在哪里可以找到定期更新、可下载的已知恶意软件、木马等常使用的 TCP 和 UDP 端口列表?
这将导入到 IT 资产管理系统中,以帮助识别在安全方面可能需要关注的设备。
答案1
将侦听端口与已知服务进行匹配会容易得多。其他任何事情都是可疑的。除了少数例外,服务都在众所周知的端口上运行。其他通常可以分配固定端口。在任何给定组织中,活动服务(端口)的数量通常比服务文件中的数量少得多。应该可以生成组织中使用的服务列表。
恶意软件和合法软件都会使用许多端口。当我研究它们时,我发现很多我使用的鲜为人知的端口都是恶意软件端口。
扫描服务器以监听端口(外部和内部)并与预期服务进行匹配可能会更有效。
答案2
这样的列表毫无用处,因为恶意软件会使用任何 IP 端口来执行其操作。有些特定的恶意软件会使用自定义端口,这就是为什么良好的安全态势包括为以下恶意软件设置默认拒绝防火墙规则的重要原因:出站连接。为了应对这种特殊的安全态势,恶意软件作者将内容放在 HTTP 上,而这通常是防火墙网络之外允许的。
这样的列表仅适用于识别一小部分可能被感染的计算机。