weilinhome

在今天网上资讯繁多的日子。我们都听说过木马，病毒的例子。甚至经历过它们带给我们的“礼物”。很多人都安装这样那样的防御性软件来防止木马和病毒，但是还是中拉。我觉得上述的行为属于被动者。其实要防治病毒和木马的工作中。我们可以采取一些必要的手段来防止木马和病毒的入侵。其中我们就可以采用关闭电脑的网络端口的方法来防止木马病毒入侵。一般木马的传播途径中通过网络端口传播是一个很普遍的例子。要是我们能关闭一些不经常使用并且最常为木马病毒所利用的端口可以有效防御木马病毒的入侵。方便大家了解端口网上找到端口的一些详细介绍希望适合大家参考使用。
端口：本地操作系统会给那些有需求的进程分配协议端口（protocal port，即我们常说的端口）
端口的分类  
　　在Internet上，按照协议类型分类，端口被分为TCP端口和UDP端口两类，虽然他们都用正整数标识，但这并不会引起歧义，比如TCP的80端口和UDP的80端口，因为数据报在标明端口的同时，还将标明端口的类型。
　　从端口的分配来看，端口被分为固定端口和动态端口两大类（一些教程还将极少被用到的高端口划分为第三类：私有端口）：
　　固定端口（0－1023）：
　　使用集中式管理机制，即服从一个管理机构对端口的指派，这个机构负责发布这些指派。由于这些端口紧绑于一些服务，所以我们会经常扫描这些端口来判断对方是否开启了这些服务，如TCP的21（ftp），80（http），139（netbios），UDP的7（echo），69（tftp）等等一些大家熟知的端口；
　　动态端口（1024－49151）：
　　这些端口并不被固定的捆绑于某一服务，操作系统将这些端口动态的分配给各个进程，同一进程两次分配有可能分配到不同的端口。不过一些应用程序并不愿意使用操作系统分配的动态端口，他们有其自己的‘商标性’端口，如oicq客户端的4000端口，木马冰河的7626端口等都是固定而出名的。

详细端口分配表
端口0
服务Reserved
说明通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。
端口1
服务tcpmux
说明这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
端口7
服务Echo
说明能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。
端口19
服务Character Generator
说明这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有【请注意文明用语】字符的包。TCP连接时会发送含有【请注意文明用语】字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。
端口21
服务FTP
说明FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口22
服务Ssh
说明PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。
端口23
服务Telnet
说明远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
端口25
服务SMTP
说明SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
端口31
服务MSG Authentication
说明木马Master Paradise、Hackers Paradise开放此端口。
端口42
服务WINS Replication
说明WINS复制
端口53
服务Domain Name Server（DNS）
说明DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。
端口67
服务Bootstrap Protocol Server
说明通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
端口69
服务Trival File Transfer
说明许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。
端口79
服务Finger Server
说明入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。
端口80
服务HTTP
说明用于网页浏览。木马Executor开放此端口。
端口99
服务Metagram Relay
说明后门程序ncx99开放此端口。
端口102
服务Message transfer agent(MTA)-X.400 over TCP/IP
说明消息传输代理。
端口109
服务Post Office Protocol -Version3
说明POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
端口110
服务SUN公司的RPC服务所有端口
说明常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口113
服务Authentication Service
说明这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。
端口119
服务Network News Transfer Protocol
说明NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。
端口135
服务Location Service
说明Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。
端口137、138、139
服务NETBIOS Name Service
说明其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139
端口通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
端口143
服务Interim Mail Access Protocol v2
说明和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。
端口161
服务SNMP
说明SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。
端口177
服务X Display Manager Control Protocol
说明许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。
端口389
服务LDAP、ILS
说明轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。
端口443
服务Https
说明网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。
端口456
服务[NULL]
说明木马HACKERS PARADISE开放此端口。
端口513
服务Login,remote login
说明是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。
端口544
服务[NULL]
说明kerberos kshell
端口548
服务Macintosh,File Services(AFP/IP)
说明Macintosh,文件服务。
端口553
服务CORBA IIOP （UDP）
说明使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。
端口555
服务DSF
说明木马PhAse1.0、Stealth Spy、IniKiller开放此端口。
端口568
服务Membership DPA
说明成员资格 DPA。
端口569
服务Membership MSN
说明成员资格 MSN。
端口635
服务mountd
说明Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。
端口636
服务LDAP
说明SSL（Secure Sockets layer）
端口666
服务Doom Id Software
说明木马Attack FTP、Satanz Backdoor开放此端口
端口993
服务IMAP
说明SSL（Secure Sockets layer）
端口1001、1011
服务[NULL]
说明木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。
端口1024
服务Reserved
说明它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。
端口1025、1033
服务1025：network blackjack 1033：[NULL]
说明木马netspy开放这2个端口。
端口1080
服务SOCKS
说明这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。
端口1170
服务[NULL]
说明木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。
端口1234、1243、6711、6776
服务[NULL]
说明木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。
端口1245
服务[NULL]
说明木马Vodoo开放此端口。
端口1433
服务SQL
说明Microsoft的SQL服务开放的端口。
端口1492
服务stone-design-1
说明木马FTP99CMP开放此端口。
端口1500
服务RPC client fixed port session queries
说明RPC客户固定端口会话查询
端口1503
服务NetMeeting T.120
说明NetMeeting T.120
端口1524
服务ingress
说明许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。
端口1600
服务issd
说明木马Shivka-Burka开放此端口。
端口1720
服务NetMeeting
说明NetMeeting H.233 call Setup。
端口1731
服务NetMeeting Audio Call Control
说明NetMeeting音频调用控制。
端口1807
服务[NULL]
说明木马SpySender开放此端口。
端口1981
服务[NULL]
说明木马ShockRave开放此端口。
端口1999
服务cisco identification port
说明木马BackDoor开放此端口。
端口2000
服务[NULL]
说明木马GirlFriend 1.3、Millenium 1.0开放此端口。
端口2001
服务[NULL]
说明木马Millenium 1.0、Trojan Cow开放此端口。
端口2023
服务xinuexpansion 4
说明木马Pass Ripper开放此端口。
端口2049
服务NFS
说明NFS程序常运行于这个端口。通常需要访问Portmapper查询这个服务运行于哪个端口。
端口2115
服务[NULL]
说明木马Bugs开放此端口。
端口2140、3150
服务[NULL]
说明木马Deep Throat 1.0/3.0开放此端口。
端口2500
服务RPC client using a fixed port session replication
说明应用固定端口会话复制的RPC客户
端口2583
服务[NULL]
说明木马Wincrash 2.0开放此端口。
端口2801
服务[NULL]
说明木马Phineas Phucker开放此端口。
端口3024、4092
服务[NULL]
说明木马WinCrash开放此端口。
端口3128
服务squid
说明这是squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。
端口3129
服务[NULL]
说明木马Master Paradise开放此端口。
端口3150
服务[NULL]
说明木马The Invasor开放此端口。
端口3210、4321
服务[NULL]
说明木马SchoolBus开放此端口
端口3333
服务dec-notes
说明木马Prosiak开放此端口
端口3389
服务超级终端
说明WINDOWS 2000终端开放此端口。
端口3700
服务[NULL]
说明木马Portal of Doom开放此端口
端口3996、4060
服务[NULL]
说明木马RemoteAnything开放此端口
端口4000
服务QQ客户端
说明腾讯QQ客户端开放此端口。
端口4092
服务[NULL]
说明木马WinCrash开放此端口。
端口4590
服务[NULL]
说明木马ICQTrojan开放此端口。
端口5000、5001、5321、50505
服务[NULL]
说明木马blazer5开放5000端口。木马Sockets de roie开放5000、5001、5321、50505端口。
端口5400、5401、5402
服务[NULL]
说明木马Blade unner开放此端口。
端口5550
服务[NULL]
说明木马xtcp开放此端口。
端口5569
服务[NULL]
说明木马Robo-Hack开放此端口。
端口5632
服务pcAnywere
说明有时会看到很多这个端口的扫描，这依赖于用户所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能的代理（这里的代理是指agent而不是proxy）。入侵者也会寻找开放这种服务的计算机。，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描包常含端口22的UDP数据包。
端口5742
服务[NULL]
说明木马WinCrash1.03开放此端口。
端口6267
服务[NULL]
说明木马广外女生开放此端口。
端口6400
服务[NULL]
说明木马The tHing开放此端口。
端口6670、6671
服务[NULL]
说明木马Deep Throat开放6670端口。而Deep Throat 3.0开放6671端口。
端口6883
服务[NULL]
说明木马DeltaSource开放此端口。
端口6969
服务[NULL]
说明木马Gatecrasher、Priority开放此端口。
端口6970
服务RealAudio
说明RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP-7070端口外向控制连接设置的。
端口7000
服务[NULL]
说明木马Remote Grab开放此端口。
端口7300、7301、7306、7307、7308
服务[NULL]
说明木马NetMonitor开放此端口。另外NetSpy1.0也开放7306端口。
端口7323
服务[NULL]
说明Sygate服务器端。
端口7626
服务[NULL]
说明木马Giscier开放此端口。
端口7789
服务[NULL]
说明木马ICKiller开放此端口。
端口8000
服务OICQ
说明腾讯QQ服务器端开放此端口。
端口8010
服务Wingate
说明Wingate代理开放此端口。
端口8080
服务代理端口
说明WWW代理开放此端口。
端口9400、9401、9402
服务[NULL]
说明木马Incommand 1.0开放此端口。
端口9872、9873、9874、9875、10067、10167
服务[NULL]
说明木马Portal of Doom开放此端口
端口9989
服务[NULL]
说明木马iNi-Killer开放此端口。
端口11000
服务[NULL]
说明木马SennaSpy开放此端口。
端口11223
服务[NULL]
说明木马Progenic trojan开放此端口。
端口12076、61466
服务[NULL]
说明木马Telecommando开放此端口。
端口12223
服务[NULL]
说明木马Hack99 KeyLogger开放此端口。
端口12345、12346
服务[NULL]
说明木马NetBus1.60/1.70、GabanBus开放此端口。
端口12361
服务[NULL]
说明木马Whack-a-mole开放此端口。
端口13223
服务PowWow
说明PowWow是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个TCP端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了IP地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用OPNG作为其连接请求的前4个字节。
端口16969
服务[NULL]
说明木马Priority开放此端口。
端口17027
服务Conducent
说明这是一个外向连接。这是由于公司内部有人安装了带有Conducent"adbot"的共享软件。Conducent"adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。
端口19191
服务[NULL]
说明木马蓝色火焰开放此端口。
端口20000、20001
服务[NULL]
说明木马Millennium开放此端口。
端口20034
服务[NULL]
说明木马NetBus Pro开放此端口。
端口21554
服务[NULL]
说明木马GirlFriend开放此端口。
端口22222
服务[NULL]
说明木马Prosiak开放此端口。
端口23456
服务[NULL]
说明木马Evil FTP、Ugly FTP开放此端口。
端口26274、47262
服务[NULL]
说明木马Delta开放此端口。
端口27374
服务[NULL]
说明木马Subseven 2.1开放此端口。
端口30100
服务[NULL]
说明木马NetSphere开放此端口。
端口30303
服务[NULL]
说明木马Socket23开放此端口。
端口30999
服务[NULL]
说明木马Kuang开放此端口。
端口31337、31338
服务[NULL]
说明木马BO(Back Orifice)开放此端口。另外木马DeepBO也开放31338端口。
端口31339
服务[NULL]
说明木马NetSpy DK开放此端口。
端口31666
服务[NULL]
说明木马BOWhack开放此端口。
端口33333
服务[NULL]
说明木马Prosiak开放此端口。
端口34324
服务[NULL]
说明木马Tiny Telnet Server、BigGluck、TN开放此端口。
端口40412
服务[NULL]
说明木马The Spy开放此端口。
端口40421、40422、40423、40426、
服务[NULL]
说明木马Masters Paradise开放此端口。
端口43210、54321
服务[NULL]
说明木马SchoolBus 1.0/2.0开放此端口。
端口44445
服务[NULL]
说明木马Happypig开放此端口。
端口50766
服务[NULL]
说明木马Fore开放此端口。
端口53001
服务[NULL]
说明木马Remote Windows Shutdown开放此端口。
端口65000
服务[NULL]
说明木马Devil 1.03开放此端口。
端口88
说明Kerberos krb5。另外TCP的88端口也是这个用途。
端口137
说明SQL Named Pipes encryption over other protocols name lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins Proxy都用这个端口。
端口161
说明Simple Network Management Protocol(SMTP)（简单网络管理协议）
端口162
说明SNMP Trap（SNMP陷阱）
端口445
说明Common Internet File System(CIFS)（公共Internet文件系统）
端口464
说明Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。
端口500
说明Internet Key Exchange(IKE)（Internet密钥交换）
端口1645、1812
说明Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(远程认证拨号用户服务)
端口1646、1813
说明RADIUS accounting(Routing and Remote Access)(RADIUS记帐（路由和远程访问）)
端口1701
说明Layer Two Tunneling Protocol(L2TP)(第2层隧道协议)
端口1801、3527
说明Microsoft Message Queue Server(Microsoft消息队列服务器)。还有TCP的135、1801、2101、2103、2105也是同样的用途。
端口2504
说明Network Load Balancing(网络平衡负荷)

手动关闭网络端口方法（其实我们可以利用网络防火墙来关闭端口。推荐使用金山ARP防火墙。这里主要介绍没有杀毒软件的时候的情况如何手动关闭）
方法1 自定义安全策略
  如果我们手头暂时没有防火墙工具的话，那么可以利用Windows服务器自身的IP安全策略功能，来自定义一个拦截135端口的安全策略。

  
  a.打开控制面板，找到管理工具里面的本地安全设置。



b.看到如图的界面，我们选择左边的IP安全策略，在本地机器。



  然后在右边空白处单击右键，选择创建IP安全策略。出现了一个设置向导。点击下一步



  名称也是看自己喜欢了，我们还是叫拦截135端口~下一步
  
  去掉激活默认响应规则的勾，下一步



  点击完成，我们就创建好了，



接下来设置我们用这个规则来干什么，我们是拦截135端口所以添加一个IP安全规则，单击添加（不需要向导所以去掉添加向导的勾）



在IP筛选器列表中，我们添加一个新的。单击添加...
  在这个对话框中名称还是自定义，去掉添加向导的勾，然后单击添加...
  
  准备开始设置规则了：）  
  在寻址标签中，设置：
  源地址：任何IP地址
  目标地址：我的IP地址  
  在协议标签中，设置：
  选择协议类型：TCP
  设置IP协议端口:   
   从任意端口，到此端口：135
  
确定后可以看到筛选器中多出了一条。关闭后在IP筛选器列表中选择我们刚刚建立的拦截135端口。
  我们建立好了可是电脑还不知道我们要怎么使用这个规则，不要紧，只要在筛选器操作标签中添加一个操作就完成了~
  
  单击添加...只用在安全措施种选择阻止就ok了（可以在描述中设置名称）
同样选上这个操作。确定后我们就完成了99%！
  
  由于windows默认IP安全策略中的项目是没有激活的，所以我们要指派一下，点击指派。完成99.9%
  重新启动！100%
  其它的端口设置类似，多试试看~
  
  PS:如果没有IP安全策略可以在控制台中新建
  在运行中输入：mmc回车
  然后在控制台按钮中选择添加删除管理单元
  
  然后单击添加...
  
  在其中选择：IP安全策略，再添加即可，这时的操作就和上面一样了。
方法 2 筛选TCP端口
  
我们还可以利用Windows系统的筛选TCP端口功能，将来自于135网络端口的数据包，全部过滤掉。
  先打开“Internet协议(TCP/IP)”属性设置对话框
  可以在控制面板中的网络连接找到本地连接，打开，点击属性。
  
  选择TCP/IP协议，再单击属性
  在右下脚找到高级，单击进入后找到选项标签，选择其中的TCP/IP筛选，进入属性
选中启用TCP/IP筛选选项，同时在TCP端口处，选中只允许，并单击添加按钮，填入常用的21，23，80，110端口，最后单击确定按钮，这样的话其余端口就会被自动排除了。
以后如果要添加或者删除都可以同样操作。

（COMEFORMKiIIPCBYYUMENG81Etiger's java)
...

[ 本帖最后由 weilinhome 于 2008-1-15 16:03 编辑 ]

lm5247

抢沙发

Good!very Good!!

关闭不需要的端口

     1、关闭137、138、139、445端口　　这几个端口都是为共享而开的，是NetBios协议的应用，一般

上网用户是不需要别人来共享你的内容的，而且也是漏洞最多的端口。关闭的方法很多，最近从网上学了

一招非常好用，一次全部关闭上述端口。　　开始-> 控制面板-> 系统-> 硬件-> 设备管理器-> 查看->

显示隐藏的设备-> 非即插即用驱动程序-> Netbios over Tcpip。　　
　　 2、关闭123端口　　有些蠕虫病毒可利用UDP 123端口，关闭的方法:停止windows time服务。 　　
　　 3、关闭1900端口　　攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包，就可能

会造成这些Win XP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包，

令"Location"域的地址指向另一系统的chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所

有资源(需要安装硬件时需手动开启)。 　　关闭1900端口的方法：停止SSDP Discovery Service 服务　

　   4.关闭500 4500端口　　停止Ipsec services服务。

     5.关闭139端口方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属

性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端

口

相关文章

很简单的组策略规则---不断更新中080712

McAfee SiteAdvisor网页安全工具------适用于IE \Firefox的网页安全插件

IE浏览器，我想你安全、再安全些---拒绝一切可能的网络风险！！！转自绅博cant

【爱毒霸-保卫奥运】想拿我当"肉鸡“？门儿都没有

免费代理服务器地址和使用设置

防御木马病毒的可行方法——电脑网络端口篇





[ 本帖最后由 lm5247 于 2008-8-26 13:06 编辑 ]

weilinhome

你很快啊。。

风灵草

学习了

amy1989

不错，学习了

蜗蜗牛

楼主的帖子还是很有水平的！要学习呀~~~

wwww99991100

学习,多谢

kscb0327714

很详细,就是字体太大,再编辑下分清眉毛胡子就好了.

weilinhome

引用:

原帖由 kscb0327714 于 2008-1-13 19:19 发表
很详细,就是字体太大,再编辑下分清眉毛胡子就好了.

______________________________
还在修改中,,,,感谢你的意见.改拉..自己顶一下

帅得不敢上街

顶...........

huruochen203

很袄,学习了

seallger

学习一下

KSDB7119172

厉害啊··

ksdbex08386942

好，学习了哈

lm5247

Good idea!!

1.设置完成后，将C:\Windows\\system32\GroupPolicy\Machine\Registry.pol文件拷贝出来

这个文件就是你所设置的规则。重做系统后，将备份的这个文件覆盖到源路径中，就可以恢复规则

也可以将这个文件做成一个自解压EXE格式的文件



2．启用基本用户类型
（1）打开注册表编辑器，运行"regedit",定位到以下注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
（2）新建一个名为Levels的DOWRD键值，其数据数值为20000\30000\31000。




3.防止SYN FLOOD攻击

当Windows系统成为一种叫SYN Flood(一种拒绝系统服务的攻击)的攻击对象时，系统会自动保护或者调

整相关设置来防止被攻击，一旦被成

为这种攻击对象时，系统会迅速自动断开本次会话。

操作子键：[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]

键值项：

"TcpMaxHalfOpen"=dword:100
"TcpMaxHalfOpenRetried"=dword:40
"TcpMaxPortsExhausted"=dword:5
"TcpMaxConnectResponseRetransmissions"=dword:2
"SynAttackProtect"=dword:2 (最高级的保护模式，启用快速的会话模式，一当发现SYN攻击，系统将会

快速断开TCP/IP连接)





4.积极自我防护，修改本地安全属性，使其无法在本地电脑域环境中运行木马程序，

相应的注册表键值为：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0下的

1004项的值由原来的0改为十六进制的3，





5自己定制防火墙---放SYN flood攻击规则


   利用网络安全设备来加固网络的安全性，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包

，这种方法适合所有Windows操作系统的用户。以个人防火墙为例，新建一条空规则，规定如下：“数据

包方向”设置为“接收”，“对方IP地址”设置为“任何”，“协议”设置为“TCP AND UDP”，“本地

端口”设置为“任何”，“对方端口”设置为“任何”，在“标志位”中选上“SYN标志”，“动作”选

择“拦截”，保存即可。





6关闭不需要的端口

     a、关闭137、138、139、445端口　　这几个端口都是为共享而开的，是NetBios协议的应用，一般

)上网用户是不需要别人来共享你的内容的，而且也是漏洞最多的端口。关闭的方法很多，最近从网上学

了一招非常好用，一次全部关闭上述端口。　　开始-> 控制面板-> 系统-> 硬件-> 设备管理器-> 查看

-> 显示隐藏的设备-> 非即插即用驱动程序-> Netbios over Tcpip。　　
　　 b、关闭123端口　　有些蠕虫病毒可利用UDP 123端口，关闭的方法:停止windows time服务。 　

　
　　 c、关闭1900端口　　攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包，就可能

会造成这些Win XP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包，

令"Location"域的地址指向另一系统的chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所

有资源(需要安装硬件时需手动开启)。 　　关闭1900端口的方法：停止SSDP Discovery Service 服务

　　 d.关闭500 4500端口　　停止Ipsec services服务。
     e.关闭139端口方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属

性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端

口
     


7.命令行快捷方式 一键清除IE7记录

    无论是出于保证计算机性能还是数据安全方面的考虑，我们常常需要及时清除浏览器的历史记录，

包括浏览器缓存、所记录的Cookies、历史记录、密码等。一般而言，在IE7(Internet Explorer 7)中，

相应的是操作是通过“Internet 选项”之“常规选项卡”中的“删除浏览历史记录”进行的，不过，客

观地讲，这样的操作需多个步骤，往往显然效率不足。
　　如果您需要经常进行类似的操作，不妨考虑直接为相应操作建立桌面快捷方式，需要时只要一键点

击即可。
　　下面介绍各项清除IE7浏览历史记录操作所使用的命令，您可以按照介绍创建相应的快捷方式，或者

直接在命令行中运行。这些命令适用于运行于Windows Vista和Windows XP中的IE7。
　　清除Internet临时文件
　　RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 8
　　清除Cookies
　　RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 2
　　清除历史记录
　　RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 1
　　清除表单数据
　　RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 16
　　清除密码
　　RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 32
　　清除上述全部项目
　　RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 255
　　**清除上述全部项目，以及IE7中使用的加载项所保存的各种数据
　　RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 4351




8.让系统加快 试试
  
    a 减少开机磁盘扫描等待时间，开始→运行，键入“chkntfs /t:0”
  
    b 删除系统备份文件:

在各种软硬件安装妥当之后，其实XP需要更新文件的时候就很少了。
开始→运行，*敲入：sfc.exe /purgecache

  
    c 压缩文件夹
　　这是一个相当好的优化，Windows XP内置了对.ZIP文件的，我们可以把zip文件当成文

件夹浏览。不过，系统要使用部分资源来实现 这一功能，因此禁用这一功能可以提升系统
性能。实现方法非常简单，只需

取消zipfldr.dll的注册就可以了，点击开始——运行，*敲入： regsvr32 /u zipfldr.dll
。然后回车即可。



9.组策略的功能

    a.禁用“开始”菜单命令

　　在Windows2000/XP中都集成了组策略的功能，通过组策略可以设置各种软件、计算机和用户策略在

某种方面增强系统的安全性。运行“开始→运行”命令，在“运行”对话框的“打开”栏中输入

“gpedit.msc”，然后单击“确定”按钮即可启动WindowsXP组策略编辑器。

　　在“本地计算机策略”中，逐级展开“用户配置→管理模板→任务栏和开始菜单”分支，在右侧窗

口中提供了“任务栏”和“开始菜单”的有关策略。

　　在禁用“开始”菜单命令的时候，在右侧窗口中，提供了删除“开始”菜单中的公用程序组、“我

的文档”图标、“文档”菜单、“网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜

单项所对应的策略启用即可，比如以删除“我的文档”图标为例，具体操作步骤为：

　　1)在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项。

　　2)在弹出窗口的“设置”标签中，选择“已启用”单选按钮，然后单击“确定”即可。

　　b、桌面相关选项的禁用

　　WindowsXP的桌面就像你的办公桌一样，有时需要进行整理和清洁。有了组策略编辑器之后，这项工

作将变得易如反掌，只要在“本地计算机策略”中展开“用户配置→管理模板→桌面”分支，即可在右

侧窗口中显示相应的策略选项。

　　1)隐藏桌面的系统图标

　　倘若隐藏桌面上的系统图标，传统的方法是通过采用修改注册表的方式来实现，这势必造成一定的

风险性，采用组策略编辑器，即可方便快捷地达到此目的。

　　若要隐藏桌面上的“网上邻居”和“InternetEXPlorer”图标，只要在右侧窗口中将“隐藏桌面上

网上邻居图标”和“隐藏桌面上的 InternetEXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的

所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可。

　　当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后，“我的

电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢“回收站”这个图标

，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。

　　2)禁止对桌面的某些更改

　　如果你不希望别人随意改变计算机桌面的设置，请在右侧窗口中将“退出时不保存设置”这个策略

选项启用。当你启用这个了设置以后，其他用户可以对桌面做某些更改，但有些更改，诸如图标和打开

窗口的位置、任务栏的位置及大小在用户注销后都无法保存。

　　c、禁止访问“控制面板”

　　如果你不希望其他用户访问计算机的控制面板，你只要运行组策略编辑器，并在左侧窗口中展开“

本地计算机策略→用户配置→管理模板→控制面板”分支，然后将右侧窗口的“禁止访问控制面板”策

略启用即可。

　　此项设置可以防止控制面板程序文件的启动，其结果是他人将无法启动控制面板或运行任何控制面

板项目。另外，这个设置将从“开始”菜单中删除控制面板，同时这个设置还从Windows资源管理器中删

除控制面板文件夹。

　　提示：如果你想从上下文菜单的属性项目中选择一个“控制面板”项目，会出现一个消息，说明该

设置防止这个操作。

　　d、设置用户权限

　　当多人共用一台计算机时，在WindowsXP中设置用户权限，可以按照以下步骤进行：

　　1)运行组策略编辑器程序。

　　2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权

限指派”分支。

　　3)双击需要改变的用户权限，单击“添加用户或组”按钮，然后双击想指派给权限的用户账号，最

后单击“确定”按钮退出。


10.七种方法可以让你的电脑变得更安全
        　　
    a、关掉危险进程

　　首先，我们当然要进到服务里，去看看有什么危险的系统进程在开着啦。看到注释吗?“允许远程操

作注册表”，关掉它(Remote Registry)我点的是AT命令，也要关(Task Scheduler)，免得被入侵者用它

来启动木马。

　　打开注册表，进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT

\Current_Version\Winlogon在右边找一个键值DontDisplayLastUserName，然后改成1，如果不存在，你

就新建立一个!

　　b、防止IPC空连接是非常必要的!

　　好，我们来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa这里，找到这个主键

restrictanonymous把它改成1。
　　如果改成2有些程序可能无法运行，所以一般改成1。

　　c、我们来修改3389的默认端口

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

来到这里，找到PortNumber ，十进制是3389的，你随意把它改成其它4个数字吧，我改成1314了，这样

入侵者就不能3389入侵你的电脑了。

　　d、进入cmd下，运行net share和net user

　　看看还有什么共享的和可疑的用户名。Administrator 和 Guest是系统默认的，不用删，怎么多了

个×××?不理了，删掉它。(net user ××× /del)，关掉没用的共享。(net share C$ /del, ...)。

　　e、输入法漏洞

　　解决方案:1.对这几个有漏洞的帮助文件进行删除或者改名等操作。
　　最好就是删除WINIME.CHM，WINPY.CHM，WINZM.CHM这三个帮助文件。你会删其它吧?

　　f、最重要，也很好用，一般无敌

　　在cmd下，进入c:\winnt\system32写入命令 ren net.exe netwei.exe (回车)。好了，以后，别人

就算进到你的电脑内，也不能用net user username pass /add增加用户，更不能用net localgroup

administrators username /add 加入administrators了，呵呵！这个命令来建立用户并提升管理员了。

改成netwei user。

　　g、最后一步，也是关键的，这个可以防止别入格式化!

　　在CMD里写入命令:C:\>DOSKEY FORMAT=Bad command or file name! (回车)这个是锁定命令，你也

可以锁定DEL，当别人恶意格式化你的硬盘时，系统将会显示:“Bad command or file name!，拒绝执行

格式化命令。如果在某种特殊情况下，你自己需要格式化硬盘，那该怎么办呢?你可以输入下面的命令:

　　C:\>DOSKEY FORMAT= (回车)这样你就可以像以前一样可以格式化了。

[ 本帖最后由 lm5247 于 2008-8-26 13:07 编辑 ]

ksdbex08386942

谢了哈

lm5247

LZ应该补充的更详细一些，像1434这些端口也应该封闭！！！


Malware Defender  HIPS 主机入侵防御系统

精品文章；拒绝杀软---hips入门必读（转自绅博）

[ 本帖最后由 lm5247 于 2008-9-4 12:37 编辑 ]

KSDA17315975

不错，学习了

lppy2008

o o

llq789

学习