端口便是计算机与外部通信的途径,没有它,计算机便又聋又哑。一个端口就是一个潜在的通信通道,也就是一个入侵通道。
51Testing软件测试网�W�X#J
W
\�P�m�@�j先说服务,我们首先要明白“连接”和“无连接”的概念。最简单的例子莫过于打电话和写信。两
个人如果要通电话,得首先建立连接——即拨号,等待应答后才能相互传递信息,最后还要释放连接——即挂电话。写信就没有那么复杂了,地址姓名填好以后直接往邮筒一扔,收信人就能收到。
�K�G5z&F�X)V0因特网上最流行的协议是TCP/IP协议,需要说明的是,TCP/IP协议在网络层是无连接的(数据包只管往网上发,如何传输和到达以及是否到达由网络设备来管理)。而我们一旦谈“端口”,就已经到了传输层。协议里面低于1024的端口都有确切的定义,它们对应着因特网上常见的一些服务。这些常见的服务可以划分为使用TCP端口(面向连接如打电话)和使用UDP端口(无连接如写信)两种。
51Testing软件测试网1G�G�t9o*C,E�K�z q�v K�n使用TCP端口常见的有:
�u(e�j*s&A:B-c*k�w&Z0ftp:定义了文件传输协议,使用21端口。常说某某主机开了 ftp服务便是文件传输服务。下载文件,上传主页,都要用到ftp服务。
3T�p4X
a:z.W0telnet:你上BBS吗?以前的BBS是纯字符界面的,支持BBS的服务器将23端口打开,对外提供服务。其实Telnet的真正意思是远程登陆:用户可以以自己的身份远程连接到主机上。
/}�i�Z'e�u�~0smtp:定义了简单邮件传送协议。现在很多邮件服务器都用的是这个协议,用于发送邮件。服务器开放的是25端口。
51Testing软件测试网�e!U�s�D�S!Jhttp:这可是大家用得最多的协议了——超文本传送协议。上网浏览网页就需要用到它,那么提供网页资源的主机就得打开其80端口以提供服务。我们常说“提供www服务”、“Web服务器”就是这个意思。
51Testing软件测试网�o�\2p:s+x�?�lpop3:和smtp对应,pop3用于接收邮件。通常情况下,pop3协议所用的是110端口。在263等免费邮箱中,几乎都有pop3收信功能。也就是说,只要你有相应的使用pop3协议的程序(例如Foxmail或Outlook),不需要从Web方式登陆进邮箱界面,即可以收信。
51Testing软件测试网(|�v$@ j�f使用UDP端口常见的有:
�l9J%H7w�S$G�D0DNS:域名解析服务。因特网上的每一台计算机都有一个网络地址与之对应,这个地址就是我们常说的IP地址,它以纯数字的形式表示。然而这却不便记忆,于是出现了域名。访问主机的时候只需要知道域名,域名和IP地址之间的变换由DNS服务器来完成。DNS用的是53端口。
51Testing软件测试网�c�?6V3?�u;ksnmp:简单网络管理协议,使用161端口,是用来管理网络设备的。由于网络设备很多,无连接的服务就体现出其优势。
%k�H�`�K�d'f�^6~�c0聊天软件Oicq:Oicq的程序既接受服务,又提供服务,这样两个聊天的人才是平等的。oicq用的是无连接的协议,其服务器使用8000端口,侦听是否有信息到来;客户端使用4000端口,向外发送信息。如果上述两个端口正在使用(有很多人同时和几个好友聊天),就顺序往上加。
�W�q.s8k�k�l�s�e0以上是计算机常用的一些端口,此外还有很多端口,由于我们这次实验没用到,所以就不一一介绍了。
51Testing软件测试网�T�e0D�r&J�I;C&v1、端口的扫描
0z |�z�@1n�e�w3m0端口扫描的方法现在有N种,最常用,也是最简捷的方法就是在任务栏里点开始、运行框里输入cmd,出现一个DOS框,输入netatat –an,那么你电脑目前所有的端口状况就一览无余。
51Testing软件测试网�V�s/G/D8z9B!G Z8|2、端口的关闭
51Testing软件测试网�B0F0k�x�A 3389端口的关闭:
�~/i+[�|�?0首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。
3o*L�O,o�C3n�`-p�G0方法: 在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
*x�c�o�d [!z(s/S0 4899端口的关闭:
51Testing软件测试网5q�s�a�v&L首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。
I&~:B�^�q�y0方法: 请在开始-->运行中输入cmd,然后cd C:\winnt\system32(你的系统安装目录),输入r_server.exe /stop后按回车。然后再输入r_server /uninstall /silence,到C:\winnt\system32(系统目录)下删除r_server.exe admdll.dll radbrv.dll三个文件
51Testing软件测试网�N�V�@�d/H�A�d 139端口的关闭
9T0z�J�B�j-K�s0139端口是NetBIOS Session端口,用来文件和打印共享
&@+X!A-B(m0l�Y0方法: 在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
51Testing软件测试网 D�R2A�B;_#N
F-U对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
51Testing软件测试网�_!r�c�b
Y 113端口木马的清除
51Testing软件测试网+U�G�c�a4s*}3e这是一个基于irc聊天室控制的木马程序。
�N#F�t�G.d R;p�t01.首先使用netstat -an命令确定自己的系统上是否开放了113端口。
51Testing软件测试网"V�p�U�k�_*c2.使用fport命令察看出是哪个程序在监听113端口。
5b�`2A�g9G2|5S%X0例如我们用fport看到如下结果:
51Testing软件测试网
n�T;r�H�I9o�|�i*m%EPid Process Port Proto Path\system32\vhos.exe
51Testing软件测试网)m�^�` G�m�f我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:\winnt\system32下。
�R�H�_8[
J�W1F+X"s�f03.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束该进程。
51Testing软件测试网�M3t�\�Q�_'Z�i$a4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。
51Testing软件测试网,V�o�t P:O"_�o�I&@�N�o�^�D5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括
其他一些程序,如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序)
*J�o�X4[�f�p�]�B8s06.重新启动机器。
51Testing软件测试网�[�X�C�@
A0c�l;T 限制端口的方法
51Testing软件测试网�R�z!|�R u)K�o�r对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
8m,M#F�H!e01、右键点击“网上邻居”,选择“属性”,然后双击“本地连接” ,弹出“本地连接状态”对话框。
51Testing软件测试网�y�E�a�H-i�A&C$N5F1}.k 2、点击[属性]按钮,弹出“本地连接属性”,选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”,然后点击[属性]按钮。
51Testing软件测试网3L3s8`,Q�C$p 3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。在弹出的“高级TCP/IP设置”中,选择“选项”标签,选中“TCP/IP筛选”,然后点击[属性]按钮。
51Testing软件测试网8h�~�m�d�C 4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框,然后把左边“TCP端口”上的“只允许”选上
'b9Z0j3x�@4T+^0 这样,您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。
5z�[�]7p:G�B }1d0添加或者删除完毕,重新启动机器以后,您的服务器就被保护起来了。
,u*S2G�g�L�Z0最后提醒,如果您只上网浏览的话,可以不添加任何端口。但是要利用一些网络联络工具,比如OICQ的话,就要把“4000”这个端口打开,同理,如果发现某个常用的网络工具不能起作用的时候,请搞清它在您主机所开的端口,然后在“TCP/IP筛选”中添加端口即可。
