如何避免安全部扫描出来的高危端口

原创 已于 2023-07-15 15:22:23 修改 · 1.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #java #安全

于 2023-07-15 12:05:22 首次发布
文章讨论了在公司环境中如何处理可能暴露隐私数据的自建服务或组件端口。提出了三种解决方案:通过防火墙限制外部访问,使用中间件的加密功能,以及建立基于SpringSecurity的反向代理服务器。推荐使用SpringSecurity和smiley-http-proxy-servlet来创建一个需要登录的反向代理,以平衡安全性和便利性。

问题描述

在公司可能会遇见,自己搭建的一套环境,有可能是业务服务,也有可能是外部组件(有可能是公司没有专门维护这套组件的团队,也有可能是不能用,不好用等情况),比如:HDFS、HBase、Yarn、Spark、Mysql等等。
可能不是默认端口,只要扫描到任意端口在监听,通过一些get请求就能获取到隐私数据,可能就会被认为是高危端口。
我遇见的就是HDFS、Yarn的端口被扫描出来了(不是默认端口),理由就是直接通过url就可以访问页面。

解决办法

方法一(推荐)

直接通过防火墙禁止外部ip访问(当然可以允许集群中的其他机器访问)
优点:这种处理办法是最简单的,无需修改配置、代码,如果熟悉的话,几分钟就搞定了
缺点:这样办公网络就无法访问页面了,比如yarn的页面,这样我们开发、处理问题的成本就会很高。
注意:最好别留钩子,比如我禁用了大部分的ip,但是不禁用办公网络发出去的ip,这样确实有可能躲避安全部的扫描,但有违反公司规定的风险,慎重。

方法二

利用中间件自身的加密功能,比如mysql、es、redis等,都是可以设置密码的,无非是复杂一点,所以最好是能够在开发、系统搭建的时候就设置好密码。
优点:是一种非常安全的手段,页面访问之前需要进行权限认证,而且可以本地就可以调试代码(远程连接中间件)
缺点:如果是一开始并没有设置密码,比如es,那后面不光要为es增加密码,而且使用这个es的应用都需要增加账号和密码配置,需要修改代码,成本很高。最重要的是有些组件可能并没有提供账号密码登录,比如:HDFS、Yarn,这些组件好像官方并没有提供登录的功能。

方法三(极力推荐)

一开始想的是利用nginx相关的组件来做登录,但是后面发现还需要依赖一些httpd的底层组价,因为服务器是没法联网的,处理起来比较麻烦,所以就决定先用java能不能简单的搭建一个反向代理。
通过简单的测试,发现SpringSecurity+smiley-http-proxy-servlet就可以无需开发代码实现一个需要登录的反向代理服务器

使用方法
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.mitre.dsmiley.httpproxy</groupId>
            <artifactId>smiley-http-proxy-servlet</artifactId>
            <version>1.12</version>
        </dependency>

@Configuration
public class ProxyServletConfiguration {
    @Value("${proxy.url}")
    private String url;
    @Value("${proxy.target_url}")
    private String targetUrl;

    @Bean
    public ServletRegistrationBean servletRegistrationBean() {
        ServletRegistrationBean servletRegistrationBean = new ServletRegistrationBean(new ProxyServlet(), url);
        servletRegistrationBean.setName("hello");
        servletRegistrationBean.addInitParameter("targetUri", targetUrl);
        servletRegistrationBean.addInitParameter(ProxyServlet.P_LOG, String.valueOf(true));
        return servletRegistrationBean;
    }
}

server.port=8080
spring.security.user.name=dong
spring.security.user.password=dong
server.servlet.session.timeout=10s

proxy.url=/*
proxy.target_url=https://www.baidu.com

因为都是成熟的组件,所以仅仅需要一些配置,就可以完成一个需要登录的反向代理服务器
这下可以放心的使用那些web页面了
优点:非常通用,任何服务都可以进行反向代理,成本低
缺点:需要额外占用一个端口、一些内存来做反向代理(如果用nginx也差不多);如果代码中有直接使用这些端口的代码,那就无法进行本地调试

帅东
关注
什么是端口扫描?如何防止端口扫描?(非常详细)
guo162308的博客
10-22 517
13. **使用云服务和CDN**:利用云服务提供商和内容分发网络(CDN)的安全性,将流量引导至分布式网络,从而隐藏真实的IP地址和端口信息。3. **记录结果**:扫描器记录开放的端口和运行在这些端口上的服务信息,为进一步的分析或攻击提供信息。1. **探测**:扫描器向目标IP地址的特定端口发送请求,例如TCP的SYN包或UDP数据包。- **开放端口**:如果收到响应,表明端口可能是开放的,并且可能在监听请求。- **关闭端口**:如果收到TCP的RST(重置)包,表明端口是关闭的。
什么是端口扫描攻击?如何预防?
网络技术联盟站
07-09 1473
端口扫描攻击是指攻击者通过自动化工具,对目标网络中的主机进行大规模的端口扫描,以识别哪些端口处于开放状态,从而推测出哪些服务正在运行,进而寻找可能的漏洞或弱点,为后续的攻击行动做准备。当一台计算机想要与另一台计算机上的特定服务进行通信时,它会向目标主机的相应端口发送数据包。如果目标端口是开放的,它会回应一个确认消息;如果端口是关闭的,通常不会有响应;而如果端口被防火墙过滤,可能会收到一个错误消息。端口扫描工具就是基于这一原理,通过大量发送数据包,并分析返回的结果,来判断端口的状态。信息泄露。
Check Point防端口扫描
freeit_gyh的博客
05-07 606
本文章简要介绍Check Point NGFW在防端口扫描方面是怎么实现的。 1.官方介绍 官方有一篇SK(110873)是介绍如何通过IPS签名来实现防端口扫描的,签名名称:Host Port Scan。但是通篇读完这个SK,发现这个签名不能直接拦截端口扫描的流量,看完也就放弃深入研究了。 2.SmartEvent Policy Google上搜出来一篇文章,链接如下: https://comm...
服务器如何隐藏端口才能不被扫描
2409_89014517的博客
11-28 3674
服务器如何隐藏端口才能不被扫描
【如何防止网络监听与端口扫描
08-13 1096
1.使用安全工具有许多工具可以让我们发现系统中的漏洞,如SATAN等。SATAN是一个分析网络的管理、测试和报告许多信息,识别一些与网络相关的安全问题。对所发现的问题,SATAN提供对这个问题的解释以及可能对系统和网络安全造成影响的程度,并且通过工具所附的资料,还能解释如何处理这些问题。当然还有很多像这样的安全工具。包括对TCP端口的扫描或者对多台主机的所有TCP端口实现监听;分析网络协...
网络协议端口(信息安全工程师典藏版)
RZer的博客
08-05 3395
计算机“端口”是英文port的译义,可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口,如:USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和I/O(基础输入输出)缓冲区。在网络技术中,端口(Port)有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口,如RJ-45端口、Serial端口等。
拥抱DevOps-“洞犀”高危服务扫描方案.pdf
09-18
“洞犀”高危服务扫描方案是腾讯安全平台部针对上述问题自主研发的漏洞检测系统,该系统专门用于高危服务的检测。其设计理念在于通过扫描测试掌握公司服务器的端口和服务状态,及时发现并收敛高危服务风险。该系统的...
局域网IP扫描工具:获取设备名、IP与端口信息
通过对目标设备进行端口扫描,工具可以探测出哪些服务正在运行、是否存在开放的高危端口(如Telnet、FTP明文传输服务)、是否可能存在未授权访问风险。这使得该工具不仅可用于资产清查,也可作为初步的安全评估手段...
服务器限制某个端口只允许特定IP访问(处理第三方依赖漏洞)
最新发布
io_123io_123的博客
12-16 1621
服务器限制某个端口只允许特定IP访问
信息安全_数据安全_胡珀谈安全运营.pdf
09-18
例如,腾讯公司从聚焦在高危端口整治,转向重点防范Web端口漏洞利用和WebShell上传问题,这要求安全运营团队制定和优化相应的安全策略。 整个分享中,胡珀反复强调了安全运营的持续性和动态性,认为安全运营是一个...
高危端口关闭批处理.bat
12-25
高危端口关闭批处理.bat ,关闭常见的高危端口135,139,445,3389之类端口
关于nmap端口扫描与阻止恶意端口扫描的实验
weixin_42145464的博客
09-15 3616
nmap安装和使用技巧,安装使用中常见失败原因分析和解决办法,iptables中关于阻止端口扫描的设置和操作方法,以及终的实验果展示。
对端口com2的访问被拒绝_端口扫描防御手段
weixin_39589557的博客
12-03 1168
近Boss交给我一个任务,从日志中检测端口扫描。对于这样的任务,一开始我是拒绝的❌。但是,Boss只管分发任务,季度末只看完成结果。没办法,硬着皮头开始看论文。首先搜了一些985高校的论文,发现一篇10多年前的清华大学的。哎,说明这个方向真的没得研究了,检测技术都应该已经非常成熟了,但是为毛我不知道检测规则呢?这个问题开始渐渐困扰着我,下班回来开始搜文献,竟然遇到收费的知网,绕道。PortSen...
iptables防止nmap端口扫描
m0_49137360的博客
07-17 2062
防火墙
如何拒绝端口扫描
weixin_33946605的博客
09-14 1819
为保护路由器不受端口扫描的探测,我们可以记录下试图探测你的IP,并使用IP地址列表记录下,然后拒绝这些IP访问。 在/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" ad...
linux下防止端口扫描
YU__MU__的博客
11-26 339
原文链接:https://blog.youkuaiyun.com/zhaozhanyong/article/details/6741817。3)Ping洪水攻击(Ping of Death)1)防止syn攻击(DDOOS攻击的一种)2)防止各种端口扫描
防止端口扫描shell脚本
米克源码的博客
01-24 274
网上有现在的防端口工具,如psad、portsentry,但觉得配置有点麻烦,且服务器不想再装一个额外的软件。所以自己就写了个shell脚本实现这个功能。基本思路是:使用iptables的recent模块记录下在60秒钟内扫描超过10个端口的IP,并结合inotify-tools工具实时监控iptables的日志,一旦iptables日志文件有写入新的ip记录,则使用iptables封锁源ip,起到了防止端口扫描的功能。新建脚本iptables.sh,执行此脚本。3、防端口扫描shell脚本。
如何防止黑客恶意扫描你的计算机
yyj173637的博客
04-10 1940
入侵者的每一次入侵几乎都是从扫描开始的,扫描软件首先会判断远程计算机是否存在,接着对存在的远程计算机进行扫描,探测其开放的端口。入侵者通过扫描的结果可以确定目标主机打开的端口、服务、以及存在的各种漏洞等信息,然后实施攻击,因此防扫描是非常重要的。前置知识:1、扫描工具攻击者采用的扫描手段是很多的,可以使用Ping、网络邻居、SuperScan、NMAP、NC等命令和工具进行远程计算机的扫描
winbox 端口扫描_如何拒绝端口扫描
weixin_39958100的博客
12-22 383
为保护路由器不受端口扫描的探测,我们可以记录下试图探测你的IP,并使用IP地址列表记录下,然后拒绝这些IP访问。在/ip firewall filteradd chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值