文/孫強(qiáng) 周育玲

端口掃描現(xiàn)象在互聯(lián)網(wǎng)上普遍存在，既可以被網(wǎng)絡(luò)維護(hù)人員用于驗(yàn)證安全策略，也可能被攻擊者用于識(shí)別獲取指定主機(jī)的端口開放服務(wù)情況，為下一步嘗試弱口令破解或利用服務(wù)漏洞入侵做準(zhǔn)備。本文針對(duì)由端口掃描引發(fā)的網(wǎng)絡(luò)服務(wù)運(yùn)行在非標(biāo)準(zhǔn)端口現(xiàn)象，分析了這一現(xiàn)象產(chǎn)生的原因，從網(wǎng)絡(luò)安全角度討論了服務(wù)運(yùn)行在非標(biāo)準(zhǔn)端口時(shí)帶來的可能利弊，并進(jìn)行實(shí)驗(yàn)驗(yàn)證，在此基礎(chǔ)上對(duì)網(wǎng)絡(luò)運(yùn)維部門防火墻設(shè)置以及服務(wù)提供者提出建議。

非默認(rèn)端口上的服務(wù)安全狀況

近十幾年來，相關(guān)技術(shù)快速發(fā)展，利用蠕蟲病毒傳播進(jìn)行增強(qiáng)掃描能力，新的端口掃描工具如ZMap與Masscan等不斷涌現(xiàn)，使得端口掃描無處不在，利用大量受控主機(jī)對(duì)互聯(lián)網(wǎng)相當(dāng)范圍的IP地址進(jìn)行掃描，不再受限于特定端口。因此有必要分析運(yùn)行在非默認(rèn)端口上服務(wù)的脆弱性和攻擊風(fēng)險(xiǎn)，尤其是和安全聯(lián)系緊密的服務(wù)，例如SSH/RDP等遠(yuǎn)程登錄服務(wù)及MS SQLServer/MySQL等數(shù)據(jù)庫服務(wù)運(yùn)行在非默認(rèn)端口上的情況。

更改服務(wù)運(yùn)行端口后，確實(shí)可以躲避僅僅掃描標(biāo)準(zhǔn)端口的情況，但是考慮到當(dāng)前端口掃描并不僅限在標(biāo)準(zhǔn)端口范圍，因此僅僅延緩了端口掃描，尤其是繞過網(wǎng)絡(luò)運(yùn)維部門設(shè)置的防火墻之后，服務(wù)直接暴露在外網(wǎng)上，更需要保障服務(wù)本身的安全維護(hù)。

為分析現(xiàn)實(shí)互聯(lián)網(wǎng)環(huán)境下非默認(rèn)端口服務(wù)的安全狀況，本文收集上海交通大學(xué)相關(guān)數(shù)據(jù)，進(jìn)行實(shí)驗(yàn)驗(yàn)證。首先通過主動(dòng)掃描方式，對(duì)上海交通大學(xué)校園網(wǎng)IP地址全部TCP端口（1-65535）進(jìn)行掃描，識(shí)別開放端口運(yùn)行的服務(wù)，并對(duì)SSH、RDP等協(xié)議弱口令進(jìn)行檢測；其次，根據(jù)2017年1至6月期間的NetFlow數(shù)據(jù)，分析互聯(lián)網(wǎng)上攻擊者的端口掃描行為。

表1 常見服務(wù)運(yùn)行在非默認(rèn)端口比例情況

表2 常見安全敏感服務(wù)非默認(rèn)端口列表

首先考察了常見安全敏感服務(wù)運(yùn)行在非默認(rèn)端口所占比例的情況，結(jié)果見表1。從表中可知，服務(wù)運(yùn)行在非默認(rèn)端口的情況普遍存在，無論是特定安全相關(guān)服務(wù)還是整體網(wǎng)絡(luò)服務(wù)，都有相當(dāng)比例運(yùn)行在非默認(rèn)端口。

隨后統(tǒng)計(jì)這些服務(wù)常見的運(yùn)行端口用于后續(xù)實(shí)驗(yàn)，采用如下規(guī)則：1.在該端口運(yùn)行服務(wù)數(shù)量大于2 ；2.與默認(rèn)端口數(shù)值有部分相似性；3.所在服務(wù)器不局限在同一個(gè)C類網(wǎng)段，結(jié)果見表2。

實(shí)驗(yàn)共掃描到可識(shí)別服務(wù)33066個(gè)，存在弱口令974個(gè)，其中運(yùn)行在非默認(rèn)端口的服務(wù)中存在弱口令 101個(gè)，在常見非默認(rèn)端口列表中的服務(wù)有74個(gè)?？芍姆?wù)運(yùn)行端口本身并不能阻止系統(tǒng)被入侵，反而暴露在了防火墻之外，受到外部IP地址過來的端口掃描。

表3 默認(rèn)端口與常見非默認(rèn)端口掃描對(duì)比(源IP數(shù)與掃描次數(shù))

接下來進(jìn)行互聯(lián)網(wǎng)掃描流量分析，對(duì)比安全敏感服務(wù)默認(rèn)端口與常見非默認(rèn)端口被掃描次數(shù)，根據(jù)源地址數(shù)(攻擊者IP數(shù)量和掃描次數(shù)兩個(gè)指標(biāo)）進(jìn)行統(tǒng)計(jì)，結(jié)果見表3。

其中rdp的默認(rèn)端口3389被防火墻全面禁止，因此得到的記錄數(shù)量近似為0。

對(duì)被掃描端口分別根據(jù)源地址數(shù)和掃描次數(shù)進(jìn)行排序，常見非默認(rèn)掃描端口有80%以上出現(xiàn)在前8192個(gè)，最高頻出現(xiàn)的端口部分信息見表4。

由結(jié)果可知，常見非默認(rèn)端口列表占有相當(dāng)比例，也被重點(diǎn)掃描了。

進(jìn)一步考察任意端口被掃描的情況，針對(duì)默認(rèn)端口、常見非默認(rèn)端口以及其他任意端口三種情況，分別根據(jù)目標(biāo)IP地址數(shù)量以及掃描次數(shù)進(jìn)行統(tǒng)計(jì)被掃描次數(shù)及其所占比例，見表5，可見約有90%左右的掃描是在任意端口，因此即使更改到任意端口也存在被掃描的可能。

攻擊者了解到服務(wù)提供者更改服務(wù)運(yùn)行端口后有了掃描非默認(rèn)端口的需求。隨著計(jì)算機(jī)性能與網(wǎng)絡(luò)帶寬的進(jìn)步、以及相應(yīng)端口掃描技術(shù)的改進(jìn)，對(duì)一定IP范圍內(nèi)更大范圍端口列表甚至全部端口進(jìn)行掃描所需的時(shí)間逐漸減少到可以接受的程度。

實(shí)驗(yàn)結(jié)果分析

從分析與實(shí)驗(yàn)結(jié)果可知，如果沒有配合其他安全加固措施，僅僅更改服務(wù)運(yùn)行端口不能避免因?yàn)槿蹩诹罨驔]有及時(shí)安全更新而被入侵。

更為嚴(yán)重的是，更改服務(wù)運(yùn)行端口后失去了網(wǎng)絡(luò)運(yùn)維部門所設(shè)置防火墻的保護(hù)，被入侵后進(jìn)而成為外部網(wǎng)絡(luò)入侵內(nèi)部服務(wù)器的跳板。

表4 常見非默認(rèn)端口包含在最頻繁被掃描端口中的分布

表5 各類型端口在最頻繁被掃描端口中被掃描的分布情況

對(duì)于服務(wù)提供者，更改端口能有效躲避大量掃描，但不能因此產(chǎn)生安全無虞的假象，不應(yīng)降低密碼使用和其他系統(tǒng)安全策略，應(yīng)及時(shí)進(jìn)行系統(tǒng)與應(yīng)用安全維護(hù)，以及IP訪問規(guī)則維護(hù)等安全加固措施。

對(duì)于網(wǎng)絡(luò)運(yùn)維部門，也需要重新考慮“一刀切”方式封禁22或3389等遠(yuǎn)程訪問端口時(shí)可能帶來的安全隱患，即用戶為了從外邊網(wǎng)絡(luò)繞過防火墻進(jìn)行訪問而被迫更改訪問端口，使得該服務(wù)失去防火墻保護(hù)。在條件允許時(shí)提供用戶自定義的外部可訪問范圍或許是較為妥當(dāng)?shù)恼壑?。?duì)于通過端口掃描檢驗(yàn)內(nèi)網(wǎng)安全時(shí)，也需要將非標(biāo)準(zhǔn)端口考慮進(jìn)來。

本文分析了互聯(lián)網(wǎng)上服務(wù)運(yùn)行在非默認(rèn)端口上的現(xiàn)象，從服務(wù)提供者、網(wǎng)絡(luò)運(yùn)維部門和攻擊者的角度對(duì)其安全影響進(jìn)行了分析和探討，結(jié)合校園網(wǎng)10萬個(gè)IP地址的主動(dòng)掃描和6個(gè)月的NetFlow數(shù)據(jù)分析表明，超過40%的FTP、MS SQLServer等可能被弱口令爆破的協(xié)議使用了非默認(rèn)端口，在非默認(rèn)端口上服務(wù)的弱口令比例甚至高于默認(rèn)端口，而在監(jiān)測到的互聯(lián)網(wǎng)端口掃描活動(dòng)中，針對(duì)常見單個(gè)非默認(rèn)端口（如9999，2433）的次數(shù)已超過4千萬次。非默認(rèn)端口網(wǎng)絡(luò)服務(wù)的安全風(fēng)險(xiǎn)不容小覷，應(yīng)引起網(wǎng)絡(luò)管理者的重視。