• 关于我们 联系我们
当前位置:安全行业动态 → 正文

网络端口保卫战

责任编辑:editor005 作者:nana |来源:企业网D1Net  2017-04-28 12:09:23 本文摘自:安全牛

端口问题,是用户在端口上所用技术的问题,还是攻击者所用技术的问题?

通过TCP或UDP协议,数据包在与特定IP地址和终端相关联的编号网络端口上穿梭。所有端口都面临被攻击的风险,没有任何端口是天生安全的。

RedTeam Security 首席安全顾问科特·穆尔称:“每个端口及其底层服务都有各自的风险。风险来自于服务版本、配置方式、口令有无及口令强度。还有很多因素决定着端口或服务的安全性。”这其他因素包括,端口是否被攻击者选中发起攻击或投送恶意软件,以及用户是否开放了端口。

基于相关应用、漏洞和攻击对风险网络端口进行分析,可以得出保护企业免受恶意黑客对开放端口滥用的方法。

是什么让这些端口面临风险?

TCP端口65535个,UDP端口65535个,我们只需要注意最危险的那几个。

首当其冲就是 TCP 21 端口。该端口承载FTP连接控制任务。FTP服务器漏洞满满,随便点点都有一堆,比如匿名身份验证、目录浏览、跨站脚本,简直是超级理想的攻击目标。

有些服务的漏洞好歹还是陆续出现的,TCP 23 端口的Telnet之类遗留服务,却是从一开始就不安全。带宽确实很小,一次仅几个字节,但人家是完全不遮掩的明文传输。攻击者可以监听Telnet流量,查找其中凭证信息,通过中间人攻击注入指令,最终执行远程代码。

有用于切入的网络端口,就有用于出站的网络端口。域名解析服务所用的 TCP/UDP 53 端口,就是个很好的出站策略。一旦网络内的犯罪黑客拿到了所需的数据,他们需要做的,就是利用将数据转换成DNS流量的软件,来将战利品投递出门。DNS流量极少被监测,更少被过滤。只要攻击者将数据安全护送出企业,就可以通过他们的DNS 服务器将数据转译成原始格式发送。

端口越常用,就越容易被用来偷渡攻击数据包。用于HTTP协议的 TCP 80 端口,支持浏览器接收的网页流量。通过80端口对Web客户端发起的攻击包括:SQL注入、跨站请求伪造、跨站脚本和缓冲区溢出。

网络罪犯会在各个端口上设置他们自己的服务。TCP 1080 端口是业界指定的套接字安全“SOCKS”代理,被攻击者用以支持恶意软件和行为。计算机木马和蠕虫,比如Mydoom和Bugbear,就一直用1080端口进行攻击。如果网络管理员没有设置SOCKS代理,其存在就可能意味着网络中有恶意活动。

黑客犯懒的时候,往往会用些容易记住的端口号,比如234或6789之类数列,或者一些重复的数字,比如666或888。有些后门和木马软件会打开 TCP 4444 端口,行监听、通信、转发外部恶意流量和发送恶意载荷之事。使用该端口的一些恶意软件包括:Prosiak、Swift Remote 和CrackDown。

Web流量不仅仅使用80端口。HTTP流量也使用 TCP 8080 端口。连接这些端口的服务器大多是无人管控的遗留主机,随时间流逝漏洞越积越多。开放了这些端口的服务器也有可能是HTTP代理,如果网络管理员没有安装过,那就可能代表着系统中有需要关注的安全问题了。

据传高级攻击者将TCP和 UDP 31337 端口,用作著名的 Back Orifice 后门和其他一些恶意软件的通信端口。TCP 31337 端口的例子有:Sockdmini、Back Fire、icmp_pipe.c、Back Orifice Russian、Freak88、Baron Night 和BO客户端。UDP 31337 上的例子则包含有 Deep BO。在使用字母和数字的黑客文中,31337被拼成“eleet”,意思为“精英(elite)”。

弱口令可致SSH和22端口成为唾手可得的目标。22端口指定为SSH端口,可以访问物理服务器硬件的远程shell,当凭证中包含默认或易猜用户名及口令时,该端口也就不安全了。利用熟悉的短语,少于8字符的短口令,以及纯数字序列口令,对攻击者来说真是太好猜了。

6660到6669端口上跑的IRC,也依然是犯罪黑客的攻击目标。IRC漏洞很多,比如可让攻击者远程执行程序的 Unreal IRCD。

有些端口和协议可让攻击者横向拓展。比如引无数黑客垂涎的 UDP 161 端口,因为承载着简单网络管理(SNMP)协议,能够让攻击者通过该端口管理联网主机、查询信息、发送流量。SNMP可以查询服务器,找出用户名、网络共享和其他信息。SNMP通常都用缺省口令。

端口、服务保卫战

企业可以通过SSH公钥验证、root登录禁用,以及将SSH挪到更高端口号让攻击者不那么容易找到,来保护SSH。如果用户用25000之类高端口号连接SSH,攻击者就难以定位SSH服务的攻击界面了。

如果公司运营有IRC,用防火墙围住它。别让网络外面的任何流量接触到IRC服务。要使用IRC的用户必须通过VPN连入网络。

重复数字端口和特别长的数字序列端口,往往不是合法端口。如果看到此类端口,请确保它们是真实的。DNS流量也需要被监视和过滤,以防数据渗漏。Telnet服务和23端口还是关了吧。

所有网络端口都应该采用深度防御的安全方法。关闭所有不用的端口,在每台主机上使用基于主机的防火墙,对网络应用基于网络的下一代防火墙,监视并过滤端口流量。定期端口扫描应作为渗透测试的一部分,确保这些端口上都没有未经检查的漏洞。要特别注意SOCKS代理或其他任何你并未设置的服务。连接到端口的每一个设备、软件或服务都要保持更新,随时处于完美防御状态。保持积极主动,因为新旧软件中总会出现可供攻击者通过网络端口进行利用的漏洞。

采用支持服务的最新版本,对服务进行正确配置,使用强口令;访问控制列表可助你限制连接端口和服务的人员。经常测试端口和服务。如果环境中有诸如HTTP和HTTPS之类可定制的服务,很容易就会错误配置,意外引入漏洞。另外,缺省SNMP用户名和口令字符串一定要记得改掉。

端口大全

根据端口所关联威胁的类型和严重性,或给定端口服务漏洞的等级之类各种不同的标准,专家们给出了多张具有重大风险的端口列表。没有哪张列表能列全的。不过,你可以从下面这三张表开始:

关键字:网络端口HTTPS

本文摘自:安全牛

x 网络端口保卫战 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

网络端口保卫战

责任编辑:editor005 作者:nana |来源:企业网D1Net  2017-04-28 12:09:23 本文摘自:安全牛

端口问题,是用户在端口上所用技术的问题,还是攻击者所用技术的问题?

通过TCP或UDP协议,数据包在与特定IP地址和终端相关联的编号网络端口上穿梭。所有端口都面临被攻击的风险,没有任何端口是天生安全的。

RedTeam Security 首席安全顾问科特·穆尔称:“每个端口及其底层服务都有各自的风险。风险来自于服务版本、配置方式、口令有无及口令强度。还有很多因素决定着端口或服务的安全性。”这其他因素包括,端口是否被攻击者选中发起攻击或投送恶意软件,以及用户是否开放了端口。

基于相关应用、漏洞和攻击对风险网络端口进行分析,可以得出保护企业免受恶意黑客对开放端口滥用的方法。

是什么让这些端口面临风险?

TCP端口65535个,UDP端口65535个,我们只需要注意最危险的那几个。

首当其冲就是 TCP 21 端口。该端口承载FTP连接控制任务。FTP服务器漏洞满满,随便点点都有一堆,比如匿名身份验证、目录浏览、跨站脚本,简直是超级理想的攻击目标。

有些服务的漏洞好歹还是陆续出现的,TCP 23 端口的Telnet之类遗留服务,却是从一开始就不安全。带宽确实很小,一次仅几个字节,但人家是完全不遮掩的明文传输。攻击者可以监听Telnet流量,查找其中凭证信息,通过中间人攻击注入指令,最终执行远程代码。

有用于切入的网络端口,就有用于出站的网络端口。域名解析服务所用的 TCP/UDP 53 端口,就是个很好的出站策略。一旦网络内的犯罪黑客拿到了所需的数据,他们需要做的,就是利用将数据转换成DNS流量的软件,来将战利品投递出门。DNS流量极少被监测,更少被过滤。只要攻击者将数据安全护送出企业,就可以通过他们的DNS 服务器将数据转译成原始格式发送。

端口越常用,就越容易被用来偷渡攻击数据包。用于HTTP协议的 TCP 80 端口,支持浏览器接收的网页流量。通过80端口对Web客户端发起的攻击包括:SQL注入、跨站请求伪造、跨站脚本和缓冲区溢出。

网络罪犯会在各个端口上设置他们自己的服务。TCP 1080 端口是业界指定的套接字安全“SOCKS”代理,被攻击者用以支持恶意软件和行为。计算机木马和蠕虫,比如Mydoom和Bugbear,就一直用1080端口进行攻击。如果网络管理员没有设置SOCKS代理,其存在就可能意味着网络中有恶意活动。

黑客犯懒的时候,往往会用些容易记住的端口号,比如234或6789之类数列,或者一些重复的数字,比如666或888。有些后门和木马软件会打开 TCP 4444 端口,行监听、通信、转发外部恶意流量和发送恶意载荷之事。使用该端口的一些恶意软件包括:Prosiak、Swift Remote 和CrackDown。

Web流量不仅仅使用80端口。HTTP流量也使用 TCP 8080 端口。连接这些端口的服务器大多是无人管控的遗留主机,随时间流逝漏洞越积越多。开放了这些端口的服务器也有可能是HTTP代理,如果网络管理员没有安装过,那就可能代表着系统中有需要关注的安全问题了。

据传高级攻击者将TCP和 UDP 31337 端口,用作著名的 Back Orifice 后门和其他一些恶意软件的通信端口。TCP 31337 端口的例子有:Sockdmini、Back Fire、icmp_pipe.c、Back Orifice Russian、Freak88、Baron Night 和BO客户端。UDP 31337 上的例子则包含有 Deep BO。在使用字母和数字的黑客文中,31337被拼成“eleet”,意思为“精英(elite)”。

弱口令可致SSH和22端口成为唾手可得的目标。22端口指定为SSH端口,可以访问物理服务器硬件的远程shell,当凭证中包含默认或易猜用户名及口令时,该端口也就不安全了。利用熟悉的短语,少于8字符的短口令,以及纯数字序列口令,对攻击者来说真是太好猜了。

6660到6669端口上跑的IRC,也依然是犯罪黑客的攻击目标。IRC漏洞很多,比如可让攻击者远程执行程序的 Unreal IRCD。

有些端口和协议可让攻击者横向拓展。比如引无数黑客垂涎的 UDP 161 端口,因为承载着简单网络管理(SNMP)协议,能够让攻击者通过该端口管理联网主机、查询信息、发送流量。SNMP可以查询服务器,找出用户名、网络共享和其他信息。SNMP通常都用缺省口令。

端口、服务保卫战

企业可以通过SSH公钥验证、root登录禁用,以及将SSH挪到更高端口号让攻击者不那么容易找到,来保护SSH。如果用户用25000之类高端口号连接SSH,攻击者就难以定位SSH服务的攻击界面了。

如果公司运营有IRC,用防火墙围住它。别让网络外面的任何流量接触到IRC服务。要使用IRC的用户必须通过VPN连入网络。

重复数字端口和特别长的数字序列端口,往往不是合法端口。如果看到此类端口,请确保它们是真实的。DNS流量也需要被监视和过滤,以防数据渗漏。Telnet服务和23端口还是关了吧。

所有网络端口都应该采用深度防御的安全方法。关闭所有不用的端口,在每台主机上使用基于主机的防火墙,对网络应用基于网络的下一代防火墙,监视并过滤端口流量。定期端口扫描应作为渗透测试的一部分,确保这些端口上都没有未经检查的漏洞。要特别注意SOCKS代理或其他任何你并未设置的服务。连接到端口的每一个设备、软件或服务都要保持更新,随时处于完美防御状态。保持积极主动,因为新旧软件中总会出现可供攻击者通过网络端口进行利用的漏洞。

采用支持服务的最新版本,对服务进行正确配置,使用强口令;访问控制列表可助你限制连接端口和服务的人员。经常测试端口和服务。如果环境中有诸如HTTP和HTTPS之类可定制的服务,很容易就会错误配置,意外引入漏洞。另外,缺省SNMP用户名和口令字符串一定要记得改掉。

端口大全

根据端口所关联威胁的类型和严重性,或给定端口服务漏洞的等级之类各种不同的标准,专家们给出了多张具有重大风险的端口列表。没有哪张列表能列全的。不过,你可以从下面这三张表开始:

关键字:网络端口HTTPS

本文摘自:安全牛

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^