端口网 非默认端口网络服务的安全风险不容忽视 | 网络安全

端口扫描现象在互联网上普遍存在，网络维护人员可以利用端口扫描来验证安全策略，攻击者也可以利用端口扫描来识别指定主机的端口打开服务，为下一次尝试破解弱密码或利用服务漏洞做准备。

针对端口扫描导致网络服务在非标准端口上运行的现象，分析了产生这种现象的原因，从网络安全的角度探讨了服务在非标准端口上运行可能存在的利弊，并进行了实验验证。在此基础上，对网络运维部门和服务商的防火墙设置提出了一些建议。

非默认端口上的服务安全状态

近十年来，随着相关技术的快速发展，利用蠕虫传播增强扫描能力，ZMap、Masscan等新型端口扫描工具不断涌现，使得端口扫描无处不在。大量受控主机用于扫描互联网上相当大范围的IP地址，不再局限于特定端口。因此，有必要分析非默认端口上运行的服务的漏洞和攻击风险，尤其是与安全密切相关的服务，如SSH/RDP等远程登录服务和非默认端口上运行的MS SQLServer/MySQL等数据库服务。

更改服务运行端口后，可以避免只扫描标准端口。但考虑到目前的端口扫描并不局限于标准端口，只是延迟了端口扫描，尤其是绕过网络运维部门设置的防火墙后，服务直接暴露在外网，更需要保证服务本身的安全维护。

为了分析真实互联网环境下非默认端口服务的安全状况，本文收集了上海交通大学的相关数据，并进行了实验验证。首先对上海交通大学校园网IP地址的所有TCP端口(1-65535)进行主动扫描，识别开放端口上运行的服务，检测SSH、RDP等协议的弱密码。其次，根据2017年1-6月的NetFlow数据，分析攻击者在互联网上的端口扫描行为。

首先，调查了在非默认端口上运行的常见安全敏感服务的比例，结果如表1所示。

从表中可以看出，服务运行在非默认端口上是很常见的，相当一部分特定的安全相关服务和整体网络服务运行在非默认端口上。

然后统计这些服务的常用运行端口，用于后续实验，采用以下规则:1。此端口上运行的服务数量大于2；2.它与默认端口值部分相似；3.服务器不限于同一个C类网段，结果如表2所示。

实验共扫描33066个可识别服务，弱密码974个，其中非默认端口上运行的服务中有101个弱密码，常见非默认端口列表中有74个。可以看出，改变服务运行端口本身并不能防止系统被入侵，而是暴露在防火墙之外，由端口从外部IP地址进行扫描。

接下来分析互联网扫描流量，比较安全敏感服务默认端口和常见非默认端口的扫描次数，根据源地址数量(攻击者IP数量和扫描次数)进行统计。结果如表3所示。

其中rdp的默认端口3389被防火墙完全禁止，因此获得的记录数约为0。

扫描的端口分别根据源地址数量和扫描次数进行排序。超过80%的常见非默认扫描端口出现在前8192个端口中。频率最高的端口信息见表4。

从结果可以看出，常见的非默认端口列表占了相当大的比重，也进行了重点扫描。

进一步调查任何端口的扫描情况。对于默认端口、常用非默认端口等任意端口，根据目标IP地址数量和扫描次数统计扫描次数及其比例。见表5。可以看出，大概90%的扫描都在任意端口，所以即使换到任意端口，也有被扫描的可能。

攻击者知道服务提供商需要在更改服务运行端口后扫描非默认端口。随着计算机性能和网络带宽的进步，以及相应端口扫描技术的提高，扫描某个IP范围内更大范围的端口甚至所有端口所需的时间逐渐减少到可以接受的水平。

实验结果分析

从分析和实验结果可以知道，如果其他安全加固措施不匹配，仅仅改变服务运行端口并不能避免因密码较弱或未能及时更新安全而被入侵。

更严重的是，改变服务运行端口后，失去了网络运维部门设置的防火墙的保护，成为外网被入侵后入侵内部服务器的跳板。

对于服务提供商来说，改变端口可以有效避免大量扫描，但不能造成安全的假象。密码使用等系统安全策略不应减少，应及时进行系统和应用安全维护、IP访问规则维护等安全加固措施。

对于网络运维部门来说，当22或3389等远程访问端口被“一刀切”地禁止时，也需要重新考虑潜在的安全隐患，即用户为了从网络外部绕过防火墙而被迫更改访问端口，使服务失去防火墙保护。在条件允许的情况下，提供用户定义的外部可访问性可能是一个很好的折衷方案。通过端口扫描检查内部网安全性时，也应考虑非标准端口。

本文分析了互联网上服务在非默认端口上运行的现象，并从服务提供商、网络运维部门和攻击者的角度对其安全影响进行了分析和探讨。结合对校园网上10万个IP地址的主动扫描和6个月的NetFlow数据分析，显示超过40%的FTP、MSSQLServer等可能被弱密码炸开的协议使用非默认端口。非默认端口服务的弱密码比例甚至高于默认端口。在监控的互联网端口扫描活动中，常见的单个非默认端口(如9999、2433)的次数已超过4000万次。非默认端口网络服务的安全风险不容低估，网络管理者应予以重视。

山东大学副校长张永兵:信息部不应该是单枪匹马的部门

华南理工大学党委副书记刘启珍:首席信息官的设立将推动信息化的战略布局

武汉理工大学党委副书记王干坤:信息化工作的顶层设计和协调作用至关重要|封面报道