포트 번호에 따라 세 가지 범주로 나눌 수 있습니다.
(1) 잘 알려진 포트: 0 부터 1023 까지 일부 서비스와 밀접하게 연결되어 있습니다. 일반적으로 이러한 포트의 통신은 특정 서비스에 대한 프로토콜을 명확하게 나타냅니다. 예를 들어, 80 포트는 항상 HTTP 통신이었습니다.
(2) 등록 포트: 1024 부터 49 15 1 까지. 그들은 느슨하게 일부 서비스에 바인딩됩니다. 즉, 이러한 포트에 바인딩된 많은 서비스가 있으며 이러한 포트는 여러 가지 다른 용도로 사용됩니다. 예를 들어 많은 시스템에서 약 1024 의 동적 포트를 처리합니다.
(3) 동적 및/또는 전용 포트: 49 152 에서 65535 까지. 이론적으로 이러한 포트는 서비스에 할당해서는 안됩니다. 실제로 시스템은 일반적으로 1024 에서 동적 포트를 할당합니다. 단, SUN 의 RPC 포트는 32768 로 시작합니다.
일부 포트는 해커가 자주 사용하며 일부 트로이 바이러스도 컴퓨터 시스템을 공격하는 데 사용됩니다. 다음은 컴퓨터 포트에 대한 소개와 해커의 공격을 방지하는 간단한 방법이다.
월드 와이드 웹 출판 서비스
포트 설명: 포트 8080 은 포트 80 과 마찬가지로 WWW 프록시 서비스에 사용되며 웹 브라우징이 가능합니다. 웹 사이트에 액세스하거나 프록시 서버를 사용할 때 포트 번호 ":8080" 이 추가되는 경우가 많습니다 (예: 8080).
포트 취약성: 포트 8080 은 다양한 바이러스 프로그램에서 사용할 수 있습니다. 예를 들어 BrO 트로이 바이러스는 포트 8080 을 사용하여 감염된 컴퓨터를 완전히 원격으로 제어할 수 있습니다. 또한 RemoConChubo 와 RingZero 목마도 이 포트를 이용해 공격할 수 있다.
운영 권장 사항: 일반적으로 웹 브라우징에 80 포트를 사용합니다. 바이러스 공격을 피하기 위해서, 우리는 이 포트를 닫을 수 있다.
포트: 2 1
서비스: FTP
설명: FTP 서버가 업로드 및 다운로드를 위해 연 포트입니다. 가장 일반적인 공격자는 anonymous 를 여는 FTP 서버를 찾는 방법입니다. 이 서버에는 읽기 및 쓰기 디렉토리가 있습니다. 트로이 목마 Doly 트로이, Fore, 스텔스 FTP, WebEx, WinCrash, 은익 킬러가 열린 포트.
포트: 22
서비스: Ssh
설명: PcAnywhere 가 설정한 TCP 와 이 포트의 연결은 ssh 를 찾기 위한 것일 수 있습니다. 이 서비스에는 많은 약점이 있다. 특정 모드에서 구성할 경우 RSAREF 라이브러리를 사용하는 많은 버전에는 많은 취약점이 있습니다.
포트: 23
서비스: 텔넷
설명: 원격 로그인, 침입자가 원격으로 UNIX 에 로그인하는 서비스를 검색하고 있습니다. 대부분의 경우 이 포트는 기계가 실행 중인 운영 체제를 찾기 위해 스캔됩니다. 그리고 다른 기술을 이용하면 침입자도 비밀번호를 찾을 수 있다. 트로이 미니텔넷 서버가 이 포트를 열었다.
포트: 25
서비스: SMTP
설명: SMTP 서버가 메일을 보내기 위해 연 포트입니다. 침입자는 스팸을 보낼 SMTP 서버를 찾고 있다. 침입자의 계정이 닫히고 고대역폭 이메일 서버에 연결하여 간단한 정보를 다른 주소로 보내야 합니다. 트로이 목마 항원, e-메일 암호 송신기, Haebu Coceda, Shtrilitz Stealth, WinPC, WinSpy 가 모두 이 포트를 열었다.
포트: 80
서비스: HTTP
설명: 웹 브라우징에 사용됩니다. 트로이 집행자 번호가 이 항구를 열었다.
포트: 102
서비스: MTA (message transfer agent)-TCP/IP 의 x.400.
설명: 메시지 전달 에이전트입니다.
포트: 109
서비스: 우체국 계약-버전 3
설명: POP3 서버는 메시지를 받기 위해 이 포트를 열고 클라이언트는 서버측 메일 서비스에 액세스합니다. POP3 서비스에는 많은 인정 된 약점이 있습니다. 사용자 이름 및 비밀번호 교환 버퍼 오버플로에 대해 최소 20 개의 약점이 있습니다. 즉, 침입자가 실제로 로그인하기 전에 시스템에 들어갈 수 있습니다. 로그인에 성공한 후 다른 버퍼 오버플로 오류가 있습니다.
포트: 1 10
서비스: SUN 의 RPC 서비스에 대한 모든 포트입니다.
설명: 일반적인 RPC 서비스에는 rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd 등이 포함됩니다.
포트: 1 19
서비스: 온라인 뉴스 전송 프로토콜
설명: 뉴스 그룹 전송 프로토콜로, USENET 통신을 호스팅합니다. 이 포트에 대한 연결은 보통 사람들이 USENET 서버를 찾을 때이다. 대부분의 ISP 는 고객만 뉴스 그룹 서버에 액세스할 수 있도록 합니다. 뉴스그룹 서버를 열면 누구나 제한된 뉴스그룹 서버에 게시/읽기, 액세스, 익명 게시 또는 스팸을 보낼 수 있습니다.
포트: 135
서비스: 위치 지정 서비스
설명: Microsoft 는 DCOM 서비스로 이 포트에서 DCE RPC 끝점 매퍼를 실행합니다. 이는 UNIX 1 1 1 포트의 기능과 유사합니다. DCOM 및 RPC 의 서비스를 사용하여 컴퓨터의 엔드포인트 매퍼에 해당 위치를 등록합니다. 원격 고객이 컴퓨터에 연결되면 엔드포인트 매퍼를 찾아 서비스 위치를 찾습니다. 해커가 컴퓨터의 이 포트를 스캔하여 이 컴퓨터에서 실행 중인 익스체인지 서버를 찾습니까? 어떤 버전입니까? 이 포트에 대한 DOS 공격도 있습니다.
포트: 137, 138, 139
서비스: NETBIOS 이름 서비스
참고: 여기서 137 과 138 은 UDP 포트이며 인터넷 이웃을 통해 파일을 전송할 때 사용됩니다. 및 포트 139: 이 포트를 통해 들어오는 연결은 NetBIOS/SMB 서비스를 얻으려고 시도합니다. 이 프로토콜은 windows 파일 및 프린터 공유와 삼바에 사용됩니다. WINS Regisrtation 도 이 기능을 사용합니다.
포트: 16 1
서비스: SNMP
설명: SNMP 를 사용하면 디바이스를 원격으로 관리할 수 있습니다. 모든 구성 및 운영 정보는 데이터베이스에 저장되며 SNMP 를 통해 얻을 수 있습니다. 많은 관리자의 잘못된 구성이 인터넷에 노출됩니다. Cackers 는 기본 암호인 public 과 private 를 사용하여 시스템에 액세스하려고 시도합니다. 그들은 가능한 모든 조합을 시도할 것이다. SNMP 패킷이 사용자의 네트워크로 잘못 전달될 수 있습니다.
/articles/386/10980 85325309.html
각 서비스에 해당하는 포트가 하나씩 있습니다. 예를 들어, WWW 서비스의 포트는 80, SMTP 는 25, FTP 는 2 1 이며, 이러한 서비스는 win2000 설치에서 기본적으로 켜집니다. 개인 사용자는 정말 필요하지 않습니다. 포트를 닫는다는 것은 쓸모없는 서비스를 닫는 것을 의미합니다. 제어판 "관리 도구" 의 "서비스" 에서 다음을 수행합니다.
1, 7.9 포트 끄기: 간단한 TCP/IP 서비스를 끄고 문자 생성기, 주간, 폐기, 에코, 당일 견적 등의 TCP/IP 서비스를 지원합니다.
2. 80 포트 끄기: WWW 서비스를 끕니다. 서비스에 표시된 이름은' 월드 와이드 웹 게시 서비스' 로 인터넷 정보 서비스의 스냅인을 통해 웹 연결 및 관리를 제공합니다.
3. 포트 닫기 25: 네트워크를 통해 이메일을 보낼 수 있는 기능을 제공하는 SMTP (simple mail transfer protocol) 서비스를 닫습니다.
4. 포트 닫기 2 1: FTP 게시 서비스를 끄고 인터넷 정보 서비스 스냅인을 통해 FTP 연결 및 관리를 제공합니다.
5. 포트 닫기 23: 원격 사용자가 시스템에 로그인하여 명령줄을 사용하여 콘솔 프로그램을 실행할 수 있도록 하는 텔넷 서비스를 종료합니다.
6. RPC 지원, 파일, 인쇄 및 명명 파이프를 제공하는 서버 서비스를 끄는 것도 중요합니다. 이를 끄면 win2k 기본 * * * 즐거움 (예: ipc$, c$, admin$ 등) 이 꺼집니다. 이 서비스의 종료는 * * * 의 다른 작업에 영향을 주지 않습니다.
7. 또 다른 포트는 139 입니다. 이는 파일 및 인쇄용 NetBIOS 세션 포트입니다 * * *. 삼바를 실행하는 유닉스 시스템도 139 포트를 열어 기능이 동일합니다. 예전에는 유광 2000 이 상대 호스트 유형에 대한 판단이 정확하지 않았다. 139 포트가 열려 있는 것으로 추정되며 NT 기계로 간주됩니다. 지금은 괜찮습니다. 네트워크 및 전화 접속 연결에서 LAN 연결에서 인터넷 프로토콜 (TCP/IP) 속성을 선택하고 고급 TCP/IP 설정 및 WINS 설정으로 이동하여 139 수신을 끄고 "TCP/IP 용 NETBIOS 비활성화" 를 선택한 다음 개별 사용자의 경우 다양한 서비스 속성 설정에서 비활성화로 설정하여 다음에 서비스가 포트를 열지 않도록 할 수 있습니다.
각 서비스에 해당하는 포트가 하나씩 있습니다. 예를 들어, WWW 서비스의 포트는 80, SMTP 는 25, FTP 는 2 1 이며, 이러한 서비스는 win2000 설치에서 기본적으로 켜집니다. 개인 사용자는 정말 필요하지 않습니다. 포트를 닫는다는 것은 쓸모없는 서비스를 닫는 것을 의미합니다.
제어판 "관리 도구" 의 "서비스" 에서 다음을 수행합니다.
1, 7.9 포트 끄기: 간단한 TCP/IP 서비스를 끄고 문자 생성기, 주간, 폐기, 에코, 당일 견적 등의 TCP/IP 서비스를 지원합니다.
2. 80 포트 끄기: WWW 서비스를 끕니다. 서비스에 표시된 이름은' 월드 와이드 웹 게시 서비스' 로 인터넷 정보 서비스의 스냅인을 통해 웹 연결 및 관리를 제공합니다.
3. 포트 닫기 25: 네트워크를 통해 이메일을 보낼 수 있는 기능을 제공하는 SMTP (simple mail transfer protocol) 서비스를 닫습니다.
4. 포트 닫기 2 1: FTP 게시 서비스를 끄고 인터넷 정보 서비스 스냅인을 통해 FTP 연결 및 관리를 제공합니다.
5. 포트 닫기 23: 원격 사용자가 시스템에 로그인하여 명령줄을 사용하여 콘솔 프로그램을 실행할 수 있는 Telnet 서비스를 종료합니다.
6. RPC 지원, 파일, 인쇄 및 명명 파이프를 제공하는 서버 서비스를 끄는 것도 중요합니다. 이를 끄면 win2k 기본 * * * 즐거움 (예: ipc$, c$, admin$ 등) 이 꺼집니다. 이 서비스의 종료는 * * * 의 다른 작업에 영향을 주지 않습니다.
7. 또 다른 포트는 139 입니다. 이는 파일 및 인쇄용 NetBIOS 세션 포트입니다 * * *. 삼바를 실행하는 유닉스 시스템도 139 포트를 열어 기능이 동일합니다. 예전에는 유광 2000 이 상대 호스트 유형에 대한 판단이 정확하지 않았다. 139 포트가 열려 있는 것으로 추정되며 NT 기계로 간주됩니다. 지금은 괜찮습니다.
네트워크 및 전화 접속 연결에서 LAN 연결에서 인터넷 프로토콜 (TCP/IP) 속성을 선택하고 고급 TCP/IP 설정 및 WINS 설정으로 이동하여 139 수신을 끄고 "TCP/IP 용 NETBIOS 비활성화" 를 선택한 다음
개별 사용자의 경우 다양한 서비스 속성 설정에서 비활성화로 설정하여 다음에 서비스가 포트를 열지 않도록 할 수 있습니다.
Dell 은 일반적으로 강력한 해킹 방지 소프트웨어와 방화벽을 사용하여 시스템 보안을 보장하지만, 일부 사용자는 이러한 조건을 충족하지 못합니다. 우리는 무엇을 하고 있습니까? 여기에 포트를 제한함으로써 불법 침입을 막을 수 있는 간단한 방법이 있습니다.
불법 침입 방식
간단히 말해서, 불법 침입의 방법은 크게 네 가지로 나눌 수 있다.
1, 포트를 스캔하고 알려진 시스템 버그를 통해 호스트에 침입합니다.
2. 목마를 심고 목마를 이용해 열린 뒷문을 이용해 호스트에 들어갑니다.
3. 데이터 오버플로를 통해 호스트에 들어오는 뒷문을 강제로 제공합니다.
4. 일부 소프트웨어 설계 취약점을 이용하여 호스트를 직접 또는 간접적으로 제어한다.
불법 침입은 주로 처음 두 가지 방식, 특히 인기 있는 해커 도구를 이용하는 것입니다. 첫 번째 방법은 호스트를 공격하는 가장 일반적이고 일반적인 방법입니다. 후자의 두 가지 방법에서는 수단이 뛰어난 해커들만 사용할 수 있으며, 적용 범위는 광범위하지 않다. 그리고 이 두 가지 문제가 발생하기만 하면, 소프트웨어 서비스 업체는 곧 패치를 제공하여 제때에 시스템을 수리할 것이다.
따라서 처음 두 가지 불법 침입 방식을 제한할 수 있다면 해커 도구를 이용한 불법 침입을 효과적으로 막을 수 있다. 또한 처음 두 가지 불법 침입 방식은 포트를 통해 호스트에 진입한다는 공통점을 가지고 있습니다.
포트는 한 집 (서버) 의 여러 문과 같고, 서로 다른 문은 서로 다른 방으로 연결됩니다 (서버는 서로 다른 서비스를 제공). 우리가 흔히 사용하는 FTP 기본 포트는 2 1 이고 WWW 페이지 기본 포트는 80 입니다. 그러나 일부 조잡한 네트워크 관리자는139 와 같이 쉽게 침입할 수 있는 포트 서비스를 개설하는 경우가 많습니다. 빙하, 보, 광외 등과 같은 트로이마 프로그램도 있습니다. , 모르는 포트를 자동으로 엽니다. 그럼, 우리가 사용하지 않는 포트를 모두 차단한다면, 이 두 가지 불법 침입을 막을 수 있지 않을까요?
포트 제한 방법
개인 사용자의 경우 모든 포트를 제한할 수 있습니다. 왜냐하면 기계가 외부에 서비스를 제공할 필요가 없기 때문입니다. 외부 네트워크 서비스를 제공하는 서버의 경우 필요한 포트 (예: WWW 포트 80, FTP 포트 2 1, 메일 서비스 포트 25, 1 10 등) 를 열어야 합니다. ), 다른 모든 포트는 닫힙니다.
여기서는 Windows 2000 또는 Windows XP 를 사용하는 사용자의 경우 추가 소프트웨어를 설치할 필요가 없으며 TCP/IP 필터링 기능을 사용하여 서버의 포트를 제한할 수 있습니다. 구체적인 설정은 다음과 같습니다.
1. "내 이웃" 을 마우스 오른쪽 버튼으로 클릭하고 "속성" 을 선택한 다음 "로컬 연결" (전화 접속 인터넷 사용자인 경우 "내 연결" 아이콘 선택) 을 두 번 클릭하여 "로컬 연결 상태" 대화 상자를 표시합니다.
2. [속성] 버튼을 클릭하여 [로컬 연결 속성] 을 열고 [이 연결에 다음을 사용] 에서 인터넷 프로토콜 (TCP/IP) 을 선택한 다음 [속성] 버튼을 클릭합니다.
3. 나타나는 인터넷 프로토콜 (TCP/IP) 대화 상자에서 [고급] 버튼을 클릭합니다. 팝업 고급 TCP/IP 설정에서 옵션 탭을 선택하고 TCP/IP 필터링을 선택한 다음 속성 버튼을 클릭합니다.
4. 팝업 TCP/IP 필터링 대화 상자에서 TCP/IP 필터링 사용 확인란을 선택한 다음 왼쪽 TCP 포트에서' 허용만' 을 선택합니다 (그림 참조).
이를 통해 자신의 TCP 또는 UDP 또는 IP 포트를 추가하거나 제거할 수 있습니다.
시스템을 추가 또는 제거하고 다시 시작하면 서버가 보호됩니다.
인터넷 브라우징만 하는 경우에는 포트를 추가할 필요가 없습니다. 그러나 OICQ 와 같은 일부 네트워크 통신 도구를 사용하려면 포트 "4000" 을 열어야 합니다. 마찬가지로 일반적인 네트워크 도구가 작동하지 않는 경우 호스트에서 열리는 포트를 찾아 TCP/IP 필터링에 추가합니다.
참고 자료:
/user1/210/archives/2005/3327.shtml