⑴ 电脑高手进来帮忙!我电脑上已经删除COMODO防火墙,但总是拦截我一些网站,如何取消comodo防火墙拦截网页
防火墙和杀软这类软件是十分忌讳用第三方软件卸载的!
因为他们自身都有超强的防护能力(这种防护能力是用来保护内核并抵御第三方软件卸载,比如病毒),所以你才卸载不干净。
正确的卸载方法:1、找到安装原
2、双击安装原,选择删除选项
3、单机确定。
知道了吧:再安装一次,按流程卸载!
愿你快乐!
⑵ comodo设置勾选ipv6过滤会怎样
国内现在只有个别的校园网是IPV6,其他还停留在IPV4阶段,看一下自己的iP地址就看出来了,如果是XXX.XXX.XXX.XXX形式就是IPV4,IPV4环境勾选了IPv6只会产生一些日志,其他无用处。 到卡饭论坛网站查看回答详情>>
⑶ 哪位大侠有comodo防火墙的设置说明
一、 软件安装与初始设置
和同类软件相比,Comodo的安装绝对简单。虽然,它的安装界面也是英文的,但大家一看也就能明白。而当我们随后按照软件的提示点击几次“Next”按钮之后,便可以正式启动文件复制了。等文件复制全部完成,Comodo随后会自动打开配置向导,引导我们继续进行初始化设置,
说是配置向导,其实这里的操作也很简单,并不需要用户拥有很深的专业功底。而在这个页面中,我们既可以选择“手动配置”,自己来设定保护级别,也可以偷一下懒,直接选择“自动配置”,让Comodo帮我们设定就可以了。
二、 整体界面与使用
等电脑重启完毕,Comodo防火墙便可以正常工作了。这时,我们可以直接在系统托盘处找到Comodo图标。而双击这个图标之后,一个漂亮的蓝色主界面便出现在了我们眼前。
1. “概要”标签
Comodo的界面还是非常规整的,三大功能标签(概要、安全、活动)整齐地排列在页面上方,切换非常方便。而在“概要”标签下,Comodo会直接列出当前系统的安全级别、已拦截的安全事件、当前带宽组成以及其他安全模块的状态。这样,只要用户一打开Comodo,便能大体了解到防火墙的总体运行情况了。
2. “安全”标签
相信在刚才的电脑重启过程中,不少朋友已经看到了下面这种拦截报告。在这份报告中,Comodo不仅详细地记录了每项网络请求所使用的应用程序及远程端口号,同时还对当前的这份请求进行了一次简要安全评估。这样,根据这些信息,我们就能轻松地判断出此次访问的合法性,方便用户决策下一步操作。
不过,虽然Comodo的工作一丝不苟,但每次都要这样选择一番,也是非常麻烦的。其实,这个问题并不难解决。我们只要将平时常用的一些软件添加到Comodo“安全区域”,它们的网络访问就不会再受Comodo的检查了。在Comodo中,要实现上面的目的有好多方法。我们既可以直接在“任务”子标签下手工添加应用程序,也可以直接将某个网段设成安全网段(仅限于经常访问的网络)。当然,无论是哪种方法,设置完成之后,都可以通过下面的几个模块,对规则重新进行编辑,非常方便。
如果您感觉手工将应用程序添加到Comodo安全区域太麻烦的话,同样也可以偷个懒,点击“任务”标签下的“扫描已知的应用程序”按钮,即可让Comodo自动检索电脑上已安装的应用程序,并直接将它们设为安全程序。除了这些以外,在Comodo的“高级”子标签下,还有一些专门用于网络攻击防护的参数。不过,由于这里的参数专业化要求较高,建议对这方面不太熟悉的朋友就不要修改了。只要保持默认设置,Comodo也能为我们提供最大程度上的保障。
3. “活动”标签
和其他两个标签相比,“活动”标签所允许我们自行设置的功能最少,但它的地位,却是这几个标签中最为重要的。原来, “活动”标签的作用就是自动记录下所有违规的网络请求,并根据它们的行为,评定出基准危害级别,以供我们曰后检查。
资源占用是很多朋友比较关心的一个问题。在下面的测试中,我们将模拟真实使用环境,测试一下Comodo在内存、CPU占用等方面的具体表现,如图8所示。考虑到不同的网络流量会对测试结果产生不同的影响。因此,在本单元测试中,我们将分别对每个项目进行三次计数。其中,在网页浏览环节中,我们会依次打开三组不同网站上的页面。同时,每个页面将分别记录6次CPU占用率读数。以平均值记入表格之中。而在文件下载环节,我们将分别使用IE和专业工具进行下载。同样,也会记录6次CPU占用率读数,并取平均值记入表格。争取在最大程度上降低外部环境对测试数据的影响。
除了上述这些以外,防护能力也是评价一款网络防火墙好坏的重要一点。不过,由于条件所限,我们尚无法对Comodo进行外部攻击测试。不过,从为目标机种植木马和手动远程链接的结果来看,Comodo均能准确地捕获到这些行为,并以建议框的形式提示给用户,最终测试效果令人满意。
⑷ 哪位大大给个comodo的规则啊,
加强防范 15款免费好用的安全软件推荐
每当用户一开机,系统就面对着数之不尽的网络威胁,包括间谍软件,病毒,木马,主页劫持和黑客入侵。不幸的是,因特网并不是唯一的麻烦来源。每位对用户系统有访问权的人都有可能窃取用户的隐私,他们能够监视到用户所浏览的网站。
所幸的是,反击非常简单,这里列出了15种非常有用的软件,包括防火墙、反间谍软件、杀毒软件、Rootkits清除工具和通用的因特网安全工具,它们能有效的保护用户电脑免受攻击。最重要的是,它们都是免费的,而且功能强大,还等什么呢,赶快下载吧。
从防火墙到杀毒软件,再到清除Rootkits和间谍软件的工具,这里先列出了对抗恶意攻击非常有效的软件。
ZoneAlarm
CheckPoint的ZoneAlarm可能是地球上最受欢迎的免费防火墙,最新版本已经支持微软的最新操作系统vista。ZoneAlarm功能强大,并且使用起来很简单,它提供的出站保护配置非常实用。每当有程序需要访问因特网时,ZoneAlarm都会弹出对话框请示用户意见(当然,选择了记住选择后,就不必每次都点选“允许”或“禁止”按钮)。配置受保护等级操作起来也非常简便,只需滑动滑块就行。虽然免费版的ZoneAlarm纯粹是一个防火墙,但是CheckPoint也提供了付费版本,如果用户只是需要一个防火墙,那么使用免费版本就足够了。
Comodo Firewall Pro
ZoneAlarm可谓非常受欢迎,但是还有其它更好免费防火墙。它的一个强大的竞争对手就是Comodo Firewall Pro,独立测试站点Matousec曾经把它评为最好的防火墙。Matousec发现Comodo Firewall Pro提供了最高级别的反泄漏保护,这是一个评价防火墙有效性的指标之一。Comodo Firewall Pro提供了真正的双路防火墙保护,并且可配置性高,与一般的防火墙不同,它提供了很多系统与网络链接的详细信息。
Avast
厌倦了说的天花乱坠、价格高昂,并且严重影响系统性能的安全软件套装,只想要一个杀毒软件的用户可以考虑使用Avast。它是一个超级杀毒软件,并且家庭版与个人版都是免费的。由于售价便宜,它对系统与内存所造成的负担也相对要轻。但这并不代表它功能简单,Avast即时查杀病毒并拥有大量的插件,包括实时扫描病毒,第一时间防止病毒感染。Avast能够扫描普通的与基于网页的电子邮件,此外还提供了针对即时通讯工具与点对点隐患的查杀。
AVG Anti-Rootkit
Rootkit是最令人危惧的恶意软件之一,很多反恶意软件都检测不到。通常,怀有恶意的人都利用Rootkit来隐藏木马。AVG的前身是号称最强杀马软件的ewido。AVG Anti-Rootkit的唯一目的是找出并清除Rootkit。可惜,AVG Anti-Rootkit目前还不支持Vista。
Spyware Blaster
一些像自动拨号程序,主页劫持等烦人的间谍软件会作为ActiveX控件自动安装。Spyware Blaster能保护用户免受这些威胁的骚扰,它能够拦截基于ActiveX的恶意软件和其它类型间谍软件的安装,并且会清除那些会泄漏用户隐私的Cookies。这个软件支持Firefox、Opera和IE,它能够阻止浏览器被定向到恶意站点。Spyware Blaster提供了一个很实用的功能:系统快照;当系统不幸被感染,可以恢复到某个干净的版本的系统。
每当浏览某个网站时,想知道站点的安全等级的话可以利用以下工具进行检测。
AOL Active Security Monitor
这个工具简单直观,守护系统的安全,提供发现隐患的报告并给出相应的建议。它会检测系统是否安装了杀毒软件,如果已经安装,则检测病毒库是否最新。同样,它也会检查防火墙和反间谍软件,并且检测P2P软件是否会引发安全问题。这个监控程序本身没有任何保护功能,但用户需要的可以提供某些相关的功能。可惜的是,这个软件不支持vista。如果用户需要某些快捷的安全建议,这是一个不错的选择。
McAfee SiteAdvisor
与现实世界不同,用户很难识别一个坏邻居。不能通过在意现实世界中的外表来判断网站是否安全,有时最漂亮的网站可能充满的种种恶意软件。这正是McAfee的SiteAdvisor所注意到的地方。它会对用户将要浏览或者已经浏览的网站发出警告(前提是它认为这个网站是不安全的),它作为一个IE工具栏安装,或者作为Firefox的插件安装到浏览器中。当用户通过Google等搜索引擎进行搜索后,SiteAdvisor会在每条搜索结果旁边显示带有颜色的图标,显示站点是否有或安全(绿色),有问题(黄色)或明显不安全(红色)。它检测潜在的威胁下载网站和那些提供了电子邮件后会发送LJ邮件的网站。
LinkScanner Lite
这是另外一个可以检测网站是否有危险内容的实用工具。打开LinkScanner Lite并输入某个站点的URL,它就会检测这个站点是否含有恶意脚本和下载或其它恶意内容。对于那些钓鱼站点和潜在的在线欺诈网站,LinkScanner Lite会向用户发出警告。此外它也与搜索引擎进行了整合,跟前面提到的McAfee SiteAdvisor功能相似。可惜的是,它并不检测站点是否有广告软件和间谍软件。
Internet Thread Meter
每天都会有新的威胁出现在网路上。赛门铁克的Internet Thread Meter提供了最新病毒的信息,并提供了链接到赛门铁克网站的链接以获得更详细的信息和补丁。这个程序作为Windows XP中的Widget运行,或者是作为Vista中侧边栏的Gadget运行,它收集最新的威胁数据并报告给用户。
Trend Micro Hijack This
信不信由你,没有一个反间谍软件能够完全的保护用户。如果用户怀疑感染了间谍软件而使用通常的检测软件又找不到根源所在,那可以试试Trend Micro Hijack This。它能够彻底的分析用户的注册表与文件设置,并以日志形式记录分析结果。如果系统真的被感染,则日志中会提供相关的线索。虽然一般用户只凭日志文件也很难找到问题所在,但是可以把日志上传到Hijack This网站,请求社区成员帮忙。
加密隐私信息,禁用潜在危险脚本并清理累计的碎片都是增强系统安全的方式。以下的软件能够保持系统安全与有序。
Kruptos 2
那些担心个人隐私文件会被查看的用户可以试用Kruptos 2,它是一个强大的128位加密软件。对于USB驱动器和移动硬盘特别有用,可以进行全盘加密。Kruptos 2还可以创建自解压的加密文档;粉碎删除文件以使它彻底从硬盘上消失,并且加密文件时还可以伪装文件名。
Transaction Guard
这个来自商业安全软件厂商趋势的软件实际上是有两个安全软件组成的。首先,它是一个间谍软件检测与清除程序,实时监控系统并当发现间谍时立刻清除。其次,它引入了“秘密键盘”,确保密码和其它敏感信息不会通过因特网被窃取。当浏览需要输入密码的网页时,用户可以在秘密键盘上进行输入,跟着它会把密码复制到粘帖板并直接粘帖到网页的相应输入框中。这个软件作为ActiveX控件运行在系统中。
CCleaner
每当网上冲浪后,都会流行很多冲浪后的痕迹。CCleaner能够清除系统中所有这些痕迹。这样不但能够增强系统的安全性,而且还腾出了磁盘空间。
NoScript
网络冲浪的最大危险包括Java陷阱,JavaScript脚本和applet。攻击者可以充分利用这些危险代码进行攻击,不幸的是用户并不知道那些是危险的哪些是安全的。所幸的是,除了那些用户指定为安全的站点外,NoScript能够禁止所有JavaScript和Java Applet运行。它是一个Firefox的插件,提供了一个可以定制的安全站点列表。此外,这个强大的工具还提供了不信任站点中Java、Flash和其它插件的拦截功能。
File Shredder 2
不要以为删除了文件,文件就会从电脑上消失。甚至删除文件,并清除回收站后,某些专门软件也能回复删除的文件。File Shredder 2用随机二进制数字串反复覆盖文件,用户还可以选择五种不同的粉碎算法中的一种进行文件粉碎。
⑸ comodo的包过滤怎么样能防住arp吗
以下是一些防火墙的SPI数据,希望能够对楼主有所帮助。Comodo - Personal Firewall PRO (v3.0.25.378)SPF engine type: ? SPF (packet checksum checking)Stateful-like over Connectionless IP Protocols: UDPDHCP, DNS stateful protocol analysis: DHCP OnlyARP packets' inspection: Block Gratuitous ARPSPI Application-layer supported protocols: FTP?Look 'n' Stop - Personal Firewall (v2.06p2)SPF engine type: basic SPF (limited connection state tracking/enforcing, No illegal tcpFlags checking)Stateful-like over Connectionless IP Protocols: ... UDP, ICMP DHCP, DNS stateful protocol analysis: DHCP and DNS capableARP packets' inspection: Block Gratuitous ARP (or block in an event of ARP conflicts)SPI Application-layer supported protocols: NoneJetico - Personal Firewall (v.2.0.2.3)SPF engine type: basic SPFStateful-like over Connectionless IP Protocols: UDP OnlyDHCP, DNS stateful protocol analysis:NoneARP packets' inspection: Block ARP conflicts - Gratuitous ARPSPI Application-layer supported protocols: NoneCHX-I - Packet filtering firewall (v3.0beta) - Released in 2006 ... No longer supportedSPF engine type: advanced SPF (Connection state tracking/enforcing, Sequence/Acknowledge/illegal tcpFlags checking)Stateful-like over Connectionless IP Protocols: UDP, ICMPDHCP, DNS stateful protocol analysis: NoneARP packets' inspection: Block Gratuitous ARPSPI Application-layer supported protocols: FTP only[]
⑹ comodo防火墙安全模式是什么意思,开安全模式会提示网页挂马吗
防火墙必须开安全模式,D+开学习模式,适应一段时间后,再开安全模式。疯狂模式,需要你有一定的电脑知识,根据D+的提示,自己分析判断。
总之,HIP软件【包括D+】,是根据预先设定的规则,加上自己设置的规则,报告程序行为的一举一动,将主动权掌握在计算机管理员自己手中。
⑺ 会COMODO(毛豆)吗会的话帮我设置一下COMODO的防御规则好吗
本文写给新手做参考,依据所接触的资料及个人经验进行整理,文中错误之处,请大家多多批评指正。为了简明扼要地说明,本文用五个小篇章来阐述如何使用comodo,主要是规则方面的说明。对于comodo各个界面上各种选项的说明,不是本文的内容,请参阅论坛上的相关教程贴。文中所述以V3为例子,基本原理是各个版本都适用的,至于各个版本的差别所带来的变化,只需作相应的变更即可。第一章:基本介绍comodo如何用?这个问题取决于你的安全需要。如果你的安全需要不高,直接用默认的安全模式再搭配一款像样的杀软即可。如果你的安全需要有点高,那么还是自己打磨吧。怎么打磨?就是把规则按照自己的需要进行规划布局和修改完善。如何规划布局?这个由个人的全局统筹安排能力及逻辑思维能力来体现,,说白了就是根据自己掌握的知识以及对HIPS的相关了解,构思一个防御方案后进行编辑调整。多余的话就不扯了,就从人人都会的地方开始吧——选择一个comodo自带的防御方案(或者叫做策略),在它的基础上经过一些简单的修改和规则的添加,打磨出自己的规则来。就选proactive这个策略吧。点击COMODO-proactive Security,再点击“激活”,当策略名后面出现“活动”字样时,就表示启用了这套方案(见下图):选这个,是因为它的监控项目很全面(见下图)【图中打勾的就是监控的项目】:动手之前先做个简明的分析:1、comodo的监控是如何起作用的?一切HIPS都是依据规则进行判断和过滤的,comodo也不例外。请打开“D+高级设置”的“计算机安全规则”,这里面是D+规则的总监控室和指挥中心,一切程序行为的判断都是以这里面的规则为依据的。当一个程序行为发生,如果处于comodo的监控范围内,comodo就会调用这里面的规则来加以比对和执行——有规定的就按规定处理,无规定的由全局规则处理。所谓全局规则,就是这里面垫底的那条“所有应用程序*”的规则,因为*代表任何程序,所以它是对所有程序都起作用的规则。当我们打开这条全局规则进行查看时,会发现里面全部选项都是询问,这样,当comodo调用这条规则来进行判断的时候,就会弹出询问窗口给用户选择。当用户勾选弹窗上的“记住我的选择”,comodo就把它当作用户的设定自动在“计算机安全规则”里添加一条规则;如果不勾选“记住我的选择”,则用户的选择只对本次操作有效,comodo将不会在“计算机安全规则”里添加规则,下次面对同样问题时,comodo依然会弹出窗口让用户选择。(相关图片如下):D+的操作判断,是以“计算机安全规则”里面的规则为依据的。里面的规则是以程序为单位的,每个程序一条规则。每一条应用程序规则都包含了3D的内容——毛豆的HIPS是把3D行为全部集中到一个程序规则里面进行管理的。每一条应用程序规则打开后,显示如下画面:“访问权限”是对程序的授权——允许它做什么和不允许它做什么。“保护设置”是对程序的保护——不允许其它程序对它做这些事情,相当于放进“保险箱”。一般来说,对于系统主要进程、杀毒软件等重要的进程,可以进行“保护设置”把它们放进“保险箱”,防止恶意程序对它们的破坏。现在,让我们暂时忘记“保护设置”,集中精力于“访问权限”的设置——绝大部分的操作设置都是在这里面进行的。点击“访问权限”,弹出编辑画面,上面显示了3D的各项内容。如果你习惯了其它HIPS把3D分开进行设置的话,到了comodo这里就要转变习惯。所有的3D规则设置,全部在一条程序规则的编辑画面上进行完成,实际上也很方便。细看编辑画面,你会发现,大部分都是AD的项目,FD和RD的项目各有一项:AD设置里面的“受保护的com接口”和RD设置里面的“受保护的注册表”以及FD设置里面的“受保护的文件/目录”,是援引D+“常规设置”里面的“我的受保护文件”、“我的受保护的注册表”、“我的受保护的COM接口”里面设定的保护项目来作规则内容的(见下图):可以通过“常规设置”里面的受保护文件、受保护注册表、受保护COM接口来加大监控范围。注意,当你添加相关保护设置的时候,一定要注意,仅仅在“组(G)...”里面添加是不起作用,必须要引入受保护的项目里面才有用。新手刚开始学用comodo的时候,沿用官方给定的默认保护内容即可。这里注意一下,我们自己设置程序分组以便在“计算机安全规则”里面进行使用时,程序分组是在“我的受保护文件”里面进行添加设置的(见下图):关于程序分组加以引用的问题,后面再说,这里暂且放下。2、comodo的规则流程及逻辑关系是怎样的?Comodo的D+执行规则判定时,会首先检查“常规设置”的“我的拦截文件”里有无设置需要保护的文件,若有,则禁止任何程序访问那些文件——禁止读取、修改、创建、删除。Comodo基本上是不防读取的,只有“我的拦截文件”里面的东西除外。如果你有私密的文件需要保护,请放入“我的拦截文件”里。注意,放入该区里面的文件禁止任何程序访问,包括你自己也不能访问,你若想访问它们,请把里面的相应规则删除,或者暂时禁用D+。检查过“我的拦截文件”后,转入“计算机安全规则”里进行规则的查找和匹配。依据从上到下的顺序加以查找匹配,依据程序路径快速查找规则,找到就加以检查,有适合的规定的就加以执行,无则继续向下查找,如果一直找不到就由全局规则(所有应用程序*)来处理(见下图):找到合适的应用程序规则之后,按照该条程序规则里面设定的内容进行处理。每条应用程序规则里面同一项目的相关规定,它们之间的优先级别是:修改/允许的内容>修改/阻止的内容>允许/阻止>询问(见下图):同一项目的规则执行按照上图所示的优先级顺序加以执行。“修改”里面的内容可以对前边设置的内容(询问,允许、阻止)进行覆盖,类似于例外排除。例如,当我们设定阻止一个应用程序访问其它程序内存的时候,如果想添加几个允许它去修改内存的程序,就可以打开“修改”的编辑画面添加例外允许。由于“修改”里面的内容优先级较高,习惯上称之为“优先允许”和“优先阻止”。善于应用优先级关系进行组合,可以编制出满意的规则,这个问题留待后面讨论。这里注意一下,优先级3的“允许”和“阻止”是同级的关系,不存在谁优先于谁的问题,选哪个就按哪个执行。当我们开始制作一套简单的规则时,“计算机安全规则”里面实际上只有两条应用程序规则与该程序相关,对该程序起作用。一条是该应用程序的规则,一条是全局规则,它们之间的关系及规则的执行顺序流程如下:小结一下:“计算机安全规则”里面的规则执行,是按照从上到下的顺序加以查找匹配的。同一条应用程序规则里面,操作的优先顺序是“优先允许”>“优先阻止”>“允许/阻止”>“询问”。如果有两条或两条以上的规则涉及同一程序,那么,将会按照从上到下的关系,首先执行完上面规则的“优先允许/优先阻止”、“允许/阻止”的精确操作后,才会执行下面规则的相关操作。如果上面的规则已经允许了相关行为,下面的规则再对同一行为设置阻止,下面这条规则就是废物。认真领会些逻辑关系,将帮助你写出正确、有效的规则。3、哪些项目影响方案的强度? 在我们正式动手打磨规则之前,概览一下,看看有哪些方面会影响防御方案的强度。大致上说,因素有这么一些:●所用模式:疯狂模式,安全模式,干净PC模式,学习模式,安全程度是逐次下降的,到禁用时D+就被关闭,一点防护都没有了。刚开始入手打磨自己规则的,推荐使用安全模式。●保护内容:常规设置里面的文件保护、注册表保护、COM接口保护,划定了这三个项目的监控范围。在comodo支持的范围内,监控越广,显然安全系数越高,但也不是绝对成正比。安全防护要考虑效率问题,成本过高实际上是不划算的,一般情况下只须对要害部位进行防御,处理重要问题即可。新手沿用comodo自带的内容即可,以后再做修订。●数字签名:盗用和假冒数字签名的事时有所闻,要追求高安全,这一项就尽量限制或不要使用。可以在“常规设置”的“我的信任软件商”名单里删除一些名单,也可以在D+设置里面禁用信任数字签名。●可执行镜像控制设置:设置监控的可执行文件及控制级别,可以在可执行文件被加载到内存前实施拦截,也能拦截恶意程序读取缓存里面的内容。刚开始时,控制级别和文件检查使用默认的即可。打磨得差不多时再调高控制级别和添加文件检查项目。●规则设置:规则强不强,安全不安全,好用不好用,最根本的因素,还是这个。规则的防御思想,规则之间的逻辑关系及流程,规则的破绽及错误……所有这些都会影响规则的质量。大致的轮廓就是这样,在我们制作规则和实施管理时,不要忘记了这些关系。
⑻ cmodo采用ipv6过滤什么意思
IPV6是一种协议,comodo支持基于该种协议的拦截
⑼ 求助COMODO中防火墙隐身设置。
其实这并不是comodo的错。。网络隐身向导,是用来配置防火墙的全局规则的,并不是用来固定防火墙全局规则的比如网络隐身向导的第三项阻止全部传入连接,最起作用的就是就是那条阻止所有IP入站。而在此基础上,你可以做任何更改,比如过滤某些传入连接来记录日志啊,或者特别的允许某些端口接收入站连接网络隐身向导,是自动配置全局规则达到某种隐身效果,在此基础上你可以做任何更改,而他不会帮你固定全局规则的。
⑽ comodo拦截到system要连接远程计算机是怎么回事
你开放了NetBiOS服务(137端口)
端口说明:137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务),属于 UDP端口,使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求,就可以获取该计算机的名称、注册用户名,以及是否安装主域控制器、 IIS是否正在运行等信息。
端口漏洞:因为是UDP端口,对于攻击者来说,通过发送请求很容易就获取目标计算机的相关信息,有些信息是直接可以被利用,并分析漏洞的,比如IIS服务。另外,通过捕获正在利用137端口进行通信的信息包,还可能得到目标计算机的启动和关闭的时间,这样就可以利用专门的工具来攻击。
操作建议:建议关闭该端口。
具体而言,就是说通过137端口除了该机的计算机名和注册用户名以外,还可以得到该机是否为主域控制器和主浏览器、是否作为文件服务器使用、IIS和Samba是否正在运行以及Lotus Notes是否正在运行等信息。也就是说,只要您想获得这些信息,只需向这台个人电脑的137端口发送一个请求即可。只要知道IP地址,就可以轻松做到这一点。不只是公司内部网络,还可以通过因特网得到这样的信息。
137端口为什么会把这种信息包泄漏到网络上呢?这是因为,在Windows网络通信协议 --“NetBIOS over TCP/IP(NBT)”的计算机名管理功能中使用的是137端口。
计算机名管理是指Windows网络中的电脑通过用于相互识别的名字 --NetBIOS名,获取实际的IP地址的功能。可以用两种方法使用137端口。
一种方法是,位于同一组中的电脑之间利用广播功能进行计算机名管理。电脑在起动时或者连接网络时,会向位于同组中的所有电脑询问有没有正在使用与自己相同的NetBIOS名的电脑。每台收到询问的电脑如果使用了与自己相同的NetBIOS名,就会发送通知信息包。这些通信是利用137端口进行的。
另一种方法是利用WINS(Windows因特网名称服务)管理计算机名。被称为WINS服务器的电脑有一个IP地址和NetBIOS名的对照表。 WINS客户端在系统起动时或连接网络时会将自己的NetBIOS名与IP地址发送给WINS服务器。与其他计算机通信时,会向WINS服务器发送 NetBIOS名,询问IP地址。这种方法也使用137端口。
如上所述,为了得到通信对象的IP地址,137端口就要交换很多信息包。在这些信息包中,包括有如表3所示的很多信息。利用广播管理计算机名时,会向所有电脑发送这些信息。如果使用NBT,就会在用户没有查觉的情况下,由电脑本身就会向外部散布自己的详细信息。
什么是NetBIOS及NetBIOS的作用与应用
英文原义:NetBIOS Services Protocols
中文释义:(RFC-1001,1002)网络基本输入/输出系统协议
注解:该协议是由IBM公司开发,主要用于数十台计算机的小型局域网。NetBIOS协议是一种在局域网上的程序可以使用的应用程序编程接口(API),为程序提供了请求低级服务的统一的命令集,作用是为了给局域网提供网络以及其他特殊功能,系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,实现信息通讯,所以在局域网内部使用 NetBIOS协议可以方便地实现消息通信及资源的共享。因为它占用系统资源少、传输效率高,尤为适于由 20 到 200 台计算机组成的小型局域网。所以几乎所有的局域网都是在NetBIOS协议的基础上工作的。
应 用:在Windows操作系统中,默认情况下在安装TCP/IP协议后会自动安装NetBIOS。比如在Windows 2000/XP中,当选择“自动获得IP”后会启用DHCP服务器,从该服务器使用NetBIOS设置;如果使用静态IP地址或DHCP服务器不提供 NetBIOS设置,则启用TCP/IP上的NetBIOS。具体的设置方法如下:首先打开“控制面板”,双击“网络连接”图标,打开本地连接属性。接着,在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮。然后在打开的窗口中,单击“高级”按钮;在“高级 TCP/IP设置”窗口中选择“WINS”选项卡,在“NetBIOS设置”区域中就可以相应的NetBIOS设置。
因NETBIOS给用户带来的潜在危害
当安装TCP/IP协 议时,NetBIOS 也被Windows作为默认设置载入,我们的计算机也具有了NetBIOS本身的开放性。某些别有用心的人就利用这个功能来攻击服务器,使管理员不能放心使用文件和打印机共享。
利用NETBIOS漏洞进行攻击的端口分别为:
135端口开放实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的 “Snork”攻击!!!
对于135端口开放的问题,可以在你的防火墙上,增加一条规则:拒绝所有的这类进入的UDP 包,目的端口是135,源端口是7,19,或者135,这样可以保护内部的系统,防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则,已覆盖了这条过滤规则,但任需注意:有一些NT的应用程序,它们依靠UDP135端口进行合法的通讯,而打开你135的端口与NT的RPC服务进行通讯。如果真是这样,你一定要在那些原始地址的系统上(需要135口通讯),实施上述的规则,指定来自这些系统的通讯可以通过防火墙,或者,可以被攻击检测系统所忽略,以便维持那些应用程序的正常连接。为了保护你的信息安全,强烈建议你安装微软的最新补丁包。
上面我们说到Netbios(NETwork Basic Input/Output System)网络基本输入输出系统。是1983年IBM开发的一套网络标准,微软在这基础上继续开发。微软的客户机/服务器网络系统都是基于 NetBIOS的。在利用Windows NT4.0 构建的网络系统中,对每一台主机的唯一标识信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式通过139端口将 NetBIOS名解析为相应IP地址,从而实现信息通讯。在这样的网络系统内部,利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在 Internet上,它就和一个后门程序差不多了。因此,我们很有必要堵上这个可怕的漏洞。
——利用NetBIOS漏洞攻击
1.利用软件查找共享资源
利用NetBrute Scanner 软件扫描一段IP地址(如10.0.13.1~10.0.13.254)内的共享资源,就会扫描出默认共享
2. 用PQwak破解共享密码
双击扫描到的共享文件夹,如果没有密码,便可直接打开。当然也可以在IE的地址栏直接输入扫描到的带上共享文件夹的IP地址,如“\\10.0.13.191”(或带C$,D$等查看默认共享)。如果设有共享密码,会要求输入共享用户名和密码,这时可利用破解网络邻居密码的工具软件,如PQwak,破解后即可进入相应文件夹。
——关闭NetBIOS漏洞
1. 解开文件和打印机共享绑定
鼠标右击桌面上[网络邻居]→[属性] →[本地连接] →[属性],去掉“Microsoft网络的文件和打印机共享”前面的勾,解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求,别人也就看不到本机的共享了。
2. 利用TCP/IP筛选
鼠标右击桌面上[网络邻居] →[属性]→[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项], 在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮(如图2),填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时,将不会有任何回应。
3. 使用IPSec安全策略阻止对端口139和445的访问
选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地机器],在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则,这样别人使用扫描器扫描时,本机的139 和445两个端口也不会给予任何回应。
4. 停止Server服务
选择[我的电脑]→[控制面板]→[管理工具]→[服务],进入服务管理器,关闭Server 服务。这样虽然不会关闭端口,但可以中止本机对其他机器的服务,当然也就中止了对其他机器的共享。但是关闭了该服务会导致很多相关的服务无法启动,如机器中如果有IIS服务,则不能采用这种方法。
5. 使用防火墙防范攻击
在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中,选择一条空规则,设置数据包方向为“接收”,对方IP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139”,对方端口设置为“0到0”,设置标志位为“SYN”,动作设置为“拦截”,最后单击[确定]按钮,并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了。
[编辑本段]
非局域网用户如何防范NETBIOS漏洞攻击
在windows9x下如果你是个拨号用户。完全不需要登陆到 nt局域网络环境的话。只需要在控制面板→网络→删除microsoft网络用户,使用microsoft友好登陆就可以了。但是如果你需要登陆到nt网络的话。那这一项就不能去处。因为nt网里需要使用netbios。
在windowsNT下你可以取消netbios与TCP/IP协议的绑定。控制面板→网络 →Netbios接口→WINS客户(tcp/ip)→禁用。确定。重启。这样nt的计算机名和工作组名也隐藏了,不过会造成基于netbios的一些命令无法使用。如net等。
在windowsNT下你可以选中网络邻居→右键→本地连接→INTERNET协议(TCP/IP)→属性→高级→选项→TCP/IP筛选→在“只允许”中填入除了137,138,139只外的端口。如果你在局域网中,会影响局域网的使用
在windowsXP下你可以在控制面板上点击管理工具-本地安全策略,右击"IP安全策略, 在本地计算机"选择"管理IP筛选器表和筛选器操作",点添加,在对话框里填,随便写.只要你记得住.最好还是写"禁用135/139端口"比较看的懂. 点右边的添加->下一步->源地址为"任何地址"->目的地址"我的地址"->协仪为TCP->在到此端口里填135或 139就可以.
还有一个办法就是TCP/IP协仪里禁用NETBIOS.