点击上方 网络技术干货圈,选择 设为星标
优质文章,及时送达
转载请注明以下内容:
来源:公众号【网络技术干货圈】
作者:圈圈
ID:wljsghq
网络安全是现代信息化社会中的重中之重,特别是在网络工程师的日常工作中,维护系统的安全性是至关重要的职责。而在众多网络安全策略中,端口管理是一项基础但又极为重要的任务。本文将详细解析 135、137、138、139 和 445 端口为何应关闭,帮助网络工程师提高安全意识,构建更加安全的网络环境。
端口的基本概念与作用
在计算机网络中,端口是通信协议用于区分不同服务或应用程序的逻辑接口。每个端口都有唯一的编号,称为端口号,范围从 0 到 65535。
端口分为三类:
知名端口(0-1023):分配给常见的服务和协议,例如 HTTP(80)、HTTPS(443)、FTP(21)等。 注册端口(1024-49151):分配给特定应用程序,通常由开发者申请注册。 动态端口(49152-65535):临时分配用于客户端连接。
默认情况下,一些端口被操作系统或服务预留用于特定功能。如果不管理这些端口,可能会为攻击者提供可乘之机。
135、137、138、139、445 端口的用途
135 端口(RPC 服务)
功能:135 端口用于 Microsoft 的远程过程调用(RPC)服务,主要负责分布式计算环境(DCE)的端点映射。 用途:RPC 服务允许应用程序在不同计算机上运行代码以完成分布式任务。
137 端口(NetBIOS 名称服务)
功能:137 端口支持 NetBIOS 名称服务,用于将主机名解析为 IP 地址。 用途:主要用于局域网内计算机名称的广播和解析。
138 端口(NetBIOS 数据报服务)
功能:138 端口用于 NetBIOS 数据报服务,支持无连接的数据传输。 用途:允许局域网中的计算机发送和接收广播消息。
139 端口(NetBIOS 会话服务)
功能:139 端口用于 NetBIOS 会话服务,建立点对点的连接以支持文件共享和打印机访问。 用途:在 Windows 网络中用于文件共享和打印机访问。
445 端口(SMB 服务)
功能:445 端口用于 Microsoft’s Server Message Block(SMB)协议,支持文件和打印共享。 用途:主要用于在局域网中共享文件、打印机和其他资源。
这些端口的安全风险
尽管上述端口在 Windows 网络环境中发挥重要作用,但它们也容易成为网络攻击的目标。
135 端口的风险
漏洞攻击:RPC 漏洞(如 MS03-026)可能被攻击者利用进行远程代码执行。 DDoS 攻击:开放的 135 端口可能被用于分布式拒绝服务攻击。
137 端口的风险
信息泄露:通过 137 端口,攻击者可以获取网络中的计算机名称和 IP 地址。 劫持攻击:利用 NetBIOS 广播功能伪造设备,进行中间人攻击。
138 端口的风险
数据劫持:攻击者可能通过监听 138 端口的数据广播,截取敏感信息。 网络噪声:不必要的广播增加了网络负载,影响性能。
139 端口的风险
未经授权的访问:攻击者可利用 139 端口获取文件共享权限,窃取数据。 蠕虫病毒传播:历史上多个蠕虫(如 Conficker)通过 139 端口传播。
445 端口的风险
勒索软件攻击:445 端口被广泛用于传播勒索软件(如 WannaCry)。 漏洞利用:SMB 漏洞(如 EternalBlue)允许攻击者远程控制目标设备。
关闭端口的必要性
关闭不必要的端口是减少攻击面和提高网络安全性的关键措施。以下是关闭 135、137、138、139 和 445 端口的重要性:
减少漏洞暴露:关闭这些端口可以防止已知漏洞被利用。 降低攻击风险:减少端口开放的数量,降低被扫描和攻击的可能性。 提高系统性能:关闭未使用的服务,释放系统资源。 遵循安全合规:许多行业法规要求企业实施端口管理策略。
如何安全地关闭这些端口
以下步骤将帮助网络工程师安全地关闭这些端口:
识别依赖服务
使用命令 netstat -an检查哪些服务正在监听这些端口。确认是否有业务系统依赖这些服务。
停用相关服务
打开 “网络和共享中心” -> “本地连接” -> “属性” -> “Internet 协议版本 4(TCP/IPv4)” -> “高级” -> “WINS” -> 禁用 NetBIOS。 在 Windows 服务中,找到 “Remote Procedure Call (RPC)” 并停用。
停止 RPC 服务: 停止 NetBIOS 服务:
使用防火墙规则
添加防火墙规则:
# 在Windows防火墙中禁用端口New-NetFirewallRule -DisplayName "Block TCP 135" -Direction Inbound -Protocol TCP -LocalPort 135 -Action BlockNew-NetFirewallRule -DisplayName "Block TCP 137-139" -Direction Inbound -Protocol TCP -LocalPort 137-139 -Action BlockNew-NetFirewallRule -DisplayName "Block TCP 445" -Direction Inbound -Protocol TCP -LocalPort 445 -Action Block
测试系统功能
在关闭端口后,验证网络和系统功能,确保不会影响正常业务。 使用端口扫描工具(如 nmap)确认端口已关闭。
定期审计与监控
定期检查开放的端口列表,确保没有意外开启。 配置入侵检测系统(IDS)监控端口活动。
网络工程师肩负着保障网络安全的责任,而端口管理是网络安全的基本环节。135、137、138、139 和 445 端口虽然有其特定用途,但其开放往往伴随着高风险。通过识别服务依赖、合理配置防火墙规则、定期审计和监控,网络工程师可以显著降低网络暴露面,为系统和业务提供更强的安全保障。
安全无小事,每一个端口的管理都是构建稳固防线的一砖一瓦。希望本文能帮助网络工程师在日常工作中更加重视端口管理,为构建安全的网络环境贡献一份力量。
