在udp端口扫描中对主机端口是否开放的判断依据是_udp端口扫描的依据是

有几种防止远程桌面被人攻击的方法

必须禁止的服务

1.NetMeeting Remote Desktop Sharing:允许受权的用户通过NetMeeting在网络上互相访问对方。这项服务对大多数个人用户并没有多大用处，况且服务的开启还会带来安全问题，因为上网时该服务会把用户名以明文形式发送到连接它的客户端，黑客的嗅探程序很容易就能探测到这些账户信息。

2.Universal Plug and Play Device Host:此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞，运行此服务的计算机很容易受到攻击。攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包，就可能会造成这些Win XP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包，令“Location”域的地址指向另一系统的chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源(需要安装硬件时需手动开启)。

3.Messenger:俗称信使服务，电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的Net Send和Alerter服务消息，此服务与Windows Messenger无关。如果服务停止，Alerter消息不会被传输)。这是一个危险而讨厌的服务，Messenger服务基本上是用在企业的网络管理上，但是垃圾邮件和垃圾广告厂商，也经常利用该服务发布弹出式广告，标题为“信使服务”。而且这项服务有漏洞，MSBlast和Slammer病毒就是用它来进行快速传播的。

4.Terminal Services:允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。如果你不使用Win XP的远程控制功能，可以禁止它。

5.Remote Registry:使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容，一般用户都不建议自行更改，更何况要让别人远程修改，所以这项服务是极其危险的。

6.Fast User Switching Compatibility:在多用户下为需要协助的应用程序提供管理。Windows XP允许在一台电脑上进行多用户之间的快速切换，但是这项功能有个漏洞，当你点击“开始→注销→快速切换”，在传统登录方式下重复输入一个用户名进行登录时，系统会认为是暴力破解，而锁定所有非管理员账户。如果不经常使用，可以禁止该服务。或者在“控制面板→用户账户→更改用户登录或注销方式”中取消“使用快速用户切换”。

7.Telnet:允许远程用户登录到此计算机并运行程序，并支持多种 TCP/IP Telnet客户，包括基于 UNIX 和 Windows 的计算机。又一个危险的服务，如果启动，远程用户就可以登录、访问本地的程序，甚至可以用它来修改你的ADSL Modem等的网络设置。除非你是网络专业人员或电脑不作为服务器使用，否则一定要禁止它。

8.Performance Logs And Alerts:收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数据，坚决禁止它。

9.Remote Desktop Help Session Manager:如果此服务被终止，远程协助将不可用。

10.TCP/IP NetBIOS Helper:NetBIOS在Win 9X下就经常有人用它来进行攻击，对于不需要文件和打印共享的用户，此项也可以禁用。

可以禁止的服务

以上十项服务是对安全威胁较大的服务，普通用户一定要禁用它。另外还有一些普通用户可以按需求禁止的服务:

1.Alerter:通知所选用户和计算机有关系统管理级警报。如果你未连上局域网且不需要管理警报，则可将其禁止。

2.Indexing Service:本地和远程计算机上文件的索引内容和属性，提供文件快速访问。这项服务对个人用户没有多大用处。

3.Application Layer Gateway Service:为Internet连接共享和Internet连接防火墙提供第三方协议插件的支持。如果你没有启用Internet连接共享或Windows XP的内置防火墙，可以禁止该服务。

4.Uninterruptible Power Supply:管理连接到计算机的不间断电源，没有安装UPS的用户可以禁用。

5.Print Spooler:将文件加载到内存中以便稍后打印。如果没装打印机，可以禁用。

6.Smart Card:管理计算机对智能卡的读取访问。基本上用不上，可以禁用。

7.Ssdp Discovery Service:启动家庭网络上的upnp设备自动发现。具有upnp的设备还不多，对于我们来说这个服务是没有用的。

8.Automatic Updates:自动从Windows Update网络更新补丁。利用Windows Update功能进行升级，速度太慢，建议大家通过多线程下载工具下载补丁到本地硬盘后，再进行升级。

9.Clipbook:启用“剪贴板查看器”储存信息并与远程计算机共享。如果不想与远程计算机进行信息共享，就可以禁止。

10.Imapi Cd-burning Com Service:用Imapi管理CD录制，虽然Win XP中内置了此功能，但是我们大多会选择专业刻录软件，另外如果没有安装刻录机的话，也可以禁止该服务。

11.Workstation:创建和维护到远程服务的客户端网络连接。如果服务停止，这些连接都将不可用。

12.Error Reporting Service:服务和应用程序在非标准环境下运行时，允许错误报告。如果你不是专业人员，这个错误报告对你来说根本没用。

参考资料：

电脑高手来教一下 谢谢

防网络攻击的（我的简单解释），如果想知道详细的，你可以在百度里面搜索“防火墙的用途”

而哪里呢，看看下面这个文章，怎么操作？具体不同的防火墙不同的操作！

八款网络防火墙主要功能介绍

一、傲盾防火墙

以Administrator身份登录Windows2000/XP后安装KFW程序，完成后重新启动加载核心程序。首次启动KFW会弹出设置向导，一般使用默认设置即可。

1、防火墙规则设置

双击任务栏的图标弹出主界面，KFW防火墙已经内置42条规则，其中包括了20条标准安全规则及22条针对主流木马程序的规则，这些规则能够确保系统安全。双击任意一条规则可以进行编辑。KFW还提供5个安全等级，一般情况下使用中、高级即可，另外，还可根据网上安全情况来动态的设置规则，比如震荡波病毒在网上猖獗时可以添加对5554、1068、445等端口的拦截。

2、应用程序规则

KFW防火墙可以对应用程序设置规则，这项功能对付木马十分有用。每当有新的程序要访问网络时，KFW都会弹出确认框，它还可以对应用程序的收发数据包进行控制，并对数据包设置跟踪。

3、数据包过滤和记录

KFW防火墙有专业级别的包内容记录功能，可以使您更深入的了解各种攻击包的结构。实时数据包地址 、类型过滤可以阻止木马的入侵和对危险端口的扫描。例如过滤蓝色代码病毒性攻击包等，也可防范ICQ、QQ的死机攻击。

4、网络端口列表

KFW防火墙的网络端口列表窗口中列出了所有使用网络端口的应用程序及其所使用的端口。 除了以上功能外，IP翻译数据库还可以显示出IP地址所对应地理位置。

二、Agnitum Outpost Firewall

Agnitum Outpost Firewall 是一款短小精悍的网络防火墙软件，它能够从系统和应用两个层面，对网络连接、广告、内容、插件、邮件附件以及攻击检测多个方面进行保护，预防来自 Cookies、广告、电子邮件病毒、后门、窃密软件、解密高手、广告软件的危害。

1、应用程序规则

Outpost 个人防火墙的应用程序过滤是一个重要功能，设置分为“禁止”、“部分允许”和“允许”三种。Outpost已经在安装时为常用的网络应用程序预设了规则，参照它们你可以手动建立新的访问规则。另外，Outpost个人防火墙还能够对电脑实施系统级的防护。局域网通信：应用于局域网的文件和打印机共享，只有在开启的状态下才能实现文件的共享。ICMP：ICMP过滤让你设置所允许的ICMP信息类型和方向。全局性过滤是创建一个通用的规则来适用于所有应用程序的过滤规则或规范低层的系统级网络活动。

2、防火墙应用

Outpost 个人防火墙的特点在于使用简单，安装运行后立刻开始工作，无须用户做复杂的设置工作。Outpost个人防火墙有五种防护模式，运行时会在系统托盘区显示目前处于哪一种防护模式下。切换模式可能通过程序在托盘图标中的右键菜单来完成。如果你发现有网络入侵时，应立即停止所有网络访问。

3、插件功能

Outpost 个人防火墙的一大特色是插件功能，这些插件之间以及与主防火墙模块之间是相互独立的，通过插件这种开放式结构，可以使功能得到进一步扩展，为对付不断出现的新型网络非法入侵提供了方便。Outpost个人防火墙默认的插件有广告过滤、入侵检测、内容过滤、附件过滤、活动内容过滤、DNS缓存等。

广告过滤：通过检测网页中的字符串和带超级链接的图象尺寸的方法，阻止网页上的旗帜广告(banner)的显示，如果想要保留某个网站中的广告，可以把它的网址添加到信任站点列表中，这样就能正常显示了。

入侵检测：可以检测到来自Internet网和局域网的多种网络入侵，其中入侵检测能够检测并阻止DoS攻击;网络扫描检测能够检测到简单的TCP和UDP端口扫描等隐身扫描。你也可以根据情况设定屏蔽入侵者IP的时间或保存接收到的可疑数据包。

内容过滤：阻止浏览符合过滤条件的网页和网站。阻止的方法有两种，一种是不显示含有过滤词汇的网页，常用于防止儿童浏览有黄色内容的网页。另一种是过滤网页URL地址，不下载符合过滤条件的网站内容。

活动内容过滤：可以控制网页和电子邮件、新闻组中的ActiveX、Java applets、JavaScript、VBSript、Cookies等网页活动脚本的动作，也可以阻止弹出式广告和FLASH动画的播放。

附件过滤：将具有危害的附件后缀名如.scr.bat.com.exe等添加到列表中，当邮件的附件中发现了这些后缀名文件时，就将其改名，防止因误操作而造成病毒发作。还提供了在线测试电脑功能。应用时选择“工具”→“在线测试计算机”命令来连接网站，选择好测试的项目单击“start test”即可。

三、GoldTach Pro “金指环”

影片《魔戒》中那个充满魔力的指环一定给你留下了深刻的印象，笔者今天介绍的“金指环GoldTach Pro”是一款个人防火墙软件，它不但可以阻止黑客的网络攻击，还具有屏蔽广告，防止恶意脚本破坏等功能，并且它的界面做得非常漂亮。

安装完毕后重新启动电脑，首次运行时会弹出学习向导，通过它你可以了解一下防火墙的基本应用。接下来是配置向导，通过它可以来进行一些基本的设置，比如本机的IP地址、安全控制级别以及要过滤的选项等，一般采用GoldTach Pro的默认设置即可。程序的界面是一个非常漂亮的金指环(如图3所示)，点击左边的三颗“宝石”可以调整安全级别，右边那只握着指环的手每根手指都是一个按钮。按下食指可以锁定网络，按下中指可以关闭所有网络连接，点击无名指和小指可以禁用和隐藏本软件。

如果你不太习惯，可以单击右边的大拇指切换到常规界面。这里除了可以象一般防火墙那样查看到端口的流量、本机和远端的IP地址、通行记录等网络状态以外，还可以查看到封包的大小以及被拦截的IP包等详细情况。下面笔者介绍一下这款防火墙的三大主要功能：

1、IP规则

开启“金指环”，当电脑中有程序首次访问网络时，会自动弹出询问提示，你可以选择禁止或放行。也可以右击托盘区的金指环程序图标，选择“规则设置”命令，在“应用程序”窗口中自行添加，然后设置这个程序是否可以访问网络、成为服务或发送邮件等内容。

在“IP封包”标签中可以设置IP规则，来阻止有害的数据包从特定的端口流入和流出。比如不允许别人访问本机的共享资源(如共享文件夹、网络打印机等，可以设置IP规则，封闭TCP134-TCP139端口。被拦截数据包的详细情况可以在“被阻塞的IP包”窗口中查看。

2、拦截病毒邮件

在“电子邮件”标签中，可以添加危险的邮件附件后缀名，比如今年蠕虫病毒经常使用的“*.scr、*.pif、vbs”等，当接收到含有此类附件的邮件时会发出警告并进行过滤，使你的安全得到充分的保障。GoldTach Pro支持包括Outlook和Foxmail在内的多种邮件客户端软件。

3、网页WSH脚本过滤

上网冲浪时，经常被扑面而来的广告搅得心烦意乱，如果再遇到网页恶意代码就更雪上加霜了，但一般防火墙只能防御普通的黑客扫描或攻击，对恶意网页和广告却无能为力。GoldTach Pro正好填补了这一空白，单击“网页内容”标签，勾选“屏蔽弹出式广告窗口”和“屏蔽浏览器窗口中的移动层”(即漂浮广告)让你的屏幕清爽起来;勾选 “自动禁止Windows Scripting Host脚本”和“屏蔽网页脚本中自动创建对象”两项，打开网页时GoldTach Pro会对网页中的代码进行逐行分析，如果遇到了恶意代码就进行屏蔽，从而使你可以免受恶意脚本的攻击。除了IE以外它还支持Netscape、 Opera等浏览器。

除了以上主要功能，GoldTach Pro还具有查看、保存进程列表和注册表启动项;修复IE右键菜单、开始菜单以及注册表编辑器等功能，非常实用。

四、Sygate Personal Firewall Pro

Sygate Personal Firewall个人防火墙能对网络、信息内容、应用程序、以及操作系统提供多层面全方位保护，可以有效而且具有前瞻性地防止黑客、木马和其它未知网络威胁的入侵。与其他的防火墙不同的是，Sygate Personal Firewall 能够从系统内部进行保护，并且可以在后台不间断地运行。另外它还提供有安全访问和访问监视功能，并可向你提供所有用户的活动报告，当检测到入侵和不当的使用后，能够立即发出警报。

安装后运行，我们可以在界面上看到不断滚动的、以曲线图方式显示的实时网络状态，其中中间部分为网络进出的流量及总量，右边为受到攻击的历史图表。下面显示的是系统中运行的程序哪些正在访问网络，具体信息包括协议、监听状态、本机和远程的端口以及IP地址等。去掉“隐藏WINDOWS服务”选项前的勾，还可以查看到所有的服务。单击下方的“Show Message Console”按钮可以显示软件的操作记录。

1、更加强大的应用程序规则

Sygate Personal Firewall Pro是以应用程序为中心的防火墙，所以它的应用程序规则设置更加强大。单击工具栏上的“Applications”按钮，列表中显示的是访问过网络的所有程序名称、路径以及规则设置，每点击一次最左边的图标，将在允许、禁止和询问间进行切换。选择一个程序点击下面的“高级”按钮，可以进行更详细的设置。例如规定它所使用的协议、端口以及IP地址段;勾选“启用时间安排”还可以设定它每天开始运行的时间以及持续的时间，超时后会自动终止它访问网络的权力。

2、限制网络邻居通信

目前有许多病毒通过局域网以及网络共享进行传播，在“工具/选项/网络邻居”中可以设置禁止本机别人浏览和共享你的文件和打印机。然后再到“常规”标签下勾选“在屏保模式时禁止网络邻居通讯”和“通知前发出声音提示”两项，以便在你离开时不会受到攻击。你还可以设置安全密码，防止别人篡改设置。

3、更多的安全保护

Sygate Personal Firewall Pro在“工具/选项/安全”中还有更多的安全设置选项，你可以选择开启入侵监测和端口扫描检测，并打开驱动程序级保护、NETBIOS保护，这样当受到攻击例如特洛伊木马恶意下载、拒绝服务(DoS)攻击等，它能够自动切断与对方主机的连接，你可以设置中断与这一IP连接的持续时间，单位为秒，默认为 10分钟。另外你还可开启隐身模式浏览、反IP欺骗、反MAC欺骗等选项，以防止黑客获得你的计算机信息。

4、安全测试

Sygate Personal Firewall Pro还提供了在线安全测试功能，点击工具栏上的“TEXT”按钮，打开测试网页，左边列出了6种不同方式的在线安全测试：

Quick scan：常规快速扫描，包括计算机端口，协议，服务和特洛伊木马等。速度比较快，一般不超过一分钟。Quickscan完成后，操作将被记入Sygate Personal Firewall Pro安全日志中。

Stealth scan 使用特别的偷听技巧扫描，它模仿合法的计算机通讯来检测计算机的存在。速度与第一项差不多。

Trojan scan：扫描计算机上所有的65535个端口，来寻找活动的特洛伊木马程序。Trojan scan至少要耗时10分钟才能完成，网站上有常见特洛伊木马的列表。

TCP scan：检测为TCP服务预留的1024个端口，比如即时消息服务等，获知那些端口是打开的。打开的端口暗示着安全漏洞，这些漏洞可以被恶意的黑客利用。

UDP scan：使用不同的方法和协议探测UDP的开放端口。将扫描路由器和用户上网代理服务器等类似设备，耗时大约10分钟。 所有动作将被记录到Sygate Personal Firewall安全日志中。

当进行扫描时请关闭包括Sygate Personal Firewall在内的所有防火墙，否则可能所有的扫描都将会被阻止，每项扫描完成后会显示出结果和可入侵性评估。Sygate Personal Firewall还具有自动在线升级、电子邮件到达通知等功能。

五、ZoneAlarm

ZoneAlarm 是一款老牌的防火墙产品，最新的V5.0版本性能稳定，对资源的要求不高，非常适合家庭个人用户的使用。能够监视来自网络内外的通讯情况，同时兼具危险附件隔离、cookies保护和弹出式广告条拦截等六大特色功能。安装后运行，在系统概要中你可以自行设置程序界面的颜色、修改密码以及自动更新等内容。软件本身带有一个简单的使用教程，但要想发挥最大性能还需要手动进行设置。

1、网络防火墙的应用

在ZoneAlarm中单击“防火墙”标签，我们可以看到ZoneAlarm将用户的网络连接安全区域分为三类：Internet区域、可信任区域和禁止区域。通过调整滑块可以方便的改变各个区域安全级别，当设置为最高时，你的计算机将在网络上不可见，并禁止一切共享。

除此以外，单击“定制”按钮你还可以自行定义防火墙允许对外开发的系统端口。例如，我们想允许对外的DNS和DHCP服务，则选中“允许出站DNS”和“允许出站 DHCP”前的复选框。如果本机上架设了Web服务器，希望外部可以访问，则选中“允许出站TCP 端口”，并在下方的“端口”框中输入Web服务器的端口号“80”，如果有多个端口，需要以逗号隔开，但注意要使用半角字符，否则无效。如“21，80， 8080”或“21，80，2000-2100”，单击确定后即可生效。

在高级标签中，你还可以设置到达某一时间自动禁止所有或部分网络连接，这样可以控制你的上网时间。

2、应用程序控制

当本机的某个应用程序首次访问网络时，ZoneAlarm会自动弹出黄色的对话框，询问是否允许该程序访问网络，否则会弹出蓝色的重复程序提示框。在“程序控制”中你可以通过滑块来调整控制级别，当调到最高时将开启高级程序控制(即当一个程序试图利用其他程序访问网络时将会通知你)和组件控制(即进行程序身份验证，防止恶意程序替换原程序来访问网络)。在“程序”选项卡中你可以自己进行添加和修改程序访问权限，在“组件”选项中卡显示有DLL和OCX等文件的详细资料，对于可疑的文件可以设置访问网络时进行询问。

3、隐私保护

ZoneAlarm提供了强大的隐私保护功能，主要包括Cookie、弹出式广告和活动脚本三个方面。①调整Cookie滑块可以禁止会话Cookie和永久Cookie的写入，还可以自定义Cookie过期时间，比如收到后立即失效或过N天后失效。②广告过滤可以拦截弹出式广告窗口、网页上的动画广告以及横幅、纵幅广告等。你可以根据自己的喜好选择在原广告位置显示的内容，例如空白、AD字符串或者鼠标移动上去后显示广告窗口。③打开活动脚本控制，可以选择屏蔽Javascript、vbscript、嵌入对象(java、ActiveX)以及MIME对象等，以防止脚本病毒侵入。④另外ZoneAlarm还提供了手动和定期清理缓存，清除系统中各种文档记录、IE记录、播放器记录以及文件碎片等功能。

4、邮件保护

针对目前邮件病毒越来越多的情况，ZoneAlarm提供了对发送和接收邮件的保护功能，你可以手动添加需要过滤的附件文件后缀名，比如“SCR、PIF、SHS、VBS”等，当软件检测到邮件中的附件，携带有病毒或恶意程序时将会自动进行隔离。

5、网页过滤

网页过滤中包括家长控制和智能过滤两种措施，另外在你还可以自已设定要屏蔽的网站类型，例如暴力、**、游戏等。

6、ID锁

随着网络交流方式的普及，我们可能在不经意间随手把一些个人资料，比如银行帐号、网络游戏帐号或邮箱密码等重要信息，直接明文写在邮件中发送给朋友，其实这样做是非常危险，因为邮件可能因服务器出错而错投给别人，还可能被电脑病毒、木马程序以及黑客等记录、截留或窃取，给你带来重大损失。ZoneAlarm 中的ID锁功能可以防止这些重要的资料被泄露出去。首先打开“ID锁→我的保险箱”进行添加，类别可以是银行帐户、电话、家庭地址、邮件地址以及各类密码等信息，再输入信息内容和简短说明。为了防止这些明文信息被别人偷看，你一定要勾选“加密这个数据”选项，软件将采用工业标准SHA-1算法来进行保护(密码数据会直接显示为星号)，最后选中“WEB”和“电子邮件”即可。这样当软件扫描到你所发送的电子邮件、或WEB页中包含有这些数据信息时，就会自动进行拦截并弹出警告窗口提醒你。

经过以上一番设置一定花费了你不少时间，不过你不用担心重装系统后进行重复劳动，因为“系统概要”中提供了安全设置备份功能，你可以把所有设置保存为一个.xml文件，需要时点击“恢复”按钮打开这个文件即可。

六、Kaspersky Anti-Hacker

Kaspersky Anti-Hacker 是卡巴斯基公司出品的一款非常优秀的网络安全防火墙。它能保证你的电脑不被黑客入侵和攻击，全方位保护你的数据安全。

先安装英文原程序，再运行汉化包对软件进行汉化。重启后自动运行，单击托盘中的图标打开程序。在窗口中显示的是当前的安全级别，Kaspersky Anti-Hacker把网络安全共分别五个级别，一般用户选择默认级别“中”即可。

1、 应用程序规则

Kaspersky Anti-Hackert个人防火墙的应用级规则是一个重要功能，通过实施应用及过滤，可以让你决定哪些应用程序可以访问网络。当Kaspersky Anti-Hacker成功安装后，会自动把一些安全的有网络请求的程序，添加到程序规则列表中，并且根据每个程序的情况添加适当规则，Anti- Hacker把程序共分9种类型，比如：OE为邮件类，MSN是即时通讯类，不同类型的访问权限不同。双击列表中的规则可进行编辑，如果对选中的程序比较了解，还可以自定义规则，为程序规定的访问的协议和端口，这对防范木马程序是非常有用。

2、 包过滤规则

Kaspersky Anti-Hacker提供包过滤规则，主要是针对电脑系统中的各种应用服务和黑客攻击来制定的，点击“服务/包过滤规则”菜单，打开包过滤规则窗口。双击可以进行编辑，这些规则把服务细化到通过固定端口和协议来访问网络。比如DNS域名服务只能通过UDP协议和53端口来访问网络。这样可以为电脑提供最大的安全保障。

3、 网络防火墙的应用

Kaspersky Anti-Hacker防火墙可以阻止10种各类攻击，入侵检测系统默认是启动的。打开“服务/设置”菜单，切换到“入侵检测系统”标签，可以调整每项的具体参数的设置，以扫描TCP端口为例，默认是当扫描到15个端口和5秒钟就认为遭到TCP端口扫描攻击，开始对攻击的IP进行60分的通讯拦截。由于网络状况是千变万化的，当遭到频繁攻击时，你可以适当提高灵敏度或修改拦截的时间。上网时当遭到黑客攻击时，防火墙的程序主窗口会自动弹出，并在窗口级别的下方显示出攻击的类型和端口。这时你可以根据情况禁用攻击者的远程IP地址与你的电脑之间的通讯，并且在包过滤规则中添加上禁止该IP 地址通讯的规则，这样以后就再不会遭到来自该地址的攻击了。如果上述方法不能奏效,还可以选择全部拦截或者暂时断开网络。

Kaspersky Anti-Hacker防火墙还有非常强大的日志功能，一切网络活动都会记录在日志中。从中可查找出黑客留下的蛛丝马迹，对防范攻击是非常有帮助的。另外，Kaspersky Anti-Hacker还能查看端口和已建立的网络连接情况，在这就不一一介绍了。

七、天网防火墙

天网防火墙(SkyNet-FireWall)个人版由天网安全实验室制作。它根据系统管理者设定的安全规则(Security?Rules)把守网络，提供强大的访问控制、应用选通、信息过滤等功能。它可以帮你抵挡网络入侵和攻击，防止信息泄露，并可与天网安全实验室的网站()相配合，根据可疑的攻击信息，来找到攻击者。近来“天网防火墙”又推出了其最新版本V2.7，更新采用了3.0的数据包过滤引擎，并增加了专门的安全规则管理模块，让用户可以随意导入导出安全规则。

1、设置应用程序权限

设置应用程序权限是天网高级设置里的一项功能。“天网防火墙”预置有低、中、高三个安全级别。如果把鼠标指针置于某个级别上时，即可显示出其详细说明，据此可为用户选择提供一个参考。普通用户使用这三项就够了。为了避免一切可能的攻击，就好调节级别为高，这样即可屏蔽所有开放端口，无论是在互联网还是局域网中，均无法找到本机的踪迹。一般情况下，当有新的应用程序要访问网络时，“天网防火墙”就会弹出警告对话框，询问用户是允许还是禁止。仔细观察一下程序文件名，如果你认为程序可疑，则可禁止网络连接。此外，在“应用程序访问网络权限设置”界面中，可以这各种需访问网络的软件，分别定制规则，在此可限制 TCP、UDP协议及TCP协议允许访问端口范围，当不符合条件时，程序将询问用户或禁止操作。

注意：上述方法适合在新装系统的计算机上应用。已经使用很久的计算机，由于不能确认某些程序是否有危害，该方法就显得不太适合，可以参考下面所讲的自定义IP规则的方法。

2、自定义IP规则

设置应用程序权限只能防止恶意程序或木马向外发送、泄露你的机密，但是它不能防止黑客的主动攻击。如何让恶意信息不能溜过天网的监视和拦截呢?这就需要我们自定义IP规则。当我们选择“自定义”安全级别后，即可自行添加、编辑IP规则。为了防御入侵，如139漏洞、震荡波等，可利用IP规则封杀指定 TCP/UDP端口。但如果我们对此不甚精通时，还可以直接下载天网主页提供的适应于各种网络环境的安全规则库，如木马和间谍程序防御规则、局域网访问控制等规则并将其导入即可。

3、应用IP规则防止常见病毒

通过自定义IP规则也可以防范病毒。IP规则自定义基本步骤：首先，单击安全级别上的标记，在这里我们可以看到天网已经内置了不少安全规则了。这些设置都十分有用，例如防范Ping命令探测、防范ICMP、IGMP攻击、防范NetBIOS漏洞等。我们可以保留这些安全规则，自己再添加适合本机情况的安全规则。方法是单击“空规则”，在弹出的设置界面中设置规则名称和满足条件，按下“确定”后，在已经设置好的新规则名称前面打一个勾，这样新规则就会被启用了。下面以防范震荡波为例。单击“空规则”，填写规则的“名称”为 “防范震荡波”;数据包方向设置为“接受或发送”;“对方IP地址”设置为“任何地址”。切换下面的书签到“TCP”，震荡波使用的协议是TCP，监听端口为1068和5554，所以我们设置“本地端口”为“从1068到1068”;选择“当满足上面条件时”“拦截”。最后单击“确定”。以同样的方法再添加禁用5554端口的规则。这样震荡波就不会对你危害了。

八、BlackICE PC Protection

BlackICE防火墙具有相当强大的数据信息过滤系统，能过辨别网络恶意攻击和恶意数据扫描。可以识别200多种入侵方式。

先安装英文原程序，再运行汉化包对软件进行汉化,重启电脑后自动运行对系统进行扫描，双击托盘图标打开BlackICE程序。

1、防火墙应用

BlackICE 程序中有三个标签，在“历史”标签中，可即时查看到目前总共被攻击事件及强度，网络的流量状况等。在“入侵者”标签中，显示的是攻击者的IP地址，攻击的强弱可由前面的的符号颜色来分辨。红色代表最为强烈的攻击。在“事件”标签，显示不正常封包攻击的列表。

2、高级应用程序保护设置

当BlackICE 防火墙安装完毕后会对电脑内的应用程序进行扫描，并为每个程序制定权限，当有未知程序运行时，会弹出对话框进行询问。默认情况下BlackICE会对电脑中包括(.com、.exe、.dll、.drv、.ocx、.sys、.vxd、.scr)在内的8种文件进行自动校验保护。另外我们还可以在“回溯 ”标签下设置跟踪黑客的线索数。

tcp/ ip中的端口号是如何规定的呢？

端口的取值范围是：0-65535。

在这个取值范围中1023以下的端口已经分配给了常用的一些应用程序，这个数字以后的端口部分被使用，所以网络编程可用的端口一般在1024之后选取。

在网络技术中，端口(Port)大致有两种意思：

1、物理意义上的端口，比如，ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口，如RJ-45端口、SC端口等等；

2、逻辑意义上的端口，一般是指TCP/IP协议中的端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等等。

扩展资料

各个端口及端口号的实际用途

1、1系端口

POP3服务器开放102端口，用于接收邮件，客户端访问服务器端的邮件服务；NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器；137、138是UDP端口，当通过网上邻居传输文件时用这个端口。

2、2系端口

FTP服务器开放的21端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录；PcAnywhere建立的TCP和22端口的连接可能是为了寻找ssh；扫描23端口是为了找到机器运行的操作系统。

3、3系端口

轻型目录访问协议和NetMeeting Internet Locator Server共用389端口。

4、4系端口

网页浏览443端口，能提供加密和通过安全端口传输的另一种HTTP；木马HACKERS PARADISE开放456端口。

参考资料来源：百度百科-端口号

参考资料来源：百度百科-网络端口

常见的网络攻击方法和防御技术

网络攻击类型

侦查攻击：

搜集网络存在的弱点，以进一步攻击网络。分为扫描攻击和网络监听。

扫描攻击：端口扫描，主机扫描，漏洞扫描。

网络监听：主要指只通过软件将使用者计算机网卡的模式置为混杂模式，从而查看通过此网络的重要明文信息。

端口扫描：

根据 TCP 协议规范，当一台计算机收到一个TCP 连接建立请求报文（TCP SYN） 的时候，做这样的处理：

1、如果请求的TCP端口是开放的，则回应一个TCP ACK 报文， 并建立TCP连接控制结构（TCB）；

2、如果请求的TCP端口没有开放，则回应一个TCP RST（TCP头部中的RST标志设为1）报文，告诉发起计算机，该端口没有开放。

相应地，如果IP协议栈收到一个UDP报文，做如下处理：

1、如果该报文的目标端口开放，则把该UDP 报文送上层协议（UDP ） 处理， 不回应任何报文（上层协议根据处理结果而回应的报文例外）；

2、如果该报文的目标端口没有开放，则向发起者回应一个ICMP 不可达报文，告诉发起者计算机该UDP报文的端口不可达。

利用这个原理，攻击者计算机便可以通过发送合适的报文，判断目标计算机哪些TC 或UDP端口是开放的。

过程如下：

1、发出端口号从0开始依次递增的TCP SYN或UDP报文（端口号是一个16比特的数字，这样最大为65535，数量很有限）；

2、如果收到了针对这个TCP 报文的RST 报文，或针对这个UDP 报文 的 ICMP 不可达报文，则说明这个端口没有开放；

3、相反，如果收到了针对这个TCP SYN报文的ACK报文，或者没有接收到任何针对该UDP报文的ICMP报文，则说明该TCP端口是开放的，UDP端口可能开放（因为有的实现中可能不回应ICMP不可达报文，即使该UDP 端口没有开放） 。

这样继续下去，便可以很容易的判断出目标计算机开放了哪些TCP或UDP端口，然后针对端口的具体数字，进行下一步攻击，这就是所谓的端口扫描攻击。

主机扫描即利用ICMP原理搜索网络上存活的主机。

网络踩点（Footprinting）

攻击者事先汇集目标的信息，通常采用whois、Finger等工具和DNS、LDAP等协议获取目标的一些信息，如域名、IP地址、网络拓扑结构、相关的用户信息等，这往往是黑客入侵之前所做的第一步工作。

扫描攻击

扫描攻击包括地址扫描和端口扫描等，通常采用ping命令和各种端口扫描工具，可以获得目标计算机的一些有用信息，例如机器上打开了哪些端口，这样就知道开设了哪些服务，从而为进一步的入侵打下基础。

协议指纹

黑客对目标主机发出探测包，由于不同操作系统厂商的IP协议栈实现之间存在许多细微的差别（也就是说各个厂家在编写自己的TCP/IP 协议栈时，通常对特定的RFC指南做出不同的解释），因此各个操作系统都有其独特的响应方法，黑客经常能确定出目标主机所运行的操作系统。

常常被利用的一些协议栈指纹包括：TTL值、TCP窗口大小、DF 标志、TOS、IP碎片处理、 ICMP处理、TCP选项处理等。

信息流监视

这是一个在共享型局域网环境中最常采用的方法。

由于在共享介质的网络上数据包会经过每个网络节点， 网卡在一般情况下只会接受发往本机地址或本机所在广播（或多播）地址的数据包，但如果将网卡设置为混杂模式（Promiscuous），网卡就会接受所有经过的数据包。

基于这样的原理，黑客使用一个叫sniffer的嗅探器装置，可以是软件，也可以是硬件）就可以对网络的信息流进行监视，从而获得他们感兴趣的内容，例如口令以及其他秘密的信息。

访问攻击

密码攻击：密码暴力猜测，特洛伊木马程序，数据包嗅探等方式。中间人攻击：截获数据，窃听数据内容，引入新的信息到会话，会话劫持（session hijacking）利用TCP协议本身的不足，在合法的通信连接建立后攻击者可以通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接，从而假冒被接管方与对方通信。

拒绝服务攻击

伪装大量合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务响应。

要避免系统遭受DoS 攻击，从前两点来看，网络管理员要积极谨慎地维护整个系统，确保无安全隐患和漏洞；

而针对第四点第五点的恶意攻击方式则需要安装防火墙等安 全设备过滤DoS攻击，同时强烈建议网络管理员定期查看安全设备的日志，及时发现对系统存在安全威胁的行为。

常见拒绝服务攻击行为特征与防御方法

拒绝服务攻击是最常见的一类网络攻击类型。

在这一攻击原理下，它又派生了许多种不同的攻击方式。

正确了解这些不同的拒绝攻击方式，就可以为正确、系统地为自己所在企业部署完善的安全防护系统。

入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为。

要有效的进行反攻击，首先必须了解入侵的原理和工作机理，只有这样才能做到知己知彼，从而有效的防止入侵攻击行为的发生。



下面我们针对几种典型的拒绝服务攻击原理进行简要分析，并提出相应的对策。

死亡之Ping（ Ping of death）攻击

由于在早期的阶段，路由器对包的最大大小是有限制的，许多操作系统TCP/IP栈规定ICMP包的大小限制在64KB 以内。

在对ICMP数据包的标题头进行读取之后，是根据该标题头里包含的信息来为有效载荷生成缓冲区。

当大小超过64KB的ICMP包，就会出现内存分配错误，导致TCP/IP堆栈崩溃，从而使接受方计算机宕机。

这就是这种“死亡之Ping”攻击的原理所在。

根据这一攻击原理，黑客们只需不断地通过Ping命令向攻击目标发送超过64KB的数据包，就可使目标计算机的TCP/IP堆栈崩溃，致使接受方宕机。

防御方法：

现在所有的标准TCP/IP协议都已具有对付超过64KB大小数据包的处理能力，并且大多数防火墙能够通过对数据包中的信息和时间间隔分析，自动过滤这些攻击。

Windows 98 、Windows NT 4.0（SP3之后）、Windows 2000/XP/Server 2003 、Linux 、Solaris和Mac OS等系统都已具有抵抗一般“Ping of death ”拒绝服务攻击的能力。

此外，对防火墙进行配置，阻断ICMP 以及任何未知协议数据包，都可以防止此类攻击发生。

泪滴（ teardrop）攻击

对于一些大的IP数据包，往往需要对其进行拆分传送，这是为了迎合链路层的MTU（最大传输单元）的要求。

比如，一个6000 字节的IP包，在MTU为2000的链路上传输的时候，就需要分成三个IP包。

在IP 报头中有一个偏移字段和一个拆分标志（MF）。

如果MF标志设置为1，则表面这个IP包是一个大IP包的片断，其中偏移字段指出了这个片断在整个 IP包中的位置。

例如，对一个6000字节的IP包进行拆分（MTU为2000），则三个片断中偏移字段的值依次为：0，2000，4000。

这样接收端在全部接收完IP数据包后，就可以根据这些信息重新组装没正确的值，这样接收端在收后这些分拆的数据包后就不能按数据包中的偏移字段值正确重合这些拆分的数据包，但接收端会不断偿试，这样就可能致使目标计算朵操作系统因资源耗尽而崩溃。

泪滴攻击利用修改在TCP/IP 堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。

IP分段含有指示该分段所包含的是原包的哪一段的信息，某些操作系统（如SP4 以前的 Windows NT 4.0 ）的TCP/IP 在收到含有重叠偏移的伪造分段时将崩溃，不过新的操作系统已基本上能自己抵御这种攻击了。

防御方法：

尽可能采用最新的操作系统，或者在防火墙上设置分段重组功能，由防火墙先接收到同一原包中的所有拆分数据包，然后完成重组工作，而不是直接转发。

因为防火墙上可以设置当出现重叠字段时所采取的规则。

TCP SYN 洪水（TCP SYN Flood）攻击

TCP/IP栈只能等待有限数量ACK（应答）消息，因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。

如果这一缓冲区充满了等待响应的初始信息，则该计算机就会对接下来的连接停止响应，直到缓冲区里的连接超时。

TCP SYN 洪水攻击正是利用了这一系统漏洞来实施攻击的。

攻击者利用伪造的IP地址向目标发出多个连接（SYN）请求。

目标系统在接收到请求后发送确认信息，并等待回答。

由于黑客们发送请示的IP地址是伪造的，所以确认信息也不会到达任何计算机，当然也就不会有任何计算机为此确认信息作出应答了。

而在没有接收到应答之前，目标计算机系统是不会主动放弃的，继续会在缓冲区中保持相应连接信息，一直等待。

当达到一定数量的等待连接后，缓区部内存资源耗尽，从而开始拒绝接收任何其他连接请求，当然也包括本来属于正常应用的请求，这就是黑客们的最终目的。

防御方法：

在防火墙上过滤来自同一主机的后续连接。

不过“SYN洪水攻击”还是非常令人担忧的，由于此类攻击并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。

防火墙的具体抵御TCP SYN 洪水攻击的方法在防火墙的使用手册中有详细介绍。

Land 攻击

这类攻击中的数据包源地址和目标地址是相同的，当操作系统接收到这类数据包时，不知道该如何处理，或者循环发送和接收该数据包，以此来消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。

防御方法：

这类攻击的检测方法相对来说比较容易，因为它可以直接从判断网络数据包的源地址和目标地址是否相同得出是否属于攻击行为。

反攻击的方法当然是适当地配置防火墙设备或包过滤路由器的包过滤规则。

并对这种攻击进行审计，记录事件发生的时间，源主机和目标主机的MAC地址和IP地址，从而可以有效地分析并跟踪攻击者的来源。

Smurf 攻击

这是一种由有趣的卡通人物而得名的拒绝服务攻击。

Smurf攻击利用多数路由器中具有同时向许多计算机广播请求的功能。

攻击者伪造一个合法的IP地址，然后由网络上所有的路由器广播要求向受攻击计算机地址做出回答的请求。

由于这些数据包表面上看是来自已知地址的合法请求，因此网络中的所有系统向这个地址做出回答，最终结果可导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，这也就达到了黑客们追求的目的了。

这种Smurf攻击比起前面介绍的“Ping of Death ”洪水的流量高出一至两个数量级，更容易攻击成功。

还有些新型的Smurf攻击，将源地址改为第三方的受害者（不再采用伪装的IP地址），最终导致第三方雪崩。

防御方法：

关闭外部路由器或防火墙的广播地址特性，并在防火墙上设置规则，丢弃掉ICMP协议类型数据包。

Fraggle 攻击

Fraggle 攻击只是对Smurf 攻击作了简单的修改，使用的是UDP协议应答消息，而不再是ICMP协议了（因为黑客们清楚 UDP 协议更加不易被用户全部禁止）。

同时Fraggle攻击使用了特定的端口（通常为7号端口，但也有许多使用其他端口实施 Fraggle 攻击的），攻击与Smurf 攻击基本类似，不再赘述。

防御方法：

关闭外部路由器或防火墙的广播地址特性。在防火墙上过滤掉UDP报文，或者屏蔽掉一些常被黑客们用来进Fraggle攻击的端口。

电子邮件炸弹

电子邮件炸弹是最古老的匿名攻击之一，通过设置一台计算机不断地向同一地址发送大量电子邮件来达到攻击目的，此类攻击能够耗尽邮件接受者网络的带宽资源。

防御方法：

对邮件地址进行过滤规则配置，自动删除来自同一主机的过量或重复的消息。

虚拟终端（VTY）耗尽攻击

这是一种针对网络设备的攻击，比如路由器，交换机等。

这些网络设备为了便于远程管理，一般设置了一些TELNET用户界面，即用户可以通过TELNET到该设备上，对这些设备进行管理。

一般情况下，这些设备的TELNET用户界面个数是有限制的。比如，5个或10个等。

这样，如果一个攻击者同时同一台网络设备建立了5个或10个TELNET连接。

这些设备的远程管理界面便被占尽，这样合法用户如果再对这些设备进行远程管理，则会因为TELNET连接资源被占用而失败。

ICMP洪水

正常情况下，为了对网络进行诊断，一些诊断程序，比如PING等，会发出ICMP响应请求报文（ICMP ECHO），接收计算机接收到ICMP ECHO 后，会回应一个ICMP ECHO Reply 报文。

而这个过程是需要CPU 处理的，有的情况下还可能消耗掉大量的资源。

比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文（产生ICMP洪水），则目标计算机会忙于处理这些ECHO 报文，而无法继续处理其它的网络数据报文，这也是一种拒绝服务攻击（DOS）。

WinNuke 攻击

NetBIOS 作为一种基本的网络资源访问接口，广泛的应用于文件共享，打印共享， 进程间通信（ IPC），以及不同操作系统之间的数据交换。

一般情况下，NetBIOS 是运行在 LLC2 链路协议之上的，是一种基于组播的网络访问接口。

为了在TCP/IP协议栈上实现NetBIOS ，RFC规定了一系列交互标准，以及几个常用的 TCP/UDP 端口：

139：NetBIOS 会话服务的TCP 端口；

137：NetBIOS 名字服务的UDP 端口；

136：NetBIOS 数据报服务的UDP 端口。

WINDOWS操作系统的早期版本（WIN95/98/NT ）的网络服务（文件共享等）都是建立在NetBIOS之上的。

因此，这些操作系统都开放了139端口（最新版本的WINDOWS 2000/XP/2003 等，为了兼容，也实现了NetBIOS over TCP/IP功能，开放了139端口）。

WinNuke 攻击就是利用了WINDOWS操作系统的一个漏洞，向这个139端口发送一些携带TCP带外（OOB）数据报文。

但这些攻击报文与正常携带OOB数据报文不同的是，其指针字段与数据的实际位置不符，即存在重合，这样WINDOWS操作系统在处理这些数据的时候，就会崩溃。

分片 IP 报文攻击

为了传送一个大的IP报文，IP协议栈需要根据链路接口的MTU对该IP报文进行分片，通过填充适当的IP头中的分片指示字段，接收计算机可以很容易的把这些IP 分片报文组装起来。

目标计算机在处理这些分片报文的时候，会把先到的分片报文缓存起来，然后一直等待后续的分片报文。

这个过程会消耗掉一部分内存，以及一些IP协议栈的数据结构。

如果攻击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等待（直到一个内部计时器到时）。

如果攻击者发送了大量的分片报文，就会消耗掉目标计 算机的资源，而导致不能相应正常的IP报文，这也是一种DOS攻击。

T

分段攻击。利用了重装配错误，通过将各个分段重叠来使目标系统崩溃或挂起。

欢迎关注的我的头条号，私信交流，学习更多的网络技术！

什么是端口，怎么才能知道对方的端口号

端口概念

在网络技术中，端口（Port）大致有两种意思：一是物理意义上的端口，比如，ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口，如RJ-45端口、SC端口等等。二是逻辑意义上的端口，一般是指TCP/IP协议中的端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等等。我们这里将要介绍的就是逻辑意义上的端口。

端口分类

逻辑意义上的端口有多种分类标准，下面将介绍两种常见的分类：

1. 按端口号分布划分

（1）知名端口（Well-Known Ports）

知名端口即众所周知的端口号，范围从0到1023，这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配给HTTP服务，135端口分配给RPC（远程过程调用）服务等等。

（2）动态端口（Dynamic Ports）

动态端口的范围从1024到65535，这些端口号一般不固定分配给某个服务，也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请，那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后，就会释放所占用的端口号。

不过，动态端口也常常被病毒木马程序所利用，如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。

2. 按协议类型划分

按协议类型划分，可以分为TCP、UDP、IP和ICMP（Internet控制消息协议）等端口。下面主要介绍TCP和UDP端口：

（1）TCP端口

TCP端口，即传输控制协议端口，需要在客户端和服务器之间建立连接，这样可以提供可靠的数据传输。常见的包括FTP服务的21端口，Telnet服务的23端口，SMTP服务的25端口，以及HTTP服务的80端口等等。

（2）UDP端口

UDP端口，即用户数据包协议端口，无需在客户端和服务器之间建立连接，安全性得不到保障。常见的有DNS服务的53端口，SNMP（简单网络管理协议）服务的161端口，QQ使用的8000和4000端口等等

回答者： 327711 - 助理 二级 12-11 07:44

在网络技术中，端口（Port）大致有两种意思：一是物理意义上的端口，比如，ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口，如RJ-45端口、SC端口等等。二是逻辑意义上的端口，一般是指TCP/IP协议中的端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等等。我们这里将要介绍的就是逻辑意义上的端口。

查看端口

在Windows 2000/XP/Server 2003中要查看端口，可以使用Netstat命令：

依次点击“开始→运行”，键入“cmd”并回车，打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”，按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。

关闭/开启端口

在介绍各种端口的作用前，这里先介绍一下在Windows中如何关闭/打开端口，因为默认的情况下，有很多不安全的或没有什么用的端口是开启的，比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性，我们可以通过下面的方法来关闭/开启端口。

关闭端口

比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol （SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。

开启端口

如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。

提示：在Windows 98中没有“服务”选项，你可以使用防火墙的规则设置功能来关闭/开启端口。

端口分类

逻辑意义上的端口有多种分类标准，下面将介绍两种常见的分类：

1. 按端口号分布划分

（1）知名端口（Well-Known Ports）

知名端口即众所周知的端口号，范围从0到1023，这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配给HTTP服务，135端口分配给RPC（远程过程调用）服务等等。

（2）动态端口（Dynamic Ports）

动态端口的范围从1024到65535，这些端口号一般不固定分配给某个服务，也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请，那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后，就会释放所占用的端口号。

不过，动态端口也常常被病毒木马程序所利用，如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。

2. 按协议类型划分

按协议类型划分，可以分为TCP、UDP、IP和ICMP（Internet控制消息协议）等端口。下面主要介绍TCP和UDP端口：

（1）TCP端口

TCP端口，即传输控制协议端口，需要在客户端和服务器之间建立连接，这样可以提供可靠的数据传输。常见的包括FTP服务的21端口，Telnet服务的23端口，SMTP服务的25端口，以及HTTP服务的80端口等等。

（2）UDP端口

UDP端口，即用户数据包协议端口，无需在客户端和服务器之间建立连接，安全性得不到保障。常见的有DNS服务的53端口，SNMP（简单网络管理协议）服务的161端口，QQ使用的8000和4000端口等等。

常见网络端口

网络基础知识!端口对照

端口：0

服务：Reserved

说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。

端口：1

服务：tcpmux

说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。

端口：7

服务：Echo

说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。

端口：19

服务：Character Generator

说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

端口：21

服务：FTP

说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口：22

服务：Ssh

说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。

端口：23

服务：Telnet

说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

端口：25

服务：SMTP

说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口：31

服务：MSG Authentication

说明：木马Master Paradise、Hackers Paradise开放此端口。

端口：42

服务：WINS Replication

说明：WINS复制

端口：53

服务：Domain Name Server（DNS）

说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。

端口：67

服务：Bootstrap Protocol Server

说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

端口：69

服务：Trival File Transfer

说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。

端口：79

服务：Finger Server

说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。

端口：80

服务：HTTP

说明：用于网页浏览。木马Executor开放此端口。

端口：99

服务：Metagram Relay

说明：后门程序ncx99开放此端口。

端口：102

服务：Message transfer agent(MTA)-X.400 over TCP/IP

说明：消息传输代理。

端口：109

服务：Post Office Protocol -Version3

说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口：110

服务：SUN公司的RPC服务所有端口

说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

端口：113

服务：Authentication Service

说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。

端口：119

服务：Network News Transfer Protocol

说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端口：135

服务：Location Service

说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。

端口：137、138、139

服务：NETBIOS Name Service

说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

端口：143

服务：Interim Mail Access Protocol v2

说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。

端口：161

服务：SNMP

说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信

80端口和8080端口

楼上没有回到到重点，什么是端口号，就像你进入一栋大楼，有很多入口，不同的人走不同的入口，那我们计算机网络服务程序要交换数据，每个网络服务程序都有自己的一个端口号。80是WWW的默认端口号，而8080并没有指定的网络服务程序使用的端口号，是用户自己定义的，WWW的端口号默认是80，也是可以更改的，比例你可以更改为8080，这样下次在打开你的网站的时候就要在域名后面加上端口号，所以说端口号也是可以根据用户需要更改的，如果您想了解更多的端口号 请参看

风行网络学校 计算机常用端口一览表

风行网络学校文章全面认识你的网络端口