1、非默认端口网络服务的安全风险不容忽视 孙强 周育玲 上海交通大学网络信息中心 端口扫描现象在互联网上普遍存在, 既可以被网络维护人员用于验证安全策略, 也可能被攻击者用于识别获取指定主机的端口开放服务情况, 为下一步尝试弱口令破解或利用服务漏洞入侵做准备。本文针对由端口扫描引发的网络服务运行在非标准端口现象, 分析了这一现象产生的原因, 从网络安全角度讨论了服务运行在非标准端口时带来的可能利弊, 并进行实验验证, 在此基础上对网络运维部门防火墙设置以及服务提供者提出建议。非默认端口上的服务安全状况近十几年来, 相关技术快速发展, 利用蠕虫病毒传播进行增强扫描能力, 新的端口扫描工具如 ZMap
2、 与 Masscan 等不断涌现, 使得端口扫描无处不在, 利用大量受控主机对互联网相当范围的 IP 地址进行扫描, 不再受限于特定端口。因此有必要分析运行在非默认端口上服务的脆弱性和攻击风险, 尤其是和安全联系紧密的服务, 例如 SSH/RDP 等远程登录服务及 MS SQLServer/My SQL 等数据库服务运行在非默认端口上的情况。更改服务运行端口后, 确实可以躲避仅仅扫描标准端口的情况, 但是考虑到当前端口扫描并不仅限在标准端口范围, 因此仅仅延缓了端口扫描, 尤其是绕过网络运维部门设置的防火墙之后, 服务直接暴露在外网上, 更需要保障服务本身的安全维护。为分析现实互联网环境下非默
3、认端口服务的安全状况, 本文收集上海交通大学相关数据, 进行实验验证。首先通过主动扫描方式, 对上海交通大学校园网 IP地址全部 TCP 端口 (1-65535) 进行扫描, 识别开放端口运行的服务, 并对SSH、RDP 等协议弱口令进行检测;其次, 根据 2017 年 1 至 6 月期间的 Net Flow数据, 分析互联网上攻击者的端口扫描行为。表 1 常见服务运行在非默认端口比例情况 下载原表 表 2 常见安全敏感服务非默认端口列表 下载原表 首先考察了常见安全敏感服务运行在非默认端口所占比例的情况, 结果见表1。从表中可知, 服务运行在非默认端口的情况普遍存在, 无论是特定安全相关服务
4、还是整体网络服务, 都有相当比例运行在非默认端口。随后统计这些服务常见的运行端口用于后续实验, 采用如下规则:1.在该端口运行服务数量大于 2;2.与默认端口数值有部分相似性;3.所在服务器不局限在同一个 C 类网段, 结果见表 2。实验共扫描到可识别服务 33066 个, 存在弱口令 974 个, 其中运行在非默认端口的服务中存在弱口令 101 个, 在常见非默认端口列表中的服务有 74 个。可知更改服务运行端口本身并不能阻止系统被入侵, 反而暴露在了防火墙之外, 受到外部 IP 地址过来的端口扫描。表 3 默认端口与常见非默认端口扫描对比 (源 IP 数与扫描次数) 下载原表 接下来进行互
5、联网扫描流量分析, 对比安全敏感服务默认端口与常见非默认端口被扫描次数, 根据源地址数 (攻击者 IP 数量和扫描次数两个指标) 进行统计, 结果见表 3。其中 rdp 的默认端口 3389 被防火墙全面禁止, 因此得到的记录数量近似为 0。对被扫描端口分别根据源地址数和扫描次数进行排序, 常见非默认扫描端口有80%以上出现在前 8192 个, 最高频出现的端口部分信息见表 4。由结果可知, 常见非默认端口列表占有相当比例, 也被重点扫描了。进一步考察任意端口被扫描的情况, 针对默认端口、常见非默认端口以及其他任意端口三种情况, 分别根据目标 IP 地址数量以及扫描次数进行统计被扫描次数及其所
6、占比例, 见表 5, 可见约有 90%左右的扫描是在任意端口, 因此即使更改到任意端口也存在被扫描的可能。攻击者了解到服务提供者更改服务运行端口后有了扫描非默认端口的需求。随着计算机性能与网络带宽的进步、以及相应端口扫描技术的改进, 对一定 IP 范围内更大范围端口列表甚至全部端口进行扫描所需的时间逐渐减少到可以接受的程度。实验结果分析从分析与实验结果可知, 如果没有配合其他安全加固措施, 仅仅更改服务运行端口不能避免因为弱口令或没有及时安全更新而被入侵。更为严重的是, 更改服务运行端口后失去了网络运维部门所设置防火墙的保护, 被入侵后进而成为外部网络入侵内部服务器的跳板。表 5 各类型端口在
7、最频繁被扫描端口中被扫描的分布情况 下载原表 对于服务提供者, 更改端口能有效躲避大量扫描, 但不能因此产生安全无虞的假象, 不应降低密码使用和其他系统安全策略, 应及时进行系统与应用安全维护, 以及 IP 访问规则维护等安全加固措施。对于网络运维部门, 也需要重新考虑“一刀切”方式封禁 22 或 3389 等远程访问端口时可能带来的安全隐患, 即用户为了从外边网络绕过防火墙进行访问而被迫更改访问端口, 使得该服务失去防火墙保护。在条件允许时提供用户自定义的外部可访问范围或许是较为妥当的折衷。对于通过端口扫描检验内网安全时, 也需要将非标准端口考虑进来。本文分析了互联网上服务运行在非默认端口上的现象, 从服务提供者、网络运维部门和攻击者的角度对其安全影响进行了分析和探讨, 结合校园网 10 万个IP 地址的主动扫描和 6 个月的 Net Flow 数据分析表明, 超过 40%的 FTP、MS SQLServer 等可能被弱口令爆破的协议使用了非默认端口, 在非默认端口上服务的弱口令比例甚至高于默认端口, 而在监测到的互联网端口扫描活动中, 针对常见单个非默认端口 (如 9999, 2433) 的次数已超过 4 千万次。非默认端口网络服务的安全风险不容小觑, 应引起网络管理者的重视。
