病从口入 防黑客攻击就从关闭端口开始
2006-12-15 16:59
摘要:病毒、木马、流氓软件是如何进入系统的?一种说法是通过网页,另一种说法是通过即时通讯软件传播,此外还有各种版本的说法。这些说法都没有错,但是归根结底,病毒木马进入系统,都要经过端口这一个环节。 病毒、木马、流氓软件是如何进入系统的?一种说法是通过网页,另一种说法是通过即时通讯软件传播,此外还有各种版本的说法。这些说法都没有错,但是归根结底,病毒木马进入系统,都要经过端口这一个环节。有一句话很形象地说明了端口与病毒木马之间的关系:俗话说“病从口入”,在电脑中的“口”是指端口,而“病”是病毒木马。因此只要我们封堵了一个计算机所有对外开放的端口,那么这台计算机就像没有连上网一样,病毒木马想从网络上进入我们的系统是不可能完成的任务。本文将介绍系统端口的关闭方法。 什么是端口? 端口是计算机与外部通信的途径,计算机需要它与外界进行沟通交流。服务器采用不同的端口提供不同的服务,因此只需要一个IP地址就可以接受不同的数据包。正因为有了端口,当一个数据包到达该计算机时,它才知道该把哪个数据包送到哪个服务程序去。因此通过不同端口,计算机与外界就可以进行互不干扰的通信。 根据协议类型划分,端口又可以分为TCP端口和UDP端口,前者即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。后者为用户数据包协议端口,无需在客户端和服务器之间建立连接,缺点是安全性得不到保障。 简单的说,端口就像一扇门,只有我们打开这扇门,计算机才能与外界进行通信,所有数据都要通过门才能进入我们的系统。例如我们熟知的“冲击波”、“魔波”病毒就是通过139、445端口传播的,而著名的木马“冰河”则是通过7626端口控制我们的计算机的。不止这些,所有通过网络传播的病毒和木马都需要经过端口才能进入我们的系统。因此只要我们了解一些病毒木马常用的端口,并将之关闭,就能避免很多病毒木马的攻击。下面我们来看看如何才能关闭系统的端口。 利用系统关闭端口,方便实惠 使用“TCP/IP筛选” 如果对关闭端口的要求不是很高,那么使用系统自带的一些功能就可以关闭端口,这里我们先使用“TCP/IP筛选”关闭端口。 进入“控制面板”→“网络连接”。我们可以在其中找到一个“本地连接”,在“本地连接”上点右键,选择“属性”,接着会出现属性窗口。 在窗口中央处有一个“此连接使用下列选定组件”选项,其中可以找到“Internet 协议(TCP/IP)”,选中它后再次点击鼠标右键,在新出现的属性窗口中单击“高级”按钮,进入高级TCP/IP设置。切换到“选项”标签,在“可选设置”中就可以发现我们的主角“TCP/IP筛选”。双击“TCP/IP筛选”,即可对其进行设置。 我们先来设置TCP端口。在TCP端口设置处选中“只允许”选项,下方的“添加”按钮会被激活,我们单击后即可开始添加端口。这里我们只需根据自身的情况添加常用的端口,例如需要浏览网页就添加80端口,用Foxmail等邮件客户端收信则添加110端口。至于需要关闭的端口,只要不添加进来就是了。同样的,UDP端口的设置类似。最后别忘了勾选“启用TCP/IP筛选(所有适配器)”,这样才能让设置生效。 图1.使用“TCP/IP筛选”关闭端口 设置“IP安全策略”
从上文中可以得知虽然“TCP/IP筛选”的设置比较简单,但是缺点也是显而易见的。例如只能添加允许使用的端口,而不能添加需要关闭的端口。此外当我们有新的服务需要使用时,每次都需要到“TCP/IP筛选”中设置允许开启的端口,十分的麻烦,因此我们可以使用系统内置的另一项关闭端口功能“IP安全策略”。与“TCP/IP筛选”相比较而言,“IP安全策略”要强大许多,对设置的划分也更细,其关闭端口的原理也是不同的,下面我们来学习如何使用“IP安全策略”关闭端口。 点击“开始”→“运行”,输入“gpedit.msc”运行“组策略”,依次展开“计算机配置”→“Windows设置”→“安全设置”,展开后可以找到“IP安全策略,在本地机器”。 在“IP安全策略,在本地机器”上点右键,选择“创建IP安全策略”,出现“IP安全策略向导”。我们单击“下一步”,在“名称”处为这个安全策略指定一个名字,例如“IP安全策略测试”。继续单击“下一步”,去掉“激活默认响应规则”前面的钩。单击“完成”即可创建一条IP安全策略。 图2.创建一条IP安全策略 此时我们新建的“IP安全策略测试”是没有筛选器的,我们需要对其进行设置,将筛选器添加进去。在“IP安全策略测试”上点右键→“属性”。在属性面板中将右下角的“使用‘添加向导’”前面的钩去掉。然后单击“添加”按钮添加新的规则,出现“新规则属性”面板,继续点击“添加”按钮,来到“IP筛选器列表”面板。
在添加新的筛选器之前,同样需要将“使用‘添加向导’”选项前面的钩去掉。然后我们单击“添加”按钮,即可进行筛选器的创建。我们首先来看“寻址”标签,在“源地址”中选择“任何IP地址”,在目标地址中选择““我的IP地址”。然后切换到“协议”标签,在“选择协议类型”下拉框中选择“TCP”,这表示对TCP端口有效。选中下方的“到此端口”,这里我们填上139,点击“确定”即可。如果要防范魔波病毒,只要按照同样方法再创建一条关闭445端口的筛选器。 图3.创建筛选器 筛选器创建完成后,返回“新规则属性”面板,此时在“IP筛选器列表”中可以发现一条“新IP筛选器列表”,这条列表就是上文中我们创建的筛选列表。将它选中使之激活,然后切换到“筛选器操作“标签,去掉“使用‘添加向导’”前面的钩。单击“添加”按钮,在“安全措施”标签中选择“阻止”。返回“新规则属性”面板,勾选其中的“新筛选器操作”,单击“关闭”按钮即可。
最后,我们在“IP安全策略测试”上点右键,选择“指派”,指派成功后其状态会显示“是”。重新启动电脑,即可让设置的“IP安全策略测试”生效。 “TCP/IP筛选”和“IP安全策略”的区别是明显的。“TCP/IP 筛选”只能筛选入站流量,此功能不影响出站流量,也不影响为接受来自出站请求的响应而创建的响应端口。如果需要更好地控制出站访问,则需要使用“IP安全策略”。如果端口是一扇门,那么使用“TCP/IP 筛选”则只能防止门外的人进入,却不能防止门里的人外出。而“IP安全策略”可以对两者同时进行管理。虽然功能强大了,但是设置“IP安全策略”很复杂,不如使用操作更为简单的IPsec。 使用工具关闭系统端口,更加快捷 更容易地设置“IP安全策略”——IPSec策略 IPSec叫做Internet协议安全。主要的作用是通过设置IPsec规则,提供网络数据包的加密和认证。IPsec是Win2003中内置的一个功能,在WinXP中它叫做ipseccmd,2000中叫做ipsecpol,但是默认安装系统的情况下都是不安装IPsec的,我们需要将其从系统安装光盘中提取出来。 这里以ipseccmd为例,将WinXP的安装光盘放入光驱,进入如下路径:SUPPORT\TOOLS\,运行文件夹里面的SUPPORT.CAB压缩包,将其中的ipseccmd.exe解压出来。 进入“命令提示符”,切换到ipsecpol.exe所在的路径,输入“ipseccmd -w REG -p "IP安全策略测试" -r "关闭端口" -f *+0:139:TCP -n BLOCK -x”。其中-w参数作用是将策略导入注册表,使之重启以后仍旧有效,-p参数是策略的名称,-r参数是规则的名称,-n是需要进行的操作,操作命令必须要大写,例如阻止的命令为“BLOCK”,不能写成“block”,最后的-x参数表示激活该策略。回车后,会出现“The command completed successfully”字样,这就表示策略生效了。如果想取消这条策略,可以输入“ipseccmd -w REG -p "IP安全策略测试" -r "关闭端口" -f *+0:139:TCP -n BLOCK -y”。 图4.创建和取消策略 需要关闭其他端口只需按此进行添加即可,是不是要比“IP安全策略”来得容易呢?
使用网络防火墙 其实,关闭端口是一般的网络防火墙都具有的功能。使用网络防火墙也是关闭端口最简便,最快捷的途经。 以广为人知的“金山网镖6”防火墙为例,双击桌面上或右下角系统托盘里金山网镖6图标 调出金山网标6界面。接着选择“实用工具→IP规则编辑器”,调出设置界面(图5),然后把默认规则列表中的你不希望打开的端口前的小钩去掉即可,如图6所示选中“允许别人访问本机共享资源 445端口”前的小钩去掉,就可以屏蔽掉445端口,预防了电脑不受魔波侵害。如果在默认的规则里没有你需要屏蔽的端口,你可以点击右上方的“添加”按钮,你可以自己设置你需要屏蔽的端口。 图5.IP规则编辑器 图6.屏蔽445端口 按照功能来说,网络防火墙的功能比“TCP/IP筛选”要来得强大,与“IP安全策略”类似。从设置难度来说推荐使用网络防火墙。如果不想占用更多系统资源,IPsec也是一个不错的选择。
|