各種攻擊開始的時候通過自動抓包偵聽等工具來收集目標環(huán)境的信息，尤其是執(zhí)行網(wǎng)絡(luò)發(fā)現(xiàn)掃描來識別系統(tǒng)開放的高危端口。系統(tǒng)中的高危端口及其防護是網(wǎng)絡(luò)安全管理的重要組成部分。 

高危漏洞、高危端口、弱口令是網(wǎng)絡(luò)安全領(lǐng)域常見的網(wǎng)絡(luò)安全風(fēng)險隱患，極易被不法分子惡意利用，對網(wǎng)絡(luò)運營者造成不可彌補的損失。

高危漏洞：高危漏洞指的是在軟件、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備等信息技術(shù)產(chǎn)品中存在的嚴重安全缺陷。高危漏洞極易被黑客利用導(dǎo)致信息泄露、系統(tǒng)崩潰、權(quán)限被非法獲取等嚴重后果。常見的高危漏洞有：SQL注入漏洞、敏感數(shù)據(jù)泄露漏洞、跨站腳本漏洞、遠程命令執(zhí)行漏洞、文件上傳漏洞、應(yīng)用程序測試腳本泄露等。

高危端口：高危端口是指在計算機網(wǎng)絡(luò)中，由于其默認服務(wù)或功能的特性，容易被攻擊者利用來進行非法訪問、入侵或攻擊的網(wǎng)絡(luò)端口。常見的高危端口有:135、137、138、139、445、3389等。

弱口令：弱口令是指那些強度較弱、容易被猜測或破解的密碼。過于簡單的密碼很容易被黑客通過暴力破解的方式攻破。常見的弱口令包括：123456、888888、password、admin、abcdefg、生日、電話號碼等。其它具體不安全端口，統(tǒng)統(tǒng)關(guān)閉，防止攻擊和勒索病毒。

高危漏洞、高危端口、弱口令問題門檻低，極易被別有用心之人攻擊利用，對單位、企業(yè)的正常生產(chǎn)經(jīng)營造成嚴重影響。

為避免開放端口變成黑客攻擊的入口，在策略上應(yīng)關(guān)閉不必要的端口，或使用更安全的協(xié)議，在技術(shù)上應(yīng)強化認證和監(jiān)測。廣大網(wǎng)絡(luò)運營者可以從以下幾個方面降低高危漏洞安全風(fēng)險。

 四類高危端口

 遠程管理服務(wù)端口（8類）端口20，21（FTP）

用途：文件傳輸協(xié)議（FTP）用于在客戶端和服務(wù)器之間傳輸文件。

風(fēng)險：FTP傳輸?shù)臄?shù)據(jù)未加密，容易被竊聽，默認配置下還可能存在弱口令。

端口22（SSH）用途：SSH協(xié)議用于遠程登錄和安全數(shù)據(jù)傳輸。

風(fēng)險：如果配置不當或使用弱口令，可能會被暴力破解，雖然較為安全，但仍需加強認證機制以防止暴力破解，建議使用SSHv2。（可以通過命令ssh -Q protocol-version來查詢當前SSH協(xié)議版本）

端口23（Telnet）用途：遠程登錄。

風(fēng)險：Telnet傳輸?shù)臄?shù)據(jù)未加密，容易被竊聽，默認配置下還可能存在弱口令。

端口69（TFTP）用途：簡單文件傳輸協(xié)議（TFTP）主要用于在網(wǎng)絡(luò)上傳輸文件。它通常用于網(wǎng)絡(luò)設(shè)備配置文件的備份和恢復(fù)，以及啟動映像的傳輸。

風(fēng)險：TFTP 沒有內(nèi)置的加密或認證機制，容易遭受中間人攻擊和未經(jīng)授權(quán)的文件訪問。

端口3389（RDP）用途：遠程桌面協(xié)議（RDP）用于遠程訪問Windows桌面。

風(fēng)險：如果未正確配置，容易被惡意利用，常被用于遠程控制攻擊。

端口5900-5902（VNC）用途：VNC（Virtual Network Computing），虛擬網(wǎng)絡(luò)計算，是一種遠程桌面訪問協(xié)議，讓用戶能夠通過網(wǎng)絡(luò)連接看到并操控另一臺遠程計算機的界面。

風(fēng)險：隱私泄露、惡意軟件攻擊。

端口512-514（Rlogin）用途：Rlogin是遠程登錄協(xié)議，它允許授權(quán)用戶進入網(wǎng)絡(luò)中的其它UNIX機器并且就像用戶在現(xiàn)場操作一樣，它是Telnet的一個分支，相比Telnet更安全，Rlogin默認使用SSH加密通道。

風(fēng)險：隱私泄露、惡意軟件攻擊。

端口873（Rsync）用途：Rsync（Remote Sync）是一種網(wǎng)絡(luò)文件同步服務(wù)，用于實時或增量地在兩臺計算機之間同步文件。其主要用途是備份、版本控制和數(shù)據(jù)遷移。

1.2. 局域網(wǎng)服務(wù)端口（7類）端口53（DNS）用途：域名系統(tǒng)（DNS）用于將域名解析為IP地址。

風(fēng)險：DNS服務(wù)器可能受到緩存中毒、放大攻擊等。

端口111，2049（NFS）用途：NFS（Network File System），網(wǎng)絡(luò)文件系統(tǒng)，是一種標準的網(wǎng)絡(luò)文件共享協(xié)議，讓網(wǎng)絡(luò)中的設(shè)備可以像本地硬盤一樣訪問和存儲數(shù)據(jù)。

風(fēng)險：未加密的數(shù)據(jù)傳輸可能會泄露敏感信息，同時服務(wù)器配置不當可能導(dǎo)致權(quán)限濫用或數(shù)據(jù)損壞。

端口135（RPC）用途：RPC（Remote Procedure Call），遠程過程調(diào)用，是一種網(wǎng)絡(luò)通信機制，它允許程序調(diào)用其他進程的函數(shù)就像它們在同一臺機器上運行一樣。

風(fēng)險：配置不當可能導(dǎo)致拒絕服務(wù)攻擊、未授權(quán)訪問。

端口137-139（NetBIOS）用途：網(wǎng)絡(luò)基本輸入輸出系統(tǒng)（NetBIOS）主要用于文件共享和打印服務(wù)。

風(fēng)險：攻擊者可以利用這些端口進行木馬病毒傳播、竊取機密信息等攻擊。

端口161（SNMP）用途：簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）用于監(jiān)控和管理網(wǎng)絡(luò)設(shè)備，如路由器、交換機、服務(wù)器等。

風(fēng)險：如果 SNMP 配置不當，攻擊者可能未經(jīng)授權(quán)訪問網(wǎng)絡(luò)設(shè)備，甚至受到DoS攻擊。

端口389（LDAP）用途：輕量級目錄訪問協(xié)議（LDAP）一種用于訪問和維護分布式目錄信息服務(wù)的協(xié)議。它常用于企業(yè)環(huán)境中，提供身份驗證、訪問控制、目錄查詢和數(shù)據(jù)管理等功能。

風(fēng)險：如果 LDAP 服務(wù)器配置不當，可能導(dǎo)致敏感信息泄露、拒絕服務(wù)攻擊。

端口445（SMB）用途：SMB（Server Message Block）共享文件系統(tǒng)協(xié)議，主要用于Windows網(wǎng)絡(luò)環(huán)境中，允許用戶訪問和共享文件夾，打印服務(wù)等。

風(fēng)險：權(quán)限控制不足可能導(dǎo)致數(shù)據(jù)泄露或未經(jīng)授權(quán)的訪問。

2. 防護措施

2.1. 關(guān)閉不必要的端口

使用命令netstat -an查看開放的端口，并使用 iptables 或 firewalld 工具禁用不必要的端口。例如，使用 iptables 防火墻封禁135端口的命令如下：

2.2. 使用安全的替代方案

替代不安全的服務(wù)，如用SFTP替代FTP，用SSHv2替代Telnet，用IMAPS/POP3S替代未加密的IMAP/POP3等。

2.3. 使用防火墻和入侵檢測系統(tǒng)

配置防火墻規(guī)則，限制對高危端口的訪問，并部署IDS和IPS來監(jiān)控和防御異常流量。

2.4. 加強認證機制

對于必須開放的端口，如SSH，應(yīng)使用強認證機制（如多因素認證），避免使用默認密碼，并定期更換密碼。

 

常見的不安全端口??

?21端口?：主要用于?FTP服務(wù)，F(xiàn)TP傳輸?shù)臄?shù)據(jù)未加密，容易被竊聽，默認配置下可能存在弱口令。

?22端口?：SSH協(xié)議用于遠程登錄和安全數(shù)據(jù)傳輸，如果配置不當或使用弱口令，可能會被暴力破解。

?23端口?：Telnet服務(wù)用于遠程登錄，傳輸?shù)臄?shù)據(jù)未加密，容易被竊聽，默認配置下可能存在弱口令。

?25端口?：SMTP服務(wù)器用于發(fā)送郵件，可能被用于發(fā)送垃圾郵件或進行郵件炸彈攻擊。

?53端口?：DNS服務(wù)器用于域名解析，如果開放DNS服務(wù)，黑客可以通過分析DNS服務(wù)器直接獲取主機IP地址，實施攻擊。

?69端口?：TFTP用于在網(wǎng)絡(luò)上傳輸文件，沒有內(nèi)置的加密或認證機制，容易遭受中間人攻擊和未經(jīng)授權(quán)的文件訪問。

?80端口?：HTTP用于Web瀏覽，如果配置不當或存在已知漏洞，可能被利用。

?110端口?：POP3用于接收郵件，若未配置SSL，可能受到中間人攻擊。

?135端口?：RPC遠程過程調(diào)用協(xié)議，易被用于DoS攻擊或進行惡意掃描。

?139端口?：NetBIOS網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)，可能被用于SMB攻擊。

?445端口?：SMB協(xié)議端口，與139端口相關(guān)，易受攻擊。

?5900端口?：VNC用于遠程桌面訪問，若未配置好或存在已知漏洞，可能被利用。

?這些端口的風(fēng)險?

?數(shù)據(jù)泄露?：某些端口如FTP、Telnet、TFTP等傳輸?shù)臄?shù)據(jù)未加密，容易被竊聽或截獲。

?弱口令攻擊?：許多端口如FTP、Telnet等默認配置下可能存在弱口令，容易被暴力破解。

?中間人攻擊?：如TFTP、DNS等端口容易遭受中間人攻擊。

?惡意軟件攻擊?：某些端口如FTP、SMTP等可能被木馬程序利用，進行惡意活動。

?防范措施?

?使用防火墻限制訪問?：通過防火墻限制對開放端口的訪問，減少潛在的安全風(fēng)險。

?配置強密碼和認證機制?：確保服務(wù)或應(yīng)用程序的訪問權(quán)限通過強密碼和認證機制來保護。

?定期更新系統(tǒng)和應(yīng)用程序?：及時修復(fù)已知漏洞，減少被攻擊的風(fēng)險。