以前都是直接打开WINXP自带的防火墙,最近要开共享给人家,没奈何,只好屏蔽了。
同事发现他的NORTON报告LOVEGATE,而且LOVAGATE居然还在他映射过来的LINUX盘上弄了一大堆病毒文件。
他的防火墙也不停的报告有人试图连接135端口,我就上网搜索了一下

原来震荡波、冲击波都是通过这个端口 www.yippeesoft.com

关闭方法还挺麻烦了,我就简单一点:通过MCAFEE www.yippeesoft.com
访问保护
通过限制对指定端口、文件、文件夹和共享资源的访问防止入侵。在病毒发作之前和发作期间,此功能十分重要。您可以阻止对端口和端口范围的访问,将共享资源、文件和目录锁定为只读状态,阻止特定文件的执行,并在发现对被阻挡项目的访问尝试时生成记录条目和/或 Alert Manager 和 ePolicy Orchestrator 事件。如果病毒发作,您可以阻止破坏性代码访问计算机,直到 dat 文件发布。

端口阻挡属性 www.yippeesoft.com
发现对被阻挡端口的访问尝试时,阻挡指定端口的入站和出站通讯,并选择是否添加条目。阻挡端口时,会阻挡传输控制协议 (tcp) 和用户数据报协议 (udp) 访问。

添加一个135端口阻止~~~~~搞定!!!!远端用TELNET就没有办法连接上来了~~~~~

2005-9-21 17:28:04 被端口阻挡规则阻挡  SVCHOST.EXE 135 192.168.3.173

 135端口干什么用的 www.yippeesoft.com

 端口:135
  服务:Location Service
  说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。

135端口开放实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的"Snork"攻击!!!

    对于135端口开放的问题,可以在你的防火墙上,增加一条规则:拒绝所有的这类进入的UDP包,目的端口是135,源端口是7,19,或者135,这样可以保护内部的系统,防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则,已覆盖了这条过滤规则,但任需注意:有一些NT的应用程序,它们依靠UDP135端口进行合法的通讯,而打开你135的端口与NT的RPC服务进行通讯。如果真是这样,你一定要在那些原始地址的系统上(需要135口通讯),实施上述的规则,指定来自这些系统的通讯可以通过防火墙,或者,可以被攻击检测系统所忽略,以便维持那些应用程序的正常连接。

http://support.microsoft.com/?kbid=832017 Windows 服务器系统的服务概述和网络端口要求

135 oc-serv ms rpc end-point mapper Microsoft在這個端口運行DCE RPC end-point mapper為它的Dcom服務。

试图联接至本机的135端口,这种情况有如下三种可能性:

(1)、攻击者利用端口扫描工具对本机的RPC服务端口进行扫描,试图通过本机的RPC服务提供的信息来进行操作系统指纹鉴别以达到确认本机操作系统类型的目的。

(2)、攻击者试图通过漏洞分析工具查看本机是否存在RPC服务漏洞,以便实施针对RPC漏洞的远程溢出攻击(Buffer OverFlow)。

(3)、由于现在大量的蠕虫病毒层出不穷,而其中大部分的蠕虫病毒不仅具有传统病毒的特征还具备了大量的黑客攻击手段。比如冲击波、MYDOOR、LOVEGATE、NETSKY等蠕虫病毒,在感染受害者机器后会随机生成一个范围的IP段,然后通过扫描目标机器的RPC服务端口,查找是否存在远程溢出漏洞,如果目的机器存在漏洞,则病毒会发出远程溢出攻击数据包,拿到目的机器的SYSTEM权限,将病毒副本感染至目的机器,如此形成大规模的交叉感染。那么刚才防火墙实时监控里拦截到的针对135端口的联接行为当然也不排除是这种类型病毒所为。

上面三种可能性是针对RPC服务的,而截图中还有一处是联接至本机的445端口,也就是Windows SMB服务端口,这种情况有可能是攻击者试图通过SMB服务进行操作系统鉴别也有可能是攻击者试图通过SMB服务进行用户登陆帐号的暴力破解。

提到135网络端口,在几年前相信没有多少人能准确知道该端口到底"扮演"什么角色,更不要说通过该端口能给系统带来什么潜在安全威胁了?直到有一种"IE`en"远程控制软件出现,人们才知道通过135端口,可以远程随意控制计算机的上网情况,包括偷窥上网帐号,监控浏览内容等,甚至还能运行各种通过DCOM技术开发出来的应用程序。如此一来,开通服务器的135网络端口,就很有可能招来各种恶意的远程攻击;为确保网络服务器的安全,想办法关闭危险的135网络端口就显得十分必要了。为此,本文特意提供了如下禁用技巧,相信能给各位带来帮助。

  方法1、关闭RPC服务

  由于通过135网络端口,只能远程运行一些通过DCOM技术开发出来的应用程序,而DCOM技术在通信过程中,需要用到RPC服务;因此如果将服务器中的RPC服务停用的话,就能达到禁用135网络端口的目的了。在禁用RPC服务时,可以依次单击"开始"/"程序"/"管理工具"/"服务"命令,在随后打开的"服务"列表中,双击其中的"Remote Procedure Call"选项,打开如图1所示的设置界面,将该界面的启动类型设置为"已禁用"选项,再单击一下"确定"按钮,服务器的RPC服务就会被暂时停用了。

  不过这种方法有很大的弊病,因为一旦将服务器的RPC服务停用的话,那么服务器将无法正常对外提供相关服务,比如数据库查询服务、远程登录服务等,因此这种方法只适合于普通的计算机,或者适合仅对外提供WWW服务、DNS服务的服务器。

 方法2、禁用系统DCOM

  考虑到服务器中的DCOM服务才会访问135网络端口,要是我们能让系统禁用DCOM服务功能的话,就能实现间接地关闭135端口的目的了。要禁用计算机系统中的DCOM功能时,可以在系统的"开始"菜单中,执行"运行"命令,在弹出的运行对话框中,执行"dcomcnfg.exe"命令,在随后弹出的设置界面中,单击"默认属性"选项,在弹出的图2选项页面中,选中"在这台计算机上启用分布式COM"项目,再单击一下"确定"按钮,这样的话就能实现禁用系统DCOM服务的目的了。

org 方法3、禁用网络登录

  如果我们事先设置一下服务器,让其不允许任何用户通过网络登录到服务器的话,那么黑客或攻击者自然就无法通过135网络端口,来对服务器进行攻击破坏了。要禁止其他用户通过网络来远程登录服务器时,可以通过修改组策略设置的方法来实现:

  依次单击"开始"/"运行"命令,在弹出的运行对话框中,输入"gpedit.msc"命令,单击"确定"按钮后,打开组策略编辑界面;依次展开该界面中的"计算机配置"、"Windows设置"、"安全设置"、"本地策略"、"用户权利指派"选项,在对应"用户权利指派"选项的右侧区域中,双击"拒绝从网络访问这台计算机"项目;

  接着单击其后窗口中的"添加"按钮,将"everyone"帐号导入进来,这样就能"命令"服务器中的每一位用户,都不允许通过网络访问服务器了(如图3所示)。

方法4、防火墙拦截

  由于防火墙都有拦截数据的功能,如果利用该功能将通往135端口的接受数据和发送数据全部拦截下来的话,这样就能阻止黑客或非法攻击者对服务器进行远程攻击了。例如,我们在使用瑞星2004个人防火墙,拦截通往135端口的接受数据时,可以按照下面的方法来进行:

  首先运行瑞星2004个人防火墙程序,在弹出的主界面中,依次单击菜单栏中的"设置"/"设置规则"命令,在随后打开的规则设置界面中,再依次单击"规则"/"添加"命令,这样我们就能看到如图4所示的拦截设置窗口了;

  为了便于日后查看规则,我们首先要在"名称"文本框中,为当前新的过滤规则设置一个有针对性的名字,例如这里的名称假设为"拦截135端口";

  接着单击"类别"下拉按钮,从弹出的下拉菜单中选中"系统";再单击"操作"下拉按钮,并从列表中选择"禁止"选项;然后在"方向"设置项处,将"接受"选中,同时将"数据链"设置为"全部"。考虑到135端口是一种TCP协议端口,因此在"协议"设置项处,请大家选中"TCP"选项。

  下面再在"地址"标签页面中,将"源地址"设置为"任何地址",将"目的地址"设置为主机地址,同时将本地服务器的IP地址输入在这里;接着再切换到"端口号"标签页面,将该页面中的"源端口设置"选为"任何端口",将"目的端口设置"选为"一个端口",并且将该端口设置为"135"。

  完成上面的所有设置后,单击"添加"按钮,我们就会在瑞星2004个人防火墙程序的主界面中看到"拦截135端口"选项,将该过滤规则选中后,所有通过135端口进来的数据都被认为是非法入侵,这样黑客通过该端口发送到服务器中的所有数据都会被防火墙拦截住。
org方法5、自定义安全策略

  如果我们手头暂时没有防火墙工具的话,那么可以利用Windows服务器自身的IP安全策略功能,来自定义一个拦截135端口的安全策略。下面就是具体的自定义步骤:

  首先打开本地安全设置窗口,用鼠标右键单击"IP安全策略,在本地机器"选项,执行快捷菜单中的"管理IP筛选器表和筛选器操作"命令,在随后的"管理IP筛选器表"标签页面中,单击"添加"按钮,然后将新建的IP筛选器名称设置为"拦截135端口",继续单击"添加"按钮,根据屏幕提示单击"下一步"按钮;

  在接下来的"IP通信源"向导窗口中,将"源地址"设置为"任何IP地址",再将"目标地址"选为"我的IP地址",同时将IP协议类型设置为"TCP";在随后弹出的IP协议端口设置窗口中,选中"到此端口"选项,同时将"135"端口号正确输入;最后单击"完成"按钮,这样我们就能发现在IP筛选器列表中,包含有"拦截135端口"选项了。

  接着进入到"管理筛选器操作"标签页面,单击"添加"按钮,然后根据屏幕向导提示,输入筛选器的具体操作名称,例如这里的名称可以设置为"拒绝135端口",在随后弹出的"筛选器操作常规选项"设置窗口中,选中"阻止"选项,再单击"完成"按钮;

  下面用鼠标右键单击本地安全设置窗口中的"IP安全策略,在本地机器"选项,执行快捷菜单中的"创建IP安全策略"命令,并将IP安全策略的名称设置为"禁用135端口",在接着打开的"安全通信请求"向导窗口中,取消"激活默认响应规则"的选中状态,再单击"完成"按钮;

  再将前面创建好的"禁用135端口"策略选中,然后单击"添加"按钮,在随后出现的"隧道终结点"设置窗口中,选中"此规则不指定隧道"选项,在"网络类型"设置窗口中,选中"所有网络连接",在"身份验证方法"设置窗口中,选中"windows 2000默认值(Kerberos V5 协议)"选项,在"IP筛选器列表"设置窗口中,选中前面创建好的"拦截135端口"筛选器(如图5所示),在"筛选器操作"设置窗口中,选中前面创建好的"拒绝135端口"选项,再单击"完成"按钮;到了这里"禁用135端口"的安全策略就自定义好了。

  考虑到在默认状态下,Windows系统不会指派任何安全策略,为此我们还需要手工来对"禁用135端口"安全策略进行指派;在指派安全策略时,只要用鼠标右键单击"禁用135端口"安全策略,从弹出的快捷菜单中执行"指派"命令就可以了。
方法6、筛选TCP端口

  大家知道,Windows系统具有筛选TCP端口功能,利用该功能我们可以将来自于135网络端口的数据包,全部过滤掉,这样各种恶意攻击信息都无法通过135网络端口了。在过滤135端口的数据包时,可以先打开"Internet协议(TCP/IP)"属性设置对话框;

  然后打开其中的"高级"功能页面,并切换到"选项"标签页面中,选择其中的"TCP/IP筛选"项,再单击"属性"按钮,在弹出的图6设置窗口中,选中"启用TCP/IP筛选"选项,同时在"TCP端口"处,选中"只允许",并单击"添加"按钮,将常用的21、23、80、110端口输入到这里,最后单击"确定"按钮,这样的话其余端口就会被自动排除了。

VS.NET 2005 BETA2 安装 SQLSERVER (2005-11-4)

历史博文

标签:
九月 22, 2005 at 8:08 上午 by yippee 1,505 次
Category: RAN乱
Tags: