计算机端口的开关.docx
- 文档编号:8821149
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:23
- 大小:42.07KB
计算机端口的开关.docx
《计算机端口的开关.docx》由会员分享,可在线阅读,更多相关《计算机端口的开关.docx(23页珍藏版)》请在冰豆网上搜索。
计算机端口的开关
安全防护守好家门也谈端口的开关
在WINDOWS操作系统中每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,win2000安装中默认的都是这些服务开启的。
对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。
“控制面板”的“管理工具”中的“服务”中来配置。
1、关闭7.9等等端口:
关闭SimpleTCP/IPService,支持以下TCP/IP服务:
CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。
2、关闭80口:
关掉WWW服务。
在“服务”中显示名称为"WorldWideWebPublishingService",通过Internet信息服务的管理单元提供Web连接和管理。
3、关掉25端口:
关闭SimpleMailTransportProtocol(SMTP)服务,它提供的功能是跨网传送电子邮件。
4、关掉21端口:
关闭FTPPublishingService,它提供的服务是通过Internet信息服务的管理单元提供FTP连接和管理。
5、关掉23端口:
关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
6、还有一个很重要的就是关闭server服务,此服务提供RPC支持、文件、打印以及命名管道共享。
关掉它就关掉了win2k的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。
7、还有一个就是139端口,139端口是NetBIOSSession端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。
以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,win2000安装中默认的都是这些服务开启的。
对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。
“控制面板”的“管理工具”中的“服务”中来配置。
1、关闭7.9等等端口:
关闭SimpleTCP/IPService,支持以下TCP/IP服务:
CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。
2、关闭80口:
关掉WWW服务。
在“服务”中显示名称为"WorldWideWebPublishingService",通过Internet信息服务的管理单元提供Web连接和管理。
3、关掉25端口:
关闭SimpleMailTransportProtocol(SMTP)服务,它提供的功能是跨网传送电子邮件。
4、关掉21端口:
关闭FTPPublishingService,它提供的服务是通过Internet信息服务的管理单元提供FTP连接和管理。
5、关掉23端口:
关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
6、还有一个很重要的就是关闭server服务,此服务提供RPC支持、文件、打印以及命名管道共享。
关掉它就关掉了win2k的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。
7、还有一个就是139端口,139端口是NetBIOSSession端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。
以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
我们一般采用一些功能强大的反黑软件和防火墙来保证我们的系统安全,但是有些用户不具备上述条件。
怎么办呢?
下面就介绍一种简易的办法——通过限制端口来帮助大家防止非法入侵。
非法入侵的方式
简单说来,非法入侵的方式可粗略分为4种:
1、扫描端口,通过已知的系统Bug攻入主机。
2、种植木马,利用木马开辟的后门进入主机。
3、采用数据溢出的手段,迫使主机提供后门进入主机。
4、利用某些软件设计的漏洞,直接或间接控制主机。
非法入侵的主要方式是前两种,尤其是利用一些流行的黑客工具,通过第一种方式攻击主机的情况最多、也最普遍;而对后两种方式来说,只有一些手段高超的黑客才利用,波及面并不广泛,而且只要这两种问题一出现,软件服务商很快就会提供补丁,及时修复系统。
因此,如果能限制前两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。
而且前两种非法入侵方式有一个共同点,就是通过端口进入主机。
端口就像一所房子(服务器)的几个门一样,不同的门通向不同的房间(服务器提供的不同服务)。
我们常用的FTP默认端口为21,而WWW网页一般默认端口是80。
但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务,比如139等;还有一些木马程序,比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。
那么,只要我们把自己用不到的端口全部封锁起来,不就杜绝了这两种非法入侵吗?
限制端口的方法
对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
这里,对于采用Windows2000或者WindowsXP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。
具体设置如下:
1、右键点击“网上邻居”,选择“属性”,然后双击“本地连接”(如果是拨号上网用户,选择“我的连接”图标),弹出“本地连接状态”对话框。
2、点击[属性]按钮,弹出“本地连接属性”,选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”,然后点击[属性]按钮。
3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。
在弹出的“高级TCP/IP设置”中,选择“选项”标签,选中“TCP/IP筛选”,然后点击[属性]按钮。
4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框,然后把左边“TCP端口”上的“只允许”选上。
这样,您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。
添加或者删除完毕,重新启动机器以后,您的服务器就被保护起来了。
如果只上网浏览的话,可以不添加任何端口。
但是要利用一些网络联络工具,比如OICQ的话,就要把“4000”这个端口打开,同理,如果发现某个常用的网络工具不能起作用的时候,请搞清它在您主机所开的端口,然后在“TCP/IP筛选”中添加端口即可
=========================================
新系统最容易中毒重装系统后十要事
在操作系统进行重新安装后,由于安全设置以及补丁未及时安装等问题,最容易导致病毒的大肆入侵,因此一些必备的补充措施是非常关键的。
第1件大事:
不要急着接入网络
在安装完成Windows后,不要立即把服务器接入网络,因为这时的服务器还没有打上各种补丁,存在各种漏洞,非常容易感染病毒和被入侵。
此时要加上冲击波和震撼波补丁后并重新启动再联入互联网。
第2件大事:
给系统打补丁/安装杀毒软件
不用多说,冲击波和震荡波病毒的补丁是一定要打上的,如果你安装了WindowsXPSP2则不用再另行安装。
安装完系统后,一定要安装反病毒软件,同时将其更新到最新版本。
第3件大事:
关闭系统还原
系统还原是WindowsME和WindowsXP、Windows2003中具有的功能,它允许我们将系统恢复到某一时间状态,从而可以避免我们重新安装操作系统。
不过,有的人在执行系统还原后,发现除C盘外,其它的D盘、E盘都恢复到先前的状态了,结果里面保存的文件都没有了,造成了严重的损失!
这是由于系统还原默认是针对硬盘上所有分区而言的,这样一旦进行了系统还原操作,那么所有分区的数据都会恢复。
因此,我们必须按下Win+Break键,然后单击“系统还原”标签,取消“在所有驱动器上关闭系统还原”选项,然后选中D盘,单击“设置”按钮,在打开的窗口中选中“关闭这个驱动器上的系统还原”选项。
依次将其他的盘上的系统还原关闭即可。
这样,一旦系统不稳定,可以利用系统还原工具还原C盘上的系统,但同时其他盘上的文件都不会有事。
第4件大事:
给Administrator打上密码
可能有的人使用的是网上下载的万能Ghost版来安装的系统,也可能是使用的是WindowsXP无人值守安装光盘安装的系统,利用这些方法安装时极有可能没有让你指定Administrator密码,或者Administrator的密码是默认的123456或干脆为空。
这样的密码是相当危险的,因此,在安装完系统后,请右击“我的电脑”,选择“管理”,再选择左侧的“计算机管理(本地)→系统工具→本地用户和组→用户”,选中右侧窗口中的Administrator,右击,选择“设置密码”。
在打开窗口中单击“继续”按钮,即可在打开窗口中为Administrator设置密码。
另外,选择“新用户”,设置好用户名和密码,再双击新建用户,单击“隶属于”标签,将其中所有组(如果有)都选中,单击下方的“删除”按钮。
再单击“添加”按钮,然后再在打开窗口中单击“高级”按钮,接着单击“立即查找”按钮,找到PowerUser或User组,单击“确定”两次,将此用户添加PowerUser或User组。
注销当前用户,再以新用户登录可以发现系统快很多。
第5件大事:
关闭默认共享
Windows安装后,会创建一些隐藏共享,主要用于管理员远程登录时管理系统时使用,但对于个人用户来说,这个很少用到,也不是很安全。
所以,我们有必要要切断这个共享:
先在d:
下新建一个disshare.bat文件,在其中写上如下语句:
@echooff
netshareC$/del
netshared$/del
netshareipc$/del
netshareadmin$/del
接下来将d:
disshare.bat拷贝到C:
WINDOWSSystem32GroupPolicyUserScriptsLogon文件夹下。
然后按下Win+R,输入gpedit.msc,在打开窗口中依次展开“用户配置→Windows设置→脚本(登录/注销)”文件夹,在右侧窗格中双击“登录”项,在弹出的窗口中,单击“添加”命令,选中C:
WINDOWSSystem32GroupPolicyUserScriptsLogon文件夹下的disshare.bat文件。
完成上述设置后,重新启动系统,就能自动切断WindowsXP的默认共享通道了,如果你有更多硬盘,请在netshared$/del下自行添加,如netsharee$/del、netsharef$/del等。
第6件大事:
启用DMA传输模式
启用DMA模式之后,计算机周边设备(主要指硬盘)即可直接与内存交换数据,这样能加快硬盘读写速度,提高数据传输速率:
打开“设备管理器”,其中“IDEATA/ATAPI控制器”下有“主要IDE通道”和“次要IDE通道”,双击之,单击“高级设置”,该对话框会列出目前IDE接口所连接设备的传输模式,单击列表按钮将“传输模式”设置为“DMA(若可用)”。
重新启动计算机即可生效。
第7件大事:
启用高级电源管理
有时候安装WindowsXP之前会发现没有打开BIOS电源中的高级电源控制,安装WindowsXP后,关闭Windows时,电源不会自动断开。
这时,很多人选择了重新打开BIOS中的高级电源控制,并重新安装WindowsXP。
事实上,用不着这么麻烦,只要大家确认已经在BIOS中打开高级电源控制选项,同时选择ACPIPc,一定不要选错,否则重启后可能无法进入Windows,并重新启动电脑,电脑可能会重新搜索并自动重新安装电脑的硬件,之后就可以使其支持高级电源控制了。
第8件大事:
取消压缩文件夹支持
单击开始→运行,输入“regsvr32/uzipfldr.dll”回车,出现提示窗口“zipfldr.dll中的DllUnrgisterServer成功”即可取消WindowsXP的压缩文件夹支持。
另外,输入regsvr32shdocvw.dll可以取消“图片和传真”与图片文件的关联。
第9件大事:
取消“磁盘空间不足”通知
当磁盘驱动器的容量少于200MB时WindowsXP便会发出“磁盘空间不足”的通知,非常烦人。
可以打开“注册表编辑器”,定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer,在“Explorer”上单击右键,选择右键菜单上的“新建”→“DWORD值”,将这个值命名为“NoLowDiskSpaceChecks”,双击该值将其中的“数值数据”设为“1”。
第10件大事:
启用验证码
安装SP2后,大多数用户发现在访问某些需要填写验证码的地方,都无法显示验证码图片(显示为一个红色小叉),这是一个非常严重的Bug。
解决办法为:
运行“Regedit”命令打开注册表编辑器,依次定位到“[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternetExplorerSecurity]”,在窗口右边新建一个名为“BlockXBM”的REG_DWORD值,将其值设置为“0”(十六进制值)。
============================================
安全知识:
安全防护之注册表攻击与防护
1.禁止使用注册表编辑器
大家都了解使用注册表可以做很多事情,它可以大大优化系统,但如果心怀不轨的人更改了电脑的注册表,可就不知要发生什么事情了,所以有时为了计算机的安全,可以通过修改注册表设置禁止其他人更改注册表设置。
打开“注册表编辑器”窗口,从左侧栏中依次展开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”子项,在右栏中找到或新建一个DWORD值类型的名为“Disableregistrytools”的项,将其值改为1。
关闭注册表,再次打开注册表编辑器时,将会弹出禁止修改的提示框。
2.恢复禁用的注册表编辑器
禁止别人使用注册表编辑器的同时,自己也没法使用了,如何恢复禁用的注册表编辑器呢?
可以选用以下两种方法之一。
方法一:
打开一个“记事本”文件,如果你的电脑的操作系统是Windows2000\XP,在其中输入以下文字:
WindowsRegistryEditorVersion5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“Disableregistrytools”=dword:
00000000
如果操作系统是Windows98或Windows95,则输入如下文字:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“Disableregistrytools”=dword:
00000000
(PS:
输入的内容中的标点符号均要使用英文半角符号)
将文件保存为名为“Unlock.reg”的注册表文件。
双击运行这个文件,将这个文件导入到注册表中,然后使用常规打开注册表编辑器的方法就可以重新打开注册表编辑器了。
方法二:
在Windows2000\XP\2003系统中,从“开始”菜单中选择“运行”项,在打开的“运行”对话框中输入“Gpedit.msc”(不含引号),单击“确定”按钮,即可打开“组策略”对话框。
从左侧栏中依次选择“用户配置”—“管理模板”—“系统”项,在右侧栏中双击“阻止访问注册表编辑工具”项。
可以打开“阻止访问注册表编辑工具属性”对话框,选择“已禁用”单选项,单击“确定”按钮,即可恢复禁用的注册表编辑器。
======================================================
深入浅出分析Linux系统内核漏洞问题
与Windows相比,Linux被认为具有更好的安全性和其他扩展性能。
这些特性使得Linux在操作系统领域异军突起,得到越来越多的重视。
随着Linux应用量的增加,其安全性也逐渐受到了公众甚或黑客的关注。
那么,Linux是否真的如其支持厂商们所宣称的那样安全呢?
Linux内核精短、稳定性高、可扩展性好、硬件需求低、免费、网络功能丰富、适用于多种cpu等特性,使之在操作系统领域异军突起。
其独特的魅力使它不仅在pc机上占据一定的份额,而且越来越多地被使用在各种嵌入式设备中,并被当作专业的路由器,防火墙,或者高端的服务器OS来使用。
各种类型的Linux发行版本也如雨后春笋般冒了出来,国内更是掀起了Linux的使用热潮,很多政府部门因安全需要也被要求使用Linux。
正是因为Linux被越来越多地使用,其安全性也渐渐受到了公众的关注,当然,也更多地受到了黑客的关注。
通常,我们讨论Linux系统安全都是从Linux安全配置的角度或者Linux的安全特性等方面来讨论的,而这一次我们转换一下视角,从Linux系统中存在的漏洞与这些漏洞产生的影响来讨论Linux的安全性。
首先来说明一下这次我们讨论Linux系统安全的范围,其实通常我们所说的Linux是指GNU/Linux系统,Linux是系统中使用的操作系统内核。
这一次我们重点从Linux系统内核中存在的几类非常有特点的漏洞来讨论Linux系统的安全性。
权限提升类漏洞
一般来说,利用系统上一些程序的逻辑缺陷或缓冲区溢出的手段,攻击者很容易在本地获得Linux服务器上管理员权限root;在一些远程的情况下,攻击者会利用一些以root身份执行的有缺陷的系统守护进程来取得root权限,或利用有缺陷的服务进程漏洞来取得普通用户权限用以远程登录服务器。
目前很多Linux服务器都用关闭各种不需要的服务和进程的方式来提升自身的安全性,但是只要这个服务器上运行着某些服务,攻击者就可以找到权限提升的途径。
下面是一个比较新的导致权限提升的漏洞。
do_brk()边界检查不充分漏洞在2003年9月份被Linux内核开发人员发现,并在9月底发布的Linuxkernel2.6.0-test6中对其进行了修补。
但是Linux内核开发人员并没有意识到此漏洞的威胁,所以没有做任何通报,一些安全专家与黑客却看到了此漏洞蕴涵的巨大威力。
在2003年11月黑客利用rsync中一个未公开的堆溢出与此漏洞配合,成功地攻击了多台Debian与GentooLinux的服务器。
下面让我们简单描述一下该漏洞。
该漏洞被发现于brk系统调用中。
brk系统调用可以对用户进程的堆的大小进行操作,使堆扩展或者缩小。
而brk内部就是直接使用do_brk()函数来做具体的操作,do_brk()函数在调整进程堆的大小时既没有对参数len进行任何检查(不检查大小也不检查正负),也没有对addr+len是否超过TASK_SIZE做检查。
这样我们就可以向它提交任意大小的参数len,使用户进程的大小任意改变以至可以超过TASK_SIZE的限制,使系统认为内核范围的内存空间也是可以被用户访问的,这样的话普通用户就可以访问到内核的内存区域。
通过一定的操作,攻击者就可以获得管理员权限。
这个漏洞极其危险,利用这个漏洞可以使攻击者直接对内核区域操作,可以绕过很多Linux系统下的安全保护模块。
此漏洞的发现提出了一种新的漏洞概念,即通过扩展用户的内存空间到系统内核的内存空间来提升权限。
当发现这种漏洞时,通过研究我们就认为内核中一定还会存在类似的漏洞,果然几个月后黑客们又在Linux内核中发现与brk相似的漏洞。
通过这次成功的预测,更证实了对这种新型的概念型漏洞进行研究很有助于安全人员在系统中发现新的漏洞。
拒绝服务类漏洞
拒绝服务攻击是目前比较流行的攻击方式,它并不取得服务器权限,而是使服务器崩溃或失去响应。
对Linux的拒绝服务大多数都无须登录即可对系统发起拒绝服务攻击,使系统或相关的应用程序崩溃或失去响应能力,这种方式属于利用系统本身漏洞或其守护进程缺陷及不正确设置进行攻击。
另外一种情况,攻击者登录到Linux系统后,利用这类漏洞,也可以使系统本身或应用程序崩溃。
这种漏洞主要由程序对意外情况的处理失误引起,如写临时文件之前不检查文件是否存在,盲目跟随链接等。
下面,我们简单描述一下Linux在处理intelIA386CPU中的寄存器时发生错误而产生的拒绝服务漏洞。
该漏洞是因为IA386多媒体指令使用的寄存器MXCSR的特性导致的。
由于IA386CPU规定MXCSR寄存器的高16位不能有任何位被置位,否则CPU就会报错导致系统崩溃。
为了保证系统正常运转,在linux系统中有一段代码专门对MXCSR的这个特性作处理,而这一段代码在特定的情况下会出现错误,导致MXCSR中的高16位没有被清零,使系统崩溃。
如果攻击者制造了这种“极限”的内存情况就会对系统产生DoS效果。
攻击者通过调用get_fpxregs函数可以读取多媒体寄存器至用户空间,这样用户就可以取得MXCSR寄存器的值。
调用set_fpxregs函数可以使用用户空间提供的数据对MXCSR寄存器进行赋值。
通过对MXCSR的高16位进行清0,就保证了IA386CPU的这个特性。
如果产生一种极限效果使程序跳过这一行,使MXCSR寄存器的高16位没有被清0,一旦MXCSR寄存器的高16位有任何位被置位,系统就会立即崩溃!
因为利用这个漏洞攻击者还需要登录到系统,这个漏洞也不能使攻击者提升权限,只能达到DoS的效果,所以这个漏洞的危害还是比较小的。
但是分析这个漏洞就没有意义了吗?
其实由分析这个漏洞可以看出:
Linux内核开发成员对这种
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 端口 开关