常见高危端口有哪些,如何封禁高危端口

这篇具有很好参考价值的文章主要介绍了常见高危端口有哪些,如何封禁高危端口。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

常见高危端口有哪些,如何封禁高危端口

转载:https://support.huawei.com/enterprise/zh/doc/EDOC1100297669

  • 了解端口和开放端口的风险
  • 常见高危端口
  • 如何封禁高危端口
  • 如何保护风险端口

了解端口和开放端口的风险

什么是端口?

大家都知道,IP地址用于标识网络中的计算机。TCP/IP协议把一个IP地址和另一个IP地址连接起来,形成了网络。一台计算机上通常运行着很多服务。例如,允许客户访问网页的Web服务,允许管理员配置服务器的SSH服务,或者用于传输文件的FTP服务等。那么,怎么区分同一台计算机上的不同服务呢?

为此,人们设计了端口的概念。端口由数字指定,即端口号。计算机上每种类型的服务都要提供一个端口,等待通信对端从动态端口发来的数据包。例如,Web服务常用的端口号是80(用于HTTP)或443(用于HTTPS)。当您浏览网页时,您的浏览器随机选择一个端口,向Web服务器的80端口或者443端口发送数据包。一台计算机通过端口发送数据包,另一台计算机通过端口接收数据包。通信双方的端口是数据包发送和接收的终点。

快递员投递包裹时,首先根据街道地址找到小区,然后在这个小区中根据门牌号找到收件人,把包裹送达。街道地址和门牌号构成了完整的投递地址。在计算机的世界,如果我们把IP地址类比为街道地址,把服务类比为快递员,那么端口就是门牌号。IP地址和端口构成了完整的通信地址,用于识别数据包的目的地。

什么是开放端口?

开放端口(Open ports)是指主动接收数据包的端口。相应地,拒绝所有数据包的端口是关闭的端口(Closed ports)。如前所述,当计算机需要对外提供服务时,需要开放特定的端口。毕竟,你要接收包裹,就得给快递员开门。

在特定端口上启用了某个服务以后,该端口将仅供此服务使用,不能再用于其他目的(服务)。端口号分为三类。

  • 知名端口(Well-known Ports):也叫系统端口(System Ports),端口号范围0-1023。知名端口由 ICANN(The Internet Corporation for Assigned Names and Numbers,互联网名称与数字地址分配机构)分配给常用的服务。知名端口与服务具有紧密的联系。通常说采用某知名端口通信,即表明采用该端口对应的服务。例如,22表示SSH,23表示Telnet。
  • 注册端口(Registered Ports):也叫用户端口(User Ports),端口号范围1024-49151。注册端口由IANA(Internet Assigned Numbers Authority,互联网数字分配机构)管理,组织可以向IANA申请某端口为应用程序的注册端口。例如,3389是微软为RDP(Remote Desktop Protocol,远程桌面协议)申请的注册端口。
  • 私有端口(Private Ports):也叫动态端口(Dynamic Ports),端口号范围49152-65535。不应该为服务分配动态端口。动态端口是主机与服务端通信时,临时分配给应用程序的端口。通信结束后,该端口即被释放。不过,在实际应用中,主机通常从1024起分配动态端口。

端口号与服务的分配关系,可参考IANA网站。

开放端口有什么风险?

严格意义上讲,开放端口并不一定存在风险,任何一个特定的端口也并不一定比其他端口更安全或者更危险。

端口本身是中立的。开放端口是否存在风险,由使用端口的服务、管理服务的人来决定。当使用端口的服务存在漏洞、没有及时打补丁,或者服务配置错误、安全策略不合理时,开放端口是危险的。

网络攻击通常从端口扫描开始。攻击者将从开放端口的服务中寻找安全漏洞,并通过成功的漏洞利用非法访问未授权的资源。例如:SMB协议用于组织内部共享文件夹、打印机和串行端口。由于协议本身设计存在缺陷,SMB协议被称为永恒之蓝的零日漏洞利用,导致WannaCry勒索病毒大爆发。在互联网上公开此类服务,必将存在安全风险。除了查找漏洞,攻击者还经常采用暴力破解。例如,针对RDP的暴力破解经常被用于勒索软件攻击,是最常见的入侵手法之一。

如果说开放端口有风险的话,那么这个风险就是,开放端口容易受到攻击。开放任何端口都会增加攻击面,并增加由于漏洞、配置错误和管理不足而受到威胁的可能性。

为什么安全专家建议仅开放必要的端口?

端口是为通信而存在的。组织应实施必要的审核程序,以确定是否开放端口。如果有运行某个服务的需求,开放相应的端口是有意义的。这时,应从合法渠道获取应用软件、及时检查安全漏洞并实施安全加固措施,然后再正式开放端口。

如前所述,开放任何端口都会增加攻击面,并增加受到威胁的可能性。如果没有合理的通信需求,不要开放端口。

组织内部网络中有大量计算机,每台计算机上都可能开放了非必要的端口。你可以逐个计算机去关闭端口,也可以把这项工作交给防火墙。防火墙通常部署在网络的出口,在防火墙上可以阻断此类端口与外部网络的通信。想象你有一个四合院(网络),你可以关闭每个房间(计算机)的门窗(端口),你也可以依赖院墙,然后守好四合院的大门。

如何评估端口安全风险?

  1. 检查开放的端口。使用开源的端口扫描工具(如Nmap)或者部署华为漏洞扫描产品VSCAN,可以发现网络中开放的端口。
  2. 评估开放端口的必要性。安全专家建议,仅在特定设备上开放必要的端口,非必要的端口应立即关闭。如果扫描结果中出现了未主动开放的端口,请检查主机是否被植入了木马程序。
  3. 评估开放端口的安全性。了解每个端口上承载的服务,了解端口可能的风险。端口的安全风险可以从三个方面来评估。
    1. 可被利用:端口所承载的服务和应用程序存在安全漏洞,就可能被攻击者利用。
    2. 常被利用:攻击者经常使用的端口,风险更大。典型的如网络管理员广泛使用的RDP远程连接服务、FTP文件传输服务、Web应用程序等。
    3. 开放范围:开放在公网上的端口,都可能受到攻击。非必要的端口,不要暴露在公网上;有业务需要的,必须做好安全防护。

根据风险等级,端口可以简单分类如下,风险等级依次降低。

  • 高危端口:开放在公网上的、极度危险的端口。这些端口承载的服务曾经造成广泛的安全事件,因此深受攻击者青睐,无时无刻不被各种自动化攻击工具扫描着,风险极高。请参考如何封禁高危端口,在防火墙上封禁常见的高危端口。
  • 高危服务:开放在公网上的、采用非标准端口的高危服务,例如开放在3399端口上的RDP服务。RDP服务的默认端口是3389,修改端口号可以增加攻击者发现风险服务的时间成本,可以在一定程度上提高安全性,因此高危服务的风险等级低于高危端口。但是这种提高的程度非常有限,请参考如何保护风险端口,为高危服务增强安全防护。
  • 风险端口:开放在公网的端口。如果这些开放端口是正常的业务需要,请参考如何保护风险端口,做好安全防护。
 

常见高危端口

常见的高危端口主要有以下五类,表1-1提供了常见高危端口的不完全列表,供参考。

  • 远程管理服务:远程运维是企业IT运维人员的日常工作,而多数远程管理服务都是攻击者的首选目标,直接开放风险巨大。建议部署运维审计系统(如华为UMA1000),并通过VPN接入内网后登录。如未部署运维审计系统,请务必选择安全的加密应用,如SSHv2。
  • 局域网服务:这些服务端口安全漏洞多,常被攻击者利用,造成严重的安全事件。此类服务主要应用于企业内网访问,完全可以在出口防火墙上封禁。一般情况下,企业自建DNS服务器仅限于解析自有域名,不会对外开放,因此可以在互联网出口防火墙上封禁DNS服务。
  • 互联网服务:SMTP、POP3、IMAP等邮件协议在设计之初没有内置安全性,请使用SSL/TLS加密保护。同样,如果需要对外提供Web服务,请使用HTTPS协议替代HTTP。
  • 数据库:所有的数据库端口都不应该对外开放。
  • 木马常用端口:攻击者在主机中植入木马以后,会在失陷主机中开放后门端口。常用的后门端口很多,如123、1234、12345、666、4444、3127、31337、27374等。在病毒爆发时期,请封禁此类端口。
表1-1 常见高危端口(不完全列表)

端口

协议

服务

建议处理动作

远程管理服务

20、21

TCP

FTP(文件传输协议)

始终封禁,使用SSHv2替代,或者部署运维审计系统

22

TCP

SSH(安全外壳协议)

建议封禁,如必须使用,请务必使用SSHv2版本并采用强认证

23

TCP

Telnet(远程终端协议)

始终封禁,使用SSHv2替代,或者部署运维审计系统

69

TCP

TFTP(简单文件传送协议)

始终封禁,使用SSHv2替代,或者部署运维审计系统

3389

TCP

RDP(远程桌面协议)

始终封禁,如需远程运维,请部署运维审计系统

5900-5902

TCP

VNC(虚拟网络控制台)

始终封禁,如需远程运维,请部署运维审计系统

512-514

TCP

Linux rexec(远程登录)

始终封禁,如需远程运维,请部署运维审计系统

873

TCP

Rsync(数据镜像备份工具)

始终封禁,如需远程运维,请部署运维审计系统

局域网服务

53

TCP、UDP

DNS(域名系统)

始终封禁

111、2049

TCP

NFS(网络文件系统)

始终封禁

135

TCP、UDP

RPC(远程过程调用)

始终封禁

137

TCP、UDP

NBNS(NetBIOS名字服务)

始终封禁

138

TCP、UDP

NBDS(NetBIOS数据报文服务)

始终封禁

139

TCP、UDP

NBSS(NetBIOS会话服务)

始终封禁

445

TCP、UDP

SMB(网络文件共享协议)

始终封禁

161

TCP、UDP

SNMP(简单网络管理协议)

始终封禁

389

TCP、UDP

LDAP(轻量目录访问协议)

始终封禁

互联网服务

25

TCP

SMTP(简单邮件传输协议)

始终封禁,使用SMTPS替代

110

TCP

POP3(邮局协议版本3)

始终封禁,使用POP3S替代

143

TCP

IMAP(邮件访问协议)

始终封禁,使用IMAPS替代

80、8000、8080、8888

TCP

HTTP(超文本传输协议)

建议封禁,使用HTTPS替代

数据库

1433

TCP

SQL Server(数据库管理系统)

始终封禁

1521

TCP

Oracle(甲骨文数据库)

始终封禁

3306

TCP

MySQL(数据库)

始终封禁

5000

TCP

Sybase/DB2(数据库)

始终封禁

5432

TCP

PostgreSQL(数据库)

始终封禁

6379

TCP

Redis(数据库)

始终封禁

27017-27018

TCP

MongoDB(数据库)

始终封禁

 

如何封禁高危端口

在封禁端口之前,请务必确认端口上未承载正常运行的服务。如有业务需要,请为该业务设置例外策略,并严格限制可访问的源IP地址和源用户。

下面以封禁135、137、138、139、445、3389为例,介绍安全策略的配置方法。

  1. 创建一个服务组。选择对象 > 服务 > 服务组菜单,单击“新建”按钮。在“可选”窗格中输入端口号,查询对应的服务,并添加到“已选”窗格。
  2. 创建一条安全策略。选择策略 > 安全策略 > 安全策略菜单,单击“新建安全策略”按钮。设置服务为新创建的服务组“High-risk ports”“源安全区域”为Untrust,“动作”“禁止”
  3. 选中这条安全策略,移至顶部。
  4. (可选)为特定用户开放特定端口,如仅允许特定地址的管理终端通过RDP远程桌面访问位于DMZ区域的服务器。注意,添加规则后要移动到上一条规则之前。
 

如何保护风险端口

任何连接互联网的服务都需要打开特定的端口才能正常工作。这些端口都可能成为攻击者的目标。那么,如何保护这些风险端口?您可以从以下几个方面来实施安全加固措施。

使用安全的协议和软件

非加密协议使用明文传输数据包,攻击者可以使用Wireshark等工具轻松捕获网络流量,查看明文传输的密码等敏感信息。因此,请使用加密协议替代非加密协议,例如,使用SSH替代Telnet、FTP/TFTP,使用SSL加密HTTP、邮件协议,使用VPN保护通信等等。

使用最新的协议和软件版本。很多协议的早期版本存在安全隐患。例如,SSHv1采用了不安全的密钥交换算法,应将SSH服务配置为仅接受SSHv2连接。类似的,所有的服务和应用程序都应采用官方发布的正式版本,并保证及时更新。过时的版本、已经停止维护的版本,都可能存在公开的已知漏洞,且得不到及时的修复。

使用强密码策略和强认证

很多入侵是从破解用户密码开始的。采用强密码策略可以防止弱密码,避免密码泄露,帮助组织更安全地抵御暴力破解。不同应用软件支持的密码策略各不相同,通常包括以下方面。

  • 密码复杂度:密码应至少包含大写字母、小写字母、数字和特殊字符中的3种。
  • 密码最小长度:密码最小长度应不低于8位。
  • 密码有效期:设置密码有效期。密码超期后将会失效,无法登录。用户必须在密码超期前修改密码。
  • 密码历史记录:应用软件记录用户的历史密码。用户设置的新密码不能与记录的历史密码相同,避免用户重复使用旧密码。
  • 密码错误次数:当密码错误次数达到设定的阈值时,锁定账户或登录IP一段时间,以防止暴力破解。

强认证(strong authentication)是融合了两种以上不同类型的身份验证因素的认证策略,可以提高身份验证的安全性。最常见的强认证策略就是双因子认证,用户在登录时不仅要提供用户名/密码,还需要提供与之绑定的物品(比如网上银行普遍采用USB Key),或者动态口令(比如互联网应用普遍采用短信验证码)。

部署纵深防御体系

把网络划分为不同等级的安全区域,并部署安全设备来检查区域之间的通信。例如:文章来源地址https://www.toymoban.com/news/detail-706200.html

  • 面向互联网的公共服务部署在DMZ区,所有访问公共服务的流量都必须经过防火墙的安全检查。对于仅供特定用户访问的服务,可以设置基于源IP地址或基于用户的安全策略,以限制可访问的群体。
  • 不直接面向互联网的敏感服务,如数据库系统,部署在安全等级更高的区域,并使用安全策略严格限制可访问的源IP地址。这样,即使攻击者破坏了DMZ区的公共服务端口,也还会面临区域间的安全检查,一定程度上增强了防护能力,进而增加攻击者的攻击成本。
  • 对于常见的Web服务,还可以在服务器前部署专用的Web应用防火墙,如华为WAF5000系列。

到了这里,关于常见高危端口有哪些,如何封禁高危端口的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 电脑高危端口的禁用以及防火墙的开关,关闭远程桌面

    WIN+R -输入dcomcnfg回车,打开组件服务。 依次双击组件服务-计算机,在计算机选项右边,右键单击“我的电脑”,选择“属性”。在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式COM”前的勾。 选择“默认协议”选项卡,选中“面向连接

    2024年02月11日
    浏览(48)
  • 上门按摩平台该如何去启动,按摩小程序有哪些功能端口?

    上门按摩预约小程序搭建,涵盖个人中心、接单功能和运营端三大支柱。在个人中心,按摩师完善个人信息、查看排班与收入;接单功能则让按摩师接受或拒绝订单,并掌握预约详情与顾客需求。此外,技师在完成服务后,可提交订单完成情况与服务评价,并接收新订单提醒

    2024年02月03日
    浏览(51)
  • 如何封禁大量恶意IP?

    摘要 :封禁IP分为自动封禁和人工封禁,本文主要介绍如何人工封禁。人工封禁的关键是:无缝协同,方便操作,批量化,一键式,防误封,高容量。 IP封禁是对付网络攻击的最直接、最有效的方法。 在网络安全防御体系中,有些系统和设备,可以通过TCP reset、返回HTTP错误

    2024年02月12日
    浏览(41)
  • [从零开发JS应用] 如何在VScode中配置Javascript环境,常见的调试方法有哪些?

    记录环境配置:本文配置的环境主要针对单独JS文件的断点调试,主要是为了调试LeetCode里面的代码。 首先在官网下载对应的版本:https://nodejs.org/en/ 开始安装,可以自定义选择安装路径。 这里 选择Add Path ,系统变量会自动设置,但是用户变量并没有自动设置,需要的话可以

    2024年02月04日
    浏览(56)
  • RabbitMQ使用哪些端口?

    对于节点群集,RabbitMQ服务器使用或需要在防火墙上打开哪些端口? 我的 /usr/lib/rabbitmq/bin/rabbitmq-env 设置在下面,我假设是需要的(35197)。 复制 我没有接触 rabbitmq.config 来设置自定义的 tcp_listener ,所以它应该在默认的5672上侦听。 以下是相关的netstat行: 端口4369: Erlang使用P

    2024年02月09日
    浏览(31)
  • Synology Drive 使用了哪些端口?

    Drive的浏览器页面使用的是 5000/5001 DSM 端口 ,而同步使用的是 6690 端口。请您确认是否有将您的自定义端口转发到 6690 上。 DSM 服务使用的网络端口 检查 TCP 端口的状态  

    2024年02月13日
    浏览(30)
  • linux 查看打开使用了哪些端口

    你可以使用 netstat 命令来查看Linux系统中正在使用的端口。例如,要查看所有正在使用的TCP和UDP端口,你可以运行: 如果你只想查看所有正在使用的TCP端口,你可以运行: 如果你只想查看所有正在使用的UDP端口,你可以运行: 运行这些命令后,你会看到输出列表,其中包含

    2024年02月12日
    浏览(43)
  • 常见端口及对应服务

    端口号 服务 21端口 21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务。 22端口 ssh 服务,传统的网络服务程序,SSH的英文全称是Secure SHell。通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。

    2023年04月22日
    浏览(33)
  • 常见的比较危险的端口

    日常的windows或linux,甚至一些高端的路由都有些高危端口,建议配置完成后关闭端口或者开启访问控制权限,这样可以防止一些不必要的黑客骚扰。 20:FTP服务数据连接端口。 21:FTP服务控制连接端口。 22:SSH服务端口,建议更换。 23:Telnet服务端口,明文传输账号密码。

    2023年04月08日
    浏览(25)
  • 常见的web端口及利用

    端口列举: 端口 服务 入侵方式 21 ftp/tftp/vsftpd文件传输协议 爆破/嗅探/溢出/后门 22 ssh远程连接 爆破/openssh漏洞 23 Telnet远程连接 爆破/嗅探/弱口令 25 SMTP邮件服务 邮件伪造 53 DNS域名解析系统 域传送/劫持/缓存投毒/欺骗 67/68 dhcp服务 劫持/欺骗 110 pop3 爆破/嗅探 139 Samba服务 爆

    2024年02月08日
    浏览(33)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包