端口可以成为管理员提供服务的途径也可以成为攻击者的通道,怎样根据服务器提供的服务正确设置端口,是每一个管理员都应该彻底明白的问题。
一:彻底了解什么是端口
要设置端口,必须明白什么是端口。首先需要明白的一点是,我们这里所说的端口,不是计算机硬件的I/O端口,而是软件形式上的概念。服务器可以向外提供多种服务,比如,一台服务器可以同时是WEB服务器,也可以是FTP服务器,同时,它也可以是邮件服务器。为什么一台服务器可以同时提供那么多的服务呢?其中一个很主要的方面,就是各种服务采用不同的端口分别提供不同的服务,比如:WEB采用80端口,FTP采用21端口等。这样,通过不同端口,计算机与外界进行互不干扰的通信。
工具提供服务类型的不同,端口分为两种,一种是TCP端口,一种是UDP端口。计算机之间相互通信的时候,分为两种方式:一种是发送信息以后,可以确认信息是否到达,也就是有应答的方式,这种方式大多采用TCP协议;一种是发送以后就不管了,不去确认信息是否到达,这种方式大多采用UDP协议。对应这两种协议的服务提供的端口,也就分为TCP端口和UDP端口。
常见的TCP端口如下:
常见的UDP端口如下:
了解常见的端口以后,我们大致明白了端口的作用。那么,如果攻击者使用软件扫描目标计算机,得到目标计算机打开的端口,也就了解了目标计算机提供了那些服务。我们都知道,提供服务就一定有服务软件的漏洞,根据这些,攻击者可以达到对目标计算机的初步了解。如果计算机的端口打开太多,而管理者不知道,那么,有两种情况:一种是提供了服务而管理者没有注意,比如安装IIS的时候,软件就会自动增加很多服务,而管理员可能没有注意到;一种是服务器被攻击者安装木马,通过特殊的端口进行通信。这两种情况都是很危险的,说到底,就是管理员不了解服务器提供的服务,减小了系统安全系数。
二:端口扫描工具
计算机打开那些端口可以通过一定的网络命令来检测,但是,我们没有必要一个个去试验,因为我们有专门的端口扫描工具。
工具扫描方式的不同,端口扫描器分为两者:
第一种针对一个连续网段扫描特定端口。这种工具常用于寻找特定主机或者特定服务,比如WEB服务器,也可以用来检测是否中了木马,比如检测7626端口来检测冰河。这种工具有NetBrute。
第二种针对一台特定的服务器扫描所有端口。这种工具常用于攻击一台特定主机以前搜集此主机的大致信息,确定攻击方案。这种工具有SuperScan。
一) 扫描网段特定端口的NetBrute
端口对应特定的服务,所以,当我们要检测本网段计算机是否提供了不该提供的服务
或者开放了不该开放的端口的时候,我们就应该自己扫描一下。扫描网段端口的工具很多,我们在这里介绍NetBrute。之所以使用它,有几个原因:(1)NetBrute简单易用;一般管理员不愿意使用太复杂的工具来进行一些简单的管理,那有杀猪使用牛刀的感觉;(2)NetBrute是免费的;尽管网上有很多免费的午餐,但是,完全免费没有广告或者没有提示的其实还是比较少;(3)扫描速度快,结果清晰;如果使用过一些DOS下的扫描程序,可能就有一些体会,虽然速度快,但是,结果有时候不是很清晰;(4)免安装,程序小;谁也不想在自己的计算机或者服务器上安装太多无关或者比较常用的软件,NetBrute只有500K,完全绿色软件。该软件可以到开发者的主页下载,一边得到最新版本:http://www.rawlogic.com/
打开软件,我们看到一下界面
再以上界面中,我们可以设置端口扫描时间(Time Out),一般采用软件默认的300;选择需要扫描的端口(Tcp Port),点击下拉框,可以看到端口和对应的解释;扫描的IP范围,默认软件可以扫描一个网段,如果需要扫描几个网段,点击菜单【Option】,取消选择“Class C”;如果扫描的IP比较多,可以选择【Scroll Bars】,这样,在左边的结果显示栏出现滚动条;现在,我们选择扫描一个网段,看看结果怎样
在上图,我们扫描了*.75.40.1到*.75.40.255这个网段的所有80端口,在结果栏,我们可以看到在这一网段所有提供WEB服务的IP。
在使用以上工具的时候,我们需要注意一下几点:
1) 端口的选择;端口对应相应的服务,但是,千万不要将这句话理解为特定服务一定使用一个特定端口。有些管理员为了安全考虑,会将默认端口改变,比如,将WEB服务的端口改变为8080,这样,当我们在使用以上工具查找WEB服务的时候,就会漏掉使用8080端口的计算机。所以,不要简单的将扫描到的结果认定为最后结果。
2) 扫描时机的选择;尽管服务器一般是24小时不间断服务的,但是,一些特殊的服务和一些特殊的机构不一定24小时打开服务器,所以,管理员在考虑对本系统进行检测的时候尽量选择所有服务均打开的时间;
3) 扫描的利用;除了攻击者将扫描器作为一种攻击辅助工具,管理员其实也非常需要这种软件,除了检查服务器不必要的服务以外,最好同时检测一般的PC计算机来发现木马。
二)扫描特定计算机所有端口的SuperScan
攻击者在攻击一台主机以前,一般都需要搜集目标计算机提供的服务,SuperScan
就可以实现这种功能。对一个纯粹管理服务器的管理员而言,上面介绍的NeuBrute并不能完全满足要求,毕竟,服务器不会太多。对一台服务器的完全了解才是最重要的。SuperScan需要安装运行,可以在开发者网站http://www.foundstone.com/下载最新版本。SuperScan有以下特点:(1)小巧易用,使用方法比较简单,而且,软件对常用端口有介绍;(2)可以选择需要扫描的端口也可以选择所有端口;这一点对于管理员来说比较方便,其实,大部分时候我们不必要扫描计算机的所有端口,扫描1024以下的端口基本已经可以了;(3)可以选择扫描多个网段;尽管提供这项功能,还是不推荐使用这个功能,因为速度实在太慢;(4)其他功能,比如取得计算机主机名计算机,设定扫描速度。
打开软件,出现以下界面
以上界面其实可以分为三部分:(1)主机名探测功能(Hostname Lookup),主要取得目标计算机主机名;(2)扫描设置区,在【IP】部分可以设置需要扫描的IP(或者IP网段);
在【Timeout】设置各种时间参数;在【Scan type】选择扫描方式,可以是只Ping目标计算机(Ping only),Every Port in list(端口列表的所有端口),端口列表的端口在“Port list setup”设置;(3)结果显示区。
现在,我们首先设置需要扫描的端口,选择【Port list setup】,出现以下界面
在以上界面设置需要扫描的端口,为了简单,我们选择所有列表中列出的端口,保存为端口列表文件。现在开始扫描,扫描结果如下
在以上界面中,我们查看结果栏,可以看到目标主机打开的端口,在每一个端口后面都有关于这个端口的间断说明,在一些常见的端口比如80端口还有服务软件的类型,在这里检测到web服务软件为 IIS4。在【Open ports】显示了打开的端口的数量。在使用这款软件的时候,我们需要注意以下问题:
(1) 明确扫描目的。任何对目标主机的扫描都会给目标主机带来一定的额外负载,当扫描端口较多的时候,扫描者就有必要考虑扫描的目的。如果只是常规维护,当然扫描的时候在主机负载较少的时候最好;如果为了攻击作准备,最好扫描以前考虑清除对目标计算机产生的影响同时考虑是否触犯国家有关法律法规。
(2) 扫描结果的查看。扫描结束以后,很多使用者发现目标计算机一个端口也没有打开!其实不是这样的,软件设计者在设计软件的时候没有注意结果栏背景色,所以,在扫描的IP地址前面有一个小小的+号不能清楚地看见,这时候,我们点击【Expand all】展开所有接点才会出现图五所示的结果。
(3) 扫描速度的考虑。如果扫描目标较多,建议晚上进行第二天早上再看结果,因为实在速度不是很快。
三:服务器端口的设置
以上我们介绍了怎样扫描目标计算机的端口,现在,我们看一下怎样设置服务器端口,使端口与提供的服务适合。
一) 在系统设置
Win2000和WinNT都可以在TCP/IP设置界面设置打开服务器端口。现在我们看
Win2000中怎样设置端口。打开【Internet协议(TCP/IP)属性】设置,选择【高级】,在出现的【高级TCP/IP设置】中选择【选项】,在出现的界面中选择【TCP/IP】删选,点击【属性】,出现以下界面
在以上的界面中,可以设置TCP和UDP端口。在确定打开那些端口以前,建议考虑以下几点:
(1) 服务器到底提供那些服务,这些服务使用那些端口。这一点是每一个管理员应该考虑的,在满足要求下尽量少的服务加打开适当地端口,可以在一定程度上加固服务器的安全。
(2) 设置完成以后对服务器进行全面检测。尽管管理员可能对服务器很熟悉,但是在设置完成以后还是建议对服务器的所有服务作一个全面检测,以免出现服务不能正常运行的情况。
二)软件设置
以上在系统设置端口很简单,其实,还有更加简单的方法,那就是使用专门设置端口的软件。使用这一类软件的好处设置简单同时还有日志功能。
(1)阻止通过Internet连接特定端口的PortBlocker
这款软件主要针对同时连接局
