一 常见端口漏洞

二 加固防护

2.1 未授权类：

2.1.1 建议采用iptables，确定来源ip的范围

2.1.2 增加认证。不同应用的未授权有不同的认证。比如：

1 k8s的可以在Authentication 增加静态的 password，或者 token；

2 hadoop的可以开启服务级别身份验证，如Kerberos认证；

3 redis类的可以编辑配置文件或者命令行添加密码认证；

2.2 爆破类：

1 ftp、ssh、mysql、mongodb、ldap类：可以使用跳板机+免密登录+fail2ban

2.3 版本类问题：

1 以往漏洞：检测使用的版本号，对比官方安全公告，在不影响应用的正常运行的前提下，把所有能打的补丁都打了

2 应急漏洞：尽可能的打补丁，如果实在打不了，也就只能采取临时解决方法。比如：iptables、虚拟补丁、修改banner。

三 检测

3.1 常规攻击流程如下：

3.1.1 端口扫描和版本探测。确定服务是否开启以及服务的具体版本号。

3.1.2 根据上一步的探测结果针对性的进行攻击测试。

根据以上常规的攻击测试流程，我们可以简单对应做一些检测策略。

3.2 检测策略：

3.2.1 来源ip的信誉度。即建立一个恶意ip库。网上开源的恶意ip库一大堆；

3.2.2 来源ip的访问时间。根据自身业务，一般这些敏感端口的正常访问时间大部分都是工作时间，而突然凌晨2点左右有ip访问并且频率较高，基本可以阻断了；

3.2.3 来源ip访问敏感端口的频率和tcp三次握手的状态。

比如：nmapTCP全扫描时，报文1为SYN，报文2为ACK，端口开放时的报文为：SYN+ACK完成三次握手，端口关闭时的报文为：RST+ACK。TCP半扫描时，报文1位SYN，若端口开放则回SYN+ACK，否则为RST+ACK。其余的TCP ack扫描、TCP windwos扫描、-sM扫描、sN扫描、sF扫描、sX扫描等等的流量特征有时间在具体分享下。

3.2.4 采用一些全流量检测设备，对流量中的banner或者其他特征进行检测。

四 and so on

当然了，还有更多的其他端口，因为时间问题，暂未继续撰写。因个人仅仅是个打杂的，文中若有什么错误，欢迎交流。

只是个打杂，仅供参考，禁止恶意测试。

浊公子于2019年8月12日晚11:48