禁用端口 TCP IP协议.docx

1、禁用端口 TCP IP协议禁用端口 TCP IP协议 如何禁用端口！（网络摘录）以139为例,按照下面一步一步地完成禁用端口。 1.开始-控制面板（或者管理）-管理工具-本地安全策略2.右击Ip安全策略,在本地计算机,选择管理IP筛选器表和筛选器操作,3.在管理IP筛选器表中,按添加按钮4.在名称(N)下面添上禁止139端口描述(D)也写上禁止139端口添加按扭惦记下一步在源地址(s):出选择下拉里的第二项任何ip地址下一步在目标地址(D):选上我的ip地址下一步选择协议类型(S):把任意选改为tcp下一步设置ip协议断口:选择到端口(O)添上你要禁止的端口139下一步完成5看完了吗?按确定按

2、扭呵呵.6惦记管理筛选器操作同4中的完成8惦记关闭按扭9右击Ip安全策略,在本地计算机,选择创建ip安全策略同4中的进入为此安全规则设置初始身份验证方法不管他下一步10出现一个警告窗口只有当这个规则在一台为域成员的计算机上Kerberos才有效。 这台计算机不是一个域成员。 您想继续并保留这些规则的属性吗?当然是拉11惦记完成按扭12常规和规则惦记规则惦记添加按扭13惦记下一步一直下一步出现一个同样的警告yes14从ip筛选器列表(I)筐中点上第一个:禁止139端口前面的成为15同14选择下一步同7出现完成按扭惦记16确定17关闭属性筐18右键右面窗口的禁止139端口连接-=指派一些端口的禁用

3、方法113端口木马的清除（仅适用于windows系统）这是一个基于irc聊天室控制的木马程序。 1.首先使用stat-an命令确定自己的系统上是否开放了113端口2.使用fport命令察看出是哪个程序在监听113端口fport工具下载例如我们用fport看到如下结果Pid ProcessPort ProtoPath392svchost-113TCP C:WINNTsystem32vhos.exe我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:winntsystem32下。 3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，并使用

4、管理器结束该进程。 4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，并将相关的键值全部删掉。 5.到木马程序所在的目录下删除该木马程序。 （通常木马还会包括其他一些程序，如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根据木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序）6.重新启动机器。 3389端口的关闭首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。 如果不是必须的，请关

5、闭该服务。 win2000关闭的方法win2000server开始-程序-管理工具-服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。 win2000pro开始-设置-控制面板-管理工具-服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。 winxp关闭的方法在我的电脑上点右键选属性-远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。 4899端口的关闭首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能

6、，通常杀毒软件是无法查出它来的，请先确定该服务是否是你自己开放并且是必需的。 如果不是请关闭它。 关闭4899端口请在开始-运行中输入cmd(98以下为mand),然后cd C:winntsystem32(你的系统安装目录），输入r_server.exe/stop后按回车。 然后在输入r_server/uninstall/silence到C:winntsystem32(系统目录）下删除r_server.exe admdll.dll raddrv.dll三个文件5800，5900端口1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:winntfontsexp

7、lorer.exe)2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运行c:winntexplorer.exe)3.删除C:winntfonts中的explorer.exe程序。 4.删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中的Explorer项。 5.重新启动机器。 6129端口的关闭首先说明6129端口是一个远程控制软件（dameware ntutilities)服务端监听得端口，他不是一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。 请先确定该

8、服务是否是你自己安装并且是必需的，如果不是请关闭。 关闭6129端口选择开始-设置-控制面板-管理工具-服务找到DameWare MiniRemote Control项点击右键选择属性选项，将启动类型改成禁用后停止该服务。 到c:winntsystem32(系统目录）下将DWRCS.EXE程序删除。 到注册表内将HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesDWMRCS表项删除。 1029端口和xx8端口这两个端口是lovgate蠕虫所开放的后门端口。 蠕虫相关信息请参见Lovgate蠕虫你可以下载专杀工具FixLGate.exe使用方法下载后直接运

9、行，在该程序运行结束后重起机器后再运行一遍该程序。 45576端口这是一个代理软件的控制端口，请先确定该代理软件并非你自己安装（代理软件会给你的机器带来额外的流量）关闭代理软件1.请先使用fport察看出该代理软件所在的位置2.在服务中关闭该服务（通常为SkSocks），将该服务关掉。 3.到该程序所在目录下将该程序删除。 每一项服务都对应相应的端口，比如众如周知的服务的端口是80，smtp是25，ftp是21，win2000安装中默认的都是这些服务开启的。 对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。 “控制面板”的“管理工具”中的“服务”中来配置。 1、关闭7.9等等端口关

10、闭SimpleTCP/IPService,支持以下TCP/IP服务CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。 2、关闭80口关掉服务。 在“服务”中显示名称为WorldWideWebPublishingService，通过Inter信息服务的管理单元提供Web连接和管理。 3、关掉25端口关闭SimpleMailTransportProtocol(SMTP)服务，它提供的功能是跨网传送电子邮件。 4、关掉21端口关闭FTPPublishingService,它提供的服务是通过Inter信息服务的管理单元提供FTP连接和管理。

11、 5、关掉23端口关闭Tel服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。 6、还有一个很重要的就是关闭server服务，此服务提供RPC支持、文件、打印以及命名管道共享。 关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。 7、还有一个就是139端口，139端口是NetBIOSSession端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。 以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。 关闭139口听方法是在“网络和拨号连接”中“本地

12、连接”中选取“Inter协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。 对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。 每一项服务都对应相应的端口，比如众如周知的服务的端口是80，smtp是25，ftp是21，win2000安装中默认的都是这些服务开启的。 对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。 “控制面板”的“管理工具”中的“服务”中来配置。 1、关闭7.9等等端口关闭SimpleTCP/IPService,支持以下TCP

13、/IP服务CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。 2、关闭80口关掉服务。 在“服务”中显示名称为WorldWideWebPublishingService，通过Inter信息服务的管理单元提供Web连接和管理。 3、关掉25端口关闭SimpleMailTransportProtocol(SMTP)服务，它提供的功能是跨网传送电子邮件。 4、关掉21端口关闭FTPPublishingService,它提供的服务是通过Inter信息服务的管理单元提供FTP连接和管理。 5、关掉23端口关闭Tel服务，它允许远程用户登录到系

14、统并且使用命令行运行控制台程序。 6、还有一个很重要的就是关闭server服务，此服务提供RPC支持、文件、打印以及命名管道共享。 关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。 7、还有一个就是139端口，139端口是NetBIOSSession端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。 以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。 关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Inter协议(TCP/IP)”属性，进入

15、“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。 对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。 我们一般采用一些功能强大的反黑软件和防火墙来保证我们的系统安全，但是有些用户不具备上述条件。 怎么办呢？下面就介绍一种简易的办法通过限制端口来帮助大家防止非法入侵。 非法入侵的方式简单说来，非法入侵的方式可粗略分为4种 1、扫描端口，通过已知的系统Bug攻入主机。 2、种植木马，利用木马开辟的后门进入主机。 3、采用数据溢出的手段，迫使主机提供后门进入主机。 4、利用某些软件设计的漏

16、洞，直接或间接控制主机。 非法入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过第一种方式攻击主机的情况最多、也最普遍；而对后两种方式来说，只有一些手段高超的黑客才利用，波及面并不广泛，而且只要这两种问题一出现，软件服务商很快就会提供补丁，及时修复系统。 因此，如果能限制前两种非法入侵方式，就能有效防止利用黑客工具的非法入侵。 而且前两种非法入侵方式有一个共同点，就是通过端口进入主机。 端口就像一所房子(服务器)的几个门一样，不同的门通向不同的房间(服务器提供的不同服务)。 我们常用的FTP默认端口为21，而网页一般默认端口是80。 但是有些马虎的网络管理员常常打开一些容易被侵入的端口

17、服务，比如139等；还有一些木马程序，比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。 那么，只要我们把自己用不到的端口全部封锁起来，不就杜绝了这两种非法入侵吗？限制端口的方法对于个人用户来说，您可以限制所有的端口，因为您根本不必让您的机器对外提供任何服务；而对于对外提供网络服务的服务器，我们需把必须利用的端口(比如端口 80、FTP端口 21、邮件服务端口 25、110等)开放，其他的端口则全部关闭。 这里，对于采用Windows2000或者WindowsXP的用户来说，不需要安装任何其他软件，可以利用“TCP/IP筛选”功能限制服务器的端口。 具体设置如下 1、右键点击“网上邻居”，

18、选择“属性”，然后双击“本地连接”(如果是拨号上网用户，选择“我的连接”图标)，弹出“本地连接状态”对话框。 2、点击属性按钮，弹出“本地连接属性”，选择“此连接使用下列项目”中的“Inter协议(TCP/IP)”，然后点击属性按钮。 3、在弹出的“Inter协议(TCP/IP)”对话框中点击高级按钮。 在弹出的“高级TCP/IP设置”中，选择“选项”标签，选中“TCP/IP筛选”，然后点击属性按钮。 4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框，然后把左边“TCP端口”上的“只允许”选上(请见附图)。 这样，您就可以己添加或删除您的TCP或UDP或IP的各种端口了。 添加或者删除完毕，重新启动机器以后，您的服务器就被保护起来了。 如果只上网浏览的话，可以不添加任何端口。 但是要利用一些网络联络工具，比如OICQ的话，就要把“4000”这个端口打开，同理，如果发现某个常用的网络工具不能起作用的时候，请搞清它在您主机所开的端口，然后在“TCP/IP筛选”中添加端口即可。 内容仅供参考