堵住FTP恶意软件的“后门端口”
作者: 日期:2013年12月30日 阅:2,743

slide_7careerarticles

根据Palo Alto Networks的研究报告,越来越多的恶意软件开始盯上FTP这样的“老”端口,例如恶意软件经常使用TCP 20和21之外的端口来通过FTP协议发送恶意软件。那么,企业该如何监控这些“非标准”的FTP端口呢?

很多企业习惯将大数值端口开放(无安全防护措施)用于测试和管理等,黑客也因此可以通过在非标准端口上使用FTP潜入网络,如果企业的安全监控不到位,这些恶意流量很容易被误当成标准FTP流量。

其实只要正确配置防火墙就能在非标准端口FTP流量发生时触发警报,从而防范此类攻击。例如对于非加密FTP命令如USER、PASS、LIST和RETR等进行报警就是很有效的方法。

此外,还可以考虑对常见FTP返回代码报警,包括331(用户名正确,需要密码)和125(数据连接打开,传输开始)。如果您的企业尚未采取类似措施,请尝试对FTP流量进行一段时间的监控,将所有流量和端口与合法业务建立映射,然后封锁不常用的FTP端口。这样可以确保FTP恶意软件无法通过“后门端口”进入网络。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章