Security

哪些埠最不可能在 Internet 上被探測到?

  • September 2, 2015

假設您有一台執行不安全軟體的伺服器,並且您必須使其可公開訪問,那麼哪些埠對於在 Internet 上提供該服務是“最安全的”。“最安全”是指最不可能被埠掃描和探測漏洞。

我最初的想法是使用低於 1024 且不用於任何已知服務的埠(例如 471/timbuktu),因為它們在正常使用中永遠不會被訪問,並且探測它們會發現潛在的惡意意圖(與探測器的利益相反)。

請注意,防火牆將選擇 Internet 端服務埠 - 伺服器上的服務埠將不同(並且,值得注意的是,該服務不會以 root 身份執行)。

感謝閱讀 - 感謝您的想法。

布賴恩

編輯

  1. 當然,這是通過默默無聞的安全。這就是為什麼這個問題有默默無聞的標籤!***;)***通過默默無聞的安全性與我想要找出的內容無關。雖然指出明顯的問題對於對安全知之甚少的路人可能會有所幫助,但這並不能回答問題或進一步討論。我希望通過默默無聞來強調對安全性的關注是因為我的問題措辭不佳。
  2. 已經給出的答案都沒有真正幫助我。為什麼首選 10000 以上的埠?我期望相反。這些是從消費者機器發出的 TCP 連接使用的埠,因此與這些埠的異常連接的信噪比在較高埠上要低得多。因此,攻擊者在掃描較低埠時被檢測到的期望更高,並且攻擊者使用所述高埠或掃描它們的動機更高(儘管與例如NMAP 的頂級埠相比流行的服務埠)。但是,還有更多的高埠,所以問題是掃描命中模糊高埠的機率是否低於未使用服務命中低埠的機率。我認為這是一個經驗數據問題。
  3. Internet 端的連接埠可以低於 1024 與 NAT。那是相關的埠。內部埠無關緊要,因此應用程序不會以 root 身份執行(管理員權限等)。即使它確實以 root 身份執行,它也可能被 chroot’d/jailed。
  4. 敲門是個好主意。儘管這是一種以隱寫方式隱藏服務(從而降低服務發現的可能性)的創造性方法,但不幸的是它並沒有回答這個問題。謝謝你的建議。
  5. 真正有幫助的(這是問題的必要條件)將是一些關於使用 SYN/connect 探測哪些埠的經驗數據,以及將哪些有效負載發送到honeypot等。這要廣泛得多,但確實如此更多有什麼幫助。

編輯6:了解那些未使用的埠(即 <1024 且未分配給服務,例如埠 4、6、8、10、12、14、15、16 等)是否曾經被掃描是很有價值的。如果您查看防火牆日誌,您是否看到探測未分配服務埠的內容?

再次感謝。

編輯為了清楚起見,在這種情況下,“最安全”本質上是對埠掃描間隔的度量。問題中隱含的漏洞是對尚未部署更新檔的服務的利用。如果您理解我的意思,如果一個埠的時間間隔遠大於部署修復漏洞的更新檔的時間,那麼它是“更安全的”。因此,如果 ssh 守護程序中存在遠端漏洞,則埠 60001 比埠 22 更安全,因為埠 22 作為預設 ssh 埠,將更頻繁地掃描安全 shell 守護程序(和相應的漏洞),因此時間更少在潛在的遠端攻擊嘗試之間部署更新檔。這是本次調查的初衷,我希望此評論對您有所幫助。

一個隨機的高埠(大約 10000 以北的某個地方)可能最不可能被掃描,但鑑於只需一次掃描即可找到和利用易受攻擊的服務,我強烈建議您重新考慮您的策略。

好吧,除非我弄錯了(我不是 *nix 之神)並且假設您正在使用 *nix(通過您提到 root 我假設您是)您仍然必須是 root 才能綁定到低於 1024 的埠所以就這樣了。

除此之外,默默無聞的安全不是你的朋友,也不是你應該進入的做法。埠掃描器可以自動列舉您的所有埠,因此如果有人想找到它,他們會的。選擇不同的埠號可能只會讓他們花費更長的時間。

防火牆是否接受與您的應用伺服器正在偵聽的埠不同的傳入流量並不重要。如果它允許傳入連接並獲得一個,它會很樂意將其轉發到您的伺服器上的不同埠,特別是如果它只是一個數據包過濾防火牆。如果防火牆上有一個代理可以讓您進行應用程序級別的協議分析並過濾掉該級別的各種操作,您會稍微好一點。

編輯:

很高興澄清。針對您的評論,

從您的原始文章中:“而且,值得注意的是,該服務不會以 root 身份執行”。如果您不以 root 身份執行您的服務,您將無法在埠 < 1024 上偵聽。因此解僱。抱歉,起初我並不清楚您要從防火牆上的 < 1024 轉發到應用伺服器上的 > 1024,但我現在明白您的意思了。

我沒有說埠掃描器掃描所有埠,我說它們可以掃描所有埠。這可能嗎?不,不像知名埠那樣可能。智能防火牆會檢測到這一點嗎?是的。

我的最後一段只是聲明,一旦攻擊者找到一個開放的埠,它就會盲目地轉發流量,除非你有一個應用程序級別的過濾器來進行更精細的過濾,在這種情況下,蒙住眼睛會更透明。我不一定鼓勵使用該聲明的應用級過濾器。我的意思是一旦攻擊者建立連接,埠轉發不會為您節省任何東西。

因此,最重要的是,您詢問了想法(通常在此解釋為“建議”),而我的想法是,您選擇哪個埠並不重要。你在任何港口都很容易受到影響。抱歉,如果這不符合您的期望,我希望這有助於澄清我的文章的意圖。

引用自:https://serverfault.com/questions/65321