日志管理第四部分：如何防止黑客通过端口扫描进行网络攻击？

我们都知道公司网络中开放的端口越多，遭受网络攻击的可能性就越大，就越容易发生数据泄露事件。

在本系列前几篇文章中，我们了解到了如何使用网络设备日志来检测网络中的安全隐患和危险操作。在最后这篇博客中，我们将讨论与开放端口相关的网络安全隐患。

网络中的端口

据统计，总共有65,535个TCP和UDP端口号，其中1,024个是标准端口号或“知名”端口号。IANA（互联网号码分配局）为每个端口分配了特定的Internet服务。当需要访问计算机上的服务时，会向关联的端口发送连接请求。

端口的三种状态：打开、关闭和阻塞。根据端口的使用状态，下面是计算机响应不同的端口的连接请求：

端口已打开：允许请求建立连接。

端口已关闭：该端口正在使用中，无法连接。

端口被阻止：未发出响应。

什么是端口扫描攻击？

端口扫描是一种攻击方式，攻击者将请求发送到目标服务器或工作站的IP地址，以发现打开的端口，并利用分配的服务中的漏洞进行攻击。

端口扫描攻击通常是重大网络攻击的一部分。攻击者使用端口扫描工具执行ping扫描、SYN扫描、FTP退回扫描等。由于使用了TCP标志，因此大多数此类活动事件都不会被设备和防火墙记录下来；这使得端口扫描攻击更加难以被检测到。WannaCry、NotPetya、Mirai、ADB.Miner和PyRoMine等都是通过占用端口的方式在全球范围进行勒索软件攻击。

以下是一些最常用的端口：

端口号 分配的服务 漏洞利用
21（TCP） 文件传输协议（FTP） 为FTP注册的TCP端口可能被用来窃取密码、建立远程会话、复制文件等。已知特洛伊木马病毒会使用此端口进行后门攻击。
23 远程登录 Telnet是最古老的Internet协议之一，也是使用最多的端口。但此服务具有多个漏洞，这些漏洞使攻击者可以远程访问系统、取得完全的系统控制、访问保存的管理员凭据、执行DoS攻击等。
25（TCP） 简单邮件传输协议（SMTP） SMTP可用于建立垃圾邮件中继服务器，释放大量邮件蠕虫，将系统转换为恶意代理最终导致应用程序崩溃。
53（TCP，UDP） 域名解析 作为网络的重要组成部分，此端口无法关闭。但由于该端口上的流量巨大，因此也很少受到监视。而黑客在木马攻击中趁此弱点使用端口53作为特洛伊木马攻击出口。通过此端口进行其他攻击，如防火墙绕过，服务器崩溃和DoS攻击。
80（TCP） 超文本传输​​协议（HTTP） HTTP是用于网络流量的最广泛使用的协议。黑客使用此端口已进行了多次木马、蠕虫和后门攻击。
1433（TCP） SQL服务 端口1433是受攻击最多的端口之一，这些黑客试图强行破解服务密码并建立对远程访问的完全控制。

查找已打开的端口

解决端口漏洞攻击的最直接方法就是找到这些打开的端口并将其阻止。攻击者通常会利用端口扫描工具评估目标网络的脆弱性。

除必须要开放的端口外，建议关闭系统的其他端口。漏洞扫描程序可以查询和收集已安装软件、证书以及其他信息的数据，帮助您查找已打开的端口，记录相关数据并观察这些端口活动。

此外，应定期执行端口侦听和端口扫描，管理员应随时监视其网络中最易受攻击的端口。

ManageEngine EventLog Analyzer可以帮助您有效地分析端口漏洞扫描数据并将其合并在单个仪表板上。借助产品内部大量的预定义报告，它可以让您的网络系统化和可视化。它支持来自Nessus、Qualys、OpenVas和NMAP等漏洞扫描程序的日志数据，利用日志中的端口相关信息帮助您监视网络流量中基于端口的可疑活动。