win服务器一些安全攻防的知识点梳理

用windows服务器基本上比较不安全,有很多弱洞可以探测和攻击。在别的机器上我就遇到过。现在把我处理方案以及查询方案写下来,以便以后自己参考。

总体来说就是两个方面,一个就是封端口,一个就是封ip。

首先如果有安装xampp之类的服务器管理软件,一定要谷歌搜索一下xampp的安全使用教程,来弥补xampp本身带来的漏洞之类的麻烦。

一般国内的服务器厂商都自带安全组选项,上面可以禁止ip和端口选项。比方说腾讯云,点击云服务器,再点击安全组,就可以进入安全组的设置界面。点击新建,输入名称,就可以创建安全组。安全组分类放通和禁止两种。一般的用户只需设置打开80等常用端口即可。

如果要禁止某类ip访问,就可以在安全组进行配置,比方说要禁止14.211.34.0 段ip的访问,安全组类型设置自定义,来源设置为14.211.34.0/24, 也就是14.211.34.0到14.211.34.254段网络全部不能访问, 如果设置14.211.34.0/16, 则是设置14.211.0.0到14.211.254.0段不能访问。协议端口选择ALL, 策略设置为拒绝。

如果要设置某个范围之内端口无法访问,写法是

这样就表明5000-20000之内的端口这个ip地址都无法访问。

以上是安全组配置的策略。为安全起见,服务器都要开启防火墙。

打开服务器管理器,工具,高级windows防火墙,打开防火墙配置。点击windows防火墙属性,打开防火墙。设置入站规则。点击新建,选择端口,下一步,选择TCP,特定本地端口,输入5000-10000,设置为阻止,就可以过滤掉所有这些端口的连接。

如何查看当前连接的网络情况和性能状态来分析攻击?

如果分析当前外部连接的情况,可以输入cmd命令netstat -ano来查看本机开放的所有端口。

端口的状态:

listening说明端口是开放着监听状态,好比你房子门开着,但是没人进来。

Estabilished表明两台机器已经建立通信。

close_waite对方主动关闭通信或者网络异常。

TIME_WAITE我方主动调用close断开,收到对方确认后状态变为time waite.

然后可以通过tasklist命令来查看当前网络连接的进程信息。

第二步我们可以用资源监视器来监视。

首先打开任务管理器,然后打开资源监视器。

这里可以查找到当前运行的所有信息:

可以通过分析进行的占用和网络的ip,来分析出哪些可疑进行进行关闭或者屏蔽ip地址或者端口。

最后一点,修改各类常用端口,比方说修改默认的远程连接端口。修改phpmyadmin的名称, 修改数据库的3306端口等。 ftp,telnet等端口千万不要开。