端口与服务什么叫端口计算机“端口”是计算机与外界通讯交流的出入口,分为两类:硬件领域的端口(interface),又称接口,如:USB端口、串行端口、并行端口等;软件领域的端口(port),一般指网络中面向连接服务和无连接服务的通信协议端口,是IP协议与上层协议通信点,是一种抽象的软件结构。任何两个节点间要实现网络通信都必须打开相应的端口.端口的分类计算机端口的总数为65535个,系统自身常用端口只有几十个。按性质划分,所有端口分以下3大类:(1)公认端口(WellKnownPorts),也称为“常用端口”。端口号从0至1023,紧密绑定于一些特定的服务,通常这些端口的通讯明确表明了某种服务的协议。例如,HTTP协议使用80端口;Telnet服务使用23端口。黑客一般不会利用这类端口进行攻击。端口的分类•(2)注册端口(RegisteredPorts):端口号从1024至49151,松散地绑定于某些服务,并且多数没有明确定义服务对象。这类端口的应用可根据用户的需要自定义,因此,这类端口比较容易被黑客利用。端口的分类•(3)动态和/或私有端口(Dynamicand/orPrivatePorts):端口号从49152至65535,应用上更为自由,理论上常用服务不会分配在这些端口上。因为这些端口较隐蔽,又不会引起用户的重视。所以一些木马程序往往偏爱这些端口。查看端口的命令Windows系统自带了功能强大端口查看程序netstat。•语法:netstat[-a][-e][-n][-o][-pProtocol][-r][-s][Interval]•参数:–-a显示所有活动的TCP连接以及计算机侦听的TCP和UDP端口。查看端口的命令–-e显示以太网统计信息,如发送和接的字节数、数据包数。–-n显示活动的TCP连接,不过,只以数字形式表现地址和端口号,却不尝试确定名称。–-o显示活动的TCP连接并包括每个连接的进程ID(PID)。可以在Windows任务管理器中的“进程”选项卡上找到基于PID的应用程序。–-b显示打开端口的进程名及相应的模块.–-pProtocol显示Protocol所指定的协议的连接。查看端口的命令–-s按协议显示统计信息。默认情况下,显示TCP、UDP、ICMP和IP协议的统计信息。–-r显示IP路由表的内容。–Interval每隔Interval秒重新显示一次选定的信息。按Ctrl+C停止重新显示统计信息。如果省略该参数,netstat将只输出一次选定的信息。查看端口的命令•注意事项:–与该命令一起使用的参数必须以连字符(-)而不是以斜杠(/)作为前缀–如果端口尚未建立,端口以星号(*)显示。用冰刃查看端口•比较与用netstat的不同关闭一些不常用端口•1.每一个端口都对应着一定的服务,关掉服务,相应的端口也就关闭了。如,关掉服务,80端口就关闭了;关掉telnet服务,23端口也就关闭了;关掉FTP服务,21端口就关闭了。•3389–端口说明:又称TerminalService,服务终端,在XP中又叫“远程桌面”,使用简单、方便,不产生交互式登录,可在后台操作,从而受到黑客们的青睐。–关闭方法:“我的电脑”上点右键-“属性”-“远程”-将“远程协助”和“远程桌面”两个复选框里的勾去掉即可。关闭一些不常用端口•139–端口说明:139端口是NetBIOS的会话端口,用来实现局域网中的文件和打印共享–关闭方法:在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。关闭一些不常用端口2.设置本地IP安全策略–程序——管理工具——本地安全策略——IP安全策略——右击,新建IP安全规则–打开23端口,用IP安全策略屏蔽3.用防火墙屏蔽端口什么是服务•在Windows2000/XP/2003系统中,服务是指执行指定系统功能的程序、例程或进程,以便支持其他程序,尤其是低层(接近硬件)程序,服务应用程序通常可以在本地和通过网络为用户提供一些功能。•它是应用程序中的一种特殊类型,它在后台运行,即运行时看不到程序的工作窗口,但在进程列表中可以看到相关的进程。•案例:服务taskscheduler支持任务计划。服务管理控制台的应用服务服务管理控制台的启动•我的电脑—管理—服务•在运行中输入(services.msc)回车服务管理控制台的应用•“常规”选项卡–“服务名称”是指服务的“简称”,并且也是在注册表中显示的名称;–“显示名称”是指在服务配置界面中每项服务显示的名称;–“描述”是为该服务作的简单解释;“可执行文件的路径”即是该服务对应的可执行文件的具体位置;服务管理控制台的应用•“启动类型”是整个服务配置的核心,对于任意一个服务,通常都有3种启动类型:–自动:对于必要的和常用的服务,用户可以设置为“自动”,将在Windows启动时自动装入。它将延长启动所需要的时间,有些服务是必须设置为自动的,如RemoteProcedureCall(RPC)。由于依存关系或其他影响,其他的一些服务也必须设置为自动,这样的服务最好不要去更改它,否则系统无法正常运行。–手动:如果一个服务被设置为手动,那么可以在需要时再运行它。这样可以节省大量的系统资源,加快系统启动。服务管理控制台的应用–已禁用:此类服务不能再运行。这个设置一般在提高系统安全性时使用。如果怀疑一个陌生的服务会给你的系统带来安全上的隐患,可以先尝试停止它,看看系统是否能正常运行,如果一切正常,那么就可以直接禁用它了。如果以后需要这个服务,在启动它之前,必须先将启动类型设置为自动或手动。服务管理控制台的应用–“服务状态”是指服务的现在状态是启动还是停止,通常,我们可以利用下面的“启动”、“停止”、“暂停”、“恢复”按钮来改变服务的状态。服务管理控制台的应用•“依存关系”选项卡–在这里我们可以看到,在顶端列表中指出运行选定服务所需的其他服务,底端列表指出了需要运行选定服务才能正确运行的服务。它说明了一些服务并不能单独运行,必须依靠其他服务。在停止或禁用一个服务之前,一定要看看这个服务的依存关系,如果有其他需要启动的服务是依靠这个服务,就不能将其停止。在停止或禁用一个服务前,清楚了解该服务的依存关系是必不可少的步骤。与系统服务有关的两条命令•Netstart:用于启动某个服务(带服务名参数)或显示已启动的服务列表(不带参数)•Netstop:用于停止某个当前已经启动的服务(带服务名参数)注意:服务名如果由几个单词构成,中间有空格,则在命令中必须用双引号引起来,如netstop“taskscheduler”。系统必须的一些服务“必须”指的是如果这些服务其中任何一条被禁用,将会造成Windows提供的基本功能的丧失。•COM+EventSystem禁用此项会造成网络连接菜单无法进入。故必须保持“自动”•ComputerBrowser禁用此项会造成无法被局域网中的计算机访问。故建议局域网中的计算机选择“自动”系统必须的一些服务•CryptographicService禁用此项会造成很多问题,比如WindowsUpdate程序无法继续,驱动程序无法验证数字签名,故必须保持“自动”•DCOMServerProcessLauncher禁用此项会造成很多服务无法以手动方式在必要的时候启动,故必须保持“自动”•EventLog无法终止的服务•LogicalDiskManager禁用此项会造成移动硬盘等硬件无法被有效的识别。故建议保持“自动”系统必须的一些服务•NetworkConnections(验证)禁用此项会造成网络连接文件夹为空,即失去管理网络连接的能力,建议保持“自动”。若停止,并启动类型为手动时,当双击本地连接时,它便自动打开了•NetworkLocationAwareness禁用此项会造成无法在局域网中共享文件,局域网用户建议保持“自动”•PlugandPlay即插即用关键服务,必须保持“自动”系统必须的一些服务•RemoteProcedureCallRPC服务,相当多服务的基础,不可以禁用•Server局域网文件/打印共享需要,局域网用户建议保持“自动”•SystemEventNotification记录系统事件,系统出问题很多时候可以从系统事件中找到答案,建议有经验的用户保持“自动”系统必须的一些服务•WebClient一些网络应用,比如通过IE访问FTP需要,建议保持“自动”•WindowsAudio没有声卡的计算机可以禁用此项,反之则保持“自动”•WindowsManagementInstrumentation系统资源管理服务,不可以禁用•Workstation任何网络连接都需要,建议保持“自动”威胁系统安全的服务这并不是说这些服务是有害的,而是指这些服务直接或者间接的降低了系统的安全性。–ClipBook可能造成信息的泄漏,故建议“禁用”。–Messenger(用send命令验证)经常被利用来发送垃圾消息,故建议“禁用”。威胁系统安全的服务–Telnet可能造成黑客入侵,故建议“禁用”–PrinterSpooler有可能造成CPU占用持续100%,故建议“禁用”–RemoteRegistry允许远程操作注册表会造成安全问题,故建议“禁用”–RemoteDesktopHelpSessionManager远程协助有时候也会为入侵系统提供便利,故建议“禁用”。服务的其它功能•关闭服务相应的端口(一般为网络服务)•关闭无法直接关闭的进程案例—应用程序将自身注册为系统服务以让程序随机启动前面已经学过两种程序让自身随机启动的方法:–程序—启动–注册表—run–第三种方法:将自身注册为服务,形式更为隐蔽。案例:以一个应用程序为例查看,如JAVA、360等。案例所有注册为服务的应用程序在HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES中都可看到。重点关注三个属性:•Imagepath•Start•Type案例—将普通应用程序注册为系统服务需要两个工具instsrv.exesrvany.exe微软系统自带的工具包。第一步,报户口:在命令提示符下输入c:\instsrv.exe服务名c:\srvany.exe,在服务控制台中可以看到多了一个以服务名为名的服务(服务名自定义),并且在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下可以找到以服务名为名的子项。案例•第二步,设置服务的具体操作:在services下新建一个parameters子项,在该子项下新建一个字符串类型,名称为application的值项,值为要启动的应用程序的具体路径及名称。•第三步,设置服务属性并启动服务:到服务控制台设置服务的属性,或用命令来启动以上所设置的服务。可以看到,在任务管理器里多个两个进程srvany.exe和相应的应用程序名。禁止病毒以系统服务方式启动•依次点击“开始”\“运行”,键入“REGEDT32”。启动带权限分配功能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services子键并选中,接着点击菜单栏中的“编辑”、“权限”,在弹出的Services权限设置窗口中点击“添加”按钮,将“Everyone“账号导入进来,然后选中Everyone账号,将该账号的“读取”权限设置为“允许”,将它的“完全控制”权限取消即可。•注意,如果病毒和木马获得了管理员权限,则本方法就无效了。