我的電腦安全防禦
因爲如今家用電腦所使用的操做系統多數爲Win XP 和Win2000
pro(建議還在使用98的朋友換換系統,連微軟都放棄了的系統你還用它幹嗎?因此後面我將主要講一下基於這兩個操做系統的安全防範。
1.察看本地共享資源
1四、終端服務配置
1八、另外介紹一下如何查看本機打開的端口和tcp\ip端口的過濾
現象描述:儘管網絡流氓們用這一招的很少,可是一旦你中招了,後果然是不堪設想!瀏覽了含有這種惡意代碼的網頁其後果是:"關閉系統"、"運行"、"註銷"、註冊表編輯器、DOS程序、運行任何程序被禁止,系統沒法進入"實模式"、驅動器被隱藏。
解決辦法:通常來講上述八大現象你都趕上了的話,基本上系統就給"廢"了,建議重裝。
2. 格式化硬盤 危害程度:★★★★★ 感染機率:*
現象描述:這類惡意代碼的特徵就是利用IE執行ActiveX的功能,讓你無心中格式化本身的硬盤。只要你瀏覽了含有它的網頁,瀏覽器就會彈出一個警告 說"當前的頁面含有不安全的ActiveX,可能會對你形成危害",問你是否執行。若是你選擇"是"的話,硬盤就會被快速格式化,由於格式化時窗口是最小 化的,你可能根本就沒注意,等發現時已悔之晚矣。
解決辦法:除非你知道本身是在作什麼,不然不要隨便回答"是"。該提示信息還能夠被修改,如改爲"Windows正在刪除本機的臨時文件,是否繼續",所 以千萬要注意!此外,將計算機上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令更名也是一個辦法。
3. 下載運行***程序 危害程度:★★★ 感染機率:***
現象描述:在網頁上瀏覽也會中***?固然,因爲IE5.0自己的漏洞,使這樣的新式***手法成爲可能,方法就是利用了微軟的能夠嵌入exe文件的eml文 件的漏洞,將***放在eml文件裏,而後用一段惡意代碼指向它。上網者瀏覽到該惡意網頁,就會在不知不覺中下載了***並執行,其間竟然沒有任何提示和警 告!
解決辦法:第一個辦法是升級您的IE5.0,IE5.0以上版本沒這毛病;此外,安裝金山毒霸、Norton等病毒防火牆,它會把網頁***看成病毒迅速查截殺。
4. 註冊表的鎖定 危害程度:★★ 感染機率:***
現象描述:有時瀏覽了惡意網頁後系統被修改,想要用Regedit更改時,卻發現系統提示你沒有權限運行該程序,而後讓你聯繫管理員。暈了!動了個人東西還不讓改,這是哪門子的道理!
解決辦法:可以修改註冊表的又不止Regedit一個,找一個註冊表編輯器,例如:Reghance。將註冊表中的 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 下的DWORD值"DisableRegistryTools"鍵值恢復爲"0",便可恢復註冊表。
5. 默認主頁修改 危害程度:★★★ 感染機率:*****
現象描述:一些網站爲了提升本身的訪問量和作廣告宣傳,利用IE的漏洞,將訪問者的IE不禁分說地進行修改。通常改掉你的起始頁和默認主頁,爲了避免讓你改回去,甚至將IE選項中的默認主頁按鈕變爲失效的灰色。不愧是網絡流氓的一慣作風。
解決辦法:1.起始頁的修改。展開註冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Main,在右半部分窗口中將"Start
Page"的鍵值改成"about:blank"便可。同理,展開註冊表到HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main,在右半部分窗口中將"Start Page"的鍵值改成"about:blank"便可。
注意:有時進行了以上步驟後仍然沒有生效,估計是有程序加載到了啓動項的緣故,就算修改了,下次啓動時也會自動運行程序,將上述設置改回來,解決方法以下:
運行註冊表編輯器Regedit.exe,而後依次展開 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵,而後將下面 的"registry.exe"子鍵(名字不固定)刪除,最後刪除硬盤裏的同名可執行程序。退出註冊編輯器,從新啓動計算機,問題就解決了。
2.默認主頁的修改。運行註冊表編輯器,展開HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Main\,將Default-Page-URL子鍵的鍵值中的那些惡意網站的網址改正,或者設置爲IE的默認值。
3.IE選項按鈕失效。運行註冊表編輯器,將HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet
Explorer\Control
Panel中的DWORD值"Settings"=dword:一、"Links"=dword:一、"SecAddSites"=dword:1所有改 爲"0",將HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet
Explorer\Control Panel下的DWORD值"homepage"的鍵值改成"0"。
6. 篡改IE標題欄 危害程度:★ 感染機率:*****
現象描述:在系統默認狀態下,由應用程序自己來提供標題欄的信息。可是,有些網絡流氓爲了達到廣告宣傳的目的,將串值"Windows
Title"下的鍵值改成其網站名或更多的廣告信息,從而達到改變IE標題欄的目的。非要別人看他的東西,並且是經過非法的修改手段,除了"無恥"兩個字,再沒有其它形容詞了。
解決辦法:展開註冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Main\下,在右半部分窗口找到串值"Windows Title",將該串值刪除。從新啓動計算機。
7. 篡改默認搜索引擎 危害程度:★★★ 感染機率:*
現象描述:在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕,能夠實現網絡搜索,被篡改後只要點擊那個搜索工具按鈕就會連接到網絡注氓想要你去的網站。
解決辦法:運行註冊表編輯器,依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Search\SearchAssistant,將CustomizeSearch及SearchAssistant的鍵值改成某個搜索引擎的網址便可
8. IE右鍵修改 危害程度:★★ 感染機率:***
現象描述:有的網絡流氓爲了宣傳的目的,將你的右鍵彈出的功能菜單進行了修改,而且加入了一些亂七八糟的東西,甚至爲了禁止你下載,將IE窗口中單擊右鍵的功能都屏蔽掉。
解決辦法:1.右鍵菜單被修改。打開註冊表編輯器,找到HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\MenuExt,刪除相關的廣告條文。
2.右鍵功能失效。打開註冊表編輯器,展開到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet
Explorer\Restrictions,將其DWORD值"NoBrowserContextMenu"的值改成0。
9. 篡改地址欄文字 危害程度:★★ 感染機率:***
現象描述:中招者的IE地址欄下方出現一些莫名其妙的文字和圖標,地址欄裏的下拉框裏也有大量的地址,並非你之前訪問過的。
解決辦法:1.地址欄下的文字。在HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\ToolBar下找到鍵值LinksFolderName,將其中的內容刪去便可。
2.地址欄中無用的地址。在HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\TypeURLs中刪除無用的鍵值便可。
pro(建議還在使用98的朋友換換系統,連微軟都放棄了的系統你還用它幹嗎?因此後面我將主要講一下基於這兩個操做系統的安全防範。
我的電腦常見的被***方式
談到我的上網時的安全,仍是先把你們可能會遇到的問題歸個類吧。咱們遇到的***方式大概包括瞭如下幾種:
(1) 被他人盜取密碼;
(2) 系統被******;
(3) 瀏覽網頁時被惡意的java scrpit程序***;
(4) QQ被***或泄漏信息;
(5) 病毒感染;
(6) 系統存在漏洞使他人***本身。
(7) ***的惡意***。
下面咱們就來看看經過什麼樣的手段來更有效的防範***。
本文主要防範方法
察看本地共享資源
刪除共享
察看本地共享資源
刪除共享
刪除ipc$空鏈接
帳號密碼的安全原則
帳號密碼的安全原則
關閉本身的139端口
445端口的關閉
445端口的關閉
3389的關閉
4899的防範
4899的防範
常見端口的介紹
如何查看本機打開的端口和過濾
如何查看本機打開的端口和過濾
禁用服務
本地策略
本地策略
本地安全策略
用戶權限分配策略
用戶權限分配策略
終端服務配置
用戶和組策略
用戶和組策略
防止rpc漏洞
本身動手DIY在本地策略的安全選項
本身動手DIY在本地策略的安全選項
工具介紹
避免被惡意代碼 ***等病毒***
避免被惡意代碼 ***等病毒***
1.察看本地共享資源
運行CMD輸入net
share,若是看到有異常的共享,那麼應該關閉。可是有時你關閉共享下次開機的時候又出現了,那麼你應該考慮一下,你的機器是否已經被***所控制了,或者中了病毒。
share,若是看到有異常的共享,那麼應該關閉。可是有時你關閉共享下次開機的時候又出現了,那麼你應該考慮一下,你的機器是否已經被***所控制了,或者中了病毒。
2.刪除共享(每次輸入一個)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(若是有e,f,……能夠繼續刪除)
net share c$ /delete
net share d$ /delete(若是有e,f,……能夠繼續刪除)
3.刪除ipc$空鏈接
在運行內輸入regedit,在註冊表中找到
HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA
項裏數值名稱RestrictAnonymous的數值數據由0改成1。
HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA
項裏數值名稱RestrictAnonymous的數值數據由0改成1。
4.關閉本身的139端口,ipc和RPC漏洞存在於此。
關閉139端口的方法是在「網絡和撥號鏈接」中「本地鏈接」中選取「Internet協議(TCP/IP)」屬性,進入「高級TCP/IP設置」「WinS設置」裏面有一項「禁用TCP/IP的NETBIOS」,打勾就關閉了139端口。
5.防止rpc漏洞
5.防止rpc漏洞
打開管理工具——服務——找到RPC(Remote Procedure Call (RPC)
Locator)服務——將故障恢復中的第一次失敗,第二次失敗,後續失敗,都設置爲不操做。
Locator)服務——將故障恢復中的第一次失敗,第二次失敗,後續失敗,都設置爲不操做。
XP SP2和2000 pro sp4,均不存在該漏洞。
6.445端口的關閉
修改註冊表,添加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口創建一個SMBDeviceEnabled
爲REG_DWORD類型鍵值爲 0這樣就ok了
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口創建一個SMBDeviceEnabled
爲REG_DWORD類型鍵值爲 0這樣就ok了
7.3389的關閉
XP:個人電腦上點右鍵選屬性-->遠程,將裏面的遠程協助和遠程桌面兩個選項框裏的勾去掉。
Win2000server 開始-->程序-->管理工具-->服務裏找到Terminal
Services服務項,選中屬性選項將啓動類型改爲手動,並中止該服務。(該方法在XP一樣適用)
Services服務項,選中屬性選項將啓動類型改爲手動,並中止該服務。(該方法在XP一樣適用)
使用2000 pro的朋友注意,網絡上有不少文章說在Win2000pro
開始-->設置-->控制面板-->管理工具-->服務裏找到Terminal
Services服務項,選中屬性選項將啓動類型改爲手動,並中止該服務,能夠關閉3389,其實在2000pro
中根本不存在Terminal Services。
開始-->設置-->控制面板-->管理工具-->服務裏找到Terminal
Services服務項,選中屬性選項將啓動類型改爲手動,並中止該服務,能夠關閉3389,其實在2000pro
中根本不存在Terminal Services。
8.4899的防範
網絡上有許多關於3389和4899的***方法。4899實際上是一個遠程控制軟件所開啓的服務端端口,因爲這些控制軟件功能強大,因此常常被***用來控制本身的肉雞,並且這類軟件通常不會被殺毒軟件查殺,比後門還要安全。
4899不象3389那樣,是系統自帶的服務。須要本身安裝,並且須要將服務端上傳到***的電腦並運行服務,才能達到控制的目的。
因此只要你的電腦作了基本的安全配置,***是很難經過4899來控制你的。
九、禁用服務
打開控制面板,進入管理工具——服務,關閉如下服務
1.Alerter[通知選定的用戶和計算機管理警報]
2.ClipBook[啓用「剪貼簿查看器」儲存信息並與遠程計算機共享]
3.Distributed File System[將分散的文件共享合併成一個邏輯名稱,共享出去,關閉後遠程計算機沒法訪問共享
4.Distributed Link Tracking Server[適用局域網分佈式連接? 倏突Ф朔馷
5.Human Interface Device Access[啓用對人體學接口設備(HID)的通用輸入訪問]
6.IMAPI CD-Burning COM Service[管理 CD 錄製]
7.Indexing Service[提供本地或遠程計算機上文件的索引內容和屬性,泄露信息]
8.Kerberos Key Distribution Center[受權協議登陸網絡]
9.License Logging[監視IIS和SQL若是你沒安裝IIS和SQL的話就中止]
10.Messenger[警報]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]
12.Network DDE[爲在同一臺計算機或不一樣計算機上運行的程序提供動態數據交換]
13.Network DDE DSDM[管理動態數據交換 (DDE) 網絡共享]
14.Print Spooler[打印機服務,沒有打印機就禁止吧]
15.Remote Desktop Help& nbsp;Session Manager[管理並控制遠程協助]
16.Remote Registry[使遠程計算機用戶修改本地註冊表]
17.Routing and Remote Access[在局域網和廣域往提供路由服務.***理由路由服務刺探註冊信息]
18.Server[支持此計算機經過網絡的文件、打印、和命名管道共享]
19.Special Administration Console Helper[容許管理員使用緊急管理服務遠程訪問命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS
名稱解析的支持而使用戶可以共享文件、打印和登陸到網絡]
21.Telnet[容許遠程用戶登陸到此計算機並運行程序]
22.Terminal Services[容許用戶以交互方式鏈接到遠程計算機]
23.Window s Image Acquisition (WIA)[照相服務,應用與數碼攝象機]
2.ClipBook[啓用「剪貼簿查看器」儲存信息並與遠程計算機共享]
3.Distributed File System[將分散的文件共享合併成一個邏輯名稱,共享出去,關閉後遠程計算機沒法訪問共享
4.Distributed Link Tracking Server[適用局域網分佈式連接? 倏突Ф朔馷
5.Human Interface Device Access[啓用對人體學接口設備(HID)的通用輸入訪問]
6.IMAPI CD-Burning COM Service[管理 CD 錄製]
7.Indexing Service[提供本地或遠程計算機上文件的索引內容和屬性,泄露信息]
8.Kerberos Key Distribution Center[受權協議登陸網絡]
9.License Logging[監視IIS和SQL若是你沒安裝IIS和SQL的話就中止]
10.Messenger[警報]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]
12.Network DDE[爲在同一臺計算機或不一樣計算機上運行的程序提供動態數據交換]
13.Network DDE DSDM[管理動態數據交換 (DDE) 網絡共享]
14.Print Spooler[打印機服務,沒有打印機就禁止吧]
15.Remote Desktop Help& nbsp;Session Manager[管理並控制遠程協助]
16.Remote Registry[使遠程計算機用戶修改本地註冊表]
17.Routing and Remote Access[在局域網和廣域往提供路由服務.***理由路由服務刺探註冊信息]
18.Server[支持此計算機經過網絡的文件、打印、和命名管道共享]
19.Special Administration Console Helper[容許管理員使用緊急管理服務遠程訪問命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS
名稱解析的支持而使用戶可以共享文件、打印和登陸到網絡]
21.Telnet[容許遠程用戶登陸到此計算機並運行程序]
22.Terminal Services[容許用戶以交互方式鏈接到遠程計算機]
23.Window s Image Acquisition (WIA)[照相服務,應用與數碼攝象機]
若是發現機器開啓了一些很奇怪的服務,如r_server這樣的服務,必須立刻中止該服務,由於這徹底有多是***使用控制程序的服務端
十、帳號密碼的安全原則
十、帳號密碼的安全原則
首先禁用guest賬號,將系統內建的administrator賬號更名~~(改的越複雜越好,最好改爲中文的),並且要設置一個密碼,最好是8位以上字母數字符號組合。
(讓那些該死的***慢慢猜去吧~)
(讓那些該死的***慢慢猜去吧~)
若是你使用的是其餘賬號,最好不要將其加進administrators,若是加入administrators組,必定也要設置一個足夠安全的密 碼,同上若是你設置adminstrator的密碼時,最好在安全模式下設置,由於經我研究發現,在系統中擁有最高權限的賬號,不是正常登錄下的 adminitrator賬號,由於即便有了這個賬號,一樣能夠登錄安全模式,將sam文件刪除,從而更改系統的administrator的密碼!而在 安全模式下設置的administrator則不會出現這種狀況,由於不知道這個administrator密碼是沒法進入安全模式。權限達到最大這個是 密碼策略:用戶能夠根據本身的習慣設置密碼,下面是我建議的設置(關於密碼安全設置,我上面已經講了,這裏再也不羅嗦了。
打開管理工具.本地安全設置.密碼策略
打開管理工具.本地安全設置.密碼策略
1.密碼必須符合複雜要求性.啓用
2.密碼最小值.我設置的是8
3.密碼最長使用期限.我是默認設置42天
4.密碼最短使用期限0天
5.強制密碼歷史 記住0個密碼
6.用可還原的加密來存儲密碼 禁用
十一、本地策略:
2.密碼最小值.我設置的是8
3.密碼最長使用期限.我是默認設置42天
4.密碼最短使用期限0天
5.強制密碼歷史 記住0個密碼
6.用可還原的加密來存儲密碼 禁用
十一、本地策略:
這個很重要,能夠幫助咱們發現那些心存叵測的人的一舉一動,還能夠幫助咱們未來追查***。
(雖然通常***都會在走時會清除他在你電腦中留下的痕跡,不過也有一些不當心的)
打開管理工具
找到本地安全設置.本地策略.審覈策略
找到本地安全設置.本地策略.審覈策略
1.審覈策略更改 成功失敗
2.審覈登錄事件 成功失敗
3.審覈對象訪問 失敗
4.審覈跟蹤過程 無審覈
5.審覈目錄服務訪問 失敗
6.審覈特權使用 失敗
7.審覈系統事件 成功失敗
8.審覈賬戶登錄時間 成功失敗
9.審覈賬戶管理 成功失敗
&nb sp;而後再到管理工具找到
事件查看器
應用程序:右鍵>屬性>設置日誌大小上限,我設置了50mb,選擇不覆蓋事件
安全性:右鍵>屬性>設置日誌大小上限,我也是設置了50mb,選擇不覆蓋事件
系統:右鍵>屬性>設置日誌大小上限,我都是設置了50mb,選擇不覆蓋事件
2.審覈登錄事件 成功失敗
3.審覈對象訪問 失敗
4.審覈跟蹤過程 無審覈
5.審覈目錄服務訪問 失敗
6.審覈特權使用 失敗
7.審覈系統事件 成功失敗
8.審覈賬戶登錄時間 成功失敗
9.審覈賬戶管理 成功失敗
&nb sp;而後再到管理工具找到
事件查看器
應用程序:右鍵>屬性>設置日誌大小上限,我設置了50mb,選擇不覆蓋事件
安全性:右鍵>屬性>設置日誌大小上限,我也是設置了50mb,選擇不覆蓋事件
系統:右鍵>屬性>設置日誌大小上限,我都是設置了50mb,選擇不覆蓋事件
十二、本地安全策略:
打開管理工具
找到本地安全設置.本地策略.安全選項
1.交互式登錄.不須要按 Ctrl+Alt+Del 啓用 [根據我的須要,? 可是我我的是不須要直接輸入密碼登錄的]
2.網絡訪問.不容許SAM賬戶的匿名枚舉 啓用
3.網絡訪問.可匿名的共享 將後面的值刪除
4.網絡訪問.可匿名的命名管道 將後面的值刪除
5.網絡訪問.可遠程訪問的註冊表路徑 將後面的值刪除
6.網絡訪問.可遠程訪問的註冊表的子路徑 將後面的值刪除
7.網絡訪問.限制匿名訪問命名管道和共享
8.賬戶.(前面已經詳細講過拉 )
找到本地安全設置.本地策略.安全選項
1.交互式登錄.不須要按 Ctrl+Alt+Del 啓用 [根據我的須要,? 可是我我的是不須要直接輸入密碼登錄的]
2.網絡訪問.不容許SAM賬戶的匿名枚舉 啓用
3.網絡訪問.可匿名的共享 將後面的值刪除
4.網絡訪問.可匿名的命名管道 將後面的值刪除
5.網絡訪問.可遠程訪問的註冊表路徑 將後面的值刪除
6.網絡訪問.可遠程訪問的註冊表的子路徑 將後面的值刪除
7.網絡訪問.限制匿名訪問命名管道和共享
8.賬戶.(前面已經詳細講過拉 )
1三、用戶權限分配策略:
打開管理工具
找到本地安全設置.本地策略.用戶權限分配
1.從網絡訪問計算機 裏面通常默認有5個用戶,除Admin外咱們刪除4個,固然,等下咱們還得建一個屬於本身的ID
2.從遠程系統強制關機,Admin賬戶也刪除,一個都不留
3.拒絕從網絡訪問這臺計算機 將ID刪除
4.從網絡訪問此計算機,Admin也可刪除,若是你不使用相似3389服務
5.經過遠端強制關機。刪掉
附: 那咱們如今就來看看Windows
2000的默認權限設置究竟是怎樣的。對於各個卷的根目錄,默認給了Everyone組徹底控制權。這意味着任何進入電腦的用戶將不受限制的在這些根目錄 中隨心所欲。系統卷下有三個目錄比較特殊,系統默認給了他們有限制的權限,這三個目錄是Documents
and settings、Program files和Winnt。對於Documents and
settings,默認的權限是這樣分配的:Administrators擁有徹底控制權;Everyone擁有讀&運,列和讀權限;Power
users擁有讀&運,列和讀權限;SYSTEM同Administrators;Users擁有讀&運,列和讀權限。對於Program
files,Administrators擁有徹底控制權;Creator owner擁有特殊權限ower
users有徹底控制權;SYSTEM同Administrators;Terminal server
users擁有徹底控制權,Users有讀&運,列和讀權限。對於Winnt,Administrators擁有徹底控制權;Creator
owner擁有特殊權限ower
users有徹底控制權;SYSTEM同Administrators;Users有讀&運,列和讀權限。而非系統卷下的全部目錄都將繼承其父目錄的權限,也就是Everyone組徹底控制權!
找到本地安全設置.本地策略.用戶權限分配
1.從網絡訪問計算機 裏面通常默認有5個用戶,除Admin外咱們刪除4個,固然,等下咱們還得建一個屬於本身的ID
2.從遠程系統強制關機,Admin賬戶也刪除,一個都不留
3.拒絕從網絡訪問這臺計算機 將ID刪除
4.從網絡訪問此計算機,Admin也可刪除,若是你不使用相似3389服務
5.經過遠端強制關機。刪掉
附: 那咱們如今就來看看Windows
2000的默認權限設置究竟是怎樣的。對於各個卷的根目錄,默認給了Everyone組徹底控制權。這意味着任何進入電腦的用戶將不受限制的在這些根目錄 中隨心所欲。系統卷下有三個目錄比較特殊,系統默認給了他們有限制的權限,這三個目錄是Documents
and settings、Program files和Winnt。對於Documents and
settings,默認的權限是這樣分配的:Administrators擁有徹底控制權;Everyone擁有讀&運,列和讀權限;Power
users擁有讀&運,列和讀權限;SYSTEM同Administrators;Users擁有讀&運,列和讀權限。對於Program
files,Administrators擁有徹底控制權;Creator owner擁有特殊權限ower
users有徹底控制權;SYSTEM同Administrators;Terminal server
users擁有徹底控制權,Users有讀&運,列和讀權限。對於Winnt,Administrators擁有徹底控制權;Creator
owner擁有特殊權限ower
users有徹底控制權;SYSTEM同Administrators;Users有讀&運,列和讀權限。而非系統卷下的全部目錄都將繼承其父目錄的權限,也就是Everyone組徹底控制權!
1四、終端服務配置
打開管理工具
終端服務配置
終端服務配置
1.打開後,點鏈接,右鍵,屬性,遠程控制,點不容許遠程控制
2.常規,加密級別,高,在使用標準Windows驗證上點√!
3.網卡,將最多鏈接數上設置爲0
4.高級,將裏面的權限也刪除.[我沒設置]
再點服務器設置,在Active Desktop上,設置禁用,且限制每一個使用一個會話
2.常規,加密級別,高,在使用標準Windows驗證上點√!
3.網卡,將最多鏈接數上設置爲0
4.高級,將裏面的權限也刪除.[我沒設置]
再點服務器設置,在Active Desktop上,設置禁用,且限制每一個使用一個會話
1五、用戶和組策略
打開管理工具
計算機管理.本地用戶和組.用戶;
刪除Support_388945a0用戶等等
只留下你更改好名字的adminisrator權限
只留下你更改好名字的adminisrator權限
計算機管理.本地用戶和組.組
組.咱們就不分組了,每必要把
組.咱們就不分組了,每必要把
1六、本身動手DIY在本地策略的安全選項
1)當登錄時間用完時自動註銷用戶(本地) 防止***密碼***.
2)登錄屏幕上不顯示上次登錄名(遠程)若是開放3389服務,別人登錄時,就不會殘留有你登錄的用戶名.讓他去猜你的用戶名去吧.
3)對匿名鏈接的額外限制
4)禁止按 alt+crtl +del(不必)
5)容許在未登錄前關機[防止遠程關機/啓動、強制關機/啓動]
6)只有本地登錄用戶才能訪問cd-rom
7)只有本地登錄用戶才能訪問軟驅
8)取消關機緣由的提示
A、打開控制面板窗口,雙擊「電源選項」圖標,在隨後出現的電源屬性窗口中,進入到「高級」標籤頁面;
B、在該頁面的「電源按鈕」設置項處,將「在按下計算機電源按鈕時」設置爲「關機」,單擊「肯定」按鈕,來退出設置框;
C、之後須要關機時,能夠直接按下電源按鍵,就能直接關閉計算機了。固然,咱們也能啓用休眠功能鍵,來實現快速關機和開機;
D四、要是系統中沒有啓用休眠模式的話,能夠在控制面板窗口中,打開電源選項,進入到休眠標籤頁面,並在其中將「啓用休眠」選項選中就能夠了。
1)當登錄時間用完時自動註銷用戶(本地) 防止***密碼***.
2)登錄屏幕上不顯示上次登錄名(遠程)若是開放3389服務,別人登錄時,就不會殘留有你登錄的用戶名.讓他去猜你的用戶名去吧.
3)對匿名鏈接的額外限制
4)禁止按 alt+crtl +del(不必)
5)容許在未登錄前關機[防止遠程關機/啓動、強制關機/啓動]
6)只有本地登錄用戶才能訪問cd-rom
7)只有本地登錄用戶才能訪問軟驅
8)取消關機緣由的提示
A、打開控制面板窗口,雙擊「電源選項」圖標,在隨後出現的電源屬性窗口中,進入到「高級」標籤頁面;
B、在該頁面的「電源按鈕」設置項處,將「在按下計算機電源按鈕時」設置爲「關機」,單擊「肯定」按鈕,來退出設置框;
C、之後須要關機時,能夠直接按下電源按鍵,就能直接關閉計算機了。固然,咱們也能啓用休眠功能鍵,來實現快速關機和開機;
D四、要是系統中沒有啓用休眠模式的話,能夠在控制面板窗口中,打開電源選項,進入到休眠標籤頁面,並在其中將「啓用休眠」選項選中就能夠了。
9)禁止關機事件跟蹤
開始「Start ->」運行「 Run ->輸入」gpedit.msc 「,在出現的窗口的左邊部分,選擇
」計算機配置「(Computer Configuration )-> 」管理模板「(Administrative
Templates)-> 」系統「(System),在右邊窗口雙擊「Shutdown Event Tracker」
在出現的對話框中選擇「禁止」(Disabled),點擊而後「肯定」(OK)保存後退出這樣,你將看到相似於Windows
2000的關機窗口
開始「Start ->」運行「 Run ->輸入」gpedit.msc 「,在出現的窗口的左邊部分,選擇
」計算機配置「(Computer Configuration )-> 」管理模板「(Administrative
Templates)-> 」系統「(System),在右邊窗口雙擊「Shutdown Event Tracker」
在出現的對話框中選擇「禁止」(Disabled),點擊而後「肯定」(OK)保存後退出這樣,你將看到相似於Windows
2000的關機窗口
1七、常見端口的介紹
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [衝擊波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389 Terminal Services
4444[衝擊波]
UDP
67[衝擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP
Agent
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [衝擊波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389 Terminal Services
4444[衝擊波]
UDP
67[衝擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP
Agent
關於UDP通常只有騰訊QQ會打開4000或者是8000端口或者8080,那麼,咱們只運 行本機使用4000這幾個端口就好了
附:1 端口基礎知識大全(絕對好帖,加精吧!)
端口分爲3大類
1) 公認端口(Well Known Ports):從0到1023,它們緊密綁定於一些服務。一般 這些端口的通信明確代表了某種服
務的協議。例如:80端口實際上老是h++p通信。
1) 公認端口(Well Known Ports):從0到1023,它們緊密綁定於一些服務。一般 這些端口的通信明確代表了某種服
務的協議。例如:80端口實際上老是h++p通信。
2) 註冊端口(Registered Ports):從1024到49151。它們鬆散地綁定於一些服
務。也就是說有許多服務綁定於這些端口,這些端口一樣用於許多其它目的。例如: 許多系統處理動態端口從1024左右開始。
務。也就是說有許多服務綁定於這些端口,這些端口一樣用於許多其它目的。例如: 許多系統處理動態端口從1024左右開始。
3) 動態和/或私有端口(Dynamic and/or Private Ports):從49152到65535。
理論上,不該爲服務分配這些端口。實際上,機器一般從1024起分配動態端口。但也 有例外:SUN的RPC端口從32768開始。
理論上,不該爲服務分配這些端口。實際上,機器一般從1024起分配動態端口。但也 有例外:SUN的RPC端口從32768開始。
本節講述一般TCP/UDP端口掃描在防火牆記錄中的信息。
記住:並不存在所謂 ICMP端口。若是你對解讀ICMP數據感興趣,請參看本文的其它部分。
0 一般用於分析* 做系統。這一方*可以工做是由於在一些系統中「0」是無效端口,當你試 圖使用一
種一般的閉合端口鏈接它時將產生不一樣的結果。一種典型的掃描:使用IP地址爲 0.0.0.0,設置ACK位並在以太網層廣播。
種一般的閉合端口鏈接它時將產生不一樣的結果。一種典型的掃描:使用IP地址爲 0.0.0.0,設置ACK位並在以太網層廣播。
1 tcpmux這顯示有人在尋找SGIIrix機
器。Irix是實現tcpmux的主要提供者,缺省狀況下tcpmux在這種系統中被打開。Iris
機器在發佈時含有幾個缺省的無密碼的賬戶,如lp,guest, uucp, nuucp, demos, tutor, diag,
EZsetup, OutOfBox,
和4Dgifts。許多管理員安裝後忘記刪除這些賬戶。所以Hacker們在Internet上搜索 tcpmux 並利用這些賬戶。
器。Irix是實現tcpmux的主要提供者,缺省狀況下tcpmux在這種系統中被打開。Iris
機器在發佈時含有幾個缺省的無密碼的賬戶,如lp,guest, uucp, nuucp, demos, tutor, diag,
EZsetup, OutOfBox,
和4Dgifts。許多管理員安裝後忘記刪除這些賬戶。所以Hacker們在Internet上搜索 tcpmux 並利用這些賬戶。
7Echo你能看到許多人們搜索Fraggle放大器時,發送到x.x.x.0和x.x.x.255的信
息。常見的一種DoS***是echo循環(echo-loop),***者僞造從一個機器發送到另
一個UDP數據包,而兩個機器分別以它們最快的方式迴應這些數據包。(參見 Chargen)
另外一種東西是由DoubleClick在詞端口創建的TCP鏈接。有一種產品叫作 Resonate Global
Dispatch」,它與DNS的這一端口鏈接以肯定最近的路 由。Harvest/squid
cache將從3130端口發送UDPecho:「若是將cache的 source_ping on選項打開,它將對原始主機的UDP
echo端口迴應一個HIT reply。」這將會產生許多這類數據包。
息。常見的一種DoS***是echo循環(echo-loop),***者僞造從一個機器發送到另
一個UDP數據包,而兩個機器分別以它們最快的方式迴應這些數據包。(參見 Chargen)
另外一種東西是由DoubleClick在詞端口創建的TCP鏈接。有一種產品叫作 Resonate Global
Dispatch」,它與DNS的這一端口鏈接以肯定最近的路 由。Harvest/squid
cache將從3130端口發送UDPecho:「若是將cache的 source_ping on選項打開,它將對原始主機的UDP
echo端口迴應一個HIT reply。」這將會產生許多這類數據包。
11 sysstat這是一種UNIX服務,它會列出機器上全部正在運行的進程以及是什麼啓動
了這些進程。這爲***者提供了許多信息而威脅機器的安全,如暴露已知某些弱點或
賬戶的程序。這與UNIX系統中「ps」命令的結果類似再說一遍:ICMP沒有端口,ICMP port 11一般是ICMPtype=1119
chargen 這是一種僅僅發送字符的服務。UDP版本將 會在收到UDP包後迴應含有LJ字符的包。TCP連
接時,會發送含有LJ字符的數據流知道鏈接關閉。Hacker利用IP欺騙能夠發動DoS ***僞造兩
個chargen服務器之間的UDP因爲服務器企圖迴應兩個服務器之間的無限
的往返數據通信一個chargen和echo將致使服務器過載。一樣fraggle DoS***向目標
地址的這個端口廣播一個帶有僞造受害者IP的數據包,受害者爲了迴應這些數據而過 載。
21 ftp最多見的***者用於尋找打開「anonymous」的ftp服務器的方*。這些服務器
帶有可讀寫的目錄。Hackers或tackers利用這些服務器做爲傳送warez (私有程序)
和pr0n(故意拼錯詞而避免被搜索引擎分類)的節點。
了這些進程。這爲***者提供了許多信息而威脅機器的安全,如暴露已知某些弱點或
賬戶的程序。這與UNIX系統中「ps」命令的結果類似再說一遍:ICMP沒有端口,ICMP port 11一般是ICMPtype=1119
chargen 這是一種僅僅發送字符的服務。UDP版本將 會在收到UDP包後迴應含有LJ字符的包。TCP連
接時,會發送含有LJ字符的數據流知道鏈接關閉。Hacker利用IP欺騙能夠發動DoS ***僞造兩
個chargen服務器之間的UDP因爲服務器企圖迴應兩個服務器之間的無限
的往返數據通信一個chargen和echo將致使服務器過載。一樣fraggle DoS***向目標
地址的這個端口廣播一個帶有僞造受害者IP的數據包,受害者爲了迴應這些數據而過 載。
21 ftp最多見的***者用於尋找打開「anonymous」的ftp服務器的方*。這些服務器
帶有可讀寫的目錄。Hackers或tackers利用這些服務器做爲傳送warez (私有程序)
和pr0n(故意拼錯詞而避免被搜索引擎分類)的節點。
22 sshPcAnywhere創建TCP和這一端口的鏈接多是爲了尋找ssh。這一服務有許多弱
點。若是配置成特定的模式,許多使用RSAREF庫的版本有很多漏洞。(建議在其它端
口運行ssh)還應該注意的是ssh工具包帶有一個稱爲ake-ssh-known-hosts的程序。
它會掃描整個域的ssh主機。你有時會被使用這一程序的人無心中掃描到。UDP(而不
是TCP)與另外一端的5632端口相連意味着存在搜索pcAnywhere的掃描。5632 (十六進
制的0x1600)位交換後是0x0016(使進制的22)。
點。若是配置成特定的模式,許多使用RSAREF庫的版本有很多漏洞。(建議在其它端
口運行ssh)還應該注意的是ssh工具包帶有一個稱爲ake-ssh-known-hosts的程序。
它會掃描整個域的ssh主機。你有時會被使用這一程序的人無心中掃描到。UDP(而不
是TCP)與另外一端的5632端口相連意味着存在搜索pcAnywhere的掃描。5632 (十六進
制的0x1600)位交換後是0x0016(使進制的22)。
23 Telnet***者在搜索遠程登錄UNIX的服務。大多數狀況下***者掃描這一端口是
爲了找到機器運行的*做系統。此外使用其它技術,***者會找到密碼。
#2
爲了找到機器運行的*做系統。此外使用其它技術,***者會找到密碼。
#2
25 smtp***者(spammer)尋找SMTP服務器是爲了傳遞他們的spam。***者的賬戶總
被關閉,他們須要撥號鏈接到高帶寬的e-mail服務器上,將簡單的信息傳遞到不一樣的
地址。SMTP服務器(尤爲是sendmail)是進入系統的最經常使用方*之一,由於它們必須
完整的暴露於Internet且郵件的路由是複雜的(暴露+複雜=弱點)。
被關閉,他們須要撥號鏈接到高帶寬的e-mail服務器上,將簡單的信息傳遞到不一樣的
地址。SMTP服務器(尤爲是sendmail)是進入系統的最經常使用方*之一,由於它們必須
完整的暴露於Internet且郵件的路由是複雜的(暴露+複雜=弱點)。
53 DNSHacker或crackers多是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏
其它通信。所以防火牆經常過濾或記錄53端口。 須要注意的是你常會看到53端口作爲
UDP源端口。不穩定的防火牆一般容許這種通信並假設這是對DNS查詢的回覆。Hacker 常使用這種方*穿透防火牆。
其它通信。所以防火牆經常過濾或記錄53端口。 須要注意的是你常會看到53端口作爲
UDP源端口。不穩定的防火牆一般容許這種通信並假設這是對DNS查詢的回覆。Hacker 常使用這種方*穿透防火牆。
67和68 Bootp和DHCPUDP上的Bootp/DHCP:經過DSL和cable-modem的防火牆常會看
見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP服務器請求一個
地址分配。Hacker常進入它們分配一個地址把本身做爲局部路由器而發起大量的「中
間人」(man-in-middle)***。客戶端向68端口(bootps)廣播請求配置,服務器
向67端口(bootpc)廣播迴應請求。這種迴應使用廣播是由於客戶端還不知道能夠發 送的IP地址。69 TFTP(UDP)
許多服務器與bootp一塊兒提供這項服務,便於從系統下載 啓動代碼。可是它們經常錯誤配置而從系統提供任何文件,如密碼文件。它們也可用
於向系統寫入文件
見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP服務器請求一個
地址分配。Hacker常進入它們分配一個地址把本身做爲局部路由器而發起大量的「中
間人」(man-in-middle)***。客戶端向68端口(bootps)廣播請求配置,服務器
向67端口(bootpc)廣播迴應請求。這種迴應使用廣播是由於客戶端還不知道能夠發 送的IP地址。69 TFTP(UDP)
許多服務器與bootp一塊兒提供這項服務,便於從系統下載 啓動代碼。可是它們經常錯誤配置而從系統提供任何文件,如密碼文件。它們也可用
於向系統寫入文件
79 finger Hacker用於得到用戶信息,查詢*做系統,探測已知的緩衝區溢出錯誤, 迴應從本身機器到其它機器finger掃描。
98 linuxconf 這個程序提供linuxboxen的簡單管理。經過整合的h++p服務器在98端
口提供基於Web界面的服務。它已發現有許多安全問題。一些版本setuidroot,信任
局域網,在/tmp下創建Internet可訪問的文件,LANG環境變量有緩衝區溢出。 此外
由於它包含整合的服務器,許多典型的h++p漏洞可
能存在(緩衝區溢出,歷遍目錄等)109 POP2並不象POP3那樣有名,但許多服務器同
時提供兩種服務(向後兼容)。在同一個服務器上POP3的漏洞在POP2中一樣存在。
口提供基於Web界面的服務。它已發現有許多安全問題。一些版本setuidroot,信任
局域網,在/tmp下創建Internet可訪問的文件,LANG環境變量有緩衝區溢出。 此外
由於它包含整合的服務器,許多典型的h++p漏洞可
能存在(緩衝區溢出,歷遍目錄等)109 POP2並不象POP3那樣有名,但許多服務器同
時提供兩種服務(向後兼容)。在同一個服務器上POP3的漏洞在POP2中一樣存在。
110 POP3用於客戶端訪問服務器端的郵件服務。POP3服務有許多公認的弱點。關於用
戶名和密碼交換緩衝區溢出的弱點至少有20個(這意味着Hacker能夠在真正登錄前進 入系統)。成功登錄後還有其它緩衝區溢出錯誤。
戶名和密碼交換緩衝區溢出的弱點至少有20個(這意味着Hacker能夠在真正登錄前進 入系統)。成功登錄後還有其它緩衝區溢出錯誤。
111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。訪問portmapper是
掃描系統查看容許哪些RPC服務的最先的一步。常 見RPC服務有:pc.mountd, NFS, rpc.statd, rpc.csmd,
rpc.ttybd, amd等。***者發現了容許的RPC服務將轉向提 供 服務的特定端口測試漏洞。記住必定要記錄線路中的
daemon, IDS, 或sniffer,你能夠發現***者正使用什麼程序訪問以便發現到底發生 了什麼。
掃描系統查看容許哪些RPC服務的最先的一步。常 見RPC服務有:pc.mountd, NFS, rpc.statd, rpc.csmd,
rpc.ttybd, amd等。***者發現了容許的RPC服務將轉向提 供 服務的特定端口測試漏洞。記住必定要記錄線路中的
daemon, IDS, 或sniffer,你能夠發現***者正使用什麼程序訪問以便發現到底發生 了什麼。
113 Ident auth .這是一個許多機器上運行的協議,用於鑑別TCP鏈接的用戶。使用
標準的這種服務能夠得到許多機器的信息(會被Hacker利用)。可是它可做爲許多服 務的記錄器,尤爲是FTP, POP, IMAP,
SMTP和IRC等服務。一般若是有許多客戶經過 防火牆訪問這些服務,你將會看到許多這個端口的鏈接請求。記住,若是你阻斷這個
端口客戶端會感受到在防火牆另外一邊與e-mail服務器的緩慢鏈接。許多防火牆支持在
TCP鏈接的阻斷過程當中發回T,着將回中止這一緩慢的鏈接。
標準的這種服務能夠得到許多機器的信息(會被Hacker利用)。可是它可做爲許多服 務的記錄器,尤爲是FTP, POP, IMAP,
SMTP和IRC等服務。一般若是有許多客戶經過 防火牆訪問這些服務,你將會看到許多這個端口的鏈接請求。記住,若是你阻斷這個
端口客戶端會感受到在防火牆另外一邊與e-mail服務器的緩慢鏈接。許多防火牆支持在
TCP鏈接的阻斷過程當中發回T,着將回中止這一緩慢的鏈接。
119 NNTP news新聞組傳輸協議,承載USENET通信。當你連接到諸 如:
news:p.security.firewalls/.
的地址時一般使用這個端口。這個端口的鏈接 企圖一般是人們在尋找USENET服務器。多數ISP限制只有他們的客戶才能訪問他們的新
聞組服務器。打開新聞組服務器將容許發/讀任何人的帖子,訪問被限制的新聞組服務 器,匿名發帖或發送spam。
的地址時一般使用這個端口。這個端口的鏈接 企圖一般是人們在尋找USENET服務器。多數ISP限制只有他們的客戶才能訪問他們的新
聞組服務器。打開新聞組服務器將容許發/讀任何人的帖子,訪問被限制的新聞組服務 器,匿名發帖或發送spam。
135 oc-serv MS RPC end-point mapper Microsoft在這個端口運行DCE RPC end-
point mapper爲它的DCOM服務。這與UNIX 111端口的功能很類似。使用DCOM和/或 RPC的服務利用
機器上的end-point mapper註冊它們的位置。遠
端客戶鏈接到機器時,它們查詢end-point mapper找到服務的位置。一樣Hacker掃描
機器的這個端口是爲了找到諸如:這個機器上運 行Exchange Server嗎?是什麼版 本?
這個端口除了被用來查詢服務(如使用epdump)還能夠被用於直接***。有一些 DoS攻 擊直接針對這個端口。
point mapper爲它的DCOM服務。這與UNIX 111端口的功能很類似。使用DCOM和/或 RPC的服務利用
機器上的end-point mapper註冊它們的位置。遠
端客戶鏈接到機器時,它們查詢end-point mapper找到服務的位置。一樣Hacker掃描
機器的這個端口是爲了找到諸如:這個機器上運 行Exchange Server嗎?是什麼版 本?
這個端口除了被用來查詢服務(如使用epdump)還能夠被用於直接***。有一些 DoS攻 擊直接針對這個端口。
137 NetBIOS name service nbtstat (UDP)這是防火牆管理員最多見的信息,請仔
細閱讀文章後面的NetBIOS一節 139 NetBIOS File and Print Sharing
經過這個端口進入的鏈接試圖得到NetBIOS/SMB服務。這個協議被用於Windows「文件
和打印機共享」和SAMBA。在Internet上共享本身的硬盤是多是最多見的問題。 大
量針對這一端口始於1999,後來逐漸變少。2000年又有回升。一些VBS(IE5
VisualBasicScripting)開始將它們本身拷貝到這個端口,試圖在這個端口繁殖。
細閱讀文章後面的NetBIOS一節 139 NetBIOS File and Print Sharing
經過這個端口進入的鏈接試圖得到NetBIOS/SMB服務。這個協議被用於Windows「文件
和打印機共享」和SAMBA。在Internet上共享本身的硬盤是多是最多見的問題。 大
量針對這一端口始於1999,後來逐漸變少。2000年又有回升。一些VBS(IE5
VisualBasicScripting)開始將它們本身拷貝到這個端口,試圖在這個端口繁殖。
143 IMAP和上面POP3的安全問題同樣,許多IMAP服務器有緩衝區溢出漏洞運行登錄過
程中進入。記住:一種Linux蠕蟲(admw0rm)會經過這個端口繁殖,所以許多這個端
口的掃描來自不知情的已被感染的用戶。當RadHat在他們的Linux發佈版本中默認允
許IMAP後,這些漏洞變得流行起來。Morris蠕蟲之後這仍是第一次普遍傳播的蠕蟲。 這一端口還被用於IMAP2,但並不流行。
已有一些報道發現有些0到143端口的***源 於腳本。
程中進入。記住:一種Linux蠕蟲(admw0rm)會經過這個端口繁殖,所以許多這個端
口的掃描來自不知情的已被感染的用戶。當RadHat在他們的Linux發佈版本中默認允
許IMAP後,這些漏洞變得流行起來。Morris蠕蟲之後這仍是第一次普遍傳播的蠕蟲。 這一端口還被用於IMAP2,但並不流行。
已有一些報道發現有些0到143端口的***源 於腳本。
161 SNMP(UDP)***者常探測的端口。SNMP容許遠程管理設備。全部配置和運行信息
都儲存在數據庫中,經過SNMP客得到這些信息。許多管理員錯誤配置將它們暴露於
Internet。Crackers將試圖使用缺省的密碼「public」「private」訪問系統。他們 可能會試驗全部可能的組合。
SNMP包可能會被錯誤的指向你的網絡。Windows機器常 會由於錯誤配置將HP JetDirect rmote
management軟件使用SNMP。HP OBJECT
IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網 內廣播(cable modem,
DSL)查詢sysName和其它信
息。
都儲存在數據庫中,經過SNMP客得到這些信息。許多管理員錯誤配置將它們暴露於
Internet。Crackers將試圖使用缺省的密碼「public」「private」訪問系統。他們 可能會試驗全部可能的組合。
SNMP包可能會被錯誤的指向你的網絡。Windows機器常 會由於錯誤配置將HP JetDirect rmote
management軟件使用SNMP。HP OBJECT
IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名,你會看見這種包在子網 內廣播(cable modem,
DSL)查詢sysName和其它信
息。
162 SNMP trap 多是因爲錯誤配置
177 xdmcp 許多Hacker經過它訪問X-Windows控制檯,它同時須要打開6000端口。
513 rwho 多是從使用cable modem或DSL登錄到的子網中的UNIX機器發出的廣播。
這些人爲Hacker進入他們的系統提供了頗有趣的信息
這些人爲Hacker進入他們的系統提供了頗有趣的信息
553 CORBA IIOP (UDP) 若是你使用cable modem或DSL VLAN,你將會看到這個端口
的廣播。CORBA是一種面向對象的RPC(remote procedure call)系統。Hacker會利 用這些信息進入系統。
600 Pcserver backdoor 請查看1524端口一些玩script的孩
子認爲他們經過修改ingreslock和pcserver文件已經徹底攻破了系統-- Alan J. Rosenthal.
的廣播。CORBA是一種面向對象的RPC(remote procedure call)系統。Hacker會利 用這些信息進入系統。
600 Pcserver backdoor 請查看1524端口一些玩script的孩
子認爲他們經過修改ingreslock和pcserver文件已經徹底攻破了系統-- Alan J. Rosenthal.
635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數對這個端
口的掃描是基於UDP的,但基於TCP 的mountd有所增長(mountd同時運行於兩個端
口)。記住,mountd可運行於任何端口(到底在哪一個端口,須要在端口111作portmap
查詢),只是Linux默認爲635端口,就象NFS一般運行於2049
口的掃描是基於UDP的,但基於TCP 的mountd有所增長(mountd同時運行於兩個端
口)。記住,mountd可運行於任何端口(到底在哪一個端口,須要在端口111作portmap
查詢),只是Linux默認爲635端口,就象NFS一般運行於2049
1024 許多人問這個 端口是幹什麼的。它是動態端口的開始。許多程序並不在意用哪一個端口鏈接網絡,它
們請求*做系統爲它們分配「下一個閒置端口」。基於這一點分配從端口1024開始。
這意味着第一個向系統請求分配動態端口的程序將被分配端口1024。爲了驗證這一
點,你能夠重啓機器,打開Telnet,再打開一個窗口運行「natstat -a」,你將會看
到Telnet被分配1024端口。請求的程序越多,動態端口也越多。*做系統分配的端口
將逐漸變大。再來一遍,當你瀏覽Web頁時用「netstat」查看,每一個Web頁須要一個 新端口。 ?ersion 0.4.1, June
20, 2000 h++p://www.robertgraham.com/ pubs/firewall-seen.html
Copyright 1998-2000 by Robert Graham
( mailto:firewall-seen1@robertgraham.com.
All rights reserved. This document may only be reproduced (whole
orin part) for non-commercial purposes. All reproductions must
contain this copyright notice and must not be altered, except by
permission of the author.
#3
們請求*做系統爲它們分配「下一個閒置端口」。基於這一點分配從端口1024開始。
這意味着第一個向系統請求分配動態端口的程序將被分配端口1024。爲了驗證這一
點,你能夠重啓機器,打開Telnet,再打開一個窗口運行「natstat -a」,你將會看
到Telnet被分配1024端口。請求的程序越多,動態端口也越多。*做系統分配的端口
將逐漸變大。再來一遍,當你瀏覽Web頁時用「netstat」查看,每一個Web頁須要一個 新端口。 ?ersion 0.4.1, June
20, 2000 h++p://www.robertgraham.com/ pubs/firewall-seen.html
Copyright 1998-2000 by Robert Graham
( mailto:firewall-seen1@robertgraham.com.
All rights reserved. This document may only be reproduced (whole
orin part) for non-commercial purposes. All reproductions must
contain this copyright notice and must not be altered, except by
permission of the author.
#3
1025 參見1024
1026參見1024
1080 SOCKS 這一協議以管道方式穿過防火牆,容許防火牆後面的許多人經過一個IP 地址訪問Internet。理論上它應該只
容許內部的通訊向外達到Internet。可是因爲錯誤的配置,它會容許Hacker/Cracker 的位於防火牆外部的攻
擊穿過防火牆。或者簡單地迴應位於Internet上的計算機,從而掩飾他們對你的直接 ***。
WinGate是一種常見的Windows我的防火牆,常會發生上述的錯誤配置。在加入IRC聊 天室時常會看到這種狀況。
容許內部的通訊向外達到Internet。可是因爲錯誤的配置,它會容許Hacker/Cracker 的位於防火牆外部的攻
擊穿過防火牆。或者簡單地迴應位於Internet上的計算機,從而掩飾他們對你的直接 ***。
WinGate是一種常見的Windows我的防火牆,常會發生上述的錯誤配置。在加入IRC聊 天室時常會看到這種狀況。
1114 SQL 系統自己不多掃描這個端口,但經常是sscan腳本的一部分。
1243 Sub-7***(TCP)參見Subseven部分。
1524 ingreslock後門 許多***腳本將安裝一個後門Sh*ll 於這個端口(尤爲是那些
針對Sun系統中Sendmail和RPC服務漏洞的腳本,如statd,ttdbserver和cmsd)。如
果你剛剛安裝了你的防火牆就看到在這個端口上的鏈接企圖,極可能是上述緣由。你
能夠試試Telnet到你的機器上的這個端口,看看它是否會給你一個Sh*ll 。鏈接到 600/pcserver也存在這個問題。
針對Sun系統中Sendmail和RPC服務漏洞的腳本,如statd,ttdbserver和cmsd)。如
果你剛剛安裝了你的防火牆就看到在這個端口上的鏈接企圖,極可能是上述緣由。你
能夠試試Telnet到你的機器上的這個端口,看看它是否會給你一個Sh*ll 。鏈接到 600/pcserver也存在這個問題。
2049 NFS NFS程序常運行於這個端口。一般須要訪問portmapper查詢這個服務運行於
哪一個端口,可是大部分狀況是安裝後NFS杏謖飧齠絲冢?acker/Cracker於是能夠閉開 portmapper直接測試這個端口。
哪一個端口,可是大部分狀況是安裝後NFS杏謖飧齠絲冢?acker/Cracker於是能夠閉開 portmapper直接測試這個端口。
3128 squid 這是Squid h++p代理服務器的默認端口。***者掃描這個端口是爲了搜
尋一個代理服務器而匿名訪問Internet。你也會看到搜索其它代理服務器的端口:
000/8001/8080/8888。掃描這一端口的另外一緣由是:用戶正在進入聊天室。其它用戶
(或服務器自己)也會檢驗這個端口以肯定用戶的機器是否支持代理。請查看5.3節。
尋一個代理服務器而匿名訪問Internet。你也會看到搜索其它代理服務器的端口:
000/8001/8080/8888。掃描這一端口的另外一緣由是:用戶正在進入聊天室。其它用戶
(或服務器自己)也會檢驗這個端口以肯定用戶的機器是否支持代理。請查看5.3節。
5632 pcAnywere你會看到不少這個端口的掃描,這依賴於你所在的位置。當用戶打開
pcAnywere時,它會自動掃描局域網C類網以尋找可能得代理(譯者:指agent而不是
proxy)。Hacker/cracker也會尋找開放這種服務的機器,因此應該查看這種掃描的
源地址。一些搜尋pcAnywere的掃描常包含端口22的UDP數據包。參見撥號掃描。
pcAnywere時,它會自動掃描局域網C類網以尋找可能得代理(譯者:指agent而不是
proxy)。Hacker/cracker也會尋找開放這種服務的機器,因此應該查看這種掃描的
源地址。一些搜尋pcAnywere的掃描常包含端口22的UDP數據包。參見撥號掃描。
6776 Sub-7 artifact 這個端口是從Sub-7主端口分離出來的用於傳送數據的端口。
例如當控制者經過電話線控制另外一臺機器,而被控機器掛斷時你將會看到這種狀況。
所以當另外一人以此IP撥入時,他們將會看到持續的,在這個端口的鏈接企圖。(譯
者:即看到防火牆報告這一端口的鏈接企圖時,並不表示你已被Sub-7控制。)
例如當控制者經過電話線控制另外一臺機器,而被控機器掛斷時你將會看到這種狀況。
所以當另外一人以此IP撥入時,他們將會看到持續的,在這個端口的鏈接企圖。(譯
者:即看到防火牆報告這一端口的鏈接企圖時,並不表示你已被Sub-7控制。)
6970 RealAudio客戶將從服務器的6970-7170的UDP端口接收音頻數據流。這是由TCP7070
端口外向控制鏈接設置13223 PowWow PowWow 是Tribal Voice的聊天程序。它容許
用戶在此端口打開私人聊天的接。這一程序對於創建鏈接很是具備「進攻性」。它
會「駐紮」在這一TCP端口等待迴應。這形成相似心跳間隔的鏈接企圖。若是你是一個
撥號用戶,從另外一個聊天者手中「繼承」了IP地址這種狀況就會發生:好象不少不一樣
的人在測試這一端口。這一協議使用「OPNG」做爲其鏈接企圖的前四個字節。
端口外向控制鏈接設置13223 PowWow PowWow 是Tribal Voice的聊天程序。它容許
用戶在此端口打開私人聊天的接。這一程序對於創建鏈接很是具備「進攻性」。它
會「駐紮」在這一TCP端口等待迴應。這形成相似心跳間隔的鏈接企圖。若是你是一個
撥號用戶,從另外一個聊天者手中「繼承」了IP地址這種狀況就會發生:好象不少不一樣
的人在測試這一端口。這一協議使用「OPNG」做爲其鏈接企圖的前四個字節。
17027 Conducent這是一個外向鏈接。這是因爲公司內部有人安裝了帶有Conducent "adbot" 的共享軟件。
Conducent "adbot"是爲共享軟件顯示廣告服務的。使用這種服務的一種流行的軟件
是Pkware。有人試驗:阻斷這一外向鏈接不會有任何問題,可是封掉IP地址自己將會
致使adbots持續在每秒內試圖鏈接屢次而致使鏈接過載:
機器會不斷試圖解析DNS名─ads.conducent.com,即IP地址216.33.210.40 ;
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者:不
知NetAnts使用的Radiate是否也有這種現象)
Conducent "adbot"是爲共享軟件顯示廣告服務的。使用這種服務的一種流行的軟件
是Pkware。有人試驗:阻斷這一外向鏈接不會有任何問題,可是封掉IP地址自己將會
致使adbots持續在每秒內試圖鏈接屢次而致使鏈接過載:
機器會不斷試圖解析DNS名─ads.conducent.com,即IP地址216.33.210.40 ;
216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(譯者:不
知NetAnts使用的Radiate是否也有這種現象)
27374 Sub-7***(TCP) 參見Subseven部分。
30100 NetSphere***(TCP) 一般這一端口的掃描是爲了尋找中了NetSphere***。
31337 Back Orifice 「eliteHacker中31337讀作「elite」/ei’li:t/(譯者:*
語,譯爲中堅力量,精華。即 3=E, 1=L, 7=T)。所以許多後門程序運行於這一端 口。其中最有名的是Back
Orifice。曾經一段時間內這是Internet上最多見的掃描。 如今它的流行愈來愈少,其它的 ***程序愈來愈流行。
語,譯爲中堅力量,精華。即 3=E, 1=L, 7=T)。所以許多後門程序運行於這一端 口。其中最有名的是Back
Orifice。曾經一段時間內這是Internet上最多見的掃描。 如今它的流行愈來愈少,其它的 ***程序愈來愈流行。
31789 Hack-a-tack 這一端口的UDP通信一般是因爲"Hack-a-tack"遠程訪問*** (RAT,Remote
Access Trojan)。這種***包含內置的31790端口掃描器,所以任何 31789端口到317890端口的連
接意味着已經有這種***。(31789端口是控制連 接,317890端口是文件傳輸鏈接)
Access Trojan)。這種***包含內置的31790端口掃描器,所以任何 31789端口到317890端口的連
接意味着已經有這種***。(31789端口是控制連 接,317890端口是文件傳輸鏈接)
32770~32900 RPC服務 Sun Solaris的RPC服務在這一範圍內。詳細的說:早期版本
的Solaris(2.5.1以前)將 portmapper置於這一範圍內,即便低端口被防火牆封閉
仍然容許Hacker/cracker訪問這一端口。 掃描這一範圍內的端口不是爲了尋找
portmapper,就是爲了尋找可被***的已知的RPC服務。
的Solaris(2.5.1以前)將 portmapper置於這一範圍內,即便低端口被防火牆封閉
仍然容許Hacker/cracker訪問這一端口。 掃描這一範圍內的端口不是爲了尋找
portmapper,就是爲了尋找可被***的已知的RPC服務。
33434~33600 traceroute 若是你看到這一端口範圍內的UDP數據包(且只在此範圍
以內)則多是因爲traceroute。參見traceroute分。
以內)則多是因爲traceroute。參見traceroute分。
41508 Inoculan早期版本的Inoculan會在子網內產生大量的UDP通信用於識別彼此。 參見
h++p://www.circlemud.org/~jelson/software/udpsend.html
h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留端
口,因此它們幾乎不會是源端口。但有一些例外,例如來自NAT機器的鏈接。 常看見
緊接着1024的端口,它們是系統分配給那些並不在意使用哪一個端口鏈接的應用程序 的「動態端口」。 Server Client 服務描述
1-5/tcp 動態 FTP 1-5端口意味着sscan腳本
20/tcp 動態 FTP FTP服務器傳送文件的端口
53 動態 FTP DNS從這個端口發送UDP迴應。你也可能看見源/目標端口的TCP連 接。
123 動態 S/NTP 簡單網絡時間協議(S/NTP)服務器運行的端口。它們也會發送 到這個端口的廣播。
h++p://www.circlemud.org/~jelson/software/udpsend.html
h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留端
口,因此它們幾乎不會是源端口。但有一些例外,例如來自NAT機器的鏈接。 常看見
緊接着1024的端口,它們是系統分配給那些並不在意使用哪一個端口鏈接的應用程序 的「動態端口」。 Server Client 服務描述
1-5/tcp 動態 FTP 1-5端口意味着sscan腳本
20/tcp 動態 FTP FTP服務器傳送文件的端口
53 動態 FTP DNS從這個端口發送UDP迴應。你也可能看見源/目標端口的TCP連 接。
123 動態 S/NTP 簡單網絡時間協議(S/NTP)服務器運行的端口。它們也會發送 到這個端口的廣播。
27910~27961/udp 動態 Quake Quake或Quake引擎驅動的遊戲在這一端口運行其
服務器。所以來自這一端口範圍的UDP包或發送至這一端口範圍的UDP包一般是遊戲。
服務器。所以來自這一端口範圍的UDP包或發送至這一端口範圍的UDP包一般是遊戲。
61000以上 動態 FTP 61000以上的端口可能來自Linux NAT服務器
#4
#4
端口大全(中文翻譯)
1 tcpmux TCP Port Service Multiplexer 傳輸控制協議端口服務多路開關選擇器
2 compressnet Management Utility compressnet 管理實用程序
3 compressnet Compression Process 壓縮進程
5 rje Remote Job Entry 遠程做業登陸
7 echo Echo 回顯
9 discard Discard 丟棄
11 systat Active Users 在線用戶
13 daytime Daytime 時間
17 qotd Quote of the Day 每日引用
18 msp Message Send Protocol 消息發送協議
19 chargen Character Generator 字符發生器
20 ftp-data File Transfer [Default Data] 文件傳輸協議(默認數據口)
21 ftp File Transfer [Control] 文件傳輸協議(控制)
22 ssh SSH Remote Login Protocol SSH遠程登陸協議
23 telnet Telnet 終端仿真協議
24 ? any private mail system 預留給我的用郵件系統
25 smtp Simple Mail Transfer 簡單郵件發送協議
27 nsw-fe NSW User System FE NSW 用戶系統現場工程師
29 msg-icp MSG ICP MSG ICP
31 msg-auth MSG Authentication MSG驗證
33 dsp Display Support Protocol 顯示支持協議
35 ? any private printer server 預留給我的打印機服務
37 time Time 時間
38 rap Route Access Protocol 路由訪問協議
39 rlp Resource Location Protocol 資源定位協議
41 graphics Graphics 圖形
42 nameserver WINS Host Name Server WINS 主機名服務
43 nicname Who Is "綽號" who is服務
44 mpm-flags MPM FLAGS Protocol MPM(消息處理模塊)標誌協議
45 mpm Message Processing Module [recv] 消息處理模塊
46 mpm-snd MPM [default send] 消息處理模塊(默認發送口)
47 ni-ftp NI FTP NI FTP
48 auditd Digital Audit Daemon 數碼音頻後臺服務
49 tacacs Login Host Protocol (TACACS) TACACS登陸主機協議
50 re-mail-ck Remote Mail Checking Protocol 遠程郵件檢查協議
51 la-maint IMP Logical Address Maintenance IMP(接口信息處理機)邏輯地址維護
52 xns-time XNS Time Protocol 施樂網絡服務系統時間協議
53 domain Domain Name Server 域名服務器
54 xns-ch XNS Clearinghouse 施樂網絡服務系統票據交換
55 isi-gl ISI Graphics Language ISI圖形語言
56 xns-auth XNS Authentication 施樂網絡服務系統驗證
57 ? any private terminal access 預留我的用終端訪問
58 xns-mail XNS Mail 施樂網絡服務系統郵件
59 ? any private file service 預留我的文件服務
60 ? Unassigned 未定義
61 ni-mail NI MAIL NI郵件?
62 acas ACA Services 異步通信適配器服務
63 whois+ whois+ WHOIS+
64 covia Communications Integrator (CI) 通信接口
65 tacacs-ds TACACS-Database Service TACACS數據庫服務
66 sql*net Oracle SQL*NET Oracle SQL*NET
67 bootps Bootstrap Protocol Server 引導程序協議服務端
68 bootpc Bootstrap Protocol Client 引導程序協議客戶端
69 tftp Trivial File Transfer 小型文件傳輸協議
70 gopher Gopher 信息檢索協議
71 netrjs-1 Remote Job Service 遠程做業服務
72 netrjs-2 Remote Job Service 遠程做業服務
73 netrjs-3 Remote Job Service 遠程做業服務
74 netrjs-4 Remote Job Service 遠程做業服務
75 ? any private dial out service 預留給我的撥出服務
76 deos Distributed External Object Store 分佈式外部對象存儲
77 ? any private RJE service 預留給我的遠程做業輸入服務
78 vettcp vettcp 修正TCP?
79 finger Finger FINGER(查詢遠程主機在線用戶等信息)
80 http World Wide Web HTTP 全球信息網超文本傳輸協議
81 hosts2-ns HOSTS2 Name Server HOST2名稱服務
82 xfer XFER Utility 傳輸實用程序
83 mit-ml-dev MIT ML Device 模塊化智能終端ML設備
84 ctf Common Trace Facility 公用追蹤設備
85 mit-ml-dev MIT ML Device 模塊化智能終端ML設備
86 mfcobol Micro Focus Cobol Micro Focus Cobol編程語言
87 ? any private terminal link 預留給我的終端鏈接
88 kerberos Kerberos Kerberros安全認證系統
89 su-mit-tg SU/MIT Telnet Gateway SU/MIT終端仿真網關
90 dnsix DNSIX Securit Attribute Token Map DNSIX 安全屬性標記圖
91 mit-dov MIT Dover Spooler MIT Dover假脫機
92 npp Network Printing Protocol 網絡打印協議
93 dcp Device Control Protocol 設備控制協議
94 objcall Tivoli Object Dispatcher Tivoli對象調度
95 supdup SUPDUP
96 dixie DIXIE Protocol Specification DIXIE協議規範
97 swift-rvf Swift Remote Virtural File Protocol 快速遠程虛擬文件協議
98 tacnews TAC News TAC(東京大學自動計算機)新聞協議
99 metagram Metagram Relay
100 newacct [unauthorized use]
1 tcpmux TCP Port Service Multiplexer 傳輸控制協議端口服務多路開關選擇器
2 compressnet Management Utility compressnet 管理實用程序
3 compressnet Compression Process 壓縮進程
5 rje Remote Job Entry 遠程做業登陸
7 echo Echo 回顯
9 discard Discard 丟棄
11 systat Active Users 在線用戶
13 daytime Daytime 時間
17 qotd Quote of the Day 每日引用
18 msp Message Send Protocol 消息發送協議
19 chargen Character Generator 字符發生器
20 ftp-data File Transfer [Default Data] 文件傳輸協議(默認數據口)
21 ftp File Transfer [Control] 文件傳輸協議(控制)
22 ssh SSH Remote Login Protocol SSH遠程登陸協議
23 telnet Telnet 終端仿真協議
24 ? any private mail system 預留給我的用郵件系統
25 smtp Simple Mail Transfer 簡單郵件發送協議
27 nsw-fe NSW User System FE NSW 用戶系統現場工程師
29 msg-icp MSG ICP MSG ICP
31 msg-auth MSG Authentication MSG驗證
33 dsp Display Support Protocol 顯示支持協議
35 ? any private printer server 預留給我的打印機服務
37 time Time 時間
38 rap Route Access Protocol 路由訪問協議
39 rlp Resource Location Protocol 資源定位協議
41 graphics Graphics 圖形
42 nameserver WINS Host Name Server WINS 主機名服務
43 nicname Who Is "綽號" who is服務
44 mpm-flags MPM FLAGS Protocol MPM(消息處理模塊)標誌協議
45 mpm Message Processing Module [recv] 消息處理模塊
46 mpm-snd MPM [default send] 消息處理模塊(默認發送口)
47 ni-ftp NI FTP NI FTP
48 auditd Digital Audit Daemon 數碼音頻後臺服務
49 tacacs Login Host Protocol (TACACS) TACACS登陸主機協議
50 re-mail-ck Remote Mail Checking Protocol 遠程郵件檢查協議
51 la-maint IMP Logical Address Maintenance IMP(接口信息處理機)邏輯地址維護
52 xns-time XNS Time Protocol 施樂網絡服務系統時間協議
53 domain Domain Name Server 域名服務器
54 xns-ch XNS Clearinghouse 施樂網絡服務系統票據交換
55 isi-gl ISI Graphics Language ISI圖形語言
56 xns-auth XNS Authentication 施樂網絡服務系統驗證
57 ? any private terminal access 預留我的用終端訪問
58 xns-mail XNS Mail 施樂網絡服務系統郵件
59 ? any private file service 預留我的文件服務
60 ? Unassigned 未定義
61 ni-mail NI MAIL NI郵件?
62 acas ACA Services 異步通信適配器服務
63 whois+ whois+ WHOIS+
64 covia Communications Integrator (CI) 通信接口
65 tacacs-ds TACACS-Database Service TACACS數據庫服務
66 sql*net Oracle SQL*NET Oracle SQL*NET
67 bootps Bootstrap Protocol Server 引導程序協議服務端
68 bootpc Bootstrap Protocol Client 引導程序協議客戶端
69 tftp Trivial File Transfer 小型文件傳輸協議
70 gopher Gopher 信息檢索協議
71 netrjs-1 Remote Job Service 遠程做業服務
72 netrjs-2 Remote Job Service 遠程做業服務
73 netrjs-3 Remote Job Service 遠程做業服務
74 netrjs-4 Remote Job Service 遠程做業服務
75 ? any private dial out service 預留給我的撥出服務
76 deos Distributed External Object Store 分佈式外部對象存儲
77 ? any private RJE service 預留給我的遠程做業輸入服務
78 vettcp vettcp 修正TCP?
79 finger Finger FINGER(查詢遠程主機在線用戶等信息)
80 http World Wide Web HTTP 全球信息網超文本傳輸協議
81 hosts2-ns HOSTS2 Name Server HOST2名稱服務
82 xfer XFER Utility 傳輸實用程序
83 mit-ml-dev MIT ML Device 模塊化智能終端ML設備
84 ctf Common Trace Facility 公用追蹤設備
85 mit-ml-dev MIT ML Device 模塊化智能終端ML設備
86 mfcobol Micro Focus Cobol Micro Focus Cobol編程語言
87 ? any private terminal link 預留給我的終端鏈接
88 kerberos Kerberos Kerberros安全認證系統
89 su-mit-tg SU/MIT Telnet Gateway SU/MIT終端仿真網關
90 dnsix DNSIX Securit Attribute Token Map DNSIX 安全屬性標記圖
91 mit-dov MIT Dover Spooler MIT Dover假脫機
92 npp Network Printing Protocol 網絡打印協議
93 dcp Device Control Protocol 設備控制協議
94 objcall Tivoli Object Dispatcher Tivoli對象調度
95 supdup SUPDUP
96 dixie DIXIE Protocol Specification DIXIE協議規範
97 swift-rvf Swift Remote Virtural File Protocol 快速遠程虛擬文件協議
98 tacnews TAC News TAC(東京大學自動計算機)新聞協議
99 metagram Metagram Relay
100 newacct [unauthorized use]
1八、另外介紹一下如何查看本機打開的端口和tcp\ip端口的過濾
開始--運行--cmd
輸入命令netstat -a
會看到例如(這是個人機器開放的端口)
Proto Local Address Foreign Address State
TCP yf001:epmap yf001:0 LISTE
TCP yf001:1025(端口號) yf001:0 LISTE
TCP (用戶名)yf001:1035 yf001:0 LISTE
TCP yf001:netbios-ssn yf001:0 LISTE
UDP yf001:1129 *:*
UDP yf001:1183 *:*
UDP yf001:1396 *:*
UDP yf001:1464 *:*
UDP yf001:1466 *:*
UDP yf001:4000 *:*
UDP yf001:4002 *:*
UDP yf001:6000 *:*
UDP yf001:6001 *:*
UDP yf001:6002 *:*
UDP yf001:6003 *:*
UDP yf001:6004 *:*
UDP yf001:6005 *:*
UDP yf001:6006 *:*
UDP yf001:6007 *:*
UDP yf001:1030 *:*
UDP yf001:1048 *:*
UDP yf001:1144 *:*
UDP yf001:1226 *:*
UDP yf001:1390 *:*
UDP yf001:netbios-ns *:*
UDP yf001:netbios-dgm *:*
UDP yf001:isakmp *:*
TCP yf001:epmap yf001:0 LISTE
TCP yf001:1025(端口號) yf001:0 LISTE
TCP (用戶名)yf001:1035 yf001:0 LISTE
TCP yf001:netbios-ssn yf001:0 LISTE
UDP yf001:1129 *:*
UDP yf001:1183 *:*
UDP yf001:1396 *:*
UDP yf001:1464 *:*
UDP yf001:1466 *:*
UDP yf001:4000 *:*
UDP yf001:4002 *:*
UDP yf001:6000 *:*
UDP yf001:6001 *:*
UDP yf001:6002 *:*
UDP yf001:6003 *:*
UDP yf001:6004 *:*
UDP yf001:6005 *:*
UDP yf001:6006 *:*
UDP yf001:6007 *:*
UDP yf001:1030 *:*
UDP yf001:1048 *:*
UDP yf001:1144 *:*
UDP yf001:1226 *:*
UDP yf001:1390 *:*
UDP yf001:netbios-ns *:*
UDP yf001:netbios-dgm *:*
UDP yf001:isakmp *:*
如今講講基於Windows的tcp/ip的過濾
控制面板——網絡和撥號鏈接——本地鏈接——INTERNET協議(tcp/ip)--屬性--高級---選項-tcp/ip篩選--屬性!!
而後添加須要的tcp 和UDP端口就能夠了~若是對端口不是很瞭解的話,不要輕易進行過濾,否則可能會致使一些程序沒法使用。
1九、
(1)、移動「個人文檔」
1九、
(1)、移動「個人文檔」
進入資源管理器,右擊「個人文檔」,選擇「屬性」,在「目標文件夾」選項卡中點「移動」按鈕,選擇目標盤後按「肯定」便可。在Windows
2003 中「個人文檔」已難覓芳蹤,桌面、開始等處都看不到了,建議常用的朋友作個快捷方式放到桌面上。
(2)、移動IE臨時文件
進入「開始→控制面板→Internet 選項」,在「常規」選項「Internet
文件」欄中點「設置」按鈕,在彈出窗體中點「移動文件夾」按鈕,選擇目標文件夾後,點「肯定」,在彈出對話框中選擇「是」,系統會自動從新登陸。點本地連 接>高級>安全日誌,把日誌的目錄更改專門分配日誌的目錄,不建議是C:再從新分配日誌存儲值的大小,我是設置了10000KB。
20、避免被惡意代碼 ***等病毒***
以上主要講怎樣防止***的惡意***,下面講避免機器被惡意代碼,***之類的病毒***。
2003 中「個人文檔」已難覓芳蹤,桌面、開始等處都看不到了,建議常用的朋友作個快捷方式放到桌面上。
(2)、移動IE臨時文件
進入「開始→控制面板→Internet 選項」,在「常規」選項「Internet
文件」欄中點「設置」按鈕,在彈出窗體中點「移動文件夾」按鈕,選擇目標文件夾後,點「肯定」,在彈出對話框中選擇「是」,系統會自動從新登陸。點本地連 接>高級>安全日誌,把日誌的目錄更改專門分配日誌的目錄,不建議是C:再從新分配日誌存儲值的大小,我是設置了10000KB。
20、避免被惡意代碼 ***等病毒***
以上主要講怎樣防止***的惡意***,下面講避免機器被惡意代碼,***之類的病毒***。
其實方法很簡單,惡意代碼的類型及其對付方法:
1. 禁止使用電腦 危害程度:★★★★ 感染機率:**
1. 禁止使用電腦 危害程度:★★★★ 感染機率:**
現象描述:儘管網絡流氓們用這一招的很少,可是一旦你中招了,後果然是不堪設想!瀏覽了含有這種惡意代碼的網頁其後果是:"關閉系統"、"運行"、"註銷"、註冊表編輯器、DOS程序、運行任何程序被禁止,系統沒法進入"實模式"、驅動器被隱藏。
解決辦法:通常來講上述八大現象你都趕上了的話,基本上系統就給"廢"了,建議重裝。
2. 格式化硬盤 危害程度:★★★★★ 感染機率:*
現象描述:這類惡意代碼的特徵就是利用IE執行ActiveX的功能,讓你無心中格式化本身的硬盤。只要你瀏覽了含有它的網頁,瀏覽器就會彈出一個警告 說"當前的頁面含有不安全的ActiveX,可能會對你形成危害",問你是否執行。若是你選擇"是"的話,硬盤就會被快速格式化,由於格式化時窗口是最小 化的,你可能根本就沒注意,等發現時已悔之晚矣。
解決辦法:除非你知道本身是在作什麼,不然不要隨便回答"是"。該提示信息還能夠被修改,如改爲"Windows正在刪除本機的臨時文件,是否繼續",所 以千萬要注意!此外,將計算機上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令更名也是一個辦法。
3. 下載運行***程序 危害程度:★★★ 感染機率:***
現象描述:在網頁上瀏覽也會中***?固然,因爲IE5.0自己的漏洞,使這樣的新式***手法成爲可能,方法就是利用了微軟的能夠嵌入exe文件的eml文 件的漏洞,將***放在eml文件裏,而後用一段惡意代碼指向它。上網者瀏覽到該惡意網頁,就會在不知不覺中下載了***並執行,其間竟然沒有任何提示和警 告!
解決辦法:第一個辦法是升級您的IE5.0,IE5.0以上版本沒這毛病;此外,安裝金山毒霸、Norton等病毒防火牆,它會把網頁***看成病毒迅速查截殺。
4. 註冊表的鎖定 危害程度:★★ 感染機率:***
現象描述:有時瀏覽了惡意網頁後系統被修改,想要用Regedit更改時,卻發現系統提示你沒有權限運行該程序,而後讓你聯繫管理員。暈了!動了個人東西還不讓改,這是哪門子的道理!
解決辦法:可以修改註冊表的又不止Regedit一個,找一個註冊表編輯器,例如:Reghance。將註冊表中的 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 下的DWORD值"DisableRegistryTools"鍵值恢復爲"0",便可恢復註冊表。
5. 默認主頁修改 危害程度:★★★ 感染機率:*****
現象描述:一些網站爲了提升本身的訪問量和作廣告宣傳,利用IE的漏洞,將訪問者的IE不禁分說地進行修改。通常改掉你的起始頁和默認主頁,爲了避免讓你改回去,甚至將IE選項中的默認主頁按鈕變爲失效的灰色。不愧是網絡流氓的一慣作風。
解決辦法:1.起始頁的修改。展開註冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Main,在右半部分窗口中將"Start
Page"的鍵值改成"about:blank"便可。同理,展開註冊表到HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main,在右半部分窗口中將"Start Page"的鍵值改成"about:blank"便可。
注意:有時進行了以上步驟後仍然沒有生效,估計是有程序加載到了啓動項的緣故,就算修改了,下次啓動時也會自動運行程序,將上述設置改回來,解決方法以下:
運行註冊表編輯器Regedit.exe,而後依次展開 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主鍵,而後將下面 的"registry.exe"子鍵(名字不固定)刪除,最後刪除硬盤裏的同名可執行程序。退出註冊編輯器,從新啓動計算機,問題就解決了。
2.默認主頁的修改。運行註冊表編輯器,展開HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Main\,將Default-Page-URL子鍵的鍵值中的那些惡意網站的網址改正,或者設置爲IE的默認值。
3.IE選項按鈕失效。運行註冊表編輯器,將HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet
Explorer\Control
Panel中的DWORD值"Settings"=dword:一、"Links"=dword:一、"SecAddSites"=dword:1所有改 爲"0",將HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet
Explorer\Control Panel下的DWORD值"homepage"的鍵值改成"0"。
6. 篡改IE標題欄 危害程度:★ 感染機率:*****
現象描述:在系統默認狀態下,由應用程序自己來提供標題欄的信息。可是,有些網絡流氓爲了達到廣告宣傳的目的,將串值"Windows
Title"下的鍵值改成其網站名或更多的廣告信息,從而達到改變IE標題欄的目的。非要別人看他的東西,並且是經過非法的修改手段,除了"無恥"兩個字,再沒有其它形容詞了。
解決辦法:展開註冊表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Main\下,在右半部分窗口找到串值"Windows Title",將該串值刪除。從新啓動計算機。
7. 篡改默認搜索引擎 危害程度:★★★ 感染機率:*
現象描述:在IE瀏覽器的工具欄中有一個搜索引擎的工具按鈕,能夠實現網絡搜索,被篡改後只要點擊那個搜索工具按鈕就會連接到網絡注氓想要你去的網站。
解決辦法:運行註冊表編輯器,依次展開HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Search\SearchAssistant,將CustomizeSearch及SearchAssistant的鍵值改成某個搜索引擎的網址便可
8. IE右鍵修改 危害程度:★★ 感染機率:***
現象描述:有的網絡流氓爲了宣傳的目的,將你的右鍵彈出的功能菜單進行了修改,而且加入了一些亂七八糟的東西,甚至爲了禁止你下載,將IE窗口中單擊右鍵的功能都屏蔽掉。
解決辦法:1.右鍵菜單被修改。打開註冊表編輯器,找到HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\MenuExt,刪除相關的廣告條文。
2.右鍵功能失效。打開註冊表編輯器,展開到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet
Explorer\Restrictions,將其DWORD值"NoBrowserContextMenu"的值改成0。
9. 篡改地址欄文字 危害程度:★★ 感染機率:***
現象描述:中招者的IE地址欄下方出現一些莫名其妙的文字和圖標,地址欄裏的下拉框裏也有大量的地址,並非你之前訪問過的。
解決辦法:1.地址欄下的文字。在HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\ToolBar下找到鍵值LinksFolderName,將其中的內容刪去便可。
2.地址欄中無用的地址。在HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\TypeURLs中刪除無用的鍵值便可。
同時咱們須要在系統中安裝殺毒軟件
如 卡巴基斯,瑞星,McAfee等
還有防止***的***剋星(可選)
而且可以及時更新你的病毒定義庫,按期給你的系統進行全面殺毒。殺毒務必在安全模式下進行,這樣纔能有效清除電腦內的病毒以及駐留在系統的非法文件。
還有就是必定要給本身的系統及時的打上補丁,安裝最新的升級包。微軟的補丁通常會在漏洞發現半個月後發佈,並且若是你使用的是中文版的操做系統,那麼至少要等一個月的時間才能下到補丁,也就是說這一個月的時間內你的系統由於這個漏洞是很危險的。
本人強烈建議我的用戶安裝使用防火牆(目前最有效的方式)
例如:天網我的防火牆、諾頓防火牆、ZoneAlarm等等。
由於防火牆具備數據過濾功能,能夠有效的過濾掉惡意代碼,和阻止DDOS***等等。總之現在的防火牆功能強大,連漏洞掃描都有,因此你只要安裝防火牆 就能夠杜絕大多數網絡***,可是就算是裝防火牆也不要覺得就萬事無憂。由於安全只是相對的,若是哪一個邪派高手看上你的機器,防火牆也無濟於事。咱們只能盡 量提升咱們的安全係數,儘可能把損失減小到最小。若是還不放心也能夠安裝密罐和IDS***檢測系統。而對於防火牆我我的認爲關鍵是IP策略的正確使用,不然 可能會勢的起反。 安全意識也很重要,咱們平時上網的時候都應該有一個好的安全意識。加上咱們的不懈努力,相信咱們的網絡生活會更美好。
相關文章
- 1. SELinux安全防禦
- 2. linux 安全防禦
- 3. windows安全防禦
- 4. Android安全防禦
- 5. SELinux的安全防禦
- 6. 全球DDOS安全防禦
- 7. 服務器安全防禦
- 8. web安全及防禦
- 9. 網絡層安全防禦
- 10. spring security安全防禦
- 更多相關文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • C# 不安全代碼 - C#教程
- • Composer 安裝與使用
- • Tomcat學習筆記(史上最全tomcat學習筆記)
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. No provider available from registry 127.0.0.1:2181 for service com.ddbuy.ser 解決方法
- 2. Qt5.7以上調用虛擬鍵盤(支持中文),以及源碼修改(可拖動,水平縮放)
- 3. 軟件測試面試- 購物車功能測試用例設計
- 4. ElasticSearch(概念篇):你知道的, 爲了搜索…
- 5. redux理解
- 6. gitee創建第一個項目
- 7. 支持向量機之硬間隔(一步步推導,通俗易懂)
- 8. Mysql 異步複製延遲的原因及解決方案
- 9. 如何在運行SEPM配置嚮導時將不可認的複雜數據庫密碼改爲簡單密碼
- 10. windows系統下tftp服務器使用
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. SELinux安全防禦
- 2. linux 安全防禦
- 3. windows安全防禦
- 4. Android安全防禦
- 5. SELinux的安全防禦
- 6. 全球DDOS安全防禦
- 7. 服務器安全防禦
- 8. web安全及防禦
- 9. 網絡層安全防禦
- 10. spring security安全防禦