史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-04-07, 04:58 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 高手必讀 網路連接阜安全防護技巧放送

高手必讀 網路連接阜安全防護技巧放送

眾所周知,電腦之間通信是通過連接阜進行的,例如你訪問一個網站時,Windows就會在本地機開一個連接阜(例如1025連接阜),然後去連接遠方網站伺服器的一個連接阜,別人訪問你時也是如此。預設值狀態下,Windows會在你的電腦上開啟許多服務連接阜,黑客常常利用這些連接阜來實施入侵,因此掌握連接阜方面的知識,是安全上網必備的技能。

一、常用連接阜及其分類

  電腦在Internet上相互通信需要使用TCP/IP傳輸協定,根據TCP/IP傳輸協定規定,電腦有256×256(65536)個連接阜,這些連接阜可分為TCP連接阜和UDP連接阜兩種。如果按照連接阜號劃分,它們又可以分為以下兩大類:

  1.系統保留連接阜(從0到1023)

  這些連接阜不允許你使用,它們都有確切的定義,對應著英特網上一般的一些服務,每一個開啟的此類連接阜,都代表一個系統服務,例如80連接阜就代表Web服務。21對應著FTP,25對應著SMTP、110對應著POP3等(如圖1)。


http://www.cfan.com.cn/images/20060302/9_20060302105819.jpg

系統保留連接阜



  2.動態連接阜(從1024到65535)

  當你需要與別人通信時,Windows會從1024起,在本地機上分配一個動態連接阜,如果1024連接阜未關閉,再需要連接阜時就會分配1025連接阜供你使用,依此類推。

  但是有個別的系統服務會綁定在1024到49151的連接阜上,例如3389連接阜(遠端終端服務)。從49152到65535這一段連接阜,通常沒有元件服務系統服務,允許Windows動態分配給你使用。

  二、如何檢視本地機開放了哪些連接阜

  在預設值狀態下,Windows會開啟很多「服務連接阜」,如果你想檢視本地機開啟了哪些連接阜、有哪些電腦正在與本地機連接,可以使用以下兩種方法。

1.利用netstat指令

  Windows提供了netstat指令,能夠顯示現用的 TCP/IP 網路連接情況,注意:只有安裝了TCP/IP傳輸協定,才能使用netstat指令。

  操作方法:按下「開始→程序→附件→命令提示字元」,進入DOS視窗,輸入指令 netstat -na Enter鍵,於是就會顯示本地機連接情況及開啟的連接阜,如圖2。其中Local Address代表本地機IP位址和開啟的連接阜號(圖中本地機開啟了135連接阜),Foreign Address是遠端電腦IP位址和連接阜號,State表明當前TCP的連接狀態,圖中LISTENING是監聽狀態,表明本地機正在開啟135連接阜監聽,等待遠端電腦的連接。

  如果你在DOS視窗中輸入了netstat -nab指令,還將顯示每個連接都是由哪些程序新增的。上圖2中本地機在135連接阜監聽,就是由svchost.exe程序新增的,該程序一共使用了5個元件(WS2_32.dll、RPCRT4.dll、rpcss.dll、svchost.exe、ADVAPI32.dll)來完成新增工作。如果你發現本地機開啟了可疑的連接阜,就可以用該指令察看它使用了哪些元件,然後再檢查各元件的新增時間和修改時間,如果發現異常,就可能是中了木馬。




2.使用連接阜監視類軟體

  與netstat指令類似,連接阜監視類軟體也能檢視本地機開啟了哪些連接阜,這類軟體非常多,著名的有Tcpview、Port Reporter、綠鷹PC萬能精靈、網路連接阜檢視器等,推薦你上網時啟動Tcpview,密切監視本地機連接阜連接情況,這樣就能嚴防非法連接,確保自己的網路安全,詳見本刊2005年2月88頁《讓連接阜開放盡收眼底》一文。

  三、關閉本地機不用的連接阜

  預設值情況下Windows有很多連接阜是開放的,一旦你上網,黑客可以通過這些連接阜連上你的電腦,因此你應該封閉這些連接阜。主要有:TCP139、445、593、1025 連接阜和 UDP123、137、138、445、1900連接阜、一些流行病毒的後門連接阜(如 TCP 2513、2745、3127、6129 連接阜),以及遠端服務訪問連接阜3389。關閉的方法是:

  1137、138、139、445連接阜:它們都是為共享而開放的,你應該禁止別人共享你的機器,所以要把這些連接阜全部關閉,方法是:按下「開始→控制台→系統→硬體→裝置管理員」,按下「檢視」表單下的「顯示隱藏的設備」,雙按「非即插即用驅動程式」,找到並雙按NetBios over Tcpip,在開啟的「NetBios over Tcpip內容」視窗中,按下選「一般」標籤下的「不要使用這個設備(停用)」,如圖3,按下「確定」按鈕後重新啟動後即可。



http://www.cfan.com.cn/images/20060302/9_20060302105829.jpg[/img[<br />
命令指示提示<br />
<br />
[img]http://www.cfan.com.cn/images/20060302/9_20060302105837.jpg

內容


  2關閉UDP123連接阜:按下「開始→設定→控制台」,雙按「系統管理工具→服務」,停止Windows Time服務即可。關閉UDP 123連接阜,可以防範某些蠕蟲病毒。
  
  3關閉UDP1900連接阜:在控制台中雙按「系統管理工具→服務」,停止SSDP Discovery Service 服務即可。關閉這個連接阜,可以防範DDoS攻擊。

  4其他連接阜:你可以用網路防火牆來關閉,或者在「控制台」中,雙按「系統管理工具→本機安全原則」,選「IP 安全原則,在本機電腦」,新增 IP 安全原則來關閉。

四、重轉發IP本地機預設值連接阜,保護系統安全

  如果本地機的預設值連接阜不能關閉,你應該將它「重轉發IP」。把該連接阜重轉發IP到另一個位址,這樣即可隱藏公認的預設值連接阜,降低受破壞機率,保護系統安全。

  例如你的電腦上開放了遠端終端服務(Terminal Server)連接阜(預設值是3389),可以將它重轉發IP到另一個連接阜(例如1234),方法是:

  1.在本地機上(伺服器端)修改

  定位到下列兩個註冊表項,將其中的 PortNumber,全部改成自訂的連接阜(例如1234)即可:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

  2.在客戶端上修改

  依次按下「開始→程序→附件→通訊→遠端桌面連接」,開啟「遠端桌面連接」視窗,按下「選項」按鈕增強視窗,填寫完相關參數後,按下「一般」下的「另存為」按鈕,將該連接參數匯出為.rdp文件。用記事本開啟該檔案,在文件最後增加一行:server port:i:1234 (這裡填寫你伺服器自訂的連接阜)。以後,直接雙按這個.rdp 文件即可連線到伺服器的這個自訂連接阜了。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 06:00 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2019, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1