史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
精華主題  
主題工具 顯示模式
舊 2004-07-01, 02:37 AM  
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 系統 - 教你如何檢視自己開放的連接阜!

最近被病毒搞的頭昏腦漲的,不過也收穫不小喲,知道了點小方法,與大家共勉。

當前最為一般的木馬通常是關於TCP/UDP傳輸協定進行client端與server端之間的通訊的,既然利用到這兩個傳輸協定,就不可避免要在server端(就是被種了木馬的機器了)開啟監聽連接阜來等待連接。例如鼎鼎大名的冰河使用的監聽連接阜是7626,Back Orifice 2000則是使用54320等等。



那麼,我們可以利用檢視本地機開放連接阜的方法來檢查自己是否被種了木馬或其它hacker程序。以下是詳細方法介紹。

1. Windows本身原有的的netstat指令
關於netstat指令,我們先來看看windows求助文件中的介紹:

Netstat
顯示傳輸協定統計和當前的 TCP/IP 網路連接。該指令只有在安裝了 TCP/IP 傳輸協定後才可以使用。

netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval]

參數

-a

顯示所有連接和偵聽連接阜。伺服器連接通常不顯示。

-e

顯示乙太網統計。該參數可以與 -s 選項結合使用。

-n

以數位格式顯示位址和連接阜號(而不是嘗試搜尋名稱)。

-s

顯示每個傳輸協定的統計。預設情況下,顯示 TCP、UDP、ICMP 和 IP 的統計。-p 選項可以用來指定預設的子集。

-p protocol

顯示由 protocol 指定的傳輸協定的連接;protocol 可以是 tcp 或 udp。如果與 -s 選項一同使用顯示每個傳輸協定的統計,protocol 可以是 tcp、udp、icmp 或 ip。

-r

顯示路由表的內容。

interval

重新顯示所選的統計,在每次顯示之間暫停 interval 秒。按 CTRL+B 停止重新顯示統計。如果省略該參數,netstat 將列印一次當前的配置資訊。


好了,看完這些求助文件,我們應該明白netstat指令的使用方法了。現在就讓我們現學現用,用這個指令看一下自己的機器開放的連接阜。進入到指令行下,使用netstat指令的a和n兩個參數:

C:\>netstat -an

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING
UDP 0.0.0.0:445 0.0.0.0:0
UDP 0.0.0.0:1046 0.0.0.0:0
UDP 0.0.0.0:1047 0.0.0.0:0


解釋一下,Active Connections是指當前本地機活動連接,Proto是指連接使用的傳輸協定名稱,Local Address是本機電腦的 IP 位址和連接正在使用的連接阜號,Foreign Address是連接該連接阜的遠端電腦的 IP 位址和連接阜號,State則是表明TCP 連接的狀態,你可以看到後面三行的監聽連接阜是UDP傳輸協定的,所以沒有State表示的狀態。


看!我的機器的7626連接阜已經開放,正在監聽等待連接,像這樣的情況極有可能是已經感染了冰河!急忙中斷連線網路,用殺毒軟體查殺病毒是正確的做法。

2.工作在windows2000下的指令行工具fport

使用windows2000的朋友要比使用windows9X的幸運一些,因為可以使用fport這個程序來顯示本地機開放連接阜與行程的對應關係。

Fport是FoundStone出品的一個用來列出系統中所有開啟的TCP/IP和UDP連接阜,以及它們對應應用程式的完整路徑、PID標識、行程名稱等資訊的軟體。在指令行下使用,請看例子:
D:\>fport.exe

FPort v1.33 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path

748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe

748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe

748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe

416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe


是不是一目瞭然了。這下,各個連接阜究竟是什麼程序開啟的就都在你眼皮底下了。

如果發現有某個可疑程序開啟了某個可疑連接阜,可千萬不要大意哦,也許那就是一隻狡猾的木馬!
Fport的最新版本是2.0。

在很多網站都提供下載,但是為了安全起見,當然最好還是到它的老家去下:

http://www.foundstone.com/knowledge/zips/fport.zip
3.與Fport功能類似的圖形化界面工具Active Ports

Active Ports為SmartLine出品,你可以用來監視電腦所有開啟的TCP/IP/UDP連接阜,不但可以將你所有的連接阜顯示出來,還顯示所有連接阜所對應的程序所在的路徑,本機IP和遠端IP(試突連接你的電腦IP)是否正在活動。


更棒的是,它還提供了一個關閉連接阜的功能,在你用它發現木馬開放的連接阜時,可以立即將連接阜關閉。


這個軟體工作在Windows NT/2000/XP平台下。你可以在http://www.smartline.ru/software/aports.zip得到它。


其實使用windows xp的用戶無須借助其它軟體即可以得到連接阜與行程的對應關係,因為windows xp所帶的netstat指令比以前的版本多了一個O參數,使用這個參數就可以得出連接阜與行程的對應來。

上面介紹了幾種檢視本地機開放連接阜,以及連接阜和行程對應關係的方法,通過這些方法可以輕鬆的發現關於TCP/UDP傳輸協定的木馬,希望能給你的愛機帶來說明 。


但是對木馬重在防範,而且如果碰上反彈連接阜木馬,利用驅動程式及動態連接庫技術製作的新木馬時,以上這些方法就很難查出木馬的痕跡了。


所以我們一定要養成良好的上網習慣,不要隨意執行郵件中的附件,安裝一套殺毒軟體,像國內的瑞星就是個查殺病毒和木馬的好幫手。

從網上下載的軟體先用殺毒軟體檢查一遍再使用,在上網時開啟網路防火牆和病毒既時監控,保護自己的機器不被可恨的木馬入侵。
psac 目前離線  
送花文章: 3, 收花文章: 1615 篇, 收花: 3175 次
有 7 位會員向 psac 送花:
assitance (2006-10-02),coolmanok (2008-01-19),herchenslime (2010-12-12),Julian_Wu99 (2006-09-27),leoli809 (2007-03-29),yawgong (2006-10-01),可以餵食請勿拍打 (2006-11-01)
感謝您發表一篇好文章
舊 2005-11-12, 08:00 PM   #31 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

TCP連接阜:作用、漏洞、操作詳析

在上網的時候,我們經常會看到「連接阜」這個詞,也會經常用到連接阜號,比如在FTP位址後面增加的「21」,21就表示連接阜號。那麼連接阜到底是什麼意思呢?怎樣檢視連接阜號呢?一個連接阜是否成為網路惡意攻擊的大門呢?,我們應該如何面對形形色色的連接阜呢?下面就將介紹這方面的內容,以供大家參考。

21連接阜 :21連接阜主要用於FTP(File Transfer Protocol,文件傳輸傳輸協定)服務。

  連接阜說明:21連接阜主要用於FTP(File Transfer Protocol,文件傳輸傳輸協定)服務,FTP服務主要是為了在兩台電腦之間實現文件的上傳與下載,一台電腦作為FTP客戶端,另一台電腦作為FTP伺服器,可以採用匿名(anonymous)登入和使用權用戶名與密碼登入兩種方式登入FTP伺服器。目前,通過FTP服務來實現文件的傳輸是網際網路上上傳、下載文件最主要的方法。另外,還有一個20連接阜是用於FTP資料傳輸的預設連接阜號。

  在Windows中可以通過Internet訊息服務(IIS)來提供FTP連接和管理,也可以單獨安裝FTP伺服器軟體來實現FTP功能,比如一般的FTP Serv-U。

  操作建議:因為有的FTP伺服器可以通過匿名登入,所以常常會被黑客利用。另外,21連接阜還會被一些木馬利用,比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架設FTP伺服器,建議關閉21連接阜。

23連接阜 :23連接阜主要用於Telnet(遠端登入)服務,是Internet上普遍採用的登入和模擬程序。

  連接阜說明:23連接阜主要用於Telnet(遠端登入)服務,是Internet上普遍採用的登入和模擬程序。同樣需要設定客戶端和伺服器端,開啟Telnet服務的客戶端就可以登入遠端Telnet伺服器,採用使用權用戶名和密碼登入。登入之後,允許用戶使用命令提示字元視窗進行相應的操作。在Windows中可以在命令提示字元視窗中,按鍵輸入「Telnet」指令來使用Telnet遠端登入。

  操作建議:利用Telnet服務,黑客可以搜尋遠端登入Unix的服務,掃瞄操作系統的檔案類型。而且在Windows 2000中Telnet服務存在多個嚴重的漏洞,比如提升權限、拒絕服務等,可以讓遠端伺服器崩潰。Telnet服務的23連接阜也是TTS(Tiny Telnet Server)木馬的預設連接阜。所以,建議關閉23連接阜。

25連接阜 :25連接阜為SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸傳輸協定)伺服器所開放,主要用於傳送郵件,如今絕大多數郵件伺服器都使用該傳輸協定。

  連接阜說明:25連接阜為SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸傳輸協定)伺服器所開放,主要用於傳送郵件,如今絕大多數郵件伺服器都使用該傳輸協定。比如我們在使用電子郵件客戶端程序的時候,在新增賬戶時會要求輸入SMTP伺服器位址,該伺服器位址預設情況下使用的就是25連接阜。

  連接阜漏洞:

  1. 利用25連接阜,黑客可以尋找SMTP伺服器,用來轉發LJ郵件。

  2. 25連接阜被很多木馬程序所開放,比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy來說,通過開放25連接阜,可以監視電腦正在執行的所有視窗和模組。

  操作建議:如果不是要架設SMTP郵件伺服器,可以將該連接阜關閉
53連接阜 :53連接阜為DNS(Domain Name Server,網域名服務器)伺服器所開放,主要用於域名解析,DNS服務在NT系統中使用的最為廣泛。
  連接阜說明:53連接阜為DNS(Domain Name Server,網域名服務器)伺服器所開放,主要用於域名解析,DNS服務在NT系統中使用的最為廣泛。通過DNS伺服器可以實現域名與IP位址之間的轉換,只要記住域名就可以快速訪問網站。

  連接阜漏洞:如果開放DNS服務,黑客可以通過份析DNS伺服器而直接獲取Web伺服器等主機的IP位址,再利用53連接阜突破某些不穩定的防火牆,從而實施攻擊。近日,美國一家公司也公佈了10個最易遭黑客攻擊的漏洞,其中第一位的就是DNS伺服器的BIND漏洞。

  操作建議:如果現用的電腦不是用於提供域名解析服務,建議關閉該連接阜。

67、68連接阜 :67、68連接阜分別是為Bootp服務的Bootstrap Protocol Server(啟始程序傳輸協定服務端)和Bootstrap Protocol Client(啟始程序傳輸協定客戶端)開放的連接阜。

  連接阜說明:67、68連接阜分別是為Bootp服務的Bootstrap Protocol Server(啟始程序傳輸協定服務端)和Bootstrap Protocol Client(啟始程序傳輸協定客戶端)開放的連接阜。Bootp服務是一種產生於早期Unix的遠端啟動傳輸協定,我們現在經常用到的DHCP服務就是從Bootp服務增強而來的。通過Bootp服務可以為區域網路中的電腦動態分配IP位址,而不需要每個用戶去設定靜態IP位址。

  連接阜漏洞:如果開放Bootp服務,常常會被黑客利用分配的一個IP位址作為局部路由器通過「中間人」(man-in-middle)方式進行攻擊。

  操作建議:建議關閉該連接阜。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1615 篇, 收花: 3175 次
舊 2005-11-12, 08:01 PM   #32 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

69連接阜 :TFTP是Cisco公司開發的一個簡單文件傳輸傳輸協定,類似於FTP。

  連接阜說明:69連接阜是為TFTP(Trival File Tranfer Protocol,次要文件傳輸傳輸協定)服務開放的,TFTP是Cisco公司開發的一個簡單文件傳輸傳輸協定,類似於FTP。不過與FTP相比,TFTP不具有複雜的交互存取接頭和認證控制,該服務適用於不需要複雜交換環境的客戶端和伺服器之間進行資料傳輸。

  連接阜漏洞:很多伺服器和Bootp服務一起提供TFTP服務,主要用於從系統下載啟動程式碼。可是,因為TFTP服務可以在系統中寫入文件,而且黑客還可以利用TFTP的錯誤組態來從系統獲取任何文件。

  操作建議:建議關閉該連接阜。

79連接阜 :79連接阜是為Finger服務開放的,主要用於查詢遠端主機在線用戶、操作系統檔案類型以及是否緩衝區溢位等用戶的詳細資料。

  連接阜說明:79連接阜是為Finger服務開放的,主要用於查詢遠端主機在線用戶、操作系統檔案類型以及是否緩衝區溢位等用戶的詳細資料。比如要顯示遠端電腦www.abc.com上的user01用戶的訊息,可以在指令行中按鍵輸入「finger user01@www.abc.com」即可。

  連接阜漏洞:一般黑客要攻擊對方的電腦,都是通過相應的連接阜掃瞄工具來獲得相關資訊,比如使用「流光」就可以利用79連接阜來掃瞄遠端電腦操作系統版本,獲得用戶訊息,還能探測已知的緩衝區溢位錯誤。這樣,就容易遭遇到黑客的攻擊。而且,79連接阜還被Firehotcker木馬作為預設的連接阜。

  操作建議:建議關閉該連接阜。

80連接阜 :80連接阜是為HTTP(HyperText Transport Protocol,超文本傳輸傳輸協定)開放的,這是上網衝浪使用最多的傳輸協定,主要用於在WWW(World Wide Web,全球資訊網)服務上傳輸訊息的傳輸協定。

  連接阜說明:80連接阜是為HTTP(HyperText Transport Protocol,超文本傳輸傳輸協定)開放的,這是上網衝浪使用最多的傳輸協定,主要用於在WWW(World Wide Web,全球資訊網)服務上傳輸訊息的傳輸協定。我們可以通過HTTP位址加「:80」(即常說的「網址」)來訪問網站的,比如http://www.cce.com.cn:80,因為瀏覽網頁服務預設的連接阜號是80,所以只要輸入網址,不用輸入「:80」。

  連接阜漏洞:有些木馬程序可以利用80連接阜來攻擊電腦的,比如Executor、RingZero等。

  操作建議:為了能正常上網衝浪,我們必須開啟80連接阜
99連接阜 :99連接阜是用於一個名為「Metagram Relay」(亞對策延時)的服務,該服務比較少見,一般是用不到的。
  連接阜說明:99連接阜是用於一個名為「Metagram Relay」(亞對策延時)的服務,該服務比較少見,一般是用不到的。

  連接阜漏洞:雖然「Metagram Relay」服務不常用,可是Hidden Port、NCx99等木馬程序會利用該連接阜,比如在Windows 2000中,NCx99可以把cmd.exe程序綁定到99連接阜,這樣用Telnet就可以連線到伺服器,隨意增加用戶、更改權限。

  操作建議:建議關閉該連接阜。

109、110連接阜 :109連接阜是為POP2(Post Office Protocol Version 2,郵局傳輸協定2)服務開放的,110連接阜是為POP3(郵件傳輸協定3)服務開放的,POP2、POP3都是主要用於接收郵件的。

  連接阜說明:109連接阜是為POP2(Post Office Protocol Version 2,郵局傳輸協定2)服務開放的,110連接阜是為POP3(郵件傳輸協定3)服務開放的,POP2、POP3都是主要用於接收郵件的,目前POP3使用的比較多,許多伺服器都同時支持POP2和POP3。客戶端可以使用POP3傳輸協定來訪問服務端的郵件服務,如今ISP的絕大多數郵件伺服器都是使用該傳輸協定。在使用電子郵件客戶端程序的時候,會要求輸入POP3伺服器位址,預設情況下使用的就是110連接阜。

  連接阜漏洞:POP2、POP3在提供郵件接收服務的同時,也出現了不少的漏洞。單單POP3服務在用戶名和密碼交換緩衝區溢位的漏洞就不少於20個,比如WebEasyMail POP3 Server合法用戶名訊息洩露漏洞,通過該漏洞遠端攻擊者可以驗證用戶帳戶的存在。另外,110連接阜也被ProMail trojan等木馬程序所利用,通過110連接阜可以竊取POP帳號用戶名和密碼。

  操作建議:如果是執行郵件伺服器,可以開啟該連接阜。

111連接阜 :111連接阜是SUN公司的RPC(Remote Procedure Call,遠端程序使用)服務所開放的連接阜,主要用於分佈式系統中不同電腦的內部工作通信,RPC在多種網路服務中都是很重要的元件。

  連接阜說明:111連接阜是SUN公司的RPC(Remote Procedure Call,遠端程序使用)服務所開放的連接阜,主要用於分佈式系統中不同電腦的內部工作通信,RPC在多種網路服務中都是很重要的元件。一般的RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等等。在Microsoft的Windows中,同樣也有RPC服務。

  連接阜漏洞:SUN RPC有一個比較大漏洞,就是在多個RPC服務時xdr鶯rray函數存在遠端緩衝溢位漏洞,通過該漏洞允許攻擊者傳送超

113連接阜 :113連接阜主要用於Windows的「Authentication Service」(驗證服務)。

  連接阜說明:113連接阜主要用於Windows的「Authentication Service」(驗證服務),一般與網路連接的電腦都執行該服務,主要用於驗證TCP連接的用戶,通過該服務可以獲得連接電腦的訊息。在Windows 2000/2003 Server中,還有專門的IAS元件,通過該群組件可以方便遠端訪問中進行身份驗證以及原則管理。

  連接阜漏洞:113連接阜雖然可以方便身份驗證,但是也常常被作為FTP、POP、SMTP、IMAP以及IRC等網路服務的記錄器,這樣會被相應的木馬程序所利用,比如關於IRC聊天室控制的木馬。另外,113連接阜還是Invisible Identd Deamon、Kazimas等木馬預設開放的連接阜。

  操作建議:建議關閉該連接阜。

119連接阜 :119連接阜是為「Network News Transfer Protocol」(網路新聞組傳輸傳輸協定,簡稱NNTP)開放的。

  連接阜說明:119連接阜是為「Network News Transfer Protocol」(網路新聞組傳輸傳輸協定,簡稱NNTP)開放的,主要用於新聞組的傳輸,當搜尋USENET伺服器的時候會使用該連接阜。

  連接阜漏洞:著名的Happy99蠕蟲病毒預設開放的就是119連接阜,如果中了該病毒會不斷發送電子郵件進行傳播,並造成網路的堵塞。

 
psac 目前離線  
送花文章: 3, 收花文章: 1615 篇, 收花: 3175 次
舊 2005-11-12, 08:02 PM   #33 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

 操作建議:如果是經常使用USENET新聞組,就要注意不定期關閉該連接阜
135連接阜 :135連接阜主要用於使用RPC(Remote Procedure Call,遠端程序使用)傳輸協定並提供DCOM(分佈式元件對像模型)服務。
  連接阜說明:135連接阜主要用於使用RPC(Remote Procedure Call,遠端程序使用)傳輸協定並提供DCOM(分佈式元件對像模型)服務,通過RPC可以保證在一台電腦上執行的程序可以順利地執行遠端電腦上的程式碼;使用DCOM可以通過網路直接進行通信,能夠跨包括HTTP傳輸協定在內的多種網路傳輸。

  連接阜漏洞:相信去年很多Windows 2000和Windows XP用戶都中了「衝擊波」病毒,該病毒就是利用RPC漏洞來攻擊電腦的。RPC本身在處理通過TCP/IP的消息交換部分有一個漏洞,該漏洞是由於錯誤地處理格式不正確的消息造成的。該漏洞會影響到RPC與DCOM之間的一個接頭,該接頭偵聽的連接阜就是135。

  操作建議:為了避免「衝擊波」病毒的攻擊,建議關閉該連接阜。

137連接阜 :137連接阜主要用於「NetBIOS Name Service」(NetBIOS名稱服務)。

  連接阜說明:137連接阜主要用於「NetBIOS Name Service」(NetBIOS名稱服務),屬於UDP連接阜,使用者只需要向區域網路或網際網路上的某台電腦的137連接阜傳送一個請求,就可以獲取該電腦的名稱、註冊用戶名,以及是否安裝主域控制器、IIS是否正在執行等訊息。

  連接阜漏洞:因為是UDP連接阜,對於攻擊者來說,通過傳送請求很容易就獲取目標電腦的相關資訊,有些訊息是直接可以被利用,並分析漏洞的,比如IIS服務。另外,通過捕獲正在利用137連接阜進行通信的訊息包,還可能得到目標電腦的啟動和關閉的時間,這樣就可以利用專門的工具來攻擊。

  操作建議:建議關閉該連接阜。

139連接阜 :139連接阜是為「NetBIOS Session Service」提供的,主要用於提供Windows文件和列印機共享以及Unix中的Samba服務。

  連接阜說明:139連接阜是為「NetBIOS Session Service」提供的,主要用於提供Windows文件和列印機共享以及Unix中的Samba服務。在Windows中要在區域網路中進行文件的共享,必須使用該服務。比如在Windows 98中,可以開啟「控制台」,雙按「網路」圖示,在「組態」選擇項中按下「文件及列印共享」按鈕選相應的設定就可以安裝啟用該服務;在Windows 2000/XP中,可以開啟「控制台」,雙按「網路連接」圖示,開啟本機連接內容;接著,在內容視窗的「一般」選擇項中選項「Internet傳輸協定(TCP/IP)」,按下「內容」按鈕;然後在開啟的視窗中,按下「進階」按鈕;在「進階TCP/IP設定」視窗中選項「WINS」選擇項,在「NetBIOS設定」區域中啟用TCP/IP上的NetBIOS。

  連接阜漏洞:開啟139連接阜雖然可以提供共享服務,但是常常被攻擊者所利用進行攻擊,比如使用流光、SuperScan等連接阜掃瞄工具,可以掃瞄目標電腦的139連接阜,如果發現有漏洞,可以試圖獲取用戶名和密碼,這是非常危險的。

  操作建議:如果不需要提供文件和列印機共享,建議關閉該連接阜。

143連接阜 :143連接阜主要是用於「Internet Message Access Protocol」v2(Internet消息訪問傳輸協定,簡稱IMAP)。

  連接阜說明:143連接阜主要是用於「Internet Message Access Protocol」v2(Internet消息訪問傳輸協定,簡稱IMAP),和POP3一樣,是用於電子郵件的接收的傳輸協定。通過IMAP傳輸協定我們可以在不接收郵件的情況下,知道郵件的內容,方便管理伺服器中的電子郵件。不過,相對於POP3傳輸協定要負責一些。如今,大部分主流的電子郵件客戶端軟體都支持該傳輸協定。

  連接阜漏洞:同POP3傳輸協定的110連接阜一樣,IMAP使用的143連接阜也存在緩衝區溢位漏洞,通過該漏洞可以獲取用戶名和密碼。另外,還有一種名為「admv0rm」的Linux蠕蟲病毒會利用該連接阜進行繁殖。

  操作建議:如果不是使用IMAP伺服器操作,應該將該連接阜關閉。

161連接阜 :161連接阜是用於「Simple Network Management Protocol」(簡單網路管理傳輸協定,簡稱SNMP)。

  
psac 目前離線  
送花文章: 3, 收花文章: 1615 篇, 收花: 3175 次
舊 2005-11-12, 08:04 PM   #34 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

連接阜說明:161連接阜是用於「Simple Network Management Protocol」(簡單網路管理傳輸協定,簡稱SNMP),該傳輸協定主要用於管理TCP/IP網路中的網路傳輸協定,在Windows中通過SNMP服務可以提供關於TCP/IP網路上主機以及各種網路設備的狀態訊息。目前,幾乎所有的網路設備廠商都實現對SNMP的支持。

  在Windows 2000/XP中要安裝SNMP服務,我們首先可以開啟「Windows元件嚮導」,在「元件」中選項「管理和監視工具」,按下「詳細資料」按鈕就可以看到「簡單網路管理傳輸協定(SNMP)」,選該群組件;然後,按下「下一步」就可以進行安裝。

  連接阜漏洞:因為通過SNMP可以獲得網路中各種設備的狀態訊息,還能用於對網路設備的控制,所以黑客可以通過SNMP漏洞來完全控制網路。

  操作建議:建議關閉該連接阜

443連接阜 :443連接阜即網頁瀏覽連接阜,主要是用於HTTPS服務,是提供加密和通過安全連接阜傳輸的另一種HTTP。
  連接阜說明:443連接阜即網頁瀏覽連接阜,主要是用於HTTPS服務,是提供加密和通過安全連接阜傳輸的另一種HTTP。在一些對安全性要求較高的網站,比如銀行、證券、購物等,都採用HTTPS服務,這樣在這些網站上的交換訊息其他人都無法看到,保證了交易的安全性。網頁的位址以https://開始,而不是一般的http://。

  連接阜漏洞:HTTPS服務一般是通過SSL(安全套接字層)來保證安全性的,但是SSL漏洞可能會受到黑客的攻擊,比如可以黑掉在線銀行系統,盜取信用卡帳號等。

  操作建議:建議開啟該連接阜,用於安全性網頁的訪問。另外,為了防止黑客的攻擊,應該及時安裝微軟針對SSL漏洞發怖的最新安全修正檔。

554連接阜 :554連接阜預設情況下用於「Real Time Streaming Protocol」(既時流傳輸協定,簡稱RTSP)。

  連接阜說明:554連接阜預設情況下用於「Real Time Streaming Protocol」(既時流傳輸協定,簡稱RTSP),該傳輸協定是由RealNetworks和Netscape共同提出的,通過RTSP傳輸協定可以借助於Internet將流媒體文件傳送到RealPlayer中播放,並能有效地、最大限度地利用有限的網路帶寬,傳輸的流媒體文件一般是Real伺服器發怖的,包括有.rm、.ram。如今,很多的下載軟體都支持RTSP傳輸協定,比如FlashGet、影音傳送帶等等。

  連接阜漏洞:目前,RTSP傳輸協定所發現的漏洞主要就是RealNetworks早期發怖的Helix Universal Server存在緩衝區溢位漏洞,相對來說,使用的554連接阜是安全的。

  操作建議:為了能欣賞並下載到RTSP傳輸協定的流媒體文件,建議開啟554連接阜。

1024連接阜 :1024連接阜一般不固定分配給某個服務,在英文中的解釋是「Reserved」(保留)。

  連接阜說明:1024連接阜一般不固定分配給某個服務,在英文中的解釋是「Reserved」(保留)。之前,我們曾經提到過動態連接阜的範圍是從1024∼65535,而1024正是動態連接阜的開始。該連接阜一般分配給第一個向系統發出申請的服務,在關閉服務的時候,就會解壓縮1024連接阜,等待其他服務的使用。

  連接阜漏洞:著名的YAI木馬病毒預設使用的就是1024連接阜,通過該木馬可以遠端控制目標電腦,獲取電腦的螢幕圖像、記錄鍵盤事件、獲取密碼等,後果是比較嚴重的。

  操作建議:一般的殺毒軟體都可以方便地進行YAI病毒的查殺,所以在驗證無YAI病毒的情況下建議開啟該連接阜。

如何關閉Windows XP相關連接阜

Windows XP作為一個被廣泛使用的系統,現在已經受到了越來越多攻擊者的「青睞」。當然最簡單的防範方法是裝個網路防火牆,不過在沒有防火牆時,我們有什麼辦法呢?關閉Windows XP中的無用連接阜可以讓系統安全很多。

   一、找出自身開放的連接阜

   掃瞄連接阜,然後找漏洞是攻擊者入侵的基本思法。可以說,電腦上開放的連接阜越多,攻擊者入侵的機會就越大,因此我們可以通過關閉一些我們不用的連接阜來提高電腦的安全性。

   那如何知道我們的Windows XP開放了哪些連接阜呢?我們可以用指令「Netstat」來檢視系統中開放的連接阜。

   我們需要用到這個指令的兩個參數:-a、-n。參數-a顯示當前所有連接和偵聽連接阜,而參數-n以數位格式顯示位址和連接阜號(而不是嘗試搜尋名稱),兩者可以結合起來使用:Netstatan,就能檢視當前連接阜的開放情況。  

   通過這個指令,如果我們發現一個異常的連接阜號在監聽,可以先去網上搜尋一般木馬的連接阜號對照一下,如果發現有木馬使用的連接阜,就應該用殺除木馬的軟體檢查系統了。

   二、關閉無用連接阜

   知道怎麼檢視機器的連接阜情況之後,接下來一個問題是,哪些連接阜是必需的,哪些連接阜是可以關閉的?這個問題稍微複雜一點,因為除了Windows XP預設開放的135、137、138、139和445,有些跟網路有關的軟體需要使用到一些連接阜,最常用的比如QQ使用4000連接阜。這裡筆者把情況想像成最簡單:一台只需要瀏覽網頁的電腦。那麼針對這個系統,我們自己來組態一下以提高安全性。

   1、關閉軟體開啟的連接阜。可以開啟本機連接的「內容→Internet傳輸協定(TCP/IP)→內容→進階→選項→TCP/IP篩選內容」,然後都選上「只允許」。請注意,如果發現某個常用的網路工具不能起作用的時候,請搞清它在你主機所開的連接阜,然後在「TCP/IP篩選」中增加相應的連接阜。

   2、禁用NetBIOS。開啟本機連接的「內容→Internet傳輸協定(TCP/IP)→內容→進階→WINS→禁用TCP/IP上的NetBIOS」。這樣一來就關閉了137、138以及139連接阜,從而預防IPC$入侵。

   3、開啟Windows XP原有的的網路防火牆。開啟本機連接的「內容→進階」,啟用防火牆之後,按下設定可以設定系統開放關閉哪些服務。一般來說,這些服務都可以不要,關閉這些服務後,這些服務涉及的連接阜就不會被輕易開啟了。

   4、禁用445連接阜。向註冊表「HKEY_LO-CAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters」中追加名為「SMBDeviceEnabled」的DWORD值,並將其設定為0,就好了。

   通過以上設定,你的Windows XP系統的安全性將大大提高。要補充的是,文章是針對那些直接撥號上網的機器,而不包括通過網路閘道代理上網的機器。
psac 目前離線  
送花文章: 3, 收花文章: 1615 篇, 收花: 3175 次
舊 2006-06-16, 04:03 PM   #35 (permalink)
sim
註冊會員
榮譽勳章
UID - 712
在線等級: 級別:9 | 在線時長:118小時 | 升級還需:22小時級別:9 | 在線時長:118小時 | 升級還需:22小時級別:9 | 在線時長:118小時 | 升級還需:22小時級別:9 | 在線時長:118小時 | 升級還需:22小時
註冊日期: 2002-12-06
VIP期限: 2007-04
文章: 220
精華: 0
現金: 29 金幣
資產: 329 金幣
預設

感謝..................
sim 目前離線  
送花文章: 111, 收花文章: 6 篇, 收花: 9 次
舊 2006-09-27, 09:42 PM   #36 (permalink)
註冊會員
榮譽勳章
UID - 49983
在線等級: 級別:7 | 在線時長:90小時 | 升級還需:6小時級別:7 | 在線時長:90小時 | 升級還需:6小時
註冊日期: 2003-03-19
VIP期限: 2011-06
文章: 639
精華: 0
現金: 6261 金幣
資產: 11261 金幣
預設

真的好豐富...這可要好好的瞭解...受教了
Julian_Wu99 目前離線  
送花文章: 348, 收花文章: 13 篇, 收花: 14 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 07:29 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2018, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1