转:关闭135/137/139/445端口的方法

ftafta 2011-08-05

转自:http://hi.baidu.com/%CD%F5%B7%EF%C4%FE/blog/item/279a9caf976316f3faed5069.html

先来了解下这几个端口的作用以及有何安全隐患。

135端口

借助IEen工具能够借助135端口轻松连接到Internet上的其他工作站,并远程控制该工作站的IE浏览器。IEen可以监控到在浏览器中执行的任何操作,包括浏览页面内容、输入帐号密码、输入搜索关键字等,甚至包括在网上银行中输入的各种密码信息。除了可以对远程工作站上的IE浏览器进行操作、控制外,IEen工具通过135端口几乎可以对所有的借助DCOM开发技术设计出来的应用程序进行远程控制,例如IEen工具也能轻松进入到正在运行Excel的计算机中,直接对Excel进行各种编辑操作。

怎么样?135端口对外开放是不是很危险呀?当然,这种危险毕竟是理论上的,要想真正地通过135端口入侵其他系统,还必须提前知道对方计算机的IP地址、系统登录名和密码等。只要你严格保密好这些信息,你的计算机被IEen工具攻击的可能性几乎不存在。

由于该工具采用了一种DCOM技术,所以它可以直接对其他工作站的DCOM程序进行远程控制。DCOM技术与对方计算机进行通信时,会调用目标主机中的RPC服务,而RPC服务将会自动询问目标主机中的135端口,查出当前有哪些端口可以被用来通信。如此一来,目标主机就会提供一个可用的服务端口作为数据传输通道使用。在这一通信过程中,135端口的作用其实就是为RPC通信提供一种服务端口的映射功能。不过现在135基本上已经绝迹了,大家不要担心。

137端口

137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,安装了NetBIOS协议后,该端口会自动处于开放状态。

要是非法入侵者知道目标主机的IP地址,并向该IP的137端口发送一个连接请求时,就可能获得目标主机的相关名称信息。包括目标主机的计算机名称,注册该目标主机的用户信息,目标主机本次开机、关机时间等。

138端口

137、138端口都属于UDP端口,它们在局域网中相互传输文件信息时,就会发生作用。而138端口的主要作用就是提供NetBIOS环境下的计算机名浏览功能。

139端口

139端口在你通过网上邻居访问局域网中的共享文件或共享打印机时就能发挥作用。

139端口一旦被Internet上的某个攻击者利用的话,就能成为一个危害极大的漏洞之门哦。黑客要是与目标主机的139端口建立连接的话,就很有可能浏览到指定网段内所有工作站中的所有共享信息,甚至可以对目标主机中的共享文件夹进行各种复制、删除等操作,倘若攻击者还知道目标主机的IP地址和登录帐号的话,甚至能轻松地查看到目标主机中的隐藏共享信息。

445端口

445端口在Windows2000Server或WindowsServer2003系统中发挥的作用与139端口是完全相同的。它提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议(通用因特网文件系统协议)工作的,而139端口是基于SMB协议(服务器协议族)对外提供共享服务。虽然2个端口服务不同,但是攻击者与445端口建立请求连接,也能获得指定局域网内的各种共享信息。

关闭网络端口

到了这里,相信你对各端口开放时存在的安全威胁了解了吧,开放这些端口真是太可怕了。下面我就给大家提供了一些防范措施,让你轻松除去这些隐患

关闭135端口

关闭135端口最直接有效的方法,就是将RPC服务停止掉。点击开始菜单中的"运行",在"运行"中输入"services.msc"后回车,打开"服务"窗口中,将"RemoteProcedureCall"选中,再单击右键菜单中的"属性"命令,弹出设置窗口;在启动类型设置项处,选中"已禁用"选项,并单击"确定"按钮。

以后需要重新启用RPC服务时,必须运行"regedit.exe"打开注册表编辑窗口,找到"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs"子键,双击该子键下面的"Start"项,将其数值设置为"0x02",然后把系统重新启动一下就OK了。

上面的关闭方法有很大的局限性,因为一旦停止了RPC服务,服务器中的许多功能都有可能失效。例如数据库查询功能、Outlook功能、远程拨号功能等,都不能正常工作了。因此这种关闭方法只能适合在简单的Web服务器或DNS服务器中使用。

由此可见,简单地关闭RPC服务,会"殃及池鱼"。考虑到只有采用DCOM开发技术设计出来的应用程序,才会调用RPC服务,因此只要禁止使用系统中的DCOM,同样也会达到禁用RPC服务的目的。要禁用DCOM设置的话,可以按下面方法来进行:依次单击"开始"→"运行"命令,打开运行对话框,输入"dcomcnfg.exe"命令,单击回车键后,打开一个设置窗口。选中该窗口的"默认属性"标签,在其后的标签页面中,将"在这台计算机上启用分布式COM选项选中,最后单击"确定"按钮,退出设置窗口。这样一来,任何黑客或非法入侵者都不能对计算机中的DCOM应用程序进行远程操作,至此你也就实现了间接关闭135端口的目的。

除了上面的方法外,你还可以采取另外一种相对复杂的办法来关闭135端口。这种方法是先用UltraEdit工具,打开系统文件夹system32下面的rpcss.dll文件。然后在该程序的主界面中,依次执行"搜索"→"查找"命令,并在弹出的查找对话框中,输入十六进制数"3100330035",再单击一下"查找下一个"按钮,最后打开一个界面,在这里你必须将"3100330035",修改为"3000300030",这样就可以将"135端口",修改为"000"了,接着将该文件重新换名保存。

关闭137、138端口

考虑到基于TCP/IP协议下的NetBIOS服务,几乎都是通过137、138端口实现的,因此你只要将基于TCP/IP协议下的NetBIOS服务停止掉,就能实现间接关闭137、138端口的目的。现在就来看看停止NetBIOS服务的具体步骤。先用鼠标右键单击桌面上的"网上邻居"图标,从弹出的右键菜单中,点击"属性",打开"Internet协议(TCP/IP)"参数设置窗口;再单击一下"高级"按钮,并在随后弹出的设置框中,选中"WINS"标签;再打开标签页面,选中"禁用TCP/IP上的NetBIOS(S)",最后单击"确定"按钮,完成关闭NetBIOS服务的设置操作。这样,Internet上的入侵者就不能利用137、138端口对你的系统胡作非为了。

关闭139端口

通过139端口,黑客可以在Internet上访问到你硬盘中的文件或打印机。因此对外开放139端口的危害性是极大的。除了通过停止NetBIOS服务来关闭139端口外,你还能按下面步骤实现关闭139端口的目的。

按关闭137、138步骤,打开"Internet协议(TCP/IP)"属性设置界面,选中"常规"标签,并在对应的标签页面中,单击"高级"按钮,弹出高级设置窗口。选中该窗口中"选项"标签,再将该页面中的"TCP/IP筛选"选中。然后点击"属性"按钮,弹出一个界面,选中"只允许"项,下面的"添加"按钮便可用了。单击该按钮,将当前系统中需要用到的所有端口号码在这里输入,而将需要关闭的139端口排除在外,就能轻松关闭139端口。这种方法操作起来比较方便,可以适用于其他任何端口的关闭。

另外,需要注意的是,仅仅停止TCP/IP协议下的NetBIOS服务,是不能将139端口完全关闭的。因为打印机共享服务也有可能通过139端口实现,为此你还必须将这种服务停止掉,具体步骤为:鼠标右键单击桌面上的"网上邻居"图标,从弹出的快捷菜单中执行"属性"命令,打开"网络和拨号连接"窗口;鼠标右键单击"本地连接"或"Internet连接"图标,执行快捷菜单中的"属性"命令,弹出一个界面;在该界面中,取消"Microsoft网络的文件和打印机共享"选项,再单击"确定"按钮,完成关闭打印机共享服务的设置操作。这样一来,139端口就得到彻底关闭了。

>>>此外,还有一种更为有效的方法,可以彻底关闭139端口,那就是自定义IP安全策略。

以139为例  

1.开始->控制面板(或者管理)->管理工具->本地安全策略

2.右击"Ip安全策略,在本地计算机",选择"管理IP筛选器表和筛选器操作",

<就可以启动管理IP筛选器表和筛选器操作对话框>

3.在"管理IP筛选器表"中,按"添加"按钮打开IP筛选器列表

4.在名称(N)下面添上"禁止139端口"任何名字都行,只要你知道就行描述(D)也写上"禁止139端口"

5.添加按扭进入ip筛选向导

6.点击下一步进入筛选向导

7.在源地址(s):出选择下拉里的第二项"任何ip地址"点击下一步

8.在目标地址(D):选上"我的ip地址"点击下一步

9.选择协议类型(S):把"任意"选改为"tcp"点击下一步

10.设置ip协议断口:可以看到很相似的两组选项选择到端口(O)添上你要禁止的端口"139"点击下一步即可

关闭445端口

其关闭的方法,几乎与关闭139端口的方法完全一致。但除了使用上面的方法外,你也可以采取另外一种个性化的方法,来彻底关闭445端口。

依次单击"开始"→"运行"命令,在随后出现的运行框中,输入"regedit"命令,打开注册表编辑器。依次展开"HKEY_LOCAL_MACHINE\SYSTEM\Current-ControlSet\Services\NetBT\Parameters"子键,在右边的窗口中,用鼠标右击一下空白区域,从弹出的快捷菜单中,依次执行"新建"→"双字节值"命令,并将该值命名为"SMBDeviceEnabled"。

双击"SMBDeviceEnabled"选项,在弹出的数值设置界面中,将其数值设置为"0"。保存后关闭注册表编辑界面,将系统重新启动,445服务端口就会被彻底关闭了。

此外,设置好防火墙安全规则,也能实现彻底关闭服务端口的目的。例如,你可以启动"天网个人防火墙"程序,依次单击菜单栏中的"设置"→"设置规则"命令,在随后出现的规则设置界面中,依次执行"规则"→"添加"命令。

在打开的设置界面中,将名称设置为"关闭445端口",将类别设置为"拒绝服务",将方向设置为"接收",将协议设置为"TCP",将操作设置为"禁止",将数据链设置为"广域网"。接着,单击该界面中的"地址"标签,并在对应的标签页面中,将源地址设置为"主机地址",然后正确输入本地主机的IP地址。将目的地址设置为"任何地址",然后选中"端口号"标签,在弹出的设置界面中,将源端口设置为"一个端口",并输入具体的端口号码"445",将目的端口设置为"一个端口",并输入具体的端口号码"0"。

最后,再单击一下"TCP标志"标签,并在随后弹出的标签页面中,选中"SYN"选项。完成上面所有设置后,再单击一下"添加"按钮,就能创建好一个过滤规则。返回到瑞星个人防火墙的规则设置界面,选中前面创建好的"关闭445端口"的IP规则,这样天网防火墙就能自动禁止从445端口来的各种入侵。