端口暴露的利弊与如何避免端口暴露的风险

-精选财经经济类资料- -最新财经经济资料-感谢阅读- 1 端口暴露的利弊与如何避免端口暴 露的风险 摘 要：前段时间在全球范围内 爆发而产生巨大影响的比特币勒索病毒 是抓住了 Windows 操作系统存在的破 绽的 445 端口进行加工导致的。本文主 要分析了端口的作用以及在入侵中扮演 的角色，并且介绍了鸡肋端口暴露风险 规避的方式：定期扫描；充分利用网络 设备保护网络资源；在骨干节点上配置 防火墙；过滤掉不必要的服务和端口； 用足够的机器承受黑客攻击；过滤所有 RFC1918 IP 地址；检查访问者来源；限 制 SYN/ICMP 流量。 中国论文网 /7/view-12959513.htm 关键词：比特币勒索病毒；端口 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 2 暴露；如何降低风险 一、端口的阐述与暴露的利弊 1.端口是什么 计算机端口是从英文 port 义译来 的，可以看做是计算机与外界通讯交流 的出口。端口号大致可以归为三大类： 公认端口（Well Known Ports） ；注册端 口（Registered Ports） ；动态或私有端口 （Dynamic and/or Private Ports） 2.端口在入侵中的作用 曾经看过一篇文章，作者将服务 器形象的比作一座城池，而把端口比作 通向各种不同宫殿的大门，如果忽略掉 一些细枝末节的东西，我认为这是一个 非常贴切的比喻。攻城者要进入并占领 这座城池，势必要先攻陷大门，那么对 于攻城者来说，弄清楚这座城池到底有 几扇门比较容易攻陷，这些门都由哪种 类型的士兵把守，而这些把守者的弱点 在哪就显得尤其重要。 攻城者通常会先叫探子对目标城 池的大门进行踩点，而入侵中的探子就 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 3 是我们通常说的扫描器。入侵者可以通 过对目标端口的扫描，来确定哪些“大 门”是开放的，然后从开放的“ 大门”， 了解到目标主机大致用了哪些协议，提 供了哪些服务，从而推测出可能存在的 破绽。而一旦入侵者攻陷了“城池” 即获 得了系统或管理员的权限后，他往往还 会为自己日后的长期访问做好准备，即 我们常说的“ 种植后门” ，而在这一切 都做好之后，他往往会“ 毁尸灭迹 ”。 3.端口攻击及端口暴露的利与弊 端口攻击就是用非正常的方式对 这些端口进行非法访问。有些人认为端 口暴露利大于弊，因为就像前文所说端 口就好比一个大门，开了就方便和世界 对话，也方便接收外界的信息，更加利 于自身的发展。而且，特殊的计算机， 比如用作服务器使用的计算机，是肯定 要打开端口的。然而，在我看来，端口 暴露的弊大于利，因为普通用户涉及不 到使用端口，而且端口暴露会给计算机 带来很大的安全隐患。 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 4 前段r 间，比特币勒索病毒使 全球都陷入了前所未有的恐慌中。在短 短的 48 小时内受害者的数目就累计达 到了达到 20 多万人。与此同时，比特 博勒索病毒还不甘于现状，不断扩散蔓 延并创下了“ 可观” 的“成绩”。512 比特 币勒索病毒对互联网杀伤力范围之广， 时间之久。真可谓“ 史无前例 ”。通过初 步考察，这次的比特币勒索病毒就是利 用了以 445 端口为传播媒介的 SMB 协 议破绽。类似的例子随处可见，正是因 为 1024 动态端口的暴露才有的著名的 YAI 木马病毒。而 1080 端口的暴露导 致了 Worm.Bugbear.B（怪物二）和 Worm.Novarg.B（SCO 炸弹变种 B）的 产生。4000 端口的暴露也给 Worm_Witty.A（维迪）蠕虫病毒和特 洛伊木马病毒提供了有利的条件。因此， 综上所述，我认为端口暴露的弊大于利。 4.端口暴露是怎么造成的 一般黑客要攻击目标主机，首先 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 5 就是通过扫描器扫描目标主机的端口以 便获取相应的信息实现对端口的入侵。 可以将对端口利用的黑客程序简单的分 为两种：一种是端口侦听，一种是端口 扫描。 ”端口侦听 ”就是利用已经编写好 的黑客程序对目标“ 城池”的“大门”进行 监视。可以通过监视发现目标“城池” 上 有哪些“大门 ”是空闲、有漏洞的以便利 用。即可以通过对目标主机端口的扫描 监视侦听到别人有效的信息。 ”端口扫描” 是通过目标系统的 TCP 协议或 UDP 协 议端口进行入侵的。通过端口扫描可以 确定当前运行服务器，以便获取目标主 机的有效信息。 这两种技术可以让黑客在攻击时 有效的定位目标，获取有利信息。当信 息在网络中传播时黑客可以利用某种工 具，用设置成侦听模式的网络接口捕获 到网络中实时传播的信息，然后进行攻 击。正因为端口侦听可以在任意一种网 络位置模式下使用，所以黑客一般都是 用这种技术来攻击目标服务器。 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 6 5.端口攻击的风险 获悉某个端口在目标应用开放后， 黑客就可以通过该应用的逆向代码搜索 十六进制的端口号，对关键代码进行准 确定位，挖掘出潜在的漏洞，为之后探 索攻击面提供有力条件。而且黑客往往 会隐藏 IP，然后再进行“踩点扫描”。 就像 WooYun-2015-94537，黑客 通过 UDP 开放的 65502 端口，用上述 方法定位到了手机的敏感信息，并且通 过手机助手控制了手机。我们可以发现， 即使黑客未被授权，但他仍然可以通过 这种方法完完全全的侵入甚至控制手机。 所以端口攻击不仅仅会导致手机里面的 敏感信息的泄露，它甚至可以让黑客完 全的控制住你的手机。 二、怎么预防端口攻击 一是对网络主节点进行定期扫描。 我们可以用扫描器对网络主节点开放的 端口进行定期扫描，然后对这些主节点 的端口进行监视。定期扫描可以方便我 们了解自己的主机，也可以对可能存在 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 7 或者新出现的漏洞进行及时的处理。而 网络主节点往往最容易被黑客利用，因 此，对网络主节点的定期扫描就显的尤 其重要。 二是在骨干节点配置防火墙。防 火墙本身能抵御一些常见的攻击，因为 防火墙能检测到自己是否被扫描，并自 动阻断扫描企图，并会采取一些措施将 攻击引向不太重要的计算机，从而保护 真正的主机，所以在骨干节点配置防火 墙是非常必要的。 三是用足够的机器承受黑客攻击。 这个方法较为理想化，实施起来比较困 难。打个比方，如果守护“城池” 的兵力 足够的多，那么攻城者在攻陷时自己的 兵力也会逐渐被消耗，或者还没等“城 池”被攻陷，他们自己已经无力再继续 下去了。但是因为需要的资金比较大， 目前很多中小企业根本支付不起。 四是充分利用网络设备保护网络 资源。可以用路由器、防火墙等网络设 备将网络保护起来。当网络被攻击时， -精选财经经济类资料- -最新财经经济资料-感谢阅读- 8 路由器首当其冲，所以在有路由器的情 况下，其他机器都是暂时安全的。重启 后路由器仍然可以正常使用，而且重启 时间很短，基本上不会有什么损失。尤 其是当负载均衡设备投入使用后，一台 路由器前面倒下后面一台路由器就站起 来了。可若是其他网络设备沦陷，损失 会非常严重，一个是其他网络设备中的 重要数据不可再生，一个是其他网络设 备重启的时间很长。 五是过滤不必要的服务和端口。 将不必要的服务和端口过滤掉，就像上 文所说，黑客会披上假的 IP 地址进行 踩点扫描，如果一开始就把假的 IP 过 滤掉了，就等于将黑客攻击扼杀在了摇 篮中。所以说关闭其他端口而只开放服 务端口是一个非常好的 办法。 六是检查访问者的来源。利用反 向路由器查询来查看访问者 IP 地址的 来源，如果来源存在安全隐患，反向路 由器就会将其屏蔽。因此，利用反向路 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 9 由器查询可大大降低黑客利用假 IP 地 址来入侵服务器的可能，也便于发现黑 客的攻击并拦截。 七是过滤所有 RFC1918 IP 地址。 黑客往往会先入侵“ 城池”内部的一台电 脑，利用这台电脑进行攻击，或者直接 伪造内部网的 IP 地址再对目标主机进 行攻击