포트 취약성: 일부 트로이 목마는 Executor 및 RingZero 와 같은 포트 80 을 사용하여 컴퓨터를 공격할 수 있습니다.
조작 권장 사항: 정상적인 인터넷 접속을 위해서는 80 포트를 열어야 합니다.
위 소개를 통해 우리는 TFTP 서비스의 69 포트, 손가락 서비스의 79 포트, WWW 서비스의 80 포트에 대해 인터넷을 통해 알게 되었습니다. 익숙하지 않은 포트 99, 포트 109, POP3 서비스의 포트 1 10 및 RPC 서비스의 포트1/kloc-에 대해 설명합니다
포트 99
포트 설명: 포트 99 는' 메타구문 트렁킹' 이라는 서비스에 사용되며, 이 서비스는 보기 드물고 일반적으로 사용되지 않습니다.
포트 취약성:' 메타 구문 릴레이' 서비스는 자주 사용되지 않지만 숨겨진 포트 및 NCx99 와 같은 트로이 프로그램에서 이 포트를 사용합니다. 예를 들어, Windows 2000 에서 NCx99 는 cmd.exe 프로그램을 99 포트에 바인딩하여 텔넷으로 서버에 연결하고 사용자를 자유롭게 추가하고 권한을 변경할 수 있습니다.
조치 제안: 이 포트를 닫는 것이 좋습니다.
109, 1 10 포트
포트 설명: 포트 109 는 우체국 프로토콜 2 (우체국 프로토콜 버전 2) 서비스용으로 개방되고 포트 1 10 은 POP3 (메일 프로토콜 3) 서비스용으로 개방됩니다. POP2 와 POP3 은 주로 메일 수신에 사용됩니다. 현재 POP3 은 널리 사용되고 있으며 많은 서버가 POP2 와 POP3 을 모두 지원합니다. 클라이언트는 POP3 프로토콜을 사용하여 서버의 메일 서비스에 액세스할 수 있으며, 현재 ISP 의 대부분의 메일 서버는 이 프로토콜을 사용합니다. 전자 메일 클라이언트 프로그램을 사용할 때 POP3 서버 주소를 입력하라는 메시지가 나타납니다. 기본적으로 포트 1 10 이 사용됩니다 (그림 참조).
포트 취약성: POP2 와 POP3 은 메일 수신 서비스를 제공하는 동시에 많은 취약점을 가지고 있습니다. POP3 서비스의 사용자 이름 및 암호 교환 버퍼 취약점만 20 개 이하입니다. 예를 들어, WebEasyMail POP3 서버의 합법적 사용자 이름 정보 유출 취약점은 원격 공격자가 이를 통해 사용자 계정의 존재를 확인할 수 있습니다. 또한 1 10 포트도 ProMail 트로이 목마 등 트로이 목마에 이용돼 1 10 포트를 통해 POP 계정의 사용자 이름과 비밀번호를 훔칠 수 있다.
조치 제안: 메일 서버를 실행하는 경우 이 포트를 열 수 있습니다.
1 1 1 포트
포트 설명: 포트 1 1 1 은 SUN 의 RPC (remote procedure call) 서비스의 오픈 포트이며 분산 시스템에 있는 여러 컴퓨터의 내부 프로세스 통신에 주로 사용됩니다. RPC 는 다양한 네트워크 서비스에서 매우 중요한 구성요소입니다. 일반적인 RPC 서비스는 rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd 등입니다. Microsoft Windows 에서도 RPC 서비스가 있습니다.
포트 취약성: SUN RPC 에는 xdr_array 함수에 여러 RPC 서비스가 있을 때 원격 버퍼 오버플로 취약점이 있다는 큰 취약점이 있습니다.
앞서 트로이의 공격에 취약한 알 수 없는 99 포트, POP 서비스의 공통 109, 1 10 포트 및 Sun 의 RPC 서비스의/KLOC-0 에 대해 설명했습니다. 다음은 많은 인터넷 서비스와 밀접한 관련이 있는 1 13 포트, 뉴스 뉴스 뉴스 그룹 전송을 위한 1 19 포트,' 충격파' 공격에 의한/kloc
1 13 포트
포트 설명: 포트 1 13 은 주로 Windows 인증 서비스에 사용됩니다. 일반적으로 네트워크에 연결된 컴퓨터는 이 서비스를 실행하며, 주로 TCP 에 연결된 사용자를 인증하는 데 사용되며, 이 서비스를 통해 컴퓨터에 연결된 정보를 얻을 수 있습니다. Windows 2000/2003 Server 에는 원격 액세스에서 인증 및 정책 관리를 용이하게 하는 특수 IAS 구성 요소가 있습니다.
포트 취약성: 1 13 포트는 인증을 용이하게 하지만 FTP, POP, SMTP, IMAP, IRC 에 대한 레코더로 자주 사용되며 IRC 대화방에서 제어하는 트로이 목마와 같은 해당 트로이 목마에 사용됩니다. 또한 1 13 포트도 스텔스 Identd Deamon, Kazimas 등 트로이 마의 기본 오픈 포트입니다.
조치 제안: 이 포트를 닫는 것이 좋습니다.
1 19 포트
포트 설명: 1 19 포트는 NNTP (network news transfer protocol) 에 개방되어 있으며, 주로 뉴스그룹 전송에 사용되며 USENET 서버를 검색할 때 사용됩니다.
포트 취약성: 잘 알려진 Happy99 웜 바이러스는 기본적으로 1 19 포트를 엽니다. 감염되면 계속 메일을 보내 전파를 하게 돼 인터넷 혼잡을 초래한다.
조치 제안: USENET 뉴스그룹을 자주 사용하는 경우, 수시로 포트를 닫아야 합니다.
포트 135
포트 설명: 포트 135 는 주로 RPC (remote procedure call) 프로토콜을 사용하여 DCOM (distributed component object model) 서비스를 제공하는 데 사용됩니다. RPC 를 사용하면 컴퓨터에서 실행되는 프로그램이 원격 컴퓨터에서 코드를 성공적으로 실행할 수 있습니다. DCOM 을 사용하면 네트워크를 통해 직접 통신할 수 있으며 HTTP 프로토콜을 포함한 다양한 네트워크를 통해 전송할 수 있습니다.
포트 취약성: 지난해 많은 Windows 2000 및 Windows XP 사용자가 RPC 취약점을 이용해 컴퓨터를 공격하는' 충격파' 바이러스에 감염되었다고 생각합니다. RPC 자체는 잘못된 형식의 메시지 처리로 인해 TCP/IP 를 통한 메시지 교환을 처리하는 데 허점이 있습니다. 이 취약점은 135 포트를 수신하는 RPC 와 DCOM 간의 인터페이스에 영향을 미칩니다.
조작 권장 사항: "충격파" 바이러스의 공격을 방지하기 위해 이 포트를 닫는 것이 좋습니다.
위 소개를 통해 인증 서비스의 포트 1 13, 인터넷 뉴스그룹의 포트 1 19,' 충격파' 바이러스가 사용하는 포트를 알고 계실 겁니다. 다음으로 작성자는 NetBIOS 이름 서비스의 137 포트, Windows 파일 및 프린터의 139 포트, IMAP 프로토콜의 143 포트를 소개합니다.
포트 137
포트 설명: 포트 137 은 주로' NetBIOS 이름 서비스' 에 사용되며 UDP 포트에 속합니다. 사용자는 LAN 또는 인터넷에 있는 한 컴퓨터의 포트 137 로 요청을 보내기만 하면 컴퓨터 이름, 등록 사용자 이름, 마스터 도메인 컨트롤러 설치 여부, IIS 실행 여부 등을 얻을 수 있습니다.
포트 취약성: UDP 포트이기 때문에 공격자는 요청을 전송하여 대상 컴퓨터의 정보를 쉽게 얻을 수 있으며 IIS 서비스와 같은 취약점을 분석하는 데 직접 사용할 수 있는 정보도 있습니다. 또한 포트 137 을 통해 통신하고 있는 패킷을 캡처하여 특수 도구를 사용하여 공격할 수 있도록 대상 컴퓨터의 시작 및 종료 시간을 얻을 수 있습니다.
조치 제안: 이 포트를 닫는 것이 좋습니다.
포트 139
포트 설명: 포트 139 는 NetBIOS 세션 서비스를 위해 제공되며 주로 Windows 파일 및 프린터, Unix 의 삼바 서비스에 대한 액세스를 제공하는 데 사용됩니다. Windows 에서는 이 서비스를 사용하여 LAN 의 파일을 감상해야 합니다. 예를 들어 Windows 98 에서는 제어판을 열고 네트워크 아이콘을 두 번 클릭한 다음 구성 탭에서 파일 및 인쇄 * * * 버튼을 클릭하고 적절한 설정을 선택하여 서비스를 설치 및 활성화할 수 있습니다. Windows 2000/XP 에서는 제어판을 열고 네트워크 연결 아이콘을 두 번 클릭하여 로컬 연결 속성을 열 수 있습니다. 다음으로 속성 창의 일반 탭에서 인터넷 프로토콜 (TCP/IP) 을 선택하고 속성 버튼을 클릭합니다. 그런 다음 열린 창에서 고급 버튼을 클릭합니다. 고급 TCP/IP 설정 창에서 WINS 탭을 선택하고 NetBIOS 설정 영역에서 TCP/IP 에서 NetBIOS 를 활성화합니다.
포트 취약성: 오픈 포트 139 는 * * * 액세스 서비스를 제공할 수 있지만 공격자가 자주 공격합니다. 예를 들어 Streamer 및 SuperScan 과 같은 포트 스캔 도구를 사용하여 대상 컴퓨터의 포트 139 를 스캔할 수 있습니다. 허점이 발견되면 사용자 이름과 비밀번호를 얻을 수 있는 것은 매우 위험하다.
조치 제안: 파일 및 프린터를 제공할 필요가 없는 경우 이 포트를 닫는 것이 좋습니다.
앞서 원격 컴퓨터 이름 정보를 얻을 수 있는 포트 137 과 Windows 에 파일과 프린터를 제공할 수 있는 포트 139 에 대해 설명했습니다. 다음은 메일 수신 서비스 (IMAP) 포트 143, SNMP 서비스 포트 16 1, HTTPS 서비스 포트 443 에 대해 설명합니다.
포트 143
포트 설명: 포트 143 은 주로 인터넷 메시지 액세스 프로토콜 V2 (인터넷 메시지 액세스 프로토콜) 에 사용되며 POP3 과 마찬가지로 이메일을 수신하는 프로토콜입니다. IMAP 프로토콜을 사용하면 메시지를 받지 않고도 메시지 내용을 알 수 있어 서버에서 메시지를 쉽게 관리할 수 있습니다. 그러나 POP3 프로토콜보다 더 책임이 있습니다. 오늘날 대부분의 주요 e-메일 클라이언트 소프트웨어는 이 프로토콜을 지원합니다.
포트 취약성: POP3 프로토콜의 1 10 포트와 마찬가지로 IMAP 에서 사용하는 143 포트에도 버퍼 오버플로우 취약점이 있어 사용자 이름과 암호를 얻을 수 있습니다. 또한' admv0rm' 이라는 Linux 웜이 이 포트를 사용하여 전파됩니다.
작업 권장 사항: IMAP 서버 작업이 아닌 경우 포트를 닫아야 합니다.
16 1 포트
포트 설명: 포트 16 1 SNMP (simple network management protocol) 에 사용되며 주로 TCP/IP 네트워크에서 네트워크 프로토콜을 관리하는 데 사용됩니다. Windows 에서 SNMP 서비스는 TCP/IP 네트워크의 호스트 및 다양한 네트워크 디바이스에 대한 상태 정보를 제공합니다. 현재 거의 모든 네트워크 장비 공급업체가 SNMP 를 지원합니다.
Windows 2000/XP 에 SNMP 서비스를 설치하려면 먼저 Windows 구성 요소 마법사를 열고 구성 요소에서 관리 및 모니터링 도구를 선택한 다음 세부 정보 를 클릭하여 SNMP (simple network management protocol) 를 보고 구성 요소를 선택합니다. 그런 다음 다음 을 클릭하여 설치합니다.
포트 취약성: SNMP 를 통해 네트워크의 다양한 장치에 대한 상태 정보를 얻을 수 있고 네트워크 장치를 제어하는 데 사용할 수 있기 때문에 해커는 SNMP 취약점을 통해 네트워크를 완전히 제어할 수 있습니다.
조치 제안: 이 포트를 닫는 것이 좋습니다.
포트 443
포트 설명: 포트 443, 웹 브라우징 포트, 주로 HTTPS 서비스에 사용되며 보안 포트를 통해 암호화 및 전송을 제공하는 또 다른 HTTP 입니다. 일부 보안 요구 사항이 높은 사이트 (예: 은행, 증권, 쇼핑 등) 에서. , HTTPS 서비스를 사용하여 이러한 사이트에서 교환되는 정보를 다른 사람이 볼 수 없도록 하여 거래의 보안을 보장합니다. 웹 페이지의 주소는 스트리밍 미디어 파일을 RealPlayer 로 전송하여 재생하는 데 사용할 수 있어 활용을 극대화할 수 있습니다.