135端口

RPC(遠程過程調用)服務。RPC是 Remote procedure call的簡稱，RPC服務即遠程過程調用服務，此服務可經更改服務器提供的程序名和網絡地址。 ^[1] 

Microsoft在這個端口運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX111端口的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper註冊它們的位置。遠端客户連接到計算機時，它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個端口是為了找到這個計算機上運行Exchange Server、版本，還有些DOS攻擊直接針對這個端口。 ^[2] 

135端口就是用於遠程的打開對方的telnet服務 ，用於啓動與遠程計算機的 RPC 連接，很容易就可以就侵入電腦。大名鼎鼎的“衝擊波”就是利用135端口侵入的。 135的作用就是進行遠程，可以在被遠程的電腦中寫入惡意代碼，危險極大。 ^[2] 

當一台服務器有大量的端口在使用，有兩種方式來查看端口： 一種是利用系統內置的命令，一種是利用第三方端口掃描軟件。 ^[3] 

1.用“netstat ”查看端口狀態

在Windows 2000/XP中，可以在命令提示符下使用“netstat ”查看系統端口狀態，可以列出系統正在開放的端口號及其狀態。 ^[3] 

2.用第三方端口掃描軟件 ^[3] 

第三方端口掃描軟件有許多，界面雖然千差萬別，但是功能卻是類似的。這裏以“Fport” 為例講解。“Fport”在命令提示符下使用，運行結果 與“netstat -an”相似，但是它不僅能夠列出正在使用的端口號及類型，還可 以列出端口被哪個應用程序使用。 ^[3] 

3.用“netstat -n”命令，以數字格式顯示地址和端口信息。 ^[3] 

如果仔細檢查這些標準的簡單服務以及其他標準的TCP/IP服務（如Telnet、FTP、 SMTP等）的端口號時，我們發現它們都是奇數。這是有歷史原因的，因為這些端口號都是從NCP端口號派生出來的（NCP，即網絡控制協議，是ARPANET的運輸層協議，是TCP的前身）。NCP是半雙工的，不是全雙工的，因此每個應用程序需要兩個連接，需預留一對奇數和偶數端口號。當TCP和UDP成為標準的運輸層協議時，每個應用程序只需要一個端口號，因此就使用了NCP中的奇數。 ^[3] 

如何根據端口判斷系統? 根據端口確定win2k的系統比較容易，如果看到對方開放了TCP端口135的話，那麼，基本上可以確定對方為win2k的操作系統了。針對win98的系統，一般是通過139端口來進行確認的，因為win98默認安裝的時候會打開NETBIOS端口，因此就開放了TCP 139端口。 ^[2] 

但是，有些win2k的系統也會因為需要而被打開TCP 139 端口，不過還好，因為win2k的135端口是系統自動開放的，而且除了藉助第三方軟件以外，基本上沒有辦法直接關閉掉135端口。因此，看到只開放了135端口或是開放了135和139端口的基本上可以確定是win2k的操作系統，而只開放139端口的是win98的系統。 ^[2] 

135端口主要用於使用RPC（RemoteProcedureCall，遠程過程調用）協議並提供DCOM（分佈式組件對象模型）服務，通過RPC可以保證在一台計算機上運行的程序可以順利地執行遠程計算機上的代碼；使用DCOM可以通過網絡直接進行通信，能夠跨包括HTTP協議在內的多種網絡傳輸。 ^[4] 

是否還記得前幾年發生的“衝擊波”病毒？該病毒就是利用RPC漏洞來攻擊計算機的。RPC本身在處理通過TCP/IP的消息交換部分有一個漏洞，該漏洞是由於錯誤地處理格式不正確的消息造成的。該漏洞會影響到RPC與DCOM之間的一個接口，該接口偵聽的端口就是135。 ^[4] 

如果要開啓該端口，只要先在 “啓動類型”選擇 “自動”，單擊“確定”按鈕，再打服務，在“服務狀態”中單擊“啓動”按鈕即可啓用該端口，最後單擊“確定”按鈕即可。 ^[5] 

135端口是非常危險，但卻難以瞭解其用途、無法實際感受到其危險性的代表性端口之。但實際上，2002年7月能夠讓人認識到其危險性的工具就已經亮相了，這就是“IE en”。該工具是由提供安全相關技術信息和工具類軟件的“SecurityFriday.com” 公司(http://www.securityfriday.com)在網上公開提供的。以簡單明瞭的形式驗證了135端口的危險性，呼籲用户加強安全設置。 ^[3] 

不過，由於該工具的威力非常大，因此日本趨勢科技已經將該工具的特徵代碼追加到了病毒定義庫文件中。如果在安裝了該公司的病毒掃描軟件的電腦中安裝lE en，就有可能將其視為病毒。 ^[3] 

那麼怎樣才能關閉135端口呢? ^[3] 

除了關閉RPC服務的方法外，還可以使用如下的端口監控等方法來完成。 ^[3] 

一是可以在防火牆(如天網防火牆)中增加一條規則：拒絕所有的這類進入的UDP包，目的端口是135， 源端口是7、19或者135， 這樣可以保護內部的系統，防止來自外部的攻擊。有一些NT的應用程序，它們依靠UDP 135端口進行合法的通訊，所以需要打開135的端口與NT的RPC服務進行通訊。因此，有必要在防火牆中指定來自這些系統的通訊可以通過防火牆或可以被攻擊檢測系統所忽略，以便維持那些應用程序的正常連接。 ^[3] 

二是打開網絡連接中的“本地連接”屬性窗口。雙擊打開“Internet 協議(TCP/IP)”屬性窗口。接着單擊“高級”按鈕進入“高級TCP/IP設置”窗口，並單擊切換到“選項設置界面。單擊“屬性”按鈕在進入“TCP/IP篩選"窗口後，添加篩選器，指定需要使用的端口即可。 ^[3] 

第一步：

點擊“開始”菜單/設置/控制面板/管理工具，雙擊打開“本地安全策略”，選中“IP 安全策略，在本地計算機”，在右邊窗格的空白位置右擊鼠標，彈出快捷菜單，選擇“創建 IP 安全策略”，於是彈出一個嚮導。在嚮導中點擊“下一步”按鈕，為新的安全策略命名；再按“下一步”，則顯示“安全通信請求”畫面，在畫面上把“激活默認相應規則”左邊的鈎去掉，點擊“完成”按鈕就創建了一個新的IP 安全策略。 ^[3] 

第二步：

右擊該IP安全策略，在“屬性”對話框中，把“使用添加嚮導”左邊的鈎去掉，然後單擊“添加”按鈕添加新的規則，隨後彈出“新規則屬性”對話框，在畫面上點擊“添加”按鈕，彈出IP篩選器列表窗口；在列表中，首先把“使用添加嚮導”左邊的鈎去掉，然後再點擊右邊的“添加”按鈕添加新的篩選器。 ^[3] 

第三步：

進入“篩選器屬性”對話框，首先看到的是 地址 ，源地址選“任何 IP 地址”，目標地址選“我的 IP 地址”；點擊“協議”選項卡，在“選擇協議類型”的下拉列表中選擇“TCP”，然後在“到此端口”下的文本框中輸入“135”，點擊“確定”按鈕，這樣就添加了一個屏蔽 TCP 135（RPC）端口的篩選器，它可以防止外界通過135端口連上你的電腦。 ^[3] 

第四步：

在“新規則屬性”對話框中，選擇“新 IP 篩選器列表”，然後點擊其左邊的圓圈上加一個點，表示已經激活，最後點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中，把“使用添加嚮導”左邊的鈎去掉，點擊“添加”按鈕，添加“阻止”操作：在“新篩選器操作屬性”的“安全措施”選項卡中，選擇“阻止”，然後點擊“確定”按鈕。 ^[3] 

第五步：

進入“新規則屬性”對話框，點擊“新篩選器操作”，其左邊的圓圈會加了一個點，表示已經激活，點擊“關閉”按鈕，關閉對話框；最後回到“新IP安全策略屬性”對話框，在“新的IP篩選器列表”左邊打鈎，按“確定”按鈕關閉對話框。在“本地安全策略”窗口，用鼠標右擊新添加的 IP 安全策略，然後選擇“指派”。 ^[3] 

根據135端口的漏洞利用特點，我們要關閉此端口，只需停止DCOM接口服務即達到目的。下面是詳細操作過程。 ^[3] 

按 WIN+R 組合鍵打開運行對話框（不知道哪個是WIN鍵？），輸入“dcomcnfg”，單擊“確定”，打開組件服務控制枱。 ^[3] 

點擊“組件服務”下面的“計算機”項目，如圖1： ^[3] 

在“計算機”選項右邊，右鍵單擊“我的電腦”，選擇“屬性”。如圖2： ^[3] 

在“我的電腦屬性”對話框中，切換到“默認屬性”標籤，然後去掉“在此計算機上啓用分佈式COM”前的勾。如圖3： ^[3] 

切換到“默認協議”標籤，選中“面向連接的TCP/IP”，然後點擊“移除”按鈕。最後不要忘了點擊“確定”按鈕。如圖4： ^[3] 

至此，關閉135端口就設置完成了，重新啓動電腦後即可關閉135端口。

關閉135端口，另一個方法是從組策略關閉135端口，這個方法適用於所有windows系統，是一個最常用又是最有效的關閉任何一個端口的方法。 ^[3]