服务器安全与端口、IP策略服务器安全与端口、IP策略2011-02-27 0120一、端口port 1、可认为是计算机与外界信息交流的进/出口。硬件领域的如usb端口、串行端口等。软件领域的端口一般指网络中用来连接服务的通信协议端口是一种抽象的软件结构包括一些数据结构和i/o基本输入/输出缓冲区。网络技术中的端口通常是特指tcp/ip 协议中的端口是逻辑意义上的端口。2、在网络上各电脑间通过tcp/ip协议发送和接收数据包大多数电脑操作系统比如xp都支持多程序进程---比如上网看新闻、玩游戏、聊天、下载.同时进行。那么系统接收到的数据包传送给同时运行的程序中的哪一个呢为什么这么多程序可以同时进行呢3、因为电脑中的操作系统会给那些有需求的进程分配协议端口来提供不同的服务比如通常tcp/ip协议规定web网页采用80号端口ftp下载采用21号端口等而邮件服务器是采用25号端口等等。4、这样电脑在接收到数据包后将根据目的端口号把数据发送至相应端口进行处理通过不同端口计算机就可以与外界进行互不干扰的通信。5、不光接受数据包的进程需要开启它自己的端口发送数据包的进程也需要开启端口数据包中会标识有源端口以便接受方能顺利的回传相应的数据包到这个端口。二、端口的分类1、从端口的性质来分通常可以分为以下三类 1.公认端口也常称为常用端口。端口号从0到1024它们紧密绑定于一些特定的服务。通常是不可再重新定义它的作用对象。例如80端口总是http通信所使用等等 2.注册端口端口号从1025到49151。它们松散地绑定于一些服务。有许多服务绑定于这些端口多数没有明确的定义服务对象不同程序可根据实际需要自己定义如后面要介绍的远程控制软件和木马程序中都会有这些端口的定义的。3.动态和/或私有端口端口号从49152到65535。理论上不应把常用服务分配在这些端口上。但有些较为特殊的程序特别是一些木马程序就非常喜欢用这些端口因为这些端口常常不被引起注意容易隐蔽。4.本地端口源端口
你的电脑本地打开的可以对外界提供服务或与外界进行连接的端口。5.远程端口目的端口正在和本机通信的另一台计算机的端口所有可以与外界包括你的电脑进行连接的其他电脑或服务器的端口。2、tcp 协议端口和udp协议端口计算机之间相互通信一般采用这两种通信协议。由于tcp和udp两个协议是独立的因此各自的端口号也相互独立比如tcp有235端口udp也可以有235端口两者并不冲突。a、使用tcp协议端口的服务主要有以下几种1ftp定义了文件传输协议使用21端口。常说某某计算机开了ftp服务便是启动了文件传输服务。下载文件、上传主页都要用到ftp服务。2telnet一种用于远程登陆的端口用户可以用自己的身份远程连接到计算机上通过这种端口可以提供一种基于dos模式下的通信服务。3smtp简单邮件传送协议现在很多邮件服务器都用的是这个协议用于发送邮件。服务器开放的是25号端口。4pop3和smtp对应用于接收邮件。通常情况下用的是110端口。只要有相应的使用pop3协议的程序例如foxmail或outlook可以不以web方式登陆进邮箱界面直接用邮件程序就可以收到邮件如163邮箱就没有必要先进入网易了。
b、使用udp协议端口的服务主要有以下几种1http用得最多的协议它就是常说的超文本传输协议。上网浏览网页时就得在提供网页资源的计算机上打开80号端口以提供服务。常说的www服务、web服务器用的就是这个端口。2dns用于域名解析服务访问计算机的时候只需要知道域名域名和ip地址之间的变换由dns服务器来完成。dns用的是53号端口。3snmp简单网络管理协议161号端口用来管理网络设备的。由于网络设备很多无连接的服务就体现出其优势。4oicqoicq聊天程序用的是无连接的udp协议。oicq服务器是使用8000号端口侦听是否有信息到来客户端使用4000号端口
向外发送信息。3、代理服务器常用以下端口1、http协议代理服务器常用端口号80、8080、3128、8081、9080 2、socks代理协议服务器常用端口号1080 3、ftp协议代理服务器常用端口号21 4、telnet协议代理服务器常用端口23 三、端口在入侵中的作用1、打个比方如果把电脑主机比作房间那么可以把端口比作通向不同房间电脑主机的门入侵者要进入房间了解这所房子有几扇门、都是什么样的门、门后面有什么东西就显得至关重要。2、入侵者通常会用扫描器对目标电脑的端口进行扫描以确定哪些端口是开放的。从开放的端口可以知道目标电脑大致提供了哪些服务进而猜测到这个系统可能存在的漏洞来选择下一步的入侵方式。3、电脑端口数最大可以有65535个但是实际常用的端口才几十个由此可以看出未定义的端口相当多。h客程序都可以采用某种方法给木马定义出一个特殊的端口来达到入侵的目的。4、为了定义出这个端口就要依靠某种程序在计算机启动之前自动加载到内存强行控制计算机打开那个特殊的端口。这个程序就是后门程序这些后门程序就是常说的木马程序。5、简单的说这些木马程序在入侵前是先通过某种手段在一台个人计算机中植入一个程序打开某个特定的端口后门使这台电脑变成一台开放性极高用户拥有极高权限的ftp服务器肉鸡然后从后门就可以达到侵入的目的。6、举个例子如果你不小心运行了木马那么它就会告诉windows以后每次开电脑的时候都要运行它然后木马又在你的电脑上开了一扇门门的编号是7306端口只要你上网这个端口就开放。其他的h客只要通过扫描知道你的7306端口是开放的就可以用软件进到电脑中来。四、端口监听和端口扫描。1、端口侦听1、正常来说是指主机中负责网络通讯的进程在接受到ip数据包后察看数据包的目标端口是不是自己的端口号如果是的话就接受该数据包进行处理。进行网络通讯的主机既要发送数据也要接受数据所以就要开启相应的端口以接受数
据。主机有可能开启多个网络进程如浏览网页又上qq也就是监听了多个端口。2、利用某种程序对目标计算机的端口进行监视查看目标计算机上有哪能些端口是空闲、可以利用的。通过侦听还可以捕获别人或自己的有用的信息可以用侦听程序来保护自己的计算机在自己计算机的选定端口进行监视这样可以发现并拦截一些黑客的攻击。3、以太网ethernet协议的工作方式将要发送的数据包发往连接在一起的所有计算机。在包头中包括有应该接收数据包的计算机的正确地址因为只有与数据包中目标地址一致的那台计算机才能接收到信息包。但是当计算机工作在侦听模式下不管数据包中的目标物理地址是什么计算机都将可以接收到。4、网络接口不会识别ip地址的在网络接口中由ip协议层来的带有ip地址的数据包又增telnet ip 端口号
加了一部分以太网的帧头信息。在帧头中有两个域分别为只有网络接口才能识别的源计算机和目的计算机的物理地址这是一个48位的地址这个48位的地址是与ip地址相对应的。换句话说一个ip地址也会对应一个物理地址。5、端口侦听属于一种被动的过程等待别人的连接的出现通过对方的连接才能侦听到需要的信息。在防护应用中如果通过软件设置了当侦听到有异常连接立即向用户报告这个功能时就可以有效的监听h客的连接企图及时把驻留在本机上的木马程序清除掉。这个侦听程序一般是安装在目标计算机上。h客用的端口侦听通常是指木马驻留在服务器肉鸡端等待肉鸡在进行正常活动时捕获黑客需要的信息然后通过udp协议无连接方式发送给h客。
2、端口扫描1、通过连接到目标系统的tcp协议或udp协议端口来确定什么服务正在运行然后获取相应的用户信息。2、端口扫描则是一种主动过程它是主动对目标计算机的选定端口进行扫描实时地发现所选
定端口的所有活动特别是对一些网上活
动。扫描程序一般是安装在客户端但是它与服务器端的连接也主要是通过无连接方式的udp协议连接进行。3、在网络中当信息进行传播的时候可以利用工具将网络接口设置在侦听的模式便可将网络中正在传播的信息截获或者捕获到从而进行攻击。端口侦听在网络中的任何一个位置模式下都可实施进行而h客一般都是利用端口侦听来截取用户口令。现在的这类软件干脆把两个功能都集成在一块。4、用同一信息对目标计算机的所有需要扫描的端口进行发送然后根据返回的端口状态来分析目标计算机的某些端口是否打开、是否可用。端口扫描行为的一个重要特征是在短时期内有很多来自相同的源地址传向不同的目的地端口的数据包。5、隐藏源地址的方法是发送大量的欺骗性的端口扫描包1000个其中只有一个是从真正的源地址来的。这样即使全部包1000都被察觉被记录下来也没有人知道哪个是真正的信源地址。能发现的仅仅是曾经被扫描过。所以h客们才乐此不彼的大量使用这种端口扫描技术来达到他们获取目标计算机信息、并进行恶意攻击。3、端口扫描器用来扫描监听端口的软件。1、识别目标系统上正在运行的tcp协议和udp协议服务。2、识别目标系统的操作系统类型。3、识别某个应用程序或某个特定服务的版本号。4、发现一个计算机或网络的能力5、一旦发现一台计算机就有发现目标计算机正在运行什么服务的能力6、通过测试目标计算机上的这些服务发现存在的漏洞的能力。五、保护好自己的端口1、查看经常用命令或软件查看电脑所开放的端口看是否有可疑端口。
2、判断如果开放端口中有你不熟悉的应该马上查端口大全或木马常见端口等资料看看里面对你那个
可疑端口的作用描述或者通过软件查看开启此端口的进程来进行判断。
3、关闭如果真是木马端口或者资料中没有这个端口的描述那么应该关闭此端口你可以用防火墙来屏蔽此端口也可以用本地连接→tcp/ip→高级→选项→tcp/ip 筛选→启用筛选机制来筛选端口。
4、注意判断时候要慎重因为一些动态分配的端口也容易引起你多余的怀疑这类端口一般比较低且连续。还有一些狡猾的木马软件会借用80常规上网端口等一些常见端口来进行通信这表明该木马已经穿透了防火墙的防护令人防不胜防因此不轻易运行陌生程序才是关键。六、查看端口的相关命令和工具1、开始→运行→输入cmd→打开命令行窗口→输入netstat-an注意空格。active connections当前本机活动连接proto local address foreign address state 协议名
称本地ip和端口号对方ip和端口号tcp连接状态udp无显示tcp 0.0.0.0135 0.0.0.00 listening tcp 0.0.0.0445 0.0.0.00 listening tcp 0.0.0.01025 0.0.0.00 listening tcp
0.0.0.01026 0.0.0.00 listening tcp 0.0.0.01028 0.0.0.00 listening tcp 0.0.0.03372 0.0.0.00 listening udp 0.0.0.0135 udp 0.0.0.0445 udp 0.0.0.01027 udp 127.0.0.11029 udp
127.0.0.11030 2、这是没上网的时候机器所开的端口两个135和445是固定端口其余几个都是动态端口。3、服务端口的状态变化1、listening状态处于监听状态就是说该端口是开放的等待连接但还没有被
连接。2、established状态建立连接。表示两台机器正在通信。3、time_wait状态结束了这次连接。4、客户端口的状态变化1、syn_sent 状态请求连接当你要访问其它的计算机的服务时首先要发个同步信号给该端口2、established状态正在连接通信中. 5、查看端口的软件、、、superscan3.0、fport2.0都是专门查看端口的很多防火墙也都可以查看。
6、这些方法可以轻松的发现基于tcp/udp协议的木马但是如果碰上反弹木马、利用驱动程序及动态链接库技术制作的新木马时以上这些方法就很难查出木马的端口使用痕迹因为它们可以隐藏自己使用的端口。七、通过ip安全策略关闭端口第一步开
始菜单→设置→控制面板→管理工具→本地安全策略→ip安全策略在本地计算机→在右边窗格的空白位置→右击鼠标→弹出快捷菜单→创建ip安全策略→弹出创建向导→下一步→为新的安全策略命名→下一步→安全通信请求→激活默认相应规则→左边的钩去掉→完成→创建了一个新的ip安全策略。第二步右键单击该ip安全策略→属性对话框→使用添加向导→左边的钩去掉→添加→添加新的规则→新规则属性对话框→添加→弹出ip筛选器列表窗口→使用添加向导→左边的钩去掉→添加→添加新的筛选器。第三步筛选器属性对话框→寻址→源地址→任何ip地址→目标地址选→我的ip地址→协议选项卡→选择协议类型的下拉列表中→选择tcp→到此端口下的文本框中→输入135→确定→这样就添加了一个屏蔽tcp/135端口的筛选器可以防止外界通过135端口连上你的电脑→确定→回到筛选器列表的对话框→可以看到已经添加了一条策略重复以上步骤继续添加tcp 137、139、445、593端口和udp 135、139、445端口为它
们建立相应的筛选器。重复以上步骤添加tcp 1025、2745、3127、6129、3389端口的屏蔽策略→建好上述端口的筛选器→确定第四步新规则属性对话框中→新ip筛选器列表→点击其左边的圆圈→上加一个点表示已经激活→筛选器操作选项卡→使用添加向导→左边的钩去掉→添加→阻止→新筛选器操作属性→安全措施选项卡→阻止→确定第五步进新规则属性对话框→新筛选器操作→其左边的圆圈会加了一个点表示已经激活→关闭→关闭对话框→回到新ip安全策略属性对话框→新的ip筛选器列表→左边打钩→确定→关闭对话框→本地安全策略窗口→鼠标右击新添加的ip安全策略→指派。重新启动后电脑中上述网络端口就被关闭了病毒和h客再也不能连上这些端口从而保护了你的电脑。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论