操作system安全之端口与服务1.pptVIP

端口与服务 什么叫端口 计算机“端口”是计算机与外界通讯交流的出入口，分为两类： 硬件领域的端口（interface），又称接口，如：USB端口、串行端口、并行端口等； 软件领域的端口(port)，一般指网络中面向连接服务和无连接服务的通信协议端口，是IP协议与上层协议通信点，是一种抽象的软件结构。任何两个节点间要实现网络通信都必须打开相应的端口. 端口的分类 计算机端口的总数为65535个，系统自身常用端口只有几十个。按性质划分，所有端口分以下3大类: 　(1)公认端口(Well Known Ports)，也称为“常用端口”。端口号从0至1023，紧密绑定于一些特定的服务，通常这些端口的通讯明确表明了某种服务的协议。例如，HTTP协议使用80端口;Telnet服务使用23端口。黑客一般不会利用这类端口进行攻击。 端口的分类 (2)注册端口(Registered Ports):端口号从1024至49151，松散地绑定于某些服务，并且多数没有明确定义服务对象。这类端口的应用可根据用户的需要自定义，因此，这类端口比较容易被黑客利用。 端口的分类 (3)动态和/或私有端口(Dynamic and/or Private Ports):端口号从49152至65535，应用上更为自由，理论上常用服务不会分配在这些端口上。因为这些端口较隐蔽，又不会引起用户的重视。所以一些木马程序往往偏爱这些端口。 查看端口的命令 Windows系统自带了功能强大端口查看程序netstat。 语法： netstat[-a] [-e] [-n] [-o] [-p Protocol] [-r] [-s] [Interval] 参数： -a 显示所有活动的 TCP 连接以及计算机侦听的 TCP 和 UDP 端口。 查看端口的命令 -e 显示以太网统计信息，如发送和接的字节数、数据包数。 -n 显示活动的 TCP 连接，不过，只以数字形式表现地址和端口号，却不尝试确定名称。 -o 显示活动的 TCP 连接并包括每个连接的进程 ID (PID)。可以在 Windows 任务管理器中的“进程”选项卡上找到基于 PID 的应用程序。 -b 显示打开端口的进程名及相应的模块. -p Protocol 显示 Protocol 所指定的协议的连接。 查看端口的命令 -s 按协议显示统计信息。默认情况下，显示 TCP、UDP、ICMP 和 IP 协议的统计信息。 -r 显示 IP 路由表的内容。 Interval 每隔 Interval 秒重新显示一次选定的信息。按 Ctrl+C 停止重新显示统计信息。如果省略该参数，netstat 将只输出一次选定的信息。 查看端口的命令 注意事项： 与该命令一起使用的参数必须以连字符 (-) 而不是以斜杠 (/) 作为前缀 如果端口尚未建立，端口以星号 (*) 显示。 用冰刃查看端口 比较与用netstat 的不同 关闭一些不常用端口 1 .每一个端口都对应着一定的服务，关掉服务，相应的端口也就关闭了。如，关掉WWW服务，80端口就关闭了；关掉telnet服务，23端口也就关闭了；关掉FTP服务，21端口就关闭了。 3389 端口说明：又称Terminal Service，服务终端，在XP中又叫“远程桌面”，使用简单、方便，不产生交互式登录，可在后台操作，从而受到黑客们的青睐。 关闭方法：“我的电脑”上点右键－“属性”－“远程”－将“远程协助”和“远程桌面”两个复选框里的勾去掉即可。 关闭一些不常用端口 139 端口说明： 139端口是NetBIOS的会话端口，用来实现局域网中的文件和打印共享 关闭方法：在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。? 关闭一些不常用端口 2 .设置本地IP安全策略 程序——管理工具——本地安全策略——IP安全策略——右击，新建IP安全规则 打开23端口,用IP安全策略屏蔽 3. 用防火墙屏蔽端口 什么是服务 在Windows 2000/XP/2003系统中，服务是指执行指定系统功能的程序、例程或进程，以便支持其他程序，尤其是低层(接近硬件)程序，服务应用程序通常可以在本地和通过网络为用户提供一些功能。 它是应用程序中的一种特殊类型，它在后台运行，即运行时看不到程序的工作窗口，但在进程列表中可以看到相关的进程。 案例：服务task scheduler支持任务计划。 服务管理控制台的应用 服务服务管理控制台的启动 我的电脑—管理—服务 在运行中输入（s