网络通信是数字世界不可分割的一部分。连接到网络系统的所有计算机、智能手机和其他数字设备经常交换数据。无论是连接到同一本地网络的其他设备还是远距离的服务器,您的计算机通常依赖其他系统来处理和完成任务。
Windows 系统具有称为远程过程调用 (RPC) 服务的功能。 RPC 是程序请求另一台计算机代表其执行功能的一种方式。由于许多不同的应用程序需要同时通过网络进行通信,因此我们需要一种正确引导流量的方法。这就是远程连接端口的用武之地。您可以将端口想象成公寓楼中的邮箱号码。尽管所有居民共享相同的街道地址(IP 地址),但每间公寓都有唯一的编号(端口),以便邮件(数据)被传递到正确的地方。
TCP 端口是传输控制协议的缩写,专为特定任务而设计。一些常见的 Windows RPC 端口包括:
- 端口 443:用于安全网站 (HTTPS)。
- 端口 25:用于电子邮件发送 (SMTP)。
- 端口 53:用于域名服务 (DNS)。
- 端口 135:用于远程过程调用 (RPC) 服务,我们将在本文中重点介绍该服务。
TCP 端口 135 使 Windows 服务和应用程序能够进行通信,以完成下载 Windows 安全更新、管理业务网络 (Active Directory) 中的权限以及通过 Microsoft Exchange Server 处理办公环境中的电子邮件等任务。由于 RPC 对于基于 Windows 的网络至关重要,因此端口 135 在使服务正常运行方面发挥着重要作用。然而,由于 Windows RPC 端口和 DCOM 中的端口 135 漏洞,TCP 端口 135 也是攻击者的常见目标,这些漏洞可能使系统遭受恶意软件、拒绝服务攻击和未经授权的访问。在这篇文章中,我们将仔细研究端口 135 的用途、与此远程连接端口相关的安全风险,以及保护 Windows 端口 135 以确保网络安全稳定的最佳实践。
什么是 TCP 端口 135?
重要的是要更多地了解 TCP 端口 135 及其工作原理,以便更好地了解围绕它的安全风险。作为跨 Windows 计算机使用的远程连接端口,TCP 端口促进 RPC 服务并允许一个程序请求另一台计算机代表其执行功能。这使得应用程序之间通过网络进行通信的框架成为可能。当计算机连接到远程服务器执行任务时(无论是接收每个用户请求的数据还是管理网络权限),Windows RPC 端口 135 都会确保请求按应有的方式发送和接收。它充当远程连接端口,将 RPC 流量引导到正确的服务,就像在繁忙的办公室中指挥呼叫的接待员一样。
如前所述,TCP 135 在系统维护和功能中发挥着关键作用。如果没有它,许多核心 Windows 服务将无法通过网络进行交互。尽管它很重要,但它也带来了许多攻击者和不良行为者可以利用的 135 端口漏洞。这些网络端口 135 漏洞可能会将恶意软件带入企业网络,允许未经授权的访问,甚至导致拒绝服务 (DoS) 攻击。即使提到的威胁之一也足以强调全面保护 Windows 端口 135 以保护单个系统和整个网络的重要性。
开始写博客
在顶级硬件上自行托管您的 WordPress,具有 NVMe 存储和全球最低延迟 - 选择您最喜欢的发行版。
获取 WordPress VPS
Windows端口135及其在系统管理中的作用
TCP 端口 135 的主要职责之一是处理 Windows 更新并确保系统无需人工干预即可接收最新的安全补丁和性能改进。这对于维护安全稳定的基础设施至关重要,因为过时的系统通常是网络攻击的首要目标。然而,网络端口 135 不仅仅用于更新,它还在 Active Directory 中发挥着核心作用,Active Directory 是企业环境中用户身份验证和访问控制的支柱。 Windows 端口 135 允许组织对所有用户及其设备进行集中监督。这可以是从管理登录凭据到执行安全策略的任何内容。如果没有它,企业将难以执行安全性,面临未经授权的访问和运营效率低下的风险。
Microsoft Exchange、文件共享和远程系统管理
TCP 135 的另一个重要应用是它在 Microsoft Exchange Server 中的作用,它支持跨业务环境的电子邮件通信、日历更新和联系人同步。此外,文件共享和远程系统管理在很大程度上依赖于 Windows RPC 端口,允许管理员无需物理访问即可控制计算机、解决问题以及跨网络部署更新。无论是管理业务通信还是保持 IT 基础设施平稳运行,网络端口 135 都是这些基本操作的核心。
端口 135 RPC 和分布式组件对象模型 (DCOM)
除了直接 RPC 功能之外,端口 135 RPC 与分布式组件对象模型 (DCOM) 紧密相连,它支持机器之间基于对象的通信。通过 DCOM,应用程序可以与远程数据和组件进行交互,就像它们存储在本地一样。无论是获取文件、访问数据库还是运行自动化进程,DCOM 和端口 135 都会配对以实现全面通信。鉴于 Windows 端口 135 的广泛且重要的作用,对于运行基于 Windows 的基础设施的组织来说,保护它是一个不容妥协的优先事项。如果暴露,此远程连接端口可能会成为网络犯罪分子的公开邀请。
TCP 端口 135 的安全影响
虽然 TCP 端口 135 对于 Windows RPC 服务至关重要,但由于它与 RPC 服务和 DCOM 通信关联,它也是最常被攻击的网络端口之一。这些协议是基于 Windows 的网络的基础,但其设计留下了可利用的空间,使 Windows 端口 135 成为网络犯罪分子的主要攻击媒介。与 TCP 135 相关的最大风险之一是其在重大网络攻击中被利用的历史。这 冲击波蠕虫病毒,在 2000 年代初期造成了严重破坏,利用135端口漏洞在网络上传播并在未经用户许可的情况下启动命令。最近, WannaCry 勒索软件攻击 利用未修补的 RPC 弱点以前所未有的规模传播,导致文件加密并要求全球受害者支付赎金。
除了恶意软件传播之外,网络端口 135 还经常被用于拒绝服务 (DoS) 攻击。攻击者可以通过过多的请求和依赖于 RPC 的服务来压垮 TCP 135,从而减慢速度或完全崩溃。对 Windows 端口 135 的有针对性的攻击可能会破坏整个组织的工作流程,并使系统全面无法访问。由于 TCP 135 端口用于促进基于 Windows 的网络中的远程连接端口,因此攻击者还可能利用它来执行未经授权的命令或提升系统内的权限。如果黑客通过暴露的 Windows RPC 端口获得访问权限,他们就可以在网络中横向移动、安装恶意软件或提取敏感数据,而所有这些都在受害者不知情的情况下进行。
如何保护 TCP 端口 135
由于其范围广泛,保护 TCP 端口 135 需要选中多个复选框,以最大程度地减少 DoS 攻击、未经授权的访问、恶意软件感染和其他安全风险的机会。通常,解决有关 Windows 端口 135 的所有未解决问题的首选选项是设置防火墙规则、端口限制和定期安全补丁。
使用防火墙限制或阻止访问
确保 TCP 135 安全的最有效方法之一是使用防火墙配置来限制或阻止访问。 Windows 和第三方防火墙 允许管理员创建自定义规则,防止外部威胁利用端口 135 RPC。如果特定操作不需要 Windows RPC 服务,最佳实践是完全关闭网络端口 135 以消除任何潜在的攻击面。对于依赖 Windows RPC 端口提供 Active Directory 和 Microsoft Exchange Server 等基本服务的企业,建议限制对内部可信网络的访问。为了防止远程攻击和来自不可信来源的访问,防火墙应配置为仅允许来自授权 IP 地址的 TCP 135 流量。
不需要时禁用 RPC 服务
由于 TCP 135 端口用于远程过程调用,因此禁用 Windows RPC 服务可以显着降低非必需环境中的安全风险。如果系统不依赖网络端口135,管理员可以通过Windows注册表或组策略设置禁用DCOM和RPC服务。这种方法可确保攻击者无法利用端口 135 漏洞来获得未经授权的访问。
但是,在禁用 Windows 端口 135 RPC 之前,评估对业务应用程序和网络操作的影响非常重要。某些服务可能需要远程连接端口进行通信,并且在没有适当规划的情况下禁用 RPC 可能会中断关键工作流程。
应用安全补丁并定期更新
Microsoft 定期发布安全补丁来修复 Windows RPC Port 和 DCOM 中的已知弱点。如果组织希望降低安全风险,那么确保启用自动更新或在补丁可用后立即手动应用补丁始终是一个安全的选择。此外,企业可以使用 漏洞评估工具(VAPT) 识别并解决基于 Windows 的基础设施中的安全漏洞。此类工具可以扫描可能使 TCP 135 面临威胁的开放端口、错误配置和过时服务。
监控网络活动是否存在可疑流量
即使有防火墙规则和安全补丁,监控端口 135 RPC 流量对于检测未经授权的访问尝试也至关重要。安全团队在减少 TCP 端口 135 风险方面最重要的职责之一是使用网络监控工具来跟踪可疑活动。防止暴力攻击的一种非常常见的做法是实施入侵检测系统(IDS)。通过应用防火墙限制、禁用不必要的服务、更新系统和监控网络活动,组织可以强化 TCP 端口 135 的安全性并降低网络威胁的风险。正确管理 Windows RPC 端口不仅仅是保护一个网络端口,而是加强整个 IT 环境的整体安全状况。
最后的想法
TCP 端口 135 是基于 Windows 的网络的重要组成部分,但其重要性也伴随着重大的安全风险。攻击者经常以 Windows 端口 135 为目标,利用 RPC 漏洞,发起拒绝服务攻击,并获得对系统的未经授权的访问。
历史已经表明,当网络端口 135 暴露时会发生什么——WannaCry 和 Blaster Wormspread 等攻击会迅速发生,并给组织带来重大安全问题。这就是为什么保护 Windows RPC 端口不是可选的。组织必须采取主动措施,从使用防火墙限制访问到在不必要时禁用 RPC 服务以及对系统进行修补。
强大的安全态势不仅仅是锁定单个远程连接端口;还包括锁定单个远程连接端口。这是关于建立一个能够抵御威胁的网络。定期更新、监控和受控访问是降低风险和保护系统的关键。
常问问题
如何检查TCP端口135是否开放?
您可以使用 Nmap 等网络扫描仪或检查防火墙设置来检查 TCP 端口 135 是否打开。在 Windows 上,转到 Windows Defender 防火墙 > 高级设置 > 入站规则,然后查找 RPC (TCP-In) 以查看该端口是否已启用。此外,您可以检查路由器或安全软件设置,看看是否可以从外部源访问网络端口 135。
SMB 需要哪些端口?
SMB(服务器消息块)主要使用端口 445 (TCP) 进行设备之间的直接通信。旧版本的 SMB 还依赖端口 137-139 (UDP/TCP) 来实现基于 NetBIOS 的网络。为了确保 SMB 正常运行,这些端口必须在受信任的网络中打开,但由于安全风险,端口 445 决不应该暴露在互联网上。
135端口是SMB吗?
不,端口 135 不用于 SMB。它被指定用于 Windows RPC 服务,处理应用程序之间的远程过程调用。 SMB 负责文件和打印机共享,主要在端口 445 上运行。虽然这两种协议都有助于通过网络进行通信,但 Windows RPC 端口 135 提供与 SMB 完全不同的功能。
