¿Cómo utilizar 1433 o 3389?
Tema: Conocimiento de puertos y varios métodos de intrusión de puertos secretos
Puerto, hablemos de ello primero. Esto es principalmente para un solo sistema o un solo servidor. Hay muchos tutoriales en línea. , echemos un vistazo a los principios y algunos métodos de verificación.
Los puertos se pueden dividir en tres categorías:
1) Puertos conocidos: de 0 a 1023, que están estrictamente vinculado a algunos servicios. Por lo general, la comunicación en estos puertos indica claramente el protocolo de un determinado servicio. Por ejemplo: el puerto 80 es siempre comunicación HTTP.
2) Puertos Registrados: del 1024 al 49151. Están vagamente vinculados a algunos servicios. Esto significa que hay muchos servicios vinculados a estos puertos y estos puertos también se utilizan para muchos otros fines. Por ejemplo: muchos sistemas manejan puertos dinámicos que comienzan alrededor del 1024.
3) Puertos Dinámicos y/o Privados: del 49152 al 65535. En teoría, estos puertos no deberían asignarse a servicios. En la práctica, a las máquinas se les suelen asignar puertos dinámicos a partir de 1024. Pero hay excepciones: el puerto RPC de SUN comienza en 32768.
Esta sección describe la información que normalmente se encuentra en los registros del firewall para escaneos de puertos TCP/UDP. Recuerde: no existe un puerto ICMP. Si está interesado en interpretar los datos ICMP, consulte el resto de este artículo. 0 se utiliza generalmente para analizar sistemas operativos. Este método funciona porque "0" es un puerto no válido en algunos sistemas y producirá resultados diferentes cuando intente conectarse utilizando un puerto normalmente cerrado. Un escaneo típico: use la dirección IP 0.0.0.0, configure el bit ACK y transmita en la capa Ethernet. 1 tcpmux Esto muestra a alguien buscando la máquina SGIIrix. Irix es el principal proveedor de implementación de tcpmux, que está activado de forma predeterminada en dichos sistemas. Las máquinas Iris se envían con varias cuentas sin contraseña predeterminadas, como lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,
y 4Dgifts. Muchos administradores olvidan eliminar estas cuentas después de la instalación. Entonces los piratas informáticos buscan tcpmux en Internet y explotan estas cuentas.
7Echo Puedes ver muchos mensajes enviados a x.x.x.0 y x.x.x.255 cuando las personas buscan el amplificador Fraggle. Un ataque DoS común es el bucle de eco (echo-loop), donde el atacante falsifica paquetes UDP enviados de una máquina a otra, y las dos máquinas responden a estos paquetes de la manera más rápida. (Ver Chargen) Otra cosa es la conexión TCP que establece DoubleClick en el puerto word. Hay un producto llamado Resonate Global Dispatch" que se conecta a este puerto del DNS para determinar la ruta más cercana. La caché Harvest/Squid enviará un eco UDP desde el puerto 3130: "Si la opción source_ping on de la caché está activada, Lo hará. El puerto de eco UDP responde con una respuesta HIT. "Esto generará muchos paquetes de este tipo.
11 sysstat Este es un servicio UNIX que enumera todos los procesos en ejecución en la máquina y lo que los inició. Esto proporciona a un intruso Proporciona una gran cantidad de información que amenaza la seguridad de la máquina, como exponer programas con vulnerabilidades o cuentas conocidas. Esto es similar a los resultados del comando "ps" en sistemas UNIX. Nuevamente: ICMP no tiene puerto y el puerto ICMP 11 generalmente está cargado. Servicio que solo envía caracteres La versión UDP responderá a los paquetes que contienen caracteres basura después de recibir paquetes UDP. Al conectarse a TCP, se enviará un flujo de datos que contiene caracteres basura hasta que se cierre la conexión.
Los piratas informáticos pueden utilizar la suplantación de IP para lanzar ataques DoS y falsificar UDP entre dos servidores cargados. Dado que el servidor intenta responder a comunicaciones de datos de ida y vuelta ilimitadas entre los dos servidores, un cargo y un eco provocarán que el servidor se sobrecargue. El mismo ataque Fraggle DoS transmite un paquete con una IP de víctima falsa a este puerto de la dirección de destino, y la víctima se sobrecarga en respuesta a estos datos.
21 ftp es el más utilizado por atacantes que buscan formas de abrir servidores ftp "anónimos". Estos servidores vienen con directorios que se pueden leer y escribir. Los piratas informáticos o tackers utilizan estos servidores como nodos para entregar warez (programas privados) y pr0n (palabras mal escritas intencionalmente para evitar ser clasificadas por los motores de búsqueda).
22 sshPcAnywhere puede establecer una conexión entre TCP y este puerto para encontrar ssh. Este servicio tiene muchas debilidades. Muchas versiones que utilizan la biblioteca RSAREF tienen vulnerabilidades si se configuran en un modo específico. (Se recomienda ejecutar ssh en un puerto diferente) También debe tenerse en cuenta que el kit de herramientas ssh viene con un programa llamado ake-ssh-known-hosts. Escanea todo el dominio en busca de hosts ssh. En ocasiones, es posible que alguien que utilice este programa lo escanee accidentalmente. UDP (no TCP) conectado al puerto 5632 en el otro extremo significa que hay un escaneo buscando pcAnywhere. 5632 (0x1600 en hexadecimal) es 0x0016 (22 en hexadecimal) después del intercambio de bits.
23 Intrusos Telnet buscan servicios de inicio de sesión remoto en UNIX. En la mayoría de los casos, un intruso escanea este puerto para encontrar el sistema operativo que está ejecutando la máquina. Utilizando también otras técnicas, el intruso encontrará la contraseña.
25 atacantes SMTP (spammers) buscan servidores SMTP para entregar su spam. Las cuentas de los intrusos siempre están cerradas y necesitan conectarse a un servidor de correo electrónico de gran ancho de banda para pasar mensajes simples a diferentes direcciones. Los servidores SMTP (especialmente sendmail) son uno de los métodos más comunes para ingresar a un sistema porque deben estar completamente expuestos a Internet y el enrutamiento del correo es complejo (exposición + complejidad = vulnerabilidad).
53 DNSHackers o crackers pueden estar intentando realizar transferencias de zona (TCP), falsificar DNS (UDP) u ocultar otras comunicaciones. Por lo tanto, los cortafuegos suelen filtrar o registrar el puerto 53. Cabe señalar que a menudo verá el puerto 53 como el puerto de origen UDP. Los firewalls inestables a menudo permiten esta comunicación y asumen que es una respuesta a una consulta DNS. Los piratas informáticos suelen utilizar este método para penetrar los cortafuegos.
Bootp/DHCP en 67 y 68 Bootp y DHCPUDP: Los cortafuegos a través de DSL y cable-módem suelen ver una gran cantidad de datos enviados a la dirección de transmisión 255.255.255.255. Estas máquinas solicitan una asignación de dirección del servidor DHCP. Los piratas informáticos suelen acceder a ellos para asignar una dirección y utilizarlos como enrutadores locales para lanzar una gran cantidad de ataques de "intermediario". El cliente transmite una solicitud de configuración al puerto 68 (bootps) y el servidor transmite una solicitud de respuesta al puerto 67 (bootpc). Esta respuesta utiliza una transmisión porque el cliente aún no conoce la dirección IP a la que puede enviar. 69 TFTP (UDP) Muchos servidores proporcionan este servicio junto con bootp para facilitar la descarga del código de inicio del sistema. Pero a menudo están mal configurados y sirven archivos del sistema, como archivos de contraseñas. También se pueden utilizar para escribir archivos en el sistema.
79 Finger Hacker se utiliza para obtener información del usuario, consultar el sistema operativo, detectar errores conocidos de desbordamiento del búfer y responder a escaneos digitales desde la propia máquina a otra. máquinas.
98 linuxconf Este programa proporciona una gestión sencilla de linuxboxen. Se proporciona una interfaz basada en web a través de un servidor HTTP integrado en el puerto 98. Se ha descubierto que tiene numerosos problemas de seguridad. Algunas versiones de setuidroot confían en la LAN, crean archivos accesibles desde Internet en /tmp y tienen desbordamientos de búfer en la variable de entorno LANG.
Además, debido a que contiene un servidor integrado, pueden existir muchas vulnerabilidades HTTP típicas (desbordamiento de búfer, cruce de directorio, etc.). 109 POP2 no es tan conocido como POP3, pero muchos servidores proporcionan ambos servicios (compatible con versiones anteriores). La vulnerabilidad de POP3 también existe en POP2 en el mismo servidor.
Los clientes utilizan 110 POP3 para acceder a los servicios de correo electrónico del lado del servidor. Los servicios POP3 tienen muchas debilidades reconocidas. Hay al menos 20 vulnerabilidades relacionadas con desbordamientos del búfer de intercambio de nombres de usuario y contraseñas (lo que significa que un pirata informático puede obtener acceso al sistema antes de iniciar sesión). Hay otros errores de desbordamiento del búfer después de iniciar sesión correctamente.
111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND. Acceder al mapeador de puertos es el primer paso para escanear el sistema para ver qué servicios RPC están permitidos. Los servicios RPC comunes incluyen: pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd, etc. El intruso descubrió una vulnerabilidad que permitía redirigir los servicios RPC a un puerto específico para brindar el servicio. Recuerde registrar el demonio, IDS o sniffer en la línea. Puede averiguar qué programa está utilizando el intruso para acceder y descubrir qué sucedió.
113 Autenticación de identidad Este es un protocolo que se ejecuta en muchas máquinas y se utiliza para autenticar usuarios de conexiones TCP. Utilizando servicios estándar como este se puede obtener información sobre muchas máquinas (que pueden ser explotadas por piratas informáticos). Pero funciona como registrador de muchos servicios, especialmente servicios como FTP, POP, IMAP, SMTP e IRC. Normalmente, si hay muchos clientes que acceden a estos servicios a través de un firewall, verá muchas solicitudes de conexión para este puerto. Tenga en cuenta que si bloquea este puerto, el cliente experimentará una conexión lenta con el servidor de correo electrónico al otro lado del firewall. Muchos firewalls admiten el envío de T durante el proceso de bloqueo de una conexión TCP, lo que detendrá la conexión lenta.
119 NNTP Protocolo de transmisión de grupos de noticias, que transporta comunicaciones USENET. Este puerto generalmente se usa cuando se vincula a una dirección como: noticias:p.security.firewalls/. Los intentos de conexión en este puerto suelen ser donde la gente busca servidores USENET. La mayoría de los ISP restringen el acceso a sus servidores de grupos de noticias únicamente a sus clientes. Abrir un servidor de grupos de noticias permitirá a cualquiera publicar/leer mensajes, acceder a servidores de grupos de noticias restringidos, publicar de forma anónima o enviar spam.
135 oc-serv Asignador de punto final MS RPC Microsoft ejecuta el asignador de punto final DCE RPC en este puerto para su servicio DCOM. Esto es muy similar a la función del puerto 111 de UNIX. Los servicios que utilizan DCOM y/o RPC registran su ubicación con el asignador de puntos finales de la máquina. Cuando los clientes remotos se conectan a una máquina, consultan al asignador de puntos finales para encontrar la ubicación del servicio. De manera similar, Hacker escanea el puerto de la máquina para descubrir preguntas como: ¿Se está ejecutando Exchange Server en esta máquina? ¿Qué versión es? Además de usarse para consultar servicios (como usar epdump), este puerto también se puede usar para ataques directos. Hay algunos ataques DoS dirigidos contra este puerto.
137 Servicio de nombres NetBIOS nbtstat (UDP) Esta es la información más común para los administradores de firewall. Lea atentamente la sección NetBIOS al final del artículo 139 Compartir archivos e impresoras NetBIOS. >A través de este puerto La conexión entrante intentó obtener servicios NetBIOS/SMB. Este protocolo se utiliza en "Compartir archivos e impresoras" de Windows y SAMBA. Compartir su disco duro en Internet es probablemente el problema más común. Un gran número de ataques a este puerto comenzaron en 1999, y luego gradualmente fueron menos frecuentes.
Se recuperó de nuevo en 2000. Algunos VBS (IE5 VisualBasicScripting) comenzaron a copiarse a sí mismos en este puerto en un intento de reproducirse en este puerto.
143 IMAP tiene los mismos problemas de seguridad que POP3 mencionado anteriormente. Muchos servidores IMAP tienen vulnerabilidades de desbordamiento del búfer que se pueden ingresar durante el proceso de inicio de sesión. Recuerde: un gusano de Linux (admw0rm) se reproduce a través de este puerto, por lo que muchos análisis de este puerto provienen de usuarios infectados desprevenidos. Estas vulnerabilidades se hicieron populares cuando RadHat permitió IMAP de forma predeterminada en sus distribuciones de Linux. Este es el primer gusano ampliamente difundido desde el gusano Morris. Este puerto también se utiliza para IMAP2, pero no es muy popular. Ha habido algunos informes de que algunos ataques a los puertos 0 a 143 se originaron a partir de scripts.
161 Puerto SNMP (UDP) frecuentemente detectado por intrusos. SNMP permite la gestión remota de dispositivos. Toda la información de configuración y funcionamiento se almacena en la base de datos y se obtiene a través del cliente SNMP. Muchos administradores los configuran mal para exponerlos a Internet. Los crackers intentarán acceder al sistema utilizando las contraseñas predeterminadas "pública" y "privada". Pueden experimentar con todas las combinaciones posibles. Es posible que los paquetes SNMP se dirijan incorrectamente a su red. Las máquinas con Windows a menudo están mal configuradas para usar SNMP con el software de administración remota HP JetDirect. HP OBJECT IDENTIFIER recibirá paquetes SNMP. La nueva versión de Win98 utiliza SNMP para resolver nombres de dominio. Verá este tipo de transmisión de paquetes (módem por cable, DSL) en la subred para consultar sysName y otra información.
162 La trampa SNMP puede deberse a una mala configuración
177 xdmcp Muchos hackers acceden a la consola X-Windows a través de él y también necesita abrir el puerto 6000.
513 rwho puede transmitirse desde una máquina UNIX en la subred conectada mediante un módem de cable o DSL. Estas personas proporcionan información interesante para que los piratas informáticos obtengan acceso a sus sistemas
553 CORBA IIOP (UDP) Si utiliza un módem por cable o VLAN DSL, verá transmisiones en este puerto. CORBA es un sistema RPC (llamada a procedimiento remoto) orientado a objetos. Los piratas informáticos utilizarán esta información para ingresar al sistema. 600 Puerta trasera de Pcserver. Verifique el puerto 1524. Algunos niños que juegan script piensan que han ingresado por completo al sistema modificando los archivos ingreslock y pcserver - Alan J. Rosenthal
635 error montado en Linux. Este es un error popular que la gente analiza. La mayoría de los escaneos de este puerto están basados en UDP, pero hay un aumento en el mountd basado en TCP (mountd se ejecuta en ambos puertos simultáneamente). Recuerde, mountd puede ejecutarse en cualquier puerto (en qué puerto está, debe realizar una consulta de mapa de puertos en el puerto 111), pero Linux utiliza de manera predeterminada el puerto 635, al igual que NFS generalmente se ejecuta en el puerto 1024, 2049. Mucha gente pregunta qué es esto. el puerto es para. Fue el comienzo de los puertos dinámicos. A muchos programas no les importa qué puerto se utiliza para conectarse a la red; le piden al sistema operativo que les asigne el "siguiente puerto libre". Según esta asignación, comienza en el puerto 1024. Esto significa que al primer programa que solicite un puerto dinámico del sistema se le asignará el puerto 1024. Para verificar esto, puede reiniciar la máquina, abrir Telnet, luego abrir una ventana y ejecutar "natstat -a", verá que Telnet tiene asignado el puerto 1024. Cuantos más programas soliciten, más puertos dinámicos habrá. El puerto asignado por el sistema operativo irá aumentando gradualmente. Nuevamente, cuando navega por páginas web y consulta con "netstat", cada página web requiere un nuevo puerto.
?ersion 0.4.1, 20 de junio de 2000 /pubs/firewall-seen.html Copyright 1998-2000 de Robert Graham
(mailto:firewall-seen1@robertgraham.com.
Todos los derechos reservados. Este documento sólo puede reproducirse (en su totalidad o en parte) para fines no comerciales. Todas las reproducciones deben
contener este aviso de derechos de autor y no deben modificarse, excepto por
. permiso del autor
1025 Ver 1024
1026 Ver 1024
1080 SOCKS Este protocolo atraviesa el firewall, permitiendo que muchas personas detrás del firewall accedan a Internet. a través de una dirección IP, en teoría solo debería permitir que el tráfico interno llegue a Internet, pero debido a una configuración incorrecta, permitirá ataques de piratas informáticos/crackers fuera del firewall.
Romper el firewall o simplemente responder a las computadoras en el. Internet, enmascarando así su ataque directo hacia usted.
WinGate es un firewall personal común de Windows que a menudo sufre la mala configuración mencionada anteriormente. Esto se ve a menudo al unirse a salas de chat IRC. 1114 El sistema SQL en sí rara vez escanea este puerto, pero a menudo es parte del script sscan.
1243 Trojan (TCP) consulte la sección Subseven. puerta trasera Muchos scripts de ataque instalarán una puerta trasera Sh*ll en este puerto (especialmente aquellos que apuntan a vulnerabilidades de los servicios Sendmail y RPC en sistemas Sun, como statd, ttdbserver y cmsd si acaba de instalar su firewall y está viendo intentos de conexión). este puerto, probablemente se deba a las razones anteriores. Puede probar Telnet a este puerto en su máquina y ver si tiene un problema. Este problema también existe al conectarse a 600/pcserver.
2049 NFS Los programas NFS a menudo se ejecutan en este puerto. Por lo general, necesita acceder a portmapper para verificar en qué puerto se está ejecutando este servicio, pero en la mayoría de los casos, después de la instalación, se puede usar NFS acker/Cracker para probar el puerto directamente abriendo y cerrando portmapper.
3128 squid Este es el puerto predeterminado del servidor proxy HTTP de Squid. El atacante escanea este puerto en busca de un servidor proxy para acceder a Internet de forma anónima. También verás los puertos utilizados para buscar otros servidores proxy:
000/8001/8080/8888. Otra razón para escanear este puerto es si el usuario ingresa a una sala de chat. Otros usuarios (o el propio servidor) también comprobarán este puerto para determinar si la máquina del usuario admite el proxy. Consulte la sección 5.3.
5632 pcAnywere Verás muchos escaneos para este puerto, dependiendo de dónde te encuentres. Cuando el usuario abre pcAnywere, escaneará automáticamente la red LAN Clase C para buscar posibles agentes (Traductor: se refiere a agente en lugar de proxy). El hacker/cracker también buscará máquinas con dichos servicios abiertos, por lo que debe verificar la dirección de origen de dichos análisis. Algunos análisis que buscan pcAnywere suelen incluir paquetes UDP en el puerto 22. Consulte Escaneo de marcación.
6776 Artefacto Sub-7 Este puerto es un puerto utilizado para transmitir datos separados del puerto principal Sub-7. Esto sucedería, por ejemplo, cuando un controlador está controlando otra máquina a través de una línea telefónica y la máquina controlada cuelga. Entonces, cuando otra persona llame desde esta IP, verá intentos continuos de conexión en este puerto. (Traductor: cuando vea un firewall informando un intento de conexión en este puerto, no significa que Sub-7 lo haya controlado). 6970 RealAudio
Los clientes RealAudio accederán a los puertos UDP 6970-7170 desde el servidor recibe flujo de datos de audio. Esto está controlado por la configuración de conexión saliente del puerto TCP 7070. 13223 PowWow PowWow es el programa de chat de Tribal Voice. Permite a los usuarios abrir conexiones de chat privadas en este puerto. Este programa es muy "agresivo" a la hora de establecer conexiones. "Acampará" en este puerto TCP esperando una respuesta. Esto da como resultado un intervalo de intentos de conexión similar a un latido. Esto sucede si usted es un usuario de acceso telefónico que "heredó" una dirección IP de otro chat: parece que muchas personas diferentes están probando el puerto. Este protocolo utiliza "OPG" como los primeros cuatro bytes de su intento de conexión.
17027 Conducente Esta es una conexión saliente. Esto se debe a que alguien dentro de la empresa instaló software gratuito con el "adbot" de Conductent.
El "adbot" conductor sirve para mostrar anuncios de *software compartido. Un software popular que utiliza este tipo de servicio es Pkware. Alguien lo ha probado: bloquear esta conexión saliente no causará ningún problema, pero bloquear la dirección IP en sí hará que los adbots continúen intentando conectarse varias veces por segundo, lo que provocará una sobrecarga de la conexión:
La máquina continuará intente resolver el nombre DNS: ads.conducent.com, que es la dirección IP 216.33.210.40
216.33.210.41; (Traductor: Me pregunto si Radiate utilizado por NetAnts también tiene este fenómeno)
27374 Troyano Sub-7 (TCP) Consulte la sección Subseven.
30100 Troyano NetSphere (TCP) Este puerto generalmente se analiza para encontrar troyanos NetSphere.
31337 Orificio trasero "31337 en eliteHacker se pronuncia como "elite"/ei'li:t/ (Traductor: francés, traducido como columna vertebral, esencia. Es decir, 3=E, 1=L, 7 = T). Por lo tanto, se ejecutan muchos programas de puerta trasera en este puerto. El más famoso es Back Orifice, que fue el escaneo más común en Internet durante un tiempo. Ahora se está volviendo cada vez menos popular y otros troyanos se están volviendo. cada vez menos popular
31789 La comunicación UDP Hack-a-tack en este puerto suele ser causada por el troyano de acceso remoto "Hack-a-tack" (RAT, Remote Access Trojan). contiene el puerto integrado 31790. escáner, por lo que cualquier conexión desde el puerto 31789 al puerto 317890 significa que ha habido tal intrusión (el puerto 31789 es la conexión de control, el puerto 317890 es la conexión de transferencia de archivos)
32770~ 32900 Servicio RPC Los servicios RPC de Sun Solaris se encuentran en este rango. En detalle: Las primeras versiones de Solaris (anteriores a 2.5.1) colocaban el mapeador de puertos en este rango, lo que permitía a los piratas informáticos escanear este puerto incluso si el firewall bloquea el puerto bajo. Los puertos internos buscan un mapeador de puertos o servicios RPC conocidos que puedan ser atacados.
33434~33600 traceroute Si ve paquetes UDP en este rango de puertos (y solo dentro de este rango), puede deberse a traceroute. Ver puntos de trazado de ruta.
41508 Inoculan Las primeras versiones de Inoculan generarán una gran cantidad de comunicaciones UDP dentro de la subred para identificarse entre sí. Consulte
Ruta del prototipo del puerto de proceso Pid
748 tcpsvcs -> 7 TCP C:\WINNT\System32\ tcpsvcs.exe
748 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
748 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
416 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
¿Está claro de un vistazo? Ahora, qué programa abre cada puerto está justo delante de tus narices. Si encuentra un programa sospechoso abriendo un puerto sospechoso, no sea descuidado. ¡Tal vez sea un astuto troyano!
La última versión de Fport es la 2.0. Está disponible para descargar en muchos sitios web, pero por razones de seguridad, por supuesto, es mejor descargarlo desde su lugar de origen: /knowledge/zips/fport.zip
3. funciones similares a Fport Ports
Active Ports es producido por SmartLine. Puede usarlo para monitorear todos los puertos TCP/IP/UDP abiertos en su computadora. No solo puede mostrar todos sus puertos, sino también mostrarlos. Los programas correspondientes a todos los puertos, la ruta, la IP local y la IP remota (la IP de la computadora que intenta conectarse a usted) están activos.
Aún mejor, también proporciona una función de cierre de puerto. Cuando lo usas para encontrar un puerto abierto por un troyano, puedes cerrarlo inmediatamente. Este software funciona bajo la plataforma Windows NT/2000/XP. Puede agregar un parámetro O más al comando stat que la versión anterior. Usando este parámetro, puede obtener la correspondencia entre el puerto y el proceso.
Lo anterior presenta varios métodos para ver los puertos abiertos de la máquina local y la relación correspondiente entre puertos y procesos. A través de estos métodos, puede descubrir fácilmente troyanos basados en el protocolo TCP/UDP. puede traer seguridad a su máquina. Venga a ayudar. Sin embargo, la prevención de troyanos es importante, y si encuentra un troyano de puerto de rebote o un troyano nuevo creado con tecnología de biblioteca de vínculos dinámicos y controladores, será difícil detectar rastros del troyano utilizando los métodos anteriores. Por lo tanto, debemos desarrollar buenos hábitos en Internet, no ejecutar archivos adjuntos en correos electrónicos a voluntad e instalar un conjunto de software antivirus, como el doméstico Rising, que es una buena ayuda para eliminar virus y troyanos. Verifique el software descargado de Internet con software antivirus antes de usarlo. Cuando navegue por Internet, active el firewall de la red y el monitoreo de virus en tiempo real para proteger su máquina de ser invadida por odiosos caballos de Troya.
Cómo desactivar el puerto
Cada servicio corresponde a un puerto correspondiente. Por ejemplo, el puerto del conocido servicio WWW es 80, smtp es 25 y ftp es 21. , instalación de win2000 Estos servicios están habilitados de forma predeterminada. Realmente no es necesario para los usuarios individuales. Cerrar el puerto significa cerrar servicios inútiles. Configúrelo en "Servicios" en "Herramientas administrativas" en "Panel de control".
1. Cierre 7.9 y otros puertos: cierre el servicio TCP/IP simple y admita los siguientes servicios TCP/IP: Generador de caracteres, Diurno, Descartar, Eco y Cita del día.
2. Cerrar el puerto 80: Apagar el servicio WWW.
El nombre "Servicio de publicación World Wide Web" aparece en Servicios y proporciona conectividad y administración web a través del complemento Internet Information Services.
3. Cierre el puerto 25: cierre el servicio Protocolo simple de transporte de correo (SMTP), que proporciona la función de transmitir correos electrónicos a través de redes.
4. Cierre el puerto 21: cierre el servicio de publicación FTP, que proporciona conexión y administración FTP a través de la unidad de administración de Internet Information Services.
5. Desactive el puerto 23: desactive el servicio Telnet, que permite a los usuarios remotos iniciar sesión en el sistema y utilizar la línea de comandos para ejecutar programas de consola.
6. Otra cosa muy importante es cerrar el servicio del servidor. Este servicio proporciona soporte RPC, archivos, impresión y uso compartido de canalizaciones con nombres. Al desactivarlo se desactivarán los servicios predeterminados de win2k, como ipc$, c$, admin$, etc. Cerrar este servicio no afectará sus otras operaciones.
7. También existe el puerto 139. El puerto 139 es el puerto de sesión NetBIOS, que se utiliza para compartir archivos e impresoras. Tenga en cuenta que la máquina Unix que ejecuta samba también abre el puerto 139, que tiene la misma función. En el pasado, no era muy preciso utilizar Streamer 2000 para determinar el tipo de host de la otra parte. Probablemente se debía a que el puerto 139 estaba abierto y se consideraba una máquina NT. Pero ahora es mejor. El método para desactivar la escucha 139 es seleccionar el atributo "Protocolo de Internet (TCP/IP)" en "Conexión de área local" en "Conexiones de red y de acceso telefónico", ingresar "Configuración avanzada de TCP/IP", "Configuración WINS". y hay un elemento "Desactivar TCP/IP" IP NETBIOS", marque la casilla para cerrar el puerto 139. Para usuarios individuales, puede configurarlo como "deshabilitado" en cada configuración de atributo de servicio para evitar reiniciar el servicio la próxima vez y abrir el puerto.
Métodos secretos de intrusión de varios puertos
Usa "canal oculto http" para irrumpir masivamente en la LAN
¿Qué es el canal oculto http? ¿Qué es la seguridad de la LAN y cómo pueden los administradores de sistemas garantizar la seguridad de las LAN? Este es un concepto de seguridad en constante cambio durante mucho tiempo, colocar un firewall en la interconexión entre la red de área local y el mundo exterior y controlar estrictamente los puertos abiertos puede tomar la iniciativa en seguridad en gran medida y controlar convenientemente el interior. y fuera de la red Servicios disponibles para los usuarios. Por ejemplo, si solo se abren los puertos 80 y 53 en el firewall, personas malintencionadas, ya sean internas o externas, no podrán utilizar algunos servicios que han demostrado ser peligrosos.