首页 > 信息动态  > 行业动态

行业动态

纳森网络为您介绍网络端口保卫战

来源:www.synswl.com 发布时间:2017年05月15日

纳森网络为您介绍网络端口保卫战

通过TCP或UDP协议,数据包在与特定IP地址和终端相关联的编号网络端口上穿梭。所有端口都面临被攻击的风险,没有任何端口是天生安全的。

RedTeam Security 首席安全顾问科特·穆尔称:“每个端口及其底层服务都有各自的风险。风险来自于服务版本、配置方式、口令有无及口令强度。还有很多因素决定着端口或服务的安全性。”这其他因素包括,端口是否被攻击者选中发起攻击或投送恶意软件,以及用户是否开放了端口。

基于相关应用、漏洞和攻击对风险网络端口进行分析,可以得出保护企业免受恶意黑客对开放端口滥用的方法。

是什么让这些端口面临风险?

TCP端口65535个,UDP端口65535个,我们只需要注意最危险的那几个。

首当其冲就是 TCP 21 端口。该端口承载FTP连接控制任务。FTP服务器漏洞满满,随便点点都有一堆,比如匿名身份验证、目录浏览、跨站脚本,简直是超级理想的攻击目标。

有些服务的漏洞好歹还是陆续出现的,TCP 23 端口的Telnet之类遗留服务,却是从一开始就不安全。带宽确实很小,一次仅几个字节,但人家是完全不遮掩的明文传输。攻击者可以监听Telnet流量,查找其中凭证信息,通过中间人攻击注入指令,最终执行远程代码。

有用于切入的网络端口,就有用于出站的网络端口。域名解析服务所用的 TCP/UDP 53 端口,就是个很好的出站策略。一旦网络内的犯罪黑客拿到了所需的数据,他们需要做的,就是利用将数据转换成DNS流量的软件,来将战利品投递出门。DNS流量极少被监测,更少被过滤。只要攻击者将数据安全护送出企业,就可以通过他们的DNS 服务器将数据转译成原始格式发送。

端口越常用,就越容易被用来偷渡攻击数据包。用于HTTP协议的 TCP 80 端口,支持浏览器接收的网页流量。通过80端口对Web客户端发起的攻击包括:SQL注入、跨站请求伪造、跨站脚本和缓冲区溢出。

网络罪犯会在各个端口上设置他们自己的服务。TCP 1080 端口是业界指定的套接字安全“SOCKS”代理,被攻击者用以支持恶意软件和行为。计算机木马和蠕虫,比如Mydoom和Bugbear,就一直用1080端口进行攻击。如果网络管理员没有设置SOCKS代理,其存在就可能意味着网络中有恶意活动。

黑客犯懒的时候,往往会用些容易记住的端口号,比如234或6789之类数列,或者一些重复的数字,比如666或888。有些后门和木马软件会打开 TCP 4444 端口,行监听、通信、转发外部恶意流量和发送恶意载荷之事。纳森网络表示使用该端口的一些恶意软件包括:Prosiak、Swift Remote 和CrackDown。

相关文章