IDC 机房电信链路端口屏蔽说开来(常见端口分析)

这两天相信大家都看了一则公告,内容大致如下:

接到电信运营商的通知,为了增强网络安全性,中国电信将于北京时间 2017 年 09 月 28 日 00:00 开始在全国范围的 IDC 机房电信链路网络出口添加病毒防护策略,屏蔽部分端口(详细参看下列清单),届时对这些端口的访问将被阻断。建议您提前检查您的业务中是否包含下述端口的服务,提前更换端口以免受到影响。 具体屏蔽的端口如下:
目的端口:137-139,协议:TCP/UDP
目的端口:593,协议:TCP/UDP
目的端口:445,协议:TCP/UDP
目的端口:4444,协议:TCP/UDP
目的端口:135,协议:TCP/UDP
目的端口:3332,协议:TCP
目的端口:9996,协议:TCP/UDP
目的端口:6669,协议:TCP
目的端口:1434,协议:TCP/UDP
目的端口:3127-3130,协议:TCP
目的端口:42,协议:TCP
目的端口:1068,协议:TCP/UDP
目的端口:5554,协议:UDP
目的端口:17185,协议:UDP

有人认为这是向私人虚拟网开刀的前奏,至于官方是否有这方面的考量,咱们也不清楚,咱们要探讨的是,屏蔽的这些端口,都是干什么的。

  • 目的端口:137-139,协议:TCP/UDP

主要用于“NetBIOS Name Service”(即 NetBIOS 名称服务),属于 UDP 端口,一般安装了 NetBIOS 协议后,该端口会自动处于开放状态。137 端口的主要作用是在局域网中提供计算机的名字或 IP
地址查询服务,138 端口的主要作用是提供计算机名浏览功能,139 端口则主要用于提供 Windows 文件和打印机共享以及 Unix 中的 Samba 服务。

  • 目的端口:593,协议:TCP/UDP

593 端口是针对 DCOM(Distributed Component Object Model,分布式组件对象模型)协议的,它允许 C/S 结构的应用通过 DCOM 使用 RPC over HTTP service。

  • 目的端口:445,协议:TCP/UDP

445 端口是 TCP 端口,该端口在 Windows 2000 Server 或 Windows Server 2003 系统中发挥的作用与 139 端口是完全相同的,具体地说,它也是提供局域网中文件或打印机共享服务。不过该端口是基于CIFS 协议(通用因特网文件系统协议)工作的,而 139 端口是基于SMB 协议(服务器协议族)对外提供共享服务。同样地,攻击者与 445 端口建立请求连接,也能获得指定局域网内的各种共享信息,前阵子流行的勒索病毒便是利用该端口扩散。

  • 目的端口:4444,协议:TCP/UDP

普通端口,但一旦发现其为开放模式,则表示可能感染了 msblast 蠕虫病毒。

  • 目的端口:135,协议:TCP/UDP

Microsoft 在这个端口运行 DCE RPC end-point mapper 为它的 DCOM 服务,这与 UNIX 111 端口的功能很相似,使用 DCOM 和 RPC 的服务利用计算机上的 end-point mapper 注册它们的位置,远端客户连接到计算机时,可以查找 end-point mapper 找到服务的位置。“冲击波”病毒攻击便是利用该端口

  • 目的端口:3332,协议:TCP

3332 = Worm.Cycle.a

  • 目的端口:9996,协议:TCP/UDP

震荡波常用端口

  • 目的端口:6669,协议:TCP

6666-6669 这几个端口是 IRC 协议使用的缺省端口,存在很大的安全风险,很容易被木马程序利用,出于安全方面 chrome 禁止了对 6666 端口的访问,同样使用 webkit 内核的 chrome 缺省状态下也是禁止访问这几个端口的。

  • 目的端口:1434,协议:TCP/UDP

1434 端口是微软 SQL Server 未公开的监听端口(应当还有一个 1433 端口),你要使用 SQL,就必然打开这两个端口。 典型病毒就是 2003 蠕虫王 利用 SQL SERVER 2000 解析端口 1434 的缓冲区溢出漏洞,对网络进行攻击。

  • 目的端口:3127-3130,协议:TCP

端口 3127:Worm.DoomHunter 病毒在 TCP 上的临听端口,可让远程黑客访问该端口,可能用于上传另外的病毒。
端口 3128:这是 Squid HTTP 代理服务器的默认端口,攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问 Internet,其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。
端口 3129:木马 Master Paradise 使用此端口。
端口 3130:Squid 默认端口。有一种产品叫做 Resonate Global Dispatch,它与 DNS 的这一端口连接以确定最近的路由。Harvest/squid cache将从 3130 端口发送 UDPecho:“如果将 cache 的source_ping on 选项打开,它将对原始主机的 UDP echo 端口回应一个 HIT reply。” 这将会产生许多这类数据包。

  • 目的端口:42,协议:TCP

服务 WINS Replication 端口,即 WINS 复制,主机名服务(Host Name Server)也使用该端口。

  • 目的端口:1068,协议:TCP/UDP

震荡波病毒端口。

  • 目的端口:5554,协议:UDP

震荡波病毒端口。

  • 目的端口:17185,协议:UDP

存在 VxWorks 漏洞~

从以上我们知道,其实这次被屏蔽的端口都是高危端口,从前不久的 WannaCry 大面积爆发就可以看出很多人对电脑的安全意识并没有上去,如果你有公网 IP,高危端口又没有做防护的话,那么损失将是很大的,特别对于政府、企业、学校这种存在大量电脑的情况下,因此准确的来说,这次屏蔽端口运营商是为我们的电脑安全做了预防,封掉总比黑掉好吧。


本文参考多处资料:百度百科知乎交大网络中心wiki 等。!


ArmxMod for Typecho
个性化、自适应、功能强大的响应式主题

推广

 继续浏览关于 端口idc屏蔽安全科普病毒 的文章

 本文最后更新于 2017/10/17 12:12:20,可能因经年累月而与现状有所差异

 引用转载请注明:VirCloud's Blog > 运维 > IDC 机房电信链路端口屏蔽说开来(常见端口分析)