Αίμα, το γεγονός ότι το τείχος προστασίας σας δείχνει ότι το svchost.exe ακούει σε μια δεδομένη θύρα δεν σημαίνει ότι είναι ανοιχτό για σύνδεση από έξω.
Φαίνεται ότι οι κανόνες σας είναι γραμμένοι και πρέπει να λειτουργούν.
Δοκίμασες να ελέγξεις με σαρωτές θυρών; - TsOB (Κέντρο Ασφαλείας) (ρήτρα 2.7)
Και μην ξεχνάτε ότι θα χρειαστεί να ελέγξετε και το IPv6, γιατί... είναι ενεργοποιημένο στο σύστημά σας, αλλά οι σαρωτές συνήθως ελέγχουν μόνο το IPv4 (μιλάω για κεντρικές υπηρεσίες).
Αν αυτό το πρωτόκολλοδεν το χρειάζεστε καθόλου, τότε μπορείτε να το απενεργοποιήσετε:
Πηγή - http://support.microsoft.com/kb/929852Για να απενεργοποιήσετε τα στοιχεία IP έκδοσης 6 στο Windows Vista, ακολουθήστε τα παρακάτω βήματα.
1. Κάντε κλικ στο κουμπί Έναρξη, πληκτρολογήστε regedit στο πλαίσιο Έναρξη αναζήτησης και, στη συνέχεια, επιλέξτε regedit.exe στη λίστα Προγράμματα.
2. Στο παράθυρο διαλόγου Έλεγχος λογαριασμού χρήστη, κάντε κλικ στην επιλογή Συνέχεια.
3. Βρείτε και επιλέξτε το ακόλουθο δευτερεύον κλειδί μητρώου:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\
4. Κάντε διπλό κλικ στο DisabledComponents για να αλλάξετε τη ρύθμιση DisabledComponents.
Σημείωση. Εάν η παράμετρος DisabledComponents δεν είναι διαθέσιμη, πρέπει να δημιουργηθεί. Για να το κάνετε αυτό, ακολουθήστε τα παρακάτω βήματα.
1. Από το μενού Επεξεργασία, επιλέξτε Νέο και μετά Τιμή DWORD (32-bit).
2. Πληκτρολογήστε DisabledComponents και πατήστε ENTER.
3. Κάντε διπλό κλικ στο DisabledComponents.
5. Εισαγάγετε οποιαδήποτε από τις ακόλουθες τιμές για να διαμορφώσετε την IP Έκδοση 6 και, στη συνέχεια, κάντε κλικ στο OK.
1. Εισαγάγετε 0 για να ενεργοποιήσετε όλα τα στοιχεία IP έκδοσης 6.
Σημείωση. Η τιμή "0" είναι η προεπιλεγμένη.
2. Πληκτρολογήστε 0xffffffff για να απενεργοποιήσετε όλα τα στοιχεία IP έκδοσης 6 εκτός από τη διεπαφή loopback. Με αυτήν τη ρύθμιση, τα Windows Vista θα χρησιμοποιούν επίσης IP έκδοση 4 αντί για IPv6 στις πολιτικές προθέματος.
3. Εισαγάγετε 0x20 για να χρησιμοποιήσετε τις πολιτικές προθέματος IP έκδοσης 4 αντί για την έκδοση IP 6.
4. Εισαγάγετε 0x10 για να απενεργοποιήσετε τις εγγενείς διεπαφές IPv6.
5. Εισαγάγετε 0x01 για να απενεργοποιήσετε όλες τις διεπαφές σήραγγας έκδοσης IP 6.
6. Εισαγάγετε 0x11 για να απενεργοποιήσετε όλες τις διεπαφές IP έκδοσης 6 εκτός από τη διεπαφή loopback.
Σημειώσεις
* Η χρήση τιμών άλλες από 0x0 ή 0x20 μπορεί να προκαλέσει την αποτυχία της υπηρεσίας δρομολόγησης και απομακρυσμένης πρόσβασης.
*Για να τεθούν σε ισχύ οι αλλαγές, πρέπει να επανεκκινήσετε τον υπολογιστή σας.
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για τα ακόλουθα προϊόντα.
*Windows Vista Enterprise
*Έκδοση 64-bit των Windows Vista Enterprise
*Windows Vista Home BasicΈκδοση 64 bit
*Windows Vista Home Premium έκδοση 64-bit
*Windows Vista Ultimate έκδοση 64-bit
*Windows Vista Business
* Windows Vista Business έκδοση 64-bit
*Windows Vista Home Basic
*Windows Vista Home Premium
*Windows Vista Starter
*Windows Vista Ultimate
*Windows 7 Enterprise
*Windows 7 Home Basic
*Windows 7 Home Premium
*Windows 7 Professional
*Windows 7 Ultimate
* Windows Server 2008 R2 Datacenter
*Windows Server 2008 R2 Enterprise
*Windows Server 2008 R2 Standard
*Κέντρο δεδομένων Windows Server 2008
*Windows Server 2008 Enterprise
*Windows Server 2008 Standard
Μετά την αποσύνδεση και την επανεκκίνηση, έχετε από τη λίστα που έλαβε η εντολή ipconfig /allΈνα σωρό επιπλέον γραμμές θα εξαφανιστούν και θα παραμείνουν μόνο οι διεπαφές που γνωρίζετε καλά.
Εκτελείται επανασύνδεση απλή αφαίρεσηΔημιουργία κλειδιού από το μητρώο ή αντικατάσταση της τιμής με "0" και στη συνέχεια επανεκκίνηση.
Καθημερινά, οι ιδιοκτήτες Η/Υ έρχονται αντιμέτωποι με έναν τεράστιο αριθμό από επικίνδυνα προγράμματακαι ιούς που με κάποιο τρόπο καταλήγουν HDDκαι προκαλούν διαρροή σημαντικών δεδομένων, βλάβη υπολογιστή, κλοπή σημαντικών πληροφοριών και άλλες δυσάρεστες καταστάσεις.
Τις περισσότερες φορές, οι υπολογιστές που εκτελούν λειτουργικό σύστημα Windows οποιασδήποτε έκδοσης είναι μολυσμένοι, είτε είναι 7, 8, 10 είτε οποιαδήποτε άλλη. Ο κύριος λόγος για αυτά τα στατιστικά στοιχεία είναι οι εισερχόμενες συνδέσεις με τον υπολογιστή ή τις «θύρες», οι οποίες είναι αδύναμο σημείοοποιοδήποτε σύστημα λόγω της προεπιλεγμένης διαθεσιμότητάς του.
Η λέξη "θύρα" είναι ένας όρος που αναφέρεται στον σειριακό αριθμό των εισερχόμενων συνδέσεων που κατευθύνονται στον υπολογιστή σας από εξωτερικό λογισμικό. Συμβαίνει συχνά αυτές οι θύρες να χρησιμοποιούνται από ιούς που μπορούν εύκολα να διεισδύσουν στον υπολογιστή σας χρησιμοποιώντας ένα δίκτυο IP.
Ιογενής λογισμικό, μόλις εισέλθει σε έναν υπολογιστή μέσω τέτοιων εισερχόμενων συνδέσεων, μολύνει γρήγορα όλα τα σημαντικά αρχεία, όχι μόνο τα αρχεία χρήστη, αλλά και αυτά του συστήματος. Για να αποφευχθεί αυτό, συνιστούμε να κλείσετε όλες τις τυπικές θύρες που θα μπορούσαν να γίνουν ευπάθειά σας όταν δέχεστε επίθεση από χάκερ.
Ποιες είναι οι πιο ευάλωτες θύρες στα Windows 7-10;
Πολυάριθμες μελέτες και έρευνες εμπειρογνωμόνων δείχνουν ότι έως και το 80% των κακόβουλων επιθέσεων και των εισβολών πραγματοποιήθηκαν χρησιμοποιώντας τέσσερις κύριες θύρες που χρησιμοποιούνται για γρήγορη ανταλλαγή αρχείων μεταξύ διαφορετικών εκδόσεων των Windows:
- Απαιτείται θύρα TCP 139 για απομακρυσμένη σύνδεσηκαι έλεγχος υπολογιστή?
- Θύρα TCP 135, που προορίζεται για την εκτέλεση εντολών.
- Θύρα TCP 445, που επιτρέπει τη γρήγορη μεταφορά αρχείων.
- Θύρα UDP 137, μέσω της οποίας το γρήγορη αναζήτησηστον υπολογιστή.
Κλείσιμο των θυρών 135-139 και 445 στα Windows
Σας προσκαλούμε να εξοικειωθείτε με τα περισσότερα με απλούς τρόπουςκλείσιμο θυρών των Windows που δεν απαιτούν πρόσθετες γνώσεις και επαγγελματικές δεξιότητες.
Χρησιμοποιώντας τη γραμμή εντολών
Ομάδα Συμβολοσειρά Windows- Αυτό κέλυφος, το οποίο χρησιμοποιείται για τον ορισμό ορισμένων συναρτήσεων και παραμέτρων για λογισμικό που δεν έχει δικό του κέλυφος γραφικών.
Για να ξεκινήσετε τη γραμμή εντολών, πρέπει:
- Πατήστε τον συνδυασμό πλήκτρων Win+R ταυτόχρονα
- Στη γραμμή εντολών που εμφανίζεται, πληκτρολογήστε CMD
- Κάντε κλικ στο κουμπί "OK".
Θα εμφανιστεί ένα παράθυρο εργασίας με μαύρο φόντο, στο οποίο πρέπει να εισάγετε μία προς μία τις ακόλουθες εντολές. Μετά από κάθε γραμμή που εισάγετε, πατήστε το πλήκτρο Enter για να επιβεβαιώσετε την ενέργεια.
netsh advfirewall προσθήκη κανόνα dir=in action=block protocol=tcp localport=135 name=»Block1_TCP-135″(εντολή για κλείσιμο της θύρας 135)
netsh advfirewall προσθήκη κανόνα dir=in action=block protocol=tcp localport=137 name=»Block1_TCP-137″(εντολή για κλείσιμο της θύρας 137)
netsh advfirewall προσθήκη κανόνα dir=in action=block protocol=tcp localport=138 name=»Block1_TCP-138″(εντολή για κλείσιμο της θύρας 138)
netsh advfirewall προσθήκη κανόνα dir=in action=block protocol=tcp localport=139 name=»Block_TCP-139″(εντολή για κλείσιμο της θύρας 139)
netsh advfirewall προσθήκη κανόνα dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″(εντολή για κλείσιμο της θύρας 445)
netsh advfirewall προσθήκη κανόνα dir=in action=block protocol=tcp localport=5000 name=»Block_TCP-5000″
Οι έξι εντολές που δώσαμε είναι απαραίτητες για: κλείσιμο 4 ευάλωτων θυρών TCP των Windows (ανοιχτές από προεπιλογή), κλείσιμο της θύρας UDP 138 και επίσης για κλείσιμο της θύρας 5000, η οποία είναι υπεύθυνη για την εμφάνιση μιας λίστας διαθέσιμων υπηρεσιών.
Κλείσιμο θυρών με προγράμματα τρίτων
Εάν δεν θέλετε να χάνετε χρόνο δουλεύοντας με τη γραμμή εντολών, σας προτείνουμε να το ελέγξετε εφαρμογές τρίτων. Η ουσία αυτού του λογισμικού είναι να επεξεργαστείτε το μητρώο αυτόματη λειτουργίαμε γραφική διεπαφή, χωρίς να χρειάζεται χειροκίνητη εισαγωγή εντολών.
Σύμφωνα με τους χρήστες μας, το πιο δημοφιλές πρόγραμμα για αυτούς τους σκοπούς είναι το Windows Doors Cleaner. Θα σας βοηθήσει να κλείσετε εύκολα τις θύρες σε έναν υπολογιστή με Windows 7/8/8.1/10. Οι παλαιότερες εκδόσεις λειτουργικών συστημάτων, δυστυχώς, δεν υποστηρίζονται.
Πώς να εργαστείτε με ένα πρόγραμμα που κλείνει τις θύρες
Για να χρησιμοποιήσετε το Windows Doors Cleaner, πρέπει:
1. Κατεβάστε το λογισμικό και εγκαταστήστε το
2. Εκκινήστε το πρόγραμμα κάνοντας κλικ στη συντόμευση κάντε δεξί κλικποντίκι και επιλέγοντας "run as administrator"
3. Στο παράθυρο εργασίας που εμφανίζεται, θα υπάρχει μια λίστα με θύρες και τα κουμπιά «Κλείσιμο» ή «Απενεργοποίηση», τα οποία κλείνουν ευάλωτα Θύρες των Windows, καθώς και οποιαδήποτε άλλα κατόπιν αιτήματος
4. Αφού γίνουν οι απαραίτητες αλλαγές, πρέπει να επανεκκινήσετε το σύστημα
Ένα άλλο πλεονέκτημα του προγράμματος είναι το γεγονός ότι με τη βοήθειά του μπορείτε όχι μόνο να κλείσετε, αλλά και να ανοίξετε.
Βγάζοντας συμπεράσματα
Το κλείσιμο ευάλωτων θυρών δικτύου στα Windows δεν είναι πανάκεια για όλα τα δεινά. Είναι σημαντικό να θυμάστε ότι η ασφάλεια του δικτύου μπορεί να επιτευχθεί μόνο μέσω ολοκληρωμένων ενεργειών που στοχεύουν στο κλείσιμο όλων των τρωτών σημείων του υπολογιστή σας.
Για ασφάλεια χρήστης των Windowsπρέπει να εγκαταστήσετε κρίσιμες ενημερώσεις από τη Microsoft, να έχετε ενεργοποιημένο λογισμικό προστασίας από ιούς και ένα τείχος προστασίας, να χρησιμοποιείτε αποκλειστικά ασφαλές λογισμικό και να διαβάζετε τακτικά τα άρθρα μας στα οποία μιλάμε για τα πάντα υπάρχουσες μεθόδουςτην επίτευξη ανωνυμίας και ασφάλειας των δεδομένων σας.
Ξέρετε καλύτερους τρόπους για να κλείσετε τις θύρες δικτύου; Μοιραστείτε τις γνώσεις σας στα σχόλια και μην ξεχάσετε να αναδημοσιεύσετε το άρθρο στη σελίδα σας. Μερίδιο ΧΡΗΣΙΜΕΣ ΠΛΗΡΟΦΟΡΙΕΣμε τους φίλους σας και μην δίνετε στους χάκερ την ευκαιρία να βλάψουν τους αγαπημένους σας!
Οι θύρες δικτύου μπορούν να δώσουν ζωτικής σημασίας πληροφορίεςσχετικά με τις εφαρμογές που έχουν πρόσβαση σε υπολογιστές μέσω δικτύου. Γνωρίζοντας τις εφαρμογές που χρησιμοποιούν το δίκτυο και τις αντίστοιχες θύρες δικτύου, μπορείτε να δημιουργήσετε ακριβείς κανόνες τείχους προστασίας και να διαμορφώσετε τους κεντρικούς υπολογιστές ώστε να επιτρέπεται μόνο χρήσιμη κίνηση. Δημιουργώντας ένα προφίλ δικτύου και αναπτύσσοντας εργαλεία για την αναγνώριση της κυκλοφορίας δικτύου, μπορείτε να εντοπίσετε πιο αποτελεσματικά τους εισβολείς - μερικές φορές απλώς αναλύοντας την κίνηση δικτύου που δημιουργούν. Αρχίσαμε να εξετάζουμε αυτό το θέμα στο πρώτο μέρος του άρθρου που δημοσιεύτηκε στο προηγούμενο τεύχος του περιοδικού. Παρείχε βασικές πληροφορίες σχετικά με τις θύρες TCP/IP ως βάση ασφάλεια δικτύου. Το Μέρος 2 θα περιγράψει ορισμένες μεθόδους δικτύου και κεντρικού υπολογιστή που μπορούν να χρησιμοποιηθούν για την αναγνώριση εφαρμογών που ακούν σε ένα δίκτυο. Αργότερα στο άρθρο θα μιλήσουμε για τον τρόπο αξιολόγησης της κίνησης που διέρχεται από το δίκτυο.
Αποκλεισμός εφαρμογών δικτύου
Η επιφάνεια επίθεσης δικτύου είναι ένας κοινός όρος για να περιγράψει την ευπάθεια δικτύου. Πολλές επιθέσεις δικτύου πραγματοποιούνται μέσω ευάλωτων εφαρμογών και η επιφάνεια επίθεσης μπορεί να μειωθεί σημαντικά με τη μείωση του αριθμού των ενεργών εφαρμογών στο δίκτυο. Με άλλα λόγια, θα πρέπει να απενεργοποιήσετε τις αχρησιμοποίητες υπηρεσίες, να εγκαταστήσετε ένα τείχος προστασίας στο αποκλειστικό σύστημα για να ελέγξετε τη νομιμότητα της κυκλοφορίας και να δημιουργήσετε μια ολοκληρωμένη λίστα ελέγχου πρόσβασης (ACL) για το τείχος προστασίας στην περίμετρο του δικτύου.
Κάθε ανοιχτό θύρα δικτύουαντιπροσωπεύει μια εφαρμογή που ακούει στο δίκτυο. Η επιφάνεια επίθεσης κάθε διακομιστή που είναι συνδεδεμένος στο δίκτυο μπορεί να μειωθεί απενεργοποιώντας όλες τις μη βασικές υπηρεσίες και εφαρμογές δικτύου. έκδοση WindowsΟ διακομιστής 2003 είναι ανώτερος από τις προηγούμενες εκδόσεις λειτουργικό σύστημα, αφού από προεπιλογή ενεργοποιείται λιγότερο υπηρεσίες δικτύου. Ωστόσο, είναι ακόμα απαραίτητος ένας έλεγχος για την εκ νέου ανακάλυψη εγκατεστημένες εφαρμογέςκαι αλλαγές διαμόρφωσης που ανοίγουν περιττές θύρες δικτύου.
Κάθε ανοιχτό λιμάνι- Μια πιθανή κερκόπορτα για εισβολείς που εκμεταλλεύονται χώρους στην εφαρμογή κεντρικού υπολογιστή ή έχουν πρόσβαση κρυφά στην εφαρμογή με το όνομα και τον κωδικό πρόσβασης άλλου χρήστη (ή χρησιμοποιούν άλλη νόμιμη μέθοδο ελέγχου ταυτότητας). Είτε έτσι είτε αλλιώς, ένα σημαντικό πρώτο βήμα για την προστασία του δικτύου σας είναι απλά να απενεργοποιήσετε τις αχρησιμοποίητες εφαρμογές δικτύου.
Σάρωση θύρας
Η σάρωση θυρών είναι η διαδικασία ανίχνευσης εφαρμογών ακρόασης με ενεργή ψηφοφορία στις θύρες δικτύου ενός υπολογιστή ή άλλης συσκευής δικτύου. Η δυνατότητα ανάγνωσης αποτελεσμάτων σάρωσης και σύγκρισης αναφορών δικτύου με αποτελέσματα δημοσκόπησης θύρας κεντρικού υπολογιστή σάς επιτρέπει να έχετε μια σαφή εικόνα της κίνησης που ρέει μέσω του δικτύου σας. Γνώση τοπολογίας δικτύου - σημαντική προϋπόθεσηπροετοιμασία στρατηγικού σχεδίου για τη σάρωση συγκεκριμένων περιοχών. Για παράδειγμα, σαρώνοντας μια σειρά εξωτερικών διευθύνσεων IP, μπορείτε να συγκεντρώσετε πολύτιμα δεδομένα σχετικά με έναν εισβολέα Διαδικτύου. Επομένως, θα πρέπει να σαρώνετε το δίκτυό σας πιο συχνά και να κλείνετε όλες τις περιττές θύρες δικτύου.
Η σάρωση εξωτερικής θύρας τείχους προστασίας εντοπίζει όλες τις υπηρεσίες που αποκρίνονται (όπως το Web ή ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ), φιλοξενείται σε εσωτερικούς διακομιστές. Αυτοί οι διακομιστές θα πρέπει επίσης να προστατεύονται. Διαμορφώστε έναν οικείο σαρωτή θύρας (για παράδειγμα, Network Mapper - Nmap) για σάρωση την επιθυμητή ομάδαΘύρες UDP ή TCP. Συνήθως, η σάρωση θύρας TCP είναι πιο αξιόπιστη από τη σάρωση UDP λόγω της βαθύτερης σάρωσης ανατροφοδότησημε πρωτόκολλα TCP προσανατολισμένα στη σύνδεση. Υπάρχουν εκδόσεις του Nmap τόσο για Windows όσο και για Unix. Η εκκίνηση της βασικής διαδικασίας σάρωσης είναι απλή, αν και το πρόγραμμα υλοποιεί πολύ περισσότερα σύνθετες λειτουργίες. Για να βρω ανοιχτές θύρες στον δοκιμαστικό υπολογιστή, έτρεξα την εντολή
Nmap 192.168.0.161
Η οθόνη 1 εμφανίζει τα αποτελέσματα της περιόδου λειτουργίας σάρωσης - σε αυτήν την περίπτωση Υπολογιστής με Windows 2003 σε τυπική διαμόρφωση. Τα δεδομένα που συλλέχθηκαν από τη σάρωση θύρας δείχνουν ότι υπάρχουν έξι ανοιχτές θύρες TCP.
| Οθόνη 1: Βασική περίοδος σάρωσης Nmap |
- Η θύρα 135 χρησιμοποιείται από τη δυνατότητα αντιστοίχισης τελικού σημείου RPC που βρίσκεται σε πολλές τεχνολογίες των Windows - όπως εφαρμογές COM/DCOM, DFS, καταγραφή συμβάντων, αναπαραγωγή αρχείων, ουρά μηνυμάτων και Microsoft Outlook. Αυτή η θύρα θα πρέπει να αποκλειστεί από το περιμετρικό τείχος προστασίας δικτύου, αλλά είναι δύσκολο να την αποκλείσετε και να διατηρήσετε τη λειτουργικότητα των Windows.
- Η θύρα 139 χρησιμοποιείται από την υπηρεσία συνεδρίας NetBIOS, η οποία επιτρέπει στο πρόγραμμα περιήγησης να αναζητήσει άλλους υπολογιστές, την υπηρεσία μοιρασιάαρχεία, Net Logon και υπηρεσία διακομιστή. Είναι δύσκολο να κλείσει, όπως και η θύρα 135.
- Η θύρα 445 χρησιμοποιείται από τα Windows για συνεργασίαμε αρχεία. Για να κλείσετε αυτήν τη θύρα, πρέπει να αποκλείσετε την κοινή χρήση αρχείων και εκτυπωτών για δίκτυα Microsoft. Το κλείσιμο αυτής της θύρας δεν εμποδίζει τον υπολογιστή να συνδεθεί με άλλους απομακρυσμένους πόρους. Ωστόσο, άλλοι υπολογιστές δεν θα μπορούν να συνδεθούν σε αυτό το σύστημα.
- Οι θύρες 1025 και 1026 ανοίγουν δυναμικά και χρησιμοποιούνται από άλλο σύστημα Διαδικασίες των Windows, ιδίως από διάφορες υπηρεσίες.
- Η θύρα 3389 χρησιμοποιείται από την Απομακρυσμένη επιφάνεια εργασίας, η οποία δεν είναι ενεργοποιημένη από προεπιλογή, αλλά είναι ενεργή στον δοκιμαστικό μου υπολογιστή. Για να κλείσετε τη θύρα, μεταβείτε στην καρτέλα Απομακρυσμένη στο πλαίσιο διαλόγου Ιδιότητες συστήματος και καταργήστε την επιλογή του πλαισίου ελέγχου Να επιτρέπεται στους χρήστες η απομακρυσμένη σύνδεση σε αυτόν τον υπολογιστή.
Φροντίστε να αναζητήσετε ανοιχτές θύρες UDP και να κλείσετε τις μη απαραίτητες. Εμφανίζεται το πρόγραμμα σάρωσης ανοιχτές θύρεςυπολογιστές που είναι ορατοί από το δίκτυο. Παρόμοια αποτελέσματα μπορούν να ληφθούν χρησιμοποιώντας εργαλεία που βρίσκονται στο κεντρικό σύστημα.
Σάρωση κεντρικού υπολογιστή
Εκτός από τη χρήση δικτυακός σαρωτήςθύρες, οι ανοιχτές θύρες στο κεντρικό σύστημα μπορούν να εντοπιστούν χρησιμοποιώντας την ακόλουθη εντολή (εκτελείται στο κεντρικό σύστημα):
Netstat -αν
Αυτή η εντολή λειτουργεί τόσο σε Windows όσο και σε UNIX. Το Netstat παρέχει μια λίστα με ενεργές θύρες σε έναν υπολογιστή. Στα Windows 2003 Windows XP, πρέπει να προσθέσετε την επιλογή -o για να λάβετε το αντίστοιχο αναγνωριστικό προγράμματος (PID). Το σχήμα 2 δείχνει την έξοδο Netstat για τον ίδιο υπολογιστή που είχε προηγουμένως σαρωθεί η θύρα. Λάβετε υπόψη ότι πολλές θύρες που ήταν προηγουμένως ενεργές είναι κλειστές.
Έλεγχος καταγραφής τείχους προστασίας
Ένας άλλος χρήσιμος τρόπος για τον εντοπισμό εφαρμογών δικτύου που στέλνουν ή λαμβάνουν δεδομένα μέσω του δικτύου είναι η συλλογή και ανάλυση περισσότερων δεδομένων στο αρχείο καταγραφής του τείχους προστασίας. Απόρριψη καταχωρήσεων που παρέχουν πληροφορίες από εξωτερική διεπαφήΤα τείχη προστασίας είναι απίθανο να είναι χρήσιμα λόγω της «κυκλοφορίας θορύβου» (π.χ. από worms, σαρωτές, δοκιμές ping) που φράζουν το Διαδίκτυο. Αλλά εάν καταγράφετε επιτρεπόμενα πακέτα από την εσωτερική διεπαφή, μπορείτε να δείτε όλη την εισερχόμενη και εξερχόμενη κίνηση δικτύου.
Για να δείτε τα "ακατέργαστα" δεδομένα κίνησης στο δίκτυο, μπορείτε να ορίσετε αναλυτής δικτύου, το οποίο συνδέεται στο δίκτυο και καταγράφει όλα τα πακέτα δικτύου που έχουν εντοπιστεί. Ο πιο ευρέως χρησιμοποιούμενος δωρεάν αναλυτής δικτύου είναι ο Tcpdump για UNIX (η έκδοση των Windows ονομάζεται Windump), ο οποίος είναι εύκολο να εγκατασταθεί στον υπολογιστή σας. Μετά την εγκατάσταση του προγράμματος, θα πρέπει να το ρυθμίσετε ώστε να λειτουργεί στη λειτουργία λήψης όλων πακέτα δικτύουγια να καταγράψετε όλη την κίνηση και στη συνέχεια να συνδεθείτε σε μια οθόνη θύρας ενεργοποιημένη διακόπτη δικτύουκαι παρακολουθεί όλη την κίνηση που διέρχεται μέσω του δικτύου. Η ρύθμιση μιας οθόνης θύρας θα συζητηθεί παρακάτω. Το Tcpdump είναι ένα εξαιρετικά ευέλικτο πρόγραμμα που μπορεί να χρησιμοποιηθεί για την προβολή της κυκλοφορίας του δικτύου χρησιμοποιώντας εξειδικευμένα φίλτρα και την εμφάνιση μόνο πληροφοριών σχετικά με τις διευθύνσεις IP και τις θύρες ή όλα τα πακέτα. Είναι δύσκολο να δείτε τις απορρίψεις δικτύου μεγάλα δίκτυαχωρίς τη βοήθεια κατάλληλων φίλτρων, αλλά πρέπει να ληφθεί μέριμνα ώστε να μην χαθούν σημαντικά δεδομένα.
Συνδυασμός εξαρτημάτων
Μέχρι στιγμής έχουμε σκεφτεί διάφορες μεθόδουςκαι εργαλεία που μπορούν να σας βοηθήσουν να ανακαλύψετε εφαρμογές χρησιμοποιώντας το δίκτυο. Ήρθε η ώρα να τα συνδυάσετε και να δείξετε πώς να προσδιορίσετε τις ανοιχτές θύρες δικτύου. Είναι εκπληκτικό πόσο συνομιλητές είναι οι υπολογιστές στο δίκτυο! Αρχικά, συνιστάται να εξοικειωθείτε με Έγγραφο της Microsoft"Επισκόπηση υπηρεσίας και απαιτήσεις θύρας δικτύου για το σύστημα Windows Server" ( http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), το οποίο παραθέτει τα πρωτόκολλα (TCP και UDP) και τους αριθμούς θυρών που χρησιμοποιούνται από τις εφαρμογές και τις περισσότερες μεγάλες Υπηρεσίες WindowsΥπηρέτης. Το έγγραφο περιγράφει αυτές τις υπηρεσίες και τις σχετικές θύρες δικτύου που χρησιμοποιούν. Συνιστάται να κατεβάσετε και να εκτυπώσετε αυτό το χρήσιμο για τους διαχειριστές Δίκτυα Windowsοδηγός αναφοράς.
Ρύθμιση ενός αναλυτή δικτύου
Σημειώθηκε προηγουμένως ότι ένας τρόπος προσδιορισμού των θυρών που χρησιμοποιούνται από τις εφαρμογές είναι η παρακολούθηση της κυκλοφορίας μεταξύ υπολογιστών χρησιμοποιώντας έναν αναλυτή δικτύου. Για να δείτε όλη την κίνηση, πρέπει να συνδέσετε έναν αναλυτή δικτύου σε έναν διανομέα ή μια οθόνη θύρας στο διακόπτη. Κάθε θύρα σε έναν διανομέα βλέπει όλη την κίνηση από κάθε υπολογιστή που είναι συνδεδεμένος σε αυτόν τον διανομέα, αλλά οι διανομείς είναι μια ξεπερασμένη τεχνολογία και οι περισσότερες εταιρείες τους αντικαθιστούν με διακόπτες, οι οποίοι παρέχουν καλή απόδοση αλλά είναι δυσκίνητη στην ανάλυση: κάθε θύρα μεταγωγέα δέχεται μόνο κίνηση που προορίζεται για ένας υπολογιστής συνδεδεμένος στο hub. αυτό το λιμάνι. Για να αναλύσετε ολόκληρο το δίκτυο, πρέπει να παρακολουθείτε την κίνηση που αποστέλλεται σε κάθε θύρα μεταγωγής.
Αυτό απαιτεί τη ρύθμιση μιας οθόνης θύρας (διάφοροι προμηθευτές την αποκαλούν θύρα span ή mirrored port) στον διακόπτη. Εγκαταστήστε μια οθόνη θύρας στον διακόπτη Cisco Catalystαπό τη Cisco Systems δεν είναι δύσκολο. Πρέπει να εγγραφείτε στον διακόπτη και να ενεργοποιήσετε τη λειτουργία Ενεργοποίηση, μετά μεταβείτε στη διαμόρφωση της λειτουργίας τερματικού και εισαγάγετε τον αριθμό διασύνδεσης της θύρας μεταγωγέα στην οποία θα πρέπει να αποστέλλεται όλη η παρακολουθούμενη κυκλοφορία. Τέλος, πρέπει να καθορίσετε όλες τις θύρες που παρακολουθούνται. Για παράδειγμα, οι ακόλουθες εντολές παρακολουθούν τρεις θύρες Fast Ethernet και προωθούν ένα αντίγραφο της κίνησης στη θύρα 24.
Διεπαφή FastEthernet0/24 port monitor FastEthernet0/1 port monitor FastEthernet0/2 port monitor FastEthernet0/3 end
Σε αυτό το παράδειγμα, ένας αναλυτής δικτύου που είναι συνδεδεμένος στη θύρα 24 θα δει όλη την εξερχόμενη και εισερχόμενη κίνηση από υπολογιστές που είναι συνδεδεμένοι στις τρεις πρώτες θύρες του μεταγωγέα. Για να δείτε τη διαμόρφωση που δημιουργήθηκε, πληκτρολογήστε την εντολή
Γράψτε μνήμη
Αρχική ανάλυση
Ας δούμε ένα παράδειγμα ανάλυσης δεδομένων που διέρχονται από ένα δίκτυο. Εάν χρησιμοποιείτε υπολογιστή Linux για ανάλυση δικτύου, μπορείτε να κατανοήσετε πλήρως τον τύπο και τη συχνότητα των πακέτων στο δίκτυο χρησιμοποιώντας ένα πρόγραμμα όπως το IPTraf σε κατάσταση στατιστικής. Μπορείτε να βρείτε λεπτομέρειες για την κυκλοφορία χρησιμοποιώντας το πρόγραμμα Tcpdump.
Η ευπάθεια ήταν πραγματικά τρομακτική.
το έτοιμο exploit δεν ήταν διαθέσιμο για
η πλειοψηφία των ανθρώπων... Μάλλον γι' αυτό
κανείς δεν ένιωσε φόβο...
Ομάδα Πολωνών εμπειρογνωμόνων στον τομέα
ασφάλεια τεχνολογίας υπολογιστών «Τελευταία
Stage of Delirium» ενημέρωσε το κοινό για το που βρέθηκε
τα τρωτά σημεία τους, η επεξεργασία των αντικειμένων DCOM σε
πλαίσιο του πρωτοκόλλου RPC. Ήταν κάτι
καταπληκτικό γιατί αυτό το πρωτόκολλο
χρησιμοποιείται σχεδόν από όλους
τρέχουσες εκδόσεις των Windows.
Τα Windows NT, Windows XP, Windows 2000 βρέθηκαν ευάλωτα
και ακόμη και ο Windows Server 2003 δέχτηκε επίθεση. Αυτό
ήταν υπεραρκετή για να αναλάβει
υπολογιστές των περισσότερων χρηστών
Δίκτυα Διαδικτύου. Επιπλέον, πολλοί διακομιστές δεν το κάνουν
μπλοκαρισμένα εισερχόμενα πακέτα στη θύρα 135,
ήταν αυτός που χρησιμοποιήθηκε για την επίθεση. Τι
τους έκανε πιθανά θύματα.
Αλλά λίγες ώρες αργότερα ο Todd Sabin αναφέρει,
ότι όλες οι υπηρεσίες RPC είναι ευάλωτες. Αυτό
σημαίνει ότι η ρύθμιση του τείχους προστασίας σε
Το μπλοκάρισμα της θύρας 135 δεν είναι αρκετό
μέσα προστασίας. Εκτεθειμένος σε κίνδυνο
υπολογιστές με ανοιχτό 135 (UDP/TCP), 139, 445 και 593
λιμάνια. Κάλυψη από τα ΜΜΕ αυτό το σφάλμα, Πως
πιθανό κίνδυνο ασφάλειας
χρήστες Windows. Τα πράγματα πήγαιναν παγκόσμια
καταστροφή. Αλλά από το δημόσιο
κανένα exploit δεν απελευθερώθηκε, όλοι συνέχισαν
ζήσε την παλιά σου ζωή χωρίς να το σκέφτεσαι
συνέπειες της εμφάνισής του στις μάζες.
Αλλά δεν αντέδρασαν όλοι τόσο παθητικά
εμφάνιση αυτής της ευπάθειας. Χάκερ
σιγά σιγά αρχίσαμε να γράφουμε ιδιωτικά
κατορθώματα, και τα παιδιά του σεναρίου το περίμεναν συνέχεια
εμφάνιση. Το αποτέλεσμα δεν άργησε να φανεί
Περίμενε. Μέσα σε λίγες μέρες εμφανίζονται
κάποιες εξελίξεις στον τομέα αυτό,
Εμφανίζονται τα πρώτα κατορθώματα. παρ 'όλα αυτά
τα περισσότερα από αυτά προκαλούν απλώς μια συντριβή
στο απομακρυσμένο σύστημα. Τι μπορεί να εξηγηθεί
δεδομένου ότι οι τεχνικές λεπτομέρειες σχετικά
Η ευπάθεια που βρέθηκε δεν ήταν γνωστή. Αν και
ορισμένες εκδόσεις λειτουργικού συστήματος είναι ήδη επιτυχημένες
εκμεταλλεύτηκαν.
Αυτή η μέρα έγινε σημείο καμπής στην ιστορία
εκμετάλλευση αυτής της ευπάθειας. Τελικά
εμφανίζεται τεχνική περιγραφήΠροβλήματα.
Μετά από αυτό γεννιέται ένας μεγάλος αριθμός
κατορθώματα, υπό διαφορετικές εκδόσεις Windows.
Μερικά από αυτά έχουν ακόμη και γραφικό
διεπαφή και μερικές φορές μια λειτουργία σάρωσης
ένα συγκεκριμένο εύρος διευθύνσεων IP.
Ήταν αυτή τη στιγμή που η μαζική
επίθεση από χάκερ σε απλούς χρήστες.
Επιπλέον, εμφανίστηκε το σκουλήκι του Διαδικτύου MS Blast,
που διεισδύουν εύκολα στους υπολογιστές
συνδεδεμένο στο Διαδίκτυο και ακόμη και σε
εταιρικά δίκτυα των μεγαλύτερων εταιρειών
ειρήνη. Όλοι κινδύνευαν...
Η επίθεση σε απομακρυσμένο μηχάνημα δεν είναι
ειδική εργασία. Γι' αυτό ανέλαβαν τα παιδιά του σεναρίου
δική σας επιχείρηση. Κλοπή πιστωτικών καρτών και ιδιωτικών
τα exploits έχουν αυξηθεί αρκετές φορές. ΚΑΙ
έχουν γίνει πολλά νόστιμα τμήματα του δικτύου
Δοκίμασέ το. Αυτό ακριβώς έκανα
ένας χάκερ. Ήθελε εδώ και καιρό να αναλάβει τον διακομιστή,
αλλά πριν από αυτό υπάρχει μια αξιοπρεπής ευπάθεια
δεν είχα. Μην το χρησιμοποιείτε αυτό
Ήταν ένα δώρο της μοίρας που απλά δεν μπορούσε.
Παίξτε σε τρεις πράξεις
Το πρώτο πράγμα που έπρεπε να κάνει πριν
επίθεση, αυτό γίνεται για να ελέγξουμε ποια
εγκατεστημένο λειτουργικό σύστημα
υπηρέτης. Για αυτό χρησιμοποίησε
βοηθητικό πρόγραμμα nmap. Ο χάκερ έχει ήδη γράψει για αυτήν περισσότερες από μία φορές
πιθανότητες, αλλά θα επαναλάβω και θα το πω
χρησιμοποιείται για τον προσδιορισμό της έκδοσης του λειτουργικού συστήματος
επί απομακρυσμένος υπολογιστής. Ευτυχώς αυτή
υπάρχει τόσο για Windows όσο και για *nix. ΕΝΑ
γιατί ένας χάκερ για τη δουλειά του
χρησιμοποίησε Windows, τότε η επιλογή του έπεσε
γραφική έκδοση του nmap.
Λίγα λεπτά λειτουργίας σαρωτή και
το αποτέλεσμα είναι θετικό. Η θύρα 135 αποδείχθηκε ότι ήταν
ανοιχτό και δεν προστατεύεται από τείχος προστασίας. Αυτό
ήταν η αρχή του τέλους, η αρχή του πολυαναμενόμενου
επιθέσεις. Σε αυτό το σημείο ήταν ήδη γραμμένο
πολλά exploit, συμπεριλαμβανομένου του "RCP Exploit GUI #2".
Το χαρακτηριστικό γνώρισμά του ήταν ότι αυτός
είχε GUIκαι περιέχονται σε
ενσωματωμένες λειτουργίες σάρωσης
Εύρος IP, καθώς και διακομιστής FTP.
Έχοντας ξεκινήσει το exploit, όρισε τη διεύθυνση
υπολογιστής στόχος. Αλλά στη λίστα του λειτουργικού συστήματος για
επιτέθηκε Μηχανές Windows NT δεν προσδιορίστηκε. Αλλά
ήταν ακριβώς αυτό που εγκαταστάθηκε στον διακομιστή. Αυτό
σοβαρό πρόβλημα γιατί
για να εκτελέσετε το exploit πρέπει να το γνωρίζετε
ακριβής διεύθυνση στη μνήμη για μεταγενέστερη μεταφορά
έλεγχο πάνω του. Αφού σκάψαμε λίγο μέσα
αρχεία που έχουν ληφθεί μαζί με το exploit it
βρήκε μια μικρή λίστα διευθύνσεων για ένα ευρύ φάσμα
μια παραλλαγή της γραμμής των Windows. Ανάμεσα τους
Τα Windows NT ήταν επίσης παρόντα με προεγκατεστημένα
Service Pack 4. Ήταν το νόημά του που υπέδειξε
ως διεύθυνση επιστροφής, φτύσιμο εγχειρίδιο
Επιλογή λειτουργικού συστήματος. Ο αριθμός 0xE527F377 έγινε το μυστικό του
ένα πέρασμα στη ζωή του διακομιστή. Και εξαπέλυσε επίθεση.
Το σύστημα εγκατέλειψε χωρίς κανένα
περιστατικά, οπότε ο χάκερ σκέφτηκε το reverse-shell
με απομακρυσμένο διακομιστή. Τώρα που μπορούσε
ήρθε η ώρα να εκτελέσετε οτιδήποτε σε αυτό
ώρα για εγκατάσταση του Trojan. Ανάμεσα στα μεγάλα
αριθμός των πιθανών, επιλέχθηκε ο DonaldDick. Για
για να πραγματοποιήσει το σχέδιό του έπρεπε
πάρτε τη φιλοξενία δωρεάν διακομιστήΜε
Υποστήριξη FTP. Το BY.RU ήταν αρκετά κατάλληλο, ακριβώς
εκεί ανέβασε τον διακομιστή για το Trojan. Τώρα,
όταν ο DonaldDick έγινε διαθέσιμος μέσω FTP, επέστρεψε
πήρε το θύμα, ή μάλλον άρχισε να αντλεί
Trojan διακομιστή σε αυτό. Ηταν καλο
στοχαστικό σχέδιο λόγω ευπάθειας
Θα μπορούσαν να το είχαν επιδιορθώσει, αλλά το Trojan είναι στην Αφρική
γενναίο και φιλεργό άτομο Έχοντας πληκτρολογήσει ftp στην κονσόλα, άρχισε
ανέβασμα αρχείου. Τον πήρε όλη η διαδικασία,
γράφοντας μόνο πέντε γραμμές:
openby.ru
server_name.by.ru
Κωδικός πρόσβασης
λάβετε το fooware.exe
αντίο
Όπου το fooware.exe είναι ο μετονομασμένος διακομιστής για τον οποίο
Ντόναλντ Ντικ. Όταν γίνει λήψη του αρχείου, παραμένει
απλά τρέξε το. Για αυτό απλά
έγραψε το όνομα του αρχείου (fooware.exe) και το απόλαυσε
πάτησε Enter... Μετά από αυτό ο χάκερ έλαβε ένα βολικό
έλεγχο του διακομιστή.
Αλλά ξέρετε πώς συμβαίνει πάντα όταν
βρίσκεις κάτι ενδιαφέρον και συνεχίζεις
παίξε με αυτό. Αυτό ήθελε ο Χάκερ μας
λάβετε περισσότερα από ένα συστήματα. Έχοντας κοιτάξει,
ότι η εκμετάλλευση επιτρέπει μαζικές
σαρώνοντας, έπιασε δουλειά, ή μάλλον
Η KaHt ανέλαβε τη δουλειά. Η χρήση του
Αποδείχθηκε ότι δεν ήταν δύσκολο. Έτσι για παράδειγμα, να
σχετικά με τη σάρωση του δικτύου από IP 192.168.0.* (κατηγορία C), αυτό
έπρεπε να πληκτρολογήσετε "KaHt.exe 129.168.0.1
192.168.0.254". Αυτό ακριβώς έκανε,
μετά την οποία έλεγχα περιοδικά
Αποτελέσματα. Έτσι απέκτησε πρόσβαση
σε ακόμη περισσότερους χρήστες, από
για τα οποία αργότερα κατάφερε να αποκτήσει κωδικούς πρόσβασης
διάφορες υπηρεσίες, αλληλογραφία και πολλά άλλα
ΧΡΗΣΙΜΕΣ ΠΛΗΡΟΦΟΡΙΕΣ. Για να μην πω
ότι άρχισε να χρησιμοποιεί πολλά από αυτά ως
ανώνυμοι πληρεξούσιοι.
Τροφή για σκέψη
Αν και η Microsoft κυκλοφόρησε μια ενημέρωση κώδικα πριν από πολύ καιρό,
οι χρήστες και οι διαχειριστές δεν βιάζονται
εγκαταστήσει ενημερώσεις κώδικα, ελπίζοντας ότι το δίκτυό τους δεν το κάνει
δεν θα ενδιαφέρει κανέναν. Αλλά τέτοιοι χάκερ
ένας μεγάλος αριθμός και η εγκατάσταση ενός patch είναι
περισσότερο ανάγκη παρά ευκαιρία.
Μπορείτε επίσης να αποκλείσετε όλα τα εισερχόμενα πακέτα
για θύρες 135, 139, 445 και 593.
Φυσικά, ο χάκερ τα κατάφερε όλα αυτά
ανώνυμος πληρεξούσιος, και ως αποτέλεσμα καθάρισα
ίχνη παρουσίας στο σύστημα. Αλλά εσύ
θα πρέπει να σκεφτείτε δύο φορές πριν επαναλάβετε
τα κατορθώματά του. Εξάλλου, τέτοιες ενέργειες εξετάζονται
παράνομη και μπορεί να οδηγήσει σε
είσαι αρκετά λυπημένος...
Χθες, άγνωστοι πραγματοποίησαν άλλη μια μαζική επίθεση χρησιμοποιώντας έναν ιό κρυπτογράφησης. Οι ειδικοί είπαν ότι δεκάδες μεγάλες εταιρείες στην Ουκρανία και τη Ρωσία επλήγησαν. Ο ιός ransomware ονομάζεται Petya.A (μάλλον ο ιός πήρε το όνομά του από τον Πέτρο Ποροσένκο). Γράφουν ότι αν δημιουργήσεις ένα αρχείο perfc (χωρίς επέκταση) και το τοποθετήσεις στο C:\Windows\, ο ιός θα σε παρακάμψει. Εάν ο υπολογιστής σας επανεκκινήσει και ξεκινήσει ο "έλεγχος δίσκου", πρέπει να τον απενεργοποιήσετε αμέσως. Η εκκίνηση από μια μονάδα LiveCD ή USB θα σας δώσει πρόσβαση στα αρχεία. Μια άλλη μέθοδος προστασίας: κλείστε τις θύρες 1024–1035, 135 και 445. Τώρα θα εξετάσουμε πώς να το κάνετε αυτό χρησιμοποιώντας τα Windows 10 ως παράδειγμα.
Βήμα 1
Ας πάμε στο τείχος προστασίας των Windows
(είναι καλύτερα να επιλέξετε τη λειτουργία αυξημένη ασφάλεια), επιλέξτε την καρτέλα " Επιπλέον επιλογές».
Επιλέξτε την καρτέλα " Κανόνες για εισερχόμενες συνδέσεις", μετά η δράση" Δημιουργήστε έναν κανόνα"(στη δεξιά στήλη).
Βήμα 2
Επιλέξτε τον τύπο κανόνα - " για Λιμάνι" Στο επόμενο παράθυρο, επιλέξτε " Πρωτόκολλο TCP", υποδείξτε τις θύρες που θέλετε να κλείσετε. Στην περίπτωσή μας είναι " 135, 445, 1024-1035
"(χωρίς εισαγωγικά).
Βήμα 3
Επιλέξτε το στοιχείο " Αποκλεισμός σύνδεσης", στο επόμενο παράθυρο επισημαίνουμε όλα τα προφίλ: Τομέας, Ιδιωτικός, Δημόσιος.
Βήμα 4
Το μόνο που μένει είναι να βρούμε ένα όνομα για τον κανόνα (ώστε να είναι εύκολο να βρεθεί στο μέλλον). Μπορείτε να καθορίσετε μια περιγραφή του κανόνα.
Εάν ορισμένα προγράμματα σταματήσουν να λειτουργούν ή λειτουργούν λανθασμένα, μπορεί να έχετε αποκλείσει τη θύρα που χρησιμοποιούν. Θα χρειαστεί να προσθέσετε μια εξαίρεση για αυτά στο τείχος προστασίας.
Θύρα 135 TCPχρησιμοποιείται από απομακρυσμένες υπηρεσίες (DHCP, DNS, WINS, κ.λπ.) και σε εφαρμογές πελάτη-διακομιστή της Microsoft (για παράδειγμα, Exchange).
Θύρα 445 TCPχρησιμοποιείται σε Microsoft Windows 2000 και μεταγενέστερα για άμεση πρόσβαση TCP/IP χωρίς χρήση NetBIOS (για παράδειγμα, στην υπηρεσία καταλόγου Active Directory).
Δημοσίευση
Φόρτωση...