操作系統(tǒng)安全之端口與服務(wù)

1、端口與服務(wù)1什么叫端口 計(jì)算機(jī)“端口”是計(jì)算機(jī)與外界通訊交流的出入口，分為兩類： 硬件領(lǐng)域的端口（interface），又稱接口，如：USB端口、串行端口、并行端口等； 軟件領(lǐng)域的端口(port)，一般指網(wǎng)絡(luò)中面向連接服務(wù)和無連接服務(wù)的通信協(xié)議端口，是IP協(xié)議與上層協(xié)議通信點(diǎn)，是一種抽象的軟件結(jié)構(gòu)。任何兩個(gè)節(jié)點(diǎn)間要實(shí)現(xiàn)網(wǎng)絡(luò)通信都必須打開相應(yīng)的端口.2端口的分類 計(jì)算機(jī)端口的總數(shù)為65535個(gè)，系統(tǒng)自身常用端口只有幾十個(gè)。按性質(zhì)劃分，所有端口分以下3大類: (1)公認(rèn)端口(Well Known Ports)，也稱為“常用端口”。端口號(hào)從0至1023，緊密綁定于一些特定的服務(wù)，通常這些端口的通訊明

2、確表明了某種服務(wù)的協(xié)議。例如，HTTP協(xié)議使用80端口;Telnet服務(wù)使用23端口。黑客一般不會(huì)利用這類端口進(jìn)行攻擊。3端口的分類(2)注冊(cè)端口(Registered Ports):端口號(hào)從1024至49151，松散地綁定于某些服務(wù)，并且多數(shù)沒有明確定義服務(wù)對(duì)象。這類端口的應(yīng)用可根據(jù)用戶的需要自定義，因此，這類端口比較容易被黑客利用。4端口的分類(3)動(dòng)態(tài)和/或私有端口(Dynamic and/or Private Ports):端口號(hào)從49152至65535，應(yīng)用上更為自由，理論上常用服務(wù)不會(huì)分配在這些端口上。因?yàn)檫@些端口較隱蔽，又不會(huì)引起用戶的重視。所以一些木馬程序往往偏愛這些端口。 5

3、查看端口的命令 Windows系統(tǒng)自帶了功能強(qiáng)大端口查看程序netstat。 語法： netstat-a -e -n -o -p Protocol -r -s Interval參數(shù)： -a 顯示所有活動(dòng)的 TCP 連接以及計(jì)算機(jī)偵聽的 TCP 和 UDP 端口。 6查看端口的命令-e 顯示以太網(wǎng)統(tǒng)計(jì)信息，如發(fā)送和接的字節(jié)數(shù)、數(shù)據(jù)包數(shù)。 -n 顯示活動(dòng)的 TCP 連接，不過，只以數(shù)字形式表現(xiàn)地址和端口號(hào)，卻不嘗試確定名稱。 -o 顯示活動(dòng)的 TCP 連接并包括每個(gè)連接的進(jìn)程 ID (PID)。可以在 Windows 任務(wù)管理器中的“進(jìn)程”選項(xiàng)卡上找到基于 PID 的應(yīng)用程序。-b 顯示打開端口的

4、進(jìn)程名及相應(yīng)的模塊.-p Protocol 顯示 Protocol 所指定的協(xié)議的連接。7查看端口的命令-s 按協(xié)議顯示統(tǒng)計(jì)信息。默認(rèn)情況下，顯示 TCP、UDP、ICMP 和 IP 協(xié)議的統(tǒng)計(jì)信息。-r 顯示 IP 路由表的內(nèi)容。 Interval 每隔 Interval 秒重新顯示一次選定的信息。按 Ctrl+C 停止重新顯示統(tǒng)計(jì)信息。如果省略該參數(shù)，netstat 將只輸出一次選定的信息。8查看端口的命令注意事項(xiàng)：與該命令一起使用的參數(shù)必須以連字符 (-) 而不是以斜杠 (/) 作為前綴如果端口尚未建立，端口以星號(hào) (*) 顯示。9用冰刃查看端口比較與用netstat 的不同10 關(guān)閉一

5、些不常用端口1 .每一個(gè)端口都對(duì)應(yīng)著一定的服務(wù)，關(guān)掉服務(wù)，相應(yīng)的端口也就關(guān)閉了。如，關(guān)掉WWW服務(wù)，80端口就關(guān)閉了；關(guān)掉telnet服務(wù)，23端口也就關(guān)閉了；關(guān)掉FTP服務(wù)，21端口就關(guān)閉了。3389端口說明：又稱Terminal Service，服務(wù)終端，在XP中又叫“遠(yuǎn)程桌面”，使用簡(jiǎn)單、方便，不產(chǎn)生交互式登錄，可在后臺(tái)操作，從而受到黑客們的青睞。關(guān)閉方法：“我的電腦”上點(diǎn)右鍵“屬性”“遠(yuǎn)程”將“遠(yuǎn)程協(xié)助”和“遠(yuǎn)程桌面”兩個(gè)復(fù)選框里的勾去掉即可。11 關(guān)閉一些不常用端口139端口說明： 139端口是NetBIOS的會(huì)話端口，用來實(shí)現(xiàn)局域網(wǎng)中的文件和打印共享關(guān)閉方法：在“網(wǎng)絡(luò)和撥號(hào)連接”中

6、“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進(jìn)入“高級(jí)TCP/IP設(shè)置”“WINS設(shè)置”里面有一項(xiàng)“禁用TCP/IP的NETBIOS”，打勾就關(guān)閉了139端口。12 關(guān)閉一些不常用端口2 .設(shè)置本地IP安全策略程序管理工具本地安全策略IP安全策略右擊，新建IP安全規(guī)則打開23端口,用IP安全策略屏蔽3. 用防火墻屏蔽端口13什么是服務(wù) 在Windows 2000/XP/2003系統(tǒng)中，服務(wù)是指執(zhí)行指定系統(tǒng)功能的程序、例程或進(jìn)程，以便支持其他程序，尤其是低層(接近硬件)程序，服務(wù)應(yīng)用程序通常可以在本地和通過網(wǎng)絡(luò)為用戶提供一些功能。 它是應(yīng)用程序中的一種特殊類型，它在后臺(tái)運(yùn)行，

7、即運(yùn)行時(shí)看不到程序的工作窗口，但在進(jìn)程列表中可以看到相關(guān)的進(jìn)程。 案例：服務(wù)task scheduler支持任務(wù)計(jì)劃。 14服務(wù)管理控制臺(tái)的應(yīng)用 服務(wù)服務(wù)管理控制臺(tái)的啟動(dòng)我的電腦管理服務(wù)在運(yùn)行中輸入（services.msc）回車15服務(wù)管理控制臺(tái)的應(yīng)用 “常規(guī)”選項(xiàng)卡“服務(wù)名稱”是指服務(wù)的“簡(jiǎn)稱”，并且也是在注冊(cè)表中顯示的名稱；“顯示名稱”是指在服務(wù)配置界面中每項(xiàng)服務(wù)顯示的名稱；“描述”是為該服務(wù)作的簡(jiǎn)單解釋；“可執(zhí)行文件的路徑”即是該服務(wù)對(duì)應(yīng)的可執(zhí)行文件的具體位置；16服務(wù)管理控制臺(tái)的應(yīng)用“啟動(dòng)類型”是整個(gè)服務(wù)配置的核心，對(duì)于任意一個(gè)服務(wù)，通常都有3種啟動(dòng)類型： 自動(dòng)：對(duì)于必要的和常用的服

8、務(wù)，用戶可以設(shè)置為“自動(dòng)”，將在Windows啟動(dòng)時(shí)自動(dòng)裝入。它將延長(zhǎng)啟動(dòng)所需要的時(shí)間，有些服務(wù)是必須設(shè)置為自動(dòng)的，如Remote Procedure Call(RPC)。由于依存關(guān)系或其他影響，其他的一些服務(wù)也必須設(shè)置為自動(dòng)，這樣的服務(wù)最好不要去更改它，否則系統(tǒng)無法正常運(yùn)行。手動(dòng)：如果一個(gè)服務(wù)被設(shè)置為手動(dòng)，那么可以在需要時(shí)再運(yùn)行它。這樣可以節(jié)省大量的系統(tǒng)資源，加快系統(tǒng)啟動(dòng)。17服務(wù)管理控制臺(tái)的應(yīng)用已禁用：此類服務(wù)不能再運(yùn)行。這個(gè)設(shè)置一般在提高系統(tǒng)安全性時(shí)使用。如果懷疑一個(gè)陌生的服務(wù)會(huì)給你的系統(tǒng)帶來安全上的隱患，可以先嘗試停止它，看看系統(tǒng)是否能正常運(yùn)行，如果一切正常，那么就可以直接禁用它了。如

9、果以后需要這個(gè)服務(wù)，在啟動(dòng)它之前，必須先將啟動(dòng)類型設(shè)置為自動(dòng)或手動(dòng)。18服務(wù)管理控制臺(tái)的應(yīng)用“服務(wù)狀態(tài)”是指服務(wù)的現(xiàn)在狀態(tài)是啟動(dòng)還是停止，通常，我們可以利用下面的“啟動(dòng)”、“停止”、“暫停”、“恢復(fù)”按鈕來改變服務(wù)的狀態(tài)。19服務(wù)管理控制臺(tái)的應(yīng)用“依存關(guān)系”選項(xiàng)卡在這里我們可以看到，在頂端列表中指出運(yùn)行選定服務(wù)所需的其他服務(wù)，底端列表指出了需要運(yùn)行選定服務(wù)才能正確運(yùn)行的服務(wù)。它說明了一些服務(wù)并不能單獨(dú)運(yùn)行，必須依靠其他服務(wù)。在停止或禁用一個(gè)服務(wù)之前，一定要看看這個(gè)服務(wù)的依存關(guān)系，如果有其他需要啟動(dòng)的服務(wù)是依靠這個(gè)服務(wù)，就不能將其停止。在停止或禁用一個(gè)服務(wù)前，清楚了解該服務(wù)的依存關(guān)系是必不可少的

10、步驟。20與系統(tǒng)服務(wù)有關(guān)的兩條命令Net start：用于啟動(dòng)某個(gè)服務(wù)（帶服務(wù)名參數(shù)）或顯示已啟動(dòng)的服務(wù)列表（不帶 參數(shù)） Net stop ：用于停止某個(gè)當(dāng)前已經(jīng)啟動(dòng)的服務(wù)（帶服務(wù)名參數(shù)） 注意：服務(wù)名如果由幾個(gè)單詞構(gòu)成，中間有空格，則在命令中必須用雙引號(hào)引起來，如 net stop “task scheduler”。21系統(tǒng)必須的一些服務(wù) “必須”指的是如果這些服務(wù)其中任何一條被禁用，將會(huì)造成Windows提供的基本功能的喪失。 COM+ Event System 禁用此項(xiàng)會(huì)造成網(wǎng)絡(luò)連接菜單無法進(jìn)入。故必須保持“自動(dòng)” Computer Browser 禁用此項(xiàng)會(huì)造成無法被局域網(wǎng)中的計(jì)算機(jī)

11、訪問。故建議局域網(wǎng)中的計(jì)算機(jī)選擇“自動(dòng)” 22系統(tǒng)必須的一些服務(wù)Cryptographic Service 禁用此項(xiàng)會(huì)造成很多問題，比如Windows Update程序無法繼續(xù)，驅(qū)動(dòng)程序無法驗(yàn)證數(shù)字簽名，故必須保持“自動(dòng)” DCOM Server Process Launcher 禁用此項(xiàng)會(huì)造成很多服務(wù)無法以手動(dòng)方式在必要的時(shí)候啟動(dòng)，故必須保持“自動(dòng)” Event Log 無法終止的服務(wù)Logical Disk Manager 禁用此項(xiàng)會(huì)造成移動(dòng)硬盤等硬件無法被有效的識(shí)別。故建議保持“自動(dòng)” 23系統(tǒng)必須的一些服務(wù)Network Connections （驗(yàn)證）禁用此項(xiàng)會(huì)造成網(wǎng)絡(luò)連接文件夾為空

12、，即失去管理網(wǎng)絡(luò)連接的能力，建議保持“自動(dòng)” 。若停止，并啟動(dòng)類型為手動(dòng)時(shí)，當(dāng)雙擊本地連接時(shí)，它便自動(dòng)打開了Network Location Awareness 禁用此項(xiàng)會(huì)造成無法在局域網(wǎng)中共享文件，局域網(wǎng)用戶建議保持“自動(dòng)” Plug and Play 即插即用關(guān)鍵服務(wù)，必須保持“自動(dòng)” 24系統(tǒng)必須的一些服務(wù)Remote Procedure Call RPC服務(wù)，相當(dāng)多服務(wù)的基礎(chǔ)，不可以禁用 Server 局域網(wǎng)文件/打印共享需要，局域網(wǎng)用戶建議保持“自動(dòng)” System Event Notification 記錄系統(tǒng)事件，系統(tǒng)出問題很多時(shí)候可以從系統(tǒng)事件中找到答案，建議有經(jīng)驗(yàn)的用戶保持“

13、自動(dòng)” 25系統(tǒng)必須的一些服務(wù)Web Client 一些網(wǎng)絡(luò)應(yīng)用，比如通過IE訪問FTP需要，建議保持“自動(dòng)” Windows Audio 沒有聲卡的計(jì)算機(jī)可以禁用此項(xiàng)，反之則保持“自動(dòng)” Windows Management Instrumentation 系統(tǒng)資源管理服務(wù)，不可以禁用 Workstation 任何網(wǎng)絡(luò)連接都需要，建議保持“自動(dòng)” 26威脅系統(tǒng)安全的服務(wù) 這并不是說這些服務(wù)是有害的，而是指這些服務(wù)直接或者間接的降低了系統(tǒng)的安全性。 ClipBook 可能造成信息的泄漏，故建議“禁用”。 Messenger （用send命令驗(yàn)證）經(jīng)常被利用來發(fā)送垃圾消息，故建議“禁用”。 27

14、威脅系統(tǒng)安全的服務(wù)Telnet 可能造成黑客入侵，故建議“禁用” Printer Spooler 有可能造成CPU占用持續(xù)100%，故建議“禁用” Remote Registry 允許遠(yuǎn)程操作注冊(cè)表會(huì)造成安全問題，故建議“禁用” Remote Desktop Help Session Manager 遠(yuǎn)程協(xié)助有時(shí)候也會(huì)為入侵系統(tǒng)提供便利，故建議“禁用”。28服務(wù)的其它功能 關(guān)閉服務(wù)相應(yīng)的端口（一般為網(wǎng)絡(luò)服務(wù)）關(guān)閉無法直接關(guān)閉的進(jìn)程29案例應(yīng)用程序?qū)⒆陨碜?cè)為系統(tǒng)服務(wù)以讓程序隨機(jī)啟動(dòng) 前面已經(jīng)學(xué)過兩種程序讓自身隨機(jī)啟動(dòng)的方法：程序啟動(dòng)注冊(cè)表run第三種方法：將自身注冊(cè)為服務(wù)，形式更為隱蔽。 案例

15、：以一個(gè)應(yīng)用程序?yàn)槔榭矗鏙AVA、360等。 30案例所有注冊(cè)為服務(wù)的應(yīng)用程序在HKEY_LOCAL_MACHINE SYSTEM CURRENTCONTROLSET SERVICES中都可看到。重點(diǎn)關(guān)注三個(gè)屬性：ImagepathStartType31 案例將普通應(yīng)用程序注冊(cè)為系統(tǒng)服務(wù) 需要兩個(gè)工具instsrv.exe srvany.exe 微軟系統(tǒng)自帶的工具包。 第一步，報(bào)戶口：在命令提示符下輸入 c:instsrv.exe 服務(wù)名 c:srvany.exe，在服務(wù)控制臺(tái)中可以看到多了一個(gè)以服務(wù)名為名的服務(wù)（服務(wù)名自定義），并且在注冊(cè)表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下可以找到以服務(wù)名為名的子項(xiàng)。32案例第二步，設(shè)置服務(wù)的具體操作：在services下新建一個(gè)parameters子項(xiàng)，在該子項(xiàng)下新建一個(gè)字符串類型，名稱為application的值項(xiàng)，值為要啟動(dòng)的應(yīng)用程序的具體路徑及名稱。第三步，設(shè)置服務(wù)屬性并啟動(dòng)服務(wù)：到服務(wù)控制臺(tái)設(shè)置服務(wù)的屬性，或用命令來啟動(dòng)以上所設(shè)置的服務(wù)?？梢钥吹?，在任務(wù)管理器里多個(gè)兩個(gè)進(jìn)程srvany.exe和相應(yīng)的應(yīng)用程序名。33禁止病毒以系統(tǒng)服務(wù)方式啟動(dòng) 依次