بنت دبي
11-09-2003, 06:45 PM
مرحبااااااا...
الأمن في الانترنت موضوع طويل وطويل جدا ولكن نشرح هنا بعض المسائل بخصوص
الثغرات والمنافذ .
والأمثلة الوردة تخص الوندوز الجديد . .
فإذا ظهرت لك منافذ مفتوحه أكثر معناها برامج انت محملها
1-إغلاق المنافذ الغير مستخدمه:
يأتي نظام الوندوز وبه خدمات اتصالات عديدة والكثير منها غير مستخدم وعادة يكون من
الأفضل إيقاف بعضها إن لم يكن جميعها وأقصد بذلك المستخدم العادي الذي لا يرتبط نظامه
بأنظمة أخرى كما في الشركات وغيره.
سنورد هنا الطرق اللازمة والكافية لإنهاء هذا الموضوع الأول وهناك بعض المصطلحات التي
نعلم جميعا أن وراء كل منفذ مفتوح يوجد برنامج معين يقوم بالاتصال عن طريقه تماما مثل تردد موجات الراديو
كل محطة تستخدم تردد معين ولكي نغلق المنفذ لابد من إيقاف البرنامج أو الخدمة التي تستخدمه.
أسرع طريقة لمعرفة منافذ TCP / UDP المفتوحة هي باستخدام الأمر netstat :
في نظام Windows 2000 يعطينا الامر netstat -an command النتائج التالية:
نوافذ الدوس يا أخوان تكتب على شكل كود وهو اسهل من اخذ صوره واعذرونا.
code:---------------------------------------------------------------------------
C:\WINNT>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
TCP 0.0.0.0:4983 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1028 *:*
UDP 0.0.0.0:1029 *:*
UDP 0.0.0.0:3456 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*
UDP 192.70.106.143:500 *:*
--------------------------------------------------------------------------------
في نظام Windows XP يعطينا الامر netstat -ano command النتائج التالية:
code:--------------------------------------------------------------------------------
C:\WINDOWS>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 976
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING 1160
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:135 *:* 884
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 704
UDP 0.0.0.0:1026 *:* 1112
UDP 0.0.0.0:1027 *:* 976
UDP 127.0.0.1:123 *:* 976
UDP 127.0.0.1:1900 *:* 1160
UDP 192.70.106.143:123 *:* 976
UDP 192.70.106.143:137 *:* 4
UDP 192.70.106.143:138 *:* 4
UDP 192.70.106.143:1900 *:* 1160
[/l]
--------------------------------------------------------------------------------
تنبيه مهم: وهو ان الأمر netstat لا يظهر منافذ TCP / UDP المفتوحة في الحقيقة بل
يظهر فقط حالة ال TDI وهي بدورها تظهر عنوان بدء الاتصال ونقطة انقطاعه لأن نظام
الوندوز عموما عمره ما صمم ليوضح أي هذه العلميات يستخدم ذلك المنفذ وبالعكس. . .
بينما أن هذه الخاصية توجد في نظام اليونكس. . .
ولكن هناك أداة غريبة تسمى Inzider والتي تحشر نفسها
بين مقابس الاتصالات TCP /UDP sockets لتظهر حقيقة المنافذ وهي الأفضل
الى الآن وستشرح لاحقا بإذن الله.
مثال في الوندوز على إتصال outgoing TCP connection من منفذ محلي رقم 1367 الى
منفذ رقم 22 وعنوانه 192.70.106.76 كمثال فإن الأمر netstat يظهر كالآتي :
code:--------------------------------------------------------------------------------
C:\WINDOWS>netstat -anp tcp | find ":1367"
TCP 0.0.0.0:1367 0.0.0.0:0 LISTENING
TCP 192.70.106.142:1367 192.70.106.76:22 ESTABLISHED
--------------------------------------------------------------------------------
كما تلاحظ السطر الثاني يضهر الأتصال جاري ESTABLISHED بين المنفذ المحلي
1367 والمنفذ الخارجي 22 , بينما في السطر الأول يظهر نفس المنفذ المحلي في حالة استماع
LISTENING وهذا غير صحيح فكيف يكون نفس المنفذ له حالتين في نفس الوقت !!
ملاحظه: تم اصلاح هذا الخلل في النظام Windows Server 2003
قبل البدء في افقال المنافذ وحذف الخدمات الغير مستعملة بإستخدام الامر ( the net stop command)
يجب ان نتأكد من عدم رجوعها بعد إعادة التشغيل ويكون ذلك كالتالي:
في الوندوز 2000 يسمح لك service manager بأختيار كيف تريد الخدمه ان تبدأ مع بداية التشغيل
فهو يعطيك الخيارات التالية ( The Startup Type (Automatic, Manual or Disabled
تصل اليها كالتالي C:\WINDOWS>services.msc
من قائمة تشغيل او run اكتب services.msc
اضغط على الخدمة باليمين واختار خصائص ثم عام ثم اختار Disabled
الخدمات التي يتم ايقافها في وندوز2000 هي:
- IIS 5: iisadmin, w3svc, smtpsvc
- Others: messenger, msdtc, policyagent, schedule
في الوندوز xp:
يتم إيقاف الخدمات بالامر التالي:C:\WINDOWS>sc config service_name start= disabled
وللتشغيل يدويا الامر:
C:\WINDOWS>sc config service_name start= manual
الخدمات التي يتم ايقافها messenger, policyagent, schedule, ssdpsrv, w32time[l]
--[ Windows 2000 ]--
-[ IIS 5 ]-
ايقاف خدمات IIS عندها نقفل المنافذ التاليه:
TCP ports 25, 80, 443, UDP port 3456 ومنفذ آخر يستخدم من قبل IIS administration website
عادة يكون 4983 ومنفذ آخرين للخدمة RPC services يكونان دائما أكثر من 1023 .
الوندوز 2000 من الدوس كالتالي
code:--------------------------------------------------------------------------------C:\WINNT>net stop iisadmin
The following services are dependent on the IIS Admin Service service.
Stopping the IIS Admin Service service will also stop these services.
World Wide Web Publishing Service
Simple Mail Transport Protocol (SMTP)
Do you want to continue this operation? (Y/N) [N]: y
The World Wide Web Publishing Service service is stopping.
The World Wide Web Publishing Service service was stopped successfully.
The Simple Mail Transport Protocol (SMTP) service is stopping.
The Simple Mail Transport Protocol (SMTP) service was stopped successfully.
...
The IIS Admin Service service was stopped successfully.
ثم تكون النتيجه كالتالي
C:\WINNT>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1029 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*
UDP 192.70.106.143:500 *:*
يتضح ان عدد المنافذ قد تناقص . . . .
--------------------------------------------------------------------------------
]ايقاف الخدمة -[ IPsec ]- لاقفال المنفذ 500
code:--------------------------------------------------------------------------------C:\WINNT>net stop policyagent
The IPSEC Services service is stopping.
The IPSEC Services service was stopped successfully.
نتأكد من النتيجه
C:\WINNT>netstat -an
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1029 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*
--------------------------------------------------------------------------------
ايقاف الخدمة -[ Distributed Transaction Coordinator ]- ويغلق المنفذين 3372 و 1023
كالتالي
code:--------------------------------------------------------------------------------C:\WINNT>net stop msdtc
The Distributed Transaction Coordinator service is stopping.
The Distributed Transaction Coordinator service was stopped successfully.
نتأكد من النتيجه
C:\WINNT>netstat -an
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1029 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*
--------------------------------------------------------------------------------
------------------------------------------------------------------
--[ Windows XP ]--
الخدمات التي يمكن ايقافها بسهولة وهي:
IPsec services PolicyAgent
SSDP Discovery Service SSDPSRV
Windows Time W32Time
الأوامر التالية تفي بأداء المهمة
code:--------------------------------------------------------------------------------C:\WINDOWS>net stop policyagent
The IPSEC Services service is stopping.
The IPSEC Services service was stopped successfully.
C:\>WINDOWS>net stop ssdpsrv
The SSDP Discovery Service service is stopping.
The SSDP Discovery Service service was stopped successfully.
C:\>WINDOWS>net stop w32time
The Windows Time service is stopping.
The Windows Time service was stopped successfully.
--------------------------------------------------------------------------------
يظهر الأمر netstat -ano command المنافذ التي تم اغلاقها
TCP 5000 and UDP 123, 500 , 1900 ):
code:--------------------------------------------------------------------------------C:\WINDOWS>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 976
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:135 *:* 884
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:1026 *:* 1112
UDP 0.0.0.0:1027 *:* 976
UDP 192.70.106.143:137 *:* 4
UDP 192.70.106.143:138 *:* 4--------------------------------------------------------------------------------
أولا ايقاف خدمة The lmhosts service
وندوز 2000
code:--------------------------------------------------------------------------------
C:\WINNT>net stop lmhosts
The TCP/IP NetBIOS Helper service is stopping.
The TCP/IP NetBIOS Helper service was stopped successfully.
C:\WINNT>netstat -an
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1029 *:*
--------------------------------------------------------------------------------
Windows XP:
C:\WINDOWS>net stop lmhosts
The TCP/IP NetBIOS Helper service is stopping.
The TCP/IP NetBIOS Helper service was stopped successfully.
C:\WINDOWS>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 976
UDP 0.0.0.0:135 *:* 884
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:1026 *:* 1112
UDP 0.0.0.0:1027 *:*--------------------------------------------------------------------------------
أيقاف الخدمة ---[ CIFS over TCP ]---
كما أشرنا سابقا أن ال CIFS protocol يرسل عن طريق ال NetBIOS من على over ال TCP/IP
بواسطة المنفذ 139 ولكن مع بداية الوندوز 2000 اصبح بإستطاعة ال CIFS وفي حالات خاصه
أن يرسل مباشرة في TCP/IP بدون ال NetBIOS في هذه الحالة فإنه يستخدم المنفذ 445
وهنا الخطر.
لكي نقفل هذا المنفذ هنا خطوتين وهما :
1- اغلاق النت بيوس درايفر.
2- اضافة قيمة الى سجل الريجستري تمنع ارسال ال CIFS من منفذ TCP
-[ Disabling the NetBT driver ]-
الوندوز 2000 يتم ايقاف ال SMB وتعني كلا السيرفر والكلاينت سيتوقفا.
code:--------------------------------------------------------------------------------
C:\WINNT>net stop rdr
The Workstation service is stopping.
The Workstation service was stopped successfully.
C:\WINNT>net stop srv
The Server service is stopping.
The Server service was stopped successfully.
عندما تتوفق هذه الخدمات تستطيع ايقاف النت بيوس درايفر بالامر التالي:
C:\WINNT>net stop netbt
The NetBios over Tcipip service is stopping.
The NetBios over Tcipip service was stopped successfully.--------------------------------------------------------------------------------
لأكمال العملية قم بتغيير القيمة التالية في سجل الريجستري
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NetBT\
Value: Start
Type: DWORD value (REG_DWORD
Content: 4 ]
في الوندوز اكس بي Windows XP
يتم بإستخدام الأمر التالي: وهذا الامر يوقف ال SMB
C:\WINDOWS>sc config netbt start= disabled
قد تحتاج الى استخدام النت بيوس ولكن بدون SMB لتضمن عدم
استخدام المنفذ 445 وهذه ميزه خاصه في الاكس بي
في هذه الحاله قم بتغيير القيمه التاليه في سجل الريجستري الى:
Key: HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlset\Services\NetBT\Parameters
Value: SmbDeviceEnabled
Type: DWORD value (REG_DWORD
(للأغلاق) Content: 1
بعد اعادة التشغيل يبقى عدد قليل من المنافذ المفتوحه وهي
لخدمات الآر بي سي RPC services كالتالي:
win 2000
code:--------------------------------------------------------------------------------C:\WINNT>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:1029 *:*
--------------------------------------------------------------------------------
Windows XP
كالتالي
code:--------------------------------------------------------------------------------C:\WINDOWS>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 976
UDP 0.0.0.0:135 *:* 884
UDP 0.0.0.0:1026 *:* 1112
UDP 0.0.0.0:1027 *:* 976---------------------------------------------------------------------------
هناك نقطة أود ان اشير اليها وهي أن المنافذ التي ذكرناها يجب ويجب أن تقفل وفي أسرع وقت
لأنها كما اسلفنا غير مستخدمة ولا حاجة اليها وتشكل خطرا كبيرا ونقطة ضعف ينتهزها ضعاف الأنفس
لأختراق الأنظمة و الدودة الأخيرة W32.Blaster.Worm خير دليل على ذلك
فلم يمنعها من الدخول أي برنامج حماية . . وذلك لأن المنفذ 135 مفتوح وجميع الخطوات
مجربة على جهازي الشخصي . . . وللطمأنينه فإنه يمكن عكس جميع الخطوات فليس هناك مجازفه.
والمنفذ 135 اقفاله في الحقيقه ليس بالأمر السهل وله خطوات لابد من تطبيقها بتركيز وخصوصا
مع نظام وندوز 2000 ..
(م)
تحياتي لكم
الأمن في الانترنت موضوع طويل وطويل جدا ولكن نشرح هنا بعض المسائل بخصوص
الثغرات والمنافذ .
والأمثلة الوردة تخص الوندوز الجديد . .
فإذا ظهرت لك منافذ مفتوحه أكثر معناها برامج انت محملها
1-إغلاق المنافذ الغير مستخدمه:
يأتي نظام الوندوز وبه خدمات اتصالات عديدة والكثير منها غير مستخدم وعادة يكون من
الأفضل إيقاف بعضها إن لم يكن جميعها وأقصد بذلك المستخدم العادي الذي لا يرتبط نظامه
بأنظمة أخرى كما في الشركات وغيره.
سنورد هنا الطرق اللازمة والكافية لإنهاء هذا الموضوع الأول وهناك بعض المصطلحات التي
نعلم جميعا أن وراء كل منفذ مفتوح يوجد برنامج معين يقوم بالاتصال عن طريقه تماما مثل تردد موجات الراديو
كل محطة تستخدم تردد معين ولكي نغلق المنفذ لابد من إيقاف البرنامج أو الخدمة التي تستخدمه.
أسرع طريقة لمعرفة منافذ TCP / UDP المفتوحة هي باستخدام الأمر netstat :
في نظام Windows 2000 يعطينا الامر netstat -an command النتائج التالية:
نوافذ الدوس يا أخوان تكتب على شكل كود وهو اسهل من اخذ صوره واعذرونا.
code:---------------------------------------------------------------------------
C:\WINNT>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
TCP 0.0.0.0:4983 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1028 *:*
UDP 0.0.0.0:1029 *:*
UDP 0.0.0.0:3456 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*
UDP 192.70.106.143:500 *:*
--------------------------------------------------------------------------------
في نظام Windows XP يعطينا الامر netstat -ano command النتائج التالية:
code:--------------------------------------------------------------------------------
C:\WINDOWS>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 976
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING 1160
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:135 *:* 884
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 704
UDP 0.0.0.0:1026 *:* 1112
UDP 0.0.0.0:1027 *:* 976
UDP 127.0.0.1:123 *:* 976
UDP 127.0.0.1:1900 *:* 1160
UDP 192.70.106.143:123 *:* 976
UDP 192.70.106.143:137 *:* 4
UDP 192.70.106.143:138 *:* 4
UDP 192.70.106.143:1900 *:* 1160
[/l]
--------------------------------------------------------------------------------
تنبيه مهم: وهو ان الأمر netstat لا يظهر منافذ TCP / UDP المفتوحة في الحقيقة بل
يظهر فقط حالة ال TDI وهي بدورها تظهر عنوان بدء الاتصال ونقطة انقطاعه لأن نظام
الوندوز عموما عمره ما صمم ليوضح أي هذه العلميات يستخدم ذلك المنفذ وبالعكس. . .
بينما أن هذه الخاصية توجد في نظام اليونكس. . .
ولكن هناك أداة غريبة تسمى Inzider والتي تحشر نفسها
بين مقابس الاتصالات TCP /UDP sockets لتظهر حقيقة المنافذ وهي الأفضل
الى الآن وستشرح لاحقا بإذن الله.
مثال في الوندوز على إتصال outgoing TCP connection من منفذ محلي رقم 1367 الى
منفذ رقم 22 وعنوانه 192.70.106.76 كمثال فإن الأمر netstat يظهر كالآتي :
code:--------------------------------------------------------------------------------
C:\WINDOWS>netstat -anp tcp | find ":1367"
TCP 0.0.0.0:1367 0.0.0.0:0 LISTENING
TCP 192.70.106.142:1367 192.70.106.76:22 ESTABLISHED
--------------------------------------------------------------------------------
كما تلاحظ السطر الثاني يضهر الأتصال جاري ESTABLISHED بين المنفذ المحلي
1367 والمنفذ الخارجي 22 , بينما في السطر الأول يظهر نفس المنفذ المحلي في حالة استماع
LISTENING وهذا غير صحيح فكيف يكون نفس المنفذ له حالتين في نفس الوقت !!
ملاحظه: تم اصلاح هذا الخلل في النظام Windows Server 2003
قبل البدء في افقال المنافذ وحذف الخدمات الغير مستعملة بإستخدام الامر ( the net stop command)
يجب ان نتأكد من عدم رجوعها بعد إعادة التشغيل ويكون ذلك كالتالي:
في الوندوز 2000 يسمح لك service manager بأختيار كيف تريد الخدمه ان تبدأ مع بداية التشغيل
فهو يعطيك الخيارات التالية ( The Startup Type (Automatic, Manual or Disabled
تصل اليها كالتالي C:\WINDOWS>services.msc
من قائمة تشغيل او run اكتب services.msc
اضغط على الخدمة باليمين واختار خصائص ثم عام ثم اختار Disabled
الخدمات التي يتم ايقافها في وندوز2000 هي:
- IIS 5: iisadmin, w3svc, smtpsvc
- Others: messenger, msdtc, policyagent, schedule
في الوندوز xp:
يتم إيقاف الخدمات بالامر التالي:C:\WINDOWS>sc config service_name start= disabled
وللتشغيل يدويا الامر:
C:\WINDOWS>sc config service_name start= manual
الخدمات التي يتم ايقافها messenger, policyagent, schedule, ssdpsrv, w32time[l]
--[ Windows 2000 ]--
-[ IIS 5 ]-
ايقاف خدمات IIS عندها نقفل المنافذ التاليه:
TCP ports 25, 80, 443, UDP port 3456 ومنفذ آخر يستخدم من قبل IIS administration website
عادة يكون 4983 ومنفذ آخرين للخدمة RPC services يكونان دائما أكثر من 1023 .
الوندوز 2000 من الدوس كالتالي
code:--------------------------------------------------------------------------------C:\WINNT>net stop iisadmin
The following services are dependent on the IIS Admin Service service.
Stopping the IIS Admin Service service will also stop these services.
World Wide Web Publishing Service
Simple Mail Transport Protocol (SMTP)
Do you want to continue this operation? (Y/N) [N]: y
The World Wide Web Publishing Service service is stopping.
The World Wide Web Publishing Service service was stopped successfully.
The Simple Mail Transport Protocol (SMTP) service is stopping.
The Simple Mail Transport Protocol (SMTP) service was stopped successfully.
...
The IIS Admin Service service was stopped successfully.
ثم تكون النتيجه كالتالي
C:\WINNT>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1029 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*
UDP 192.70.106.143:500 *:*
يتضح ان عدد المنافذ قد تناقص . . . .
--------------------------------------------------------------------------------
]ايقاف الخدمة -[ IPsec ]- لاقفال المنفذ 500
code:--------------------------------------------------------------------------------C:\WINNT>net stop policyagent
The IPSEC Services service is stopping.
The IPSEC Services service was stopped successfully.
نتأكد من النتيجه
C:\WINNT>netstat -an
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1029 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*
--------------------------------------------------------------------------------
ايقاف الخدمة -[ Distributed Transaction Coordinator ]- ويغلق المنفذين 3372 و 1023
كالتالي
code:--------------------------------------------------------------------------------C:\WINNT>net stop msdtc
The Distributed Transaction Coordinator service is stopping.
The Distributed Transaction Coordinator service was stopped successfully.
نتأكد من النتيجه
C:\WINNT>netstat -an
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1029 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*
--------------------------------------------------------------------------------
------------------------------------------------------------------
--[ Windows XP ]--
الخدمات التي يمكن ايقافها بسهولة وهي:
IPsec services PolicyAgent
SSDP Discovery Service SSDPSRV
Windows Time W32Time
الأوامر التالية تفي بأداء المهمة
code:--------------------------------------------------------------------------------C:\WINDOWS>net stop policyagent
The IPSEC Services service is stopping.
The IPSEC Services service was stopped successfully.
C:\>WINDOWS>net stop ssdpsrv
The SSDP Discovery Service service is stopping.
The SSDP Discovery Service service was stopped successfully.
C:\>WINDOWS>net stop w32time
The Windows Time service is stopping.
The Windows Time service was stopped successfully.
--------------------------------------------------------------------------------
يظهر الأمر netstat -ano command المنافذ التي تم اغلاقها
TCP 5000 and UDP 123, 500 , 1900 ):
code:--------------------------------------------------------------------------------C:\WINDOWS>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 976
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:135 *:* 884
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:1026 *:* 1112
UDP 0.0.0.0:1027 *:* 976
UDP 192.70.106.143:137 *:* 4
UDP 192.70.106.143:138 *:* 4--------------------------------------------------------------------------------
أولا ايقاف خدمة The lmhosts service
وندوز 2000
code:--------------------------------------------------------------------------------
C:\WINNT>net stop lmhosts
The TCP/IP NetBIOS Helper service is stopping.
The TCP/IP NetBIOS Helper service was stopped successfully.
C:\WINNT>netstat -an
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1029 *:*
--------------------------------------------------------------------------------
Windows XP:
C:\WINDOWS>net stop lmhosts
The TCP/IP NetBIOS Helper service is stopping.
The TCP/IP NetBIOS Helper service was stopped successfully.
C:\WINDOWS>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 976
UDP 0.0.0.0:135 *:* 884
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:1026 *:* 1112
UDP 0.0.0.0:1027 *:*--------------------------------------------------------------------------------
أيقاف الخدمة ---[ CIFS over TCP ]---
كما أشرنا سابقا أن ال CIFS protocol يرسل عن طريق ال NetBIOS من على over ال TCP/IP
بواسطة المنفذ 139 ولكن مع بداية الوندوز 2000 اصبح بإستطاعة ال CIFS وفي حالات خاصه
أن يرسل مباشرة في TCP/IP بدون ال NetBIOS في هذه الحالة فإنه يستخدم المنفذ 445
وهنا الخطر.
لكي نقفل هذا المنفذ هنا خطوتين وهما :
1- اغلاق النت بيوس درايفر.
2- اضافة قيمة الى سجل الريجستري تمنع ارسال ال CIFS من منفذ TCP
-[ Disabling the NetBT driver ]-
الوندوز 2000 يتم ايقاف ال SMB وتعني كلا السيرفر والكلاينت سيتوقفا.
code:--------------------------------------------------------------------------------
C:\WINNT>net stop rdr
The Workstation service is stopping.
The Workstation service was stopped successfully.
C:\WINNT>net stop srv
The Server service is stopping.
The Server service was stopped successfully.
عندما تتوفق هذه الخدمات تستطيع ايقاف النت بيوس درايفر بالامر التالي:
C:\WINNT>net stop netbt
The NetBios over Tcipip service is stopping.
The NetBios over Tcipip service was stopped successfully.--------------------------------------------------------------------------------
لأكمال العملية قم بتغيير القيمة التالية في سجل الريجستري
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NetBT\
Value: Start
Type: DWORD value (REG_DWORD
Content: 4 ]
في الوندوز اكس بي Windows XP
يتم بإستخدام الأمر التالي: وهذا الامر يوقف ال SMB
C:\WINDOWS>sc config netbt start= disabled
قد تحتاج الى استخدام النت بيوس ولكن بدون SMB لتضمن عدم
استخدام المنفذ 445 وهذه ميزه خاصه في الاكس بي
في هذه الحاله قم بتغيير القيمه التاليه في سجل الريجستري الى:
Key: HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlset\Services\NetBT\Parameters
Value: SmbDeviceEnabled
Type: DWORD value (REG_DWORD
(للأغلاق) Content: 1
بعد اعادة التشغيل يبقى عدد قليل من المنافذ المفتوحه وهي
لخدمات الآر بي سي RPC services كالتالي:
win 2000
code:--------------------------------------------------------------------------------C:\WINNT>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:1029 *:*
--------------------------------------------------------------------------------
Windows XP
كالتالي
code:--------------------------------------------------------------------------------C:\WINDOWS>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 976
UDP 0.0.0.0:135 *:* 884
UDP 0.0.0.0:1026 *:* 1112
UDP 0.0.0.0:1027 *:* 976---------------------------------------------------------------------------
هناك نقطة أود ان اشير اليها وهي أن المنافذ التي ذكرناها يجب ويجب أن تقفل وفي أسرع وقت
لأنها كما اسلفنا غير مستخدمة ولا حاجة اليها وتشكل خطرا كبيرا ونقطة ضعف ينتهزها ضعاف الأنفس
لأختراق الأنظمة و الدودة الأخيرة W32.Blaster.Worm خير دليل على ذلك
فلم يمنعها من الدخول أي برنامج حماية . . وذلك لأن المنفذ 135 مفتوح وجميع الخطوات
مجربة على جهازي الشخصي . . . وللطمأنينه فإنه يمكن عكس جميع الخطوات فليس هناك مجازفه.
والمنفذ 135 اقفاله في الحقيقه ليس بالأمر السهل وله خطوات لابد من تطبيقها بتركيز وخصوصا
مع نظام وندوز 2000 ..
(م)
تحياتي لكم