件也有所不同，你可以通過察看程序的產生和修改的時間來確定與
監聽113連接阜的木馬程序有關的其他程序）
6.重新啟動機器。

3389連接阜的關閉：
首先說明3389連接阜是windows的遠端管理終端所開的連接阜，它並不是一個木馬程序，請先
確定該服務是否是你自己開放的。如果不是必須的，請關閉該服務。

win2000關閉的方法：
win2000server 開始-->程序-->管理工具-->服務裡找到Terminal Services服務項，
選屬性內容選項將啟動類型改成手動，並停止該服務。
win2000pro 開始-->設定-->控制台-->管理工具-->服務裡找到Terminal Services
服務項，選屬性內容選項將啟動類型改成手動，並停止該服務。
winxp關閉的方法：
在我的電腦上點右鍵選屬性內容-->遠端，將裡面的遠端協助和遠端桌面兩個選項框裡的勾去掉。

4899連接阜的關閉：
首先說明4899連接阜是一個遠端控制軟體（remote administrator)服務端監聽的連接阜，他不能
算是一個木馬程序，但是具有遠端控制功能，通常殺毒軟體是無法查出它來的，請先確定該服
務是否是你自己開放並且是必需的。如果不是請關閉它。

關閉4899連接阜：
請在開始-->執行中輸入cmd(98以下為command),然後cd C:\winnt\system32(你的系統
安裝目錄），輸入r_server.exe /stop後按Enter鍵。
然後在輸入r_server /uninstall /silence

到C:\winnt\system32(系統目錄）下刪除r_server.exe admdll.dll radbrv.dll三個文件


5800，5900連接阜：
1.首先使用fport指令確定出監聽在5800和5900連接阜的程序所在位置（通常會是c:\winnt\fonts\
explorer.exe)
2.在任務管理器中殺掉相關的工作（注意有一個是系統本身正常的，請注意！如果錯殺可以重新
執行c:\winnt\explorer.exe)
3.刪除C:\winnt\fonts\中的explorer.exe程序。
4.刪除註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的
Explorer項。
5.重新啟動機器。

6129連接阜的關閉：
首先說明6129連接阜是一個遠端控制軟體（dameware nt utilities)服務端監聽得連接阜，他不是
一個木馬程序，但是具有遠端控制功能，通常的殺毒軟體是無法查出它來的。請先確定該服務
是否是你自己安裝並且是必需的，如果不是請關閉。

關閉6129連接阜：
選項開始-->設定-->控制台-->管理工具-->服務
找到DameWare Mini Remote Control項點擊右鍵選項屬性內容選項，將啟動類型改成禁用後
停止該服務。
到c:\winnt\system32(系統目錄）下將DWRCS.EXE程序刪除。
到註冊表內將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表項刪除。

1029連接阜和20168連接阜：
這兩個連接阜是lovgate蠕蟲所開放的後門連接阜。
蠕蟲相關資訊請參見：Lovgate蠕蟲
你可以下載專殺工具：FixLGate.exe
使用方法：下載後直接執行，在該程序執行結束後重新啟動機器後再執行一遍該程序。


45576連接阜：
這是一個代理軟體的控制連接阜，請先確定該代理軟體並非你自己安裝（代理軟體會給你的機器帶
來額外的流量）
關閉代理軟體：
1.請先使用fport察看出該代理軟體所在的位置
2.在服務中關閉該服務（通常為SkSocks），將該服務關掉。
3.到該程序所在目錄下將該程序刪除。

多謝賜教

[ARALE]

了解ㄌ，感謝你

多謝賜教!感激大大您的分享提供~~!

[psac]

遊戲連接阜大全,玩遊戲又用牆的dx有福了

遊戲連接阜大全

中國遊戲中心 TCP 8000
聯眾世界 TCP 2000 2001 2002 3004
網易泡泡 UDP 4001
邊鋒網路遊戲世界 TCP 4000
中國圍棋網 TCP 9696
笨蘋果遊戲互動網 UDP 5000
上海熱線遊戲頻道 TCP 8000
凱思帝國遊戲線上 TCP 2050
浩方 TCP 1203

網上贏家 TCP 8001
證券之星 Tcp 8888


聯眾遊戲的連接阜號是什麼？


1007暗棋
2000遊戲大廳
2002聊天室
2005麻將
3030紅心大戰
3050五子棋
3060橋牌
3100跳棋
3200中國象棋
3300國際象棋
3400四國軍棋
4000~4010 GICQ
3000圍棋
3001俄羅斯方塊
3002三打一
3003斗地主
3004升級
3005梭哈
3006拱豬
3007夠級
3008雙扣
3010跑得快
3012飛行棋
3013拼圖
3015檯球
3016原子
3017510k
3018憋7
3019黑白棋
3020鋤大地
3021炒地皮
3022炸彈人
3023敲三家

遊戲連接阜範圍
> 1 征服者1.0 40625 40629
> 2 征服者1.0c 40725 40727
> 3 羅馬復興 40825 40829
> 4 帝國時代 40525 40527
> 6 CS反恐精英1.5 27115 27130
> 7 CS反恐精英戰隊訓練專區 27315 27318
> 8 CS反恐精英比賽專區 27415 27417
> 9 CS反恐精英服務器專區 27515 27530
> 10 CS反恐精英1.6 27215 27217
> 11 星際爭霸 6111 6120
> 12 魔獸爭霸3 6211 6220
> 13 冰封王座 6311 6318
> 14 紅色警戒 3000 3004
> 15 共和國之輝 3200 3202
> 16 紅警尤里復仇 3100 3102
> 17 三角洲部隊1 17624 17626
> 18 三角洲部隊3 37624 37626
> 19 FIFA2002 2048 2049
> 20 FIFA2003 2148 2149
> 21 英雄無敵3 3333 3334
> 22 突襲1.21 50626 50627
> 23 極品飛車2 2206 2207
> 24 極品飛車3 2306 2307
> 25 極品飛車5 2406 2407
> 26 暗黑破壞神I 7111 7112
> 27 暗黑破壞神II 7211 7212
> 28 流星蝴蝶劍 37105 37107
> 29 F16 26000 26001
> 30 F22 10022 10023
> 32 FIFA2004 2248 2250
> 31 CS反恐精英菜鳥天地 27015 27017

衝擊波連接阜
Tcp: 135, 137, 139, 445

Msn連接阜:
Tcp 1863, 443

msn傳文件檔案: 連接阜為tcp 6891-6900等幾個連接阜

BT的連接阜是tcp:6881~6890
電驢emule的連接阜tcp:4661－4669
迅雷的連接阜tcp:3077
poco的連接阜:udp:9000 udp:5356 tcp:5354

屏蔽以下地址（16個）後，pp 2005無法登入。
58.17.4.10
60.24.125.13
60.145.116.233
60.176.133.73
60.179.0.49
60.211.7.149
60.222.48.244
61.47.144.27
61.167.193.65
61.145.118.218
202.121.50.51
218.75.110.195
220.175.8.84
220.175.8.100
221.203.230.25
222.33.116.192

*****
遊戲
*****
3300/3550 i/o A3
3724 i/o 魔獸
6112 i/o 魔獸
6881 i/o 魔獸
6999 i/o 魔獸
7777 i/o Unreal:Klingon Honor Guard
7778 i/o Unreal:Tournament
22450 i/o Sin
26000 i/o Quake
26900 i/o HexenWorld
27005 i/o CS
27015 i/o CS
27500 i/o QuakeWorld
27910 i/o Quake 2
44405 UDP i/o 傳奇（UDP監聽連接阜）
55557 UDP i/o 傳奇（UDP監聽連接阜）
55901 i/o 傳奇（遊戲連接阜）
55960 i/o 傳奇（資料交換連接阜）
55962 i/o 傳奇（資料交換連接阜）
55970 i/o 傳奇（監聽連接阜）

禁用QQ、MSN、UC

利用新增IP規則，攔截以下IP的連接阜，實現禁止辦公網路內禁止聊天。
以下是常用的聊天工具的服務器IP以及連接阜，
QQ 所使用的Port： TCP 8000---8001;443
UDP 8000--1429
QQ所用到的IP地址有：
218.17.209.23 ; 218.17.217.106; 218.18.95.135; 218.18.95.153 ;218.18.95.163
218.18.95.165; 218.18.95.219 ; 218.18.95.220; 218.18.95.221 ;218.18.95.227
218.18.95.181 ; 218.18.95.182 ;218.18.95.183 ;218.18.95.188 ;218.18.95.189
218.18.95.162 ; 218.17.217.106; 211.162.63.24; 219.133.38.9
61.144.238.15; 61.172.249.133; 61.172.249.134


MSN 所用到的地址有：（Port：TCP 1863）
207.46.106.2; 207.46.106.30; 207.46.110.100; 207.46.107.23; 207.46.106.12;
207.46.107.65; 207.46.78.94; 207.68.172.246; 207.46.104.20;
207.46.106.32; 207.46.108.20; 207.46.107.24; 207.46.107.86; 207.46.106.197;
207.46.106.42 ; 207.46.104.20 ;207.46.106.19 ;207.46.110.254
65.54.194.117 ; 64.4.33.7; 64.4.32.7; 65.54.183.195; 65.54.183.192;
65.54.194.118
203.89.193.30; 207.46.110.26 ; 207.46.110.24 ; 207.46.110.18
210.51.190.110;

UC UDP Port1 Port2
210.192.97.215 3001 3002
210.192.97.216 3001 3002
210.192.97.217 3001 3002
210.192.97.218 3001 3002
210.192.97.219 3001 3002
210.192.97.220 3001 3002

[psac]

怎麼打開連接阜

怎麼打開連接阜
在Windows 2000/XP/Server 2003中要檢視連接阜，可以使用NETSTAT命令：
「開始">"執行」>「cmd」，打開命令提示字元視窗。在命令提示字元狀態下鍵入「NETSTAT -a -n」，按下Enter鍵鍵後就可以看到以數位形式顯示的TCP和UDP連接的連接阜號及狀態.
命令格式：Netstat －a －e －n －o －s
－a 表示顯示所有活動的TCP連接以及電腦監聽的TCP和UDP連接阜。
－e 表示顯示乙太網發送和接收的字節數、資料包數等。
－n 表示只以數位形式顯示所有活動的TCP連接的位址和連接阜號。
－o 表示顯示活動的TCP連接並包括每個連接的工作行程ID（PID）。
－s 表示按協議顯示各種連接的統計訊息，包括連接阜號。
關閉連接阜
比如在Windows 2000/XP中關閉SMTP服務的25連接阜，可以這樣做：首先打開「控制台」，雙擊「管理工具」，再雙擊「服務」。接著在打開的服務視窗中找到並雙擊「Simple Mail Transfer Protocol （SMTP）」服務，單擊「停止」按鍵來停止該服務，然後在「啟動類型」中選擇「已禁用」，最後單擊「確定」按鍵即可。這樣，關閉了SMTP服務就相當於關閉了對應的連接阜。
開啟連接阜
如果要開啟該連接阜只要先在「啟動類型」選擇「自動」，單擊「確定」按鍵，再打開該服務，在「服務狀態」中單擊「啟動」按鍵即可啟用該連接阜，最後，單擊「確定」按鍵即可。
另外在網路連接內容中，選擇「TCP/IP協議」內容，打開高階TCP/IP設置，在選項的那個網網頁面打開TCP/IP篩選，在出現的設置視窗中也可以根據實現情況設置連接阜的打開和關閉，預定是未啟用TCP/IP篩選。

[psac]

怎樣關閉連接阜

怎樣關閉連接阜怎樣關閉連接阜
每一項服務都對應相應的連接阜，比如眾如周知的WWW服務的連接阜是80，smtp是25，ftp是21，win2000安裝中預定的都是這些服務開啟的。對於個人用戶來說確實沒有必要，關掉連接阜也就是關閉無用的服務。 「控制台」的「管理工具」中的「服務」中來配置。
1、關閉7.9等等連接阜：關閉Simple TCP/IP Service,支持以下 TCP/IP 服務：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、關閉80口：關掉WWW服務。在「服務」中顯示名稱為"World Wide Web Publishing Service"，通過 Internet 訊息服務的管理單元提供 Web 連接和管理。
3、關掉25連接阜：關閉Simple Mail Transport Protocol (SMTP)服務，它提供的功能是跨網傳送電子郵件。
4、關掉21連接阜：關閉FTP Publishing Service,它提供的服務是通過 Internet 訊息服務的管理單元提供 FTP 連接和管理。
5、關掉23連接阜：關閉Telnet服務，它允許遠端用戶登入到系統並且使用命令行執行控制台程式。
6、還有一個很重要的就是關閉server服務，此服務提供 RPC 支持、文件、印表以及命名管道共享。關掉它就關掉了win2k的預定共享，比如ipc$、c$、admin$等等，此服務關閉不影響您的共他操作。
7、還有一個就是139連接阜，139連接阜是NetBIOS　Session連接阜，用來文件和印表共享，注意的是執行samba的unix機器也開放了139連接阜，功能一樣。以前流光2000用來判斷對方主機類型不太準確，估計就是139連接阜開放既認為是NT機，現在好了。 關閉139口聽方法是在「網路和撥號連接」中「區域連線」中選取「Internet協議(TCP/IP)」內容，進入「高階TCP/IP設置」「WINS設置」裡面有一項「禁用TCP/IP的NETBIOS」，打勾就關閉了139連接阜。 對於個人用戶來說，可以在各項服務內容設置中設為「禁用」，以免下次重啟服務也重新啟動，連接阜也開放了。
電腦連接阜基礎知識
連接阜可分為3大類：

1） 公認連接阜（Well Known Ports）：從0到1023，它們緊密綁定於一些服務。通常這些連接阜的通訊明確表明了某種服務的協議。例如：80連接阜實際上總是HTTP通訊。

2） 註冊連接阜（Registered Ports）：從1024到49151。它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些連接阜，這些連接阜同樣用於許多其它目的。例如：許多系統處理動態連接阜從1024左右開始。

3） 動態和/或私有連接阜（Dynamic and/or Private Ports）：從49152到65535。理論上，不應為服務分配這些連接阜。實際上，機器通常從1024起分配動態連接阜。但也有例外：SUN的RPC連接阜從32768開始。

　　本節講述通常TCP/UDP連接阜掃瞄在防火牆記錄中的訊息。記住：並不存在所謂ICMP連接阜。如果你對解讀ICMP資料感興趣，請參看本文的其它部分。

　　0 通常用於分析操作系統。這一方法能夠工作是因為在一些系統中「0」是無效連接阜，當你試圖使用一種通常的閉合連接阜連接它時將產生不同的結果。一種典型的掃瞄：使用IP位址為0.0.0.0，設置ACK位並在乙太網層廣播。

　　1 tcpmux 這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者，預設情況下tcpmux在這種系統中被打開。Iris機器在發佈時含有幾個預設的無密碼的帳戶，如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。許多管理員安裝後忘記刪除這些帳戶。因此Hacker們在Internet上搜索tcpmux並利用這些帳戶。

　　7 Echo 你能看到許多人們搜索Fraggle放大器時，發送到x.x.x.0和x.x.x.255的訊息。

　　常見的一種DoS攻擊是echo循環（echo-loop），攻擊者偽造從一個機器發送到另一個機器的UDP資料包，而兩個機器分別以它們最快的方式回應這些資料包。（參見Chargen）

　　另一種東西是由DoubleClick在詞連接阜建立的TCP連接。有一種產品叫做「Resonate Global Dispatch」，它與DNS的這一連接阜連接以確定最近的路由。

　　Harvest/squid cache將從3130連接阜發送UDP echo：「如果將cache的source_ping on選項打開，它將對原始主機的UDP echo連接阜回應一個HIT reply。」這將會產生許多這類資料包。

　　11 sysstat 這是一種UNIX服務，它會列出機器上所有正在執行的工作行程以及是什麼啟動了這些工作行程。這為入侵者提供了許多訊息而威脅機器的安全，如暴露已知某些弱點或帳戶的程式。這與UNIX系統中「ps」命令的結果相似

　　再說一遍：ICMP沒有連接阜，ICMP port 11通常是ICMP type=11

　　19 chargen 這是一種僅僅發送字元的服務。UDP版本將會在收到UDP包後回應含有LJ字元的包。TCP連接時，會發送含有LJ字元的資料流知道連接關閉。Hacker利用IP欺騙可以發動DoS攻擊。偽造兩個chargen服務器之間的UDP包。由於服務器企圖回應兩個服務器之間的無限的往返資料通訊一個chargen和echo將導致服務器過載。同樣fraggle DoS攻擊向目標位址的這個連接阜廣播一個帶有偽造受害者IP的資料包，受害者為了回應這些資料而過載。

　　21 ftp 最常見的攻擊者用於尋找打開「anonymous」的ftp服務器的方法。這些服務器帶有可讀寫的目錄。Hackers或Crackers 利用這些服務器作為傳送warez (私有程式) 和pr0n(故意拼錯詞而避免被搜索引擎分類)的節點。

　　22 ssh PcAnywhere建立TCP和這一連接阜的連接可能是為了尋找ssh。這一服務有許多弱點。如果配置成特定的模式，許多使用RSAREF庫的版本有不少漏洞。（建議在其它連接阜執行ssh）

　　還應該注意的是ssh工具包帶有一個稱為make-ssh-known-hosts的程式。它會掃瞄整個域的ssh主機。你有時會被使用這一程式的人無意中掃瞄到。

　　UDP（而不是TCP）與另一端的5632連接阜相連意味著存在搜索pcAnywhere的掃瞄。5632（十六進制的0x1600）位交換後是0x0016（使進制的22）。

　　23 Telnet 入侵者在搜索遠端登入UNIX的服務。大多數情況下入侵者掃瞄這一連接阜是為了找到機器執行的操作系統。此外使用其它技術，入侵者會找到密碼。

　　25 smtp 攻擊者（spammer）尋找SMTP服務器是為了傳遞他們的spam。入侵者的帳戶總被關閉，他們需要撥號連接到高帶寬的e-mail服務器上，將簡單的訊息傳遞到不同的位址。SMTP服務器（尤其是sendmail）是進入系統的最常用方法之一，因為它們必須完整的暴露於Internet且郵件的路由是複雜的（暴露+複雜=弱點）。

　　53 DNS Hacker或crackers可能是試圖進行區域傳遞（TCP），欺騙DNS（UDP）或隱藏其它通訊。因此防火牆常常過濾或記錄53連接阜。

　　需要注意的是你常會看到53連接阜做為UDP源連接阜。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回復。Hacker常使用這種方法穿透防火牆。

　　67和68 Bootp和DHCP UDP上的Bootp/DHCP：通過DSL和cable-modem的防火牆常會看見大量發送到廣播位址255.255.255.255的資料。這些機器在向DHCP服務器請求一個位址分配。Hacker常進入它們分配一個位址把自己作為局部路由器而發起大量的「中間人」（man-in-middle）攻擊。客戶端向68連接阜（bootps）廣播請求配置，服務器向67連接阜（bootpc）廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的IP位址。

　　69 TFTP(UDP) 許多服務器與bootp一起提供這項服務，便於從系統下載啟動代碼。但是它們常常錯誤配置而從系統提供任何文件，如密碼文件。它們也可用於向系統寫入文件。

　　79 finger Hacker用於獲得用戶訊息，查詢操作系統，探測已知的緩衝區溢出錯誤，回應從自己機器到其它機器finger掃瞄。

　　98 linuxconf 這個程式提供linux boxen的簡單管理。通過整合的HTTP服務器在98連接阜提供基於Web界面的服務。它已發現有許多安全問題。一些版本setuid root，信任局域網，在/tmp下建立Internet可訪問的文件，LANG環境變數有緩衝區溢出。此外因為它包含整合的服務器，許多典型的HTTP漏洞可能存在（緩衝區溢出，歷遍目錄等）

　　109 POP2 並不像POP3那樣有名，但許多服務器同時提供兩種服務（向後相容）。在同一個服務器上POP3的漏洞在POP2中同樣存在。

　　110 POP3 用於客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交換緩衝區溢出的弱點至少有20個（這意味著Hacker可以在真正登入前進入系統）。成功登入後還有其它緩衝區溢出錯誤。

　　111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。訪問portmapper是掃瞄系統檢視允許哪些RPC服務的最早的一步。常見RPC服務有：rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提供服務的特定連接阜測試漏洞。

　　記住一定要記錄線路中的daemon, IDS, 或sniffer，你可以發現入侵者正使用什麼程式訪問以便發現到底發生了什麼。

　　113 Ident auth 這是一個許多機器上執行的協議，用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多機器的訊息（會被Hacker利用）。但是它可作為許多服務的記錄器，尤其是FTP, POP, IMAP, SMTP和IRC等服務。通常如果有許多客戶通過防火牆訪問這些服務，你將會看到許多這個連接阜的連接請求。記住，如果你阻斷這個連接阜客戶端會感覺到在防火牆另一邊與e-mail服務器的緩慢連接。許多防火牆支持在TCP連接的阻斷過程中發回RST，著將回停止這一緩慢的連接。

　　119 NNTP news 新聞組傳輸協議，承載USENET通訊。當你鏈接到諸如：news://comp.security.firewalls/. 的位址時通