計(jì)算機(jī)端口和網(wǎng)絡(luò)安全

摘要:該文介紹了一些與網(wǎng)絡(luò)安全相關(guān)的計(jì)算機(jī)端口，并就如何通過這些端口的設(shè)置來提高計(jì)算機(jī)的網(wǎng)絡(luò)安全性能進(jìn)行了探討，使網(wǎng)絡(luò)運(yùn)行環(huán)境更安全，更可靠。

關(guān)鍵詞:端口;網(wǎng)絡(luò)安全;服務(wù);木馬;病毒

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)35-9964-03

Computer Port and Network Security

ZHANG Liang-liang

(Hefei Economy and Management Vocational School， Hefei 230041， China)

Abstract: This article describes some of the computer and network security-related ports， and on how to set these ports to improve the performance of your computer's network security was discussed， so that the network operating environment more secure， more reliable.

Key words: port; network security; services; trojan; virus

1 計(jì)算機(jī)端口概念

計(jì)算機(jī)“端口”是英文port的譯義，可以認(rèn)為是計(jì)算機(jī)與外界通訊交流的出口。其中硬件領(lǐng)域的端口又稱接口，比如，ADSL Modem、集線器、交換機(jī)、路由器用于連接其他網(wǎng)絡(luò)設(shè)備的接口，如RJ-45端口、SC端口等USB端口、串行端口等。軟件領(lǐng)域的端口一般指網(wǎng)絡(luò)中面向連接服務(wù)和無連接服務(wù)的通信協(xié)議端口，是一種抽象的軟件結(jié)構(gòu)，包括一些數(shù)據(jù)結(jié)構(gòu)和I/O(基本輸入輸出)緩沖區(qū)。比如用于瀏覽網(wǎng)頁服務(wù)的80端口，用于FTP服務(wù)的21端口等等。

在網(wǎng)絡(luò)技術(shù)中，端口(Port)有好幾種意思。集線器、交換器、路由器的端口指的是連接其他網(wǎng)絡(luò)設(shè)備的接口。我們這里所指的端口不是指物理意義上的端口，而是特指TCP/IP協(xié)議中的端口，是邏輯意義上的端口?？偠灾?，我們這里所說的端口，不是計(jì)算機(jī)硬件的I/O端口，而是軟件形式上的概念。

端口常常會(huì)被黑客利用，還會(huì)被一些木馬病毒利用對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊。主要方式有兩種，一種是掃描端口，通過已知的系統(tǒng)Bug攻入主機(jī)，另外一種是通過種植木馬，利用木馬開辟的后門進(jìn)入主機(jī)，尤其第一種方式攻擊主機(jī)的情況最多、也最普遍。因此我們需把必須利用的端口比如WWW端口80開放，其他的端口則全部關(guān)閉。

2 常用端口介紹

以下是計(jì)算機(jī)常用端口的介紹以及防止被黑客攻擊的簡要辦法。

21端口:主要用于FTP(File Transfer Protocol，文件傳輸協(xié)議)服務(wù)，F(xiàn)TP服務(wù)主要是為了在兩臺(tái)計(jì)算機(jī)之間實(shí)現(xiàn)文件的上傳與下載，一臺(tái)計(jì)算機(jī)作為FTP客戶端，另一臺(tái)計(jì)算機(jī)作為FTP服務(wù)器，可以采用匿名(anonymous)登錄和授權(quán)用戶名與密碼登錄兩種方式登錄FTP服務(wù)器。目前，通過FTP服務(wù)來實(shí)現(xiàn)文件的傳輸是互聯(lián)網(wǎng)上上傳、下載文件最主要的方法。操作建議:因?yàn)橛械腇TP服務(wù)器可以通過匿名登錄，所以常常會(huì)被黑客利用。另外，21端口還會(huì)被一些木馬利用，比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架設(shè)FTP服務(wù)器，建議關(guān)閉21端口。

23端口:主要用于Telnet(遠(yuǎn)程登錄)服務(wù)，是Internet上普遍采用的登錄和仿真程序。同樣需要設(shè)置客戶端和服務(wù)器端，開啟Telnet服務(wù)的客戶端就可以登錄遠(yuǎn)程Telnet服務(wù)器，采用授權(quán)用戶名和密碼登錄。登錄之后，允許用戶使用命令提示符窗口進(jìn)行相應(yīng)的操作。在Windows中可以在命令提示符窗口中，鍵入“Telnet”命令來使用Telnet遠(yuǎn)程登錄。操作建議:利用Telnet服務(wù)，黑客可以搜索遠(yuǎn)程登錄Unix的服務(wù)，掃描操作系統(tǒng)的類型。Telnet服務(wù)的23端口也是TTS(Tiny Telnet Server)木馬的缺省端口。所以，建議關(guān)閉23端口。

25端口:為SMTP(Simple Mail Transfer Protocol，簡單郵件傳輸協(xié)議)服務(wù)器所開放，主要用于發(fā)送郵件，如今絕大多數(shù)郵件服務(wù)器都使用該協(xié)議。比如我們?cè)谑褂秒娮余]件客戶端程序的時(shí)候，在創(chuàng)建賬戶時(shí)會(huì)要求輸入SMTP服務(wù)器地址，該服務(wù)器地址默認(rèn)情況下使用的就是25端口。 25端口被很多木馬程序所開放，比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy來說，通過開放25端口，可以監(jiān)視計(jì)算機(jī)正在運(yùn)行的所有窗口和模塊。操作建議:如果不是要架設(shè)SMTP郵件服務(wù)器，可以將該端口關(guān)閉。

53端口:為DNS(Domain Name Server，域名服務(wù)器)服務(wù)器所開放，主要用于域名解析，DNS服務(wù)在NT系統(tǒng)中使用的最為廣泛。通過DNS服務(wù)器可以實(shí)現(xiàn)域名與IP地址之間的轉(zhuǎn)換，只要記住域名就可以快速訪問網(wǎng)站。如果開放DNS服務(wù)，黑客可以通過分析DNS服務(wù)器而直接獲取Web服務(wù)器等主機(jī)的IP地址，再利用53端口突破某些不穩(wěn)定的防火墻，從而實(shí)施攻擊。操作建議:如果當(dāng)前的計(jì)算機(jī)不是用于提供域名解析服務(wù)，建議關(guān)閉該端口。

69端口:是為TFTP(Trival File Tranfer Protocol，次要文件傳輸協(xié)議)服務(wù)開放的，TFTP是Cisco公司開發(fā)的一個(gè)簡單文件傳輸協(xié)議，類似于FTP。不過與FTP相比，TFTP不具有復(fù)雜的交互存取接口和認(rèn)證控制，該服務(wù)適用于不需要復(fù)雜交換環(huán)境的客戶端和服務(wù)器之間進(jìn)行數(shù)據(jù)傳輸。端口漏洞:很多服務(wù)器和Bootp服務(wù)一起提供TFTP服務(wù)，主要用于從系統(tǒng)下載啟動(dòng)代碼。可是，因?yàn)門FTP服務(wù)可以在系統(tǒng)中寫入文件，而且黑客還可以利用TFTP的錯(cuò)誤配置來從系統(tǒng)獲取任何文件。操作建議:建議關(guān)閉該端口。

79端口:是為Finger服務(wù)開放的，主要用于查詢遠(yuǎn)程主機(jī)在線用戶、操作系統(tǒng)類型以及是否緩沖區(qū)溢出等用戶的詳細(xì)信息。比如要顯示遠(yuǎn)程計(jì)算機(jī)上的user01用戶的信息，可以在命令行中鍵入“finger user01@”即可。端口漏洞:一般黑客要攻擊對(duì)方的計(jì)算機(jī)，都是通過相應(yīng)的端口掃描工具來獲得相關(guān)信息，比如使用“流光”就可以利用79端口來掃描遠(yuǎn)程計(jì)算機(jī)操作系統(tǒng)版本，獲得用戶信息，還能探測(cè)已知的緩沖區(qū)溢出錯(cuò)誤。這樣，容易遭遇到黑客的攻擊。而且，79端口還被Firehotcker木馬作為默認(rèn)的端口。操作建議:建議關(guān)閉該端口。

80、8080端口:80端口是被用于WWW代理服務(wù)的，可以實(shí)現(xiàn)網(wǎng)頁瀏覽，8080端口作用等同于80端口，經(jīng)常在訪問某個(gè)網(wǎng)站或使用代理服務(wù)器的時(shí)候，會(huì)加上“:8080”端口號(hào)。比如，端口漏洞:8080端口可以被各種病毒程序所利用，比如Brown Orifice(BrO)特洛伊木馬病毒可以利用8080端口完全遙控被感染的計(jì)算機(jī)。另外，RemoConChubo，RingZero木馬也可以利用該端口進(jìn)行攻擊。操作建議:一般我們是使用80端口進(jìn)行網(wǎng)頁瀏覽的，為了避免病毒的攻擊，我們可以關(guān)閉8080端口。

109端口:是為POP2(Post Office Protocol Version 2，郵局協(xié)議2)服務(wù)開放的，110端口是為POP3(郵件協(xié)議3)服務(wù)開放的，POP2、POP3都是主要用于接收郵件的，目前POP3使用的比較多，許多服務(wù)器都同時(shí)支持POP2和POP3?？蛻舳丝梢允褂肞OP3協(xié)議來訪問服務(wù)端的郵件服務(wù)，如今ISP的絕大多數(shù)郵件服務(wù)器都是使用該協(xié)議。在使用電子郵件客戶端程序的時(shí)候，會(huì)要求輸入POP3服務(wù)器地址，默認(rèn)情況下使用的就是110端口。 端口漏洞:POP2、POP3在提供郵件接收服務(wù)的同時(shí)，也出現(xiàn)了不少的漏洞。另外，110端口也被木馬程序所利用，通過110端口可以竊取POP賬號(hào)用戶名和密碼。操作建議:如果是執(zhí)行郵件服務(wù)器，可以打開該端口。

113端口:主要用于Windows的“Authentication Service”(驗(yàn)證服務(wù))，一般與網(wǎng)絡(luò)連接的計(jì)算機(jī)都運(yùn)行該服務(wù)，主要用于驗(yàn)證TCP連接的用戶，通過該服務(wù)可以獲得連接計(jì)算機(jī)的信息。端口漏洞:113端口雖然可以方便身份驗(yàn)證，但是也常常被作為FTP、POP、SMTP、IMAP以及IRC等網(wǎng)絡(luò)服務(wù)的記錄器，這樣會(huì)被相應(yīng)的木馬程序所利用，比如基于IRC聊天室控制的木馬。另外，113端口還是Invisible Identd Deamon、Kazimas等木馬默認(rèn)開放的端口。操作建議:建議關(guān)閉該端口。

119端口:是為“Network News Transfer Protocol”(網(wǎng)絡(luò)新聞組傳輸協(xié)議，簡稱NNTP)開放的，主要用于新聞組的傳輸，當(dāng)查找USENET服務(wù)器的時(shí)候會(huì)使用該端口。端口漏洞:著名的Happy99蠕蟲病毒默認(rèn)開放的就是119端口，如果中了該病毒會(huì)不斷發(fā)送電子郵件進(jìn)行傳播，并造成網(wǎng)絡(luò)的堵塞。操作建議:如果是經(jīng)常使用USENET新聞組，就要注意不定期關(guān)閉該端口

135端口:主要用于使用RPC(Remote Procedure Call，遠(yuǎn)程過程調(diào)用)協(xié)議并提供DCOM(分布式組件對(duì)象模型)服務(wù)，通過RPC可以保證在一臺(tái)計(jì)算機(jī)上運(yùn)行的程序可以順利地執(zhí)行遠(yuǎn)程計(jì)算機(jī)上的代碼;使用DCOM可以通過網(wǎng)絡(luò)直接進(jìn)行通信，能夠跨包括HTTP協(xié)議在內(nèi)的多種網(wǎng)絡(luò)傳輸。端口漏洞:相信去年很多Windows 2000和Windows XP用戶都中了“沖擊波”病毒，該病毒就是利用RPC漏洞來攻擊計(jì)算機(jī)的。RPC本身在處理通過TCP/IP的消息交換部分有一個(gè)漏洞，該漏洞是由于錯(cuò)誤地處理格式不正確的消息造成的。該漏洞會(huì)影響到RPC與DCOM之間的一個(gè)接口，該接口偵聽的端口就是135。操作建議:為了避免“沖擊波”病毒的攻擊，建議關(guān)閉該端口。

139端口:是為“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印機(jī)共享以及Unix中的Samba服務(wù)。在Windows中要在局域網(wǎng)中進(jìn)行文件的共享，必須使用該服務(wù)。端口漏洞:開啟139端口雖然可以提供共享服務(wù)，但是常常被攻擊者所利用進(jìn)行攻擊，可以試圖獲取用戶名和密碼，這是非常危險(xiǎn)的。操作建議:如果不需要提供文件和打印機(jī)共享，建議關(guān)閉該端口。

143端口:主要是用于“Internet Message Access Protocol”v2(Internet消息訪問協(xié)議，簡稱IMAP)，和POP3一樣，是用于電子郵件的接收的協(xié)議。通過IMAP協(xié)議我們可以在不接收郵件的情況下，知道信件的內(nèi)容，方便管理服務(wù)器中的電子郵件。不過，相對(duì)于POP3協(xié)議要負(fù)責(zé)一些。如今，大部分主流的電子郵件客戶端軟件都支持該協(xié)議。端口漏洞:同POP3協(xié)議的110端口一樣，IMAP使用的143端口也存在緩沖區(qū)溢出漏洞，通過該漏洞可以獲取用戶名和密碼。另外，還有一種名為“admv0rm”的Linux蠕蟲病毒會(huì)利用該端口進(jìn)行繁殖。操作建議:如果不是使用IMAP服務(wù)器操作，應(yīng)該將該端口關(guān)閉。

161端口:是用于“Simple Network Management Protocol”(簡單網(wǎng)絡(luò)管理協(xié)議，簡稱SNMP)，該協(xié)議主要用于管理TCP/IP網(wǎng)絡(luò)中的網(wǎng)絡(luò)協(xié)議，在Windows中通過SNMP服務(wù)可以提供關(guān)于TCP/IP網(wǎng)絡(luò)上主機(jī)以及各種網(wǎng)絡(luò)設(shè)備的狀態(tài)信息。目前，幾乎所有的網(wǎng)絡(luò)設(shè)備廠商都實(shí)現(xiàn)對(duì)SNMP的支持。在Windows 2000/XP中要安裝SNMP服務(wù)，我們首先可以打開“Windows組件向?qū)А保凇敖M件”中選擇“管理和監(jiān)視工具”，單擊“詳細(xì)信息”按鈕就可以看到“簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)”，選中該組件;然后，單擊“下一步”就可以進(jìn)行安裝。端口漏洞:因?yàn)橥ㄟ^SNMP可以獲得網(wǎng)絡(luò)中各種設(shè)備的狀態(tài)信息，還能用于對(duì)網(wǎng)絡(luò)設(shè)備的控制，所以黑客可以通過SNMP漏洞來完全控制網(wǎng)絡(luò)。操作建議:建議關(guān)閉該端口。

1024端口:一般不固定分配給某個(gè)服務(wù)，在英文中的解釋是“Reserved”(保留)。之前，我們?cè)?jīng)提到過動(dòng)態(tài)端口的范圍是從1024～65535，而1024正是動(dòng)態(tài)端口的開始。該端口一般分配給第一個(gè)向系統(tǒng)發(fā)出申請(qǐng)的服務(wù)，在關(guān)閉服務(wù)的時(shí)候，就會(huì)釋放1024端口，等待其他服務(wù)的調(diào)用。端口漏洞:著名的YAI木馬病毒默認(rèn)使用的就是1024端口，通過該木馬可以遠(yuǎn)程控制目標(biāo)計(jì)算機(jī)，獲取計(jì)算機(jī)的屏幕圖像、記錄鍵盤事件、獲取密碼等，后果是比較嚴(yán)重的。操作建議:一般的殺毒軟件都可以方便地進(jìn)行YAI病毒的查殺，所以在確認(rèn)無YAI病毒的情況下建議開啟該端口。

1080端口:是Socks代理服務(wù)使用的端口，大家平時(shí)上網(wǎng)使用的WWW服務(wù)使用的是HTTP協(xié)議的代理服務(wù)。而Socks代理服務(wù)不同于HTTP代理服務(wù)，它是以通道方式穿越防火墻，可以讓防火墻后面的用戶通過一個(gè)IP地址訪問Internet。Socks代理服務(wù)經(jīng)常被使用在局域網(wǎng)中，比如限制了QQ，那么就可以打開QQ參數(shù)設(shè)置窗口，選擇“網(wǎng)絡(luò)設(shè)置”，在其中設(shè)置Socks代理服務(wù)。另外，還可以通過安裝Socks代理軟件來使用QQ，比如Socks2HTTP、SocksCap32等。端口漏洞:著名的代理服務(wù)器軟件WinGate默認(rèn)的端口就是1080，通過該端口來實(shí)現(xiàn)局域網(wǎng)內(nèi)計(jì)算機(jī)的共享上網(wǎng)。不過，如Worm.Bugbear.B(怪物II)、Worm.Novarg.B(SCO炸彈變種B)等蠕蟲病毒也會(huì)在本地系統(tǒng)監(jiān)聽1080端口，給計(jì)算機(jī)的安全帶來不利。操作建議:除了經(jīng)常使用WinGate來共享上網(wǎng)外，那么其他的建議關(guān)閉該端口。

1755端口:默認(rèn)情況下用于“Microsoft Media Server”(微軟媒體服務(wù)器，簡稱MMS)，該協(xié)議是由微軟發(fā)布的流媒體協(xié)議，通過MMS協(xié)議可以在Internet上實(shí)現(xiàn)Windows Media服務(wù)器中流媒體文件的傳送與播放。這些文件包括.asf、.wmv等，可以使用Windows Media Player等媒體播放軟件來實(shí)時(shí)播放。其中，具體來講，1755端口又可以分為TCP和UDP的MMS協(xié)議，分別是MMST和MMSU，一般采用TCP的MMS協(xié)議，即MMST。目前，流媒體和普通下載軟件大部分都支持MMS協(xié)議。端口漏洞:目前從微軟官方和用戶使用MMS協(xié)議傳輸、播放流媒體文件來看，并沒有什么特別明顯的漏洞，主要一個(gè)就是MMS協(xié)議與防火墻和NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)之間存在的兼容性問題。操作建議:為了能實(shí)時(shí)播放、下載到MMS協(xié)議的流媒體文件，建議開啟該端口。

4000端口:是用于大家經(jīng)常使用的QQ聊天工具的，再細(xì)說就是為QQ客戶端開放的端口，QQ服務(wù)端使用的端口是8000。通過4000端口，QQ客戶端程序可以向QQ服務(wù)器發(fā)送信息，實(shí)現(xiàn)身份驗(yàn)證、消息轉(zhuǎn)發(fā)等，QQ用戶之間發(fā)送的消息默認(rèn)情況下都是通過該端口傳輸?shù)摹?000和8000端口都不屬于TCP協(xié)議，而是屬于UDP協(xié)議。端口漏洞:因?yàn)?000端口屬于UDP端口，雖然可以直接傳送消息，但是也存在著各種漏洞，比如Worm_Witty.A(維迪)蠕蟲病毒就是利用4000端口向隨機(jī)IP發(fā)送病毒，并且偽裝成ICQ數(shù)據(jù)包，造成的后果就是向硬盤中寫入隨機(jī)數(shù)據(jù)。另外，Trojan.SkyDance特洛伊木馬病毒也是利用該端口的。操作建議:為了用QQ聊天，4000大門敞開也無妨。

參考文獻(xiàn):

[1] 王帥鵬，余斌.計(jì)算機(jī)網(wǎng)絡(luò)端口安全技術(shù)研究[J].大眾科技，2008(7).

[2] 王西芳，高宏，呼延平.網(wǎng)絡(luò)安全中端口的重要性及端口攻擊的防范對(duì)策均數(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008(9).

[3] 應(yīng)飛.網(wǎng)絡(luò)端口的安全與防范[J].中國科技信息，2009(9).