端口、暗门,何人斯的医书
网络通信
黑客技术已经不是秘密,太多人想体验黑客技术所带来的入侵快感,利用操作系统自身的端口弱点进行突破更是黑客经常利用的方法……
每一个端口通常都对应着与自己相关的服务,例如FTP服务的默认端口是21,HTTP服务的端口是80。这些端口服务在开通的同时,也为黑客们多开通了一个隐秘的后门,让他们多了一种进攻的方式。如同留香客栈3389端口被利用一样。不过3389是留香客栈为了自身的方便自己打开的,但在Windows 2000和Windows 2003操作系统中,有一些端口却是默认打开的,在无形中让你的电脑吸引着更多黑客的目光……
症结①
默认打开的135端口
症状
在操作系统众多的服务端口中,135端口的危险是最隐秘,最让人捉摸不定的。网络江湖中很多人根本就不知道为什么系统会将135端口打开,更不要说了解这个端口在为何种网络服务提供支持了。因此135端口就像谜一样在很多电脑中默默地开着……
医治方法
善于利用135端口的黑客想要得到管理员密码和口令,过程往往很简单,他们似乎总有自己的方法和手段。对付这类危险时,我何人斯简单明了,关闭135端口,停止可能被黑客利用的RPC服务,不给他们任何能够利用系统弱点的机会。
但单纯地将RPC服务停止会对某些网络用户造成不必要的麻烦。难道网络用户就必须承受这种来自135端口进攻的危险吗?不一定,我何人斯这里有既不需要简单地关闭RPC服务,又不会造成其他网络服务终止的妙计。在网络中,只有使用微软DCOM技术的程序才会调用Remote Procedure Call,也就是135端口服务,所以在面临这个问题时,将DCOM服务停止是最好的方法。
首先点击“开始”菜单,然后选择“运行”命令,在打开的对话框中输入“dcomcnfg.exe”命令,回车运行。在弹出的设置窗口中选择 “默认设置”标签选项,然后点击选择此选项页面中的“在这台计算机上启用分布式COM”选项(图1),最后点击确定完成,退出设置。这样你就可以很好地保护你的电脑了,任何网贼与黑客都无法对你电脑中的DCOM服务和DCOM应用程序进行远程操作与访问,达到了既不关闭又能够停止135端口,让黑客放弃攻击你的目的。
症结②
默认打开的137与138端口
症状
同样,137和138端口的开放也会引来黑客的注意。137端口在局域网中的危险性相对要大一些,因为它的作用主要是在局域网中提供计算机的名字或IP地址查询服务,如果你安装了NetBIOS协议,那么137端口会自动处于开放状态给入侵者打开自己的后门。此时只要网贼知道了你的计算机IP地址,并向你发送一个137端口的连接请求,那么他会轻松地获得你主机的相关名称信息。包括你的计算机名称、注册这台计算机的用户信息以及这台计算机的本次开机、关机时间等。最可怕的是网贼还能知道目标主机是否作为文件服务器或主域控制器来使用。
138与137端口类似,同样是UDP端口,肩负着在局域网中相互传输文件信息的任务,同样能够提供NetBIOS服务的所有功能。网贼如果与你计算机的138端口建立连接的话,就能轻松获得你主机所处的局域网网络名称和你主机的计算机名称。有了计算机名称,它对应的IP地址也就能轻松获得。如此一来,就为黑客们进一步攻击系统带来了“胜利”的希望。
医治方法
在医治这个顽症之前我要介绍一下NetBIOS服务。很多人认为NetBIOS服务是一个网络协议,其实不然。NetBIOS只是网络基本的输入/输出系统,是一个应用于程序接口,用于数据源与目的地之间的数据交换。不过它所包含的接口及一些命名原则属于OSI(Open System Interconnection)模式的上三层,与低层的通讯协议是全然独立的。因此NetBIOS服务能够成功地建构于不同的通讯协议上,“造就”了它支持访问计算机应用程序和设备通信时所要用到的各种服务。正是由于考虑到了NetBIOS服务这种基于TCP/IP协议下的特点,而NetBIOS又完全依靠137、138端口支撑,因此如果停止了NetBIOS,就能够将137和138端口的危险根除。
停止NetBIOS方法很简单,医治前你要先用鼠标右击桌面上的“网上邻居”图标,然后从弹出的快捷菜单中选择“属性”命令,再在“本地连接”(在双网卡的情况下,如果只想防御外网,这里就选择对外的那个网卡连接)中再一次点击右键,选择属性。在弹出的窗口中找到并打开“Internet协议(TCP/IP)”参数设置窗口,单击 “高级”按钮,在随后弹出的设置框中选中“WINS”标签。打开WINS的标签页面后,选中“禁用TCP/IP上的NetBIOS(S)”(图2),最后单击“确定”按钮完成关闭NetBIOS服务的操作。完成全部设置后,网贼就只有完全打消利用你的137与138端口进行进攻的想法了。不过你千万不要以为危险已经消除,新的危机仍然在酝酿。
症结③
默认打开的139端口
症状
局域网和家庭局域网在我们的生活中已经随处可见了,特别是ADSL等宽带的普及,更加带动了两机或者三机的家庭局域网潮流。家庭局域网不但可以通过网络邻居共享、交换、传递文件,而且可以进行局域网游戏,还能够让所有的电脑使用一台打印机工作,这些都让家庭和小型的工作组充满了乐趣和方便。
但是,这些方便背后也同样隐藏着一样的危机。由于局域网访问网络邻居和共享打印机,就必须使用TCP端口中的139端口,而139端口的开启可能造成一个非常大的危险──共享连接。共享连接是139端口的致命弱点,因为网贼一旦与你计算机的139端口建立连接,就很有可能浏览到局域网网段内所有工作站中的全部共享信息,甚至可以对你计算机中的共享文件夹进行各种编辑、删除操作,让你的打印机也成为他的工具。如果再配合其他手段,让他了解到你的计算机管理员登录账号的话,还可以轻而易举地查看到你计算机中的隐藏共享信息,将你一切的行动了如指掌,最后摧毁你或者一直这样默默地监视着你的一切行动,是不是很恐怖?
医治方法
仅仅停止TCP/IP协议下的NetBIOS服务,是不能将139端口完全关闭的。因为网络中的打印机共享服务是通过139端口实现的,通过上面的方法关闭139端口的话你还必须将打印机服务停止掉。
关闭打印服务首先需要用鼠标右键单击桌面上的“网上邻居”图标,从弹出的快捷菜单中执行“属性”命令,打开“网络和拨号连接”窗口。然后再右击“本地连接”或“Internet连接”图标,执行快捷菜单中的“属性”命令,在弹出的界面中取消“Microsoft网络的文件和打印机共享”选项(图3),再单击“确定”按钮完成关闭打印机共享服务的设置操作。只有这样才能够配合NetBIOS的关闭将139端口完全关闭。不过情况永远是瞬息万变的,如果想要应付各种网络中出现的症状,我们最好能够对症下药,而不要期望一劳永逸。因此针对139端口我何人斯也有专门的关闭手段。
首先我们同样需要打开网络协议中的“Internet协议(TCP/IP)”属性设置界面,选择界面中的“常规”标签选项,在常规标签选项的页面中单击“高级”按钮,此时会弹出一个高级设置窗口。我们再点击该窗口中“选项”标签,将该页面中的“TCP/IP筛选”选中,然后点击“属性”按钮,在弹出的设置界面中选择“只允许”(图4),此时再点击下面那个“添加”按钮,将系统中需要用到的所有端口号码输入在这个对话框中。当然我们需要关闭的139端口不用输入,这样你不仅能够关闭139端口的访问权,还能够控制住所有端口的活动。
症结④
默认打开的445端口
症状
TCP端口中445端口对于Windows 2000和Windows Server 2003构成的威胁相对139端口更大。这个端口同样为局域网提供网内文件或打印机共享服务,发挥的作用也与139端口是完全相同的。不过与139端口所不同是,这个端口是基于CIFS协议(通用因特网文件系统协议)工作的,而139端口是基于SMB协议(服务器协议族),对外提供共享服务,不过虽然原理不同,但是危险是一样的,网贼们一样能够通过开放的445端口获得局域网内的各种共享信息。
医治方法
对于445端口的潜在危胁,我们可以通过设置天网防火墙的“自定义IP规则”来限制。首先双击打开天网防火墙的主界面,然后点击界面右边的“自定义IP规则”按钮,在弹出的规则菜单中点击“新增加规则”,在弹出的新增加规则窗口中点击“TCP”标签选项(图5)。在选项中的“本地端口”中输入从445到0的数字,对方端口中均填写为0,满足条件选择为“拦截”,然后勾选“警报”和“记录”选项,最后再将上面的症结和症状作为说明填写到“名称”和“说明”中,点击确定完成操作。而在金山网镖中,我们需要点击“工具”中的“IP规则编辑器”,在弹出的窗口中同样点击添加IP规则,具体设置方法与天网防火墙的设置方法一样。不过金山网镖中默认已经添加了445端口的防护,包括对应互联网与局域网两种情况。以后对于任何端口来说,我们都可以用这种方法来进行阻止。
江湖行医,漂泊不定,并不是时时刻刻都有防火墙这样方便的工具供我们医者操作,因此我们就必须学会在没有工具的情况下处理端口问题的方法。445端口在没有防火墙的情况下,我们需要调用注册表来进行手工关闭,首先单击“开始”,打开“运行”命令,然后在出现的运行框中输入“regedit”命令,打开系统中的注册表编辑器。然后在注册表编辑器中依次单击“HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Services\NetBT\Parameters”分支,新建一个名为“SMBDeviceEnabled”的双字节值。最后双击“SMBDeviceEnabled”选项,在弹出的数值设置界面中,将其数值设置为“0”。关闭注册表编辑界面,将系统重新启动,445服务端口就会被彻底关闭了。