禁用端口TCPIP协议.doc

如何禁用端口！（网络摘录） 以139为例,按照下面一步一步地完成禁用端口。1.开始-控制面板（或者管理）-管理工具-本地安全策略2.右击Ip安全策略,在 本地计算机, 选择 管理 IP 筛选器表和筛选器操作,3.在管理 IP 筛选器表中,按添加按钮 4.在 名称(N) 下面添上禁止139端口 描述(D) 也写上禁止139端口 添加按扭 惦记下一步 在源地址(s): 出选择 下拉里的第二项任何 ip 地址 下一步 在目标地址(D): 选上我的 ip 地址 下一步 选择协议类型(S): 把任意选改为tcp 下一步 设置ip协议断口: 选择 到端口(O) 添上你要禁止的端口139 下一步 完成5 看完了吗? 按确定按扭 呵呵.6 惦记 管理筛选器操作 同4 中的 完成8 惦记 关闭按扭9 右击Ip安全策略,在 本地计算机, 选择 创建ip安全策略同4 中的进入为此安全规则设置初始身份验证方法不管他下一步10 出现一个警告窗口只有当这个规则在一台为域成员的计算机上 Kerberos 才有效。这台计算机不是一个域成员。您想继续并保留这些规则的属性吗?当然是拉11 惦记完成按扭12 常规 和 规则 惦记 规则 惦记添加按扭 13 惦记下一步 一直下一步 出现一个同样的警告 yes14 从ip筛选器列表(I)筐中点上第一个:禁止139端口前面的成为15 同14选择 下一步 同7出现完成按扭 惦记16 确定17 关闭 属性筐18 右键 右面窗口的 禁止139端口连接 -=指派一些端口的禁用方法 113端口木马的清除（仅适用于windows系统）：这是一个基于irc聊天室控制的木马程序。1.首先使用netstat -an命令确定自己的系统上是否开放了113端口2.使用fport命令察看出是哪个程序在监听113端口fport工具下载例如我们用fport看到如下结果：Pid Process Port Proto Path392 svchost - 113 TCP C:WINNTsystem32vhos.exe 我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:winntsystem32下。3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，并使用管理器结束该进程。4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，并将相关的键值全部删掉。5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根据木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序）6.重新启动机器。 3389端口的关闭：首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。 win2000关闭的方法：win2000server 开始-程序-管理工具-服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。win2000pro 开始-设置-控制面板-管理工具-服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。winxp关闭的方法：在我的电脑上点右键选属性-远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。 4899端口的关闭：首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。 关闭4899端口：请在开始-运行中输入cmd(98以下为command),然后cd C:winntsystem32(你的系统安装目录），输入r_server.exe /stop后按回车。然后在输入r_server /uninstall /silence 到C:winntsystem32(系统目录）下删除r_server.exe admdll.dll raddrv.dll三个文件 5800，5900端口：1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:winntfontsexplorer.exe)2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运行c:winntexplorer.exe)3.删除C:winntfonts中的explorer.exe程序。4.删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中的Explorer项。5.重新启动机器。 6129端口的关闭：首先说明6129端口是一个远程控制软件（dameware nt utilities)服务端监听得端口，他不是一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的，如果不是请关闭。 关闭6129端口：选择开始-设置-控制面板-管理工具-服务找到DameWare Mini Remote Control项点击右键选择属性选项，将启动类型改成禁用后停止该服务。到c:winntsystem32(系统目录）下将DWRCS.EXE程序删除。到注册表内将HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesDWMRCS表项删除。 1029端口和20168端口：这两个端口是lovgate蠕虫所开放的后门端口。蠕虫相关信息请参见：Lovgate蠕虫你可以下载专杀工具：FixLGate.exe使用方法：下载后直接运行，在该程序运行结束后重起机器后再运行一遍该程序。 45576端口：这是一个代理软件的控制端口，请先确定该代理软件并非你自己安装（代理软件会给你的机器带来额外的流量）关闭代理软件：1.请先使用fport察看出该代理软件所在的位置2.在服务中关闭该服务（通常为SkSocks），将该服务关掉。3.到该程序所在目录下将该程序删除。 每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。“控制面板”的“管理工具”中的“服务”中来配置。 1、关闭7.9等等端口：关闭SimpleTCP/IPService,支持以下TCP/IP服务：CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。 2、关闭80口：关掉WWW服务。在“服务”中显示名称为WorldWideWebPublishingService，通过Internet信息服务的管理单元提供Web连接和管理。 3、关掉25端口：关闭SimpleMailTransportProtocol(SMTP)服务，它提供的功能是跨网传送电子邮件。 4、关掉21端口：关闭FTPPublishingService,它提供的服务是通过Internet信息服务的管理单元提供FTP连接和管理。 5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。 6、还有一个很重要的就是关闭server服务，此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。 7、还有一个就是139端口，139端口是NetBIOSSession端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。 每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。 “控制面板”的“管理工具”中的“服务”中来配置。 1、关闭7.9等等端口：关闭SimpleTCP/IPService,支持以下TCP/IP服务：CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。 2、关闭80口：关掉WWW服务。在“服务”中显示名称为WorldWideWebPublishingService，通过Internet信息服务的管理单元提供Web连接和管理。 3、关掉25端口：关闭SimpleMailTransportProtocol(SMTP)服务，它提供的功能是跨网传送电子邮件。 4、关掉21端口：关闭FTPPublishingService,它提供的服务是通过Internet信息服务的管理单元提供FTP连接和管理。 5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。 6、还有一个很重要的就是关闭server服务，此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。 7、还有一个就是139端口，139端口是NetBIOSSession端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。 关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。 对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。 我们一般采用一些功能强大的反黑软件和防火墙来保证我们的系统安全，但是有些用户不具备上述条件。怎么办呢？下面就介绍一种简易的办法通过限制端口来帮助大家防止非法入侵。 非法入侵的方式 简单说来，非法入侵的方式可粗略分为4种： 1、扫描端口，通过已知的系统Bug攻入主机。 2、种植木马，利用木马开辟的后门进入主机。 3、采用数据溢出的手段，迫使主机提供后门进入主机。 4、利用某些软件设计的漏洞，直接或间接控制主机。 非法入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过第一种方式攻击主机的情况最多、也最普遍；而对后两种方式来说，只有一些手段高超的黑客才利用，波及面并不广泛，而且只要这两种问题一出现，软件服务商很快就会提供补丁，及时修复系统。 因此，如果能限制前两种非法入侵方式，就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点，就是通过端口进入主机。 端口就像一所房子(服务器)的几个门一样，不同的门通向不同的房间(服务器提供的不同服务)。我们常用的FTP默认端口为21，而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务，比如139等；还有一些木马程序，比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么，只要我们把自己用不到的端口全部封锁起来，不就杜绝了这两种非法入侵吗？ 限制端口的方法 对于个人用户来说，您可以限制所有的端口，因为您根本不必让您的机器对外提供任何服务；而对于对外提供网络服务的服务器，我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放，其他的端口则全部关闭。 这里，对于采用Windows2000或者WindowsXP的用户来说，不需要安装任何其他软件，可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置如下： 1、右键点击“网上邻居”，选择“属性”，然后双击“本地连接”(如果是拨号上网用户，选择“我的连接”图标)，弹出“本地连接状态”对话框。 2、点击属性按钮，弹出“本地连接属性”，选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”，然后点击属性按钮。 3、在弹出的“Internet协议(TCP/IP)”对话框中点击高级按钮。在弹出的“高级TCP/IP设置”中，选择“