浅析网络端口及端口防御
大纲:
1.端口是什么?
2.端口与网络协议
3.端口与服务项&&端口防御
4.小技巧
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1.端口是什么?
首先声明,本处所指的端口属于网络端口。
端口可以认为是设备与外界通讯交流的出口,分为硬件、软件、网络端口
在通信过程中,主机与主机之间的数据传输,是通过端口进行的,比如说,我们访问互联网上的一个网站,我们的浏览器就会通过端口80(http)或者是443(https),对互联网上的主机进行访问请求,一旦访问请求通过后(tcp三次握手成功),就能够访问到网站的页面了。
有关端口的详细解释,请看百科
2.端口与网络协议
网络协议就是数据传输过程中遵循的一种公认的规则(标准),打个比方,两个主机间在讲话(数据传输),A主机在讲中文(采用TCP协议发送数据包),B在讲英文(采用UDP协议发送数据包),就会造成通信故障,所以,数据的传输一定要遵循一种网络协议
有关网络协议的详细解释,请看百科
那么知道网络协议有什么用呢?比如说,你想屏蔽telnet(端口23),如果你只是设置了屏蔽UDP协议的23端口,那么将无效,因为telnet是TCP协议的。所以,要想达到指定的功能,仅仅知道端口是不够的,还需要知道网络协议。
小技巧,实在不知道属于哪个协议的话 ,部分网络防火墙可以设置协议“任何”,即完全屏蔽这个端口,不管哪种协议
3.端口与服务项&&端口防御
在端口中,端口数的范围是从0 到65535(2^16-1),其中从0到1023号端口是固定留给某项服务的,这类端口被称为周知端口。
从1024到49151号,则是分配给用户进程或应用程序的,这些进程主要是用户选择安装的一些应用程序,这类端口被称为注册端口。
从49152到65535号,则是动态端口,它并没有指定分配给哪项具体的服务,即每个进程都有机会申请到这些端口。当一个进程是申请动态端口时候,也许它这一次分配到的端口和下一次分配到的端口是不一样的。
端口作为主机间的通信开关,防御端口是特别必要的。一个骇客想要入侵一台主机,其极有可能会做的是:扫描网络发现主机->如果主机存活,则扫描端口->利用开放端口进行突破,然后实现入侵
那么,如果关闭一些不必要但容易被骇客利用的端口,将可以提高主机的安全性。比如说,在前段时间,Wanna Cry勒索病毒爆发,如果你的主机关闭了445端口,那么就可以逃过一劫了。(当然,要是你下载病毒下来双击运行,这并不能保证你的机子安全)
关闭不必要的端口,可以提高安全性,但前提是,你要知道这个端口对应什么服务,在这里,我列举出2个著名端口及对应的服务
21端口,它对应的是FTP服务(File Transfer Protocol),它的作用是实现两台计算机之间的文件传输,如果你的计算机不需要架设ftp服务器提供资料给别人下载的话,可以通过关闭此端口,以免被骇客利用。
23端口,它对应的是采用TCP协议的telnet服务,用于远程登陆,开放此端口可能被骇客远程登陆。
那么,如果不知道端口的作用的时候,该怎么办?已经周知端口和固定服务是对应的,我们可以通过禁用服务项来达到屏蔽端口的效果。而服务项,因为有具体的文字描述,所以通过禁用服务项的方式,往往能方便很多。
查看服务项的方法:1.打开控制面板-点击管理工具(如果没看到,请点击左上角的小三角,选择小图标)-点击服务
2.运行-输入services.msc,确认
然后你可以看到这样一个界面:
在“服务”界面,我们可以看到很多服务,以及他们的功能描述和启动方式和启动状态
通过禁用不需要的服务,就能快速达到屏蔽端口的作用了。
当然,如果你执意要直接屏蔽端口的话,我推荐你去搜索端口大全,这里给个链接
注意,无论是禁用服务项还是屏蔽端口,首先都要对其进行了解,万一关闭了不能关的端口(80)或禁用了RPC服务,可能就会造成计算机出故障
这里有一个高效率屏蔽端口的小技巧,通过网络嗅探工具,对自己主机进行嗅探,嗅探出开放端口,然后再根据需要,关闭不必要的端口,可以方便很多
关闭端口的方法(仅windows系统):1.打开windows防火墙,点击高级设置,点击入站规则(入站指外界访问你的计算机),新建规则,选择端口、协议,选中阻止连接,然后启用规则即可(前提是,你的windows防火墙是启动的)
2.在ip安全策略中设置,设置方式类似1,不太了解可以使用向导功能
3.关闭服务项(除了通过上图中的“服务”界面进行操作以外,也可以通过直接写入注册表进行完成,具体操作为:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务名称\ ,将start的值设置为4即可(start值的含义:“1”代表自动启动,“2”代表延时自动启动,“3”代表手动启动,“4”代表禁用))
(注意,服务名称并不是“服务”界面上的名称,“服务”界面上的名称是显示名称,要想知道其服务名称,需要双击服务项或者是右键-属性,这样,就会显示其服务名称)
4.小技巧
1.windows防火墙新建规则时,选用预设规则,这样的话,可以一次性屏蔽多个端口和关闭不需要的功能
2.关闭sever服务项,局域网的共享服务都依赖此服务,如果不需要使用局域网共享文件,可关闭此服务,减少局域网入侵的风险
3.打开控制面板-程序与功能-启用或关闭windows功能,在此处关闭不需要的服务,(这里比“服务”界面更简洁,可以快捷关闭不需要的服务)
4.阻止icmp包入站,即icmp协议的任何端口都做入站屏蔽,防止他人通过ping命令确认你的主机是否存活(icmp协议分为icmpv4和icmpv6,分别对应ipv4和ipv6,我们现在使用的一般是ipv4)
5.在网络适配器中,减少多余协议的使用,即仅保留ipv4协议、qos数据包计划程序、链路层拓补发现映射器I/O驱动程序