端口便是计算机与外部通信的途径,没有它,计算机便又聋又哑。一个端口就是一个潜在的通信通道,也就是一个入侵通道。
�K�V-}�V�f�w�{0先说服务,我们首先要明白“连接”和“无连接”的概念。最简单的例子莫过于打电话和写信。两
个人如果要通电话,得首先建立连接——即拨号,等待应答后才能相互传递信息,最后还要释放连接——即挂电话。写信就没有那么复杂了,地址姓名填好以后直接往邮筒一扔,收信人就能收到。
51Testing软件测试网 K9x;_3o4~8]�}"r因特网上最流行的协议是TCP/IP协议,需要说明的是,TCP/IP协议在网络层是无连接的(数据包只管往网上发,如何传输和到达以及是否到达由网络设备来管理)。而我们一旦谈“端口”,就已经到了传输层。协议里面低于1024的端口都有确切的定义,它们对应着因特网上常见的一些服务。这些常见的服务可以划分为使用TCP端口(面向连接如打电话)和使用UDP端口(无连接如写信)两种。
51Testing软件测试网�E4o/Y�~�x
n.@�{使用TCP端口常见的有:
51Testing软件测试网1i�I�L2a�d�rftp:定义了文件传输协议,使用21端口。常说某某主机开了 ftp服务便是文件传输服务。下载文件,上传主页,都要用到ftp服务。
-b�v�x7~3^�B�T�Y0telnet:你上BBS吗?以前的BBS是纯字符界面的,支持BBS的服务器将23端口打开,对外提供服务。其实Telnet的真正意思是远程登陆:用户可以以自己的身份远程连接到主机上。
51Testing软件测试网5y�j(}�o�i�E�D�T�Y�esmtp:定义了简单邮件传送协议。现在很多邮件服务器都用的是这个协议,用于发送邮件。服务器开放的是25端口。
51Testing软件测试网�m�~/F�Z'C�W$Mhttp:这可是大家用得最多的协议了——超文本传送协议。上网浏览网页就需要用到它,那么提供网页资源的主机就得打开其80端口以提供服务。我们常说“提供www服务”、“Web服务器”就是这个意思。
51Testing软件测试网5d�T�?�c�U"Z�N b�H0}1o�^pop3:和smtp对应,pop3用于接收邮件。通常情况下,pop3协议所用的是110端口。在263等免费邮箱中,几乎都有pop3收信功能。也就是说,只要你有相应的使用pop3协议的程序(例如Foxmail或Outlook),不需要从Web方式登陆进邮箱界面,即可以收信。
4Z&U�f:v�}4c�}0使用UDP端口常见的有:
51Testing软件测试网�J5p9H�v3a8x$W�xDNS:域名解析服务。因特网上的每一台计算机都有一个网络地址与之对应,这个地址就是我们常说的IP地址,它以纯数字的形式表示。然而这却不便记忆,于是出现了域名。访问主机的时候只需要知道域名,域名和IP地址之间的变换由DNS服务器来完成。DNS用的是53端口。
5G'} Z�H7t�J�E0snmp:简单网络管理协议,使用161端口,是用来管理网络设备的。由于网络设备很多,无连接的服务就体现出其优势。
)g�c�B/M.i�h�l0聊天软件Oicq:Oicq的程序既接受服务,又提供服务,这样两个聊天的人才是平等的。oicq用的是无连接的协议,其服务器使用8000端口,侦听是否有信息到来;客户端使用4000端口,向外发送信息。如果上述两个端口正在使用(有很多人同时和几个好友聊天),就顺序往上加。
51Testing软件测试网'_!q�v)n�a以上是计算机常用的一些端口,此外还有很多端口,由于我们这次实验没用到,所以就不一一介绍了。
0o�y)A�^
y5a�]+v0c
^01、端口的扫描
�a1N�K�?�m)Y
x0端口扫描的方法现在有N种,最常用,也是最简捷的方法就是在任务栏里点开始、运行框里输入cmd,出现一个DOS框,输入netatat –an,那么你电脑目前所有的端口状况就一览无余。
8a'O0n)m"M:U(i02、端口的关闭
51Testing软件测试网�]�y�x5u�v�H�{,i/m o 3389端口的关闭:
�W�p�I�m
q�o�o4U0首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。
�y2h�i!t&U1p0方法: 在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
51Testing软件测试网"]�C"C+Q%u1r�n
g 4899端口的关闭:
6P�d�D�w�U�`�r�A�@0首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。
51Testing软件测试网%t�]�V6`�f�l#c�w$\6p(W方法: 请在开始-->运行中输入cmd,然后cd C:\winnt\system32(你的系统安装目录),输入r_server.exe /stop后按回车。然后再输入r_server /uninstall /silence,到C:\winnt\system32(系统目录)下删除r_server.exe admdll.dll radbrv.dll三个文件
.`+N-I8a�e"[�{0 139端口的关闭
3B%M!i9F:o�P0139端口是NetBIOS Session端口,用来文件和打印共享
51Testing软件测试网�C [�k�@�\5}$_1E方法: 在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
51Testing软件测试网�C�x
S D&Q�h.e"[%b对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
51Testing软件测试网7]8R�|,T7]"}�h 113端口木马的清除
�v�C r'C*P0这是一个基于irc聊天室控制的木马程序。
;g�c�{�\&V�G�Y$H�g01.首先使用netstat -an命令确定自己的系统上是否开放了113端口。
�z;[0r�y�T�H*O�M){�J02.使用fport命令察看出是哪个程序在监听113端口。
;F e�Z�j
r.f�s0例如我们用fport看到如下结果:
�V:G-^
o�T/f�B�m�J�Y;w�S0Pid Process Port Proto Path\system32\vhos.exe
51Testing软件测试网-f�b*M�B�S8h&S�u-w�S我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:\winnt\system32下。
#f�f�g�l5Q03.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束该进程。
�D8_�i�{�e�K6g�T04.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。
51Testing软件测试网�B�@�d*H { |�W5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括
其他一些程序,如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序)
%@�Q�S�V�]'o�h9u
B�i06.重新启动机器。
'e"m�@9U8j0F�z�o
K0 限制端口的方法
�C�e�Y,c$o�z0对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
51Testing软件测试网�l�^2o m�M'~1、右键点击“网上邻居”,选择“属性”,然后双击“本地连接” ,弹出“本地连接状态”对话框。
51Testing软件测试网�j�S�`!M(u�R
|�d3h 2、点击[属性]按钮,弹出“本地连接属性”,选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”,然后点击[属性]按钮。
�}2[3J�c6`�L0 3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。在弹出的“高级TCP/IP设置”中,选择“选项”标签,选中“TCP/IP筛选”,然后点击[属性]按钮。
51Testing软件测试网,k7w.h)N
`�I�X�C�E 4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框,然后把左边“TCP端口”上的“只允许”选上
51Testing软件测试网7R:@!O�}�w;i1h�Q 这样,您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。
�K�U�{�j�E�e%]8P&S0添加或者删除完毕,重新启动机器以后,您的服务器就被保护起来了。
�Q�j3Z(P8j�u�A0最后提醒,如果您只上网浏览的话,可以不添加任何端口。但是要利用一些网络联络工具,比如OICQ的话,就要把“4000”这个端口打开,同理,如果发现某个常用的网络工具不能起作用的时候,请搞清它在您主机所开的端口,然后在“TCP/IP筛选”中添加端口即可。
