自以手動式封殺IP和連接阜
 

手動式封殺IP和連接阜

常常看到有好多朋友問 如何關閉連接阜~ 其實不用防火牆，在自己的電腦中做下設定就能做到：其實這樣的貼已經發了好多了，但是這裡還是要重複一下，為的是那些還不太瞭解的朋友，在這裡我就簡單的說說：
1. 通過對開始->程序->系統管理工具 -> 本機安全原則 -> （滑鼠右擊）IP安全原則，在本機機器點擊"管理IP篩選器表和篩選器操作"後在"管理IP篩選器列表"選擇項上點擊"增加"
管理IP篩選器列表"選擇項上點擊"增加"
這個時候就會彈出"IP篩選器列表"視窗
分別添入名稱和描述，隨便填寫的哦，，然後點擊"增加"，
接著出現一個IP"篩選器嚮導"，點下一步。
此時"指定IP源位址"視窗，在"源位址"中選項"任何IP位址"，點下一步。
在"IP通信目標"的"目標位址"選項"我的IP位址"，點下一步。
在"IP傳輸協定檔案類型"的"選項傳輸協定檔案類型"選項"TCP"，點下一步。
在"篩選器嚮導"的"設定IP傳輸協定連接阜"裡第一欄為"從任意連接阜"，第二欄為"到此連接阜"並新增"139"，點下一步
接著點擊"完成" ，然後再按下"關閉" 回到"管理IP篩選器表和篩選器操作"視窗
大家有沒有看見封殺139連接阜幾個字啊，，哈哈，，這個就是我們需要的！：）
選項擇"管理篩選器操作"選擇項點"增加"
大家注意一下就在剛才我們增加的那個活動頁的旁邊的另外一個活動頁就是這個管理篩選器的咚咚，，，要選上使用增加嚮導哦
樣會出現一個"篩先器操作嚮導"的視窗，點擊"下一步"，在"名稱"裡隨便填寫，，不用和我的一樣，，哈哈，，自己想填什麼就填什麼但是別忘記了，，
按"下一步"，並選項"阻止"，再按"下一步"
點擊"完成"和"關閉"。
這樣我們就做完了139連接阜的篩選器，，然後同樣方法做一個445的篩選器，，但是要注意一下，增加139和445的篩選器操作時，不能為了省事用同一個"阻止"篩選器操作，這樣制定出的規則將無法使用
2.下面是第二步了：
當禁止139/445的操作都完成後，回到"IP安全原則，在本機機器" ，通過右擊新增"IP安全原則
此時出現一個"IP安全原則嚮導"的視窗，直接點擊"下一步"，在"名稱"添入"你想填入的名稱，什麼都可以，但是一定要記得名稱，點擊"下一步"一直到到"完成"。然後在"kill139/445 內容"裡點擊"增加"：
會出現一個"安全規則嚮導"視窗，一直點擊"下一步"到"IP篩選器列表"選項"禁用139連接"，點擊"下一步"
然後一路點下一步任何提示都不要理會，，，一點有一點注意一下
直點擊"下一步"到"IP篩選器列表"選項你剛才建立的名字，點擊"下一步"
在"篩選器操作"選項你剛才建立的另外一個名字，，，點擊"下一步"，接著點去"完成"和"確定"。139的工作就完成了
此時，可以通過"增加"將445連接阜的篩選器列表和操作也加進去。
並且可以增加你剛才做過篩選器的任意連接阜，，，哈哈
最後，將我們剛才組態好的"kill139/445"的安全原則指派就可以啦，。！
封IP
開控制面版------系統管理工具------本機安全原則------IP安全原則,在本機機器------安全伺服器
(要求安全性設定)------所有IP通訊 要求安全性設定------所有IP通訊 除了廣播……------在篩選器
下面雙按(是)------在目標位址裡選(一個特定的IP位址)----填上要封的IP------確定
然後關閉所有視窗回到安全伺服器(要求安全性設定)----滑鼠右鍵----指派
不用重啟伺服器 馬上生效 如要取消封鎖就改成不指派

關閉無用連接阜的註冊表文件
將 CODE 中的文本儲存為 DisablePort.reg 後雙按執行就行了.
希望大家幫忙繼續追加,就像圍堵3721一樣!謝謝.
程式碼:
Windows Registry Editor Version 5.00

#關閉自動共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"AutoShareWks"=dword:00000000
"AutoshareServer"=dword:00000000

#禁止ipc$的共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001


#關閉445連接阜
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000000


就是這些

在需要局域連網時，又忘了曾經改過改過那，結果自然是出問題了，折磨人

注意下，單機用不用其實也無所謂，局網NO

或者用這個.BAT
net share admin$ /del
net share c$ /del
net share d$ /del
net share ipc$ /del
net share wwwroot$ /del


這個倒是很方便，我看估計百分之九十以上的機器的135和445這兩個連接阜都是開著的。135 445連接阜也是蠕蟲最愛光臨的連接阜了。。。所以為什麼蠕蟲病毒突發的時候，受影響的電腦在幾千萬台也就不奇怪了

只要開了remote procedure call服務，135肯定開啟的，這個服務要用到這個連接阜

如果把這個服務關掉，電腦無法用了
試著telnet下127.0.0.1 135和445 port,結果還真開著啊.
只能通過 ip原則去禁用了.


如何讓開放的連接阜port更安全~~~~
http://www.slime2.com.tw/forums/show...3s%B1%B5%AA%FA

明天起你用!

我換用別的!

高手必讀 網路連接阜安全防護技巧放送

眾所周知，電腦之間通信是通過連接阜進行的，例如你訪問一個網站時，Windows就會在本地機開一個連接阜（例如1025連接阜），然後去連接遠方網站伺服器的一個連接阜，別人訪問你時也是如此。預設狀態下，Windows會在你的電腦上開啟許多服務連接阜，黑客常常利用這些連接阜來實施入侵，因此掌握連接阜方面的知識，是安全上網必備的技能。

一、常用連接阜及其分類

　　電腦在Internet上相互通信需要使用TCP/IP傳輸協定，根據TCP/IP傳輸協定規定，電腦有256×256（65536）個連接阜，這些連接阜可分為TCP連接阜和UDP連接阜兩種。如果按照連接阜號劃分，它們又可以分為以下兩大類：

1.系統保留連接阜（從0到1023）

　　這些連接阜不允許你使用，它們都有確切的定義，對應著英特網上一般的一些服務，每一個開啟的此類連接阜，都代表一個系統服務，例如80連接阜就代表Web服務。21對應著FTP，25對應著SMTP、110對應著POP3等（如圖1）。




2.動態連接阜（從1024到65535）

　　當你需要與別人通信時，Windows會從1024起，在本地機上分配一個動態連接阜，如果1024連接阜未關閉，再需要連接阜時就會分配1025連接阜供你使用，依此類推。

　　但是有個別的系統服務會綁定在1024到49151的連接阜上，例如3389連接阜（遠端終端服務）。從49152到65535這一段連接阜，通常沒有元件服務系統服務，允許Windows動態分配給你使用。

二、如何檢視本地機開放了哪些連接阜

　　在預設狀態下，Windows會開啟很多「服務連接阜」，如果你想檢視本地機開啟了哪些連接阜、有哪些電腦正在與本地機連接，可以使用以下兩種方法。

1.利用netstat指令

　　Windows提供了netstat指令，能夠顯示現用的 TCP/IP 網路連接情況，注意：只有安裝了TCP/IP傳輸協定，才能使用netstat指令。

　　操作方法：按下「開始→程序→附件→命令提示字元」，進入DOS視窗，輸入指令 netstat -na Enter鍵，於是就會顯示本地機連接情況及開啟的連接阜，如圖2。其中Local Address代表本地機IP位址和開啟的連接阜號（圖中本地機開啟了135連接阜），Foreign Address是遠端電腦IP位址和連接阜號，State表明當前TCP的連接狀態，圖中LISTENING是監聽狀態，表明本地機正在開啟135連接阜監聽，等待遠端電腦的連接。

　　如果你在DOS視窗中輸入了netstat -nab指令，還將顯示每個連接都是由哪些程序新增的。上圖2中本地機在135連接阜監聽，就是由svchost.exe程序新增的，該程序一共使用了5個元件（WS2_32.dll、RPCRT4.dll、rpcss.dll、svchost.exe、ADVAPI32.dll）來完成新增工作。如果你發現本地機開啟了可疑的連接阜，就可以用該指令察看它使用了哪些元件，然後再檢查各元件的新增時間和修改時間，如果發現異常，就可能是中了木馬。

2.使用連接阜監視類軟體

　　與netstat指令類似，連接阜監視類軟體也能檢視本地機開啟了哪些連接阜，這類軟體非常多，著名的有Tcpview、Port Reporter、綠鷹PC萬能精靈、網路連接阜檢視器等，推薦你上網時啟動Tcpview，密切監視本地機連接阜連接情況，這樣就能嚴防非法連接，確保自己的網路安全，詳見本刊2005年2月88頁《讓連接阜開放盡收眼底》一文。

三、關閉本地機不用的連接阜

　　預設情況下Windows有很多連接阜是開放的，一旦你上網，黑客可以通過這些連接阜連上你的電腦，因此你應該封閉這些連接阜。主要有：TCP139、445、593、1025 連接阜和 UDP123、137、138、445、1900連接阜、一些流行病毒的後門連接阜（如 TCP 2513、2745、3127、6129 連接阜），以及遠端服務訪問連接阜3389。關閉的方法是：

　　１137、138、139、445連接阜：它們都是為共享而開放的，你應該禁止別人共享你的機器，所以要把這些連接阜全部關閉，方法是：按下「開始→控制台→系統→硬體→裝置管理員」，按下「檢視」功能表下的「顯示隱藏的設備」，雙按「非即插即用驅動程式」，找到並雙按NetBios over Tcpip，在開啟的「NetBios over Tcpip內容」視窗中，按下選「一般」標籤下的「不要使用這個設備（停用）」，如圖3，按下「確定」按鈕後重新啟動後即可。
２關閉UDP123連接阜：按下「開始→設定→控制台」，雙按「系統管理工具→服務」，停止Windows Time服務即可。關閉UDP 123連接阜，可以防範某些蠕蟲病毒。

　　３關閉UDP1900連接阜：在控制台中雙按「系統管理工具→服務」，停止SSDP Discovery Service 服務即可。關閉這個連接阜，可以防範DDoS攻擊。

　　４其他連接阜：你可以用網路防火牆來關閉，或者在「控制台」中，雙按「系統管理工具→本機安全原則」，選「IP 安全原則，在本機電腦」，新增 IP 安全原則來關閉。

四、重轉發IP本地機預設連接阜，保護系統安全

　　如果本地機的預設連接阜不能關閉，你應該將它「重轉發IP」。把該連接阜重轉發IP到另一個位址，這樣即可隱藏公認的預設連接阜，降低受破壞機率，保護系統安全。

　　例如你的電腦上開放了遠端終端服務（Terminal Server）連接阜（預設是3389），可以將它重轉發IP到另一個連接阜（例如1234），方法是：

1.在本地機上（伺服器端）修改

　　定位到下列兩個註冊表項，將其中的 PortNumber，全部改成自訂的連接阜（例如1234）即可：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

2.在客戶端上修改

　　依次按下「開始→程序→附件→通訊→遠端桌面連接」，開啟「遠端桌面連接」視窗，按下「選項」按鈕增強視窗，填寫完相關參數後，按下「一般」下的「另存為」按鈕，將該連接參數匯出為.rdp文件。用記事本開啟該檔案，在文件最後增加一行：server port:i:1234 （這裡填寫你伺服器自訂的連接阜）。以後，直接雙按這個.rdp 文件即可連線到伺服器的這個自訂連接阜了。