Standart bir Windows işletim sistemi kurulumunda, kurulumdan hemen sonra açılan bir dizi port vardır. Sistemin düzgün çalışması için bazı bağlantı noktalarına ihtiyaç duyulurken, diğerleri yalnızca bazı kullanıcıların ihtiyaç duyabileceği belirli programlar veya özellikler tarafından kullanılabilir.
Bu portlar, sistemdeki her açık port saldırganlar tarafından giriş noktası olarak kullanılabileceğinden güvenlik riski oluşturabilir. Eğer bu port işlevsellik için gerekli değilse, onu hedef alan saldırıları engellemek için kapatılması önerilir.
Bir port temelde cihazla veya cihazdan haberleşmeye izin verir. Bunun özellikleri bir port numarası, bir IP adresi ve bir protokol türüdür.
Bu makalede, Windows sisteminizdeki açık portları tanımlayıp değerlendirmek için eldeki araçları bulacaksınız.
Kullanacağımız yazılım programları ve araçlar:
- CurrPorts: Windows'un 32 bit ve 64 bit sürümleri için kullanılabilir. Bir bilgisayar sistemindeki tüm açık bağlantı noktalarını gösteren bir bağlantı noktası izleyicisidir. Bağlantı noktalarını ve bunları kullanan programları tanımlamak için kullanacağız.
- Windows Görev Yöneticisi: Programları tanımlamak ve bazı bağlantı noktalarını programlara bağlamak için de kullanılır.
- Arama Motoru: Kolayca tespit edilemeyen bazı portlar için port bilgisini aramak gerekir.
Açık olan tüm limanlardan geçmek imkansız bir iş olacaktır, bu nedenle birkaç örnek kullanacağız, böylece açık limanları nasıl kontrol edeceğinizi ve gerekli olup olmadığını nasıl öğreneceğinizi anlayabilirsiniz.
CurrPorts'u ateşleyin ve kalabalık ana bölgeye bakın.
Program işlem adı ve kimliği, yerel port, protokol ve diğerleri arasında yerel port adını görüntüler.
Tanımlanması en kolay bağlantı noktaları, yukarıdaki örnekte 3216 işlem kimliğine sahip RSSOwl.exe gibi çalışan bir programa karşılık gelen bir işlem adına sahip olanlardır. İşlem, 50847 ve 52016 yerel bağlantı noktalarında listeleniyor. Bu bağlantı noktaları genellikle program kapandığında kapanır. Bir programı sonlandırarak ve CurrPorts'taki açık port listesini yenileyerek bunu doğrulayabilirsiniz.
Daha önemli olan portlar, ekran görüntüsünde gösterilen Sistem portları gibi hemen bir programa bağlanamayan portlardır.
Bu bağlantı noktalarına bağlı hizmetleri ve programları tanımlamanın birkaç yolu vardır. İşlem adının yanı sıra hizmetleri ve uygulamaları keşfetmek için kullanabileceğimiz başka göstergeler var.
En önemli bilgiler port numarası, yerel port adı ve işlem kimliğidir.
İşlem kimliği ile, Windows Görev Yöneticisi'ne bakıp sistemde çalışan bir işleme bağlamak için bir göz atabiliriz. Bunu yapmak için görev yöneticisini başlatmanız gerekir (Ctrl Shift Esc tuşlarına basın).
Görünüm, Sütun Seç'e tıklayın ve gösterilecek PID'yi (İşlem Tanımlayıcısı) etkinleştirin. Bu, CurrPorts'da da gösterilen işlem kimliğidir.
Not : Windows 10 kullanıyorsanız, bilgileri hemen görüntülemek için Ayrıntılar sekmesine geçin.
Şimdi Currports'daki işlem kimliklerini Windows Görev Yöneticisi'nde çalışan işlemlerle bağlayabiliriz.
Bazı örneklere bakalım:
ICSLAP, TCP Bağlantı Noktası 2869
Burada hemen tanımlayamayacağımız bir liman var. Yerel port adı icslap, port numarası 2869, TCP protokolünü kullanıyor, işlem kimliği 4 ve işlem adı "system".
Hemen tanımlanamıyorsa önce yerel liman adını aramak genellikle iyi bir fikirdir. Google’ı tetikleyin ve icslap port 2869 veya benzeri bir şey arayın.
Genellikle birkaç öneri veya olasılık vardır. Icslap için İnternet Bağlantı Paylaşımı, Windows Güvenlik Duvarı veya Yerel Ağ Paylaşımı. Bu durumda Windows Media Player Ağ Paylaşımı Hizmeti tarafından kullanıldığını bulmak için biraz araştırma yapıldı.
Durumun gerçekten böyle olup olmadığını anlamak için iyi bir seçenek, eğer çalışıyorsa hizmeti durdurmak ve portun artık görünüp görünmediğini görmek için port listesini yenilemek. Bu durumda, Windows Media Player Ağ Paylaşımı Hizmeti durdurulduktan sonra kapatıldı.
epmap, TCP bağlantı noktası 135
Araştırmalar bunun dcom sunucusu işlem başlatıcısına bağlı olduğunu gösteriyor. Araştırma ayrıca, hizmeti devre dışı bırakmanın iyi bir fikir olmadığını da göstermektedir. Bununla birlikte, bağlantı noktasını tamamen kapatmak yerine güvenlik duvarında engellemek mümkündür.
llmnr, UDP bağlantı noktası 5355
Currport'lara bakarsanız, llmnr yerel port adının 5355 numaralı UDP bağlantı noktasını kullandığına dikkat edin. PC Library hizmet hakkında bilgiler içerir. DNS hizmetiyle ilgili olan Yerel Yerel Yayın Adı Çözünürlüğü Bağlantısı protokolüne atıfta bulunuyor. DNS hizmetine ihtiyaç duymayan Windows kullanıcıları Servis Yöneticisi'nde devre dışı bırakabilir. Bu, bilgisayar sisteminde bağlantı noktalarının açık kalmasını önler.
tekrarlamak
Ücretsiz, taşınabilir CurrPorts programını çalıştırarak işlemi başlatırsınız. Sistemdeki tüm açık portları vurgular. Açık bağlantı noktalarının sayısını Windows işlemleri ve arka plan uygulamaları ile sınırlandırmak için CurrPorts'u çalıştırmadan önce açık olan tüm programları kapatmak iyi bir uygulamadır.
Bazı bağlantı noktalarını hemen işlemlere bağlayabilirsiniz, ancak Windows Görev Yöneticisi'nde CurrPorts tarafından görüntülenen işlem kimliğini ya da tanımlamak için aksi takdirde İşlem Gezgini gibi üçüncü taraf bir uygulamayı aramanız gerekir.
Bir kez bittiğinde, ihtiyaç duyup duymadığınızı ve ihtiyaç duymazsanız kapatmanın mümkün olup olmadığını öğrenmek için işlem adını araştırabilirsiniz.
Sonuç
Bağlantı noktalarını ve bağlı oldukları hizmetleri veya uygulamaları tanımlamak her zaman kolay değildir. Arama motorları üzerine yapılan araştırmalar, genellikle hangi hizmetin gerekli değilse, devre dışı bırakmanın yollarından sorumlu olduğunu bulmak için yeterli bilgi sağlar.
Limanları aramaya başlamadan önce iyi bir ilk yaklaşım, Hizmetler Yöneticisi'ndeki tüm başlatılmış servislere yakından bakmak ve sistem için gerekli olanları durdurmak ve devre dışı bırakmak olacaktır. Bunları değerlendirmek için iyi bir başlangıç noktası, BlackViper web sitesindeki hizmetler yapılandırma sayfasıdır.