我们自己的电脑上有许多用不着的端口在开启,它们常常为黑客们入侵提供方便,接下来让我们来看看电脑上的各种端口都是干什么用的。
常用的端口入侵
21端口是默认的FTP端口,利用方式:弱口令探测/溢出.
目前还没看到远程溢出的,SERU的本地溢出漏洞风靡一时,曾经很多服务器就在沦丧于这个漏洞。
22端口是SSH远程登录协议,利用方式:弱口令探测.
23端口是TLENET的默认端口,利用方式:弱口令探测/溢出.
一般大家用弱口令探测得比较多,但是成功率比较低,还是溢出来得快,毕竟权限高,想做什么都可以!
25端口是SMTP协议的默认端口,邮件接收服务器。利用方式:溢出.
53端口是DNS服务的默认端口,提供域名服务器,
利用方式:溢出。
79端口Finger服务的默认端口(查询远程主机在线用户等信息),可以在辅助入侵中获取更多的主机信息。
利用FINGER服务可以查询到主机很多敏感的信息,在入侵的时候常常可以起到意想不到的作用。
80端口是IIS的默认端口,全球信息网超文本传输协议(www)。利用方式:IIS溢出/SQL注入/旁注/跨站。
不过一部分路由器的远程管理端口也是80。
IIS溢出也只存在那些很老的机器上,看运气了。
110端口提供 Pop3 服务。邮件发送服务器。利用方式:溢出。
135端口提供查询服务。利用方式:IPC$(Internet Process Connection)入侵。
137端口统共NetBIOS 数据报(UDP)服务。
139端口提供共享资源服务(NetBios-SSN),用在IPC$入侵中。上面这三个端口可以综合利用。
161端口是远程管理设备(SNMP)的默认端口。
SNMP是简单网络管理协议,很多小菜扫描出来了SNMP的弱口令,比如private,public等等,但是不知道怎么利用,这里介绍两款工具:IP NetWork browse 和 LANguard NetWork Scnaner,这两个工具都可以扫描SNMP,而且可以扫描到,磁盘,服务,进程,用户,端口等等, 功能强大,大家自己发挥。
445端口是NT的共享资源新端口(139)和139的用法一样。共享入侵,不多说了。
1433端口是MSSQL的默认端口。利用方式:溢出/弱口令扫描。
弱口令的也很多,这里同时利用这两中方式。
2969端口是诺顿杀毒软件开放的端口,利用方式:溢出。
3306端口是MYSQL的默认端口,利用方式:弱口令扫描。
3389端口是Telminal Servcie的默认端口,利用方式:弱口令探测/溢出。
4899端口是R-admin的默认端口,利用方式:弱口令扫描。
这个就用空口令过滤器了
电脑系统安全之端口防范
端口分为源端口和目的端口,源端口是本机打开的,目的端口是正在和本机通信的另一台计算机的端口。
在Internet中,你访问一个网站时就是在本机开个端口去连网站服务器的一个端口,别人访问你时也是如此。也就是说计算机的通讯就像我们互相串门一样,从这个门走进哪个门。
端口的查看方法:
开始----运行----CMD----输入 netstat -an
当你上网时就是本机和其它机器传递数据的过程,要传递数据必须要用到端口,即使是有些非常高明的木马利用正常的端口传送数据也不是了无痕迹的,数据在开始传输、正在传输和结束传输的不同阶段都有各自的状态
服务端口的状态变化:
1.LISTENING状态:
State显示是LISTENING时表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接。
2.ESTABLISHED状态:
ESTABLISHED的意思是建立连接。表示两台机器正在通信。
3.TIME_WAIT状态:
TIME_WAIT的意思是结束了这次连接
客户端口的状态变化:
1.SYN_SENT状态:
SYN_SENT状态表示请求连接,当你要访问其它的计算机的服务时首先要发个同步信号给该端口,此时状态为SYN_SENT.
2.ESTABLISHED状态:
正在连接通信中。
3.TIME_WAIT状态:
常用端口:
21 ----FTP服务 上传下载
23----终端仿真协议telnet 命令 远程登陆
25----简单邮件发送协议
80 ----WEB服务器 浏览网站
110---- POP3用于客户端访问服务器端的邮件服务
1433 ---mssql服务 数据库
3899 ----远程登录
4899 -----radmin远程控制软件
8000--灰鸽子默认端口
木马基础知识
木马----远程控制你的电脑。
1.有服务端口木马:
常见的一些后门程序,这类木马都要开个服务端口的后门,这个端口可以是固定也可以变化的。
2.反弹型木马:
反弹型木马是从内向外的连接,它可以有效的穿透防火墙,而且即使你使用的是内网IP,他一样也能访问你的计算机。是目前最流行的远程控制软件。
目前流行的灰鸽子,上兴远程控制软件,都是反弹型木马。
简单安全知识
一。关闭危害性端口:
1.关闭137、138、139、445端口
下面说一下常见的漏洞的端口如何关闭:
1.关闭139端口:右击网上邻居--属性--右击本地连接--属性--internet协议/(TCP/IP)--属性--高级--WINS--禁用TCP/IP上的NETBIOS--确定。
2.右击-网上邻居-属性/本地连接-属性,在microsoft网络客户端前的小勾去掉。接着也把microsoft网络的文件和打印机共享的小勾也去掉。
3.关闭445端口:打开注册表编辑器,在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]下增加一个dword键项,命名为"SmbDeviceEnabled"(不包含引号),将值设为0。
4。关闭3389端口:右击我的电脑,点属性--远程,把允许从这台计算机发送远程协助邀请前的勾去掉。
5。关闭135端口:
如何关闭135端口
Windows XP系统运行dcomcnfg,展开“组件服务”→“计算机”,在“我的电脑”上点右键选“属性”,切换到“默认属性”,取消“启用分布式COM”;然后切换到“默认协议”,删除“面向连接的TCP/IP”。
以上选项有对应的注册表键值,因此也可通过注册表来修改:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM的值改为“N”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCOM Protocols 中删除“ncacn_ip_tcp”
此外,还需要停用“Distributed Transaction Coordinator”服务。
重启之后, 135端口就没有了。
关闭不必须用的服务:
在控制面板中,找到管理工具,在其下面打开服务。将下列的项目开闭:
Server(先禁用,然后再停止掉。)
Telnet(先禁用,然后再停止掉。)
为了您的系统安全,最好将以上两个危险服务给关闭掉。
方法:右键我的电脑---属性-- 硬件-> 设备管理器-> 查看-> 显示隐藏的设备-> 非即插即用驱动程序-> Netbios over Tcpip。
禁用该设备重新启动后即可。