¿Preguntar al puerto?
Se puede dividir en tres categorías según los números de puerto:
(1) Puertos conocidos: del 0 al 1023, están estrechamente vinculados a algunos servicios. Normalmente, la comunicación en estos puertos indica claramente el protocolo para un determinado servicio. Por ejemplo, el puerto 80 siempre ha sido comunicación HTTP.
(2) Puerto de registro: del 1024 al 49151. Están vagamente vinculados a algunos servicios. En otras palabras, hay muchos servicios vinculados a estos puertos y estos puertos se utilizan para muchos otros fines. Por ejemplo, muchos sistemas manejan puertos dinámicos alrededor de 1024.
(3) Puertos dinámicos y/o dedicados: del 49152 al 65535. En teoría, estos puertos no deberían asignarse a servicios. En la práctica, a las máquinas se les suele asignar puertos dinámicos a partir de 1024. Pero hay excepciones: el puerto RPC de SUN comienza en 32768.
Algunos puertos suelen ser utilizados por piratas informáticos y también por algunos virus troyanos para atacar sistemas informáticos. La siguiente es una introducción a los puertos de computadora y un breve método para evitar ser atacado por piratas informáticos.
Servicio de publicación World Wide Web
Descripción del puerto: el puerto 8080 es el mismo que el puerto 80. Se utiliza para el servicio proxy WWW y puede realizar la navegación web. Al acceder a un sitio web o utilizar un servidor proxy, a menudo se agrega el número de puerto ":8080", por ejemplo: 8080.
Vulnerabilidad del puerto: El puerto 8080 puede ser utilizado por varios programas de virus. Por ejemplo, el troyano Brown Orifice (BrO) puede utilizar el puerto 8080 para controlar de forma totalmente remota una computadora infectada. Además, los troyanos RemoConChubo y RingZero también pueden aprovechar este puerto para realizar ataques.
Sugerencias de funcionamiento: Generalmente utilizamos el puerto 80 para la navegación web. Para evitar ataques de virus, podemos cerrar este puerto.
Puerto: 21
Servicio: FTP
Descripción: El puerto abierto por el servidor FTP se utiliza para carga y descarga. Los atacantes más comunes buscan formas de abrir servidores FTP anónimos. Estos servidores tienen directorios de lectura y escritura. Trojan Doly Trojan, Fore, Stealth FTP, WebEx, WinCrash y Blade Runner abren puertos.
Puerto: 22
Servicio: Ssh
Descripción: La conexión TCP establecida por PcAnywhere y este puerto puede ser para buscar ssh. Este servicio tiene muchas debilidades. Muchas versiones que utilizan la biblioteca RSAREF tienen vulnerabilidades si se configuran en un modo específico.
Puerto: 23
Servicio: Telnet
Descripción: Inicio de sesión remoto, el intruso está buscando un inicio de sesión remoto en servicios UNIX. En la mayoría de los casos, este puerto se escanea para encontrar el sistema operativo que está ejecutando la máquina. Y utilizando otras técnicas, los intrusos también pueden encontrar contraseñas. El servidor troyano mini Telnet abre este puerto.
Puerto: 25
Servicio: SMTP
Descripción: El puerto abierto por el servidor SMTP se utiliza para enviar correos electrónicos. Los intrusos buscan servidores SMTP para enviar sus correos electrónicos no deseados. La cuenta del intruso se cerró y necesitaban conectarse a un servidor de correo electrónico de gran ancho de banda para enviar mensajes simples a diferentes direcciones. Trojan Antigen, Email Password Sender, Haebu Coceda, Shtrilitz Stealth, WinPC y WinSpy abren este puerto.
Puerto: 80
Servicio: HTTP
Descripción: Se utiliza para navegación web. El Trojan Executor abrió el puerto.
Puerto: 102
Servicio: Agente de Transferencia de Mensajes (MTA) - x.400 sobre TCP/IP.
Descripción: Agente de transferencia de mensajes.
Puerto: 109
Servicio: Protocolo de oficina postal - Versión 3
Descripción: El servidor POP3 abre este puerto para recibir correo y el cliente accede al servidor -Servicio de correo lateral. Los servicios POP3 tienen muchas debilidades reconocidas. Hay al menos 20 debilidades en los desbordamientos del búfer de intercambio de nombres de usuario y contraseñas, lo que significa que un intruso puede ingresar al sistema antes de iniciar sesión. Hay otros errores de desbordamiento del búfer después de iniciar sesión correctamente.
Puerto: 110
Servicio: Todos los puertos del servicio RPC de SUN.
Descripción: Los servicios RPC comunes incluyen rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd, etc.
Puerto: 119
Servicio: Protocolo de transferencia de noticias en red
Descripción: Protocolo de transferencia de grupo de noticias, que transporta comunicaciones USENET. Las conexiones a este puerto generalmente se realizan cuando las personas buscan un servidor USENET. La mayoría de los ISP sólo permiten a sus clientes acceder a los servidores de sus grupos de noticias. Abrir un servidor de grupos de noticias permitirá a cualquiera publicar/leer, acceder a servidores de grupos de noticias restringidos, publicar de forma anónima o enviar spam.
Puerto: 135
Servicio: Servicio de ubicación
Descripción: Microsoft ejecuta el asignador de puntos finales DCE RPC en este puerto como su servicio DCOM. Esto es similar a la funcionalidad del puerto 111 de UNIX. Los servicios que utilizan DCOM y RPC registran sus ubicaciones con el asignador de puntos finales en la computadora. Cuando un cliente remoto se conecta a una computadora, busca el asignador de puntos finales para encontrar la ubicación del servicio. ¿Un pirata informático escanearía este puerto en una computadora para encontrar el servidor Exchange ejecutándose en esta computadora? ¿Qué versión? También hay algunos ataques de DOS dirigidos a este puerto.
Puertos: 137, 138, 139
Servicio: servicio de nombres NETBIOS
Nota: 137 y 138 son puertos UDP, utilizados al transferir archivos a través de Network Neighborhood. y puerto 139: las conexiones que llegan a través de este puerto intentan obtener servicios NetBIOS/SMB. Este protocolo se utiliza para compartir archivos e impresoras de Windows y SAMBA. También lo utiliza el registro WINS.
Puerto: 161
Servicio: SNMP
Descripción: SNMP permite la gestión remota de dispositivos. Toda la información operativa y de configuración se almacena en una base de datos y está disponible a través de SNMP. Muchas configuraciones erróneas del administrador quedan expuestas en línea. Cackers intentará acceder al sistema utilizando las contraseñas predeterminadas pública y privada. Intentan todas las combinaciones posibles. Los paquetes SNMP pueden dirigirse incorrectamente a la red del usuario.
/articles/386/1098085325309 html
Cada servicio corresponde a un puerto correspondiente. Por ejemplo, todos sabemos que el puerto del servicio WWW es 80, smtp es 25 y ftp es 21. Estos servicios están habilitados de forma predeterminada en la instalación de win2000. Realmente no es necesario para usuarios individuales. Cerrar un puerto significa cerrar servicios inútiles. En Panel de control, "Herramientas administrativas", "Servicios".
1. Cerrar puertos como 7.9: cerrar servicios TCP/IP simples y admitir los siguientes servicios TCP/IP: generador de caracteres, diurno, descarte, eco y cotización del día.
2. Cerrar el puerto 80: Cierra el servicio WWW. El nombre que se muestra en "Servicios" es "Servicio de publicación World Wide Web", que proporciona conectividad y administración web a través de la unidad complementaria de Internet Information Services.
3. Cerrar el puerto 25: Cierra el servicio Protocolo simple de transferencia de correo (SMTP), que proporciona la función de enviar correos electrónicos a través de la red.
4. Cerrar el puerto 21: cierre el servicio de publicación FTP y proporcione conexión y administración FTP a través de la Unidad de administración del servicio de información de Internet.
5. Cerrar el puerto 23: cierre el servicio Telnet, que permite a los usuarios remotos iniciar sesión en el sistema y ejecutar programas de consola mediante la línea de comandos.
6. También es muy importante cerrar los servicios del servidor que brindan soporte RPC, archivos, impresión y canalizaciones con nombre. Al desactivarlo, se desactivará el disfrute * * * predeterminado de win2k, como ipc$, c$, admin$, etc. El cierre de este servicio no afectará sus * * * otras operaciones.
7. El otro puerto es el 139, que es un puerto de sesión NetBIOS utilizado para archivos e impresión * * *. Tenga en cuenta que la máquina Unix que ejecuta samba también tiene el puerto 139 abierto, con la misma función. En el pasado, Streamer 2000 no era muy preciso al juzgar el tipo de anfitrión de la otra parte. Se estima que el puerto 139 está abierto y se considera una máquina NT. Ahora está bien. El método para desactivar el monitoreo 139 es seleccionar las propiedades del Protocolo de Internet (TCP/IP) en la conexión LAN en la red y las conexiones de acceso telefónico, ingresar la configuración avanzada de TCP/IP y la configuración WINS, hay un elemento "Desactivar NETBIOS para TCP/IP" y luego marque Cerrar puerto 139. Para usuarios individuales, puede configurarlo como "deshabilitado" en varias configuraciones de propiedades del servicio para evitar abrir el puerto la próxima vez que reinicie el servicio.
A cada servicio le corresponde un puerto correspondiente. Por ejemplo, todos sabemos que el puerto del servicio WWW es 80, smtp es 25 y ftp es 21. Estos servicios están habilitados de forma predeterminada en la instalación de win2000. Realmente no es necesario para usuarios individuales. Cerrar un puerto significa cerrar servicios inútiles.
En "Servicios" de "Herramientas Administrativas" en el Panel de Control.
1. Cerrar puertos como 7.9: cerrar servicios TCP/IP simples y admitir los siguientes servicios TCP/IP: generador de caracteres, diurno, descarte, eco y cotización del día.
2. Cerrar el puerto 80: Cierra el servicio WWW. El nombre que se muestra en "Servicios" es "Servicio de publicación World Wide Web", que proporciona conectividad y administración web a través de la unidad complementaria de Internet Information Services.
3. Cerrar el puerto 25: Cierra el servicio Protocolo simple de transferencia de correo (SMTP), que proporciona la función de enviar correos electrónicos a través de la red.
4. Cerrar el puerto 21: cierre el servicio de publicación FTP y proporcione conexión y administración FTP a través de la Unidad de administración del servicio de información de Internet.
5. Cerrar el puerto 23: cierre el servicio Telnet, que permite a los usuarios remotos iniciar sesión en el sistema y ejecutar programas de consola mediante la línea de comandos.
6. También es muy importante cerrar los servicios del servidor que brindan soporte RPC, archivos, impresión y canalizaciones con nombre. Al desactivarlo, se desactivará el disfrute * * * predeterminado de win2k, como ipc$, c$, admin$, etc. El cierre de este servicio no afectará sus * * * otras operaciones.
7. El otro puerto es el 139, que es un puerto de sesión NetBIOS utilizado para archivos e impresión * * *. Tenga en cuenta que la máquina Unix que ejecuta samba también tiene el puerto 139 abierto, con la misma función. En el pasado, Streamer 2000 no era muy preciso al juzgar el tipo de anfitrión de la otra parte. Se estima que el puerto 139 está abierto y se considera una máquina NT. Ahora está bien.
El método para desactivar el monitoreo 139 es seleccionar las propiedades del Protocolo de Internet (TCP/IP) en la conexión LAN en la red y las conexiones de acceso telefónico, ingresar la configuración avanzada de TCP/IP y la configuración WINS, hay un elemento "Desactivar TCP/IP NETBIOS" y luego marque para cerrar el puerto 139.
Para usuarios individuales, puede configurarlo como "deshabilitado" en varias configuraciones de atributos del servicio para evitar abrir el puerto la próxima vez que reinicie el servicio.
Generalmente utilizamos algún potente software anti-hackers y cortafuegos para garantizar la seguridad de nuestros sistemas, pero algunos usuarios no cumplen con las condiciones anteriores. Qué hacemos Aquí le presentamos una forma sencilla de ayudar a prevenir intrusiones ilegales restringiendo los puertos.
Métodos de intrusión ilegal
En pocas palabras, los métodos de intrusión ilegal se pueden dividir aproximadamente en cuatro tipos:
1. Escanear puertos y pasar errores conocidos en los sistemas. en el anfitrión.
2. Plante un troyano y utilice la puerta trasera abierta por el troyano para ingresar al host.
3. Obligar al host a proporcionar una puerta trasera para ingresar al host a través del desbordamiento de datos.
4. Utilice algunas lagunas en el diseño del software para controlar directa o indirectamente el host.
Los principales métodos de intrusión ilegal son los dos primeros, especialmente el uso de algunas herramientas de piratería populares. El primer método es la forma más común y común de atacar al host; Son sólo algunos. Sólo los piratas informáticos expertos pueden utilizarlo y su cobertura no es extensa. Y mientras se produzcan estos dos problemas, los proveedores de servicios de software pronto proporcionarán parches para reparar el sistema a tiempo.
Por lo tanto, si se pueden restringir los dos primeros métodos de intrusión ilegal, se pueden prevenir eficazmente las intrusiones ilegales utilizando herramientas de piratería. Además, los dos primeros métodos de intrusión ilegal tienen una cosa en común: ingresar al host a través del puerto.
Los puertos son como varias puertas en una casa (servidor). Diferentes puertas conducen a diferentes habitaciones (el servidor proporciona diferentes servicios). Nuestro puerto predeterminado FTP comúnmente utilizado es el 21, mientras que el puerto predeterminado de la página WWW es el 80. Sin embargo, algunos administradores de red descuidados a menudo abren algunos servicios portuarios que son fáciles de invadir, como 139, y también hay algunos programas troyanos, como Glacier, Bo, Guangwai, etc. , abrirá automáticamente puertos que no conoces. Entonces, mientras bloqueemos todos los puertos no utilizados, ¿no eliminaremos estas dos intrusiones ilegales?
Métodos para restringir puertos
Para usuarios individuales, puede restringir todos los puertos, porque no necesita permitir que su máquina proporcione ningún servicio al mundo exterior para los servidores que brindan red; servicios al mundo exterior, debemos abrir los puertos necesarios (como el puerto WWW 80, el puerto FTP 21, los puertos de servicio de correo 25, 110, etc.) y todos los demás puertos deben cerrarse.
Aquí, para los usuarios que utilizan Windows 2000 o Windows XP, no es necesario instalar ningún otro software y se puede utilizar la función "Filtrado TCP/IP" para limitar los puertos del servidor. Las configuraciones específicas son las siguientes:
1. Haga clic derecho en "Mis vecinos", seleccione "Propiedades" y luego haga doble clic en "Conexión de área local" (si es un usuario de Internet por acceso telefónico, seleccione el icono "Mi conexión") y el cuadro de diálogo "Estado de la conexión de área local".
2. Haga clic en el botón [Propiedades] para abrir "Propiedades de conexión de área local", seleccione "Protocolo de Internet (TCP/IP)" en "Esta conexión utiliza los siguientes elementos" y luego haga clic en [Propiedades]. ] botón.
3. En el cuadro de diálogo emergente "Protocolo de Internet (TCP/IP)", haga clic en el botón [Avanzado]. En la configuración avanzada de TCP/IP que aparece, seleccione la pestaña Opciones, seleccione Filtrado TCP/IP y luego haga clic en el botón [Propiedades].
4. En el cuadro de diálogo emergente de filtrado TCP/IP, seleccione la casilla de verificación Habilitar filtrado TCP/IP y luego seleccione "Permitir solo" en el puerto TCP a la izquierda (ver imagen adjunta). .
De esta forma podrás añadir o eliminar tus propios puertos TCP, UDP o IP.
Después de agregar o quitar máquinas y reiniciar, su servidor estará protegido.
Si sólo estás navegando por Internet, no es necesario añadir ningún puerto. Pero si desea utilizar algunas herramientas de comunicación de red, como OICQ, debe abrir el puerto "4000". Del mismo modo, si descubre que una herramienta de red común no funciona, averigüe qué puerto abre en su host y agregue ese puerto en el filtrado TCP/IP.
Materiales de referencia:
/user 1/210/archives/2005/3327 .