高考问答by arsenal fan 系列:怎样才能防止1434的端口攻击?
来源:百度文库 编辑:高考问答 时间:2024/05/02 10:34:20
,天天叫唤。全世界哪个地方的人都有,这pin的我闹心阿。。
想屏蔽端口吧,怕有“副作用”。。。。再说也不会弄。
请问有啥办法没? 只要不让被攻击就好了。
不要让人随便探测到你的tcp/ip端口
默认情况下,sql server使用1433端口监听,很多人都说sql server配置的时候要把这个端口改变,这样别人就不能很容易地知道使用的什么端口了。可惜,通过微软未公开的1434端口的udp探测可以很容易知道sql server使用的什么tcp/ip端口了(请参考《深入探索sql server网络连接的安全问题》)。
不过微软还是考虑到了这个问题,毕竟公开而且开放的端口会引起不必要的麻烦。在实例属性中选择tcp/ip协议的属性。选择隐藏 sql server 实例。如果隐藏了 sql server 实例,则将禁止对试图枚举网络上现有的 sql server 实例的客户端所发出的广播作出响应。这样,别人就不能用1434来探测你的tcp/ip端口了(除非用port scan)。
修改tcp/ip使用的端口
请在上一步配置的基础上,更改原默认的1433端口。在实例属性中选择网络配置中的tcp/ip协议的属性,将tcp/ip使用的默认端口变为其他端口。如图:
拒绝来自1434端口的探测
由于1434端口探测没有限制,能够被别人探测到一些数据库信息,而且还可能遭到dos攻击让数据库服务器的cpu负荷增大,所以对windows 2000操作系统来说,在ipsec过滤拒绝掉1434端口的udp通讯,可以尽可能地隐藏你的sql server。
对网络连接进行ip限制
sql server 2000数据库系统本身没有提供网络连接的安全解决办法,但是windows 2000提供了这样的安全机制。使用操作系统自己的ipsec可以实现ip数据包的安全性。请对ip连接进行限制,只保证自己的ip能够访问,也拒绝其他ip进行的端口连接,把来自网络上的安全威胁进行有效的控制。