135 139 445端口的含義
135端口
在許多“網管”眼裏,135端口是最讓人捉摸不透的端口,因爲他們中的大多數都無法明確地瞭解到135端口的真正作用,也不清楚該端口到底會有哪些潛在的危險。直到一種名爲“IEen”的專業遠程控制工具出現,人們才清楚135端口究竟會有什麼樣的潛在安全威脅。
IEen工具能夠藉助135端口輕鬆連接到Internet上的其他工作站,並遠程控制該工作站的IE瀏覽器。例如,在瀏覽器中執行的任何操作,包括瀏覽頁面內容、輸入帳號密碼、輸入搜索關鍵字等,都會被IEen工具監控到。甚至在網上銀行中輸入的各種密碼信息,都能被IEen工具清楚地獲得。除了可以對遠程工作站上的IE瀏覽器進行操作、控制外,IEen工具通過135端口幾乎可以對所有的藉助DCOM開發技術設計出來的應用程序進行遠程控制,例如IEen工具也能輕鬆進入到正在運行Excel的計算機中,直接對Excel進行各種編輯操作。
怎麼樣?135端口對外開放是不是很危險呀?當然,這種危險畢竟是理論上的,要想真正地通過135端口入侵其他系統,還必須提前知道對方計算機的IP地址、系統登錄名和密碼等。只要你嚴格保密好這些信息,你的計算機被IEen工具攻擊的可能性幾乎不存在。
爲什麼IEen工具能利用135端口攻擊其他計算機呢?原來該工具採用了一種DCOM技術,可以直接對其他工作站的DCOM程序進行遠程控制。DCOM技術與對方計算機進行通信時,會自動調用目標主機中的RPC服務,而RPC服務將自動詢問目標主機中的135端口,當前有哪些端口可以被用來通信。如此一來,目標主機就會提供一個可用的服務端口作爲數據傳輸通道使用。在這一通信過程中,135端口的作用其實就是爲RPC通信提供一種服務端口的映射功能。說簡單一點,135端口就是RPC通信中的橋樑。
137端口
137端口的主要作用是在局域網中提供計算機的名字或IP地址查詢服務,一般安裝了NetBIOS協議後,該端口會自動處於開放狀態。
要是非法入侵者知道目標主機的IP地址,並向該地址的137端口發送一個連接請求時,就可能獲得目標主機的相關名稱信息。例如目標主機的計算機名稱,註冊該目標主機的用戶信息,目標主機本次開機、關機時間等。此外非法入侵者還能知道目標主機是否是作爲文件服務器或主域控制器來使用。
138端口
137、138端口都屬於UDP端口,它們在局域網中相互傳輸文件信息時,就會發生作用。而138端口的主要作用就是提供NetBIOS環境下的計算機名瀏覽功能。
非法入侵者要是與目標主機的138端口建立連接請求的話,就能輕鬆獲得目標主機所處的局域網網絡名稱以及目標主機的計算機名稱。有了計算機名稱,其對應的IP地址也就能輕鬆獲得。如此一來,就爲黑客進一步攻擊系統帶來了便利。
139端口
139端口是一種TCP端口,該端口在你通過網上鄰居訪問局域網中的共享文件或共享打印機時就能發揮作用。
139端口一旦被Internet上的某個攻擊者利用的話,就能成爲一個危害極大的安全漏洞。因爲黑客要是與目標主機的139端口建立連接的話,就很有可能瀏覽到指定網段內所有工作站中的全部共享信息,甚至可以對目標主機中的共享文件夾進行各種編輯、刪除操作,倘若攻擊者還知道目標主機的IP地址和登錄帳號的話,還能輕而易舉地查看到目標主機中的隱藏共享信息。
445端口
445端口也是一種TCP端口,該端口在Windows 2000 Server或Windows Server 2003系統中發揮的作用與139端口是完全相同的。具體地說,它也是提供局域網中文件或打印機共享服務。不過該端口是基於CIFS協議(通用因特網文件系統協議)工作的,而139端口是基於SMB協議(服務器協議族)對外提供共享服務。同樣地,攻擊者與445端口建立請求連接,也能獲得指定局域網內的各種共享信息。
到了這裏,相信你對各端口開放時存在的安全威脅早已是恐慌不已了。畢竟,對這些端口放任不管的話,隨時都可能引來“飛來橫禍”。別急,下面本文特意爲你提供了一些安全防範措施,讓你根據實際需要,有選擇、有針對性地關閉服務端口,以切斷外來入侵途徑。
關閉135端口
關閉135端口最直接有效的方法,就是將RPC服務停止掉。具體方法爲:在“管理工具”菜單項下面,單擊“服務”選項;在彈出的“服務”窗口中,將“Remote Procedure Call”選中,再單擊右鍵菜單中的“屬性”命令,彈出圖1所示的設置窗口;在啓動類型設置項處,選中“已禁用”選項,並單擊“確定”按鈕。
以後需要重新啓用RPC服務時,必須打開註冊表編輯窗口,找到“HKEY_LOCAL_ MACHINE/SYSTEM/CurrentControlSet/Services /RpcSs”子鍵,雙擊該子鍵下面的“Start”項,將其數值設置爲“0x02”,然後把系統重新啓動一下就OK了。
上面的關閉方法有很大的侷限性,因爲一旦停止了RPC服務,服務器中的許多功能都有可能失效。例如數據庫查詢功能、Outlook功能、遠程撥號功能等,都不能正常工作了。因此這種關閉方法只能適合在簡單的Web服務器或DNS服務器中使用。
由此可見,簡單地關閉RPC服務,會“殃及池魚”。考慮到只有採用DCOM開發技術設計出來的應用程序,纔會調用RPC服務,因此只要禁止使用系統中的DCOM,同樣也會達到禁用RPC服務的目的。要禁用DCOM設置的話,可以按下面方法來進行:依次單擊“開始” | “運行”命令,打開運行對話框,輸入“dcomcnfg.exe”命令,單擊回車鍵後,打開一個如圖2所示的設置窗口。選中該窗口的“默認屬性”標籤,在其後的標籤頁面中,將“在這臺計算機上啓用分佈式COM”選項選中,最後單擊“確定”按鈕,退出設置窗口。這樣一來,任何黑客或非法入侵者都不能對計算機中的DCOM應用程序進行遠程操作,至此你也就實現了間接關閉135端口的目的。
除了上面的方法外,你還可以採取另外一種相對複雜的辦法來關閉135端口。這種方法是先用UltraEdit工具,打開系統文件夾system32下面的rpcss.dll文件。然後在該程序的主界面中,依次執行“搜索” | “查找”命令,並在彈出的查找對話框中,輸入十六進制數“3100330035”,再單擊一下“查找下一個”按鈕,最後打開如圖3所示的界面,在這裏你必須將“3100330035”,修改爲“3000300030”,這樣就可以將“135端口”,修改爲“000”了,接着將該文件重新換名保存。 下面,你必須將系統切換到DOS狀態下,用換名保存後的文件,覆蓋以前的rpcss.dll文件。要是無法直接覆蓋的話,可以進入到系統的安全操作模式下,再運行系統Support Tools中的pulist工具,將當前所有進程顯示出來。接着,到網上下載一個名爲pskill的工具,運行並利用它殺掉當前運行的svchost.exe進程。最後再用換名保存後的文件,覆蓋rpcss.dll文件。相比而言,該方法比較煩瑣,對Windows系統不太熟悉的朋友,最好不要用它,以免給系統造成破壞。
關閉137、138端口
考慮到基於TCP/IP協議下的NetBIOS服務,幾乎都是通過137、138端口實現的,因此你只要將基於TCP/IP協議下的NetBIOS服務停止掉,就能實現間接關閉137、138端口的目的。現在就來看看停止NetBIOS服務的具體步驟。先用鼠標右鍵單擊桌面上的“網上鄰居”圖標,從彈出的快捷菜單中,執行“屬性”命令,打開“Internet協議(TCP/IP)”參數設置窗口;再單擊一下“高級”按鈕,並在隨後彈出的設置框中,選中“WINS”標籤;打開的標籤頁面,選中“禁用TCP/IP上的NetBIOS(S)”,
