常被攻击的四大类共计26小类高危端口，慎开谨防，被坑了这么多次该长记性了！

admin管理员组

文章数量:1530085

在渗透测试或黑客攻击的早期阶段会通过自动化工具来收集目标环境的信息，尤其是执行网络发现扫描来识别系统开放的高危端口。系统中的高危端口及其防护是网络安全管理的重要组成部分。快来看看以下26类端口是否有开放的必要吧！

1. 四类高危端口

1.1. 远程管理服务端口（8类）

• 端口20，21（FTP）

  • 用途：文件传输协议（FTP）用于在客户端和服务器之间传输文件。
  • 风险：FTP传输的数据未加密，容易被窃听，默认配置下还可能存在弱口令。

• 端口22（SSH）

  • 用途： SSH协议用于远程登录和安全数据传输。
  • 风险：如果配置不当或使用弱口令，可能会被暴力破解，虽然较为安全，但仍需加强认证机制以防止暴力破解，建议使用SSHv2。（可以通过命令ssh -Q protocol-version来查询当前SSH协议版本）
    

• 端口23（Telnet）

  • 用途： 远程登录。
  • 风险：Telnet传输的数据未加密，容易被窃听，默认配置下还可能存在弱口令。

• 端口69（TFTP）

  • 用途： 简单文件传输协议（TFTP）主要用于在网络上传输文件。它通常用于网络设备配置文件的备份和恢复，以及启动映像的传输。
  • 风险：TFTP 没有内置的加密或认证机制，容易遭受中间人攻击和未经授权的文件访问。

• 端口3389（RDP）

  • 用途： 远程桌面协议（RDP）用于远程访问Windows桌面。
  • 风险：如果未正确配置，容易被恶意利用，常被用于远程控制攻击。

• 端口5900-5902（VNC）

  • 用途： VNC（Virtual Network Computing），虚拟网络计算，是一种远程桌面访问协议，让用户能够通过网络连接看到并操控另一台远程计算机的界面。
  • 风险：隐私泄露、恶意软件攻击。

• 端口512-514（Rlogin）

  • 用途： Rlogin是远程登录协议，它允许授权用户进入网络中的其它UNIX机器并且就像用户在现场操作一样，它是Telnet的一个分支，相比Telnet更安全，Rlogin默认使用SSH加密通道。
  • 风险：隐私泄露、恶意软件攻击。

• 端口873（Rsync）

  • 用途： Rsync（Remote Sync）是一种网络文件同步服务，用于实时或增量地在两台计算机之间同步文件。其主要用途是备份、版本控制和数据迁移。
  • 风险：数据丢失或不一致，尤其是在网络不稳定时误操作。

1.2. 局域网服务端口（7类）

• 端口53（DNS）
  • 用途：域名系统（DNS）用于将域名解析为IP地址。
  • 风险：DNS服务器可能受到缓存中毒、放大攻击等。
• 端口111，2049（NFS）
  • 用途：NFS（Network File System），网络文件系统，是一种标准的网络文件共享协议，让网络中的设备可以像本地硬盘一样访问和存储数据。
  • 风险：未加密的数据传输可能会泄露敏感信息，同时服务器配置不当可能导致权限滥用或数据损坏。
• 端口135（RPC）
  • 用途：RPC（Remote Procedure Call），远程过程调用，是一种网络通信机制，它允许程序调用其他进程的函数就像它们在同一台机器上运行一样。
  • 风险：配置不当可能导致拒绝服务攻击、未授权访问。
• 端口137-139（NetBIOS）
  • 用途：网络基本输入输出系统（NetBIOS）主要用于文件共享和打印服务。
  • 风险：攻击者可以利用这些端口进行木马病毒传播、窃取机密信息等攻击。
• 端口161（SNMP）
  • 用途：简单网络管理协议（SNMP）用于监控和管理网络设备，如路由器、交换机、服务器等。
  • 风险：如果 SNMP 配置不当，攻击者可能未经授权访问网络设备，甚至受到DoS攻击。
• 端口389（LDAP）
  • 用途：轻量级目录访问协议（LDAP）一种用于访问和维护分布式目录信息服务的协议。它常用于企业环境中，提供身份验证、访问控制、目录查询和数据管理等功能。
  • 风险：如果 LDAP 服务器配置不当，可能导致敏感信息泄露、拒绝服务攻击。
• 端口445（SMB）
  • 用途：SMB（Server Message Block）共享文件系统协议，主要用于Windows网络环境中，允许用户访问和共享文件夹，打印服务等。
  • 风险：权限控制不足可能导致数据泄露或未经授权的访问。

1.3. 互联网服务端口（4类）

• 端口25（SMTP）
  • 用途：简单邮件传输协议（SMTP）用于发送电子邮件。
  • 风险：未正确配置可能被用来发送垃圾邮件或进行邮件伪造。
• 端口110（POP3）
  • 用途：邮局协议版本3（POP3）用于接收电子邮件。
  • 风险：数据未加密，容易被窃听，默认配置下可能存在弱口令。
• 端口143（IMAP）
  • 用途：Internet消息访问协议（IMAP）用于接收电子邮件。
  • 风险：数据未加密，容易被窃听，默认配置下可能存在弱口令。
• 端口80，8080（HTTP）
  • 用途：超文本传输协议（HTTP）用于Web浏览。
  • 风险：未加密的数据传输易被窃听，Web服务器可能存在漏洞，会被利用。建议使用安全协议HTTPS。

1.4. 数据库服务端口（7类）

数据库默认开放的端口容易受到SQL注入等攻击，各数据库默认端口如下：

• SQL Server：1433-1435
• Oracle：1521-1530
• MySQL：3306
• Sybase、DB2：5000-50050
• PostgreSQL：5432
• Redis：6379
• MongoDB：27017-27018

2. 防护措施

2.1. 关闭不必要的端口

使用命令netstat -an查看开放的端口，并使用 iptables 或 firewalld 工具禁用不必要的端口。例如，使用 iptables 防火墙封禁135端口的命令如下：

iptables -A INPUT -p tcp --dport 135 -j DROP

2.2. 使用安全的替代方案

替代不安全的服务，如用SFTP替代FTP，用SSHv2替代Telnet，用IMAPS/POP3S替代未加密的IMAP/POP3等。

2.3. 使用防火墙和入侵检测系统

配置防火墙规则，限制对高危端口的访问，并部署IDS和IPS来监控和防御异常流量。

2.4. 加强认证机制

对于必须开放的端口，如SSH，应使用强认证机制（如多因素认证），避免使用默认密码，并定期更换密码。

---

本文标签： 记性端口小类