كيفية إغلاق منافذ Windows. أساسيات منفذ الشبكة كيفية إغلاق المنفذ 135 في Windows 8

دم، حقيقة أن جدار الحماية الخاص بك يظهر أن ملف Svchost.exe يستمع إلى هذا المنفذ لا يعني أنه مفتوح للاتصال من الخارج.

يبدو أن القواعد مكتوبة ويجب أن تعمل.

هل جربت ماسحات المنافذ؟ - TsOB (مركز توفير الأمن) (البند 2.7)

ولا تنس أن IPv6 ستظل بحاجة إلى التحقق ، لأن. تم تمكينه في نظامك ، لكن الماسحات الضوئية عادةً ما تتحقق من IPv4 فقط (أتحدث عن الخدمات المركزية).

لو هذا البروتوكوللا تحتاجه على الإطلاق ، ثم يمكنك إيقاف تشغيله:

لتعطيل مكونات الإصدار 6 من IP بتنسيق نظام التشغيل Windows Vista، اتبع الخطوات التالية.

1. انقر فوق الزر "ابدأ" ، واكتب regedit في مربع بدء البحث ، ثم حدد regedit.exe من قائمة البرامج.

2. في مربع الحوار "التحكم في حساب المستخدم" ، انقر فوق "متابعة".

3. حدد موقع مفتاح التسجيل الفرعي التالي وحدده:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ خدمات \ Tcpip6 \ معلمات \

4. انقر نقرًا مزدوجًا فوق DisabledComponents لتغيير إعداد DisabledComponents.

ملحوظة. إذا كانت المعلمة DisabledComponents غير متوفرة ، فيجب إنشاؤها. للقيام بذلك، اتبع الخطوات التالية.

1. في القائمة تحرير ، حدد جديد ، ثم قيمة DWORD (32 بت).

2. اكتب DisabledComponents واضغط ENTER.

3. انقر نقرًا مزدوجًا فوق DisabledComponents.

5. أدخل أيًا من القيم التالية لتكوين IP الإصدار 6 ، ثم انقر فوق "موافق".

1. أدخل 0 لتمكين جميع مكونات الإصدار 6 من IP.

ملحوظة. يتم استخدام القيمة "0" افتراضيًا.

2. أدخل 0xffffffff لتعطيل كافة مكونات الإصدار 6 من IP باستثناء واجهة الاسترجاع. بهذه القيمة ، سيستخدم Windows Vista أيضًا الإصدار 4 من IP في سياسات البادئة بدلاً من IPv6.

3. أدخل 0x20 لاستخدام بادئة الإصدار 4 من IP في السياسات بدلاً من الإصدار 6 من IP.

4. أدخل 0x10 لتعطيل واجهات IP الإصدار 6 الأصلية.

5. أدخل 0x01 لتعطيل كافة واجهات نفق الإصدار 6 من IP.

6. أدخل 0x11 لتعطيل كافة واجهات الإصدار 6 من IP باستثناء واجهة الاسترجاع.

ملحوظات

* قد يؤدي استخدام قيم غير 0x0 أو 0x20 إلى فشل خدمة التوجيه والوصول البعيد.

* يجب إعادة تشغيل جهاز الكمبيوتر حتى تدخل التغييرات حيز التنفيذ.

تنطبق المعلومات الواردة في هذه المقالة على المنتجات التالية.

* نظام التشغيل Windows Vista Enterprise

* إصدار Windows Vista Enterprise 64 بت

* إصدار Windows Vista Home Basic 64 بت

* نظام التشغيل Windows Vista قسط المنزلإصدار 64 بت

* إصدار Windows Vista Ultimate 64 بت

* نظام التشغيل Windows Vista Business

* إصدار Windows Vista Business 64 بت

* Windows Vista Home Basic

* ويندوز فيستا هوم بريميوم

* Windows Vista Starter

* Windows Vista Ultimate

* نظام التشغيل Windows 7 Enterprise

* Windows 7 Home Basic

*ويندوز 7 هوم بريميوم

* نظام التشغيل Windows 7 Professional

* Windows 7 Ultimate

* مشغل برامج وندوز 2008 مركز بيانات R2

* نظام التشغيل Windows Server 2008 R2 Enterprise

* Windows Server 2008 R2 قياسي

* مركز بيانات Windows Server 2008

* Windows Server 2008 Enterprise

* Windows Server 2008 Standard

المصدر - http://support.microsoft.com/kb/929852

بعد قطع الاتصال وإعادة التشغيل ، لديك من القائمة التي يتلقاها الأمر ipconfig / الكلستختفي مجموعة من الخطوط الإضافية وستبقى فقط الواجهات التي تعرفها جيدًا.

يتم إجراء التضمين العكسي إزالة بسيطةإنشاء مفتاح من التسجيل أو عن طريق استبدال القيمة بـ "0" ثم إعادة التشغيل.

كل يوم ، يواجه أصحاب أجهزة الكمبيوتر عددًا كبيرًا من ملفات برامج خطيرةوالفيروسات التي تقع عليها بطريقة أو بأخرى HDDويصبح سببًا في تسرب البيانات المهمة وتعطل الكمبيوتر وسرقة المعلومات المهمة وغيرها من المواقف غير السارة.

غالبًا ما تكون أجهزة الكمبيوتر التي تعمل على Windows من أي إصدار ، سواء كانت 7 أو 8 أو 10 أو أي إصدار آخر ، مصابة. السبب الرئيسي لهذه الإحصائيات هو اتصالات الكمبيوتر الواردة أو "المنافذ" نقطة ضعفأي نظام بسبب توفره الافتراضي.

كلمة "المنفذ" هي مصطلح يشير إلى الرقم التسلسلي للاتصالات الواردة التي يتم توجيهها إلى جهاز الكمبيوتر الخاص بك من برنامج خارجي. غالبًا ما تستخدم هذه المنافذ فيروسات تخترق جهاز الكمبيوتر الخاص بك بسهولة باستخدام شبكة IP.

منتشر برمجةبمجرد دخوله إلى الكمبيوتر من خلال هذه الاتصالات الواردة ، فإنه يصيب بسرعة جميع الملفات المهمة ، ليس فقط ملفات المستخدم ، ولكن أيضًا ملفات النظام. لتجنب ذلك ، نوصي بإغلاق جميع المنافذ القياسية ، والتي يمكن أن تصبح نقطة ضعف عند مهاجمتك من قبل المتسللين.

ما هي المنافذ الأكثر ضعفًا في Windows 7-10؟

تظهر العديد من الدراسات والاستطلاعات التي أجراها الخبراء أن ما يصل إلى 80٪ من الهجمات الخبيثة وعمليات الاختراق حدثت باستخدام المنافذ الأربعة الرئيسية المستخدمة لنقل الملفات بسرعة بين إصدارات مختلفة من Windows:

  • منفذ TCP 139 مطلوب من أجل الاتصال عن بعدوالتحكم في الكمبيوتر الشخصي ؛
  • منفذ TCP 135 ، مخصص لتنفيذ الأوامر ؛
  • منفذ TCP 445 لنقل الملفات بسرعة ؛
  • منفذ UDP 137 ، والذي من خلاله بحث سريععلى جهاز الكمبيوتر.

أغلق المنفذين 135-139 و 445 في Windows

ندعوك لتتعرف أكثر على نفسك طرق بسيطةإغلاق منافذ الويندوز التي لا تتطلب معرفة ومهارات مهنية إضافية.

باستخدام سطر الأوامر

يأمر سلسلة Windows- هذا صدَفَة، والتي تُستخدم لتعيين وظائف ومعلمات معينة للبرنامج الذي لا يحتوي على غلاف رسومي خاص به.

لبدء سطر الأوامر ، يجب عليك:

  1. اضغط في نفس الوقت على مجموعة المفاتيح Win + R
  2. في سطر الأوامر الذي يظهر ، أدخل cmd
  3. انقر فوق الزر "موافق"

ستظهر نافذة عمل بخلفية سوداء تحتاج فيها إلى إدخال الأوامر التالية واحدة تلو الأخرى. بعد إدخال كل سطر ، اضغط على مفتاح Enter لتأكيد الإجراء.
netsh advfirewall firewall إضافة قاعدة dir = قيد التشغيل = بروتوكول حظر = tcp localport = 135 name = "Block1_TCP-135"(أمر لإغلاق المنفذ 135)
netsh advfirewall firewall إضافة قاعدة dir = قيد التشغيل = بروتوكول حظر = tcp localport = 137 name = "Block1_TCP-137"(أمر لإغلاق المنفذ 137)
netsh advfirewall firewall إضافة قاعدة dir = قيد العمل = بروتوكول حظر = tcp localport = 138 اسم = "Block1_TCP-138"(أمر لإغلاق المنفذ 138)
netsh advfirewall firewall إضافة قاعدة dir = قيد التشغيل = بروتوكول حظر = tcp localport = 139 اسم = "Block_TCP-139"(أمر لإغلاق المنفذ 139)
netsh advfirewall firewall إضافة قاعدة dir = قيد التشغيل = بروتوكول حظر = tcp localport = 445 name = "Block_TCP-445"(أمر لإغلاق المنفذ 445)
netsh advfirewall firewall إضافة قاعدة dir = قيد التشغيل = بروتوكول حظر = tcp localport = 5000 اسم = "Block_TCP-5000"

هناك حاجة للأوامر الستة التي قدمناها من أجل: إغلاق 4 منافذ Windows TCP ضعيفة (مفتوحة افتراضيًا) ، وإغلاق منفذ UDP 138 ، وإغلاق المنفذ 5000 ، المسؤول عن عرض قائمة بالخدمات المتاحة.

نغلق المنافذ ببرامج الطرف الثالث

إذا كنت لا ترغب في قضاء بعض الوقت في العمل مع سطر الأوامر ، فنحن نقترح عليك التعرف على نفسك تطبيقات الطرف الثالث. يتمثل جوهر هذا البرنامج في تحرير التسجيل بتنسيق الوضع التلقائيبواجهة رسومية ، دون الحاجة إلى إدخال يدوي للأوامر.

وفقًا لمستخدمينا ، فإن البرنامج الأكثر شيوعًا لهذا الغرض هو Windows Doors Cleaner. سيساعدك على إغلاق المنافذ بسهولة على جهاز كمبيوتر يعمل بنظام Windows 7/8 / 8.1 / 10. الإصدارات القديمة من أنظمة التشغيل غير مدعومة للأسف.

كيفية العمل مع برنامج يغلق المنافذ

من أجل استخدام Windows Doors Cleaner ، يجب عليك:

1. قم بتنزيل البرنامج وتثبيته
2. قم بتشغيل البرنامج بالنقر فوق الاختصار انقر على اليمينانقر فوق وحدد "تشغيل كمسؤول"
3. في نافذة العمل التي تظهر ، ستكون هناك قائمة بالمنافذ وأزرار "إغلاق" أو "تعطيل" التي تغلق نقاط الضعف منافذ Windows، بالإضافة إلى أي خيار آخر
4. بعد إجراء التغييرات اللازمة ، يجب إعادة تشغيل النظام

ميزة أخرى للبرنامج هي حقيقة أنه بمساعدته لا يمكنك فقط إغلاق المنافذ ، ولكن أيضًا فتحها.

استخلاص النتائج

لا يعد إغلاق منافذ الشبكة الضعيفة في Windows حلاً شاملاً لجميع العلل. من المهم أن تتذكر أنه لا يمكن تحقيق أمان الشبكة إلا من خلال إجراءات شاملة تهدف إلى إغلاق جميع نقاط الضعف في جهاز الكمبيوتر الخاص بك.

للسلامة مستخدم Windowsمن الضروري تثبيت التحديثات الهامة من Microsoft ، وأن يكون لديك برنامج مكافحة فيروسات مرخص وجدار حماية ممكّن ، واستخدام برامج آمنة فقط وقراءة مقالاتنا بانتظام التي نتحدث فيها عن كل شيء الطرق الحاليةتحقيق إخفاء الهوية وأمان بياناتك.

هل تعرف طرق أفضل للإغلاق منافذ الشبكة؟ شارك معرفتك في التعليقات ولا تنس إعادة نشر المقالة على صفحتك. يشارك معلومات مفيدةمع أصدقائك ولا تمنح المتسللين فرصة لإيذاء أحبائك!

يمكن أن تعطي منافذ الشبكة معلومات ضروريةحول التطبيقات التي تصل إلى أجهزة الكمبيوتر عبر الشبكة. من خلال معرفة التطبيقات التي تستخدم الشبكة ومنافذ الشبكة المقابلة ، يمكنك إنشاء قواعد جدار حماية دقيقة وتهيئة أجهزة الكمبيوتر المضيفة للسماح بمرور البيانات المفيدة فقط. من خلال إنشاء ملف تعريف الشبكة ونشر الأدوات لاكتشاف حركة مرور الشبكة ، يمكنك اكتشاف المتسللين بشكل أكثر فعالية - أحيانًا ببساطة عن طريق تحليل حركة مرور الشبكة التي ينشئونها. بدأنا النظر في هذا الموضوع في الجزء الأول من المقال المنشور في العدد السابق من المجلة. قدمت معلومات أساسية حول منافذ TCP / IP كأساس أمن الشبكة. سيصف الجزء 2 بعض الطرق للشبكات والمضيفين التي يمكن استخدامها لتحديد التطبيقات التي تستمع على الشبكة. لاحقًا في المقالة ، سنتحدث عن كيفية تقييم حركة المرور التي تمر عبر الشبكة.

حظر تطبيقات الشبكة

سطح هجوم الشبكة هو مصطلح شائع الاستخدام لوصف ثغرة أمنية في الشبكة. تمر العديد من هجمات الشبكة عبر تطبيقات ضعيفة ، ويمكنك تقليل سطح الهجوم بشكل كبير عن طريق تقليل عدد التطبيقات النشطة على الشبكة. بمعنى آخر ، قم بتعطيل الخدمات غير المستخدمة ، وقم بتثبيت جدار حماية على نظام مخصص للتحقق من صحة حركة المرور ، وإنشاء قائمة شاملة للتحكم في الوصول (ACL) لجدار الحماية في محيط الشبكة.

يمثل كل منفذ شبكة مفتوح تطبيقًا يستمع على الشبكة. يمكن تقليل سطح الهجوم لكل خادم متصل بالشبكة عن طريق تعطيل جميع خدمات وتطبيقات الشبكة غير الضرورية. نسخة ويندوزيتفوق Server 2003 على الإصدارات السابقة نظام التشغيل، لأنه ينشط بشكل أقل افتراضيًا خدمات الشبكة. ومع ذلك ، لا تزال هناك حاجة إلى المراجعة لإعادة الاكتشاف التطبيقات المثبتةوتغييرات التكوين التي تفتح منافذ شبكة إضافية.

كل منفذ مفتوح- باب خلفي محتمل للمتسللين الذين يستخدمون مسافات في التطبيق المضيف أو يدخلون خلسة إلى التطبيق باستخدام اسم مستخدم وكلمة مرور مختلفين (أو يستخدمون طريقة مصادقة شرعية أخرى). في كلتا الحالتين ، فإن الخطوة الأولى المهمة لتأمين شبكتك هي ببساطة تعطيل تطبيقات الشبكة غير المستخدمة.

مسح المنفذ

فحص المنافذ هو عملية اكتشاف تطبيقات الاستماع عن طريق الاستقصاء النشط لمنافذ الشبكة لجهاز كمبيوتر أو جهاز شبكة آخر. تمنحك القدرة على قراءة نتائج الفحص ومقارنة تقارير الشبكة مع نتائج استطلاع منفذ المضيف صورة واضحة لحركة المرور التي تمر عبر الشبكة. معرفة طوبولوجيا الشبكة - حالة مهمةإعداد خطة إستراتيجية لمسح مناطق محددة. على سبيل المثال ، من خلال فحص مجموعة من عناوين IP الخارجية ، يمكنك جمع بيانات قيمة حول مهاجم اخترق الإنترنت. لذلك ، يجب عليك فحص الشبكة بشكل متكرر وإغلاق جميع منافذ الشبكة غير الضرورية.

يمكن لفحص منفذ جدار الحماية الخارجي اكتشاف جميع الخدمات المستجيبة (على سبيل المثال ، الويب أو بريد إلكتروني) مستضافة على خوادم داخلية. يجب أيضًا حماية هذه الخوادم. قم بإعداد ماسح ضوئي للمنافذ مألوف (على سبيل المثال ، Network Mapper - Nmap) للتحقق المجموعة المطلوبةمنافذ UDP أو TCP. عادةً ما يكون فحص منفذ TCP أكثر موثوقية من مسح UDP نظرًا لعمقه تعليقمع بروتوكولات TCP المهيأة للاتصال. توجد إصدارات من Nmap لكل من Windows و Unix. من السهل بدء إجراء المسح الأساسي ، على الرغم من أن البرنامج ينفذ أكثر من ذلك بكثير وظائف معقدة. للبحث عن منافذ مفتوحة على كمبيوتر اختبار ، قمت بتشغيل الأمر

إن ماب 192.168.0.161

يوضح الشكل 1 نتائج جلسة المسح - في هذه الحالة كمبيوتر يعمل بنظام Windows 2003 في التكوين القياسي. تُظهر بيانات فحص المنفذ ستة منافذ TCP مفتوحة.

الشكل 1: جلسة مسح أساسية لـ Nmap
  • يتم استخدام المنفذ 135 بواسطة ميزة تعيين نقطة نهاية RPC المطبقة في العديد من تقنيات Windows مثل تطبيقات COM / DCOM و DFS وسجلات الأحداث وآليات نسخ الملفات ووضع الرسائل في قائمة انتظار و مايكروسوفت أوتلوك. هذا المنفذيجب حظره في جدار الحماية في محيط الشبكة ، ولكن من الصعب إغلاقه وفي نفس الوقت الحفاظ على وظائف Windows.
  • يتم استخدام المنفذ 139 بواسطة خدمة جلسة NetBIOS ، والتي تمكن المستعرض من العثور على أجهزة الكمبيوتر الأخرى ، الخدمة مشاركةالملفات ، Net Logon وخدمة الخادم. من الصعب الإغلاق ، مثل المنفذ 135.
  • يتم استخدام المنفذ 445 بواسطة Windows لـ عمل مشتركمع الملفات. لإغلاق هذا المنفذ ، يجب تعطيل مشاركة الملفات والطابعات لشبكات Microsoft. إغلاق هذا المنفذ لا يمنع الكمبيوتر من الاتصال بالموارد البعيدة الأخرى ؛ ومع ذلك ، لن تتمكن أجهزة الكمبيوتر الأخرى من الاتصال بهذا النظام.
  • يتم فتح المنفذين 1025 و 1026 بشكل ديناميكي ويستخدمهما نظام آخر عمليات Windowsعلى وجه الخصوص من خلال مختلف الخدمات.
  • يتم استخدام المنفذ 3389 بواسطة Remote Desktop ، والذي لا يتم تمكينه افتراضيًا ، ولكن يتم تمكينه على جهاز الاختبار الخاص بي. لإغلاق المنفذ ، انتقل إلى علامة التبويب Remote في مربع الحوار System Properties (خصائص النظام) وقم بإلغاء تحديد خانة الاختيار السماح للمستخدمين بالاتصال عن بُعد بهذا الكمبيوتر.

تأكد من البحث عن منافذ UDP المفتوحة وإغلاق المنافذ الإضافية. يظهر برنامج المسح منافذ مفتوحةأجهزة الكمبيوتر المرئية من الشبكة. يمكن الحصول على نتائج مماثلة باستخدام الأدوات الموجودة في النظام المضيف.

فحص المضيف

بالإضافة إلى استخدام ملفات الماسح الضوئي للشبكةالمنافذ ، يمكن العثور على المنافذ المفتوحة على النظام المضيف باستخدام الأمر التالي (التشغيل على النظام المضيف):

نتستات -ان

يعمل هذا الأمر على كل من Windows و UNIX. يسرد Netstat المنافذ النشطة على الكمبيوتر. في نظام التشغيل Windows 2003 Windows XP ، أضف الخيار -o للحصول على معرف العملية المطابق (PID). يوضح الشكل 2 إخراج Netstat لنفس الكمبيوتر الذي تم فحصه مسبقًا بواسطة المنفذ. يجب الانتباه إلى حقيقة أن العديد من المنافذ التي كانت نشطة سابقًا مغلقة.

تدقيق سجل جدار الحماية

هناك طريقة أخرى مفيدة لاكتشاف تطبيقات الشبكة التي ترسل البيانات أو تستقبلها عبر الشبكة وهي جمع المزيد من البيانات وتحليلها في سجل جدار الحماية. رفض الإدخالات التي توفر معلومات من الواجهة الخارجيةمن غير المحتمل أن تكون جدران الحماية مفيدة بسبب "الضوضاء المرورية" (على سبيل المثال من الديدان والماسحات الضوئية واختبارات ping) التي تزدحم الإنترنت. ولكن إذا قمت بتسجيل الحزم المسموح بها من الواجهة الداخلية ، يمكنك رؤية كل حركة مرور الشبكة الواردة والصادرة.

لرؤية بيانات حركة المرور "الأولية" على الشبكة ، يمكنك تعيين محلل الشبكة، الذي يتصل بالشبكة ويسجل جميع حزم الشبكة المكتشفة. محلل الشبكات المجاني الأكثر استخدامًا هو Tcpdump for UNIX (يسمى إصدار Windows Windump) ، والذي يتم تثبيته بسهولة على جهاز الكمبيوتر. بعد تثبيت البرنامج يجب عليك تكوينه ليعمل في وضع استقبال الكل حزم الشبكةلتسجيل كل حركة المرور ثم الاتصال بجهاز عرض المنفذ مبدل الشبكةومراقبة كل حركة المرور التي تمر عبر الشبكة. ستتم مناقشة تكوين مراقب المنفذ أدناه. Tcpdump هو برنامج مرن للغاية يسمح لك بمشاهدة حركة مرور الشبكة باستخدام عوامل تصفية متخصصة وإظهار معلومات فقط حول عناوين IP والمنافذ أو جميع الحزم. من الصعب عرض مقالب الشبكة شبكات كبيرةبدون مساعدة المرشحات المناسبة ، ولكن يجب الحرص على عدم فقدان البيانات المهمة.

الجمع بين المكونات

حتى الآن نظرنا أساليب مختلفةوالأدوات التي يمكن استخدامها لاكتشاف التطبيقات التي تستخدم الشبكة. حان الوقت لتجميعها معًا وتوضيح كيفية تحديد منافذ الشبكة المفتوحة. إنه لأمر مدهش كيف أن أجهزة الكمبيوتر "الثرثية" موجودة على الشبكة! أولاً ، يوصى بالتعرف عليها مستند Microsoft"نظرة عامة على الخدمة ومتطلبات منفذ الشبكة لنظام Windows Server" ( http://support.microsoft.com/default.aspx؟scid=kb؛en-us؛832017) ، والذي يسرد البروتوكولات (TCP و UDP) وأرقام المنافذ المستخدمة من قبل التطبيقات ومعظمها خدمات الويندوزالخادم. يصف هذا المستند هذه الخدمات ومنافذ الشبكة المرتبطة التي يستخدمونها. يوصى بتنزيل وطباعة هذا مفيد للمسؤولين شبكات الويندوزدليل مرجعي.

إعداد محلل الشبكة

لوحظ في وقت سابق أن إحدى طرق تحديد المنافذ التي تستخدمها التطبيقات هي مراقبة حركة المرور بين أجهزة الكمبيوتر باستخدام محلل الشبكة. لمشاهدة كل حركة المرور ، تحتاج إلى توصيل محلل الشبكة بلوحة وصل أو شاشة منفذ على المحول. يرى كل منفذ من منافذ المحور كل حركة مرور كل كمبيوتر متصل بهذا المحور ، ولكن المحاور تقنية قديمة وتقوم معظم الشركات باستبدالها بمفاتيح توفر أداءً جيدًا ولكن ليس من السهل تحليلها: لا يقبل كل منفذ تبديل سوى حركة المرور الموجهة لـ جهاز كمبيوتر واحد متصل بهذا المنفذ. لتحليل الشبكة بالكامل ، تحتاج إلى مراقبة حركة المرور الموجهة إلى كل منفذ تبديل.

يتطلب هذا تكوين مراقب منفذ (يسمى منفذ الامتداد أو المنفذ المعكوس بواسطة بائعين مختلفين) على المحول. قم بتعيين مراقب المنفذ على تبديل سيسكومحفز من Cisco Systems سهل. تحتاج إلى التسجيل على المحول وتنشيط وضع التمكين ، ثم الانتقال إلى وضع التكوين الطرفي وإدخال رقم الواجهة لمنفذ التبديل الذي يجب إرسال كل حركة المرور التي يتم التحكم فيها. أخيرًا ، يجب تحديد جميع المنافذ المراقبة. على سبيل المثال ، تراقب الأوامر التالية ثلاثة منافذ Fast Ethernet وتعيد توجيه نسخة من حركة المرور إلى المنفذ 24.

الواجهة FastEthernet0 / 24 منفذ مراقب FastEthernet0 / 1 منفذ مراقب FastEthernet0 / 2 منفذ مراقب FastEthernet0 / 3 نهاية

في هذا المثال ، سوف ينظر متلصص الشبكة المتصل بالمنفذ 24 في جميع حركة المرور الصادرة والواردة من أجهزة الكمبيوتر المتصلة بالمنافذ الثلاثة الأولى على المحول. لعرض التكوين الذي تم إنشاؤه ، أدخل الأمر

اكتب الذاكرة

التحليل الاولي

ضع في اعتبارك مثالاً لتحليل البيانات التي تمر عبر شبكة. إذا تم استخدام كمبيوتر Linux لتحليل الشبكة ، فيمكن الحصول على عرض شامل لنوع وتكرار الحزم على الشبكة باستخدام برنامج مثل IPTraf في الوضع الإحصائي. يمكن العثور على تفاصيل حركة المرور باستخدام برنامج Tcpdump.

كانت الثغرة مرعبة حقًا
تبين أن الاستغلال الجاهز غير متاح لـ
معظم الناس ... ربما هذا هو السبب
لم يشعر أحد بالخوف ...

مجموعة من الخبراء البولنديين في هذا المجال
أمن تكنولوجيا الكمبيوتر "أخيرًا
مرحلة الهذيان "أخبر الجمهور عن المكتشف
لهم نقاط الضعف ، والتعامل مع كائنات DCOM في
سياق بروتوكول RPC. كان شيئا
مذهل لأن هذا البروتوكول
يستخدمه الجميع تقريبًا
الإصدارات الحالية من Windows.
تبين أن الضعفاء هو Windows NT و Windows XP و Windows 2000
وحتى Windows Server 2003 كان مستهدفًا. هذا
كان أكثر من كافٍ لتولي المسؤولية
أجهزة كمبيوتر معظم المستخدمين
شبكات الإنترنت. علاوة على ذلك ، العديد من الخوادم ليست كذلك
تم حظر الحزم الواردة على المنفذ 135 ،
كان هو الذي استُخدم في الهجوم. ماذا
جعلتهم ضحايا محتملين.

لكن بعد ساعات قليلة ، أفاد تود سابين ،
أن كافة خدمات RPC ضعيفة. هذا
يعني أن تعيين جدار الحماية إلى
لا يكفي حجب المنفذ 135
وسائل الحماية. تعرض الأخطار
أجهزة كمبيوتر مفتوحة 135 (UDP / TCP) و 139 و 445 و 593
الموانئ. تغطية إعلامية خطأ معين، كيف
مخاطر أمنية محتملة
مستخدمو Windows. ذهب الأمر إلى العالمية
كارثة. لكن منذ الجمهور
واصل الجميع عدم الإفراج عن أي استغلال
عش حياتك القديمة دون تفكير
عواقب ظهوره في الجماهير.

لكن لم يتفاعل الجميع بشكل سلبي مع ذلك
حدوث هذه الثغرة الأمنية. قراصنة
بدأت تدريجيًا في الكتابة الخاصة
مآثر ، وظل الأطفال سيناريو ينتظرون ذلك
مظهر. النتيجة لم تستغرق وقتا طويلا
انتظر. يظهرون في غضون أيام قليلة
بعض التطورات في هذا المجال ،
تظهر الثغرات الأولى. مع ذلك
تسبب معظمهم في وقوع حادث تحطم
على النظام البعيد. ما يمكن تفسيره
منذ التفاصيل الفنية حول
لم تكن الثغرة الأمنية المكتشفة معروفة. بالرغم من
بعض إصدارات نظام التشغيل بالفعل بنجاح
تم استغلالها.

كان هذا اليوم نقطة تحول في التاريخ.
استغلال هذه الثغرة الأمنية. أخيراً
يبدو الوصف الفنيمشاكل.
وبعد ذلك ولد عدد كبير
مآثر تحت إصدارات مختلفةشبابيك.
حتى أن البعض منهم لديه رسم بياني
واجهة ، وأحيانًا وظيفة المسح
نطاق محدد من عناوين IP.

كان في هذه اللحظة أن ضخمة
هجوم من قراصنة على المستخدمين العاديين.
علاوة على ذلك ، ظهرت دودة الإنترنت MS Blast ،
التي اخترقت أجهزة الكمبيوتر بسهولة
متصل بالإنترنت وحتى
شبكات الشركات لأكبر الشركات
سلام. الكل في خطر ...

مهاجمة آلة بعيدة لا ترقى إلى مستوى
عمالة خاصة. لذلك تولى الأطفال السيناريو
عملك. سرقة بطاقات الائتمان والخاصة
زادت عمليات استغلال الثغرات عدة مرات. و
أصبحت العديد من شرائح الشبكة اللذيذة
تذوقه. هذا ما فعله
هاكر واحد. أراد أن يتولى الخادم لفترة طويلة ،
لكن ضعف لائق تحتها قبل ذلك
لم يكن لدي. لا تستغل هذا
إنه ببساطة لا يمكن أن يكون هدية القدر.

مسرحية في ثلاثة أعمال

أول شيء كان عليه فعله من قبل
الهجوم ، هو التحقق من أي واحد
نظام التشغيل المثبت عليه
الخادم. لهذا اعتاد
فائدة nmap. لقد كتب المخترق عنها مرارًا وتكرارًا
الاحتمالات ، لكني أكرر نفسي وأقول ذلك
يتم استخدامه لتحديد إصدار نظام التشغيل
على حاسب يستخدم عن بعد. شيء جيد هي
موجود لكل من Windows و * لا شىء. أ
كهاكر لعمله
استخدم Windows ، ثم وقع اختياره
نسخة رسومية من nmap.

بضع دقائق من تشغيل الماسح و
كانت النتيجة إيجابية. 135 ميناء تبين أن تكون
مفتوح وغير محمي بجدار حماية. هذا
كانت بداية النهاية ، بداية التي طال انتظارها
الهجمات. في هذه المرحلة ، تمت كتابته بالفعل
العديد من المآثر ، بما في ذلك "RCP Exploit GUI # 2".
كانت السمة المميزة له أنه
ملك واجهة المستخدم الرسوميةوأبقى في
وظائف المسح المدمجة الخاصة بها
نطاق IP ، وكذلك خادم FTP.

تشغيل الثغرة ، وأشار العنوان
الهدف الكمبيوتر. ولكن في قائمة نظام التشغيل لـ
هاجم أجهزة Windowsلم يتم تحديد NT. لكن
تم تثبيته على الخادم. هذا
مشكلة خطيرة بسبب
لتشغيل استغلال ما عليك أن تعرفه
العنوان الدقيق في الذاكرة ، ثم نقله
السيطرة عليه. قليلا الحفر في
الملفات التي تم تنزيلها بالاستغلال ،
وجدت قائمة صغيرة من العناوين ضمن نطاق واسع
تباين في خط Windows. فيما بينها
كان موجودًا وكان Windows NT مثبتًا مسبقًا
حزمة الخدمة 4. كان المعنى الذي أشار إليه في
كعنوان المرسل عن طريق البصق على الدليل
اختيار نظام التشغيل. أصبح الرقم 0xE527F377 سره
تمريرة إلى حياة الخادم. وبدأ بالهجوم.

استسلم النظام دون أي
الحوادث ، لذلك حصل المخترق على قذيفة عكسية
مع خادم بعيد. الآن بعد أن استطاع
أداء أي شيء عليه ، لقد حان
حان وقت تثبيت حصان طروادة. بين الكبار
عدد ممكن ، تم اختيار DonaldDick. ل
كان عليه أن ينفذ خطته
احصل على استضافة خادم مجانيمع
دعم بروتوكول نقل الملفات. BY.RU مناسب تمامًا ، تمامًا
هناك قام بتحميل الخادم لـ Trojan. الآن،
عندما أصبح DonaldDick متاحًا عبر FTP ، كان
تولى الضحية ، أو بالأحرى بدأ الرفع
خادم طروادة عليه. كانت جيدة
خطة مدروسة جيدا ، لأن الضعف
كان من الممكن أن يكون قد تم ترقيعه ، وكان حصان طروادة موجودًا أيضًا في إفريقيا
حصان طروادة. من خلال الكتابة في وحدة تحكم بروتوكول نقل الملفات ، بدأ
رفع ملف. العملية برمتها أخذته
كتابة خمسة أسطر فقط:

فتح بواسطة
server_name.by.ru
كلمة المرور
الحصول على fooware.exe
الوداع

حيث أن fooware.exe هو الخادم الذي أعيدت تسميته لـ
دونالد ديك. عندما يتم تنزيل الملف ، يتم تنزيله
فقط قم بتشغيله. لهذا هو ببساطة
كتب اسم الملف (fooware.exe) واستمتع به
الضغط على Enter ... وبعد ذلك تلقى المخترق ملفًا ملائمًا
السيطرة على الخادم.

لكنك تعرف كيف يكون الحال دائمًا
تجد شيئًا مثيرًا للاهتمام تابع معه
العبها. لذلك أراد الهاكر الخاص بنا
احصل على أكثر من نظام. بعد النظر
أن الاستغلال يسمح بضخامة
المسح ، شرع في العمل ، أو بالأحرى
KaHt تولى الوظيفة. استخدامه
اتضح أنه ليس صعبًا. على سبيل المثال ، ل
حول فحص الشبكة باستخدام IP 192.168.0. * (الفئة C) ، فإنه
كان عليك كتابة "KaHt.exe 129.168.0.1
192.168.0.254 ". وهو ما فعله بالفعل ،
ثم تحقق بشكل دوري
نتائج. وهكذا حصل على الوصول
لمزيد من المستخدمين ، من
والتي تمكن بعد ذلك من الحصول على كلمات مرور لها
مختلف الخدمات والبريد وأكثر من ذلك بكثير
معلومات مفيدة. ناهيك عن،
أنه بدأ في استخدام العديد منها كـ
وكلاء مجهولون.

غذاء للفكر

على الرغم من أن Microsoft أصدرت تصحيحًا منذ وقت طويل ،
المستخدمون والمسؤولون ليسوا في عجلة من أمرهم
تثبيت تصحيحات ، على أمل ألا شبكتهم لا
لن يهتم أحد. لكن هؤلاء المتسللين
عدد كبير وتركيب الباتش
ضرورة أكثر من احتمال.
يمكنك أيضًا حظر جميع الحزم الواردة
على 135 و 139 و 445 و 593 منفذًا.

وبطبيعة الحال ، قام المخترق بكل هذا من خلال
وكيل مجهول ، ونتيجة لذلك تنظيفها
وراء اثر التواجد في النظام. لكنك
يجب التفكير قبل التكرار
مآثره. بعد كل شيء ، يتم النظر في مثل هذه الإجراءات
غير قانوني وقد يؤدي إلى
أنت محزن بما فيه الكفاية ...

بالأمس ، شن أشخاص مجهولون هجومًا هائلًا آخر باستخدام فيروس رانسومواري. قال الخبراء إن عشرات الشركات الكبيرة في أوكرانيا وروسيا تضررت. يُطلق على برنامج الفدية اسم Petya.A (ربما تم تسمية الفيروس باسم Petro Poroshenko). يكتبون أنه إذا قمت بإنشاء ملف perfc (بدون ملحق) ووضعه في C: \ Windows \ ، سيتجاوزك الفيروس. إذا قام جهاز الكمبيوتر الخاص بك بإعادة التشغيل وبدأ "فحص القرص" ، فأنت بحاجة إلى إيقاف تشغيله على الفور. يمنحك التشغيل من قرص حي أو USB الوصول إلى الملفات. هناك طريقة أخرى لحماية نفسك وهي إغلاق المنافذ 1024-1035 و 135 و 445. سوف نفهم الآن كيفية القيام بذلك باستخدام مثال Windows 10.

الخطوة 1
اذهب إلى جدار حماية Windows(من الأفضل اختيار الوضع زيادة الأمن) ، حدد علامة التبويب " خيارات اضافية».
حدد علامة التبويب " قواعد الاتصالات الواردة"، ثم الإجراء" إنشاء قاعدة"(في العمود الأيمن).

الخطوة 2
حدد نوع القاعدة - " للميناء". في النافذة التالية حدد " بروتوكول TCP"، حدد المنافذ التي تريد إغلاقها. في حالتنا ، هذا 135, 445, 1024-1035 " (بدون اقتباسات).

الخطوه 3
حدد العنصر " اتصال بلوك"، في النافذة التالية نحدد جميع الملفات الشخصية: مجال ، خاص ، عام.

الخطوة 4
يبقى أن نبتكر اسمًا للقاعدة (بحيث يسهل العثور عليه في المستقبل). يمكنك تحديد وصف للقاعدة.

إذا توقفت بعض البرامج عن العمل أو بدأت في العمل بشكل غير صحيح ، فربما تكون قد أغلقت المنفذ الذي تستخدمه. سوف تحتاج إلى إضافة استثناء في جدار الحماية لهم.

135 منفذ TCPتستخدم بواسطة الخدمات البعيدة (DHCP و DNS و WINS وما إلى ذلك) وفي تطبيقات خادم العميل من Microsoft (مثل Exchange).

445 منفذ TCPمستعمل في مايكروسوفت ويندوز 2000 والإصدارات الأحدث للوصول المباشر إلى TCP / IP بدون استخدام NetBIOS (على سبيل المثال ، في Active Directory).

النشر



تحميل...
قمة