포트 정보
포트 개념
네트워크 기술에서 포트에는 두 가지 의미가 있습니다. 하나는 ADSL 모뎀, 허브, 스위치 및 연결을 위한 인터페이스와 같은 물리적 의미의 포트입니다. RJ-45 포트, SC 포트 등과 같은 다른 네트워크 장치에 연결됩니다. 두 번째는 논리적 의미의 포트로, 일반적으로 TCP/IP 프로토콜의 포트를 나타냅니다. 포트 번호 범위는 웹 서비스 검색용 포트 80, FTP 서비스용 포트 21 등입니다. 여기서 소개할 것은 논리적인 의미에서의 포트이다.
포트 분류
논리적인 의미에서 포트에 대한 많은 분류 표준이 있습니다. 아래에서는 두 가지 일반적인 분류를 소개합니다.
1. 배포
(1) 잘 알려진 포트
잘 알려진 포트는 0부터 1023까지의 잘 알려진 포트 번호입니다. 이러한 포트 번호는 일반적으로 일부 서비스에 할당됩니다. 예를 들어, 포트 21은 FTP 서비스에 할당되고, 포트 25는 SMTP(Simple Mail Transfer Protocol) 서비스에 할당되고, 포트 80은 HTTP 서비스에 할당되고, 포트 135는 RPC(Remote Procedure Call) 서비스에 할당됩니다. 등.
(2) 동적 포트(동적 포트)
동적 포트 범위는 1024~65535입니다. 이러한 포트 번호는 일반적으로 특정 서비스에 할당되지 않습니다. 즉, 많은 서비스가 이러한 포트 번호를 사용합니다. 포트를 사용할 수 있습니다. 실행 중인 프로그램이 시스템에 네트워크 액세스를 요청하는 한 시스템은 프로그램이 사용할 포트 번호 중 하나를 할당할 수 있습니다. 예를 들어 포트 1024는 시스템에 적용되는 첫 번째 프로그램에 할당됩니다. 프로그램 프로세스가 종료되면 점유된 포트 번호가 해제됩니다.
그러나 바이러스 트로이 목마는 동적 포트를 자주 사용합니다. 예를 들어 Glacier의 기본 연결 포트는 7626, WAY 2.4는 8011, Netspy 3.0은 7306, YAI 바이러스는 1024 등입니다.
2. 프로토콜 종류에 따라 구분
프로토콜 종류에 따라 구분하면 TCP, UDP, IP, ICMP(Internet Control Message Protocol) 등의 포트로 나눌 수 있습니다. 다음은 주로 TCP 및 UDP 포트를 소개합니다:
(1) TCP 포트
전송 제어 프로토콜 포트인 TCP 포트는 클라이언트와 서버 간의 연결을 설정해야 합니다. 안정적인 데이터 전송을 제공할 수 있습니다. 일반적인 포트로는 FTP 서비스의 포트 21, Telnet 서비스의 포트 23, SMTP 서비스의 포트 25, HTTP 서비스의 포트 80 등이 있습니다.
(2) UDP 포트
UDP 포트, 즉 사용자 데이터 패킷 프로토콜 포트는 클라이언트와 서버 간의 연결을 설정할 필요가 없으며 보안이 불가능합니다. 보장됩니다. 일반적인 포트로는 DNS 서비스용 포트 53, SNMP(Simple Network Management Protocol) 서비스용 포트 161, QQ에서 사용하는 포트 8000 및 4000 등이 있습니다.
포트 보기
Windows 2000/XP/Server 2003에서 포트를 보려면 Netstat 명령을 사용할 수 있습니다:
"시작 → 실행"을 클릭하고 "cmd"를 입력하고 Enter를 눌러 명령 프롬프트 창을 엽니다. 명령 프롬프트에 "netstat -a -n"을 입력하고 Enter 키를 누르면 숫자 형식으로 표시된 TCP 및 UDP 연결의 포트 번호와 상태를 볼 수 있습니다.
팁: Netstat 명령 사용법
명령 형식: Netstat ?-a -e -n -o -s?
-a는 모든 활동 TCP를 표시하는 것을 의미합니다. 연결과 컴퓨터가 수신 대기하는 TCP 및 UDP 포트입니다.
-e는 이더넷에서 보내고 받는 바이트 수, 데이터 패킷 수 등을 표시한다는 의미입니다.
-n은 모든 활성 TCP 연결의 주소와 포트 번호만 숫자 형식으로 표시됨을 나타냅니다.
-o는 활성 TCP 연결을 표시하고 각 연결의 프로세스 ID(PID)를 포함한다는 의미입니다.
-s는 포트 번호를 포함하여 프로토콜별로 다양한 연결에 대한 통계를 표시하는 것을 의미합니다.
포트 닫기/열기
다양한 포트의 기능을 소개하기 전에 Windows에서 포트를 닫거나 여는 방법을 소개합니다. 기본적으로 안전하지 않은 포트가 많이 있기 때문입니다. Telnet 서비스의 포트 23, FTP 서비스의 포트 21, SMTP 서비스의 포트 25, RPC 서비스의 포트 135 등 쓸모 없는 포트가 열려 있습니다. 시스템의 보안을 보장하기 위해 다음 방법을 통해 포트를 닫거나 열 수 있습니다.
포트 닫기
예를 들어 Windows 2000/XP에서 SMTP 서비스의 포트 25를 닫으려면 다음과 같이 할 수 있습니다. 먼저 "제어판"을 열고 두 번 클릭합니다. "관리 도구"를 선택한 다음 "서비스"를 두 번 클릭합니다. 그런 다음 열리는 서비스 창에서 "Simple Mail Transfer Protocol (SMTP)" 서비스를 찾아 두 번 클릭하고 "중지" 버튼을 클릭하여 서비스를 중지한 다음 "시작 유형"에서 "사용 안 함"을 선택하고 마지막으로 클릭합니다. "확인"” 버튼을 누릅니다. 이런 방식으로 SMTP 서비스를 닫는 것은 해당 포트를 닫는 것과 같습니다.
포트 열기
포트를 열려면 "시작 유형"에서 "자동"을 선택하고 "확인" 버튼을 클릭한 다음 서비스를 열면 됩니다. "서비스 상태"를 선택하십시오. "시작" 버튼을 클릭하여 포트를 활성화하고 마지막으로 "확인" 버튼을 클릭하십시오.
팁: Windows 98에는 "서비스" 옵션이 없습니다. 방화벽의 규칙 설정 기능을 사용하여 포트를 닫거나 열 수 있습니다.
공통 네트워크 포트
포트: 0
서비스: 예약됨
설명: 일반적으로 운영 체제를 분석하는 데 사용됩니다. 이 방법은 일부 시스템에서 "0"이 유효하지 않은 포트이고 일반적으로 닫힌 포트를 사용하여 연결을 시도할 때 다른 결과를 생성하기 때문에 작동합니다. 일반적인 스캔은 IP 주소 0.0.0.0을 사용하고 ACK 비트를 설정하고 이더넷 계층에서 브로드캐스트합니다.
포트: 1
서비스: tcpmux
설명: 누군가가 SGI Irix 시스템을 찾고 있음을 나타냅니다. Irix는 이러한 시스템에서 기본적으로 활성화되는 tcpmux 구현의 주요 공급자입니다. Irix 시스템은 IP, GUEST UUCP, NUUCP, DEMOS, TUTOR, DIAG, OUTOFBOX 등과 같은 여러 기본 비밀번호 없는 계정으로 출시됩니다. 많은 관리자는 설치 후 이러한 계정을 삭제하는 것을 잊어버립니다. 그래서 HACKER는 인터넷에서 tcpmux를 검색하고 이러한 계정을 악용합니다.
포트: 7
서비스: Echo
설명: 많은 분들이 Fraggle Amplifier를 검색하시면 X.X.X.0, X.X.X.255로 전송되는 정보를 보실 수 있습니다.
포트: 19
서비스: 문자 생성기
설명: 문자만 전송하는 서비스입니다. UDP 버전은 UDP 패킷을 수신한 후 가비지 문자가 포함된 패킷에 응답합니다. TCP 연결이 이루어지면 연결이 닫힐 때까지 가비지 문자가 포함된 데이터 스트림이 전송됩니다. HACKER는 IP 스푸핑을 사용하여 DoS 공격을 시작할 수 있습니다. 두 개의 유료 서버 간에 UDP 패킷을 위조합니다. 동일한 Fraggle DoS 공격은 가짜 피해자 IP가 포함된 패킷을 대상 주소의 이 포트로 브로드캐스팅하고 피해자는 이 데이터에 대한 응답으로 과부하를 받습니다.
포트 21
포트 설명: 포트 21은 주로 FTP(파일 전송 프로토콜, 파일 전송 프로토콜) 서비스에 사용됩니다. FTP 서비스는 주로 두 컴퓨터 간의 파일 전송을 실현하는 데 사용됩니다. 업로드 및 다운로드의 경우 한 컴퓨터는 FTP 클라이언트 역할을 하고 다른 컴퓨터는 FTP 서버 역할을 합니다. 익명 로그인 또는 승인된 사용자 이름 및 비밀번호 로그인을 사용하여 FTP 서버에 로그인할 수 있습니다. 현재 FTP 서비스를 통한 파일 전송은 인터넷에 파일을 업로드하고 다운로드하는 가장 중요한 방법입니다. 또한 FTP 데이터 전송에 사용되는 기본 포트 번호인 포트 20이 있습니다.
Windows에서는 IIS(인터넷 정보 서비스)를 통해 FTP 연결 및 관리를 제공할 수도 있고, FTP 서버 소프트웨어를 별도로 설치하여 일반적인 FTP Serv-U와 같은 FTP 기능을 구현할 수도 있습니다.
작동 제안: 일부 FTP 서버는 익명으로 로그인할 수 있기 때문에 해커에게 악용되는 경우가 많습니다. 또한 포트 21은 Blade Runner, FTP 트로이 목마, Doly Trojan, WebEx 등과 같은 일부 트로이 목마에서도 사용됩니다. FTP 서버를 설정하지 않는 경우 포트 21을 닫는 것이 좋습니다.
포트: 22
서비스: Ssh
설명: PcAnywhere에서 설정한 TCP 연결과 이 포트는 SSH를 찾기 위한 것일 수 있습니다. 이 서비스에는 많은 약점이 있습니다. 특정 모드로 구성하면 RSAREF 라이브러리를 사용하는 많은 버전에 많은 취약점이 있습니다.
포트 23
포트 설명: 포트 23은 주로 Telnet(원격 로그인) 서비스에 사용되며 인터넷에서 일반적으로 사용되는 로그인 및 에뮬레이션 프로그램입니다. Telnet 서비스를 활성화하는 클라이언트는 원격 Telnet 서버에 로그인하고 승인된 사용자 이름과 비밀번호를 사용하여 로그인할 수 있도록 클라이언트와 서버를 설정해야 합니다. 로그인한 후 사용자는 명령 프롬프트 창을 사용하여 해당 작업을 수행할 수 있습니다. Windows에서는 명령 프롬프트 창에 "Telnet" 명령을 입력하여 Telnet을 사용하여 원격으로 로그인할 수 있습니다.
작동 제안: 해커는 Telnet 서비스를 사용하여 원격 로그인 Unix 서비스를 검색하고 운영 체제 유형을 스캔할 수 있습니다. 더욱이, Windows 2000의 Telnet 서비스에는 권한 상승, 서비스 거부 등과 같은 여러 가지 심각한 취약점이 있어 원격 서버에 충돌을 일으킬 수 있습니다. Telnet 서비스의 포트 23은 TTS(Tiny Telnet Server) 트로이 목마의 기본 포트이기도 합니다. 따라서 포트 23을 닫는 것이 좋습니다.
위에서 포트를 닫거나 여는 방법을 소개했고, 포트 21, 23의 내용을 소개했습니다. 다음은 기타 일반적인 포트 설명과 그에 따른 동작 제안을 소개하겠습니다.
포트 25
포트 설명: 포트 25는 SMTP(Simple Mail Transfer Protocol) 서버에 의해 열리고 주로 이메일 전송에 사용됩니다. 오늘날 대부분의 이메일 서버는 모두 이 프로토콜을 사용합니다. 예를 들어 이메일 클라이언트 프로그램을 사용하는 경우 계정을 만들 때 SMTP 서버 주소를 입력하라는 메시지가 표시됩니다. 서버 주소는 기본적으로 포트 25를 사용합니다.
포트 취약점:
1. 해커는 포트 25를 사용하여 스팸을 전달할 SMTP 서버를 찾을 수 있습니다.
2. 포트 25는 Ajan, Antigen, Email Password Sender, ProMail, trojan, Tapiras, Terminator, WinPC, WinSpy 등과 같은 많은 트로이 목마 프로그램에 의해 열립니다. WinSpy를 예로 들어 포트 25를 열면 컴퓨터에서 실행 중인 모든 창과 모듈을 모니터링할 수 있습니다.
작동 제안: SMTP 메일 서버를 설정하지 않으려면 이 포트를 닫으면 됩니다.
포트 53
포트 설명: 포트 53은 DNS(도메인 이름 서버) 서버에 의해 열리고 주로 도메인 이름 확인에 사용됩니다. DNS 서비스는 NT 시스템에서 가장 일반적으로 사용됩니다. . 도메인 이름과 IP 주소 간의 변환은 DNS 서버를 통해 이루어질 수 있습니다. 도메인 이름만 기억하면 웹사이트에 빠르게 접속할 수 있습니다.
포트 취약점: DNS 서비스가 공개되면 해커는 DNS 서버를 분석해 웹 서버 등 호스트의 IP 주소를 직접 알아낸 후 포트 53을 이용해 일부 불안정한 방화벽을 뚫고 공격을 수행할 수 있다. 공격. 최근 미국의 한 기업도 해커 공격에 가장 취약한 10가지 취약점을 발표했는데, 그 중 첫 번째가 DNS 서버의 BIND 취약점이다.
작동 제안: 현재 컴퓨터가 도메인 이름 확인 서비스를 제공하는 데 사용되지 않는 경우 이 포트를 닫는 것이 좋습니다.
포트 67 및 68
포트 설명: 포트 67과 68은 각각 Bootp 끝을 서비스하는 부트스트랩 프로토콜 서버(부트스트랩 프로토콜 서버) 및 부트스트랩 프로토콜 클라이언트(부트스트랩 프로토콜 클라이언트)입니다. ) 포트를 엽니다. Bootp 서비스는 초기 Unix에서 유래된 원격 부팅 프로토콜로, 현재 우리가 자주 사용하는 DHCP 서비스는 Bootp 서비스에서 확장되었습니다. Bootp 서비스는 각 사용자가 고정 IP 주소를 설정할 필요 없이 LAN에 있는 컴퓨터에 IP 주소를 동적으로 할당할 수 있습니다.
포트 취약점: Bootp 서비스가 공개되면 해커는 할당된 IP 주소를 로컬 라우터로 사용하여 "중간자" 방식을 통해 공격을 수행하는 경우가 많습니다.
작동 제안: 이 포트를 닫는 것이 좋습니다.
위에서는 SMTP 서비스용 포트 25, DNS 서버용 포트 53, Bootp 서비스용 포트 67과 68을 소개했습니다. 다음으로 TFTP용 포트 69와 Finger 서비스용 포트 79를 소개하겠습니다. HTTP 서비스에 사용되는 일반적인 80 포트입니다.
포트 69
포트 설명: 포트 69는 TFTP(Trival File Transfer Protocol) 서비스를 위해 열려 있습니다. TFTP는 FTP와 유사하게 Cisco에서 개발한 간단한 파일 전송입니다. 그러나 FTP에 비해 TFTP는 복잡한 대화형 액세스 인터페이스와 인증 제어 기능이 없습니다. 이 서비스는 복잡한 교환 환경이 필요하지 않은 클라이언트와 서버 간의 데이터 전송에 적합합니다.
포트 취약점: 많은 서버가 주로 시스템에서 시작 코드를 다운로드하는 데 사용되는 Bootp 서비스와 함께 TFTP 서비스를 제공합니다. 그러나 TFTP 서비스는 시스템에 파일을 쓸 수 있기 때문에 해커는 TFTP의 잘못된 구성을 사용하여 시스템에서 파일을 얻을 수도 있습니다.
작동 제안: 이 포트를 닫는 것이 좋습니다.
포트 79
포트 설명: 포트 79는 Finger 서비스를 위해 열려 있으며 주로 원격 호스트 온라인 사용자, 운영 체제 유형 및 존재 여부에 대한 자세한 정보를 쿼리하는 데 사용됩니다. 버퍼 오버플로. 예를 들어 원격 컴퓨터 www.abc.com에 있는 user01의 정보를 표시하려면 명령줄에 "finger user01@www.abc.com"을 입력하면 됩니다.
포트 취약점: 일반적으로 해커가 상대방의 컴퓨터를 공격하려고 할 때 해당 포트 스캐닝 도구를 통해 관련 정보를 얻습니다. 예를 들어 "Streamer"를 사용하면 포트 79를 사용하여 운영 체제를 스캔할 수 있습니다. 버전을 확인하고 사용자 정보를 얻고 알려진 버퍼 오버플로 오류도 감지합니다. 이런 식으로 해커의 공격을 받기 쉽습니다. 또한 포트 79는 Firehotcker 트로이 목마의 기본 포트로도 사용됩니다.
작동 제안: 이 포트를 닫는 것이 좋습니다.
포트 80
포트 설명: 포트 80은 HTTP(HyperText Transport Protocol)용으로 열려 있습니다. 이는 인터넷 서핑에 가장 일반적으로 사용되는 프로토콜입니다. WWW(World Wide Web) 서비스에서 정보를 전송하기 위해 사용됩니다. 웹 서비스 검색을 위한 기본 포트 번호는 80이므로 HTTP 주소에 ":80"(일반적으로 "웹 사이트 주소"라고 함)을 추가하면 웹 사이트에 액세스할 수 있습니다. ":80"을 입력합니다.
포트 취약점: 일부 트로이 목마 프로그램은 포트 80을 사용하여 Executor, RingZero 등과 같은 컴퓨터를 공격할 수 있습니다.
작동 제안: 인터넷을 정상적으로 서핑하려면 포트 80을 열어야 합니다.
위의 소개를 통해 TFTP 서비스에 사용되는 포트 69, Finger 서비스에 사용되는 포트 79, 인터넷 서핑을 위한 WWW 서비스에 사용되는 포트 80에 대해 알아보았습니다. 다음은 생소한 포트 99, POP3 서비스에 사용되는 포트 109와 110, RPC 서비스에 사용되는 포트 111을 소개합니다.
포트 99
포트 설명: 포트 99는 "메타그램 릴레이"(하위 대응 지연)라는 서비스에 사용됩니다. 이 서비스는 비교적 드물며 일반적으로 사용되지 않습니다. .
포트 취약점: "Metagram Relay" 서비스는 일반적으로 사용되지 않지만 Hidden Port 및 NCx99와 같은 트로이 목마 프로그램은 이 포트를 사용합니다. 예를 들어 Windows 2000에서는 NCx99가 cmd를 변환할 수 있습니다. exe 프로그램은 포트 99에 바인딩되어 있으므로 Telnet을 사용하여 서버에 연결하고 사용자를 추가하고 원하는 대로 권한을 변경할 수 있습니다.
작업 제안: 이 포트를 닫는 것이 좋습니다
109 및 110 포트
포트 설명: 포트 109는 POP2(Post Office Protocol Version 2, Post Office Protocol 2) 서비스가 열려 있고 POP3(Mail Protocol 3) 서비스를 위해 포트 110이 열려 있습니다. 현재는 POP2와 POP3가 메일 수신에 더 많이 사용되며 많은 서버가 POP2와 POP3를 모두 지원합니다. 클라이언트는 POP3 프로토콜을 사용하여 서버의 메일 서비스에 액세스할 수 있습니다. 현재 대부분의 ISP 메일 서버는 이 프로토콜을 사용합니다. 이메일 클라이언트 프로그램을 사용하는 경우 POP3 서버 주소를 입력하라는 메시지가 표시됩니다. 기본적으로 포트 110이 사용됩니다(그림 참조).
포트 취약점: POP2와 POP3는 메일 수신 서비스를 제공하지만 취약점도 많습니다. POP3 서비스에만 사용자 이름 및 비밀번호 교환 버퍼 오버플로 취약점이 20개 이상 있습니다. 예를 들어 WebEasyMail POP3 서버의 합법적인 사용자 이름 정보 유출 취약점을 통해 원격 공격자가 사용자 계정의 존재를 확인할 수 있습니다. 또한 포트 110은 ProMail 트로이 목마와 같은 트로이 목마 프로그램에서도 사용됩니다. POP 계정 사용자 이름과 비밀번호는 포트 110을 통해 도난당할 수 있습니다.
작동 제안: 메일 서버를 실행 중인 경우 이 포트를 열 수 있습니다.
포트 111
포트 설명: 포트 111은 SUN의 RPC(Remote Procedure Call) 서비스에 의해 열리는 포트이며 주로 분산 시스템의 여러 컴퓨터에 사용됩니다. , RPC는 다양한 네트워크 서비스에서 중요한 구성 요소입니다. 일반적인 RPC 서비스에는 rpc가 포함됩니다. 마운트, NFS, rpc. 상태, rpc. csmd, rpc. ttybd, amd 등 Microsoft의 Windows에는 RPC 서비스도 있습니다.
포트 취약점: SUN RPC는 상대적으로 큰 취약점을 가지고 있는데, 이는 여러 RPC 서비스를 제공할 때 xdr_array 함수의 원격 버퍼 오버플로 취약점입니다.
위에서는 알려지지 않았지만 트로이 목마 공격에 취약한 포트 99, POP 서비스에 사용되는 일반적인 포트 109 및 110, Sun의 RPC 서비스에 사용되는 포트 111을 소개했습니다. 다음은 많은 네트워크 서비스와 밀접하게 관련된 포트 113, NEWS 뉴스 그룹 전송에 사용되는 포트 119, '충격파' 공격을 받은 포트 135를 소개합니다.
포트 113
포트 설명: 포트 113은 주로 Windows의 "인증 서비스"에 사용됩니다. 일반적으로 네트워크에 연결된 컴퓨터는 이 서비스를 실행하며 주로 인증에 사용됩니다. TCP 연결 사용자는 이 서비스를 통해 연결된 컴퓨터에 대한 정보를 얻을 수 있습니다. Windows 2000/2003 Server에는 원격 액세스 시 인증 및 정책 관리를 용이하게 하는 특수 IAS 구성 요소도 있습니다.
포트 취약성: 포트 113은 인증을 용이하게 할 수 있지만 FTP, POP, SMTP, IMAP 및 IRC와 같은 네트워크 서비스에 대한 레코더로도 자주 사용됩니다. 이는 다음과 같은 해당 트로이 목마 프로그램에서 악용됩니다. IRC 채팅방 제어를 기반으로 하는 트로이 목마입니다. 또한 포트 113은 Invisible Identd Deamon 및 Kazimas와 같은 트로이 목마에 대해 기본적으로 열려 있는 포트이기도 합니다.
작동 제안: 이 포트를 닫는 것이 좋습니다.
포트 119
포트 설명: 포트 119는 "Network News Transfer Protocol"(NNTP)용으로 열려 있으며 주로 뉴스 그룹 전송에 사용됩니다. USENET 서버를 찾을 때.
포트 취약성: 유명한 Happy99 웜은 기본적으로 포트 119를 엽니다. 바이러스가 감염되면 지속적으로 이메일을 보내 확산되고 네트워크 정체를 유발합니다.
작동 제안: USENET 뉴스그룹을 자주 사용하는 경우 가끔씩 포트를 닫도록 주의하세요.
포트 135
포트 설명: 포트 135는 주로 RPC(Remote Procedure Call) 프로토콜을 사용하고 RPC를 통해 DCOM(Distributed Component Object Model) 서비스를 제공하는 데 사용됩니다. 한 컴퓨터에서 실행되는 프로그램은 DCOM을 사용하여 원격 컴퓨터에서 코드를 원활하게 실행할 수 있으며 네트워크를 통해 직접 통신할 수 있으며 HTTP 프로토콜을 포함한 다양한 네트워크를 통해 전송될 수 있습니다.
포트 취약점: 작년에 많은 Windows 2000과 Windows XP 사용자가 RPC 취약점을 이용해 컴퓨터를 공격한 '쇼크웨이브' 바이러스에 감염된 것으로 추정됩니다. RPC 자체에는 TCP/IP를 통한 메시지 교환을 처리하는 부분에 취약점이 있는데, 이는 잘못된 형식의 메시지를 잘못 처리함으로써 발생한다. 이 취약점은 RPC와 DCOM 사이의 인터페이스에 영향을 미치며, 이 인터페이스의 수신 포트는 135입니다.
작동 제안: "Shock Wave" 바이러스의 공격을 피하기 위해 이 포트를 닫는 것이 좋습니다.
위 소개를 통해 인증 서비스에 사용되는 포트 113, 네트워크 뉴스 그룹에 사용되는 포트 119, '쇼크웨이브' 바이러스가 사용하는 포트 135에 대해 배웠을 것입니다. 아래에서는 NetBIOS 이름 서비스에 사용되는 포트 137, Windows 파일 및 프린터 공유에 사용되는 포트 139, IMAP 프로토콜에 사용되는 포트 143을 소개합니다.
포트 137
포트 설명: 포트 137은 주로 "NetBIOS 이름 서비스"(NetBIOS 이름 서비스)에 사용됩니다. 사용자는 특정 포트에만 연결하면 됩니다. 컴퓨터의 포트 137에 요청을 보내면 컴퓨터 이름, 등록된 사용자 이름, 주 도메인 컨트롤러 설치 여부, IIS 실행 여부 등의 정보를 얻을 수 있습니다.
포트 취약점: UDP 포트이기 때문에 공격자가 요청을 보내 대상 컴퓨터의 관련 정보를 쉽게 얻을 수 있으며, IIS와 같은 일부 정보를 직접 악용하여 취약점을 분석할 수 있습니다. 서비스. 또한 포트 137을 사용하여 통신되는 정보 패킷을 캡처하면 대상 컴퓨터의 시작 및 종료 시간을 얻을 수 있으므로 특수 도구를 사용하여 공격할 수 있습니다.
작동 제안: 이 포트를 닫는 것이 좋습니다.
포트 139
포트 설명: 포트 139는 "NetBIOS 세션 서비스"를 위해 제공되며 주로 Unix에서 Windows 파일 및 프린터 공유와 Samba 서비스를 제공하는 데 사용됩니다. Windows에서는 LAN에서 파일을 공유하려면 이 서비스를 사용해야 합니다. 예를 들어, Windows 98에서는 "제어판"을 열고 "네트워크" 아이콘을 두 번 클릭한 다음 "구성" 탭에서 "파일 및 인쇄 공유" 버튼을 클릭하고 해당 설정을 선택하여 설치하고 활성화할 수 있습니다. 서비스; Windows 2000/XP에서는 "제어판"을 열고 "네트워크 연결" 아이콘을 두 번 클릭하여 로컬 연결 속성을 연 다음 "일반"에서 "인터넷 프로토콜(TCP/IP)"을 선택할 수 있습니다. 속성 창의 " 탭을 클릭하고 "속성" 버튼을 클릭한 다음 열리는 창에서 "고급" 버튼을 클릭하고 "고급 TCP/IP 설정" 창에서 "WINS" 탭을 선택하고 TCP/IP를 통한 NetBIOS를 활성화합니다. "NetBIOS 설정" 영역에서.
포트 취약성: 포트 139를 열면 가장 독점적인 서비스를 제공할 수 있지만 공격자가 공격을 수행하는 데 자주 사용됩니다. 예를 들어 Streamer 및 SuperScan과 같은 포트 검색 도구를 사용하여 포트 139를 검색할 수 있습니다. 취약점을 발견하면 사용자 이름과 비밀번호를 알아내려고 시도할 수 있는데 이는 매우 위험합니다.
작동 제안: 파일 및 프린터 공유를 제공할 필요가 없다면 이 포트를 닫는 것이 좋습니다.
위에서는 원격 컴퓨터 이름과 같은 정보를 얻을 수 있는 포트 137과 Windows용 파일 및 프린터 공유를 제공하는 포트 139를 소개했습니다. 다음은 이메일 수신 서비스(IMAP)용 포트 143, SNMP 서비스용 포트 161, HTTPS 서비스용 포트 443을 소개합니다.
포트 143
포트 설명: 포트 143은 주로 "인터넷 메시지 액세스 프로토콜" v2(인터넷 메시지 액세스 프로토콜, IMAP이라고도 함)에 사용됩니다. 메일 수신을 위한 전자 프로토콜입니다. IMAP 프로토콜을 통해 이메일을 받지 않고도 편지의 내용을 알 수 있어 서버에서 이메일을 쉽게 관리할 수 있습니다. 그러나 POP3 프로토콜보다 더 책임이 있습니다. 오늘날 대부분의 주요 이메일 클라이언트 소프트웨어는 이 프로토콜을 지원합니다.
포트 취약점: POP3 프로토콜의 포트 110과 마찬가지로 IMAP에서 사용하는 포트 143에도 사용자 이름과 비밀번호를 알아낼 수 있는 버퍼 오버플로 취약점이 있습니다. 게다가 이 포트를 이용해 복제하는 "admv0rm"이라는 리눅스 웜도 있다.
작동 제안: IMAP 서버를 사용하지 않는 경우 이 포트를 닫아야 합니다.
포트 161
포트 설명: 포트 161은 주로 TCP/IP 네트워크를 관리하는 데 사용되는 "간단한 네트워크 관리 프로토콜"(줄여서 SNMP)에 사용됩니다. Windows는 SNMP 서비스를 통해 TCP/IP 네트워크의 호스트 및 다양한 네트워크 장치에 대한 상태 정보를 제공할 수 있습니다. 현재 거의 모든 네트워크 장비 제조업체는 SNMP를 지원합니다.
Windows 2000/XP에 SNMP 서비스를 설치하려면 먼저 "Windows 구성 요소 마법사"를 열고 "구성 요소"에서 "관리 및 모니터링 도구"를 선택한 다음 "세부 정보" 버튼을 클릭하면 됩니다. "SNMP(Simple Network Management Protocol)"를 참조하여 구성요소를 선택한 후 "다음"을 클릭하여 설치하십시오.
포트 취약점: SNMP를 통해 네트워크 내 다양한 기기의 상태 정보를 얻을 수 있고, 이를 네트워크 기기 제어에도 사용할 수 있기 때문에 해커가 SNMP 취약점을 통해 네트워크를 완벽하게 제어할 수 있다.
작동 제안: 이 포트를 닫는 것이 좋습니다.
포트 443
포트 설명: 포트 443은 주로 HTTPS 서비스에 사용되는 포트로, 보안 포트를 통해 암호화 및 전송을 제공하는 또 다른 유형의 HTTP입니다. 은행, 증권, 쇼핑 등과 같이 보안 요구 사항이 높은 일부 웹사이트는 모두 HTTPS 서비스를 사용하므로 다른 사람이 이러한 웹사이트에서 교환되는 정보를 볼 수 없어 거래의 보안이 보장됩니다. 웹페이지 주소는 스트리밍 미디어 파일을 RealPlayer로 전송하여 재생하는 데 사용될 수 있으며, 효과적이고 최대한 활용될 수 있습니다.