端口攻防技术分析

摘要: 本文讲述了网络端口的分类与应用,针对网络常见端口攻击方式、原理,提出了端口安全防御策略,在一定程度上保证了端口的安全。

Abstract: This article describes the application and classification of network ports. At the same time,for the common ways and principles of the attacks from network ports,the article points out a strategy for the port security and defense,to a certain extent,to ensure the security of the network ports.

关键词: 端口;攻击;原理;防御;安全

Key words: port;attack;princile;defense;security

中图分类号:TP393 文献标识码:A文章编号:1006-4311(2010)07-0156-02

0引言

在Internet上,各主机间通过TCP/TP协议发送和接收数据报,各个数据报根据其目的主机的i地址来进行互联网络中的路由选择。可见,把数据报顺利的传送到目的主机是没有问题的。问题出在哪里呢?我们知道大多数操作系统都支持多程序(进程)同时运行,那么目的主机应该把接收到的数据报传送给众多同时运行的进程中的哪一个呢?为了解决这个问题,我们引入了端口机制。"端口"是英文ort的译义,我们可以认为是计算机与外界进行信息交换的出口。在数据报传送过程中,本地操作系统首先会为需求的进程分配逻辑端口,每个逻辑端口由一个正整数标识,如:80,139,445,等等。当目的主机接收到数据报后,将根据报文首部的目的端口号,把数据发送到相应端口,而与此端口相对应的那个进程将会领取数据并等待下一组数据的到来。

1端口的分类

逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类:

1.1 按端口号分布划分

1.1.1 动态和/或私有端口(Dynamic and/or Private Ports):端口的范围从49152到65535,理论上,不应为服务分配这些端口。实际上,机 器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。

1.1.2 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。

1.1.3 公认端口(Well Known Ports):从0到1023,它们紧密绑定(binding)于一些服务,比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。通常这些端口的通讯明确表明了某种服务的协议。

1.2 按协议类型划分按协议类型划分,可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下面主要介绍TCP和UDP端口:

1.2.1 TCP端口TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以及HTTP服务的80端口等等。

1.2.2 UDP端口UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的8000和4000端口等。

2端口攻击分类

如果把服务器比作房子,那么端口则是通向房子中各个房间的门,入侵者要占领这间房子,只需打开这道门。显然,端口在网络攻击过程中是攻防双方必争的一座重要堡垒。“端口侦听”与“端口扫描”是黑客攻击和防护经常要用到的两种端口技术。在黑客攻击时利用它们可以准确地寻找攻击的目标,获取有用信息。

2.1 端口侦听(Ports Listening)“端口侦听”是利用某种程序对目标计算机的端口进行监视,查看目标计算机上有哪能些端口是空闲、可以利用的。通过侦听还可以捕获别人有用的信息,这主要是用在黑客软件中,但对于个人来说也是非常有用的,可以用侦听程序来保护自己的计算机,在自己计算机的选定端口进行监视,这样可以发现并拦截一些黑客的攻击。也可以侦听别人计算机的指定端口,看是否空闲,以便入侵。

2.2 端口扫描(ort scanning)“端口扫描”(ort scanning)是通过连接到目标系统的TCP协议或UDP协议端口,来确定什么服务正在运行。现在有许多人把“端口侦听”与“端口扫描”混为一谈,根本分不清什么样的情况下要用侦听技术,什么样的情况下要用扫描技术。现在的软件也似乎对这两种技术有点模糊了,有的干脆把两个功能都集成在一块。“端口扫描”与“网络扫描”是同一所指,只不过因为“网络扫描”最终还是通过对网络端口的扫描来达到目的,所以也就通俗地称之为“端口扫描”。

“端口扫描”通常指用同一信息对目标计算机的所有所需扫描的端口进行发送,然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。“端口扫描”行为的一个重要特征是:在短时期内有很多来自相同的信源地址传向不同的目的地端口的包。

3端口安全防御

计算机之间通信是通过端口进行的,例如你访问一个网站时,Windows就会在本机开一个端口(例如1234端口),然后去连接远方网站服务器的一个端口,别人访问你时也是如此情景。在默认状态下,Windows会在你的电脑上打开许多服务端口,嘏黑客恰恰利用了这些端口来实施其入侵行为的。因此,有效进行端口安全防御是保证网络安全的重要基础。常见端口防御工作如下:

3.1 关闭不需要的端口对一般上网用户来说只要能访问Internet就行了,并不需要别人来访问你,也就是说没有必要开放服务端口,在WIN 98可以做到不开放任何服务端口上网,但在Win XP、Win 2000、Win 2003下一些服务端口是默认开放的,因此,我们可以关闭不必要的端口。

3.1.1 关闭137、138、139、445端口这几个端口都是为实现网络资源共享而开的,是NetBios协议的具体应用,通常作为普通的网络用户是不需要别人来共享你的资源的,而且上述也是漏洞最多的端口。关闭这几个端口的方法就是关闭系统默认共享。

3.1.2 关闭123端口有些蠕虫病毒可利用UDP 123端口,关闭的方法手动停止系统的windows time服务。

3.1.3 关闭1900端口攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包,就可能会造成这些Win XP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包,令'Location'域的地址指向另一系统的chargen端口,就有可能使系统陷入一个死循环,消耗掉系统的所有资源(需要安装硬件时需手动开启)。关闭1900端口的方法是停止SSDP Discovery Service 服务。

3.2 安装并启用防火墙。安装防火墙的作用通俗的说就像你不管住在一所结实的好房子里还是住在一所千疮百孔的破房子里,只要你在房子的四周建了一堵密不透风的墙,那对于墙里的房子就是安全的。对于一般用户来讲有下面三类防火墙

3.2.1 系统自带的防火墙关于Win XP 与Win 2003自带防火墙的设置请参阅系统帮助文件,此处不再赘述。

3.2.2 ADSL防火墙通过ADSL上网的,如果有条件最好将ADSL猫设置为地址转换方式(NAT),也就是大家常说的路由模式,其实路由与NAT是不一样的,权且这么叫吧。用NAT方式最大的好处是设置完毕后,ADSL猫就是一个放火墙,它一般只开放80、21、161等为了方便用户对ADSL猫进行设置而开放的端口。如果不做端口映射,一般情况下很难从远程实现攻击的。

3.2.3 第三方防火墙前面说过,反弹型木马而且会使用隐避性较强的文件名,像iexiore.exe、exlorer等与IE的程序IEXPLORE.EXE很想的名字或用一些rundll32之类的好像是系统文件的名字,但木马的本质就是要与远程的计算机通讯,只要通讯就会有连接。如下所示:正常连接是IEXPLORE.EXE发起的,而非正常连接是木马程序exlorer发起的。一般的防火墙都有应用程序访问网络的权限设置,在防火墙的这类选项中将不允许访问网络的应用程序选择X,即不允许访问网络。

3.2.4 用Tcview结束可疑连接我们可以用Tcview观察当前连接情况,如果怀疑哪个连接有可能是不正常的连接,可在Tcview中结束该连接,斩断一切有可能的非法连接在一定程序上可以保证网络的安全性能。

3.3 扫描作为扫描工具软件,常见的有端口扫描(Suerscan)、漏洞扫描(X-scan)等,利用这些扫描工具软件做完上述相应的安全检测措施后,我们还可以在网上找个在线测试安全的网站测试一下你目前系统的安全情况,如千禧在线、蓝盾在线检测、天网安全在线、诺顿在线安全检测等,都提供了相就的在线检测功能,通过相应的在线检测,有助于网络用户做安全防御设置工作。

4端口入侵检测系统的几点反思

从技术的层面上说,端口入侵检测系统还有些未能解决的问题,主要为:

4.1 对入侵检测系统的评价目前还没有统一的客观标准,各种评价的标准不统一导致了端口入侵检测系统不能够互联。对于这种新的技术手段,伴随着科学技术的发展,还会面对更多的新型的攻击手段,因此我们必须保证端口入侵检测系统的不断更新,以适应新的网络环境。

4.2 网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测系统往往假设攻击信息是明文传输的,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测,因此字符串匹配的方法对于加密过的数据包就显得无能为力。

4.3 目前的网络设备多种多样,网络的设置越来越复杂多变,这就对入侵检测系统提出了更高的要求,使它们能适应更多的网络环境。

4.4 如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等着名ICP的攻击事件中,我们明白了网络安全形势是以紧张,不法分子的攻击手段不断的更新,攻击工具也呈现了多样化的特点,攻击手法越来越多变,这就要求入侵检测系统提高安全指数,不断地完善并且改进。

4.5 对IDS自身的攻击。与其他系统一样,IDS本身也存在安全漏洞,若对IDS攻击成功,则导致报警失灵,入侵者在其后的行为将无法被记录,因此要求系统应该采取多种安全防护手段。

4.6 采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作,当入侵检测系统发现攻击行为时,过滤掉所有来自攻击者的IP数据包,当一个攻击者假冒大量不同的IP进行模拟攻击时,入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是造成新的拒绝服务访问。

4.7 随着网络的带宽的不断增加,如何开发基于高速网络的检测器(事件分析器)仍然存在很多技术上的困难。

5结束语

随着计算机硬、软件的不断发展,Internet网络技术的日新月异、计算机网络已经成为社会生活中不可或缺的一部份。同时,黑客技术也在“与时俱进”,形形的病毒、木马在网络中漫延,严重影响了我们正常的工作、学习。端口的安全作为网络安全的重要组成部分显尤其重要,如何做好端口安全防御工作将成为网络安全研究人员一个永不过时的命题。

参考文献:

[1](美)John Chorrillos著,李宏平译.黑客攻击防范篇[M].北京:机械工业出版社,2003年3月,(第2版).

[2]程秉辉,John Hawke著,防毒防黑全攻略[M].北京:科学出版社,2004年3月.