我们都知道公司网络中开放的端口越多，遭受网络攻击的可能性就越大，就越容易发生数据泄露事件。

在这篇文章中，我们将讨论与开放端口相关的网络安全隐患。

网络中的端口

据统计，总共有65,535个TCP和UDP端口号，其中1,024个是标准端口号或“知名”端口号。IANA（互联网号码分配局）为每个端口分配了特定的Internet服务。当需要访问计算机上的服务时，会向关联的端口发送连接请求。

• 端口的三种状态：打开、关闭和阻塞。根据端口的使用状态，下面是计算机响应不同的端口的连接请求：

• 端口已打开：允许请求建立连接。

• 端口已关闭：该端口正在使用中，无法连接。

• 端口被阻止：未发出响应。

什么是端口扫描攻击？

端口扫描是一种攻击方式，攻击者将请求发送到目标服务器或工作站的IP地址，以发现打开的端口，并利用分配的服务中的漏洞进行攻击。

端口扫描攻击通常是重大网络攻击的一部分。攻击者使用端口扫描工具执行ping扫描、SYN扫描、FTP退回扫描等。由于使用了TCP标志，因此大多数此类活动事件都不会被设备和防火墙记录下来；这使得端口扫描攻击更加难以被检测到。WannaCry、NotPetya、Mirai、ADB.Miner和PyRoMine等都是通过占用端口的方式在全球范围进行勒索软件攻击。

以下是一些最常用的端口：

查找已打开的端口

解决端口漏洞攻击的最直接方法就是找到这些打开的端口并将其阻止。攻击者通常会利用端口扫描工具评估目标网络的脆弱性。

除必须要开放的端口外，建议关闭系统的其他端口。漏洞扫描程序可以查询和收集已安装软件、证书以及其他信息的数据，帮助您查找已打开的端口，记录相关数据并观察这些端口活动。

此外，应定期执行端口侦听和端口扫描，管理员应随时监视其网络中最易受攻击的端口。

ManageEngine EventLog Analyzer可以帮助您有效地分析端口漏洞扫描数据并将其合并在单个仪表板上。借助产品内部大量的预定义报告，它可以让您的网络系统化和可视化。它支持来自Nessus、Qualys、OpenVas和NMAP等漏洞扫描程序的日志数据，利用日志中的端口相关信息帮助您监视网络流量中基于端口的可疑活动。

PS：文章来源ManageEngine IT运维管理

原文链接：
https://mp.weixin.qq.com/s?src=11×tamp=1639040173&ver=3485&signature=
b60xkaZ1DVIOff1VpWX8zM1s4XZT-ls0fRZ9GnUv5XyunIBATawHu6cGY3g0Mbdjbrhsth2osZLGavPeCKMR1iZpLPsz-QFigFnNGqBir9e65SANPjlRR2LfnDJuYteP&new=1