由于现在家用电脑所使用的操作系统多数为WinXP,所以后面将主要讲一下基于这个操作系统的安全防范。
个人电脑常见的被入侵方式
谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
(1)被他人xx密码;
(2)系统被木马攻击;
(3)浏览网页时被恶意的javascrpit程序攻击;
(4)QQ被攻击或泄漏信息;
(5)病毒感染;
(6)系统存在漏洞使他人攻击自己。
(7)黑客的恶意攻击。
下面我们就来看看通过什么样的手段来更有效的防范攻击。
本文主要防范方法
避免被恶意代码木马等病毒攻击
1.察看本地共享资源
运行CMD输入netshare,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
2.删除共享(每次输入一个)
netshareadmin$/delete
netsharec$/delete
netshared$/delete(如果有e,f,……可以继续删除)
3.删除ipc$空连接
在运行内输入regedit,在注册表中找到HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA项里数值名称RestrictAnonymous的数值数据由0改为1。
4.关闭自己的139端口,ipc和RPC漏洞存在于此。
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
5.防止rpc漏洞
打开管理工具——服务——找到RPC(RemoteProcedureCall(RPC)Locator)服务——将故障恢复中的{dy}次失败,第二次失败,后续失败,都设置为不操作。
XPSP2和2000prosp4,均不存在该漏洞。
6.445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters在右面的窗口建立一个SMBDeviceEnabled为REG_DWORD类型键值为0这样就ok了
7.3389的关闭
XP:我的电脑上点右键选属性–>远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
Win2000server开始–>程序–>管理工具–>服务里找到TerminalServices服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
使用2000pro的朋友注意,网络上有很多文章说在Win2000pro开始–>设置–>控制面板–>管理工具–>服务里找到TerminalServices服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro中根本不存在TerminalServices。
8.4899的防范
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
9、禁用服务
打开控制面板,进入管理工具——服务,关闭以下服务
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.DistributedFileSystem[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
4.DistributedLinkTrackingServer[适用局域网分布式链接?倏突Ф朔馷
5.HumanInterfaceDeviceAccess[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPICD-BurningCOMService[管理CD录制]
7.IndexingService[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.KerberosKeyDistributionCenter[授权协议登录网络]
9.LicenseLogging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeetingRemoteDesktopSharing[netmeeting公司留下的客户信息收集]
12.NetworkDDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.NetworkDDEDSDM[管理动态数据交换(DDE)网络共享]
14.PrintSpooler[打印机服务,没有打印机就禁止吧]
15.RemoteDesktopHelpSessionManager[管理并控制远程协助]
16.RemoteRegistry[使远程计算机用户修改本地注册表]
17.RoutingandRemoteAccess[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.SpecialAdministrationConsoleHelper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOSHelper[提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.TerminalServices[允许用户以交互方式连接到远程计算机]
23.WindowsImageAcquisition(WIA)[照相服务,应用与数码摄象机]
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这xx有可能是黑客使用控制程序的服务端
10、账号密码的安全原则
首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,{zh0}改成中文的),而且要设置一个密码,{zh0}是8位以上字母数字符号组合。(让那些该死的黑客慢慢猜去吧~)
如果你使用的是其他帐号,{zh0}不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,{zh0}在安全模式下设置,因为经我研究发现,在系统中拥有{zg}权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到{zd0}这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
打开管理工具.本地安全设置.密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史记住0个密码
6.用可还原的加密来存储密码禁用
11、本地策略
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
(虽然一般黑客都会在走时会xx他在你电脑中留下的痕迹,不过也有一些不小心的)
打开管理工具
找到本地安全设置.本地策略.审核策略
1.审核策略更改成功失败
2.审核登陆事件成功失败
3.审核对象访问失败
4.审核跟踪过程无审核
5.审核目录服务访问失败
6.审核特权使用失败
7.审核系统事件成功失败
8.审核帐户登陆时间成功失败
9.审核帐户管理成功失败
然后再到管理工具找到
事件查看器
应用程序:右键>属性>设置日志大小上限,我设置了50mb,选择不覆盖事件
安全性:右键>属性>设置日志大小上限,我也是设置了50mb,选择不覆盖事件
系统:右键>属性>设置日志大小上限,我都是设置了50mb,选择不覆盖事件
12、本地安全策略
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆.不需要按Ctrl+Alt+Del启用[根据个人需要,?但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举启用
3.网络访问.可匿名的共享将后面的值删除
4.网络访问.可匿名的命名管道将后面的值删除
5.网络访问.可远程访问的注册表路径将后面的值删除
6.网络访问.可远程访问的注册表的子路径将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.(前面已经详细讲过拉)
13、用户权限分配策略
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5.通过远端强制关机。删掉
附:那我们现在就来看看Windows2000的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了Everyone组xx控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documentsandsettings、Programfiles和Winnt。对于Documentsandsettings,默认的权限是这样分配的:Administrators拥有xx控制权;Everyone拥有读&运,列和读权限;Powerusers拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。对于Programfiles,Administrators拥有xx控制权;Creatorowner拥有特殊权限;Powerusers有xx控制权;SYSTEM同Administrators;Terminalserverusers拥有xx控制权,Users有读&运,列和读权限。对于Winnt,Administrators拥有xx控制权;Creatorowner拥有特殊权限;Powerusers有xx控制权;SYSTEM同Administrators;Users有读&运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组xx控制权!
14、终端服务配置
打开管理工具
终端服务配置
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
2.常规,加密级别,高,在使用标准Windows验证上点√!
3.网卡,将最多连接数上设置为0
4.高级,将里面的权限也删除.[我没设置]
再点服务器设置,在ActiveDesktop上,设置禁用,且限制每个使用一个会话
15、用户和组策略
打开管理工具
计算机管理.本地用户和组.用户;
删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限
计算机管理.本地用户和组.组
组.我们就不分组了,每必要把
16、自己动手DIY在本地策略的安全选项
1)当登陆时间用完时自动注销用户(本地)防止黑客密码渗透.
2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3)对匿名连接的额外限制
4)禁止按alt+crtl+del(没必要)
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6)只有本地登陆用户才能访问cd-rom
7)只有本地登陆用户才能访问软驱
8)取消关机原因的提示
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
D4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9)禁止关机事件跟踪
开始“Start->”运行“Run->输入”gpedit.msc“,在出现的窗口的左边部分,选择”计算机配置“(ComputerConfiguration)->”管理模板“(AdministrativeTemplates)->”系统“(System),在右边窗口双击“ShutdownEventTracker”在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows2000的关机窗口
17、常见端口的介绍
TCP
21FTP
22SSH
23TELNET
25TCPSMTP
53TCPDNS
80HTTP
135epmap
138[冲击波]
139smb
445
1025DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026DCE/12345778-1234-abcd-ef00-0123456789ac
1433TCPSQLSERVER
5631TCPPCANYWHERE
5632UDPPCANYWHERE
3389TerminalServices
4444[冲击波]
UDP
67[冲击波]
137netbios-ns
161AnSNMPAgentisrunning/DefaultcommunitynamesoftheSNMPAgent
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运行本机使用4000这几个端口就行了
附:1端口基础知识大全({jd1}好帖,加精吧!)
端口分为3大类
1)公认端口(WellKnownPorts):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是h++p通讯。
2)注册端口(RegisteredPorts):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
3)动态和/或私有端口(Dynamicand/orPrivatePorts):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。
本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。
记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣,请参看本文的其它部分。
0通常用于分析*作系统。这一方*能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
1tcpmux这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp,guest,uucp,nuucp,demos,tutor,diag,EZsetup,OutOfBox,
和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。
7Echo你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。(参见Chargen)另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做ResonateGlobalDispatch”,它与DNS的这一端口连接以确定最近的路由。Harvest/squidcache将从3130端口发送UDPecho:“如果将cache的source_pingon选项打开,它将对原始主机的UDPecho端口回应一个HITreply。”这将会产生许多这类数据包。
11sysstat这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍:ICMP没有端口,ICMPport11通常是ICMPtype=1119chargen这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连
接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击伪造两个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggleDoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
21ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方*。这些服务器带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez(私有程序)和pr0n(故意拼错词而避免被搜索引擎分类)的节点。
22sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632(十六进制的0×1600)位交换后是0×0016(使进制的22)。
23Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的*作系统。此外使用其它技术,入侵者会找到密码。
#2
25smtp攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方*之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。
53DNSHacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方*穿透防火墙。
67和68Bootp和DHCPUDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。69TFTP(UDP)许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件
79fingerHacker用于获得用户信息,查询*作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。
98linuxconf这个程序提供linuxboxen的简单管理。通过整合的h++p服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器,许多典型的h++p漏洞可
能存在(缓冲区溢出,历遍目录等)109POP2并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。
110POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。
111sunrpcportmaprpcbindSunRPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有:pc.mountd,NFS,rpc.statd,rpc.csmd,rpc.ttybd,amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。记住一定要记录线路中的
daemon,IDS,或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。
113Identauth.这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP,POP,IMAP,SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T,着将回停止这一缓慢的连接。
119NNTPnews新闻组传输协议,承载USENET通讯。当你链接到诸如:news:p.security.firewalls/.的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。
135oc-servMSRPCend-pointmapperMicrosoft在这个端口运行DCERPCend-pointmapper为它的DCOM服务。这与UNIX111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-pointmapper注册它们的位置。远
端客户连接到机器时,它们查询end-pointmapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行ExchangeServer吗?是什么版本?这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。
137NetBIOSnameservicenbtstat(UDP)这是防火墙管理员最常见的信息,请仔细阅读文章后面的NetBIOS一节139NetBIOSFileandPrintSharing
通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些VBS(IE5VisualBasicScripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。
143IMAP和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。Morris蠕虫以后这还是{dy}次广泛传播的蠕虫。这一端口还被用于IMAP2,但并不流行。已有一些报道发现有些0到143端口的攻击源于脚本。
161SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HPJetDirectrmotemanagement软件使用SNMP。HPOBJECTIDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cablemodem,DSL)查询sysName和其它信
息。
162SNMPtrap可能是由于错误配置
177xdmcp许多Hacker通过它访问X-Windows控制台,它同时需要打开6000端口。
513rwho可能是从使用cablemodem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息
553CORBAIIOP(UDP)如果你使用cablemodem或DSLVLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remoteprocedurecall)系统。Hacker会利用这些信息进入系统。600Pcserverbackdoor请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经xx攻破了系统–AlanJ.Rosenthal.
635mountdLinux的mountdBug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049
1024许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求*作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着{dy}个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat-a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。*作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。?ersion0.4.1,June20,2000h++p://www.robertgraham.com/pubs/firewall-seen.htmlCopyright1998-2000byRobertGraham
(mailto:firewall-seen1@robertgraham.com.
Allrightsreserved.Thisdocumentmayonlybereproduced(wholeorinpart)fornon-commercialpurposes.Allreproductionsmust
containthiscopyrightnoticeandmustnotbealtered,exceptby
permissionoftheauthor.
#3
1025参见1024
1026参见1024
1080SOCKS这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只
允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻
击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。
WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
1114SQL系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
1243Sub-7木马(TCP)参见Subseven部分。
1524ingreslock后门许多攻击脚本将安装一个后门Sh*ll于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd,ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Sh*ll。连接到600/pcserver也存在这个问题。
2049NFSNFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。
3128squid这是Squidh++p代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:
000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。
5632pcAnywere你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。
6776Sub-7artifact这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)
6970RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223PowWowPowWow是TribalVoice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。
17027Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent”adbot”的共享软件。
Conducent”adbot”是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
机器会不断试图解析DNS名─ads.conducent.com,即IP地址216.33.210.40;
216.33.199.77;216.33.199.80;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象)
27374Sub-7木马(TCP)参见Subseven部分。
30100NetSphere木马(TCP)通常这一端口的扫描是为了寻找中了NetSphere木马。
31337BackOrifice“eliteHacker中31337读做“elite”/ei’li:t/(译者:*语,译为中坚力量,精华。即3=E,1=L,7=T)。因此许多后门程序运行于这一端口。其中最有名的是BackOrifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的木马程序越来越流行。
31789Hack-a-tack这一端口的UDP通讯通常是由于”Hack-a-tack”远程访问木马(RAT,RemoteAccessTrojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接)
32770~32900RPC服务SunSolaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。
33434~33600traceroute如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute分。
41508Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见
h++p://www.circlemud.org/~jelson/software/udpsend.html
h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。ServerClient服务描述
1-5/tcp动态FTP1-5端口意味着sscan脚本
20/tcp动态FTPFTP服务器传送文件的端口
53动态FTPDNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
123动态S/NTP简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。
27910~27961/udp动态QuakeQuake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
61000以上动态FTP61000以上的端口可能来自LinuxNAT服务器
#4
端口大全(中文翻译)
1tcpmuxTCPPortServiceMultiplexer传输控制协议端口服务多路开关选择器
2compressnetManagementUtilitycompressnet管理实用程序
3compressnetCompressionProcess压缩进程
5rjeRemoteJobEntry远程作业登录
7echoEcho回显
9discardDiscard丢弃
11systatActiveUsers在线用户
13daytimeDaytime时间
17qotdQuoteoftheDay每日引用
18mspMessageSendProtocol消息发送协议
19chargenCharacterGenerator字符发生器
20ftp-dataFileTransfer[DefaultData]文件传输协议(默认数据口)
21ftpFileTransfer[Control]文件传输协议(控制)
22sshSSHRemoteLoginProtocolSSH远程登录协议
23telnetTelnet终端仿真协议
24?anyprivatemailsystem预留给个人用邮件系统
25smtpSimpleMailTransfer简单邮件发送协议
27nsw-feNSWUserSystemFENSW用户系统现场工程师
29msg-icpMSGICPMSGICP
31msg-authMSGAuthenticationMSG验证
33dspDisplaySupportProtocol显示支持协议
35?anyprivateprinterserver预留给个人打印机服务
37timeTime时间
38rapRouteAccessProtocol路由访问协议
39rlpResourceLocationProtocol资源定位协议
41graphicsGraphics图形
42nameserverWINSHostNameServerWINS主机名服务
43nicnameWhoIs”绰号”whois服务
44mpm-flagsMPMFLAGSProtocolMPM(消息处理模块)标志协议
45mpmMessageProcessingModule[recv]消息处理模块
46mpm-sndMPM[defaultsend]消息处理模块(默认发送口)
47ni-ftpNIFTPNIFTP
48auditdDigitalAuditDaemon数码音频后台服务
49tacacsLoginHostProtocol(TACACS)TACACS登录主机协议
50re-mail-ckRemoteMailCheckingProtocol远程邮件检查协议
51la-maintIMPLogicalAddressMaintenanceIMP(接口信息处理机)逻辑地址维护
52xns-timeXNSTimeProtocol施乐网络服务系统时间协议
53domainDomainNameServer域名服务器
54xns-chXNSClearinghouse施乐网络服务系统票据交换
55isi-glISIGraphicsLanguageISI图形语言
56xns-authXNSAuthentication施乐网络服务系统验证
57?anyprivateterminalaccess预留个人用终端访问
58xns-mailXNSMail施乐网络服务系统邮件
59?anyprivatefileservice预留个人文件服务
60?Unassigned未定义
61ni-mailNIMAILNI邮件?
62acasACAServices异步通讯适配器服务
63whois+whois+WHOIS+
64coviaCommunicationsIntegrator(CI)通讯接口
65tacacs-dsTACACS-DatabaseServiceTACACS数据库服务
66sql*netOracleSQL*NETOracleSQL*NET
67bootpsBootstrapProtocolServer引导程序协议服务端
68bootpcBootstrapProtocolClient引导程序协议客户端
69tftpTrivialFileTransfer小型文件传输协议
70gopherGopher信息检索协议
71netrjs-1RemoteJobService远程作业服务
72netrjs-2RemoteJobService远程作业服务
73netrjs-3RemoteJobService远程作业服务
74netrjs-4RemoteJobService远程作业服务
75?anyprivatedialoutservice预留给个人拨出服务
76deosDistributedExternalObjectStore分布式外部对象存储
77?anyprivateRJEservice预留给个人远程作业输入服务
78vettcpvettcp修正TCP?
79fingerFingerFINGER(查询远程主机在线用户等信息)
80httpWorldWideWebHTTP全球信息网超文本传输协议
81hosts2-nsHOSTS2NameServerHOST2名称服务
82xferXFERUtility传输实用程序
83mit-ml-devMITMLDevice模块化智能终端ML设备
84ctfCommonTraceFacility公用追踪设备
85mit-ml-devMITMLDevice模块化智能终端ML设备
86mfcobolMicroFocusCobolMicroFocusCobol编程语言
87?anyprivateterminallink预留给个人终端连接
88kerberosKerberosKerberros安全认证系统
89su-mit-tgSU/MITTelnetGatewaySU/MIT终端仿真网关
90dnsixDNSIXSecuritAttributeTokenMapDNSIX安全属性标记图
91mit-dovMITDoverSpoolerMITDover假脱机
92nppNetworkPrintingProtocol网络打印协议
93dcpDeviceControlProtocol设备控制协议
94objcallTivoliObjectDispatcherTivoli对象调度
95supdupSUPDUP
96dixieDIXIEProtocolSpecificationDIXIE协议规范
97swift-rvfSwiftRemoteVirturalFileProtocol快速远程虚拟文件协议
98tacnewsTACNewsTAC(东京大学自动计算机)新闻协议
99metagramMetagramRelay
100newacct[unauthorizeduse]
18、另外介绍一下如何查看本机打开的端口和tcpip端口的过滤
开始--运行--cmd
输入命令netstat-a
会看到例如(这是我的机器开放的端口)
ProtoLocalAddressForeignAddressState
TCPyf001:epmapyf001:0LISTE
TCPyf001:1025(端口号)yf001:0LISTE
TCP(用户名)yf001:1035yf001:0LISTE
TCPyf001:netbios-ssnyf001:0LISTE
UDPyf001:1129*:*
UDPyf001:1183*:*
UDPyf001:1396*:*
UDPyf001:1464*:*
UDPyf001:1466*:*
UDPyf001:4000*:*
UDPyf001:4002*:*
UDPyf001:6000*:*
UDPyf001:6001*:*
UDPyf001:6002*:*
UDPyf001:6003*:*
UDPyf001:6004*:*
UDPyf001:6005*:*
UDPyf001:6006*:*
UDPyf001:6007*:*
UDPyf001:1030*:*
UDPyf001:1048*:*
UDPyf001:1144*:*
UDPyf001:1226*:*
UDPyf001:1390*:*
UDPyf001:netbios-ns*:*
UDPyf001:netbios-dgm*:*
UDPyf001:isakmp*:*
现在讲讲基于Windows的tcp/ip的过滤
控制面板——网络和拨号连接——本地连接——INTERNET协议(tcp/ip)–属性--高级---选项-tcp/ip筛选--属性!!
然后添加需要的tcp和UDP端口就可以了~如果对端口不是很了解的话,不要轻易进行过滤,不然可能会导致一些程序无法使用。
19、改变我的文档等重要目录路径
(1)、移动“我的文档”
进入资源管理器,右击“我的文档”,选择“属性”,在“目标文件夹”选项卡中点“移动”按钮,选择目标盘后按“确定”即可。在Windows2003中“我的文档”已难觅芳踪,桌面、开始等处都看不到了,建议经常使用的朋友做个快捷方式放到桌面上。
(2)、移动IE临时文件
进入“开始→控制面板→Internet选项”,在“常规”选项“Internet文件”栏中点“设置”按钮,在弹出窗体中点“移动文件夹”按钮,选择目标文件夹后,点“确定”,在弹出对话框中选择“是”,系统会自动重新登录。点本地连接>高级>安全日志,把日志的目录更改专门分配日志的目录,不建议是C:再重新分配日志存储值的大小,我是设置了10000KB。
20、避免被恶意代码木马等病毒攻击
以上主要讲怎样防止黑客的恶意攻击,下面讲避免机器被恶意代码,木马之类的病毒攻击。
其实方法很简单,恶意代码的类型及其对付方法:
1.禁止使用电脑危害程度:★★★★感染概率:**
现象描述:尽管网络流氓们用这一招的不多,但是一旦你中招了,后果真是不堪设想!浏览了含有这种恶意代码的网页其后果是:”关闭系统”、”运行”、”注销”、注册表编辑器、DOS程序、运行任何程序被禁止,系统无法进入”实模式”、驱动器被隐藏。
解决办法:一般来说上述八大现象你都遇上了的话,基本上系统就给”废”了,建议重装。
2.格式化硬盘危害程度:★★★★★感染概率:*
现象描述:这类恶意代码的特征就是利用IE执行ActiveX的功能,让你无意中格式化自己的硬盘。只要你浏览了含有它的网页,浏览器就会弹出一个警告说”当前的页面含有不安全的ActiveX,可能会对你造成危害”,问你是否执行。如果你选择”是”的话,硬盘就会被快速格式化,因为格式化时窗口是最小化的,你可能根本就没注意,等发现时已悔之晚矣。
解决办法:除非你知道自己是在做什么,否则不要随便回答”是”。该提示信息还可以被修改,如改成”Windows正在删除本机的临时文件,是否继续”,所以千万要注意!此外,将计算机上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一个办法。
3.下载运行木马程序危害程度:★★★感染概率:***
现象描述:在网页上浏览也会中木马?当然,由于IE5.0本身的漏洞,使这样的新式入侵手法成为可能,方法就是利用了微软的可以嵌入exe文件的eml文件的漏洞,将木马放在eml文件里,然后用一段恶意代码指向它。上网者浏览到该恶意网页,就会在不知不觉中下载了木马并执行,其间居然没有任何提示和警告!
解决办法:{dy}个办法是升级您的IE5.0,IE5.0以上版本没这毛病;此外,安装金山毒霸、Norton等病毒防火墙,它会把网页木马当作病毒迅速查截杀。
4.注册表的锁定危害程度:★★感染概率:***
现象描述:有时浏览了恶意网页后系统被修改,想要用Regedit更改时,却发现系统提示你没有权限运行该程序,然后让你联系管理员。晕了!动了我的东西还不让改,这是哪门子的道理!
解决办法:能够修改注册表的又不止Regedit一个,找一个注册表编辑器,例如:Reghance。将注册表中的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值”DisableRegistryTools”键值恢复为”0″,即可恢复注册表。
5.默认主页修改危害程度:★★★感染概率:*****
现象描述:一些网站为了提高自己的访问量和做广告宣传,利用IE的漏洞,将访问者的IE不由分说地进行修改。一般改掉你的起始页和默认主页,为了不让你改回去,甚至将IE选项中的默认主页按钮变为失效的灰色。不愧是网络流氓的一惯做风。
解决办法:1.起始页的修改。展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main,在右半部分窗口中将”StartPage”的键值改为”about:blank”即可。同理,展开注册表到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main,在右半部分窗口中将”StartPage”的键值改为”about:blank”即可。注意:有时进行了以上步骤后仍然没有生效,估计是有程序加载到了启动项的缘故,就算修改了,下次启动时也会自动运行程序,将上述设置改回来,解决方法如下:运行注册表编辑器Regedit.exe,然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键,然后将下面的”registry.exe”子键(名字不固定)删除,{zh1}删除硬盘里的同名可执行程序。退出注册编辑器,重新启动计算机,问题就解决了。
2.默认主页的修改。运行注册表编辑器,展开HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\,将Default-Page-URL子键的键值中的那些恶意网站的网址改正,或者设置为IE的默认值。3.IE选项按钮失效。运行注册表编辑器,将HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel中的DWORD值”Settings”=dword:1、”Links”=dword:1、”SecAddSites”=dword:1全部改为”0″,将HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\InternetExplorer\ControlPanel下的DWORD值”homepage”的键值改为”0″。
6.篡改IE标题栏危害程度:★感染概率:*****
现象描述:在系统默认状态下,由应用程序本身来提供标题栏的信息。但是,有些网络流氓为了达到广告宣传的目的,将串值”WindowsTitle”下的键值改为其网站名或更多的广告信息,从而达到改变IE标题栏的目的。非要别人看他的东西,而且是通过非法的修改手段,除了”无耻”两个字,再没有其它形容词了。
解决办法:展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\下,在右半部分窗口找到串值”WindowsTitle”,将该串值删除。重新启动计算机。
7.篡改默认搜索引擎危害程度:★★★感染概率:*
现象描述:在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到网络注氓想要你去的网站。
解决办法:运行注册表编辑器,依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\SearchAssistant,将CustomizeSearch及SearchAssistant的键值改为某个搜索引擎的网址即可
8.IE右键修改危害程度:★★感染概率:***
现象描述:有的网络流氓为了宣传的目的,将你的右键弹出的功能菜单进行了修改,并且加入了一些乱七八糟的东西,甚至为了禁止你下载,将IE窗口中单击右键的功能都屏蔽掉。
解决办法:1.右键菜单被修改。打开注册表编辑器,找到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\MenuExt,删除相关的广告条文。2.右键功能失效。打开注册表编辑器,展开到HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions,将其DWORD值”NoBrowserContextMenu”的值改为0。
9.篡改地址栏文字危害程度:★★感染概率:***
现象描述:中招者的IE地址栏下方出现一些莫名其妙的文字和图标,地址栏里的下拉框里也有大量的地址,并不是你以前访问过的。
解决办法:1.地址栏下的文字。在HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\ToolBar下找到键值LinksFolderName,将其中的内容删去即可。2.地址栏中无用的地址。在HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\TypeURLs中删除无用的键值即可。
同时我们需要在系统中安装杀毒软件
如卡巴基斯,瑞星,McAfee等
还有防止木马的木马克星(可选)
并且能够及时更新你的病毒定义库,定期给你的系统进行全面杀毒。杀毒务必在安全模式下进行,这样才能有效xx电脑内的病毒以及驻留在系统的非法文件。
还有就是一定要给自己的系统及时的打上补丁,安装{zx1}的升级包。微软的补丁一般会在漏洞发现半个月后发布,而且如果你使用的是中文版的操作系统,那么至少要等一个月的时间才能下到补丁,也就是说这一个月的时间内你的系统因为这个漏洞是很危险的。
强烈建议个人用户安装使用防火墙
例如:天网个人防火墙、诺顿防火墙、ZoneAlarm等等。
因为防火墙具有数据过滤功能,可以有效的过滤掉恶意代码,和阻止DDOS攻击等等。总之如今的防火墙功能强大,连漏洞扫描都有,所以你只要安装防火墙就可以杜绝大多数网络攻击,但是就算是装防火墙也不要以为就万事无忧。因为安全只是相对的,如果哪个邪派高手看上你的机器,防火墙也无济于事。我们只能尽量提高我们的安全系数,尽量把损失减少到最小。如果还不放心也可以安装密罐和IDS入侵检测系统。而对于防火墙我个人认为关键是IP策略的正确使用,否则可能会势的起反。
安全意识也很重要,我们平时上网的时候都应该有一个好的安全意识。加上我们的不懈努力,相信我们的网络生活会更美好。
相关日志
