search
尋找貓咪~QQ 地點 桃園市桃園區 Taoyuan , Taoyuan

網路埠保衛戰

埠問題,是用戶在埠上所用技術的問題,還是攻擊者所用技術的問題?

通過TCP或UDP協議,數據包在與特定IP地址和終端相關聯的編號網路埠上穿梭。所有埠都面臨被攻擊的風險,沒有任何埠是天生安全的。

RedTeam Security 首席安全顧問科特·穆爾稱:「每個埠及其底層服務都有各自的風險。風險來自於服務版本、配置方式、口令有無及口令強度。還有很多因素決定著埠或服務的安全性。」這其他因素包括,埠是否被攻擊者選中發起攻擊或投送惡意軟體,以及用戶是否開放了埠。

基於相關應用、漏洞和攻擊對風險網路埠進行分析,可以得出保護企業免受惡意黑客對開放埠濫用的方法。

是什麼讓這些埠面臨風險?

TCP埠65535個,UDP埠65535個,我們只需要注意最危險的那幾個。

首當其衝就是 TCP 21 埠。該埠承載FTP連接控制任務。FTP伺服器漏洞滿滿,隨便點點都有一堆,比如匿名身份驗證、目錄瀏覽、跨站腳本,簡直是超級理想的攻擊目標。

有些服務的漏洞好歹還是陸續出現的,TCP 23 埠的Telnet之類遺留服務,卻是從一開始就不安全。帶寬確實很小,一次僅幾個位元組,但人家是完全不遮掩的明文傳輸。攻擊者可以監聽Telnet流量,查找其中憑證信息,通過中間人攻擊注入指令,最終執行遠程代碼。

有用於切入的網路埠,就有用於出站的網路埠。域名解析服務所用的 TCP/UDP 53 埠,就是個很好的出站策略。一旦網路內的犯罪黑客拿到了所需的數據,他們需要做的,就是利用將數據轉換成DNS流量的軟體,來將戰利品投遞出門。DNS流量極少被監測,更少被過濾。只要攻擊者將數據安全護送出企業,就可以通過他們的DNS 伺服器將數據轉譯成原始格式發送。

埠越常用,就越容易被用來偷渡攻擊數據包。用於HTTP協議的 TCP 80 埠,支持瀏覽器接收的網頁流量。通過80埠對Web客戶端發起的攻擊包括:SQL注入、跨站請求偽造、跨站腳本和緩衝區溢出。

網路罪犯會在各個埠上設置他們自己的服務。TCP 1080 埠是業界指定的套接字安全「SOCKS」代理,被攻擊者用以支持惡意軟體和行為。計算機木馬和蠕蟲,比如Mydoom和Bugbear,就一直用1080埠進行攻擊。如果網路管理員沒有設置SOCKS代理,其存在就可能意味著網路中有惡意活動。

黑客犯懶的時候,往往會用些容易記住的埠號,比如234或6789之類數列,或者一些重複的數字,比如666或888。有些後門和木馬軟體會打開 TCP 4444 埠,行監聽、通信、轉發外部惡意流量和發送惡意載荷之事。使用該埠的一些惡意軟體包括:Prosiak、Swift Remote 和CrackDown。

Web流量不僅僅使用80埠。HTTP流量也使用 TCP 8080 埠。連接這些埠的伺服器大多是無人管控的遺留主機,隨時間流逝漏洞越積越多。開放了這些埠的伺服器也有可能是HTTP代理,如果網路管理員沒有安裝過,那就可能代表著系統中有需要關注的安全問題了。

據傳高級攻擊者將TCP和 UDP 31337 埠,用作著名的 Back Orifice 後門和其他一些惡意軟體的通信埠。TCP 31337 埠的例子有:Sockdmini、Back Fire、icmp_pipe.c、Back Orifice Russian、Freak88、Baron Night 和BO客戶端。UDP 31337 上的例子則包含有 Deep BO。在使用字母和數字的黑客文中,31337被拼成「eleet」,意思為「精英(elite)」。

弱口令可致SSH和22成為唾手可得的目標。22埠指定為SSH埠,可以訪問物理伺服器硬體的遠程shell,當憑證中包含默認或易猜用戶名及口令時,該埠也就不安全了。利用熟悉的短語,少於8字元的短口令,以及純數字序列口令,對攻擊者來說真是太好猜了。

6660到6669埠上跑的IRC,也依然是犯罪黑客的攻擊目標。IRC漏洞很多,比如可讓攻擊者遠程執行程序的 Unreal IRCD。

有些埠和協議可讓攻擊者橫向拓展。比如引無數黑客垂涎的 UDP 161 埠,因為承載著簡單網路管理(SNMP)協議,能夠讓攻擊者通過該埠管理聯網主機、查詢信息、發送流量。SNMP可以查詢伺服器,找出用戶名、網路共享和其他信息。SNMP通常都用預設口令。

埠、服務保衛戰

企業可以通過SSH公鑰驗證、root登錄禁用,以及將SSH挪到更高埠號讓攻擊者不那麼容易找到,來保護SSH。如果用戶用25000之類高埠號連接SSH,攻擊者就難以定位SSH服務的攻擊界面了。

如果公司運營有IRC,用防火牆圍住它。別讓網路外面的任何流量接觸到IRC服務。要使用IRC的用戶必須通過VPN連入網路。

重複數字埠和特別長的數字序列埠,往往不是合法埠。如果看到此類埠,請確保它們是真實的。DNS流量也需要被監視和過濾,以防數據滲漏。Telnet服務和23埠還是關了吧。

所有網路埠都應該採用深度防禦的安全方法。關閉所有不用的埠,在每台主機上使用基於主機的防火牆,對網路應用基於網路的下一代防火牆,監視並過濾埠流量。定期埠掃描應作為滲透測試的一部分,確保這些埠上都沒有未經檢查的漏洞。要特別注意SOCKS代理或其他任何你並未設置的服務。連接到埠的每一個設備、軟體或服務都要保持更新,隨時處於完美防禦狀態。保持積極主動,因為新舊軟體中總會出現可供攻擊者通過網路埠進行利用的漏洞。

採用支持服務的最新版本,對服務進行正確配置,使用強口令;訪問控制列表可助你限制連接埠和服務的人員。經常測試埠和服務。如果環境中有諸如HTTP和HTTPS之類可定製的服務,很容易就會錯誤配置,意外引入漏洞。另外,預設SNMP用戶名和口令字元串一定要記得改掉。

埠大全

根據埠所關聯威脅的類型和嚴重性,或給定埠服務漏洞的等級之類各種不同的標準,專家們給出了多張具有重大風險的埠列表。沒有哪張列表能列全的。不過,你可以從下面這三張表開始:

  • SpeedGuide:

  • GaryKessler.net:

  • SANS.org:



熱門推薦

本文由 yidianzixun 提供 原文連結

寵物協尋 相信 終究能找到回家的路
寫了7763篇文章,獲得2次喜歡
留言回覆
回覆
精彩推薦