介绍135、139、445三个高危端口,以及它们的关闭和开启方式。
135端口
端口介绍
在 Windows 默认的五个典型开放端口中,135 用途最为复杂,也最容易引起外部攻击。主要用于使用RPC(远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。
通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码:具体来说,会向对方电脑的 135 端口询问可以使用哪个端口进行通信。这样,对方的电脑就会告知可以使用的端口号。使用DCOM可以通过网络直接进行通信,能够包括HTTP协议在内的多种网络传输。
端口漏洞
Windows 2000和Windows XP⽤户曾中的“冲击波”病毒就是利⽤RPC漏洞进行攻击。RPC本⾝在处理通过TCP/IP的消息交换部分有⼀个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的⼀个接⼝,该接⼝侦听的端⼝就是135。
操作建议
为了避免“冲击波”病毒的攻击,建议关闭该端⼝。
关闭方法
- 单击 “开始”-“运行”,输入 “dcomcnfg”,单击 “确定”,打开组件服务。
- 在弹出的 “组件服务” 对话框中,选择 “计算机” 选项。
- 在 “计算机” 选项右边,右键单击 “我的电脑”,选择 “属性”。
- 在出现的 “我的电脑属性” 对话框 “默认属性” 选项卡中,去掉 “在此计算机上启用分布式 COM” 前的勾。
- 选择 “默认协议” 选项卡,选中 “面向连接的 TCP/IP”,单击 “移除” 按钮。
- 单击 “确定” 按钮,设置完成,重新启动后即可关闭 135 端口。
开启方法
- 单击 “开始”-“运行”,输入 “dcomcnfg”,单击 “确定”,打开组件服务。
- 在弹出的 “组件服务” 对话框中,选择 “计算机” 选项。
- 在 “计算机” 选项右边,右键单击 “我的电脑”,选择 “属性”。
- 在出现的 “我的电脑属性” 对话框 “默认属性” 选项卡中,选中 “在此计算机上启用分布式 COM” 前的勾。
- 选择 “默认协议” 选项卡,单击“添加”按钮,选中 “面向连接的 TCP/IP”。
- 单击 “确定” 按钮,设置完成,重新启动后即可打开 135 端口。
139端口
端口介绍
139端口用于NBT协议(即Net Bios Over TCP/IP),其属于SMB(Server Message Block)Windows协议族。NBT使用137(UDP)、138(UDP)和139(TCP)来实现基于TCP/IP的NETBIOS网际互联。而139端口的作用就是获得NETBIOS/SMB服务(即NetBIOS File and Print Sharing协议),这个协议被用于Windows文件和打印机共享。
具体来说,SMB协议根据 DNS 服务器中的名字列表信息,寻找需要通信的对象。如果顺利地得到对象的 IP 地址,就可以访问共享资源 。Windows 2000 以前版本的 Windows 使用 NetBIOS 协议解决各计算机名的问题。通过向 WINS 服务器发送通信对象的 NetBIOS 名,取得 IP 地址。
在 SMB 通信中,首先要取得通信对象的 IP 地址,然后向通信对象发出开始通信的请求。如果对方充许进行通信,就会确立会话层(Session)。并使用它向对方发送用户名和密码信息,进行认证。如果认证成功,就可以访问对方的共享文件。在这些一连串的通信中使用的就是 139 端口。
端口漏洞
在默认设置下,Windows 会开放提供文件共享服务的 TCP 139 号端口。一旦文件共享服务启动,系统就会进入等待状态。而共享资源则可以利用 net 命令轻松地进行分配。尽管 C 盘如果没有管理员权限就无法共享,但如果不经意地将 Guest 帐号设置为有效以后,攻击者就能够访问 C 盘,非常轻松地破坏硬盘。 2017年10月,由于病毒“坏兔子”来袭,国家互联网应急中心等安全机构建议用户及时关闭计算机以及网络设备上的445和139端口。
操作建议
在因特网上公开的服务器打开 139 端口是一件非常危险的事情。如果有 Guest 帐号,而且没有设置任何密码时,就能够被人通过因特网轻松地盗看文件。如果给该帐号设置了写入权限,甚至可以轻松地篡改文件。也就是说在对外部公开的服务器中不应该打开这些端口。通过因特网使用文件服务器就等同自杀行为,因此一定要关闭 139 端口。
关闭方法
- 打开控制面板,选择“网络和Internet”。
- 在弹出的 “网络和Internet” 对话框中,单击 “网络和共享中心” 按钮。
- 在出现的 “网络和共享中心” 对话框中,选择左侧 “更改适配器设置”。
- 然后选中本地连接的网络,右键“属性”。
- 选择Internet协议版本4(TCP/IPv4)—>属性—>高级—>WINS—>禁用TCP/IP上的NetBIOS(S)。
- 单击 “确定” 按钮,设置完成,重新启动后即可关闭 135 端口。
开启方法
- 打开控制面板,选择“网络和Internet”。
- 在弹出的 “网络和Internet” 对话框中,单击 “网络和共享中心” 按钮。
- 在出现的 “网络和共享中心” 对话框中,选择左侧 “更改适配器设置”。
- 然后选中本地连接的网络,右键“属性”。
- 选择Internet协议版本4(TCP/IPv4)—>属性—>高级—>WINS—>启用TCP/IP上的NetBIOS(S)。
- 单击 “确定” 按钮,设置完成,重新启动后即可打开 135 端口。
445端口
端口介绍
445 端口是一种TCP端口,该端口在windows 2000 Server或Windows Server 2003系统中发挥的作用与139 端口是完全相同的。具体地说,它可以提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议(通用因特网文件系统协议)工作的,而139 端口是基于SMB协议(服务器协议族)对外提供共享服务。同样地,攻击者与445 端口建立请求连接,也能获得指定局域网内的各种共享信息。
445 端口的作用是实现一些共享文件夹以及一些共享打印机的访问工作,只要在局域网络的范围之内就能进行轻松的访问工作。
端口漏洞
由于只要在局域网络的范围之内就能通过445 端口进行访问,所以黑客侵入的可能性很高,黑客可以通过445端口进入我们的硬盘,从而对我们的文件进行共享,或者将我们硬盘内的数据格式化,导致我们的数据丢失。 2017年10月,由于病毒“坏兔子”来袭,国家互联网应急中心等安全机构建议用户及时关闭计算机以及网络设备上的445和139端口。多家网络安全机构监测分析发现,与此前席卷多国的WannaCry、Petya勒索病毒类似,这次在集团范围内传播的“蠕虫”病毒也会以感染的设备为跳板,攻击局域网内的其他电脑,形成“一台中招,一片遭殃”的情况。
操作建议
与139 端口类似,公开服务器 445 端口是一件非常危险的事情。容易被黑客通过因特网轻松地盗看文件。如果给该帐号设置了写入权限,甚至可以轻松地篡改文件。也就是说在对外部公开的服务器中不应该打开这些端口。通过因特网使用文件服务器就等同自杀行为,因此建议关闭445 端口。
关闭方法
- 单击 “开始”-“运行”,输入 “regedit”,单击 “确定” 按钮,打开注册表。
- 找到注册表项 “HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters”。
- 选择 “Parameters” 项,右键单击,选择 “新建”——“DWORD 值”。
- 将 DWORD 值命名为 “SMBDeviceEnabled”。
- 右键单击 “SMBDeviceEnabled” 值,选择 “修改”。
- 在出现的 “编辑 DWORD 值” 对话框中,在 “数值数据” 下,输入 “0”,单击 “确定” 按钮,完成设置。
开启方法
- 单击 “开始”-“运行”,输入 “regedit”,单击 “确定” 按钮,打开注册表。
- 找到注册表项 “HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters”。
- 选择 “Parameters” 项。
- 在右侧右键选中删除“SMBDeviceEnabled”值。
- 单击 “是” 按钮,设置完成,重新启动后即可打开 135 端口。