표준 Windows 운영 체제 설치에는 설치 직후 여러 포트가 열려 있습니다. 일부 포트는 시스템이 올바르게 작동하는 데 필요한 반면 다른 포트는 일부 사용자 만 필요로하는 특정 프로그램이나 기능에 의해 사용될 수 있습니다.
이러한 포트는 공격자가 시스템의 모든 열린 포트를 진입 점으로 사용할 수 있으므로 보안 위험에 노출 될 수 있습니다. 해당 포트가 기능에 필요하지 않은 경우 포트를 닫아 포트를 대상으로하는 공격을 차단하는 것이 좋습니다.
포트는 기본적으로 장치와의 통신을 허용합니다. 그것의 특징은 포트 번호, IP 주소 및 프로토콜 유형입니다.
이 기사에서는 Windows 시스템에서 열린 포트를 식별하고 평가하여 최종적으로 열어 둘 것인지 닫을 것인지 결정하는 도구를 제공합니다.
우리가 사용할 소프트웨어 프로그램 및 도구 :
- CurrPorts : 32 비트 및 64 비트 버전의 Windows에서 사용 가능합니다. 컴퓨터 시스템에서 열려있는 모든 포트를 표시하는 포트 모니터입니다. 포트 및 포트를 사용하는 프로그램을 식별하는 데 사용합니다.
- Windows 작업 관리자 : 또한 프로그램을 식별하고 일부 포트를 프로그램에 연결하는 데 사용됩니다.
- 검색 엔진 : 쉽게 식별 할 수없는 일부 포트에는 포트 정보 검색이 필요합니다.
열려있는 모든 포트를 통과하는 것은 불가능한 작업이므로 몇 가지 예를 사용하여 열려있는 포트를 확인하고 필요한지 여부를 확인하는 방법을 이해합니다.
CurrPorts를 시작하고 채워진 기본 영역을 살펴보십시오.
프로그램은 프로세스 이름과 ID, 로컬 포트, 프로토콜 및 로컬 포트 이름을 표시합니다.
가장 쉽게 식별 할 수있는 포트는 위의 예제에서 프로세스 ID가 3216 인 RSSOwl.exe와 같은 실행중인 프로그램에 해당하는 프로세스 이름을 가진 포트입니다. 프로세스는 로컬 포트 50847 및 52016에 나열됩니다. 이러한 포트는 일반적으로 프로그램이 닫힐 때 닫힙니다. 프로그램을 종료하고 CurrPorts에서 열린 포트 목록을 새로 고쳐서 확인할 수 있습니다.
더 중요한 포트는 스크린 샷에 표시된 시스템 포트와 같이 프로그램에 바로 연결할 수없는 포트입니다.
해당 포트에 연결된 서비스 및 프로그램을 식별하는 몇 가지 방법이 있습니다. 프로세스 이름 외에 서비스 및 응용 프로그램을 검색하는 데 사용할 수있는 다른 표시기가 있습니다.
가장 중요한 정보는 포트 번호, 로컬 포트 이름 및 프로세스 ID입니다.
프로세스 ID를 사용하여 Windows 작업 관리자에서 시스템에서 실행중인 프로세스에 연결을 시도 할 수 있습니다. 이렇게하려면 작업 관리자를 시작해야합니다 (Ctrl Shift Esc를 누름).
보기, 열 선택을 클릭하고 PID (프로세스 식별자)가 표시되도록 설정하십시오. 이것이 CurrPorts에도 표시되는 프로세스 ID입니다.
참고 : Windows 10을 사용하는 경우 세부 정보 탭으로 전환하여 정보를 즉시 표시하십시오.
이제 Currports의 프로세스 ID를 Windows 작업 관리자의 실행중인 프로세스에 연결할 수 있습니다.
몇 가지 예를 살펴 보겠습니다.
ICSLAP, TCP 포트 2869
여기에는 즉시 식별 할 수없는 포트가 있습니다. 로컬 포트 이름은 icslap이고 포트 번호는 2869이며 TCP 프로토콜을 사용하며 프로세스 ID 4와 프로세스 이름 "system"을 갖습니다.
로컬 포트 이름을 즉시 식별 할 수없는 경우 먼저 로컬 포트 이름을 검색하는 것이 좋습니다. Google을 시작하고 icslap 포트 2869 또는 이와 유사한 것을 검색하십시오.
종종 몇 가지 제안이나 가능성이 있습니다. Icslap의 경우 인터넷 연결 공유, Windows 방화벽 또는 로컬 네트워크 공유입니다. 이 경우 Windows Media Player 네트워크 공유 서비스에서 사용 된 것으로 밝혀졌습니다.
이것이 사실인지 확인하는 좋은 옵션은 서비스가 실행중인 경우 서비스를 중지하고 포트 목록을 새로 고쳐 포트가 더 이상 나타나지 않는지 확인하는 것입니다. 이 경우 Windows Media Player 네트워크 공유 서비스를 중지 한 후 닫혔습니다.
epmap, TCP 포트 135
연구에 따르면 dcom 서버 프로세스 실행기와 연결되어 있습니다. 연구에 따르면 서비스를 비활성화하는 것은 좋지 않습니다. 그러나 방화벽에서 포트를 완전히 닫는 대신 차단할 수 있습니다.
llmnr, UDP 포트 5355
Currports에서 로컬 포트 이름 llmnr이 UDP 포트 5355를 사용한다는 것을 알 수 있습니다. PC 라이브러리에는 서비스에 대한 정보가 있습니다. DNS 서비스와 관련된 링크 로컬 멀티 캐스트 이름 확인 프로토콜을 나타냅니다. DNS 서비스가 필요없는 Windows 사용자는 서비스 관리자에서 비활성화 할 수 있습니다. 이렇게하면 컴퓨터 시스템에서 포트가 열리지 않습니다.
요약
무료 휴대용 프로그램 CurrPorts를 실행하여 프로세스를 시작하십시오. 시스템에서 열려있는 모든 포트를 강조 표시합니다. 모범 사례는 CurrPort를 실행하기 전에 열려있는 모든 프로그램을 닫아 열려있는 포트 수를 Windows 프로세스 및 백그라운드 응용 프로그램으로 제한하는 것입니다.
일부 포트를 즉시 프로세스에 연결할 수 있지만 Windows 작업 관리자 또는 CurrPorts가 Process Explorer와 같은 타사 응용 프로그램에서 표시하는 프로세스 ID를 찾아서 식별해야합니다.
완료되면 프로세스 이름을 조사하여 필요한지 여부와 필요하지 않은 경우 닫을 수 있는지 여부를 확인할 수 있습니다.
결론
포트 및 포트가 연결된 서비스 또는 응용 프로그램을 항상 쉽게 식별 할 수있는 것은 아닙니다. 검색 엔진에 대한 연구는 일반적으로 필요하지 않은 서비스를 비활성화하는 방법을 담당하는 서비스를 찾는 데 충분한 정보를 제공합니다.
포트 헌트를 시작하기 전에 가장 좋은 첫 번째 방법은 서비스 관리자에서 시작된 모든 서비스를 자세히 살펴보고 시스템에 필요한 서비스를 중지하고 비활성화하는 것입니다. 이를 평가하기위한 좋은 출발점은 BlackViper 웹 사이트의 서비스 구성 페이지입니다.
