这总是让我感到困惑。为什么在计算机上打开端口会很糟糕?假设您的计算机或其他程序上没有病毒,侦听该端口的病毒实际上可能会执行某些操作,那么为什么打开该端口很重要?如果某个恶意人员开始将数据包发送到端口,但是却没有接收数据并对其执行任何操作的原因,为什么呢?计算机不仅会任意执行接收到的任何数据。我知道用数据包淹没计算机可能会导致崩溃,因为它无法处理大量数据,但是我只考虑了实际上会更改计算机文件的安全性问题。
更新资料
到目前为止,感谢您的答复。我现在知道,端口实际上是打开的,意味着有一个程序可以在该端口上侦听。但是为什么编写如此难以开发的软件如此困难?要对计算机造成任何实际损害,程序就不必允许上传一个或多个文件,然后需要执行其中一个文件。似乎很难意外地做到这一点。
Answers:
如果某人未监听端口上的连接,则该端口未打开。
将所有端口都开放给所有用户的形式不好的原因是,它会将那些正在监听这些端口的服务暴露给漏洞利用程序。这就是存在防火墙的原因,以限制允许连接到某些端口的内容,以减少服务暴露的表面积。
编辑
要解决您有关人们为什么不能仅仅编写无法利用的软件的问题,请执行以下操作:
对于简单的程序来说,这相当容易,但是许多需要套接字的程序却很复杂。因此,它们具有许多组件,其中许多组件甚至都不是开发人员最有可能编写的(包括库)。当存在可以使用的强化方法(例如防火墙)时,您不能依靠其他人来确保网络的安全。
如您所指出的,任意/远程执行代码是巨大的风险。不幸的是,缓冲区溢出和其他允许它的安全漏洞很常见。看看任何Microsoft安全更新,我敢打赌它会修补远程代码执行或特权提升,而MS是一家拥有数百名开发人员和数十亿美元资产的庞大公司。
关于您编写的更新:
到目前为止,感谢您的答复。我现在知道,端口实际上是打开的,意味着有一个程序可以在该端口上侦听。但是为什么编写如此难以开发的软件如此困难?要对计算机造成任何实际损害,程序就不必允许上传一个或多个文件,然后需要执行其中一个文件。似乎很难意外地做到这一点。
这是非常到无法被利用写软件很难!
我读过《Building Secure Software》一书,其中讨论的一件事是利用堆栈溢出。那里有两个非常可怕的事实:
因此,如果黑客发现某个程序,该程序(a)有一个堆栈溢出错误,(b)可通过网络利用该漏洞,并且(c)缓冲区中有几个100字节的备用字节,则将对您的计算机进行伪造。幸运的是,有关堆栈溢出错误的知识现在是相当普遍的知识,但是它们仍然会弹出。5年前甚至更长时间,这是一个更常见的问题。
回到最初的问题,您应该避免打开端口,以免由于程序中的可利用错误而引起意外。现在,您有第二个原因:黑客随后将使用的远程外壳是另一个开放端口。如果您的防火墙阻止了除您明确允许的所有内容之外的防火墙,您还将阻止该远程外壳程序(尽管黑客仍然可以对您的计算机执行其他令人讨厌的操作,因此请不要自满!)
如果您有开放的端口,则可以安全地处理进入的东西的程序没有可用的漏洞利用。但是漏洞攻击一直在被发现,很高兴知道有很多端口扫描在网上进行,以寻找目标。
封闭的端口仍会响应akser,因此可能的攻击者知道可以继续检查其他端口。再说一遍,这就是专门针对互联网的工作方式。尽管隐形端口试图不向潜在攻击者提供任何信息,但从理论上讲,它们违反了规范。
从安全角度来看,任何开放端口都是巨大的漏洞,因为代码被用于处理外来数据。防火墙(或NAT路由器)的作用是确保即使系统具有一些开放的端口,也没有传入的流量到达您的计算机。这样,它们有效地关闭了所有端口。
假设您的计算机或其他程序上没有病毒,侦听该端口的病毒实际上可能会执行某些操作,那么为什么打开该端口很重要?如果某个恶意人员开始将数据包发送到端口,但是却没有接收数据并对其执行任何操作的原因,为什么呢?
假设是所有事情的源泉:)
比后悔更安全...在makeuseof.com上为您提供的好阅读:
我没有安全出口,但是做了一些研究...“开放”端口是设置为接受传入TCP连接的端口。
如果您的应用仅在端口9、21和80上侦听,并且防火墙阻止了对这三个端口的访问,则从技术上讲您没有打开任何端口。例如,IOW端口25未打开,因为没有人在监听它。
回答您的问题:在计算机上打开端口之所以不好,是因为可以很容易地发现这些端口,一旦发现这些端口,它们现在就容易受到监听应用程序的漏洞的影响。
出于同样的原因,您在家中关闭和锁上门窗。