2024年4月8日发(作者:)

龙源期刊网

端口暴露的利弊与如何避免端口暴露的风险

作者:刘妍婕

来源:《青年时代》2017年第17期

摘 要:前段时间在全球范围内爆发而产生巨大影响的比特币勒索病毒是抓住了Windows

操作系统存在的破绽的445端口进行加工导致的。本文主要分析了端口的作用以及在入侵中扮

演的角色,并且介绍了鸡肋端口暴露风险规避的方式:定期扫描;充分利用网络设备保护网络

资源;在骨干节点上配置防火墙;过滤掉不必要的服务和端口;用足够的机器承受黑客攻击;

过滤所有RFC1918 IP地址;检查访问者来源;限制SYN/ICMP流量。

关键词:比特币勒索病毒;端口暴露;如何降低风险

一、端口的阐述与暴露的利弊

1.端口是什么

计算机端口是从英文port义译来的,可以看做是计算机与外界通讯交流的出口。端口号大

致可以归为三大类:公认端口(Well Known Ports);注册端口(Registered Ports);动态或私

有端口(Dynamic and/or Private Ports)

2.端口在入侵中的作用

曾经看过一篇文章,作者将服务器形象的比作一座城池,而把端口比作通向各种不同宫殿

的大门,如果忽略掉一些细枝末节的东西,我认为这是一个非常贴切的比喻。攻城者要进入并

占领这座城池,势必要先攻陷大门,那么对于攻城者来说,弄清楚这座城池到底有几扇门比较

容易攻陷,这些门都由哪种类型的士兵把守,而这些把守者的弱点在哪就显得尤其重要。

攻城者通常会先叫探子对目标城池的大门进行踩点,而入侵中的探子就是我们通常说的扫

描器。入侵者可以通过对目标端口的扫描,来确定哪些“大门”是开放的,然后从开放的“大

门”,了解到目标主机大致用了哪些协议,提供了哪些服务,从而推测出可能存在的破绽。而

一旦入侵者攻陷了“城池”即获得了系统或管理员的权限后,他往往还会为自己日后的长期访问

做好准备,即我们常说的“种植后门” ,而在这一切都做好之后,他往往会“毁尸灭迹”。

3.端口攻击及端口暴露的利与弊

端口攻击就是用非正常的方式对这些端口进行非法访问。有些人认为端口暴露利大于弊,

因为就像前文所说端口就好比一个大门,开了就方便和世界对话,也方便接收外界的信息,更

加利于自身的发展。而且,特殊的计算机,比如用作服务器使用的计算机,是肯定要打开端口

的。然而,在我看来,端口暴露的弊大于利,因为普通用户涉及不到使用端口,而且端口暴露

会给计算机带来很大的安全隐患。

龙源期刊网

前段時间,比特币勒索病毒使全球都陷入了前所未有的恐慌中。在短短的48小时内受害

者的数目就累计达到了达到20多万人。与此同时,比特博勒索病毒还不甘于现状,不断扩散

蔓延并创下了“可观”的“成绩”。512比特币勒索病毒对互联网杀伤力范围之广,时间之久。真

可谓“史无前例”。通过初步考察,这次的比特币勒索病毒就是利用了以445端口为传播媒介的

SMB协议破绽。类似的例子随处可见,正是因为1024动态端口的暴露才有的著名的YAI木马

病毒。而1080端口的暴露导致了r.B(怪物二)和.B(SCO炸弹变

种B)的产生。4000端口的暴露也给Worm_Witty.A(维迪)蠕虫病毒和特洛伊木马病毒提供

了有利的条件。因此,综上所述,我认为端口暴露的弊大于利。

4.端口暴露是怎么造成的

一般黑客要攻击目标主机,首先就是通过扫描器扫描目标主机的端口以便获取相应的信息

实现对端口的入侵。可以将对端口利用的黑客程序简单的分为两种:一种是端口侦听,一种是

端口扫描。"端口侦听"就是利用已经编写好的黑客程序对目标“城池”的“大门”进行监视。可以

通过监视发现目标“城池”上有哪些“大门”是空闲、有漏洞的以便利用。即可以通过对目标主机

端口的扫描监视侦听到别人有效的信息。"端口扫描"是通过目标系统的TCP协议或UDP协议

端口进行入侵的。通过端口扫描可以确定当前运行服务器,以便获取目标主机的有效信息。

这两种技术可以让黑客在攻击时有效的定位目标,获取有利信息。当信息在网络中传播时

黑客可以利用某种工具,用设置成侦听模式的网络接口捕获到网络中实时传播的信息,然后进

行攻击。正因为端口侦听可以在任意一种网络位置模式下使用,所以黑客一般都是用这种技术

来攻击目标服务器。

5.端口攻击的风险

获悉某个端口在目标应用开放后,黑客就可以通过该应用的逆向代码搜索十六进制的端口

号,对关键代码进行准确定位,挖掘出潜在的漏洞,为之后探索攻击面提供有力条件。而且黑

客往往会隐藏IP,然后再进行“踩点扫描”。

就像WooYun-2015-94537,黑客通过UDP开放的65502端口,用上述方法定位到了手机

的敏感信息,并且通过手机助手控制了手机。我们可以发现,即使黑客未被授权,但他仍然可

以通过这种方法完完全全的侵入甚至控制手机。所以端口攻击不仅仅会导致手机里面的敏感信

息的泄露,它甚至可以让黑客完全的控制住你的手机。

二、怎么预防端口攻击

一是对网络主节点进行定期扫描。我们可以用扫描器对网络主节点开放的端口进行定期扫

描,然后对这些主节点的端口进行监视。定期扫描可以方便我们了解自己的主机,也可以对可

能存在或者新出现的漏洞进行及时的处理。而网络主节点往往最容易被黑客利用,因此,对网

络主节点的定期扫描就显的尤其重要。

龙源期刊网

二是在骨干节点配置防火墙。防火墙本身能抵御一些常见的攻击,因为防火墙能检测到自

己是否被扫描,并自动阻断扫描企图,并会采取一些措施将攻击引向不太重要的计算机,从而

保护真正的主机,所以在骨干节点配置防火墙是非常必要的。

三是用足够的机器承受黑客攻击。这个方法较为理想化,实施起来比较困难。打个比方,

如果守护“城池”的兵力足够的多,那么攻城者在攻陷时自己的兵力也会逐渐被消耗,或者还没

等“城池”被攻陷,他们自己已经无力再继续下去了。但是因为需要的资金比较大,目前很多中

小企业根本支付不起。

四是充分利用网络设备保护网络资源。可以用路由器、防火墙等网络设备将网络保护起

来。当网络被攻击时,路由器首当其冲,所以在有路由器的情况下,其他机器都是暂时安全

的。重启后路由器仍然可以正常使用,而且重启时间很短,基本上不会有什么损失。尤其是当

负载均衡设备投入使用后,一台路由器前面倒下后面一台路由器就站起来了。可若是其他网络

设备沦陷,损失会非常严重,一个是其他网络设备中的重要数据不可再生,一个是其他网络设

备重启的时间很长。

五是过滤不必要的服务和端口。将不必要的服务和端口过滤掉,就像上文所说,黑客会披

上假的IP地址进行踩点扫描,如果一开始就把假的IP过滤掉了,就等于将黑客攻击扼杀在了

摇篮中。所以说关闭其他端口而只开放服务端口是一个非常好的

办法。

六是检查访问者的来源。利用反向路由器查询来查看访问者IP地址的来源,如果来源存

在安全隐患,反向路由器就会将其屏蔽。因此,利用反向路由器查询可大大降低黑客利用假IP

地址来入侵服务器的可能,也便于发现黑客的攻击并拦截。

七是过滤所有RFC1918 IP地址。黑客往往会先入侵“城池”内部的一台电脑,利用这台电

脑进行攻击,或者直接伪造内部网的IP地址再对目标主机进行攻击。所以过滤掉RFC1918 IP

地址是非常必要的。

八是限制SYN/ICMP流量。可以通过限制SYN/ICMP的最大流量来控制其封包所能占有

的最高频宽。这样,当大量的超出了限制流量的情况出现时,管理员就可以知道是黑客入侵。

早期最好的防范DDOS的方法是限制SYN/ICMP流量,虽然效果不太显著,但仍然能够起到

一定的作用。

参考文献:

[1]吴闻.《构建网络安全体系的必要措施》.机械工业出版社,2003.9.

[2]鲜明,包卫东,王永杰.《网络攻防》.国防科技大学出版社,2006.3.

龙源期刊网

[3]赵安军,曾应员,除邦海.《网络安全技术与应用》.人民邮电出版社,2007.11.

[4]蒋建春,冯登国.《网络入侵检测原理与技术》,国防工业出版社,2005.5

[5]余也鲁.《教您对付DDoS攻击》.《网管员世界》,2004.