① 哪些端口是必须要开放的
一、有关端口的安全问题。
根据木马、蠕虫的发展趋势,计算机的所有端口都可能成为木马、蠕虫的常用端口,而被那些认为木马、蠕虫的默认端口也都可能是安全端口。比如:TCP 139、445、593、1025、 2513、2745、3127、6129 端口和 UDP123、137、138、445、1900 端口是一些流行木马病毒的后门端口,但又属于网络正常用途的通道,如果硬性关闭了137、138、139、445端口,那么就不能启动NetBios协议,也就实现不了局域网资源的共享,而对非局域网的用户来说有时候就连本地上的打印机都无法使用,还可能造成本系统内部信息回转的错误;大家熟悉的80端口是上网必须的端口,必须开启,否则就不能启动超文本传输协议,但也是Executor、RingZero等木马程序的默认端口。
二、网络流传的安全设置的弊端。
目前在网络里流传的安全设置主要有:1、关闭本机中不用的端口;2、删除系统中无用的帐号。
但这两种设置方法归根到底说透了就是硬性关闭端口、硬性取消系统协议(功能),比如滚伏:TCP\UDP1-512端口属于危险低端口,不少木马、蠕虫在运行时首先默认启用的就是低端口,如果硬性关闭了,那么就连网络也上不了;而Guest和Administrator这两个帐号,是不允许删除的,如果按照网络里流行的方法强制删除了,那么很可能造成崩溃。
三、防火墙端口规则(IP规则老渗)指令执行原理。
外置端口监视+访问规则+内大含携置特征判别码指令程序匹配=端口过滤指令启动; 外置端口监视+访问规则=端口关闭指令启动。
对计算机端口的安全设置最佳的方法是对端口进行过滤,而不是关闭!
外置规则用的是关闭,但必须要有内置规则的匹配,否则对相关端口只能是硬性关闭,只有内外规则的互动才能实现对端口入站、出站数据的过滤。
比如:对80端口必须开启,但又必须防范相关木马的进入,那么在外置规则上就必须对TCP\UDP80端口执行关闭,而且必须同时匹配上内置规则对特征值为ce63d1d216e713cf的数据包进行过滤,并通过与TCP\UDP31337、54321、54320、31666、31338端口的外置规则的链动,在保证正常上网的同时,拒绝Block Back Orifice 2000 Trojan等木马的入站。
四、Block NetBus Trojan等常规木马的十六进制特征值。
Block NetBus Trojan特征值:4e6574427573
Hack 'A' Tack Trojan特征值:486154
Master Paradise Trojan特征值:
Donald Dick Trojan特征值:4f4b00
Portal of Doom Trojan特征值:706f64
NetSphere Trojan特征值:3c4e6574537068657265
NetMonitor Trojan特征值:
COMA Trojan特征值:434f4d4120536572766572
冰河 Trojan特征值:
Worms 2003特征值:0401010101