135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够包括HTTP协议在内的多种网络传输。

RPC(远程过程调用)服务。RPC是 Remote procedure call的简称，RPC服务即远程过程调用服务，此服务可经更改服务器提供的程序名和网络地址。

Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server、版本，还有些DOS攻击直接针对这个端口。

135端口就是用于远程的打开对方的telnet服务 ，用于启动与远程计算机的 RPC 连接，很容易就可以就侵入电脑。大名鼎鼎的“冲击波”就是利用135端口侵入的。 135的作用就是进行远程，可以在被远程的电脑中写入恶意代码，危险极大。

当一台服务器有大量的端口在使用，有两种方式来查看端口： 一种是利用系统内置的命令，一种是利用第三方端口扫描软件。

1.用“netstat ”查看端口状态

在Windows 2000/XP中，可以在命令提示符下使用“netstat ”查看系统端口状态，可以列出系统正在开放的端口号及其状态。

2.用第三方端口扫描软件

第三方端口扫描软件有许多，界面虽然千差万别，但是功能却是类似的。这里以“Fport” 为例讲解。“Fport”在命令提示符下使用，运行结果 与“netstat -an”相似，但是它不仅能够列出正在使用的端口号及类型，还可 以列出端口被哪个应用程序使用。

3.用“netstat -n”命令，以数字格式显示地址和端口信息。

如果仔细检查这些标准的简单服务以及其他标准的TCP/IP服务（如Telnet、FTP、 SMTP等）的端口号时，我们发现它们都是奇数。这是有历史原因的，因为这些端口号都是从NCP端口号派生出来的（NCP，即网络控制协议，是ARPANET的运输层协议，是TCP的前身）。NCP是半双工的，不是全双工的，因此每个应用程序需要两个连接，需预留一对奇数和偶数端口号。当TCP和UDP成为标准的运输层协议时，每个应用程序只需要一个端口号，因此就使用了NCP中的奇数。

如何根据端口判断系统? 根据端口确定win2k的系统比较容易，如果看到对方开放了TCP端口135的话，那么，基本上可以确定对方为win2k的操作系统了。针对win98的系统，一般是通过139端口来进行确认的，因为win98默认安装的时候会打开NETBIOS端口，因此就开放了TCP 139端口。

但是，有些win2k的系统也会因为需要而被打开TCP 139 端口，不过还好，因为win2k的135端口是系统自动开放的，而且除了借助第三方软件以外，基本上没有办法直接关闭掉135端口。因此，看到只开放了135端口或是开放了135和139端口的基本上可以确定是win2k的操作系统，而只开放139端口的是win98的系统。

135端口主要用于使用RPC（RemoteProcedureCall，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。

是否还记得前几年发生的“冲击波”病毒？该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口，该接口侦听的端口就是135。

如果要开启该端口，只要先在 “启动类型”选择 “自动”，单击“确定”按钮，再打服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后单击“确定”按钮即可。

135端口是非常危险，但却难以了解其用途、无法实际感受到其危险性的代表性端口之。但实际上，2002年7月能够让人认识到其危险性的工具就已经亮相了，这就是“IE en”。该工具是由提供安全相关技术信息和工具类软件的“SecurityFriday.com” 公司(http://www.securityfriday.com)在网上公开提供的。以简单明了的形式验证了135端口的危险性，呼吁用户加强安全设置。

不过，由于该工具的威力非常大，因此日本趋势科技已经将该工具的特征代码追加到了病毒定义库文件中。如果在安装了该公司的病毒扫描软件的电脑中安装lE en，就有可能将其视为病毒。

那么怎样才能关闭135端口呢?

除了关闭RPC服务的方法外，还可以使用如下的端口监控等方法来完成。

一是可以在防火墙(如天网防火墙)中增加一条规则：拒绝所有的这类进入的UDP包，目的端口是135， 源端口是7、19或者135， 这样可以保护内部的系统，防止来自外部的攻击。有一些NT的应用程序，它们依靠UDP 135端口进行合法的通讯，所以需要打开135的端口与NT的RPC服务进行通讯。因此，有必要在防火墙中指定来自这些系统的通讯可以通过防火墙或可以被攻击检测系统所忽略，以便维持那些应用程序的正常连接。

二是打开网络连接中的“本地连接”属性窗口。双击打开“Internet 协议(TCP/IP)”属性窗口。接着单击“高级”按钮进入“高级TCP/IP设置”窗口，并单击切换到“选项设置界面。单击“属性”按钮在进入“TCP/IP

第一步：

点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。

第二步：

右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步：

进入“筛选器属性”对话框，首先看到的是 地址 ，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。

第四步：

在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步：

进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。

根据135端口的漏洞利用特点，我们要关闭此端口，只需停止DCOM接口服务即达到目的。下面是详细操作过程。

1、打开“组件服务”控制台

按 WIN+R 组合键打开运行对话框（不知道哪个是WIN键？），输入“dcomcnfg”，单击“确定”，打开组件服务控制台。

2、点击“计算机”节点

点击“组件服务”下面的“计算机”项目，如图1：

3、打开“我的电脑”属性设置窗口

在“计算机”选项右边，右键单击“我的电脑”，选择“属性”。如图2：

4、禁止“在此计算机上启用分布式COM”

在“我的电脑属性”对话框中，切换到“默认属性”标签，然后去掉“在此计算机上启用分布式COM”前的勾。如图3：

5、删除“面向连接的TCP/IP”协议

切换到“默认协议”标签，选中“面向连接的TCP/IP”，然后点击“移除”按钮。最后不要忘了点击“确定”按钮。如图4：

6、重启电脑

至此，关闭135端口就设置完成了，重新启动电脑后即可关闭135端口。

关闭135端口，另一个方法是从组策略关闭135端口，这个方法适用于所有windows系统，是一个最常用又是最有效的关闭任何一个端口的方法。