V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
GoodRui
V2EX  ›  问与答

请教大佬们,高位端口安全性高?

  •  
  •   GoodRui · 2022-04-16 07:58:04 +08:00 · 3967 次点击
    这是一个创建于 949 天前的主题,其中的信息可能已经有所发展或是发生改变。

    安装暴露在公网的应用时,很多教程、官方文档都会建议自定义一个不常用的高位端口,61854 这样的。我有点纳闷,1~65535 ,除了固定的知名端口外,其它端口不都是等价的吗?如果怕被扫描被攻击,放到 5 万 6 万这种地方,黑客就不扫了???

    13 条回复    2023-01-26 15:02:11 +08:00
    oneisall8955
        1
    oneisall8955  
       2022-04-16 08:03:45 +08:00 via Android
    成本问题吧
    smallfount
        2
    smallfount  
       2022-04-16 08:15:12 +08:00
    因为扫描多个端口就要加更多的成本啊....而且目标本来就是弱安全的那些...
    IvanLi127
        3
    IvanLi127  
       2022-04-16 08:21:56 +08:00 via Android
    还真是不扫,或者说被扫的概率低很多。
    KasuganoSoras
        4
    KasuganoSoras  
       2022-04-16 08:27:33 +08:00
    不容易被扫 ≠ 不会被扫
    因为大部分扫爆的都是广撒网,全网所有 IP 或者某个 IP 段扫描指定端口,因此如果每增加一个扫描端口,它的扫描时间都会成倍增加,成本太高。所以你设置一个高位随机端口可以降低被扫描到的可能性,但不代表完全不会被扫描到,因此还是要做好相应的安全策略。
    crab
        5
    crab  
       2022-04-16 08:29:34 +08:00
    高位端口被扫更多是针对性指定某个 IP ,而常用端口按 IP 段范围。
    ziseyinzi
        6
    ziseyinzi  
       2022-04-16 08:44:32 +08:00
    大于 1024 都一样
    opengps
        7
    opengps  
       2022-04-16 08:54:59 +08:00
    只要不是常规被选用的固定端口,安全性其实就差不多了。对于那些所谓超过 65535 的,其实多了一层求余数,效果等同于计算后的原始端口
    micean
        8
    micean  
       2022-04-16 10:24:54 +08:00 via Android
    为什么公网应用要通过端口暴露,而不走反向代理?自定义域名被扫的几率更低吧
    AS4694lAS4808
        9
    AS4694lAS4808  
       2022-04-16 10:29:57 +08:00 via Android
    没啥区别,ssh 开在 5 万,开了 fail2ban 一天能 ban 掉几千个 ip
    ZeroClover
        10
    ZeroClover  
       2022-04-16 13:46:30 +08:00
    事实上现在对 IPv4 扫全端口的成本也不高,至少对于 SSH HTTP 这种常见协议来说是不高

    我开在高位端口上的蜜罐也能每天有几万条连接日志。
    GoodRui
        11
    GoodRui  
    OP
       2022-04-16 14:31:18 +08:00
    @oneisall8955
    @smallfount
    @IvanLi127
    @KasuganoSoras
    @crab
    @ziseyinzi
    @opengps
    @micean
    @AS4694lAS4808
    @ZeroClover

    感谢老哥们,大体明白了,也就那样呗
    DeltaC
        12
    DeltaC  
       2023-01-26 09:28:58 +08:00   ❤️ 1
    不一定是高位,建议避开 nmap 常用的 1000 个端口,可以通过 `nmap -v -oG - | grep "Ports scanned" ` 查看。

    完整的端口频率请见
    https://raw.githubusercontent.com/nmap/nmap/master/nmap-services
    GoodRui
        13
    GoodRui  
    OP
       2023-01-26 15:02:11 +08:00
    @DeltaC 茅塞顿开!是不是可以这样理解:通常脚本扫描也是有一份默认端口名单的,不在这个名单里的被扫的概率就小多了?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3331 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 11:44 · PVG 19:44 · LAX 03:44 · JFK 06:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.