TCP和UDP的135、137、138、139、445端口的作用?
如果全是2000以上的系统,可以关闭137.138.139,只保留445
如果有xp系统,可能以上四个端口全部要打开
无论你的服务器中安装的是Windows 2000 Server,还是Windows Server 2003,它们无一例外会在默认安装下开通135端口、137端口、138端口、139端口和445端口。
这些端口可以说都是一把“双刃剑”,它们既能为你提供便利,也会反过来,被其他人非法利用,成为你心中永远的痛。为此,我们很有必要熟悉这些端口,弄清它们的作用,找出它们的“命门”,以避免误伤了自己。
135端口
tcp端口,在许多“网管”眼里,135端口是最让人捉摸不透的端口,因为他们中的大多数都无法明确地了解到135端口的真正作用,也不清楚该端口到底会有哪些潜在的危险。直到一种名为“IEen”的专业远程控制工具出现,人们才清楚135端口究竟会有什么样的潜在安全威胁。
IEen工具能够借助135端口轻松连接到Internet上的其他工作站,并远程控制该工作站的IE浏览器。例如,在浏览器中执行的任何操作,包括浏览页面内容、输入帐号密码、输入搜索关键字等,都会被IEen工具监控到。甚至在网上银行中输入的各种密码信息,都能被IEen工具清楚地获得。除了可以对远程工作站上的IE浏览器进行作、控制外,IEen工具通过135端口几乎可以对所有的借助DCOM开发技术设计出来的应用程序进行远程控制,例如 IEen工具也能轻松进入到正在运行Excel的计算机中,直接对Excel进行各种编辑*作。
怎么样?135端口对外开放是不是很危险呀?当然,这种危险毕竟是理论上的,要想真正地通过135端口入侵其他系统,还必须提前知道对方计算机的IP地址、系统登录名和密码等。只要你严格保密好这些信息,你的计算机被IEen工具攻击的可能性几乎不存在。
为什么IEen工具能利用135端口攻击其他计算机呢?原来该工具采用了一种DCOM技术,可以直接对其他工作站的DCOM程序进行远程控制。DCOM技术与对方计算机进行通信时,会自动调用目标主机中的RPC服务,而RPC服务将自动询问目标主机中的135端口,当前有哪些端口可以被用来通信。如此一来,目标主机就会提供一个可用的服务端口作为数据传输通道使用。在这一通信过程中,135端口的作用其实就是为RPC通信提供一种服务端口的映射功能。说简单一点,135端口就是RPC通信中的桥梁。
137端口
137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。
要是非法入侵者知道目标主机的IP地址,并向该地址的137端口发送一个连接请求时,就可能获得目标主机的相关名称信息。例如目标主机的计算机名称,注册该目标主机的用户信息,目标主机本次开机、关机时间等。此外非法入侵者还能知道目标主机是否是作为文件服务器或主域控制器来使用。
138端口
137、138端口都属于UDP端口,它们在局域网中相互传输文件信息时,就会发生作用。而138端口的主要作用就是提供NetBIOS环境下的计算机名浏览功能。
非法入侵者要是与目标主机的138端口建立连接请求的话,就能轻松获得目标主机所处的局域网网络名称以及目标主机的计算机名称。有了计算机名称,其对应的IP地址也就能轻松获得。如此一来,就为黑客进一步攻击系统带来了便利。
139端口
139端口是一种TCP端口,该端口在你通过网上邻居访问局域网中的共享文件或共享打印机时就能发挥作用。
139端口一旦被Internet上的某个攻击者利用的话,就能成为一个危害极大的安全漏洞。因为黑客要是与目标主机的139端口建立连接的话,就很有可能浏览到指定网段内所有工作站中的全部共享信息,甚至可以对目标主机中的共享文件夹进行各种编辑、删除*作,倘若攻击者还知道目标主机的IP地址和登录帐号的话,还能轻而易举地查看到目标主机中的隐藏共享信息。
445端口
445端口也是一种TCP端口,该端口在Windows 2000 Server或Windows Server 2003系统中发挥的作用与139端口是完全相同的。具体地说,它也是提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议(通用因特网文件系统协议)工作的,而139端口是基于SMB协议(服务器协议族)对外提供共享服务。同样地,攻击者与445端口建立请求连接,也能获得指定局域网内的各种共享信息。
要关闭文件共享可以同时关闭139和445端口。
具体操作
当我们按照某个关闭445端口的教程操作完之后,我们如何去检测是否真的已经关闭了445端口呢?本文给你介绍一个常用的又是最简单的方法。
按 WIN+R 组合键打开运行对话框,输入 cmd ,按回车键,打开 dos 窗口。
然后输入如下命令:
netstat -ano -p tcp | find “445”
如果没有返回任何记录,则说明已经成功关闭了445端口。
检测是否关闭445端口
不过如果是从防火墙关闭445端口的,那么这个命令就不能准确反映是否关闭445端口了,我的理解是,因为从“入站规则”关闭445端口,设置“何时应用该规则”时,说是“计算机连接到公网位置时应用”、“计算机连接到其企业域时应用”和“计算机连接到专用网络位置时应用”,因此,刚才的检测命令是不在“应用”范围内的,但是此防火墙一样是可以防止外部通过445端口进行入侵的。
http://www.webkaka.com/blog/archives/how-to-close-a-port-from-the-firewall-in-win7-system.html
关闭445端口,我推荐的方法是从组策略关闭端口(445/135/137/138/139/3389等),这个方法适用于所以windows系统,是一个最常用又是最有效的关闭任何一个端口的方法。
http://www.webkaka.com/blog/archives/how-to-close-a-port-from-the-gpedit.html
知识扩展
netstat 命令简介
Netstat 是一款命令行工具,可用于列出系统上所有的网络套接字连接情况,包括 tcp, udp 以及 unix 套接字,另外它还能列出处于监听状态(即等待接入请求)的套接字。如果你想确认系统上的 Web 服务有没有起来,你可以查看80端口有没有打开。以上功能使 netstat 成为网管和系统管理员的必备利器。下面教大家如何使用 netstat 去查找网络连接信息和系统开启的端口号。
netstat 各参数及含义:
C:\Users\Administrator>netstat
NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [-p proto] [-r] [-s] [-t] [interval]
| 选项 | 功能 |
|---|---|
| -a | 显示所有连接和侦听端口。 |
| -b | 显示在创建每个连接或侦听端口时涉及的可执行程序。在某些情况下,已知可执行程序承载多个独立的组件,这些情况下,显示创建连接或侦听端口时涉及的组件序列。此情况下,可执行程序的名称位于底部[]中,它调用的组件位于顶部,直至达到 TCP/IP。注意,此选项可能很耗时,并且在您没有足够权限时可能失败。 |
| -e | 显示以太网统计。此选项可以与 -s 选项结合使用。 |
| -f | 显示外部地址的完全限定域名(FQDN)。 |
| -n | 以数字形式显示地址和端口号。 |
| -o | 显示拥有的与每个连接关联的进程 ID。 |
| -p proto | 显示 proto 指定的协议的连接;proto 可以是下列任何一个: TCP、UDP、TCPv6 或 UDPv6。如果与 -s 选项一起用来显示每个协议的统计,proto 可以是下列任何一个: IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或 UDPv6。 |
| -r | 显示路由表。 |
| -s | 显示每个协议的统计。默认情况下,显示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6的统计;-p 选项可用于指定默认的子网。 |
| -t | 显示当前连接卸载状态。 |
| interval | 重新显示选定的统计,各个显示间暂停的间隔秒数。按 CTRL+C 停止重新显示统计。如果省略,则 netstat将打印当前的配置信息一次。 |
1、查看所有的端口占用情况
C:\>netstat -ano
| 协议 | 本地地址 | 外部地址 | 状态 | PID |
|---|---|---|---|---|
| TCP | 127.0.0.1:1434 | 0.0.0.0:0 | LISTENING | 3236 |
| TCP | 127.0.0.1:5679 | 0.0.0.0:0 | LISTENING | 4168 |
| TCP | 127.0.0.1:7438 | 0.0.0.0:0 | LISTENING | 4168 |
| TCP | 127.0.0.1:8015 | 0.0.0.0:0 | LISTENING | 1456 |
| TCP | 192.168.3.230:139 | 0.0.0.0:0 | LISTENING | 4 |
| TCP | 192.168.3.230:1957 | 220.181.31.225:443 | ESTABLISHED | 3068 |
| TCP | 192.168.3.230:2020 | 183.62.96.189:1522 | ESTABLISHED | 1456 |
| TCP | 192.168.3.230:2927 | 117.79.91.18:80 | ESTABLISHED | 4732 |
| TCP | 192.168.3.230:2929 | 117.79.91.18:80 | ESTABLISHED | 4732 |
| TCP | 192.168.3.230:2930 | 117.79.91.18:80 | ESTABLISHED | 4732 |
| TCP | 192.168.3.230:2931 | 117.79.91.18:80 | ESTABLISHED | 4732 |
2、查看指定端口的占用情况
C:\>netstat -aon|findstr "9050"
| 协议 | 本地地址 | 外部地址 | 状态 | PID |
|---|---|---|---|---|
| TCP | 127.0.0.1:9050 | 0.0.0.0:0 | LISTENING | 2016 |
看到了吗,端口被进程号为2016的进程占用,继续执行下面命令: (也可以去任务管理器中查看pid对应的进程)
3、查看PID对应的进程
C:\>tasklist|findstr "2016"
| 映像名称 | PID | 会话名 | 会话 | 内存使用 |
|---|---|---|---|---|
| nf.exe | 2016 | Console | 0 | 2016 |
很清楚吧,nf占用了你的端口。
4、结束该进程
C:\>taskkill /f /t /im nf.exe
netstat 命令的功能是显示网络连接、路由表和网络接口信息,可以让用户得知目前都有哪些网络连接正在运作。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
