各种攻击开始的时候通过自动抓包侦听等工具来收集目标环境的信息，尤其是执行网络发现扫描来识别系统开放的高危端口。系统中的高危端口及其防护是网络安全管理的重要组成部分。 

高危漏洞、高危端口、弱口令是网络安全领域常见的网络安全风险隐患，极易被不法分子恶意利用，对网络运营者造成不可弥补的损失。

高危漏洞：高危漏洞指的是在软件、操作系统、网络设备等信息技术产品中存在的严重安全缺陷。高危漏洞极易被黑客利用导致信息泄露、系统崩溃、权限被非法获取等严重后果。常见的高危漏洞有：SQL注入漏洞、敏感数据泄露漏洞、跨站脚本漏洞、远程命令执行漏洞、文件上传漏洞、应用程序测试脚本泄露等。

高危端口：高危端口是指在计算机网络中，由于其默认服务或功能的特性，容易被攻击者利用来进行非法访问、入侵或攻击的网络端口。常见的高危端口有:135、137、138、139、445、3389等。

弱口令：弱口令是指那些强度较弱、容易被猜测或破解的密码。过于简单的密码很容易被黑客通过暴力破解的方式攻破。常见的弱口令包括：123456、888888、password、admin、abcdefg、生日、电话号码等。其它具体不安全端口，统统关闭，防止攻击和勒索病毒。

高危漏洞、高危端口、弱口令问题门槛低，极易被别有用心之人攻击利用，对单位、企业的正常生产经营造成严重影响。

为避免开放端口变成黑客攻击的入口，在策略上应关闭不必要的端口，或使用更安全的协议，在技术上应强化认证和监测。广大网络运营者可以从以下几个方面降低高危漏洞安全风险。

 四类高危端口

 远程管理服务端口（8类）端口20，21（FTP）

用途：文件传输协议（FTP）用于在客户端和服务器之间传输文件。

风险：FTP传输的数据未加密，容易被窃听，默认配置下还可能存在弱口令。

端口22（SSH）用途：SSH协议用于远程登录和安全数据传输。

风险：如果配置不当或使用弱口令，可能会被暴力破解，虽然较为安全，但仍需加强认证机制以防止暴力破解，建议使用SSHv2。（可以通过命令ssh -Q protocol-version来查询当前SSH协议版本）

端口23（Telnet）用途：远程登录。

风险：Telnet传输的数据未加密，容易被窃听，默认配置下还可能存在弱口令。

端口69（TFTP）用途：简单文件传输协议（TFTP）主要用于在网络上传输文件。它通常用于网络设备配置文件的备份和恢复，以及启动映像的传输。

风险：TFTP 没有内置的加密或认证机制，容易遭受中间人攻击和未经授权的文件访问。

端口3389（RDP）用途：远程桌面协议（RDP）用于远程访问Windows桌面。

风险：如果未正确配置，容易被恶意利用，常被用于远程控制攻击。

端口5900-5902（VNC）用途：VNC（Virtual Network Computing），虚拟网络计算，是一种远程桌面访问协议，让用户能够通过网络连接看到并操控另一台远程计算机的界面。

风险：隐私泄露、恶意软件攻击。

端口512-514（Rlogin）用途：Rlogin是远程登录协议，它允许授权用户进入网络中的其它UNIX机器并且就像用户在现场操作一样，它是Telnet的一个分支，相比Telnet更安全，Rlogin默认使用SSH加密通道。

风险：隐私泄露、恶意软件攻击。

端口873（Rsync）用途：Rsync（Remote Sync）是一种网络文件同步服务，用于实时或增量地在两台计算机之间同步文件。其主要用途是备份、版本控制和数据迁移。

1.2. 局域网服务端口（7类）端口53（DNS）用途：域名系统（DNS）用于将域名解析为IP地址。

风险：DNS服务器可能受到缓存中毒、放大攻击等。

端口111，2049（NFS）用途：NFS（Network File System），网络文件系统，是一种标准的网络文件共享协议，让网络中的设备可以像本地硬盘一样访问和存储数据。

风险：未加密的数据传输可能会泄露敏感信息，同时服务器配置不当可能导致权限滥用或数据损坏。

端口135（RPC）用途：RPC（Remote Procedure Call），远程过程调用，是一种网络通信机制，它允许程序调用其他进程的函数就像它们在同一台机器上运行一样。

风险：配置不当可能导致拒绝服务攻击、未授权访问。

端口137-139（NetBIOS）用途：网络基本输入输出系统（NetBIOS）主要用于文件共享和打印服务。

风险：攻击者可以利用这些端口进行木马病毒传播、窃取机密信息等攻击。

端口161（SNMP）用途：简单网络管理协议（SNMP）用于监控和管理网络设备，如路由器、交换机、服务器等。

风险：如果 SNMP 配置不当，攻击者可能未经授权访问网络设备，甚至受到DoS攻击。

端口389（LDAP）用途：轻量级目录访问协议（LDAP）一种用于访问和维护分布式目录信息服务的协议。它常用于企业环境中，提供身份验证、访问控制、目录查询和数据管理等功能。

风险：如果 LDAP 服务器配置不当，可能导致敏感信息泄露、拒绝服务攻击。

端口445（SMB）用途：SMB（Server Message Block）共享文件系统协议，主要用于Windows网络环境中，允许用户访问和共享文件夹，打印服务等。

风险：权限控制不足可能导致数据泄露或未经授权的访问。

2. 防护措施

2.1. 关闭不必要的端口

使用命令netstat -an查看开放的端口，并使用 iptables 或 firewalld 工具禁用不必要的端口。例如，使用 iptables 防火墙封禁135端口的命令如下：

2.2. 使用安全的替代方案

替代不安全的服务，如用SFTP替代FTP，用SSHv2替代Telnet，用IMAPS/POP3S替代未加密的IMAP/POP3等。

2.3. 使用防火墙和入侵检测系统

配置防火墙规则，限制对高危端口的访问，并部署IDS和IPS来监控和防御异常流量。

2.4. 加强认证机制

对于必须开放的端口，如SSH，应使用强认证机制（如多因素认证），避免使用默认密码，并定期更换密码。

 

常见的不安全端口??

?21端口?：主要用于?FTP服务，FTP传输的数据未加密，容易被窃听，默认配置下可能存在弱口令。

?22端口?：SSH协议用于远程登录和安全数据传输，如果配置不当或使用弱口令，可能会被暴力破解。

?23端口?：Telnet服务用于远程登录，传输的数据未加密，容易被窃听，默认配置下可能存在弱口令。

?25端口?：SMTP服务器用于发送邮件，可能被用于发送垃圾邮件或进行邮件炸弹攻击。

?53端口?：DNS服务器用于域名解析，如果开放DNS服务，黑客可以通过分析DNS服务器直接获取主机IP地址，实施攻击。

?69端口?：TFTP用于在网络上传输文件，没有内置的加密或认证机制，容易遭受中间人攻击和未经授权的文件访问。

?80端口?：HTTP用于Web浏览，如果配置不当或存在已知漏洞，可能被利用。

?110端口?：POP3用于接收邮件，若未配置SSL，可能受到中间人攻击。

?135端口?：RPC远程过程调用协议，易被用于DoS攻击或进行恶意扫描。

?139端口?：NetBIOS网络基本输入/输出系统，可能被用于SMB攻击。

?445端口?：SMB协议端口，与139端口相关，易受攻击。

?5900端口?：VNC用于远程桌面访问，若未配置好或存在已知漏洞，可能被利用。

?这些端口的风险?

?数据泄露?：某些端口如FTP、Telnet、TFTP等传输的数据未加密，容易被窃听或截获。

?弱口令攻击?：许多端口如FTP、Telnet等默认配置下可能存在弱口令，容易被暴力破解。

?中间人攻击?：如TFTP、DNS等端口容易遭受中间人攻击。

?恶意软件攻击?：某些端口如FTP、SMTP等可能被木马程序利用，进行恶意活动。

?防范措施?

?使用防火墙限制访问?：通过防火墙限制对开放端口的访问，减少潜在的安全风险。

?配置强密码和认证机制?：确保服务或应用程序的访问权限通过强密码和认证机制来保护。

?定期更新系统和应用程序?：及时修复已知漏洞，减少被攻击的风险。