Porty sieciowe w Windows.pdf

Drukowana wersja tematu

Kliknij tu, aby zobaczyć temat w orginalnym formacie

P2P & Wyszukiwarki & Windows & Hardware _ Wirusy i Spyware Bezpieczeństwo w

sieci _ Odliczanie 60 sekund + Generic Host Process

Napisany przez: picasso 20/06/2003, 7:55

Robaki sieciowe / ataki DoS / Spam Posłańca

Objawy: Bardzo spowolniona sieć, trudności w ładowaniu stron www, a nawet całkowity zanik internetu.

MoŜliwe okoliczności towarzyszące to: charakterystyczny błąd 60 sekund odliczania i wynikowo

samoczynny reset komputera lub teŜ błąd "Generic Host Process.....", zaobserwowaliśmy teŜ jako jeden

ze znaków przebarwianie paska zadań na jakby "klasyczny". Błędy 60 sekund zostały rozpoczęte przez

bardzo juŜ archaiczne robaki Blaster Sasser i obecnie mogą być generowane przez róŜne inne robaki i

NIE TYLKO (teŜ rootkity a nawet spyware) więc proszę się nie sugerować typem błędu. I uwaga: błąd 60

sec wcale nie znaczy iŜ komputer jest juŜ zainfekowany, to moŜe świadczyć tylko o ataku na komputer

bez tworzenia plików robaków na dysku.

Usuwanie: Na samym początku naleŜy bezwzględnie zastosować opisany poniŜej Windows Worms Doors

Cleaner by zamknąć drogę ataku robaków i spamu Posłańca. W dalszej kolejności udać się po pomoc

podając na forum stosowne logi.

. Porty Opis i zagroŜenia

. Automatyczne zamykanie portów:

____ . Windows Worms Doors Cleaner

____ . Seconfig XP

. Prawidłowe instalowanie Windows 2000/XP/2003

. Błąd Generic Host Process for Win32 Services

Napisany przez: picasso 29/08/2003, 5:49

Firewall a całkowite zamykanie specyficznych portów

135, 137139, 445, 1900, 5000

Osobna zapora softwarowa (typu: ZoneAlarm / Kerio / Outpost etc.) nie jest rozwiązaniem

wystarczającym w tej materii, gdyŜ to czym się zajmuje firewall to nie całkowite zamykanie omawianych

tu portów lecz jedynie blokowanie do nich dostępu poprzez filtrowanie ruchu sieciowego. To oznacza iŜ

komponenty, które korzystają z tych portów, są nadal uruchomione. W takiej sytuacji firewall musi być

cały czas aktywny by ochrona miała miejsce i jesteśmy od tego faktu uzaleŜnieni (chwilowe wyłączenie

zapory lub jej wyłoŜenie się na błędzie jest ekspozycją na zagroŜenie). Ponadto zarówno komponenty

Windows pracujące na tych portach jak i firewall startują wspólnie podczas uruchamiania komputera, a

które z nich zainicjuje się pierwsze (czyli będzie mieć szansę na forsowanie własnych zadań) jest zagadką

wynikającą z masy czynników konfiguracyjnych.

PoniŜej przedstawiam skrócony opis kluczowych portów wraz z ręczną metodą ich zamykania, która

polega na przekonfigurowaniu komponentów Windows. Jest to zagadnienie dla waszej orientacji co się

dzieje w systemie. Tych edycji nie trzeba wykonywać ręcznie programy Windows Worms Doors

Cleaner i Seconfig XP przeprowadzają to automatycznie. To wprowadzenie by zrozumieć dlaczego te

porty są kluczowe i co te programy prowadzą w celu rozwiązania problemu. Zamknięcie tych portów nie

wpływa na szybkość pobierania w programach P2P (eMule, torrent etc.) i proszę tego nie łączyć.

NetBIOS over TCP/IP NetBIOS przez TCP/IP

137139

Port 137 UDP Usługa NetBIOS Name / nazw NetBIOS. Odpowiada za łączenie adresów IP z nazwami

komputerów. Kojarzenie nazewnicze typowo odbywa się wg dwóch metod: serwer WINS (Windows

Internet Name Service) lub plik LMHOSTS (nie mylić z plikiem HOSTS!). DuŜa część pakietów UDP

blokowanych na firewallach nie ma związku z próbami ataku. ZagroŜenie:

* Pobór przez atakującego informacji o układzie sieci

* Robaki sieciowe szukające otwartych zasobów Windows (cel = port 139TCP)

Port 138 UDP Usługa NetBIOS Datagram. Komunikacja bezpołączeniowa w formie

http://pl.wikipedia.org/wiki/Datagram bez potwierdzenia ich dotarcia na miejsce, najczęściej

wykorzystywana w trybie rozgłaszania (broadcast). Obsługuje przesył informacji o sieci Windows. Z tych

właściwości korzysta usługa Computer Browser / Przeglądarka komputera, która buduje listę

komputerów wyświetlaną w Otoczeniu sieciowym. RównieŜ usługa Messenger / Posłaniec. ZagroŜenie:

* Atakujący/haker poprzez zafałszowanie pakietów moŜe dodać swój komputer do sieci lokalnej co

implikuje iŜ zostanie zniwelowa róŜnica zabezpieczeń występująca między komputerami internetowymi a

lokalnymi.

* Spam usługi Messenger / Posłaniec.

Port 139 TCP Usługa NetBIOS Session / sesji NetBIOS (SMB przez NetBIOS). Komunikacja

połączeniowa w formie sesji. Odpowiada za właściwą wymianę danych i współdzielenie zasobów plików /

drukarek w sieci lokalnej oraz za tworzenie tzw. nullsession (mówiąc w skrócie logowanie uŜytkownika

bez nazwy i bez Ŝadnego hasła). ZagroŜenie:

* Port będący celem ataków hackerskich, często skanowany w poszukiwaniu zasobów. Popularna metoda

hackowania udostępnianie plików i drukarek to atak typu "brute force" / siłowy, polegający na łamaniu

haseł przez sprawdzanie jak największej liczby prawdopodobnych kombinacji.

* Jest to równieŜ port, z którego korzysta usługa Messenger / Posłaniec produkując bezpośredni spam w

popupach.

* Jedna z dróg transportu robaków sieciowych

Skutki uboczne wyłączenia portów NetBIOS (włącznie z 445 = patrz dalej): Przestanie działać Otoczenie

sieciowe i funkcja Udostępniania plików i drukarek w sieci oraz inne aspekty sieci Microsoft Networks (nie

mylić sobie tego z www, email i tego typu komunikacjami szaraków). W LAN prawdopodobnie NetBIOS

jest niezbędny ale zaleŜy to teŜ od tego w jaki sposób LAN rozwiązano. Test bardzo prosty: jeśli po

całkowitym zamknięciu portów 137139 (włącznie z 445) i resecie komputera padnie całkowicie dostęp

do internetu, NetBIOS jest wymagany.

Te trzy komunikacje NetBIOS stosunkowo łatwo wyłączyć (usługa Posłaniec = patrz dalej):

Panel sterowania >>> Połączenia sieciowe >>> prawy klik na dane połączenie >>> Właściwości >>>

podświetlić Protokół TCP / IP >>> Właściwości >>> Zaawansowane >>> zakładka WINS >>> Wyłącz

system NetBIOS przez TCP/IP:

SMB over TCP/IP SMB przez TCP/IP

445

Port 445 słuŜy do poszerzonej komunikacji protokołu SMB bezpośrednio przez TCP/IP, z pominięciem

okręŜnej drogi "NetBIOS przez TCP/IP". Jest to dodatkowa droga współdzielenia plików i drukarek

sieciowych (patrz porty 137139), w związku z tym port 445 jest często skanowany w poszukiwaniu

otwartych zasobów sieciowych Windows. ZagroŜenia:

* Port silnie atakowany przez hakerów, robaki i rozproszone botnety.

* Spam wysyłany przez usługę Messenger / Posłaniec.

Skutki uboczne zamknięcia portu 445: UniemoŜliwione współdzielenie plików i drukarek w sieci o ile

nastąpi równocześnie zamknięcie portów NetBIOS 137139. Wynika to z faktu iŜ próba komunikacji

odbywa się "równolegle" w celu zachowania kompatybilności portów (445 jest portem współdzielenia

tylko na nowych Windows 2000 w górę). Jeśli jest włączone NetBIOS over TCP/IP, zawsze jest

równoczesna próba nawiązania połączenia na porcie 139 oraz 445, a w zaleŜności od szybszej odpowiedzi

(lub jej braku) sesja właściwa odbywa się przez port 139 lub 445. Jeśli NetBIOS over TCP/IP jest

wyłączone, nawiązywanie sesji jest forsowane tylko przez 445. Wniosek: zamknięcie portu 445 przy

pozostawieniu otwartych 137139 nie wpłynie na funkcjonowanie LAN.

Wyłączanie SMB przez TCP/IP (usługa Posłaniec = patrz dalej):

Start >>> Uruchom >>> regedit i w kluczu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

W okienku po prawej stronie klikasz prawym >>> Nowy >>> Wartość DWORD >>> jako nazwę

wprowadź SmbDeviceEnabled . Kliknij podwójnie na nowo utworzoną wartość SmbDeviceEnabled i

wpisz liczbę 0 .

RPC over TCP/IP

135

Jest to port usługi DCOM / RPC Endpoint Mapper. W sposób współdzielony korzystają z niego takie usługi

jak Distributed Transaction Coordinator (MSDTC), Task Scheduler (Harmonogram zadań) a takŜe

Messenger (Posłaniec). Zamknięcie portu zalecane dla standardowych komputerów domowych. W

środowisku Microsoft Networks problematyczne gdyŜ RPC jest tam szeroko wykorzystywane, głównie w

celach administracyjnych. ZagroŜenie:

* Spam wysyłany przez usługę Messenger / Posłaniec. Jak wspomniane wcześniej Posłaniec korzysta z

portów NetBIOS (137139) ale mimo ich zamknięcia nie ma 100% ochrony przed spamem gdyŜ

polecenie net send w przypadku "zatkania" tych portów obiera drogę alternatywną właśnie przez port

135.

* Port silnie wykorzystywany przez robaki sieciowe i ataki hackerskie.

Skutki uboczne zamknięcia portu 135: Zamykanie portu 135 odbywa się stopniowo poprzez wyłączanie

kolejnych składników korzystających z tegoŜ portu. Wyłączenie samego DCOM nie niesie negatywnych

efektów na standardowym komputerze. Ale inaczej sprawa się ma z Harmonogramem zadań. Po

całkowitym zamknięciu portu 135 usługa Harmonogramu nie startuje (dotyczy Windows XP i 2003,

Windows 2000 nie ma takich problemów). Harmonogram jest potrzebny na XP do działania wbudowanej

funkcji Prefetch (szczegóły: http://www.searchengines.pl/phpbb203/index.php * showtopic=5989) oraz

innych planowanych zadań. Z tym Ŝe tu moja uwaga własna: na moim XP SP2 całkowite zamknięcie 135

nie wpłynęło na usługę Harmonogramu.....

Wyłączanie DCOM / RPC Mapper (usługa Posłaniec = patrz dalej):

Start >>> Uruchom >>> regedit i w kluczu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

W okienku po prawej stronie kliknij dwukrotnie w EnableDCOM i wpisz literkę N .

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc

W okienku po prawej stronie kliknij dwukrotnie w DCOM Protocols i z okienka usuń ncacn_ip_tcp.

Odpowiednikiem tych dwóch edycji rejestru jest następująca operacja via:

Start >>> Uruchom >>> dcomcnfg.exe >>> Usługi składowe >>> Komputery >>> z prawokliku na

Mój komputer wybierz Właściwości >>> w zakładce Właściwości domyślne usuń ptaszek z opcji Włącz

model obiektów rozproszonych COM na tym komputerze a w zakładce Domyślne protokoły

podświetl tam widniejący i Usuń:

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: