基于端口检测的windows安全防护策略.doc

  1. 1、本文档共4页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
基于端口检测的windows安全防护策略

基于端口检测的windows安全防护策略一、引言   在网络与信息时代,入侵与入侵检测是一对永恒的矛盾,对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。   非法入侵的方式可粗略分为4种:扫描端口,通过已知的系统Bug攻入主机;种植木马,利用木马开辟的后门进入主机;采用数据溢出的手段,迫使主机提供后门进入主机;利用某些软件设计的漏洞,直接或间接控制主机。入侵检测则是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象,检测计算机网络中违反安全策略行为的技术。入侵检测可分为基于主机的入侵检测、基于网络的入侵检测和分布式入侵检测。   基于端口的检测是针对上面第一种非法入侵方式而采取的主机入侵检测中最重要的一种,大部分的计算机入侵都是从端口扫描开始的,所以基于端口的入侵检测是防止入侵的第一步也是关键的一步。   二、端口的概念和分类   在计算机领域,端口(Port)有两种意思:一是硬件领域中的端口,又称接口,它是CPU与外设信息交换的桥梁;二是指TCP/IP协议中的端口,它是一种抽象的软件结构,包括一些数据结构和I/O缓冲区。计算机网络中的通信实际上是应用进程之间的通信,一台计算机中可能同时有多个应用进程在通信,通过IP地址可以找到目的主机,但是还不能确定应该将数据送给目的主机的那一个应用进程,所以需要通过端口号来区分不同的应用进程,每一种网络服务都与一个端口相对应。本文中所涉及到的端口就是这种类型的端口。TCP/IP协议中的端口有多种分类标准,下面将介绍两种常见的分类:   (一)按端口号划分   1.熟知端口。熟知端口是由TCP/IP体系确定并固定分配给一些服务,范围从0到1023。比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。   2.动态端口。动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。动态端口常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY2.4是8011、Netspy3.0是7306、YAI病毒是1024等等。 ??? (二)按协议类型划分   按端口所采用的协议类型划分,可以分为TCP、UDP和ICMP(Internet控制消息协议)等端口。下面主要介绍TCP和UDP端口:   1.TCP端口。TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。   2.UDP端口。UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。   三、病毒常用端口列表   基于端口的入侵是黑客们常用的的手法,其工作过程是通过远程扫描技术,反复不断的扫描目标主机的端口,通过检测目标主机不同TCP/IP端口的服务,记录目标主机给予的不同回答,进而搜集到目标主机上的各种信息,并于漏洞扫描系统提供的各种漏洞库进行匹配,满足匹配条件则视为漏洞,从而进行有目的的攻击,实现破坏计算机系统和窃取资源的目的。  ? 四、端口状态检测的方法   如果病毒是通过端口入侵的方法攻击你的计算机的话,在Windows2000/XP/Server2003中,可以使用Netstat命令来查看端口的连接情况,进而发现病毒是通过那些端口侵入你的计算机的。Netstat辅以不同的参数用于显示网络连接、路由表和网络接口信息,可以让用户得知目前都有哪些网络连接正在运作。操作方法是:依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状态下键入“netstat–a”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。在下面的截图中我们看到冰河的默认端口7626处于侦听状态,极有可能被黑客利用从事破坏活动。 ??? 五、基于端口检测的windows安全防护策略   一般来讲,基于端口检测的windows安全防护策略是通过屏蔽无用的端口(或协议、服务)或限制对特定端口的访问来实现的。以前往往利用个人网络防火墙来关闭这些无用的端口,其实还可以通过Windows系统的IP安全策略来关闭这些端口,借助IP安全策略,完全可以阻止入侵者的攻击。   IP安全策略是一个基于通讯分析的策略,它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后决定是允许还是拒绝通讯的传输,它弥补了传统TCP/IP设计上的“随意信任”重大安全漏洞,可以实现更仔细更精确的TCP/IP安全,我们对这个IP安全策略进行合理配置以后,就相当于拥有一个功能完善的个人防火墙了。通

文档评论(0)

shenlan118 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档