來源:國家網(wǎng)絡(luò)安全通報中心
在計算機(jī)網(wǎng)絡(luò)中,,端口是一種用于區(qū)分不同網(wǎng)絡(luò)服務(wù)或應(yīng)用程序的邏輯地址。每個網(wǎng)絡(luò)服務(wù)或應(yīng)用程序都需要至少一個端口(號)來實(shí)現(xiàn)網(wǎng)絡(luò)通信,。當(dāng)某個端口開放時,,便能接收來自于其它計算機(jī)或網(wǎng)絡(luò)設(shè)備的連接請求和數(shù)據(jù)。但同時,,開放的端口也暴露了計算機(jī),、網(wǎng)絡(luò)設(shè)備的服務(wù)或應(yīng)用程序,使得攻擊者可以通過掃描端口發(fā)現(xiàn)潛在的漏洞,,進(jìn)而實(shí)施網(wǎng)絡(luò)攻擊,。高危端口便是被不法分子經(jīng)常利用的端口。國家網(wǎng)絡(luò)與信息安全信息通報中心排查梳理了近期安全風(fēng)險突出的30個網(wǎng)絡(luò)服務(wù)或應(yīng)用程序?qū)?yīng)的端口號,,這些端口常被不法分子利用實(shí)施遠(yuǎn)程代碼執(zhí)行,、拒絕服務(wù)等攻擊。提醒廣大網(wǎng)絡(luò)運(yùn)營者對自身網(wǎng)絡(luò)、應(yīng)用服務(wù)進(jìn)行技術(shù)排查,,對照此次提示內(nèi)容關(guān)閉端口或進(jìn)行技術(shù)加固,。
序號 | 端口服務(wù) | 端口號 | 所屬類別 |
1 | LDAP | 389 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口 |
2 | SMB | 445 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口、經(jīng)常被黑客攻擊利用易存在漏洞的端口 |
3 | MySQL | 3306 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口 |
4 | Redis | 6379 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口 |
5 | FTP | 21 | 經(jīng)常被黑客攻擊利用,、易存在漏洞的端口 |
6 | Elasticsearch | 9200 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口,、經(jīng)常被黑客攻擊利用、易存在漏洞的端口 |
7 | Weblogic | 7001 | 經(jīng)常被黑客攻擊利用,、易存在漏洞的端口 |
8 | RDP | 3389 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口 |
9 | PostgreSQL | 5432 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口 |
10 | Oracle | 1521 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口 |
11 | Flink | 8081 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口,、經(jīng)常被黑客攻擊利用、易存在漏洞的端口 |
12 | Memcached | 11211 | 經(jīng)常被黑客攻擊利用,、易存在漏洞的端口 |
13 | Kafka | 9092 | 經(jīng)常被黑客攻擊利用,、易存在漏洞的端口 |
14 | MongoDB | 27017/27018 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口、沒有實(shí)際價值但默認(rèn)開放的端口 |
15 | Hadoop | 8019/8042/9000/8088 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口,、沒有實(shí)際價值但默認(rèn)開放的端口,、經(jīng)常被黑客攻擊利用、易存在漏洞的端口 |
16 | Zookeeper | 3888 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口,、沒有實(shí)際價值但默認(rèn)開放的端口 |
17 | Docker | 2375 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口 |
18 | Nacos JRAFT | 7848 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口,、經(jīng)常被黑客攻擊利用、易存在漏洞的端口 |
19 | NFS | 2049 | 經(jīng)常被黑客攻擊利用,、易存在漏洞的端口 |
20 | DB2/Sybase | 5000 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口 |
21 | etcd | 2379 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口,、經(jīng)常被黑客攻擊利用、易存在漏洞的端口 |
22 | GlassFish | 4848 | 經(jīng)常被黑客攻擊利用,、易存在漏洞的端口 |
23 | CouchDB | 5984 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口 |
24 | InfluxDB | 8083/8086 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口 |
25 | Rundeck | 4440 | 經(jīng)常被黑客攻擊利用,、易存在漏洞的端口 |
26 | SSH | 22 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口、經(jīng)常被黑客攻擊利用,、易存在漏洞的端口 |
27 | Zookeeper | 2181 | 經(jīng)常被黑客攻擊利用,、易存在漏洞的端口 |
28 | Symantec pcAnywhere | 5631/5632 | 不應(yīng)暴露在互聯(lián)網(wǎng)上的端口 |
29 | Supervisor | 9001 | 經(jīng)常被黑客攻擊利用、易存在漏洞的端口 |
30 | spark | 7077 | 經(jīng)常被黑客攻擊利用,、易存在漏洞的端口 |
安全防護(hù)提示
為避免開放端口變成黑客攻擊的入口,,在策略上應(yīng)關(guān)閉不必要的端口,或使用更安全的協(xié)議,,在技術(shù)上應(yīng)強(qiáng)化認(rèn)證和監(jiān)測,。廣大網(wǎng)絡(luò)運(yùn)營者可以從以下幾個方面降低高危漏洞安全風(fēng)險。
一,、管理端口對外暴露
最小化端口開放:僅開放業(yè)務(wù)必須的端口,,關(guān)閉不必要的端口以減少攻擊面。
優(yōu)化防火墻策略:強(qiáng)化對必要端口的訪問權(quán)限控制,,僅允許受信任的IP地址訪問關(guān)鍵端口,。
限制服務(wù)默認(rèn)端口使用:在部署服務(wù)時,,盡量使用自定義端口代替默認(rèn)端口,注意關(guān)閉一些服務(wù),、框架和組件默認(rèn)開啟的端口,,以減少服務(wù)信息暴露。
建立端口服務(wù)管理機(jī)制:建立端口和服務(wù)關(guān)聯(lián)關(guān)系臺賬,,嚴(yán)禁端口使用未申請的服務(wù),;端口開放前需進(jìn)行安全審批,并留存對應(yīng)的變更審計日志,。
二,、加強(qiáng)認(rèn)證和訪問控制
1.多重驗證:對遠(yuǎn)程訪問和敏感端口實(shí)施多因素認(rèn)證,防止未經(jīng)授權(quán)的訪問,。
2,、網(wǎng)絡(luò)分段和微分區(qū):將網(wǎng)絡(luò)分置為不同區(qū)域,將重要的系統(tǒng)放在單獨(dú)的區(qū)域內(nèi),,限制高危端口的暴露范圍,,防止攻擊行為擴(kuò)散至網(wǎng)絡(luò)多個部分。
三,、實(shí)施安全監(jiān)控和防護(hù)
1,、建立監(jiān)控防御機(jī)制:通過掃描測繪和內(nèi)部審計,持續(xù)監(jiān)控發(fā)現(xiàn)對外暴露的高危端口并第一時間進(jìn)行處置,;通過流量監(jiān)控識別通過高危端口的惡意攻擊流量,部署入侵防御系統(tǒng)及時進(jìn)行攻擊阻斷,。
日志記錄與審計:對端口訪問進(jìn)行詳細(xì)日志記錄,,定期審計以發(fā)現(xiàn)和應(yīng)對潛在威脅。
3,、探索應(yīng)用反測繪等技術(shù),,隱藏或混淆端口服務(wù)信息,提高攻擊者測繪和掃描成本,。
四,、使用安全協(xié)議
在充分評估系統(tǒng)兼容性、性能需求,、安全要求,、成本和法規(guī)要求等實(shí)際需求和環(huán)境條件的前提下,選擇使用安全協(xié)議替代不安全協(xié)議,,確保替代后既提升安全性,,又不會給系統(tǒng)帶來不必要的負(fù)擔(dān)。常見的替代方案有采用SSH替代Telnet,、HTTPS替代HTTP,、FTPS/SFTP替代FTP,、SMTPS替代SMTP、WebSockets over TLS (WSS) 替代WebSockets等,。
位置: