了解最新公司动态及行业资讯
在︼上网或与网络工作者交流时,我们经常会看到“端口”这个词服务器运▲维技术Ψ,并使用端〓口号。例如,在FTP地址后面◥加上“21”,21表示端口号。那么端口究竟是什么意思呢?从安全的角度◢来说,端口是计算机的大门,计算机的安全需要从端口构建。或者从计算╱机用户的角度来说,如果登录账号密码是计算机的门,那么端口就是计算机的一个窗口。门是锁着的〒,进不去,能→从常开的窗户进去吗?
那么究竟什么是端口?举个栗子:电脑就像你的超级别墅。这栋别墅一直进进出出很多∏人:仆人、粉丝、快递员、外卖员、朋友、送特色猪肉的农民……非常混乱。,所以你明智地制定一个规则,打开房子的◆许多门,并规定每个访客必须根↙据自己的业务通过不同的门,例如发送邮件∏到别墅,去110门,发送邮件到别墅Mail to door 25,送货和送货到door 21等等。这扇门就是我们所说的港口。计算▲机中共有 65536 (2^16) 个这◣样的端口,编号从 0 到 65535。少数门有明确的用途,大多数是未确定用途的门。计算机中具有确定功能的端口↓称为系统默认端口。
共有65536个端口,其中0到1023之∑ 间的端口也称为识别端口,是系统为特№定用途预留的,如21用于ftp,21用于FTP,80用于http等,但确⌒实如此并不意味着这些端口是固定的。是的,您还可以重定向〇端口。比如系统默认的HTTP服务是80端口,可以重定向到另外一∩个端口,比如8080。你可以随意设置1024到65535之间的端口,但是一些知名产品一般使用默认端口其他人没有。会去占用,基本上默认是他们的∏专属端口,比如mysql 3306、mssql 1433、1521等。
一些常◤用端口,IT运维人员会背诵,如FTP:21,:23, SMTP:25, DNS:53, http:80, POP3:110, :137-139, https:443, 文件夹和♀打印机共享服务(SMB):445,MS SQL:1433,:1521,mysql:3306,远程桌面(RDP):3389等。
对于∴运维人员和安全人员来说,端口是网络攻击防御的必备工具。如果一个坏人想要进入你的大房子,他肯定会㊣先找到你家的门,然后尝试闯入【。同样,黑客通常使用扫描仪对目标主机进行端口「扫描,以确定开放的端口及其◤所在的主机№。对应的服务程序,然后猜测可能的漏洞,比如打开1433端口,猜测服务器可能☆正在运行mssql数据库服务器运维技术,然后使用常用的用户名字典(如sa)和常用的弱密码字典尝试登录. 如果445端口开放,仍然是〗操作系统,那么黑⌒ 客肯定会先使用的exp攻击MS017-010漏洞。一切都会成功... 接下来就是下毒ω 、加密文件等一系列套路。部分端口被攻击成功后,黑客可以轻松获得管理员◆权限,在被攻击成功的计算机上为所◎欲为。这些港口就是所谓的高风险港口。
合格的安全运维人员需要严格检查服务器的端口」开放和连接状态,发现可疑的连接和端口状态,以便及时发现异常情况,发现木马或黑客的连接。如果端█口已连接或处于侦听状态,则需要分析相应的进程以确定是否被病毒感染或被黑客△入侵。当然,最直接的方法是彻底关闭高々风险端口。如果业务系统有特殊要求,必须对外开放,建议通过具有入侵检测和防御功能的专业防火墙←发布,服务器部署安全防御软件,防御内】网攻击。
蓝盟IT外包♀结合多年的安全运维经验,强烈建议RDP、SSH、SMB三项服务对应的高危端口禁止对外发布。如果不需要,直接关闭服务╳器系统的上述三个服务。一些勒索软件攻击是从内『网发起的。控制高风险端口是迈向完善网络安全√的坚实一步。
文/上海蓝盟IT外包专家