非默认端口网络服务的安全风险不容忽视

端口扫描现象在互联网上普遍存在，既可以被网络维护人员用于验证安全策略，也可能被攻击者用于识别获取指定主机的端口开放服务情况，为下一步尝试弱口令破解或利用服务漏洞入侵做准备。

本文针对由端口扫描引发的网络服务运行在非标准端口现象，分析了这一现象产生的原因，从网络安全角度讨论了服务运行在非标准端口时带来的可能利弊，并进行实验验证，在此基础上对网络运维部门防火墙设置以及服务提供者提出建议。

非默认端口上的服务安全状况

近十几年来，相关技术快速发展，利用蠕虫病毒传播进行增强扫描能力，新的端口扫描工具如ZMap与Masscan等不断涌现，使得端口扫描无处不在，利用大量受控主机对互联网相当范围的IP地址进行扫描，不再受限于特定端口。因此有必要分析运行在非默认端口上服务的脆弱性和攻击风险，尤其是和安全联系紧密的服务，例如SSH/RDP等远程登录服务及MS SQLServer/MySQL等数据库服务运行在非默认端口上的情况。

更改服务运行端口后，确实可以躲避仅仅扫描标准端口的情况，但是考虑到当前端口扫描并不仅限在标准端口范围，因此仅仅延缓了端口扫描，尤其是绕过网络运维部门设置的防火墙之后，服务直接暴露在外网上，更需要保障服务本身的安全维护。

为分析现实互联网环境下非默认端口服务的安全状况，本文收集上海交通大学相关数据，进行实验验证。首先通过主动扫描方式，对上海交通大学校园网IP地址全部TCP端口（1-65535）进行扫描，识别开放端口运行的服务，并对SSH、RDP等协议弱口令进行检测；其次，根据2017年1至6月期间的NetFlow数据，分析互联网上攻击者的端口扫描行为。

首先考察了常见安全敏感服务运行在非默认端口所占比例的情况，结果见表1。

从表中可知，服务运行在非默认端口的情况普遍存在，无论是特定安全相关服务还是整体网络服务，都有相当比例运行在非默认端口。

随后统计这些服务常见的运行端口用于后续实验，采用如下规则：1.在该端口运行服务数量大于2；2.与默认端口数值有部分相似性；3.所在服务器不局限在同一个C类网段，结果见表2。

实验共扫描到可识别服务33066个，存在弱口令974个，其中运行在非默认端口的服务中存在弱口令101个，在常见非默认端口列表中的服务有74个。可知更改服务运行端口本身并不能阻止系统被入侵，反而暴露在了防火墙之外，受到外部IP地址过来的端口扫描。

接下来进行互联网扫描流量分析，对比安全敏感服务默认端口与常见非默认端口被扫描次数，根据源地址数（攻击者IP数量和扫描次数两个指标）进行统计，结果见表3。

其中rdp的默认端口3389被防火墙全面禁止，因此得到的记录数量近似为0。

对被扫描端口分别根据源地址数和扫描次数进行排序，常见非默认扫描端口有80%以上出现在前8192个，最高频出现的端口部分信息见表4。

由结果可知，常见非默认端口列表占有相当比例，也被重点扫描了。

进一步考察任意端口被扫描的情况，针对默认端口、常见非默认端口以及其他任意端口三种情况，分别根据目标IP地址数量以及扫描次数进行统计被扫描次数及其所占比例，见表5，可见约有90%左右的扫描是在任意端口，因此即使更改到任意端口也存在被扫描的可能。

攻击者了解到服务提供者更改服务运行端口后有了扫描非默认端口的需求。随着计算机性能与网络带宽的进步、以及相应端口扫描技术的改进，对一定IP范围内更大范围端口列表甚至全部端口进行扫描所需的时间逐渐减少到可以接受的程度。

实验结果分析

从分析与实验结果可知，如果没有配合其他安全加固措施，仅仅更改服务运行端口不能避免因为弱口令或没有及时安全更新而被入侵。

更为严重的是，更改服务运行端口后失去了网络运维部门所设置防火墙的保护，被入侵后进而成为外部网络入侵内部服务器的跳板。

对于服务提供者，更改端口能有效躲避大量扫描，但不能因此产生安全无虞的假象，不应降低密码使用和其他系统安全策略，应及时进行系统与应用安全维护，以及IP访问规则维护等安全加固措施。

对于网络运维部门，也需要重新考虑“一刀切”方式封禁22或3389等远程访问端口时可能带来的安全隐患，即用户为了从外边网络绕过防火墙进行访问而被迫更改访问端口，使得该服务失去防火墙保护。在条件允许时提供用户自定义的外部可访问范围或许是较为妥当的折衷。对于通过端口扫描检验内网安全时，也需要将非标准端口考虑进来。

本文分析了互联网上服务运行在非默认端口上的现象，从服务提供者、网络运维部门和攻击者的角度对其安全影响进行了分析和探讨，结合校园网10万个IP地址的主动扫描和6个月的NetFlow数据分析表明，超过40%的FTP、MSSQLServer等可能被弱口令爆破的协议使用了非默认端口，在非默认端口上服务的弱口令比例甚至高于默认端口，而在监测到的互联网端口扫描活动中，针对常见单个非默认端口（如9999，2433）的次数已超过4千万次。非默认端口网络服务的安全风险不容小觑，应引起网络管理者的重视。

（作者单位为上海交通大学网络信息中心）

本文刊载于《中国教育网络》杂志2017年12月刊

【回顾】教育现代化的CIO之路