亚洲精品国产高清嫩草影院_ 安全知識:端口·木馬·安全·掃描應用知識(2)

安全知識:端口·木馬·安全·掃描應用知識(2)

作者: 福星發(fā)布日期: 2006-2-20 查看數: 2 出自: http://www.ice.com.cn

七）、要點(diǎn)
　　一般用戶(hù)一定要熟悉（再啰嗦幾句）：
　　1、服務(wù)端口重點(diǎn)要看的是LISTENING狀態(tài)和ESTABLISHED狀態(tài)，LISTENING是本機開(kāi)了哪些端口，　　ESTABLISHED是誰(shuí)在訪(fǎng)問(wèn)你的機器，從哪個(gè)地址訪(fǎng)問(wèn)的。
　　2、客戶(hù)端口的SYN_SENT狀態(tài)和ESTABLISHED狀態(tài)，SYN_SENT是本機向其它計算機發(fā)出的連接請求，一般這個(gè)狀態(tài)存在的時(shí)間很短，但如果本機發(fā)出了很多SYN_SENT，那可能就是中毒了?？碋STABLISHED狀態(tài)是要發(fā)現本機正在和哪個(gè)機器傳送數據，主要看是不是一個(gè)正常程序發(fā)起的。
　　二、木馬
　　什么是木馬，簡(jiǎn)單的說(shuō)就是在未經(jīng)你許可偷偷在你的計算機中開(kāi)個(gè)后門(mén)，木馬開(kāi)后門(mén)主要有兩種方式。
　　1、有服務(wù)端口的木馬，這類(lèi)木馬都要開(kāi)個(gè)服務(wù)端口的后門(mén)，成功后該后門(mén)處于LISTENING狀態(tài)，它的端口號可能固定一個(gè)數，也可能變化，還有的木馬可以與正常的端口合用，例如你開(kāi)著(zhù)正常的80端口（WEB服務(wù)），木馬也用80端口。這種木馬最大的特點(diǎn)就是有端口處于LISTENING狀態(tài)，需要遠程計算機連接它。這種木馬對一般用戶(hù)比較好防范，將防火墻設為拒絕從外到內的連接即可。比較難防范的是反彈型木馬。
　　2、反彈型木馬，反彈型木馬是從內向外的連接，它可以有效的穿透防火墻，而且即使你使用的是內網(wǎng)IP，他一樣也能訪(fǎng)問(wèn)你的計算機。這種木馬的原理是服務(wù)端主動(dòng)連接客戶(hù)端（黑客）地址。木馬的服務(wù)端
軟件
就像你的Internet Explorer一樣，使用動(dòng)態(tài)分配端口去連接客戶(hù)端的某一端口，通常是常用端口，像端口80。而且會(huì )使用隱避性較強的文件名，像iexpiore.exe、explorer（IE的程序是IEXPLORE.EXE）。如果你不仔細看，你可能會(huì )以為是你的Internet Explorer。這樣你的防火墻也會(huì )被騙過(guò)。如果你在TcpView中看到下面這樣的連接一定要注意，很有可能是種木馬了。 iexpiore.exe 192.168.1.10(本機IP)：1035（你的端口） Y.Y.Y.Y（遠程IP）：80（遠程端口）
　　或 Rundll32.exe 192.168.1.10(本機IP)：1035（你的端口） Y.Y.Y.Y（遠程IP）：80（遠程端口）
　　或 explorer.exe 192.168.1.10(本機IP)：1035（你的端口） Y.Y.Y.Y（遠程IP）：80（遠程端口）
　　三、安全
　　我們分析端口的目的就是要保證上網(wǎng)安全，根據以上的思路可以從以下幾個(gè)方面來(lái)防范。
　　一）、關(guān)閉不需要的端口
　　對一般上網(wǎng)用戶(hù)來(lái)說(shuō)只要能訪(fǎng)問(wèn)Internet就行了，并不需要別人來(lái)訪(fǎng)問(wèn)你，也就是說(shuō)沒(méi)有必要開(kāi)放服務(wù)端口，在WIN 98可以做到不開(kāi)放任何服務(wù)端口上網(wǎng)，但在Win XP、Win 2000、Win 2003下不行，但可以關(guān)閉不必要的端口。圖3是安裝完WIN XP系統默認開(kāi)的端口，以此為例關(guān)閉不必要的端口。
　　1、關(guān)閉137、138、139、445端口
　　這幾個(gè)端口都是為共享而開(kāi)的，是NetBios協(xié)議的應用，一般上網(wǎng)用戶(hù)是不需要別人來(lái)共享你的內容的，而且也是漏洞最多的端口。關(guān)閉的方法很多，最近從網(wǎng)上學(xué)了一招非常好用，一次全部關(guān)閉上述端口。
　　開(kāi)始-> 控制面板-> 系統-> 硬件-> 設備管理器-> 查看-> 顯示隱藏的設備-> 非即插即用
驅動(dòng)
程序-> Netbios over Tcpip。
　　找到圖5界面后禁用該設備重新啟動(dòng)后即可。
　　

圖5
　　2、關(guān)閉123端口
　　有些蠕蟲(chóng)病毒可利用UDP 123端口，關(guān)閉的方法：如圖6停止windows time服務(wù)。
　　

圖6 關(guān)閉123端口
　　3、關(guān)閉1900端口
　　攻擊者只要向某個(gè)擁有多臺Win XP系統的
網(wǎng)絡(luò )
發(fā)送一個(gè)虛假的UDP包，就可能會(huì )造成這些Win XP主機對指定的主機進(jìn)行攻擊（DDoS）。另外如果向該系統1900端口發(fā)送一個(gè)UDP包，令"Location"域的地址指向另一系統的chargen端口，就有可能使系統陷入一個(gè)死循環(huán)，消耗掉系統的所有資源（需要安裝硬件時(shí)需手動(dòng)開(kāi)啟）。
　　關(guān)閉1900端口的方法如圖7所示：停止SSDP Discovery Service 服務(wù)
　　

圖7 關(guān)閉1900端口
　　通過(guò)上面的辦法關(guān)閉了一些有漏洞的或不用的端口后是不是就沒(méi)問(wèn)題了呢？不是。因為有些端口是不能關(guān)掉的。像135端口，它是RPC服務(wù)打開(kāi)的端口如果把這個(gè)服務(wù)停掉，那計算機就關(guān)機了，同樣像Lsass打開(kāi)的端口500和4500也不能關(guān)閉。沖擊波病毒利用的就是135端口，對于不能關(guān)閉的端口最好的辦法一是常打補丁，端口都是相應的服務(wù)打開(kāi)的，但是對于一般用戶(hù)很難判斷這些服務(wù)到底有什么用途，也很難找到停止哪些服務(wù)就能關(guān)閉相應的端口。最好的辦法就是下面我們要講的安裝防火墻。安裝防火墻的作用通俗的說(shuō)就像你不管住在一所結實(shí)的好房子里還是住在一所千瘡百孔的破房子里，只要你在房子的四周建了一堵密不透風(fēng)的墻，那對于墻里的房子就是安全的。
　　二）、安裝防火墻
　　對于一般用戶(hù)來(lái)講有下面三類(lèi)防火墻
　　1、自帶的防火墻
　　關(guān)于Win XP 與Win 2003自帶防火墻的設置請參閱天極網(wǎng)中拙作，不再贅述。
　　2、ADSL貓防火墻
　　通過(guò)ADSL上網(wǎng)的，如果有條件最好將ADSL貓設置為地址轉換方式（NAT），也就是大家常說(shuō)的路由模式，其實(shí)路由與NAT是不一樣的，權且這么叫吧。用NAT方式最大的好處是設置完畢后，ADSL貓就是一個(gè)放火墻，它一般只開(kāi)放80、21、161等為了對ADSL貓進(jìn)行設置開(kāi)放的端口。如果不做端口映射的話(huà)，一般從遠程是攻擊不到ADSL貓后面的計算機的。ADSL貓最大的安全隱患就是很多用戶(hù)都不改變默認密碼。這樣黑客如果進(jìn)到你的貓做個(gè)端口映射就有可能進(jìn)入到你的計算機，一定把默認密碼改掉。
　　用自帶的放火墻和ADSL貓的NAT方式基本可以抵御從外到內的攻擊，也就是說(shuō)即使服務(wù)端口開(kāi)放（包括系統開(kāi)放的端口和中了開(kāi)個(gè)服務(wù)端口的木馬），黑客和類(lèi)似震蕩波一類(lèi)的病毒也奈何不了你的計算機。上述防火墻只能防止從外到內的連接，不能防止從內到外的連接，當你打開(kāi)網(wǎng)頁(yè)和用QQ聊天時(shí)就是從內到外的連接，反彈型木馬就是利用放火墻的這一特性來(lái)盜取你機器的數據的。反彈型木馬雖然十分隱蔽，但也不是沒(méi)有馬腳，防范這類(lèi)木馬最好的辦法就是用第三方防火墻。
　　3、第三方防火墻
　　前面說(shuō)過(guò)，反彈型木馬而且會(huì )使用隱避性較強的文件名，像iexpiore.exe、explorer等與IE的程序IEXPLORE.EXE很想的名字或用一些rundll32之類(lèi)的好像是系統文件的名字，但木馬的本質(zhì)就是要與遠程的計算機通訊，只要通訊就會(huì )有連接。如下所示：正常連接是IEXPLORE.EXE發(fā)起的，而非正常連接是木馬程序explorer發(fā)起的。
　　

正常連接
　　

木馬連接
　　一般的防火墻都有應用程序訪(fǎng)問(wèn)
網(wǎng)絡(luò )
的權限設置，如圖8所示，在防火墻的這類(lèi)選項中將不允許訪(fǎng)問(wèn)
網(wǎng)絡(luò )
的應用程序選擇X，即不允許訪(fǎng)問(wèn)
網(wǎng)絡(luò )
。
　　在寫(xiě)這篇文章之前我中了一個(gè)反彈型木馬，就是explorer程序向外連接，用了好幾個(gè)查毒
軟件
也沒(méi)有殺掉，當時(shí)就先用天網(wǎng)放火墻阻止它訪(fǎng)問(wèn)
網(wǎng)絡(luò )
，然后手工費了很大的勁才清除掉?？上](méi)有做截圖。沒(méi)有勇氣為了寫(xiě)這篇文章再犧牲一把了。
　　

圖8
　　4、用Tcpview結束一個(gè)連接
　　當你用Tcpview觀(guān)察哪個(gè)連接有可能是不正常的連接，可在Tcpview中直接鼠標右鍵點(diǎn)擊該連接，選擇End Process即可結束該連接。
　　四、掃描
　　談起掃描又是個(gè)大話(huà)題了，有端口掃描（Superscan）、漏洞掃描(X-scan)等，關(guān)于掃描的話(huà)題以后再論，本文只對一般用戶(hù)簡(jiǎn)單說(shuō)一下在線(xiàn)安全檢測。如果你按上面的說(shuō)得作了相應的安全措施，就可以在網(wǎng)上找個(gè)在線(xiàn)測試安全的
網(wǎng)站
測試一下你目前系統的安全情況，如到下面
網(wǎng)站
：
　　1、千禧在線(xiàn)--在線(xiàn)檢測
　　2、藍盾在線(xiàn)檢測
　　3、天網(wǎng)安全在線(xiàn)
　　4、諾頓在線(xiàn)安全檢測
　　說(shuō)明一點(diǎn)，測試我的機器時(shí)開(kāi)了21、23、80端口，但這都是ADSL的服務(wù)端口，我的貓沒(méi)有提供修改和關(guān)閉的地方，不過(guò)沒(méi)關(guān)系，只要把密碼設的復雜點(diǎn)就行了。
　　五、震蕩波
　　如果你按上述關(guān)閉了445端口或者開(kāi)啟了放火墻那就不會(huì )受到震蕩波及類(lèi)似的病毒騷擾了，關(guān)于震蕩波病毒的文章太多了，我就不在這啰嗦了。只要做好了安全防護，不管是震蕩大波還是沖擊小波只能在你的計算機門(mén)前掠過(guò)而奈何不了你。
　　六、后記
　　關(guān)于計算機的安全還有很多要設置，但對于一般用戶(hù)來(lái)說(shuō)，太多的安全設置就等于沒(méi)有了安全，因為即使對于專(zhuān)業(yè)從事計算機安全的人員對于安全的設置也不是件容易的事，何況對于對計算機的知識還不夠的一般用戶(hù)。如果要作很多設置才能保證安全，那肯定就有很多人不做了。對一般用戶(hù)我的建議是力所能及的事一定要做，比如：
　　1、上網(wǎng)時(shí)一定要安裝防病毒
軟件
并及時(shí)升級。
　　2、至少安裝一個(gè)防火墻，ADSL用戶(hù)最好用路由方式上網(wǎng)，改掉默認密碼。
　　3、經(jīng)常打補丁，Windows用戶(hù)最好將系統設為自動(dòng)升級。
　　4、自己要做的就是用Tcpview 常?？纯催B接，防止反彈型木馬。常?？纯?，時(shí)間長(cháng)了也許就看成專(zhuān)家了。
　　5、Udp協(xié)議是不可靠傳輸，沒(méi)有狀態(tài)，從Tcpview中很難看出它是不是在傳輸數據，感興趣的朋友可以用iris、sniffer這類(lèi)的協(xié)議分析
工具
看看是不是有Udp的數據。關(guān)于這個(gè)話(huà)題以后再聊。
　　6、本文題目起的很大，但寫(xiě)起來(lái)又覺(jué)得很多問(wèn)題都是別人說(shuō)了再說(shuō)的，也就沒(méi)有深談。
　　道高一尺，魔高一丈。
網(wǎng)絡(luò )
安全將是一個(gè)永恒的話(huà)題，沒(méi)有絕對的安全，但有了防范意識總比敞開(kāi)了大門(mén)還不知道好吧

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久