非默認端口網絡服務的安全風險不容忽視

文/孫強 周育玲

端口掃描現象在互聯網上普遍存在，既可以被網絡維護人員用于驗證安全策略，也可能被攻擊者用于識別獲取指定主機的端口開放服務情況，為下一步嘗試弱口令破解或利用服務漏洞入侵做準備。本文針對由端口掃描引發的網絡服務運行在非標準端口現象，分析了這一現象產生的原因，從網絡安全角度討論了服務運行在非標準端口時帶來的可能利弊，并進行實驗驗證，在此基礎上對網絡運維部門防火墻設置以及服務提供者提出建議。

非默認端口上的服務安全狀況

近十幾年來，相關技術快速發展，利用蠕蟲病毒傳播進行增強掃描能力，新的端口掃描工具如ZMap與Masscan等不斷涌現，使得端口掃描無處不在，利用大量受控主機對互聯網相當范圍的IP地址進行掃描，不再受限于特定端口。因此有必要分析運行在非默認端口上服務的脆弱性和攻擊風險，尤其是和安全聯系緊密的服務，例如SSH/RDP等遠程登錄服務及MS SQLServer/MySQL等數據庫服務運行在非默認端口上的情況。

更改服務運行端口后，確實可以躲避僅僅掃描標準端口的情況，但是考慮到當前端口掃描并不僅限在標準端口范圍，因此僅僅延緩了端口掃描，尤其是繞過網絡運維部門設置的防火墻之后，服務直接暴露在外網上，更需要保障服務本身的安全維護。

為分析現實互聯網環境下非默認端口服務的安全狀況，本文收集上海交通大學相關數據，進行實驗驗證。首先通過主動掃描方式，對上海交通大學校園網IP地址全部TCP端口（1-65535）進行掃描，識別開放端口運行的服務，并對SSH、RDP等協議弱口令進行檢測；其次，根據2017年1至6月期間的NetFlow數據，分析互聯網上攻擊者的端口掃描行為。

表1 常見服務運行在非默認端口比例情況

表2 常見安全敏感服務非默認端口列表

首先考察了常見安全敏感服務運行在非默認端口所占比例的情況，結果見表1。從表中可知，服務運行在非默認端口的情況普遍存在，無論是特定安全相關服務還是整體網絡服務，都有相當比例運行在非默認端口。

隨后統計這些服務常見的運行端口用于后續實驗，采用如下規則：1.在該端口運行服務數量大于2 ；2.與默認端口數值有部分相似性；3.所在服務器不局限在同一個C類網段，結果見表2。

實驗共掃描到可識別服務33066個，存在弱口令974個，其中運行在非默認端口的服務中存在弱口令 101個，在常見非默認端口列表中的服務有74個?？芍姆者\行端口本身并不能阻止系統被入侵，反而暴露在了防火墻之外，受到外部IP地址過來的端口掃描。

表3 默認端口與常見非默認端口掃描對比(源IP數與掃描次數)

接下來進行互聯網掃描流量分析，對比安全敏感服務默認端口與常見非默認端口被掃描次數，根據源地址數(攻擊者IP數量和掃描次數兩個指標）進行統計，結果見表3。

其中rdp的默認端口3389被防火墻全面禁止，因此得到的記錄數量近似為0。

對被掃描端口分別根據源地址數和掃描次數進行排序，常見非默認掃描端口有80%以上出現在前8192個，最高頻出現的端口部分信息見表4。

由結果可知，常見非默認端口列表占有相當比例，也被重點掃描了。

進一步考察任意端口被掃描的情況，針對默認端口、常見非默認端口以及其他任意端口三種情況，分別根據目標IP地址數量以及掃描次數進行統計被掃描次數及其所占比例，見表5，可見約有90%左右的掃描是在任意端口，因此即使更改到任意端口也存在被掃描的可能。

攻擊者了解到服務提供者更改服務運行端口后有了掃描非默認端口的需求。隨著計算機性能與網絡帶寬的進步、以及相應端口掃描技術的改進，對一定IP范圍內更大范圍端口列表甚至全部端口進行掃描所需的時間逐漸減少到可以接受的程度。

實驗結果分析

從分析與實驗結果可知，如果沒有配合其他安全加固措施，僅僅更改服務運行端口不能避免因為弱口令或沒有及時安全更新而被入侵。

更為嚴重的是，更改服務運行端口后失去了網絡運維部門所設置防火墻的保護，被入侵后進而成為外部網絡入侵內部服務器的跳板。

表4 常見非默認端口包含在最頻繁被掃描端口中的分布

表5 各類型端口在最頻繁被掃描端口中被掃描的分布情況

對于服務提供者，更改端口能有效躲避大量掃描，但不能因此產生安全無虞的假象，不應降低密碼使用和其他系統安全策略，應及時進行系統與應用安全維護，以及IP訪問規則維護等安全加固措施。

對于網絡運維部門，也需要重新考慮“一刀切”方式封禁22或3389等遠程訪問端口時可能帶來的安全隱患，即用戶為了從外邊網絡繞過防火墻進行訪問而被迫更改訪問端口，使得該服務失去防火墻保護。在條件允許時提供用戶自定義的外部可訪問范圍或許是較為妥當的折衷。對于通過端口掃描檢驗內網安全時，也需要將非標準端口考慮進來。

本文分析了互聯網上服務運行在非默認端口上的現象，從服務提供者、網絡運維部門和攻擊者的角度對其安全影響進行了分析和探討，結合校園網10萬個IP地址的主動掃描和6個月的NetFlow數據分析表明，超過40%的FTP、MS SQLServer等可能被弱口令爆破的協議使用了非默認端口，在非默認端口上服務的弱口令比例甚至高于默認端口，而在監測到的互聯網端口掃描活動中，針對常見單個非默認端口（如9999，2433）的次數已超過4千萬次。非默認端口網絡服務的安全風險不容小覷，應引起網絡管理者的重視。