电脑系统安全之口防范.doc

一.端口含义： 　　端口分为源端口和目的端口，源端口是本机打开的，目的端口是正在和本机通信的另一台计算机的端口. 　　在Internet中，你访问一个网站时就是在本机开个端口去连网站服务器的一个端口，别人访问你时也是如此。也就是说计算机的通讯就像我们互相串门一样，从这个门走进哪个门。 　　二.端口的查看方法： 　　开始—-运行—-CMD—-输入 netstat -an 　　当你上网时就是本机和其它机器传递数据的过程，要传递数据必须要用到端口，即使是有些非常高明的木马利用正常的端口传送数据也不是了无痕迹的，数据在开始传输、正在传输和结束传输的不同阶段都有各自的状态 　　三.服务端口的状态变化： 　　1.LISTENING状态： 　　State显示是LISTENING时表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接. 　　2.ESTABLISHED状态： 　　ESTABLISHED的意思是建立连接。表示两台机器正在通信。 　　3.TIME_WAIT状态： 　　TIME_WAIT的意思是结束了这次连接 　　四.客户端口的状态变化： 　　1.SYN_SENT状态： 　　SYN_SENT状态表示请求连接，当你要访问其它的计算机的服务时首先要发个同步信号给该端口，此时状态为SYN_SENT. 　　2.ESTABLISHED状态： 　　正在连接通信中. 　　3.TIME_WAIT状态： 　　五.常用端口： 　　21 —-FTP服务? 上传下载 　　23—-终端仿真协议telnet? 命令? 远程登陆 　　25—-简单邮件发送协议 　　80 —-WEB服务器? 浏览网站 　　110—- POP3用于客户端访问服务器端的邮件服务 　　1433 —mssql服务? 数据库 　　3899 —-远程登录 　　4899 —–radmin远程控制软件 　　8000–灰鸽子默认端口 　　二.木马基础知识 　　木马—-远程控制你的电脑. 　　1.有服务端口木马： 　　常见的一些后门程序，这类木马都要开个服务端口的后门，这个端口可以是固定也可以变化的. 　　2.反弹型木马： 　　反弹型木马是从内向外的连接，它可以有效的穿透防火墙，而且即使你使用的是内网IP，他一样也能访问你的计算机.是目前最流行的远程控制软件. 　　目前流行的灰鸽子，上兴远程控制软件，都是反弹型木马. 　　三.简单安全知识 　　一.关闭危害性端口： 　　1.关闭137、138、139、445端口 　　下面说一下常见的漏洞的端口如何关闭： 　　1.关闭139端口：右击网上邻居–属性–右击本地连接–属性–internet协议/(TCP/IP)–属性–高级–WINS–禁用TCP/IP上的NETBIOS–确定。 　　2.右击-网上邻居-属性/本地连接-属性，在microsoft网络客户端前的小勾去掉。接着也把microsoft网络的文件和打印机共享的小勾也去掉。 　　3.关闭445端口：打开注册表编辑器，在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]下增加一个dword键项，命名为”SmbDeviceEnabled”(不包含引号)，将值设为0。 　　4.关闭3389端口：右击我的电脑，点属性–远程，把允许从这台计算机发送远程协助邀请前的勾去掉。 　　5.关闭135端口： 　　如何关闭135端口 　　Windows XP系统 　　运行dcomcnfg，展开“组件服务”→“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认属性”，取消“启用分布式COM”；然后切换到“默认协议”，删除“面向连接的TCP/IP”。 　　以上选项有对应的注册表键值，因此也可通过注册表来修改： 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM的值改为“N” 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCOM Protocols 中删除“ncacn_ip_tcp” 　　此外，还需要停用“Distributed Transaction Coordinator”服务。 　　重启之后， 135端口就没有了。 　　关闭不必须用的服务： 　　在控制面板中，找到管理工具，在其下面打开服务。将下列的项目开闭： 　　Server（先禁用，然后再停止掉。） 　　Telnet（先禁用，然后再停止掉。） 　　为了您的系统安全，最好将以上两个危险服务给关闭掉。 　　方法：右键我的电脑—属性– 硬件- 设备管理器- 查看- 显示隐藏的设备- 非即插即用驱动程序- Netbios over Tcpip。 　　禁用该设备重新启动后即可。