劉妍婕

摘 要：前段時間在全球范圍內(nèi)爆發(fā)而產(chǎn)生巨大影響的比特幣勒索病毒是抓住了Windows操作系統(tǒng)存在的破綻的445端口進(jìn)行加工導(dǎo)致的。本文主要分析了端口的作用以及在入侵中扮演的角色，并且介紹了雞肋端口暴露風(fēng)險規(guī)避的方式：定期掃描；充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源；在骨干節(jié)點上配置防火墻；過濾掉不必要的服務(wù)和端口；用足夠的機(jī)器承受黑客攻擊；過濾所有RFC1918 IP地址；檢查訪問者來源；限制SYN/ICMP流量。

關(guān)鍵詞：比特幣勒索病毒；端口暴露；如何降低風(fēng)險

一、端口的闡述與暴露的利弊

1.端口是什么

計算機(jī)端口是從英文port義譯來的，可以看做是計算機(jī)與外界通訊交流的出口。端口號大致可以歸為三大類：公認(rèn)端口（Well Known Ports）；注冊端口（Registered Ports）；動態(tài)或私有端口（Dynamic and/or Private Ports）

2.端口在入侵中的作用

曾經(jīng)看過一篇文章，作者將服務(wù)器形象的比作一座城池，而把端口比作通向各種不同宮殿的大門，如果忽略掉一些細(xì)枝末節(jié)的東西，我認(rèn)為這是一個非常貼切的比喻。攻城者要進(jìn)入并占領(lǐng)這座城池，勢必要先攻陷大門，那么對于攻城者來說，弄清楚這座城池到底有幾扇門比較容易攻陷，這些門都由哪種類型的士兵把守，而這些把守者的弱點在哪就顯得尤其重要。

攻城者通常會先叫探子對目標(biāo)城池的大門進(jìn)行踩點，而入侵中的探子就是我們通常說的掃描器。入侵者可以通過對目標(biāo)端口的掃描，來確定哪些“大門”是開放的，然后從開放的“大門”，了解到目標(biāo)主機(jī)大致用了哪些協(xié)議，提供了哪些服務(wù)，從而推測出可能存在的破綻。而一旦入侵者攻陷了“城池”即獲得了系統(tǒng)或管理員的權(quán)限后，他往往還會為自己日后的長期訪問做好準(zhǔn)備，即我們常說的“種植后門” ，而在這一切都做好之后，他往往會“毀尸滅跡”。

3.端口攻擊及端口暴露的利與弊

端口攻擊就是用非正常的方式對這些端口進(jìn)行非法訪問。有些人認(rèn)為端口暴露利大于弊，因為就像前文所說端口就好比一個大門，開了就方便和世界對話，也方便接收外界的信息，更加利于自身的發(fā)展。而且，特殊的計算機(jī)，比如用作服務(wù)器使用的計算機(jī)，是肯定要打開端口的。然而，在我看來，端口暴露的弊大于利，因為普通用戶涉及不到使用端口，而且端口暴露會給計算機(jī)帶來很大的安全隱患。

前段時間，比特幣勒索病毒使全球都陷入了前所未有的恐慌中。在短短的48小時內(nèi)受害者的數(shù)目就累計達(dá)到了達(dá)到20多萬人。與此同時，比特博勒索病毒還不甘于現(xiàn)狀，不斷擴(kuò)散蔓延并創(chuàng)下了“可觀”的“成績”。512比特幣勒索病毒對互聯(lián)網(wǎng)殺傷力范圍之廣，時間之久。真可謂“史無前例”。通過初步考察，這次的比特幣勒索病毒就是利用了以445端口為傳播媒介的SMB協(xié)議破綻。類似的例子隨處可見，正是因為1024動態(tài)端口的暴露才有的著名的YAI木馬病毒。而1080端口的暴露導(dǎo)致了Worm.Bugbear.B（怪物二）和Worm.Novarg.B（SCO炸彈變種B）的產(chǎn)生。4000端口的暴露也給Worm_Witty.A（維迪）蠕蟲病毒和特洛伊木馬病毒提供了有利的條件。因此，綜上所述，我認(rèn)為端口暴露的弊大于利。

4.端口暴露是怎么造成的

一般黑客要攻擊目標(biāo)主機(jī)，首先就是通過掃描器掃描目標(biāo)主機(jī)的端口以便獲取相應(yīng)的信息實現(xiàn)對端口的入侵。可以將對端口利用的黑客程序簡單的分為兩種：一種是端口偵聽，一種是端口掃描。"端口偵聽"就是利用已經(jīng)編寫好的黑客程序?qū)δ繕?biāo)“城池”的“大門”進(jìn)行監(jiān)視?？梢酝ㄟ^監(jiān)視發(fā)現(xiàn)目標(biāo)“城池”上有哪些“大門”是空閑、有漏洞的以便利用。即可以通過對目標(biāo)主機(jī)端口的掃描監(jiān)視偵聽到別人有效的信息。"端口掃描"是通過目標(biāo)系統(tǒng)的TCP協(xié)議或UDP協(xié)議端口進(jìn)行入侵的。通過端口掃描可以確定當(dāng)前運行服務(wù)器，以便獲取目標(biāo)主機(jī)的有效信息。

這兩種技術(shù)可以讓黑客在攻擊時有效的定位目標(biāo)，獲取有利信息。當(dāng)信息在網(wǎng)絡(luò)中傳播時黑客可以利用某種工具，用設(shè)置成偵聽模式的網(wǎng)絡(luò)接口捕獲到網(wǎng)絡(luò)中實時傳播的信息，然后進(jìn)行攻擊。正因為端口偵聽可以在任意一種網(wǎng)絡(luò)位置模式下使用，所以黑客一般都是用這種技術(shù)來攻擊目標(biāo)服務(wù)器。

5.端口攻擊的風(fēng)險

獲悉某個端口在目標(biāo)應(yīng)用開放后，黑客就可以通過該應(yīng)用的逆向代碼搜索十六進(jìn)制的端口號，對關(guān)鍵代碼進(jìn)行準(zhǔn)確定位，挖掘出潛在的漏洞，為之后探索攻擊面提供有力條件。而且黑客往往會隱藏IP，然后再進(jìn)行“踩點掃描”。

就像WooYun-2015-94537，黑客通過UDP開放的65502端口，用上述方法定位到了手機(jī)的敏感信息，并且通過手機(jī)助手控制了手機(jī)。我們可以發(fā)現(xiàn)，即使黑客未被授權(quán)，但他仍然可以通過這種方法完完全全的侵入甚至控制手機(jī)。所以端口攻擊不僅僅會導(dǎo)致手機(jī)里面的敏感信息的泄露，它甚至可以讓黑客完全的控制住你的手機(jī)。

二、怎么預(yù)防端口攻擊

一是對網(wǎng)絡(luò)主節(jié)點進(jìn)行定期掃描。我們可以用掃描器對網(wǎng)絡(luò)主節(jié)點開放的端口進(jìn)行定期掃描，然后對這些主節(jié)點的端口進(jìn)行監(jiān)視。定期掃描可以方便我們了解自己的主機(jī)，也可以對可能存在或者新出現(xiàn)的漏洞進(jìn)行及時的處理。而網(wǎng)絡(luò)主節(jié)點往往最容易被黑客利用，因此，對網(wǎng)絡(luò)主節(jié)點的定期掃描就顯的尤其重要。

二是在骨干節(jié)點配置防火墻。防火墻本身能抵御一些常見的攻擊，因為防火墻能檢測到自己是否被掃描，并自動阻斷掃描企圖，并會采取一些措施將攻擊引向不太重要的計算機(jī)，從而保護(hù)真正的主機(jī)，所以在骨干節(jié)點配置防火墻是非常必要的。

三是用足夠的機(jī)器承受黑客攻擊。這個方法較為理想化，實施起來比較困難。打個比方，如果守護(hù)“城池”的兵力足夠的多，那么攻城者在攻陷時自己的兵力也會逐漸被消耗，或者還沒等“城池”被攻陷，他們自己已經(jīng)無力再繼續(xù)下去了。但是因為需要的資金比較大，目前很多中小企業(yè)根本支付不起。

四是充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源。可以用路由器、防火墻等網(wǎng)絡(luò)設(shè)備將網(wǎng)絡(luò)保護(hù)起來。當(dāng)網(wǎng)絡(luò)被攻擊時，路由器首當(dāng)其沖，所以在有路由器的情況下，其他機(jī)器都是暫時安全的。重啟后路由器仍然可以正常使用，而且重啟時間很短，基本上不會有什么損失。尤其是當(dāng)負(fù)載均衡設(shè)備投入使用后，一臺路由器前面倒下后面一臺路由器就站起來了?？扇羰瞧渌W(wǎng)絡(luò)設(shè)備淪陷，損失會非常嚴(yán)重，一個是其他網(wǎng)絡(luò)設(shè)備中的重要數(shù)據(jù)不可再生，一個是其他網(wǎng)絡(luò)設(shè)備重啟的時間很長。

五是過濾不必要的服務(wù)和端口。將不必要的服務(wù)和端口過濾掉，就像上文所說，黑客會披上假的IP地址進(jìn)行踩點掃描，如果一開始就把假的IP過濾掉了，就等于將黑客攻擊扼殺在了搖籃中。所以說關(guān)閉其他端口而只開放服務(wù)端口是一個非常好的

辦法。

六是檢查訪問者的來源。利用反向路由器查詢來查看訪問者IP地址的來源，如果來源存在安全隱患，反向路由器就會將其屏蔽。因此，利用反向路由器查詢可大大降低黑客利用假IP地址來入侵服務(wù)器的可能，也便于發(fā)現(xiàn)黑客的攻擊并攔截。

七是過濾所有RFC1918 IP地址。黑客往往會先入侵“城池”內(nèi)部的一臺電腦，利用這臺電腦進(jìn)行攻擊，或者直接偽造內(nèi)部網(wǎng)的IP地址再對目標(biāo)主機(jī)進(jìn)行攻擊。所以過濾掉RFC1918 IP地址是非常必要的。

八是限制SYN/ICMP流量?？梢酝ㄟ^限制SYN/ICMP的最大流量來控制其封包所能占有的最高頻寬。這樣，當(dāng)大量的超出了限制流量的情況出現(xiàn)時，管理員就可以知道是黑客入侵。早期最好的防范DDOS的方法是限制SYN/ICMP流量，雖然效果不太顯著，但仍然能夠起到一定的作用。

參考文獻(xiàn)：

[1]吳聞.《構(gòu)建網(wǎng)絡(luò)安全體系的必要措施》.機(jī)械工業(yè)出版社，2003.9.

[2]鮮明，包衛(wèi)東，王永杰.《網(wǎng)絡(luò)攻防》.國防科技大學(xué)出版社，2006.3.

[3]趙安軍，曾應(yīng)員，除邦海.《網(wǎng)絡(luò)安全技術(shù)與應(yīng)用》.人民郵電出版社，2007.11.

[4]蔣建春，馮登國.《網(wǎng)絡(luò)入侵檢測原理與技術(shù)》，國防工業(yè)出版社，2005.5

[5]余也魯.《教您對付DDoS攻擊》.《網(wǎng)管員世界》，2004.