在上網(wǎng)的時(shí)候，我們經(jīng)常會(huì)看到“端口”這個(gè)詞，也會(huì)經(jīng)常用到端口號(hào)，比如在FTP地址后面增加的“21”，21就表示端口號(hào)。那么端口到底是什么意思呢？怎樣查看端口號(hào)呢？一個(gè)端口是否成為網(wǎng)絡(luò)惡意攻擊的大門呢？，我們應(yīng)該如何面對(duì)形形色色的端口呢？下面就將介紹這方面的內(nèi)容,以供大家參考。

21端口：21端口主要用于FTP（File Transfer Protocol，文件傳輸協(xié)議）服務(wù)。

端口說(shuō)明：21端口主要用于FTP（File Transfer Protocol，文件傳輸協(xié)議）服務(wù)，F(xiàn)TP服務(wù)主要是為了在兩臺(tái)計(jì)算機(jī)之間實(shí)現(xiàn)文件的上傳與下載，一臺(tái)計(jì)算機(jī)作為FTP客戶端，另一臺(tái)計(jì)算機(jī)作為FTP服務(wù)器，可以采用匿名（anonymous）登錄和授權(quán)用戶名與密碼登錄兩種方式登錄FTP服務(wù)器。目前，通過(guò)FTP服務(wù)來(lái)實(shí)現(xiàn)文件的傳輸是互聯(lián)網(wǎng)上上傳、下載文件最主要的方法。另外，還有一個(gè)20端口是用于FTP數(shù)據(jù)傳輸?shù)哪J(rèn)端口號(hào)。

在Windows中可以通過(guò)Internet信息服務(wù)（IIS）來(lái)提供FTP連接和管理，也可以單獨(dú)安裝FTP服務(wù)器軟件來(lái)實(shí)現(xiàn)FTP功能，比如常見(jiàn)的FTP Serv-U。

操作建議：因?yàn)橛械腇TP服務(wù)器可以通過(guò)匿名登錄，所以常常會(huì)被黑客利用。另外，21端口還會(huì)被一些木馬利用，比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架設(shè)FTP服務(wù)器，建議關(guān)閉21端口。

23端口：23端口主要用于Telnet（遠(yuǎn)程登錄）服務(wù)，是Internet上普遍采用的登錄和仿真程序。

端口說(shuō)明：23端口主要用于Telnet（遠(yuǎn)程登錄）服務(wù)，是Internet上普遍采用的登錄和仿真程序。同樣需要設(shè)置客戶端和服務(wù)器端，開(kāi)啟Telnet服務(wù)的客戶端就可以登錄遠(yuǎn)程Telnet服務(wù)器，采用授權(quán)用戶名和密碼登錄。登錄之后，允許用戶使用命令提示符窗口進(jìn)行相應(yīng)的操作。在Windows中可以在命令提示符窗口中，鍵入“Telnet”命令來(lái)使用Telnet遠(yuǎn)程登錄。

操作建議：利用Telnet服務(wù)，黑客可以搜索遠(yuǎn)程登錄Unix的服務(wù)，掃描操作系統(tǒng)的類型。而且在Windows 2000中Telnet服務(wù)存在多個(gè)嚴(yán)重的漏洞，比如提升權(quán)限、拒絕服務(wù)等，可以讓遠(yuǎn)程服務(wù)器崩潰。Telnet服務(wù)的23端口也是TTS（Tiny Telnet Server）木馬的缺省端口。所以，建議關(guān)閉23端口。

25端口：25端口為SMTP（Simple Mail Transfer Protocol，簡(jiǎn)單郵件傳輸協(xié)議）服務(wù)器所開(kāi)放，主要用于發(fā)送郵件，如今絕大多數(shù)郵件服務(wù)器都使用該協(xié)議。

端口說(shuō)明：25端口為SMTP（Simple Mail Transfer Protocol，簡(jiǎn)單郵件傳輸協(xié)議）服務(wù)器所開(kāi)放，主要用于發(fā)送郵件，如今絕大多數(shù)郵件服務(wù)器都使用該協(xié)議。比如我們?cè)谑褂秒娮余]件客戶端程序的時(shí)候，在創(chuàng)建賬戶時(shí)會(huì)要求輸入SMTP服務(wù)器地址，該服務(wù)器地址默認(rèn)情況下使用的就是25端口。

端口漏洞：

1. 利用25端口，黑客可以尋找SMTP服務(wù)器，用來(lái)轉(zhuǎn)發(fā)垃圾郵件。

2. 25端口被很多木馬程序所開(kāi)放，比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy來(lái)說(shuō)，通過(guò)開(kāi)放25端口，可以監(jiān)視計(jì)算機(jī)正在運(yùn)行的所有窗口和模塊。

操作建議：如果不是要架設(shè)SMTP郵件服務(wù)器，可以將該端口關(guān)閉。

53端口：53端口為DNS（Domain Name Server，域名服務(wù)器）服務(wù)器所開(kāi)放，主要用于域名解析，DNS服務(wù)在NT系統(tǒng)中使用的最為廣泛。

端口說(shuō)明：53端口為DNS（Domain Name Server，域名服務(wù)器）服務(wù)器所開(kāi)放，主要用于域名解析，DNS服務(wù)在NT系統(tǒng)中使用的最為廣泛。通過(guò)DNS服務(wù)器可以實(shí)現(xiàn)域名與IP地址之間的轉(zhuǎn)換，只要記住域名就可以快速訪問(wèn)網(wǎng)站。

端口漏洞：如果開(kāi)放DNS服務(wù)，黑客可以通過(guò)分析DNS服務(wù)器而直接獲取Web服務(wù)器等主機(jī)的IP地址，再利用53端口突破某些不穩(wěn)定的防火墻，從而實(shí)施攻擊。近日，美國(guó)一家公司也公布了10個(gè)最易遭黑客攻擊的漏洞，其中第一位的就是DNS服務(wù)器的BIND漏洞。


操作建議：如果當(dāng)前的計(jì)算機(jī)不是用于提供域名解析服務(wù)，建議關(guān)閉該端口

67、68端口：67、68端口分別是為Bootp服務(wù)的Bootstrap Protocol Server（引導(dǎo)程序協(xié)議服務(wù)端）和Bootstrap Protocol Client（引導(dǎo)程序協(xié)議客戶端）開(kāi)放的端口。

端口說(shuō)明：67、68端口分別是為Bootp服務(wù)的Bootstrap Protocol Server（引導(dǎo)程序協(xié)議服務(wù)端）和Bootstrap Protocol Client（引導(dǎo)程序協(xié)議客戶端）開(kāi)放的端口。Bootp服務(wù)是一種產(chǎn)生于早期Unix的遠(yuǎn)程啟動(dòng)協(xié)議，我們現(xiàn)在經(jīng)常用到的DHCP服務(wù)就是從Bootp服務(wù)擴(kuò)展而來(lái)的。通過(guò)Bootp服務(wù)可以為局域網(wǎng)中的計(jì)算機(jī)動(dòng)態(tài)分配IP地址，而不需要每個(gè)用戶去設(shè)置靜態(tài)IP地址。

端口漏洞：如果開(kāi)放Bootp服務(wù)，常常會(huì)被黑客利用分配的一個(gè)IP地址作為局部路由器通過(guò)“中間人”（man-in-middle）方式進(jìn)行攻擊。

操作建議：建議關(guān)閉該端口。

69端口：TFTP是Cisco公司開(kāi)發(fā)的一個(gè)簡(jiǎn)單文件傳輸協(xié)議，類似于FTP。

端口說(shuō)明：69端口是為TFTP（Trival File Tranfer Protocol，次要文件傳輸協(xié)議）服務(wù)開(kāi)放的，TFTP是Cisco公司開(kāi)發(fā)的一個(gè)簡(jiǎn)單文件傳輸協(xié)議，類似于FTP。不過(guò)與FTP相比，TFTP不具有復(fù)雜的交互存取接口和認(rèn)證控制，該服務(wù)適用于不需要復(fù)雜交換環(huán)境的客戶端和服務(wù)器之間進(jìn)行數(shù)據(jù)傳輸。

端口漏洞：很多服務(wù)器和Bootp服務(wù)一起提供TFTP服務(wù)，主要用于從系統(tǒng)下載啟動(dòng)代碼。可是，因?yàn)門FTP服務(wù)可以在系統(tǒng)中寫入文件，而且黑客還可以利用TFTP的錯(cuò)誤配置來(lái)從系統(tǒng)獲取任何文件。

操作建議：建議關(guān)閉該端口。

79端口：79端口是為Finger服務(wù)開(kāi)放的，主要用于查詢遠(yuǎn)程主機(jī)在線用戶、操作系統(tǒng)類型以及是否緩沖區(qū)溢出等用戶的詳細(xì)信息。

端口說(shuō)明：79端口是為Finger服務(wù)開(kāi)放的，主要用于查詢遠(yuǎn)程主機(jī)在線用戶、操作系統(tǒng)類型以及是否緩沖區(qū)溢出等用戶的詳細(xì)信息。比如要顯示遠(yuǎn)程計(jì)算機(jī)www.abc.com上的user01用戶的信息，可以在命令行中鍵入“finger user01@www.abc.com”即可。

端口漏洞：一般黑客要攻擊對(duì)方的計(jì)算機(jī)，都是通過(guò)相應(yīng)的端口掃描工具來(lái)獲得相關(guān)信息，比如使用“流光”就可以利用79端口來(lái)掃描遠(yuǎn)程計(jì)算機(jī)操作系統(tǒng)版本，獲得用戶信息，還能探測(cè)已知的緩沖區(qū)溢出錯(cuò)誤。這樣，就容易遭遇到黑客的攻擊。而且，79端口還被Firehotcker木馬作為默認(rèn)的端口。

操作建議：建議關(guān)閉該端口。

80端口：80端口是為HTTP（HyperText Transport Protocol，超文本傳輸協(xié)議）開(kāi)放的，這是上網(wǎng)沖浪使用最多的協(xié)議，主要用于在WWW（World Wide Web，萬(wàn)維網(wǎng)）服務(wù)上傳輸信息的協(xié)議。

端口說(shuō)明：80端口是為HTTP（HyperText Transport Protocol，超文本傳輸協(xié)議）開(kāi)放的，這是上網(wǎng)沖浪使用最多的協(xié)議，主要用于在WWW（World Wide Web，萬(wàn)維網(wǎng)）服務(wù)上傳輸信息的協(xié)議。我們可以通過(guò)HTTP地址加“:80”（即常說(shuō)的“網(wǎng)址”）來(lái)訪問(wèn)網(wǎng)站的，比如http://www.cce.com.cn:80，因?yàn)闉g覽網(wǎng)頁(yè)服務(wù)默認(rèn)的端口號(hào)是80，所以只要輸入網(wǎng)址，不用輸入“:80”。

端口漏洞：有些木馬程序可以利用80端口來(lái)攻擊計(jì)算機(jī)的，比如Executor、RingZero等。

操作建議：為了能正常上網(wǎng)沖浪，我們必須開(kāi)啟80端口。

99端口：99端口是用于一個(gè)名為“Metagram Relay”（亞對(duì)策延時(shí)）的服務(wù)，該服務(wù)比較少見(jiàn)，一般是用不到的。

端口說(shuō)明：99端口是用于一個(gè)名為“Metagram Relay”（亞對(duì)策延時(shí)）的服務(wù)，該服務(wù)比較少見(jiàn)，一般是用不到的。

端口漏洞：雖然“Metagram Relay”服務(wù)不常用，可是Hidden Port、NCx99等木馬程序會(huì)利用該端口，比如在Windows 2000中，NCx99可以把cmd．exe程序綁定到99端口，這樣用Telnet就可以連接到服務(wù)器，隨意添加用戶、更改權(quán)限。

操作建議：建議關(guān)閉該端口。

109、110端口：109端口是為POP2（Post Office Protocol Version 2，郵局協(xié)議2）服務(wù)開(kāi)放的，110端口是為POP3（郵件協(xié)議3）服務(wù)開(kāi)放的，POP2、POP3都是主要用于接收郵件的。


端口說(shuō)明：109端口是為POP2（Post Office Protocol Version 2，郵局協(xié)議2）服務(wù)開(kāi)放的，110端口是為POP3（郵件協(xié)議3）服務(wù)開(kāi)放的，POP2、POP3都是主要用于接收郵件的，目前POP3使用的比較多，許多服務(wù)器都同時(shí)支持POP2和POP3?？蛻舳丝梢允褂肞OP3協(xié)議來(lái)訪問(wèn)服務(wù)端的郵件服務(wù)，如今ISP的絕大多數(shù)郵件服務(wù)器都是使用該協(xié)議。在使用電子郵件客戶端程序的時(shí)候，會(huì)要求輸入POP3服務(wù)器地址，默認(rèn)情況下使用的就是110端口。

端口漏洞：POP2、POP3在提供郵件接收服務(wù)的同時(shí)，也出現(xiàn)了不少的漏洞。單單POP3服務(wù)在用戶名和密碼交換緩沖區(qū)溢出的漏洞就不少于20個(gè)，比如WebEasyMail POP3 Server合法用戶名信息泄露漏洞，通過(guò)該漏洞遠(yuǎn)程攻擊者可以驗(yàn)證用戶賬戶的存在。另外，110端口也被ProMail trojan等木馬程序所利用，通過(guò)110端口可以竊取POP賬號(hào)用戶名和密碼。

操作建議：如果是執(zhí)行郵件服務(wù)器，可以打開(kāi)該端口。

111端口：111端口是SUN公司的RPC（Remote Procedure Call，遠(yuǎn)程過(guò)程調(diào)用）服務(wù)所開(kāi)放的端口，主要用于分布式系統(tǒng)中不同計(jì)算機(jī)的內(nèi)部進(jìn)程通信，RPC在多種網(wǎng)絡(luò)服務(wù)中都是很重要的組件。

端口說(shuō)明：111端口是SUN公司的RPC（Remote Procedure Call，遠(yuǎn)程過(guò)程調(diào)用）服務(wù)所開(kāi)放的端口，主要用于分布式系統(tǒng)中不同計(jì)算機(jī)的內(nèi)部進(jìn)程通信，RPC在多種網(wǎng)絡(luò)服務(wù)中都是很重要的組件。常見(jiàn)的RPC服務(wù)有rpc．mountd、NFS、rpc．statd、rpc．csmd、rpc．ttybd、amd等等。在Microsoft的Windows中，同樣也有RPC服務(wù)。

端口漏洞：SUN RPC有一個(gè)比較大漏洞，就是在多個(gè)RPC服務(wù)時(shí)xdr＿array函數(shù)存在遠(yuǎn)程緩沖溢出漏洞，通過(guò)該漏洞允許攻擊者傳遞超

113端口：113端口主要用于Windows的“Authentication Service”（驗(yàn)證服務(wù)）。

端口說(shuō)明：113端口主要用于Windows的“Authentication Service”（驗(yàn)證服務(wù)），一般與網(wǎng)絡(luò)連接的計(jì)算機(jī)都運(yùn)行該服務(wù)，主要用于驗(yàn)證TCP連接的用戶，通過(guò)該服務(wù)可以獲得連接計(jì)算機(jī)的信息。在Windows 2000/2003 Server中，還有專門的IAS組件，通過(guò)該組件可以方便遠(yuǎn)程訪問(wèn)中進(jìn)行身份驗(yàn)證以及策略管理。

端口漏洞：113端口雖然可以方便身份驗(yàn)證，但是也常常被作為FTP、POP、SMTP、IMAP以及IRC等網(wǎng)絡(luò)服務(wù)的記錄器，這樣會(huì)被相應(yīng)的木馬程序所利用，比如基于IRC聊天室控制的木馬。另外，113端口還是Invisible Identd Deamon、Kazimas等木馬默認(rèn)開(kāi)放的端口。

操作建議：建議關(guān)閉該端口。

119端口：119端口是為“Network News Transfer Protocol”（網(wǎng)絡(luò)新聞組傳輸協(xié)議，簡(jiǎn)稱NNTP）開(kāi)放的。

端口說(shuō)明：119端口是為“Network News Transfer Protocol”（網(wǎng)絡(luò)新聞組傳輸協(xié)議，簡(jiǎn)稱NNTP）開(kāi)放的，主要用于新聞組的傳輸，當(dāng)查找USENET服務(wù)器的時(shí)候會(huì)使用該端口。

端口漏洞：著名的Happy99蠕蟲病毒默認(rèn)開(kāi)放的就是119端口，如果中了該病毒會(huì)不斷發(fā)送電子郵件進(jìn)行傳播，并造成網(wǎng)絡(luò)的堵塞。

操作建議：如果是經(jīng)常使用USENET新聞組，就要注意不定期關(guān)閉該端口。

135端口：135端口主要用于使用RPC（Remote Procedure Call，遠(yuǎn)程過(guò)程調(diào)用）協(xié)議并提供DCOM（分布式組件對(duì)象模型）服務(wù)。

端口說(shuō)明：135端口主要用于使用RPC（Remote Procedure Call，遠(yuǎn)程過(guò)程調(diào)用）協(xié)議并提供DCOM（分布式組件對(duì)象模型）服務(wù)，通過(guò)RPC可以保證在一臺(tái)計(jì)算機(jī)上運(yùn)行的程序可以順利地執(zhí)行遠(yuǎn)程計(jì)算機(jī)上的代碼；使用DCOM可以通過(guò)網(wǎng)絡(luò)直接進(jìn)行通信，能夠跨包括HTTP協(xié)議在內(nèi)的多種網(wǎng)絡(luò)傳輸。

端口漏洞：相信去年很多Windows 2000和Windows XP用戶都中了“沖擊波”病毒，該病毒就是利用RPC漏洞來(lái)攻擊計(jì)算機(jī)的。RPC本身在處理通過(guò)TCP/IP的消息交換部分有一個(gè)漏洞，該漏洞是由于錯(cuò)誤地處理格式不正確的消息造成的。該漏洞會(huì)影響到RPC與DCOM之間的一個(gè)接口，該接口偵聽(tīng)的端口就是135。


操作建議：為了避免“沖擊波”病毒的攻擊，建議關(guān)閉該端口。

137端口：137端口主要用于“NetBIOS Name Service”（NetBIOS名稱服務(wù)）。

端口說(shuō)明：137端口主要用于“NetBIOS Name Service”（NetBIOS名稱服務(wù)），屬于UDP端口，使用者只需要向局域網(wǎng)或互聯(lián)網(wǎng)上的某臺(tái)計(jì)算機(jī)的137端口發(fā)送一個(gè)請(qǐng)求，就可以獲取該計(jì)算機(jī)的名稱、注冊(cè)用戶名，以及是否安裝主域控制器、IIS是否正在運(yùn)行等信息。

端口漏洞：因?yàn)槭荱DP端口，對(duì)于攻擊者來(lái)說(shuō)，通過(guò)發(fā)送請(qǐng)求很容易就獲取目標(biāo)計(jì)算機(jī)的相關(guān)信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS服務(wù)。另外，通過(guò)捕獲正在利用137端口進(jìn)行通信的信息包，還可能得到目標(biāo)計(jì)算機(jī)的啟動(dòng)和關(guān)閉的時(shí)間，這樣就可以利用專門的工具來(lái)攻擊。

操作建議：建議關(guān)閉該端口。

139端口：139端口是為“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印機(jī)共享以及Unix中的Samba服務(wù)。

端口說(shuō)明：139端口是為“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印機(jī)共享以及Unix中的Samba服務(wù)。在Windows中要在局域網(wǎng)中進(jìn)行文件的共享，必須使用該服務(wù)。比如在Windows 98中，可以打開(kāi)“控制面板”，雙擊“網(wǎng)絡(luò)”圖標(biāo)，在“配置”選項(xiàng)卡中單擊“文件及打印共享”按鈕選中相應(yīng)的設(shè)置就可以安裝啟用該服務(wù)；在Windows 2000/XP中，可以打開(kāi)“控制面板”，雙擊“網(wǎng)絡(luò)連接”圖標(biāo)，打開(kāi)本地連接屬性；接著，在屬性窗口的“常規(guī)”選項(xiàng)卡中選擇“Internet協(xié)議（TCP/IP）”，單擊“屬性”按鈕；然后在打開(kāi)的窗口中，單擊“高級(jí)”按鈕；在“高級(jí)TCP/IP設(shè)置”窗口中選擇“WINS”選項(xiàng)卡，在“NetBIOS設(shè)置”區(qū)域中啟用TCP/IP上的NetBIOS。

端口漏洞：開(kāi)啟139端口雖然可以提供共享服務(wù)，但是常常被攻擊者所利用進(jìn)行攻擊，比如使用流光、SuperScan等端口掃描工具，可以掃描目標(biāo)計(jì)算機(jī)的139端口，如果發(fā)現(xiàn)有漏洞，可以試圖獲取用戶名和密碼，這是非常危險(xiǎn)的。

操作建議：如果不需要提供文件和打印機(jī)共享，建議關(guān)閉該端口。

143端口：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息訪問(wèn)協(xié)議，簡(jiǎn)稱IMAP）。

端口說(shuō)明：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息訪問(wèn)協(xié)議，簡(jiǎn)稱IMAP），和POP3一樣，是用于電子郵件的接收的協(xié)議。通過(guò)IMAP協(xié)議我們可以在不接收郵件的情況下，知道信件的內(nèi)容，方便管理服務(wù)器中的電子郵件。不過(guò)，相對(duì)于POP3協(xié)議要負(fù)責(zé)一些。如今，大部分主流的電子郵件客戶端軟件都支持該協(xié)議。

端口漏洞：同POP3協(xié)議的110端口一樣，IMAP使用的143端口也存在緩沖區(qū)溢出漏洞，通過(guò)該漏洞可以獲取用戶名和密碼。另外，還有一種名為“admv0rm”的Linux蠕蟲病毒會(huì)利用該端口進(jìn)行繁殖。

操作建議：如果不是使用IMAP服務(wù)器操作，應(yīng)該將該端口關(guān)閉。

161端口：161端口是用于“Simple Network Management Protocol”（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，簡(jiǎn)稱SNMP）。

端口說(shuō)明：161端口是用于“Simple Network Management Protocol”（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，簡(jiǎn)稱SNMP），該協(xié)議主要用于管理TCP/IP網(wǎng)絡(luò)中的網(wǎng)絡(luò)協(xié)議，在Windows中通過(guò)SNMP服務(wù)可以提供關(guān)于TCP/IP網(wǎng)絡(luò)上主機(jī)以及各種網(wǎng)絡(luò)設(shè)備的狀態(tài)信息。目前，幾乎所有的網(wǎng)絡(luò)設(shè)備廠商都實(shí)現(xiàn)對(duì)SNMP的支持。

在Windows 2000/XP中要安裝SNMP服務(wù)，我們首先可以打開(kāi)“Windows組件向?qū)А?，在“組件”中選擇“管理和監(jiān)視工具”，單擊“詳細(xì)信息”按鈕就可以看到“簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）”，選中該組件；然后，單擊“下一步”就可以進(jìn)行安裝。

端口漏洞：因?yàn)橥ㄟ^(guò)SNMP可以獲得網(wǎng)絡(luò)中各種設(shè)備的狀態(tài)信息，還能用于對(duì)網(wǎng)絡(luò)設(shè)備的控制，所以黑客可以通過(guò)SNMP漏洞來(lái)完全控制網(wǎng)絡(luò)。


操作建議：建議關(guān)閉該端口。

443端口：443端口即網(wǎng)頁(yè)瀏覽端口，主要是用于HTTPS服務(wù)，是提供加密和通過(guò)安全端口傳輸?shù)牧硪环NHTTP。

端口說(shuō)明：443端口即網(wǎng)頁(yè)瀏覽端口，主要是用于HTTPS服務(wù)，是提供加密和通過(guò)安全端口傳輸?shù)牧硪环NHTTP。在一些對(duì)安全性要求較高的網(wǎng)站，比如銀行、證券、購(gòu)物等，都采用HTTPS服務(wù)，這樣在這些網(wǎng)站上的交換信息其他人都無(wú)法看到，保證了交易的安全性。網(wǎng)頁(yè)的地址以https://開(kāi)始，而不是常見(jiàn)的http://。

端口漏洞：HTTPS服務(wù)一般是通過(guò)SSL（安全套接字層）來(lái)保證安全性的，但是SSL漏洞可能會(huì)受到黑客的攻擊，比如可以黑掉在線銀行系統(tǒng)，盜取信用卡賬號(hào)等。

操作建議：建議開(kāi)啟該端口，用于安全性網(wǎng)頁(yè)的訪問(wèn)。另外，為了防止黑客的攻擊，應(yīng)該及時(shí)安裝微軟針對(duì)SSL漏洞發(fā)布的最新安全補(bǔ)丁。

554端口：554端口默認(rèn)情況下用于“Real Time Streaming Protocol”（實(shí)時(shí)流協(xié)議，簡(jiǎn)稱RTSP）。

端口說(shuō)明：554端口默認(rèn)情況下用于“Real Time Streaming Protocol”（實(shí)時(shí)流協(xié)議，簡(jiǎn)稱RTSP），該協(xié)議是由RealNetworks和Netscape共同提出的，通過(guò)RTSP協(xié)議可以借助于Internet將流媒體文件傳送到RealPlayer中播放，并能有效地、最大限度地利用有限的網(wǎng)絡(luò)帶寬，傳輸?shù)牧髅襟w文件一般是Real服務(wù)器發(fā)布的，包括有.rm、.ram。如今，很多的下載軟件都支持RTSP協(xié)議，比如FlashGet、影音傳送帶等等。

端口漏洞：目前，RTSP協(xié)議所發(fā)現(xiàn)的漏洞主要就是RealNetworks早期發(fā)布的Helix Universal Server存在緩沖區(qū)溢出漏洞，相對(duì)來(lái)說(shuō)，使用的554端口是安全的。

操作建議：為了能欣賞并下載到RTSP協(xié)議的流媒體文件，建議開(kāi)啟554端口。

1024端口：1024端口一般不固定分配給某個(gè)服務(wù)，在英文中的解釋是“Reserved”（保留）。

端口說(shuō)明：1024端口一般不固定分配給某個(gè)服務(wù)，在英文中的解釋是“Reserved”（保留）。之前，我們?cè)?jīng)提到過(guò)動(dòng)態(tài)端口的范圍是從1024～65535，而1024正是動(dòng)態(tài)端口的開(kāi)始。該端口一般分配給第一個(gè)向系統(tǒng)發(fā)出申請(qǐng)的服務(wù)，在關(guān)閉服務(wù)的時(shí)候，就會(huì)釋放1024端口，等待其他服務(wù)的調(diào)用。

端口漏洞：著名的YAI木馬病毒默認(rèn)使用的就是1024端口，通過(guò)該木馬可以遠(yuǎn)程控制目標(biāo)計(jì)算機(jī)，獲取計(jì)算機(jī)的屏幕圖像、記錄鍵盤事件、獲取密碼等，后果是比較嚴(yán)重的。

操作建議：一般的殺毒軟件都可以方便地進(jìn)行YAI病毒的查殺，所以在確認(rèn)無(wú)YAI病毒的情況下建議開(kāi)啟該端口。

木馬程序是目前比較流行的一類病毒文件，它與一般的病毒不同，它不會(huì)自我繁殖，也并不刻意地去感染其他文件。它通過(guò)將自身偽裝吸引用戶下載執(zhí)行，或以捆綁在網(wǎng)頁(yè)中的形式，當(dāng)用戶瀏覽網(wǎng)頁(yè)時(shí)受害。木馬程序向施種木馬者提供打開(kāi)被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件和隱私，甚至遠(yuǎn)程操控被種者的電腦。木馬的原理和計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件相似，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性;而木馬程序則完全相反，木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，如果沒(méi)有很強(qiáng)的隱蔽性的話，那就是毫無(wú)價(jià)值的。

木馬通常有兩個(gè)可執(zhí)行程序:一個(gè)是客戶端，即控制端，另一個(gè)是服務(wù)端，即被控制端。木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的服務(wù)一旦運(yùn)行，電腦就會(huì)有一個(gè)或幾個(gè)端口被打開(kāi)，黑客就可以利用控制端進(jìn)入運(yùn)行了服務(wù)端的電腦，甚至可以控制被種者的電腦，所以被種者的安全和個(gè)人隱私也就全無(wú)保障了!

隨著微軟的操作系統(tǒng)從Win9X過(guò)渡到WinNT系統(tǒng)(包括2000/xp/2003)，微軟的任務(wù)管理器也一下子“脫胎換骨”，變得“火眼金睛”起來(lái) (在Win9X中，只需要將進(jìn)程注冊(cè)為系統(tǒng)服務(wù)就能夠從進(jìn)程查看器中隱形，可是這一切在WinNT中卻完全不同，無(wú)論木馬從端口、啟動(dòng)文件上如何巧妙地隱藏自己，始終都不能欺騙WinNT的任務(wù)管理器)，這使得以前在win9X操作系統(tǒng)下靠將進(jìn)程注冊(cè)為系統(tǒng)服務(wù)就能夠從任務(wù)管理器中隱形的木馬面臨前所未有的危機(jī)，所以木馬的開(kāi)發(fā)者及時(shí)調(diào)整了開(kāi)發(fā)思路，轉(zhuǎn)入了開(kāi)發(fā)可以躲避WinNT的任務(wù)管理器的進(jìn)程查詢的動(dòng)態(tài)嵌入式DLL木馬。

要弄清楚什么是動(dòng)態(tài)嵌入式DLL木馬，我們必須要先了解Windows系統(tǒng)的另一種“可執(zhí)行文件”——DLL，DLL是Dynamic Link Library(動(dòng)態(tài)鏈接庫(kù))的縮寫，DLL文件是Windows的基礎(chǔ)，因?yàn)樗械腁PI函數(shù)都是在DLL中實(shí)現(xiàn)的。DLL文件沒(méi)有程序邏輯，是由多個(gè)功能函數(shù)構(gòu)成，它并不能獨(dú)立運(yùn)行，DLL文件一般都是由進(jìn)程加載并調(diào)用的。

因?yàn)镈LL文件不能獨(dú)立運(yùn)行，所以在進(jìn)程列表中并不會(huì)出現(xiàn)DLL。所以木馬的開(kāi)發(fā)者就通過(guò)編寫動(dòng)態(tài)嵌入式DLL木馬，并且通過(guò)別的進(jìn)程來(lái)運(yùn)行它，那么無(wú)論是入侵檢測(cè)軟件還是進(jìn)程列表中，都只會(huì)出現(xiàn)那個(gè)進(jìn)程而并不會(huì)出現(xiàn)那個(gè)DLL木馬。如果那個(gè)進(jìn)程是可信進(jìn)程(例如資源管理器Explorer.exe)，那么就沒(méi)人會(huì)懷疑DLL文件也是個(gè)木馬了。從而木馬就又實(shí)現(xiàn)了自己的隱蔽性的功能，所以，預(yù)防DLL木馬也是相當(dāng)重要的。

在WinNT系統(tǒng)，DLL木馬一般都藏在System32目錄下(因?yàn)镾ystem32是系統(tǒng)文件存放的目錄，里面的文件很多，在里面隱藏當(dāng)然很方便了)，針對(duì)這一點(diǎn)我們可以在安裝好系統(tǒng)和必要的應(yīng)用程序后，對(duì)該目錄下的EXE和DLL文件作一次記錄:點(diǎn)擊開(kāi)始—運(yùn)行—輸入cmd回車—出現(xiàn)DOS命令行模式—輸入cd\回車，再輸入cd C:\Windows\System32回車，這就轉(zhuǎn)換目錄到了System32目錄(要還是不知道怎么進(jìn)入的，請(qǐng)參看DOS的cd命令的使用)，輸入命令:dir *.exe>exebackup.txt & dir *.dll>dllbackup.txt回車。

這樣，我們就把System32目錄下所有的exe文件和所有的dll文件都記錄在exebackup.txt和dllbackup.txt里面了。日后如發(fā)現(xiàn)系統(tǒng)異常而用傳統(tǒng)的方法又查不出問(wèn)題時(shí)，則要考慮是不是系統(tǒng)中已經(jīng)潛入了DLL木馬。

這時(shí)我們用同樣的方法將System32目錄下的EXE和DLL文件記錄到另外exebackup1.txt和dllbackup1.txt中，然后運(yùn)行 CMD—fc exebackup.txt exebackup1.txt>different.txt & fc dllbackup.txt dllbackup1.txt>different.txt(使用FC命令比較前后兩次的DLL和EXE文件，并將結(jié)果輸入到 different.txt中)，這樣我們就能發(fā)現(xiàn)一些多出來(lái)的DLL和EXE文件，然后通過(guò)查看創(chuàng)建時(shí)間、版本、是否經(jīng)過(guò)壓縮等就能夠比較容易地判斷出是不是已經(jīng)被DLL木馬光顧了。

沒(méi)有是最好，如果有的話也不要直接刪除掉，可以先把它移到回收站里，若系統(tǒng)沒(méi)有異常反應(yīng)再將之徹底刪除，或者把DLL文件上報(bào)給反病毒研究中心檢查。

最后，防治木馬的危害，專家建議大家應(yīng)采取以下措施:

第一，安裝反病毒軟件和個(gè)人防火墻，并及時(shí)升級(jí)。

第二，把個(gè)人防火墻設(shè)置好安全等級(jí)，防止未知程序向外傳送數(shù)據(jù)。

第三，使用安全性比較好的瀏覽器和電子郵件客戶端工具。

第四，操作系統(tǒng)的補(bǔ)丁要經(jīng)常進(jìn)行更新。

第五，不要隨便打開(kāi)陌生網(wǎng)友傳送的文件和下載、使用破解軟件。

相信大家只要做好安全防護(hù)工作，防治木馬并不是那么可怕的。

前段時(shí)間上海一家游戲娛樂(lè)公司的網(wǎng)站遭到了基于頁(yè)面請(qǐng)求的DDOS分布式拒絕服務(wù)攻擊，網(wǎng)站陷入完全癱瘓狀態(tài)，并被黑客的匿名信勒索，金額高達(dá)10萬(wàn)元，而在勒索過(guò)程中，這群黑客還表示會(huì)對(duì)騰訊QQ等網(wǎng)站下手，隨后QQ“服務(wù)器維護(hù)”幾天。12月5號(hào)的時(shí)候，全球BitTorrent服務(wù)器也受到了很強(qiáng)烈的DDOS攻擊，一度陷入癱瘓。而DDOS攻擊中最流行的也是威力最大的就是基于頁(yè)面的DDOS以及將這個(gè)攻擊理論發(fā)揮得淋漓盡致的攻擊工具CC，本文特邀CC作者和我們共同了解CC的相關(guān)攻擊原理和防范方法，希望能讓更多的朋友了解這樣的攻擊方式并能防范它。

很多朋友都知道木桶理論，一桶水的最大容量不是由它最高的地方?jīng)Q定的，而是由它最低的地方?jīng)Q定，服務(wù)器也是一樣，服務(wù)器的安全性也是由它最脆弱的地方?jīng)Q定的，最脆弱的地方有多危險(xiǎn)服務(wù)器就有多危險(xiǎn)。DDOS也是一樣，只要你的服務(wù)器存在一個(gè)很耗資源的地方，限制又不夠，就馬上成為別人DDOS的對(duì)象。比如SYN-FLOOD，它就是利用服務(wù)器的半連接狀態(tài)比完全連接狀態(tài)更耗資源，而SYN發(fā)動(dòng)方只需要不停的發(fā)包，根本不需要多少資源。

一個(gè)好的DDOS攻擊必須是通過(guò)自己極少資源的消耗帶來(lái)對(duì)方較大的資源消耗，否則比如ICMP-FLOOD和UDP-FLOOD都必須和別人一樣大的帶寬，對(duì)方服務(wù)器消耗多少資源自己也得賠上多少資源，效率極其低下，又很容易被人發(fā)現(xiàn)，現(xiàn)在基本沒(méi)有什么人用了。

攻擊原理

CC主要是用來(lái)攻擊頁(yè)面的。大家都有這樣的經(jīng)歷，就是在訪問(wèn)論壇時(shí)，如果這個(gè)論壇比較大，訪問(wèn)的人比較多，打開(kāi)頁(yè)面的速度會(huì)比較慢，對(duì)不？！一般來(lái)說(shuō)，訪問(wèn)的人越多，論壇的頁(yè)面越多，數(shù)據(jù)庫(kù)就越大，被訪問(wèn)的頻率也越高，占用的系統(tǒng)資源也就相當(dāng)可觀，現(xiàn)在知道為什么很多空間服務(wù)商都說(shuō)大家不要上傳論壇，聊天室等東西了吧。

一個(gè)靜態(tài)頁(yè)面不需要服務(wù)器多少資源，甚至可以說(shuō)直接從內(nèi)存中讀出來(lái)發(fā)給你就可以了，但是論壇就不一樣了，我看一個(gè)帖子，系統(tǒng)需要到數(shù)據(jù)庫(kù)中判斷我是否有讀讀帖子的權(quán)限，如果有，就讀出帖子里面的內(nèi)容，顯示出來(lái)——這里至少訪問(wèn)了2次數(shù)據(jù)庫(kù)，如果數(shù)據(jù)庫(kù)的體積有200MB大小，系統(tǒng)很可能就要在這200MB大小的數(shù)據(jù)空間搜索一遍，這需要多少的CPU資源和時(shí)間？如果我是查找一個(gè)關(guān)鍵字，那么時(shí)間更加可觀，因?yàn)榍懊娴乃阉骺梢韵薅ㄔ谝粋€(gè)很小的范圍內(nèi)，比如用戶權(quán)限只查用戶表，帖子內(nèi)容只查帖子表，而且查到就可以馬上停止查詢，而搜索肯定會(huì)對(duì)所有的數(shù)據(jù)進(jìn)行一次判斷，消耗的時(shí)間是相當(dāng)?shù)拇蟆?

CC就是充分利用了這個(gè)特點(diǎn)，模擬多個(gè)用戶(多少線程就是多少用戶)不停的進(jìn)行訪問(wèn)(訪問(wèn)那些需要大量數(shù)據(jù)操作，就是需要大量CPU時(shí)間的頁(yè)面)。很多朋友問(wèn)到，為什么要使用代理呢？因?yàn)榇砜梢杂行У仉[藏自己的身份，也可以繞開(kāi)所有的防火墻，因?yàn)榛旧纤械姆阑饓Χ紩?huì)檢測(cè)并發(fā)的TCP/IP連接數(shù)目，超過(guò)一定數(shù)目一定頻率就會(huì)被認(rèn)為是Connection-Flood。

使用代理攻擊還能很好的保持連接，我們這里發(fā)送了數(shù)據(jù)，代理幫我們轉(zhuǎn)發(fā)給對(duì)方服務(wù)器，我們就可以馬上斷開(kāi)，代理還會(huì)繼續(xù)保持著和對(duì)方連接(我知道的記錄是有人利用2000個(gè)代理產(chǎn)生了35萬(wàn)并發(fā)連接)。

可能很多朋友還不能很好的理解，我來(lái)描述一下吧。我們假設(shè)服務(wù)器A對(duì)Search.asp的處理時(shí)間需要0.01S(多線程只是時(shí)間分割，對(duì)結(jié)論沒(méi)有影響)，也就是說(shuō)他一秒可以保證100個(gè)用戶的Search請(qǐng)求，服務(wù)器允許的最大連接時(shí)間為60s，那么我們使用CC模擬120個(gè)用戶并發(fā)連接，那么經(jīng)過(guò)1分鐘，服務(wù)器的被請(qǐng)求了7200次，處理了6000次，于是剩下了1200個(gè)并發(fā)連接沒(méi)有被處理。有的朋友會(huì)說(shuō)：丟連接！丟連接！問(wèn)題是服務(wù)器是按先來(lái)后到的順序丟的，這1200個(gè)是在最后10秒的時(shí)候發(fā)起的，想丟？！還早，經(jīng)過(guò)計(jì)算，服務(wù)器滿負(fù)開(kāi)始丟連接的時(shí)候，應(yīng)該是有7200個(gè)并發(fā)連接存在隊(duì)列，然后服務(wù)器開(kāi)始120個(gè)/秒的丟連接，我們發(fā)動(dòng)的連接也是120個(gè)/秒，服務(wù)器永遠(yuǎn)有處理不完的連接，服務(wù)器的CPU 100%并長(zhǎng)時(shí)間保持，然后丟連接的60秒服務(wù)器也判斷處理不過(guò)來(lái)了，新的連接也處理不了，這樣服務(wù)器達(dá)到了超級(jí)繁忙狀態(tài)。


我們假設(shè)服務(wù)器處理Search只用了0.01S，也就是10毫秒(這個(gè)速度你可以去各個(gè)有開(kāi)放時(shí)間顯示的論壇看看)，我們使用的線程也只有120，很多服務(wù)器的丟連接時(shí)間遠(yuǎn)比60S長(zhǎng)，我們的使用線程遠(yuǎn)比120多，可以想象可怕了吧，而且客戶機(jī)只要發(fā)送了斷開(kāi)，連接的保持是代理做的，而且當(dāng)服務(wù)器收到SQL請(qǐng)求，肯定會(huì)進(jìn)入隊(duì)列，不論連接是否已經(jīng)斷開(kāi)，而且服務(wù)器是并發(fā)的，不是順序執(zhí)行，這樣使得更多的請(qǐng)求進(jìn)入內(nèi)存請(qǐng)求，對(duì)服務(wù)器負(fù)擔(dān)更大。

當(dāng)然，CC也可以利用這里方法對(duì)FTP進(jìn)行攻擊，也可以實(shí)現(xiàn)TCP-FLOOD，這些都是經(jīng)過(guò)測(cè)試有效的。

防范方法

說(shuō)了攻擊原理，大家肯定會(huì)問(wèn)，那么怎么防御？使用硬件防火墻我不知道如何防范，除非你完全屏蔽頁(yè)面訪問(wèn)，我的方法是通過(guò)頁(yè)面的編寫實(shí)現(xiàn)防御。

1、使用Cookie認(rèn)證。這時(shí)候朋友說(shuō)CC里面也允許Cookie，但是這里的Cookie是所有連接都使用的，所以啟用IP+Cookie認(rèn)證就可以了。

2、利用Session。這個(gè)判斷比Cookie更加方便，不光可以IP認(rèn)證，還可以防刷新模式，在頁(yè)面里判斷刷新，是刷新就不讓它訪問(wèn)，沒(méi)有刷新符號(hào)給它刷新符號(hào)。給些示范代碼吧，Session：


程序代碼：〈% if session(“refresh”)〈〉 1 then Session(“refresh”)
=session(“refresh”)+1 Response.redirect “index.asp” End if %〉


這樣用戶第一次訪問(wèn)會(huì)使得Refresh=1，第二次訪問(wèn)，正常，第三次，不讓他訪問(wèn)了，認(rèn)為是刷新，可以加上一個(gè)時(shí)間參數(shù)，讓多少時(shí)間允許訪問(wèn)，這樣就限制了耗時(shí)間的頁(yè)面的訪問(wèn)，對(duì)正?？蛻魩缀鯖](méi)有什么影響。

3、通過(guò)代理發(fā)送的HTTP_X_FORWARDED_FOR變量來(lái)判斷使用代理攻擊機(jī)器的真實(shí)IP，這招完全可以找到發(fā)動(dòng)攻擊的人，當(dāng)然，不是所有的代理服務(wù)器都發(fā)送，但是有很多代理都發(fā)送這個(gè)參數(shù)。詳細(xì)代碼：


程序代碼： 〈%

Dim fsoObject

Dim tsObject

dim file

if Request.ServerVariables("HTTP_X_FORWARDED_FOR")="" then

response.write "無(wú)代理訪問(wèn)"

response.end

end if

Set fsoObject = Server.CreateObject("Scripting.FileSystemObject")

file = server.mappath("CCLog.txt")

if not fsoObject.fileexists(file) then

fsoObject.createtextfile file,true,false

end if

set tsObject = fsoObject.OpenTextFile(file,8)

tsObject.Writeline Request.ServerVariables("HTTP_X_FORWARDED_FOR")
&"["&Request.ServerVariables("REMOTE_ADDR")&"]"&now()

Set fsoObject = Nothing

Set tsObject = Nothing

response.write "有代理訪問(wèn)"

%〉



這樣會(huì)生成CCLog.txt，它的記錄格式是：真實(shí)IP [代理的IP] 時(shí)間，看看哪個(gè)真實(shí)IP出現(xiàn)的次數(shù)多，就知道是誰(shuí)在攻擊了。將這個(gè)代碼做成Conn.asp文件，替代那些連接數(shù)據(jù)庫(kù)的文件，這樣所有的數(shù)據(jù)庫(kù)請(qǐng)求就連接到這個(gè)文件上，然后馬上就能發(fā)現(xiàn)攻擊的人。

4。 還有一個(gè)方法就是把需要對(duì)數(shù)據(jù)查詢的語(yǔ)句做在Redirect后面，讓對(duì)方必須先訪問(wèn)一個(gè)判斷頁(yè)面，然后Redirect過(guò)去。

5。 在存在多站的服務(wù)器上，嚴(yán)格限制每一個(gè)站允許的IP連接數(shù)和CPU使用時(shí)間，這是一個(gè)很有效的方法。

CC的防御要從代碼做起，其實(shí)一個(gè)好的頁(yè)面代碼都應(yīng)該注意這些東西，還有SQL注入，不光是一個(gè)入侵工具，更是一個(gè)DDOS缺口，大家都應(yīng)該在代碼中注意。舉個(gè)例子吧，某服務(wù)器，開(kāi)動(dòng)了5000線的CC攻擊，沒(méi)有一點(diǎn)反應(yīng)，因?yàn)樗械脑L問(wèn)數(shù)據(jù)庫(kù)請(qǐng)求都必須一個(gè)隨機(jī)參數(shù)在Session里面，全是靜態(tài)頁(yè)面，沒(méi)有效果。突然發(fā)現(xiàn)它有一個(gè)請(qǐng)求會(huì)和外面的服務(wù)器聯(lián)系獲得，需要較長(zhǎng)的時(shí)間，而且沒(méi)有什么認(rèn)證，開(kāi)800線攻擊，服務(wù)器馬上滿負(fù)荷了。

代碼層的防御需要從點(diǎn)點(diǎn)滴滴做起，一個(gè)腳本代碼的錯(cuò)誤，可能帶來(lái)的是整個(gè)站的影響，甚至是整個(gè)服務(wù)器的影響，慎之！

通常地，大多數(shù)Web站點(diǎn)的設(shè)計(jì)目標(biāo)都是：以最易接受的方式，為訪問(wèn)者提供即時(shí)的信息訪問(wèn)。在過(guò)去的幾年中，越來(lái)越多的黑客、病毒和蠕蟲帶來(lái)的安全問(wèn)題嚴(yán)重影響了網(wǎng)站的可訪問(wèn)性，盡管Apache服務(wù)器也常常是攻擊者的目標(biāo)，然而微軟的Internet信息服務(wù)(IIS) Web服務(wù)器才是真正意義上的眾矢之的。

高級(jí)教育機(jī)構(gòu)往往無(wú)法在構(gòu)建充滿活力、界面友好的網(wǎng)站還是構(gòu)建高安全性的網(wǎng)站之間找到平衡點(diǎn)。另外，它們現(xiàn)在必須致力于提高網(wǎng)站安全性以面對(duì)縮減中的技術(shù)預(yù)算 (其實(shí)許多它們的私有部門也面臨著相似的局面)。

正因?yàn)槿绱?，我在這里將為預(yù)算而頭疼的大學(xué)IT經(jīng)理們提供一些技巧，以幫助他們保護(hù)他們的IIS服務(wù)器。雖然主要是面對(duì)大學(xué)里的IT專業(yè)人員的，但是這些技巧也基本上適用于希望通過(guò)少量的財(cái)政預(yù)算來(lái)提高安全性的IIS管理人員。實(shí)際上，這里面的一些技巧對(duì)擁有強(qiáng)大預(yù)算的IIS管理人員也是非常有用的。

首先，開(kāi)發(fā)一套安全策略

保護(hù)Web服務(wù)器的第一步是確保網(wǎng)絡(luò)管理員清楚安全策略中的每一項(xiàng)制度。如果公司高層沒(méi)有把服務(wù)器的安全看作是必須被保護(hù)的資產(chǎn)，那么保護(hù)工作是完全沒(méi)有意義的。這項(xiàng)工作需要長(zhǎng)期的努力。如果預(yù)算不支持或者它不是長(zhǎng)期IT戰(zhàn)略的一部分，那么花費(fèi)大量時(shí)間保護(hù)服務(wù)器安全的管理員將得不到管理層方面的重要支持。

網(wǎng)絡(luò)管理員為各方面資源建立安全性的直接結(jié)果是什么呢？一些特別喜歡冒險(xiǎn)的用戶將會(huì)被關(guān)在門外。那些用戶隨后會(huì)抱怨公司的管理層，管理層人員又會(huì)去質(zhì)問(wèn)網(wǎng)絡(luò)管理員究竟發(fā)生了什么。那么，網(wǎng)絡(luò)管理員沒(méi)辦法建立支持他們安全工作的文檔，因此，沖突發(fā)生了。

通過(guò)標(biāo)注Web服務(wù)器安全級(jí)別以及可用性的安全策略，網(wǎng)絡(luò)管理員將能夠從容地在不同的操作系統(tǒng)上部署各種軟件工具。

IIS安全技巧

微軟的產(chǎn)品一向是眾矢之的，因此IIS服務(wù)器特別容易成為攻擊者的靶子。搞清楚了這一點(diǎn)后，網(wǎng)絡(luò)管理員必須準(zhǔn)備執(zhí)行大量的安全措施。我將要為你們提供的是一個(gè)清單，服務(wù)器操作員也許會(huì)發(fā)現(xiàn)這是非常有用的。

1. 保持Windows升級(jí)：

你必須在第一時(shí)間及時(shí)地更新所有的升級(jí)，并為系統(tǒng)打好一切補(bǔ)丁。考慮將所有的更新下載到你網(wǎng)絡(luò)上的一個(gè)專用的服務(wù)器上，并在該機(jī)器上以Web的形式將文件發(fā)布出來(lái)。通過(guò)這些工作，你可以防止你的Web服務(wù)器接受直接的Internet訪問(wèn)。

2. 使用IIS防范工具：

這個(gè)工具有許多實(shí)用的優(yōu)點(diǎn)，然而，請(qǐng)慎重的使用這個(gè)工具。如果你的Web服務(wù)器和其他服務(wù)器相互作用，請(qǐng)首先測(cè)試一下防范工具，以確定它已經(jīng)被正確的配置，保證其不會(huì)影響Web服務(wù)器與其他服務(wù)器之間的通訊。

3. 移除缺省的Web站點(diǎn)：

很多攻擊者瞄準(zhǔn)inetpub這個(gè)文件夾，并在里面放置一些偷襲工具，從而造成服務(wù)器的癱瘓。防止這種攻擊最簡(jiǎn)單的方法就是在IIS里將缺省的站點(diǎn)禁用。然后，因?yàn)榫W(wǎng)蟲們都是通過(guò)IP地址訪問(wèn)你的網(wǎng)站的 (他們一天可能要訪問(wèn)成千上萬(wàn)個(gè)IP地址)，他們的請(qǐng)求可能遇到麻煩。將你真實(shí)的Web站點(diǎn)指向一個(gè)背部分區(qū)的文件夾，且必須包含安全的NTFS權(quán)限 (將在后面NTFS的部分詳細(xì)闡述)。

4. 如果你并不需要FTP和SMTP服務(wù)，請(qǐng)卸載它們：

進(jìn)入計(jì)算機(jī)的最簡(jiǎn)單途徑就是通過(guò)FTP訪問(wèn)。FTP本身就是被設(shè)計(jì)滿足簡(jiǎn)單讀/寫訪問(wèn)的，如果你執(zhí)行身份認(rèn)證，你會(huì)發(fā)現(xiàn)你的用戶名和密碼都是通過(guò)明文的形式在網(wǎng)絡(luò)上傳播的。SMTP是另一種允許到文件夾的寫權(quán)限的服務(wù)。通過(guò)禁用這兩項(xiàng)服務(wù)，你能避免更多的黑客攻擊。

5. 有規(guī)則地檢查你的管理員組和服務(wù)：

有一天我進(jìn)入我們的教室，發(fā)現(xiàn)在管理員組里多了一個(gè)用戶。這意味著這時(shí)某個(gè)人已經(jīng)成功地進(jìn)入了你的系統(tǒng)，他或她可能冷不丁地將炸彈扔到你的系統(tǒng)里，這將會(huì)突然摧毀你的整個(gè)系統(tǒng)，或者占用大量的帶寬以便黑客使用。黑客同樣趨向于留下一個(gè)幫助服務(wù)，一旦這發(fā)生了，采取任何措施可能都太晚了，你只能重新格式化你的磁盤，從備份服務(wù)器恢復(fù)你每天備份的文件。因此，檢查IIS服務(wù)器上的服務(wù)列表并保持盡量少的服務(wù)必須成為你每天的任務(wù)。你應(yīng)該記住哪個(gè)服務(wù)應(yīng)該存在，哪個(gè)服務(wù)不應(yīng)該存在。Windows 2000 Resource Kit帶給我們一個(gè)有用的程序，叫作tlist.exe，它能列出每種情況運(yùn)行在svchost 之下的服務(wù)。運(yùn)行這個(gè)程序可以尋找到一些你想要知道的隱藏服務(wù)。給你一個(gè)提示：任何含有daemon幾個(gè)字的服務(wù)可能不是Windows本身包含的服務(wù)，都不應(yīng)該存在于IIS服務(wù)器上。想要得到Windows服務(wù)的列表并知道它們各自有什么作用，請(qǐng)點(diǎn)擊這里。


6. 嚴(yán)格控制服務(wù)器的寫訪問(wèn)權(quán)限：

這聽(tīng)起來(lái)很容易，然而，在大學(xué)校園里，一個(gè)Web服務(wù)器實(shí)際上是有很多"作者"的。教職人員都希望讓他們的課堂信息能被遠(yuǎn)程學(xué)生訪問(wèn)。職員們則希望與其他的職員共享他們的工作信息。服務(wù)器上的文件夾可能出現(xiàn)極其危險(xiǎn)的訪問(wèn)權(quán)限。將這些信息共享或是傳播出去的一個(gè)途徑是安裝第2個(gè)服務(wù)器以提供專門的共享和存儲(chǔ)目的，然后配置你的Web服務(wù)器來(lái)指向共享服務(wù)器。這個(gè)步驟能讓網(wǎng)絡(luò)管理員將Web服務(wù)器本身的寫權(quán)限僅僅限制給管理員組。

7. 設(shè)置復(fù)雜的密碼：

我最近進(jìn)入到教室，從事件察看器里發(fā)現(xiàn)了很多可能的黑客。他或她進(jìn)入了實(shí)驗(yàn)室的域結(jié)構(gòu)足夠深，以至于能夠?qū)θ魏斡脩暨\(yùn)行密碼破解工具。如果有用戶使用弱密碼 (例如"password"或是 changeme"或者任何字典單詞)，那么黑客能快速并簡(jiǎn)單的入侵這些用戶的賬號(hào)。

8. 減少/排除Web服務(wù)器上的共享：

如果網(wǎng)絡(luò)管理員是唯一擁有Web服務(wù)器寫權(quán)限的人，就沒(méi)有理由讓任何共享存在。共享是對(duì)黑客最大的誘惑。此外，通過(guò)運(yùn)行一個(gè)簡(jiǎn)單的循環(huán)批處理文件，黑客能夠察看一個(gè)IP地址列表，利用\\命令尋找Everyone/完全控制權(quán)限的共享。

9. 禁用TCP/IP協(xié)議中的NetBIOS：

這是殘忍的。很多用戶希望通過(guò)UNC路徑名訪問(wèn)Web服務(wù)器。隨著NETBIOS被禁用，他們便不能這么做了。另一方面，隨著NETBIOS被禁用，黑客就不能看到你局域網(wǎng)上的資源了。這是一把雙刃劍，如果網(wǎng)絡(luò)管理員部署了這個(gè)工具，下一步便是如何教育Web用戶如何在NETBIOS失效的情況下發(fā)布信息。

10. 使用TCP端口阻塞：

這是另一個(gè)殘忍的工具。如果你熟悉每個(gè)通過(guò)合法原因訪問(wèn)你服務(wù)器的TCP端口，那么你可以進(jìn)入你網(wǎng)絡(luò)接口卡的屬性選項(xiàng)卡，選擇綁定的TCP/IP協(xié)議，阻塞所有你不需要的端口。你必須小心的使用這一工具，因?yàn)槟悴⒉幌Ｍ麑⒆约烘i在Web服務(wù)器之外，特別是在當(dāng)你需要遠(yuǎn)程登陸服務(wù)器的情況下。要得到TCP端口的詳細(xì)細(xì)節(jié)，點(diǎn)擊這里。

11. 仔細(xì)檢查*.bat和*.exe 文件：

每周搜索一次*.bat和*.exe文件，檢查服務(wù)器上是否存在黑客最喜歡，而對(duì)你來(lái)說(shuō)將是一場(chǎng)惡夢(mèng)的可執(zhí)行文件。在這些破壞性的文件中，也許有一些是*.reg文件。如果你右擊并選擇編輯，你可以發(fā)現(xiàn)黑客已經(jīng)制造并能讓他們能進(jìn)入你系統(tǒng)的注冊(cè)表文件。你可以刪除這些沒(méi)任何意義但卻會(huì)給入侵者帶來(lái)便利的主鍵。

12. 管理IIS目錄安全：

IIS目錄安全允許你拒絕特定的IP地址、子網(wǎng)甚至是域名。作為選擇，我選擇了一個(gè)被稱作WhosOn的軟件，它讓我能夠了解哪些IP地址正在試圖訪問(wèn)服務(wù)器上的特定文件。WhosOn列出了一系列的異常。如果你發(fā)現(xiàn)一個(gè)家伙正在試圖訪問(wèn)你的cmd.exe，你可以選擇拒絕這個(gè)用戶訪問(wèn)Web服務(wù)器。當(dāng)然，在一個(gè)繁忙的Web站點(diǎn)，這可能需要一個(gè)全職的員工！然而，在內(nèi)部網(wǎng)，這真的是一個(gè)非常有用的工具。你可以對(duì)所有局域網(wǎng)內(nèi)部用戶提供資源，也可以對(duì)特定的用戶提供。

13. 使用NTFS安全：

缺省地，你的NTFS驅(qū)動(dòng)器使用的是EVERYONE/完全控制權(quán)限，除非你手工關(guān)掉它們。關(guān)鍵是不要把自己鎖定在外，不同的人需要不同的權(quán)限，管理員需要完全控制，后臺(tái)管理賬戶也需要完全控制，系統(tǒng)和服務(wù)各自需要一種級(jí)別的訪問(wèn)權(quán)限，取決于不同的文件。最重要的文件夾是System32，這個(gè)文件夾的訪問(wèn)權(quán)限越小越好。在

Web服務(wù)器上使用NTFS權(quán)限能幫助你保護(hù)重要的文件和應(yīng)用程序。

14.管理用戶賬戶：

如果你已經(jīng)安裝IIS，你可能產(chǎn)生了一個(gè)TSInternetUser賬戶。除非你真正需要這個(gè)賬戶，否則你應(yīng)該禁用它。這個(gè)用戶很容易被滲透，是黑客們的顯著目標(biāo)。為了幫助管理用戶賬戶，確定你的本地安全策略沒(méi)有問(wèn)題。IUSR用戶的權(quán)限也應(yīng)該盡可能的小。

15. 審計(jì)你的Web服務(wù)器：

審計(jì)對(duì)你計(jì)算機(jī)的性能有著較大的影響，因此如果你不經(jīng)常察看的話，還是不要做審計(jì)了。如果你真的能用到它，請(qǐng)審計(jì)系統(tǒng)事件并在你需要的時(shí)候加入審計(jì)工具。如果你正在使用前面提到的WhosOn工具，審計(jì)就不那么重要了。缺省地，IIS總是紀(jì)錄訪問(wèn)， WhosOn 會(huì)將這些紀(jì)錄放置在一個(gè)非常容易易讀的數(shù)據(jù)庫(kù)中，你可以通過(guò)Access或是 Excel打開(kāi)它。如果你經(jīng)常察看異常數(shù)據(jù)庫(kù)，你能在任何時(shí)候找到服務(wù)器的脆弱點(diǎn)。


總結(jié)

上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自帶的。不要忘記在測(cè)試你網(wǎng)站可達(dá)性之前一個(gè)一個(gè)的使用這些技巧和工具。如果它們一起被部署，結(jié)果可能讓你損失慘重，你可能需要重啟，從而遺失訪問(wèn)。

最后的技巧： 登陸你的Web服務(wù)器并在命令行下運(yùn)行netstat -an。觀察有多少IP地址正嘗試和你的端口建立連接，然后你將有一大堆的調(diào)查和研究要做了。

你是否為服務(wù)器被入侵而苦惱？你是否對(duì)計(jì)算機(jī)中寶貴數(shù)據(jù)被泄露而生氣？你又是否疑惑為什么服務(wù)器保護(hù)的很好卻還是出現(xiàn)安全問(wèn)題呢？俗話說(shuō)攘外必先安內(nèi)，在我們安裝防火墻更新補(bǔ)丁防范外部黑客入侵的同時(shí)，首先要做的就是對(duì)自己服務(wù)器進(jìn)行全面掃描，將服務(wù)器內(nèi)部蛀蟲全部趕走。

一、內(nèi)部蛀蟲有哪些

寄居在系統(tǒng)中的內(nèi)部蛀蟲有很多種，例如間諜軟件，惡意插件等。不過(guò)這些蛀蟲都是可以通過(guò)系統(tǒng)優(yōu)化工具和殺毒軟件來(lái)解決的。而有些蛀蟲讓我們這些網(wǎng)絡(luò)管理員很無(wú)奈，例如存儲(chǔ)在本地硬盤中的cookies文件，他們記錄著計(jì)算機(jī)操作者的隱私信息，包括用戶名和加密的密碼以及經(jīng)常訪問(wèn)的網(wǎng)頁(yè)信息，總之網(wǎng)站通過(guò)cookies文件記錄用戶的隱私，了解用戶瀏覽的信息。

小提示：

什么是Cookies？Cookies是數(shù)據(jù)包，可以讓網(wǎng)頁(yè)具有記憶功能，在某臺(tái)電腦上記憶一定的信息。Cookies的工作原理是，第一次由服務(wù)器端寫入到客戶端的系統(tǒng)中。以后每次訪問(wèn)這個(gè)網(wǎng)頁(yè)，都是先由客戶端將Cookies發(fā)送到服務(wù)器端，再由服務(wù)器端進(jìn)行判斷，然后再產(chǎn)生HTML代碼返回給客戶端。通過(guò)這個(gè)原理服務(wù)器就可以根據(jù)不同用戶產(chǎn)生不同cookies文件，這樣當(dāng)該用戶再次訪問(wèn)同一個(gè)站點(diǎn)時(shí)就可以根據(jù)不同的cookies文件返回不同的頁(yè)面信息了。

二、如何防范Cookies

Cookies文件是在無(wú)聲無(wú)息中伴隨瀏覽器進(jìn)入我們本地硬盤的，當(dāng)我們?yōu)g覽某個(gè)站點(diǎn)時(shí)，該站點(diǎn)很可能將記錄我們隱私的cookies文件上傳到本地硬盤。那么我們?nèi)绾畏婪蹲柚筩ookies文件泄露我們的隱私呢？實(shí)際上我們可以通過(guò)瀏覽器設(shè)置不容許計(jì)算機(jī)接收cookies文件即可。方法如下：

第一步：進(jìn)入系統(tǒng)打開(kāi)IE瀏覽器。

第二步：通過(guò)菜單欄中的“工具->internet選項(xiàng)”打開(kāi)internet設(shè)置窗口。

第三步：找到“隱私”標(biāo)簽，將設(shè)置的滑動(dòng)按鈕調(diào)節(jié)到最高，這樣將阻止來(lái)自所有網(wǎng)站的cookie，而且計(jì)算機(jī)上的現(xiàn)有cookie文件都將不能被網(wǎng)站讀取

第四步：確定后我們完成設(shè)置，任何站點(diǎn)都不會(huì)將cookie文件強(qiáng)制塞入我們的計(jì)算機(jī)。我們的隱私也不會(huì)再泄露了。

三、Cookies取舍我做主

根據(jù)上面的設(shè)置我們將所有的cookies文件都阻擋在計(jì)算機(jī)之外，然而在實(shí)際使用中有的站點(diǎn)是需要cookies文件的支持的，特別是一些論壇。如果你禁止了cookies文件的話，這些站點(diǎn)將無(wú)法訪問(wèn)。如何解決這些站點(diǎn)的訪問(wèn)問(wèn)題呢？可能有的讀者會(huì)說(shuō)將IE瀏覽器的隱私設(shè)置進(jìn)行調(diào)節(jié)不就可以了嗎？然而級(jí)別調(diào)低后計(jì)算機(jī)的安全性也隨之降低了，也許很多我們本來(lái)不希望記錄的cookies文件也隨著隱私級(jí)別降低而下載。筆者在網(wǎng)上搜索到一款小軟件，通過(guò)他可以輕輕松松的管理本地服務(wù)器的所有cookies文件，查看他們的信息，刪除不必要的cookies。

IECookiesView是一個(gè)可以幫你搜尋并顯示出你計(jì)算機(jī)中所有的Cookies檔案的數(shù)據(jù)，包括是哪一個(gè)網(wǎng)站寫入Cookies的，內(nèi)容有什么，寫入的時(shí)間日期及此Cookies的有效期限等等資料。對(duì)于那些常常懷疑一些網(wǎng)站寫入Cookies內(nèi)容到你的計(jì)算機(jī)中是否會(huì)對(duì)你造成隱私的侵犯的用戶來(lái)說(shuō)，使用軟件來(lái)看看這些Cookies的內(nèi)容都是些什么，這樣就不會(huì)再擔(dān)心懷疑了。此軟件只對(duì)IE瀏覽器的Cookies有效。

第一步：下載該軟件后解壓縮。

第二步：該軟件是綠色的，不用安裝，只有一個(gè)主程序——iecv.exe。運(yùn)行該程序啟動(dòng)軟件。軟件會(huì)自動(dòng)掃描駐留在本地計(jì)算機(jī)IE瀏覽器中的cookies文件。

第三步：我們隨便選中一個(gè)cookies后就可以從下面的內(nèi)容顯示區(qū)域看到他的地址，參數(shù)以及過(guò)期時(shí)間等信息了。如果是一個(gè)紅色的叉子說(shuō)明該cookies已經(jīng)過(guò)期，無(wú)法使用；如果是一個(gè)綠色的對(duì)勾說(shuō)明該cookies還可以使用。

第四步：找到一個(gè)有效的cookies文件后雙擊打開(kāi)屬性窗口，在這里我們可以看到該cookies的名稱和參數(shù)，其中參數(shù)包括了cookies保存的論壇用戶名和經(jīng)過(guò)加密的密碼。例如筆者查看的bbs.it168.com，可以看到該論壇保存的cookies記錄了用戶的。（用戶名（softer），用戶級(jí)別（入門用戶）以及密碼

第五步：如果你對(duì)于某個(gè)站點(diǎn)非常反感，不希望計(jì)算機(jī)下載該站點(diǎn)對(duì)應(yīng)的cookies文件的話，可以將該站點(diǎn)所有cookies刪除。方法是在軟件上方窗處將某個(gè)站點(diǎn)的cookies選中，然后點(diǎn)鼠標(biāo)右鍵選擇“delete selected cookies files”即可，當(dāng)然直接點(diǎn)菜單上的紅色叉子也是一樣的總之該工具有很多功能，例如管理cookies文件，編輯cookies文件，還可以輕松完成對(duì)已有cookies文件的導(dǎo)出導(dǎo)入。

又到年底了，商店里購(gòu)買年貨的人多了，從安全角度考慮，很多人都沒(méi)有隨身攜帶現(xiàn)金，而是選擇了刷卡消費(fèi)的便捷方式。與此同時(shí)，銀行卡詐騙活動(dòng)近日也有所抬頭。為此，記者專門走訪了銀行專業(yè)人士，了解到了日常生活中應(yīng)該如何防止被騙。

　　銀行人士指出，首先要留意不明信息。如果你沒(méi)有刷卡消費(fèi)，手機(jī)上卻收到“銀行”方面發(fā)來(lái)的消費(fèi)信息，這很可能是騙子使用的騙術(shù)。收到這類信息后，如果需要向有關(guān)部門咨詢，應(yīng)撥打此部門向社會(huì)公開(kāi)的咨詢服務(wù)熱線（一般為5位數(shù)）。一旦發(fā)現(xiàn)可疑者，要及時(shí)向警方報(bào)案。同時(shí)，廣大市民應(yīng)該妥善保管自己的銀行卡及卡號(hào)、賬號(hào)、密碼等資料，不給犯罪分子以可乘之機(jī)。

　　其次，使用ATM機(jī)取款要加倍小心。犯罪分子常常將普通的膠紙或膠套塞進(jìn)柜員機(jī)插卡口，令柜員機(jī)系統(tǒng)無(wú)法讀取卡內(nèi)資料或出現(xiàn)“暫停服務(wù)”字樣。這時(shí)，持卡人往往以為被“吞卡”而離去，犯罪分子則鉤出卡片、用伺機(jī)窺得的密碼提取存款。還有的不法分子在ATM機(jī)的出鈔口設(shè)置卡子一類的障礙，持卡人進(jìn)行正確操作后，卻沒(méi)有鈔票“吐出”。如果持卡人此時(shí)離開(kāi)，躲在暗處的犯罪分子將很快取走現(xiàn)金。針對(duì)上述作案手法，消費(fèi)者在柜員機(jī)上取款時(shí)要多加注意，留心旁邊是否有人偷窺，一旦出現(xiàn)以上情況，應(yīng)馬上報(bào)警或報(bào)告相關(guān)銀行，并最好不要離開(kāi)柜員機(jī)。

　　第三，使用POS刷卡消費(fèi)須謹(jǐn)慎。持卡人在消費(fèi)時(shí)，應(yīng)盡可能要求收銀人員在自己的視線內(nèi)“刷卡”，并留意簽賬單的交易資料及隨后的銀行日結(jié)單。

　　第四，當(dāng)心網(wǎng)上銀行交易“陷阱”。一是不要在可疑的網(wǎng)站上登記自己姓名、生日等個(gè)人信息。二是在不了解情況時(shí)，切勿向虛假站點(diǎn)和冒充站點(diǎn)發(fā)送有關(guān)資料或密碼信息。否則，網(wǎng)上支付卡號(hào)與密碼泄露后，犯罪分子就有了進(jìn)行非法資金轉(zhuǎn)移的可能和條件。

幾乎可以這樣說(shuō)，如果你有免費(fèi)電子郵箱，你收到垃圾郵件的機(jī)會(huì)將會(huì)很高。對(duì)付垃圾郵件除了各方共同努力外，對(duì)于普通用戶來(lái)講，注意以下幾點(diǎn)是可以防范垃圾郵件的：

一、不要響應(yīng)不請(qǐng)自來(lái)的電子郵件或者垃圾郵件，絕對(duì)不要回復(fù)垃圾郵件，如果你回復(fù)甚至警告他們不要再發(fā)，這無(wú)疑也相當(dāng)于告訴對(duì)方你的郵件地址實(shí)際存在，今后你可能會(huì)收到更多的垃圾郵件。所以，即使垃圾郵件上寫有“如果不需要此郵件的話請(qǐng)回信告知”等句子，也決不要回復(fù)，這一點(diǎn)非常重要。

二、不要試圖點(diǎn)擊垃圾郵件中的任何鏈接，某些垃圾郵件發(fā)送者會(huì)自動(dòng)收集點(diǎn)擊者的信息，事實(shí)上當(dāng)你點(diǎn)擊鏈接進(jìn)入相應(yīng)網(wǎng)站時(shí)就無(wú)疑高速對(duì)方這個(gè)電子郵件地址是存在的(不然誰(shuí)會(huì)去點(diǎn)擊？)。

三、不要把您的郵件地址在因特網(wǎng)頁(yè)面上到處登記，如果經(jīng)常用某個(gè)郵件地址在網(wǎng)上大量注冊(cè)(很多論壇都要求填寫email地址然后給你發(fā)送密碼)，相信你今后收到垃圾郵件的次數(shù)會(huì)越來(lái)越多，那怎么辦呢？告訴你一個(gè)方法：由于網(wǎng)絡(luò)上收集電子郵件地址通常是用軟件進(jìn)行，而目前的電子郵箱表示法中都會(huì)包含“@”這個(gè)符號(hào)，所以當(dāng)你注冊(cè)成功后不妨再次進(jìn)入論壇，將電子郵箱中的”@”改為其他符號(hào)如“#”，這樣其他用戶查看時(shí)會(huì)知道你的email的，但對(duì)付那些軟件就有效多了；不過(guò)有些網(wǎng)站，檢測(cè)地址的合法性，所以此法肯定行不通，那也有辦法——將電郵地址修改為其他的字符組合，比如增加字符長(zhǎng)度等。

四、不要登陸并注冊(cè)那些許諾在垃圾郵件列表中刪除你名字的站點(diǎn)。

五、保管好自己的郵件地址，不要把它告訴給你不信任的人。

六、不訂閱不健康的電子雜志，以防止被垃圾郵件收集者收集。

七、謹(jǐn)慎使用郵箱的“自動(dòng)回復(fù)”功能。為了體現(xiàn)互聯(lián)網(wǎng)高效、快捷的特點(diǎn)，很多網(wǎng)站和郵件收發(fā)工具中都設(shè)置了“自動(dòng)回復(fù)”功能，這雖然方便，但是如果兩個(gè)聯(lián)系人之間都設(shè)置了“自動(dòng)回復(fù)”，想想看有何后果？恐怕雙方的郵箱中都是一些“自動(dòng)回復(fù)”的垃圾信件。換句話說(shuō)，此功能使用不當(dāng)，人人都會(huì)變成垃圾郵件發(fā)送者。

八、發(fā)現(xiàn)收集或出售電子郵件地址的網(wǎng)站或消息，請(qǐng)告訴相應(yīng)的主頁(yè)提供商或主頁(yè)管理員，將您刪除，以避免郵件地址被他們利用。

九、用專門的郵箱進(jìn)行私人通信，而用其他郵箱訂閱電子雜志。

最近發(fā)現(xiàn)有一種木馬：包括的進(jìn)程名字有：Wincfgs.exe和Svchost.EXE。

目前發(fā)現(xiàn)的現(xiàn)象是：?jiǎn)?dòng)時(shí)候會(huì)自動(dòng)彈出記事本，且會(huì)在進(jìn)程的啟動(dòng)項(xiàng)中多增加Adobe的進(jìn)程，不過(guò)Adobe是被木馬調(diào)用的，本身不是木馬。（這是很菜的木馬，一般按我提供以下方法可以清除）

個(gè)人分析：這種木馬很可能是通過(guò)WORD文件在磁盤介質(zhì)進(jìn)程傳播。警告大家在使用U盤，軟盤拷貝WORD和其他文本文件時(shí)候，最好先殺毒。

以下是手動(dòng)清除：在清除前請(qǐng)?jiān)谖募A選項(xiàng)里設(shè)置“顯示所有文件”和顯示“隱藏受保護(hù)的操作系統(tǒng)文件”。

(1)清除Svchost.exe

windows\system32里面的svchost.exe一般是正常的系統(tǒng)程序。如果在在WINDOWS目錄下的，如果發(fā)現(xiàn)svchost.exe，先結(jié)束掉系統(tǒng)進(jìn)程，在把該文件刪除（注意：在XP系統(tǒng)中，很多個(gè)的進(jìn)程都是svchost，但一般的系統(tǒng)進(jìn)程用戶都是SYSTEM，如果該進(jìn)程是與你的用戶名字使用，說(shuō)明是木馬程序）

(2)清除Wincfgs.exe

Wincfgs.exe文件一般是在WINDOWS-\SYSTEM32目錄下，也同樣是先結(jié)束進(jìn)程，再刪除該文件。

然后進(jìn)入注冊(cè)表：regedit


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run



中，如果出現(xiàn)上面2個(gè)進(jìn)程名字，則刪除鍵屬性值。

同樣進(jìn)入MSCONFIG，把啟動(dòng)項(xiàng)的鉤去掉。然后重新啟動(dòng)。

常在河邊走，哪有不濕腳？所以有時(shí)候上網(wǎng)時(shí)間長(zhǎng)了，很有可能被攻擊者在電腦中種了木馬。如何來(lái)知道電腦有沒(méi)有被裝了木馬呢？

一、手工方法

1、檢查網(wǎng)絡(luò)連接情況

由于不少木馬會(huì)主動(dòng)偵聽(tīng)端口，或者會(huì)連接特定的IP和端口，所以我們可以在沒(méi)有正常程序連接網(wǎng)絡(luò)的情況下，通過(guò)檢查網(wǎng)絡(luò)連情情況來(lái)發(fā)現(xiàn)木馬的存在。具體的步驟是點(diǎn)擊“開(kāi)始”->“運(yùn)行”->“cmd”，然后輸入netstat -an這個(gè)命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽(tīng)的端口，它包含四個(gè)部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當(dāng)前端口狀態(tài))。通過(guò)這個(gè)命令的詳細(xì)信息，我們就可以完全監(jiān)控電腦的網(wǎng)絡(luò)連接情況。

2、查看目前運(yùn)行的服務(wù)

服務(wù)是很多木馬用來(lái)保持自己在系統(tǒng)中永遠(yuǎn)能處于運(yùn)行狀態(tài)的方法之一。我們可以通過(guò)點(diǎn)擊“開(kāi)始”->“運(yùn)行”->“cmd”，然后輸入“net start”來(lái)查看系統(tǒng)中究竟有什么服務(wù)在開(kāi)啟，如果發(fā)現(xiàn)了不是自己開(kāi)放的服務(wù)，我們可以進(jìn)入“服務(wù)”管理工具中的“服務(wù)”，找到相應(yīng)的服務(wù)，停止并禁用它。

3、檢查系統(tǒng)啟動(dòng)項(xiàng)

由于注冊(cè)表對(duì)于普通用戶來(lái)說(shuō)比較復(fù)雜，木馬常常喜歡隱藏在這里。檢查注冊(cè)表啟動(dòng)項(xiàng)的方法如下：點(diǎn)擊“開(kāi)始”->“運(yùn)行”->“regedit”，然后檢查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開(kāi)頭的鍵值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開(kāi)頭的鍵值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”開(kāi)頭的鍵值。

Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開(kāi)這個(gè)文件看看，在該文件的[boot]字段中，是不是有shell=Explorer.exe file.exe這樣的內(nèi)容，如有這樣的內(nèi)容，那這里的file.exe就是木馬程序了！

4、檢查系統(tǒng)帳戶

惡意的攻擊者喜在電腦中留有一個(gè)賬戶的方法來(lái)控制你的計(jì)算機(jī)。他們采用的方法就是激活一個(gè)系統(tǒng)中的默認(rèn)賬戶，但這個(gè)賬戶卻很少用的，然后把這個(gè)賬戶的權(quán)限提升為管理員權(quán)限，這個(gè)帳戶將是系統(tǒng)中最大的安全隱患。惡意的攻擊者可以通過(guò)這個(gè)賬戶任意地控制你的計(jì)算機(jī)。針對(duì)這種情況，可以用以下方法對(duì)賬戶進(jìn)行檢測(cè)。

點(diǎn)擊“開(kāi)始”->“運(yùn)行”->“cmd”，然后在命令行下輸入net user，查看計(jì)算機(jī)上有些什么用戶，然后再使用“net user 用戶名”查看這個(gè)用戶是屬于什么權(quán)限的，一般除了Administrator是administrators組的，其他都不應(yīng)該屬于administrators組，如果你發(fā)現(xiàn)一個(gè)系統(tǒng)內(nèi)置的用戶是屬于administrators組的，那幾乎可以肯定你被入侵了?？焓褂谩皀et user用戶名/del”來(lái)刪掉這個(gè)用戶吧！

如果檢查出有木馬的存在，可以按以后步驟進(jìn)行殺木馬的工作。

1、運(yùn)行任務(wù)管理器，殺掉木馬進(jìn)程。

2、檢查注冊(cè)表中RUN、RUNSERVEICE等幾項(xiàng)，先備份，記下可以啟動(dòng)項(xiàng)的地址， 再將可疑的刪除。

3、刪除上述可疑鍵在硬盤中的執(zhí)行文件。

4、一般這種文件都在WINNT，SYSTEM，SYSTEM32這樣的文件夾下，他們一般不會(huì)單獨(dú)存在，很可能是有某個(gè)母文件復(fù)制過(guò)來(lái)的，檢查C、D、E等盤下有沒(méi)有可疑的.exe，.com或.bat文件，有則刪除之。

5、檢查注冊(cè)表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的幾項(xiàng)(如Local Page)，如果被修改了，改回來(lái)就可以。

6、檢查HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell
\open\command等等幾個(gè)常用文件類型的默認(rèn)打開(kāi)程序是否被更改。這個(gè)一定要改回來(lái)。很多病毒就是通過(guò)修改.txt文件的默認(rèn)打開(kāi)程序讓病毒在用戶打開(kāi)文本文件時(shí)加載的。

二、利用工具

查殺木馬的工具有LockDown、The Clean、木馬克星、金山木馬專殺、木馬清除大師、木馬分析專家等，其中有些工具，如果想使用全部功能，需要付一定的費(fèi)用，木馬分析專家是免費(fèi)授權(quán)使用。

你的操作系統(tǒng)系統(tǒng)是不是WindowsXP SP1，但是安裝了2005瑞星殺毒軟件后總是提示系統(tǒng)有 MS-4011 Exploit 和Blaster Rpc Exploit 兩個(gè)漏洞。


最直接的辦法，把系統(tǒng)不用的端口都關(guān)閉掉，然后重新啟動(dòng)。如果瑞星還提示有漏洞攻擊，就沒(méi)辦法了。注：關(guān)閉的端口有，135、137、138、139、445、1025、2475、3127、6129、3389、593，還有tcp.

具體操作如下：默認(rèn)情況下，Windows有很多端口是開(kāi)放的，在你上網(wǎng)的時(shí)候，網(wǎng)絡(luò)病毒和黑客可以通過(guò)這些端口連上你的電腦。

為了讓你的系統(tǒng)變?yōu)殂~墻鐵壁，應(yīng)該封閉這些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后門端口（如 TCP 2745、3127、6129 端口），以及遠(yuǎn)程服務(wù)訪問(wèn)端口3389。下面介紹如何在WindowsXP/2000/2003下關(guān)閉這些網(wǎng)絡(luò)端口：

第一步，點(diǎn)擊“開(kāi)始”菜單/設(shè)置/控制面板/管理工具，雙擊打開(kāi)“本地安全策略”，選中“IP 安全策略，在本地計(jì)算機(jī)”，在右邊窗格的空白位置右擊鼠標(biāo)，彈出快捷菜單，選擇“創(chuàng)建 IP 安全策略”，于是彈出一個(gè)向?qū)АＴ谙驅(qū)е悬c(diǎn)擊“下一步”按鈕，為新的安全策略命名；再按“下一步”，則顯示“安全通信請(qǐng)求”畫面，在畫面上把“激活默認(rèn)相應(yīng)規(guī)則”左邊的鉤去掉，點(diǎn)擊“完成”按鈕就創(chuàng)建了一個(gè)新的IP 安全策略。

第二步，右擊該IP安全策略，在“屬性”對(duì)話框中，把“使用添加向?qū)А弊筮叺你^去掉，然后單擊“添加”按鈕添加新的規(guī)則，隨后彈出“新規(guī)則屬性”對(duì)話框，在畫面上點(diǎn)擊“添加”按鈕，彈出IP篩選器列表窗口；在列表中，首先把“使用添加向?qū)А弊筮叺你^去掉，然后再點(diǎn)擊右邊的“添加”按鈕添加新的篩選器。

第三步，進(jìn)入“篩選器屬性”對(duì)話框，首先看到的是尋址，源地址選“任何 IP 地址”，目標(biāo)地址選“我的 IP 地址”；點(diǎn)擊“協(xié)議”選項(xiàng)卡，在“選擇協(xié)議類型”的下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，點(diǎn)擊“確定”按鈕，這樣就添加了一個(gè)屏蔽 TCP 135（RPC）端口的篩選器，它可以防止外界通過(guò)135端口連上你的電腦。

點(diǎn)擊“確定”后回到篩選器列表的對(duì)話框，可以看到已經(jīng)添加了一條策略，重復(fù)以上步驟繼續(xù)添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，為它們建立相應(yīng)的篩選器。

重復(fù)以上步驟添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的篩選器，最后點(diǎn)擊“確定”按鈕。

第四步，在“新規(guī)則屬性”對(duì)話框中，選擇“新 IP 篩選器列表”，然后點(diǎn)擊其左邊的圓圈上加一個(gè)點(diǎn)，表示已經(jīng)激活，最后點(diǎn)擊“篩選器操作”選項(xiàng)卡。在“篩選器操作”選項(xiàng)卡中，把“使用添加向?qū)А弊筮叺你^去掉，點(diǎn)擊“添加”按鈕，添加“阻止”操作：在“新篩選器操作屬性”的“安全措施”選項(xiàng)卡中，選擇“阻止”，然后點(diǎn)擊“確定”按鈕。

第五步，進(jìn)入“新規(guī)則屬性”對(duì)話框，點(diǎn)擊“新篩選器操作”，其左邊的圓圈會(huì)加了一個(gè)點(diǎn)，表示已經(jīng)激活，點(diǎn)擊“關(guān)閉”按鈕，關(guān)閉對(duì)話框；最后回到“新IP安全策略屬性”對(duì)話框，在“新的IP篩選器列表”左邊打鉤，按“確定”按鈕關(guān)閉對(duì)話框。在“本地安全策略”窗口，用鼠標(biāo)右擊新添加的 IP 安全策略，然后選擇“指派”。

于是重新啟動(dòng)后，電腦中上述網(wǎng)絡(luò)端口就被關(guān)閉了，病毒和黑客再也不能連上這些端口，從而保護(hù)了你的電腦。