关闭端口实验

admin管理员组

文章数量:1531541

2023年12月21日发(作者：)

实验四 关闭端口

1 实训目的

我们这里所说的端口，不是计算机硬件的I/O端口，而是软件形式上的概念.工具提供服务类型的不同，端口分为两种，一种是TCP端口，一种是UDP端口。计算机之间相互通信的时候，分为两种方式：一种是发送信息以后，可以确认信息是否到达，也就是有应答的方式，这种方式大多采用TCP协议；一种是发送以后就不管了，不去确认信息是否到达，这种方式大多采用UDP协议。对应这两种协议的服务提供的端口，也就分为TCP端口和UDP端口。

那么，如果攻击者使用软件扫描目标计算机，得到目标计算机打开的端口，也就了解了目标计算机提供了那些服务。我们都知道，提供服务就一定有服务软件的漏洞，根据这些，攻击者可以达到对目标计算机的初步了解。如果计算机的端口打开太多，而管理者不知道，那么，有两种情况：一种是提供了服务而管理者没有注意，比如安装IIS的时候，软件就会自动增加很多服务，而管理员可能没有注意到；一种是服务器被攻击者安装木马，通过特殊的端口进行通信。这两种情况都是很危险的。

通过关闭端口可以做到防止病毒入侵和禁止登陆某些软件的功能,如QQ和BT。

对于个人用户来说，您可以限制所有的端口，因为您根本不必让您的机器对外提供任何服务；而对于对外提供网络服务的服务器，我们需把必须利用的端口（比如WWW端口80、FTP端口21、邮件服务端口25、110等）开放，其他的端口则全部关闭。

所以学会关闭系统中一些不必要开放的端口，将减少系统留给攻击者的漏洞，从而有利于系统的安全。

2 实训内容

（1） 查看端口

（2） 关闭3389端口

（3） 关闭445端口

（4） 关闭139端口

（5） 关闭135端口

（6） 关闭25端口

（7） 关闭23端口

（8） 关闭21端口

（9） 创建 IP 安全策略来屏蔽端口

（10） Windows TCP /IP端口筛选

3 实训步骤

下面试验步骤都是基于Windows系统的应用。

（1） 查看端口

常见的端口有：21、23、80、135、138、445、3389

下面我们来看一下本机都打开了哪些端口：

点击开始菜单，运行命令：cmd，点击确定，进入命令行模式。

在命令行下输入命令：netstat –an ，回车

可以看到本机中打开的TCP和UDP端口的情况。

（2） 关闭3389端口

3389又称Terminal Service，服务终端。在WindowsNT中最先开始使用的一种终端，在Win2K的Professional版本中不可以安装，在Server或以上版本才可以安装这个服务，其服务端口为3389。由于使用简单，方便等特点，一直受系统管理员的青昧。

也正式因为他的简便，不产生交互式登陆，可以在后台操作，因此也受到了黑客朋友的喜爱，事实可以说明，现在大多数朋友在入侵之后，都想打开windows终端服务，甚至不惜重启对方的计算机，也要把终端服务安装上，由此可见他的普遍性。

在windows XP系统中又叫做“远程桌面”。可以通过这个端口,用"远程桌面"等连接工具来连接到远程的服务器,如果连接上了,输入系统管理员的用户名和密码后,将变得可以像操作本机一样操作远程的电脑。

如果不需要该项功能，那就可以将该端口关闭，步骤如下:

右键单击―我的电脑‖，选择―属性‖。

在弹出的―系统属性‖对话框中，选择―远程‖选项卡。

在―远程‖选项卡下，去掉远程协助和远程桌面两个选项框里的勾。

（3） 关闭445端口

端口说明：445端口是信息流通数据的端口，一般黑客都是通过这个端口对你的计算机进行攻击或木马控制的，windows2000以后的版本都会自动打开这个端口。如冲击波、振荡波都是从这个端口对计算机进行攻击的。

关闭方法：445端口可以通过修改注册表来屏蔽。

打开注册表编辑器，进入HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicesnetbtparameters

在parameters子项下面建立名为SmbdeviceEnabled 的DWORD值，并设置其值为0

修改完后重新启动计算机即可。

（4） 关闭139端口

端口说明：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。

在Windows中要在局域网中进行文件的共享，必须使用该服务。

比如在Windows 98中，可以打开“控制面板”，双击“网络”图标，在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务；

在Windows 2000/XP中，可以打开“控制面板”，双击“网络连接”图标，打开本地连接属性；接着，在属性窗口的“常规”选项卡中选择“Internet协议（TCP/IP）”，单击“属性”按钮；然后在打开的窗口中，单击“高级”按钮；在“高级TCP/IP设置”窗口中选择“WINS”选项卡，在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。

端口漏洞：开启139端口虽然可以提供共享服务，但是常常被攻击者所利用进行攻击，比如使用流光、SuperScan等端口扫描工具，可以扫描目标计算机的139端口，如果发现有漏洞，可以试图获取用户名和密码，这是非常危险的。

操作建议：如果不需要提供文件和打印机共享，建议关闭该端口。步骤如下：

一、右键单击桌面右下角“本地连接”图标，选择“状态”。

二、在弹出的“本地连接状态”对话框中，单击“属性”按钮。

三、在出现的“本地连接属性”对话框中，选择“Internet协议（TCP/IP）”，双击打开。

四、在出现的“Internet协议（TCP/IP）属性”对话框中，单击“高级”按钮。

五、在出现的“高级TCP/IP设置”对话框中，选择“WINS”选项卡。

六、在“WINS”选项卡，“NetBIOS设置”下，选择“禁用TCP/IP上的” NetBIOS。

七、单击“确定”，重新启动后即可关闭139端口。

（5） 关闭25端口

端口说明：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候，在创建账户时会要求输入SMTP服务器地址，该服务器地址默认情况下使用的就是25端口。

端口漏洞：

1. 利用25端口，黑客可以寻找SMTP服务器，用来转发垃圾邮件。

2. 25端口被很多木马程序所开放，比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说，通过开放25端口，可以监视计算机正在运行的所有窗口和模块。

操作建议：如果不是要架设SMTP邮件服务器，可以将该端口关闭。

关闭25端口步骤如下：

一、单击“开始”——“设置”——“控制”，选择“管理工具”，双击打开。

二、在“管理工具”界面，选择“服务”，双击打开。

三、在“服务”对话框的服务列表中，找到Simple Mail Transport Protocol (SMTP)服务。

四、右键单击，选择“属性”。

五、在“Simple Mail Transport Protocol (SMTP)的属性”对话框中，将启动类型改为“手动”。

六、单击“停止”按钮，将服务状态改变为“停止”，单击“确定”，完成设置。

（6） 关闭23端口

端口说明：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端，开启Telnet服务的客户端就可以登录远程Telnet服务器，采用授权用户名和密码登录。登录之后，允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中，键入―Telnet‖命令来使用Telnet远程登录。

操作建议：利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。

Telnet服务的23端口也是TTS（Tiny Telnet Server）木马的缺省端口。所以，建议关闭23端口。

关闭23端口步骤如下：

一、单击―开始‖——―设置‖——―控制‖，选择―管理工具‖，双击打开。

二、在―管理工具‖界面，选择―服务‖，双击打开。

三、在―服务‖对话框的服务列表中，找到Telnet 服务。

四、右键单击，选择―属性‖。

五、在―Telnet 的属性‖对话框中，将启动类型改为―手动‖。

六、单击―停止‖按钮，将服务状态改变为―停止‖，单击―确定‖，完成设置。

（7） 关闭21端口

端口说明：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务，FTP服务主要是为了在两台计算机之间实现文件的上传与下载，一台计算机作为FTP客户端，另一台计算机作为FTP服务器，可以采用匿名（anonymous）登录和授权用户名与密码登录两种方式登录FTP服务器。

目前，通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

关闭21端口具体步骤：

一、单击―开始‖——―设置‖——―控制‖，选择―管理工具‖，双击打开。

二、在―管理工具‖界面，选择―服务‖，双击打开。

三、在―服务‖对话框的服务列表中，找到FTP Publishing 服务。

四、右键单击，选择―属性‖。

五、在―FTP Publishing的属性‖对话框中，将启动类型改为―手动‖。

六、单击―停止‖按钮，将服务状态改变为―停止‖，单击―确定‖，完成设置。

（8） 创建IP安全策略来屏蔽端口

IP安全性(Internet Protocol Security)是Windows XP/2003中提供的一种安全技术，它是一种基于点到点的安全模型，可以实现更高层次的局域网数据安全性。

在网络上传输数据的时候，通过创建IP安全策略，利用点到点的安全模型，能够安全有效地把源计算机的数据传输到目标计算机。

创建IP安全策略

一、单击―开始‖-―控制面板‖-―管理工具‖。

二、在―管理工具‖页面，选择―本地安全策略‖，双击打开。

三、在弹出的―本地安全设置‖对话框中，选择―IP 安全策略，在本地计算机‖。

四、在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择―创建 IP 安全策略‖。

五、在弹出的―IP 安全策略‖向导对话框中，单击―下一步‖按钮。

六、在出现的―IP安全策略名称‖界面中，输入新IP安全策略的名称，我们将名称改为：hniu，单击―下一步‖按钮。

七、在出现的―安全通讯请求‖界面中，把―激活默认相应规则‖左边的勾去掉，点击―下一步‖。

八、在出现的―正在完成IP安全策略向导‖界面中，去掉―编辑属性‖前的勾，单击―完成‖按钮。

九、在―本地安全设置‖对话框，选择IP安全策略―hniu‖，右键单击，选择―属性‖。

十、在弹出的―hniu属性‖对话框中，把―使用添加向导‖左边的勾去掉，然后单击―添加‖按钮添加新的规则。

十一、在弹出的―新规则属性‖对话框―IP筛选器列表‖选项卡中，单击―添加‖按钮。

十二、在弹出的―IP筛选器列表‖对话框中，把―使用添加向导‖左边的勾去掉，单击―添加‖按钮。

十三、在出现的―筛选器属性‖对话框―寻址‖选项卡中，把源地址设为―任何IP地址”，目标地址设为―我的IP地址‖。

十四、在出现的―筛选器属性‖对话框―协议‖选项卡中，在―选择协议类型‖的下拉列表中选择―TCP‖，然后在―到此端口‖下的文本框中输入―135‖，如下图，点击―确定‖按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器。

十五、依照以上步，添加139、3389、445、137端口筛选器，单击―确定‖按钮。

十六、返回到―新规则属性‖对话框，在―IP筛选器列表‖选项卡中，单击―新IP筛选器列表‖前的圆点。

十七、在―新规则属性‖对话框，―筛选器操作‖选项卡中，单击 ―新筛选器操作‖前的圆点，去掉―使用‗添加向导‘‖前的小勾，单击―添加‖按钮。

十八、在出现的―新筛选器操作（1）属性‖对话框―安全措施‖选项卡中，选择―阻止‖，单击―确定‖按钮。

十九、进入―新规则属性‖对话框，点击―新筛选器操作（1）‖，其左边的圆圈会加了一个点，表示已经激活，点击―关闭‖按钮，关闭对话框。

二十、返回到―hniu属性‖对话框，在―新IP筛选器列表‖左边打钩，按―确定‖按钮关闭对话框。

二十一、返回到 ―本地安全策略‖窗口，用右击新添加的 IP 安全策略―hniu‖，然后选择―指派‖。

二十二、设置完成，重新启动电脑后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连接这些端口，从而保护了你的电脑。

（9） Windows TCP /IP端口筛选

TCP/IP筛选设置让用户限制计算机所能处理的网络通信量。特别要提到的是，通过设置TCP/IP筛选可以限制网络客户不能从特定的TCP端口和用户数据报协议(UDP)端口传输数据，而只能使用特定的网际协议来传输。

虽然TCP/IP筛选设置主要用来限制与三个端口之一相关的访问和故障诊断，但它还有另外一个用途，即就是在有无用的高通信量传输的网络里加快主机网络的操作速度。

对于个人用户来说，您可以限制所有的端口，因为您根本不必让您的机器对外提供任何服务；而对于对外提供网络服务的服务器，我们需把必须利用的端口（比如WWW端口80、FTP端口21、邮件服务端口25、110等）开放，其他的端口则全部关闭。

这里，对于采用Windows 2000/ Windows 2003/Windows XP的用户来说，不需要安装任何其他软件，可以利用―TCP/IP筛选‖功能限制服务器的端口。具体设置如下：

一、右键单击桌面右下角―本地连接‖图标，选择―状态‖。

二、在弹出的―本地连接状态‖对话框中单击―属性‖按钮。

三、在―本地连接属性‖对话框中，选择―Internet协议（TCP/IP）‖，双击打开。

四、在弹出的―Internet协议（TCP/IP）属性‖对话框中，单击―高级‖按钮。

五、在出现的―高级TCP/IP设置‖对话框中，选择―选项‖选项卡，单击―属性‖按钮。

六、在弹出的―TCP/IP筛选‖对话框中，选择―启用TCP/IP筛选‖。

七、在左边的TCP端口设置中，单击―添加‖按钮。

八、在弹出的―添加筛选器‖对话框中，输入端口号―80‖，单击―确定‖按钮。

九，根据自己的端口筛选需要，输入要筛选的端口，在这里添加21及3389端口，单击―确定‖按钮。

十、在返回的对话框中，单击―确定‖按钮，弹出提示对话框，重启计算机使设置生效。

4 实训思考题

（1）探索利用设备管理器，禁用136，137，138，445端口的方法。

（2）在命令行模式下应用netstat –an查看到的端口列表中，Proto:端口、Local Address：本地地址、Foreign Address：外部地址、State：状态（如：listening：表示侦听）分别代表什么意义？

（3）在Windows 2000/XP/2003中，如何运用组策略来解锁注册表？

5 实训报告要求

（1）实训目的。

（2）实训环境。

（3）操作步骤。

（4）实训中的问题和解决方法。

（5）回答实训思考题1、2、3。

（6）实训心得与体会。（选做）

（7）建议与意见。（选做）

本文标签： 端口服务选择