discuz 旅游网站模版,专业手机网站建设哪家好,山西营销型网站建设,网站注作者#xff1a;vivo 互联网安全团队 - Peng Qiankun 随着互联网业务的快速发展#xff0c;网络攻击的频率和威胁性也在不断增加#xff0c;端口是应用通信中的门户#xff0c;它是数据进出应用的必经之路#xff0c;因此端口安全也逐渐成为了企业内网的重要防线之一… 作者vivo 互联网安全团队 - Peng Qiankun 随着互联网业务的快速发展网络攻击的频率和威胁性也在不断增加端口是应用通信中的门户它是数据进出应用的必经之路因此端口安全也逐渐成为了企业内网的重要防线之一然而网络端口因其数量庞大、端口开放和关闭的影响评估难度大业务影响程度高、以及异常识别技术复杂度高等特点给网络端口安全治理带来了一定挑战如何对端口风险进行有效治理几乎是每个企业安全团队在攻击面管理工作中持续探索的重点项。
一、网络端口简介
在网络空间中标记一个服务资源实体最基本的两个要素就是IP和逻辑端口二者构建服务资源实体的唯一标志符。
1. 常见的端口分布划分
1知名端口(Well-Known Ports)
知名端口即众所周知的端口号范围从0到1023这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务25端口分配给SMTP(简单邮件传输协议)服务80端口分配给HTTP服务135端口分配给RPC(远程过程调用)服务等等。
2动态端口(Dynamic Ports)
动态端口的范围从1024到65535这些端口号一般不固定分配给某个服务也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后就会释放所占用的端口号。
2. 另外端口还会按照协议类型划分
1TCP端口
即传输控制协议端口需要在客户端和服务器之间建立连接这样可以提供可靠的数据传输。常见的包括FTP服务的21端口Telnet服务的23端口SMTP服务的25端口以及HTTP服务的80端口等等。
2 UDP端口
即用户数据包协议端口无需在客户端和服务器之间建立连接安全性得不到保障。常见的有DNS服务的53端口SNMP(简单网络管理协议)服务的161端口QQ使用的8000和4000端口等等。
3. 常用的网络端口映射表 图1 常用网络端口映射表
PS更多详细端口规范可查阅
Service Name and Transport Protocol Port Number Registry
二、端口利用方式
2.1 基于传输层的资源耗尽攻击DDoS
该攻击是非常有效的利用小流量冲击大带宽的攻击手段也是十分常见的攻击方式。其本质还是利用TCP协议的链接建立三次握手及链接关闭四次挥手阶段机制漏洞进行攻击链接资源耗尽攻击方式主要分为以下几个类别
1 SYN flood
SYN flood是基于TCP协议产生的它利用三次握手机制制造多个半连接消耗服务器的连接数。 图2 SYN flood 示意图
攻击者伪造源IP地址向服务器发送大量的SYN报文请求建立三次握手。由于发送源IP是伪造的所以服务器回应了SYN-ACK报文后源IP并不会再继续回应ACK报文进行确认。这样服务器就会维持一个庞大的等待列表不停地重试发送SYN-ACK报文同时占用着大量的资源无法释放。这就导致被攻击的服务器被恶意半连接占满不再接受新的SYN请求而合法用户无法完成三次握手建立TCP连接。另外随着对抗技术的持续演进攻击者通过肉鸡或Ddos服务发起大规模分布式真实IP集中进行资源耗尽攻击此类攻击成功率更高。
2SYN-ACK Flood
通信双方通过三次握手建立一个TCP连接的过程中SYN-ACK报文出现在第二次握手中是用来确认第一次握手的。一方收到SYN-ACK报文后首先会判断该报文是不是属于三次握手范畴之内的报文。如果都没有进行第一次握手就直接收到了第二次握手的报文那么就会向对方发送RST报文告知对方其发来报文有误不能建立连接。SYN-ACK Flood攻击正是利用了这一点攻击者利用工具或者操纵僵尸主机向目标服务器发送大量的SYN-ACK报文这些报文都属于凭空出现的第二次握手报文服务器忙于回复RST报文导致资源耗尽无法响应正常的请求。
3ACK Flood
在TCP三次握手的过程中ACK报文出现在第三次握手中用来确认第二次握手中的SYN-ACK报文。ACK Flood攻击指的是攻击者利用工具或者操纵僵尸主机向目标服务器发送大量的ACK报文服务器忙于回复这些凭空出现的第三次握手报文导致资源耗尽无法响应正常的请求。
4FIN/RST Flood
TCP交互过程中还存在FIN和RST报文FIN报文用来关闭TCP连接RST报文用来断开TCP连接。这两种报文也可能会被攻击者利用来发起DDoS攻击导致目标服务器资源耗尽无法响应正常的请求。
5TCP connection Flood
TCP是面向连接的协议通信双方必须保持连接状态并且通过确认、重传、滑动窗口等机制保证数据传输的可靠性和稳定性。攻击者利用TCP协议的上述特点在TCP连接上做文章利用TCP连接来消耗被攻击目标的系统资源。例如攻击者与被攻击目标完成三次握手后立刻发送FIN或RST报文释放本端连接同时快速发起新的连接以此来消耗被攻击目标的系统资源或者攻击者与被攻击目标完成三次握手后发送很少的报文来维持连接状态通过这种异常的TCP连接来消耗被攻击目标的系统资源。
2.2 基于应用层的资源耗尽攻击cc
CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽一直到宕机崩溃。CC主要是用来消耗服务器资源的每个人都有这样的体验当一个网页访问的人数特别多的时候打开网页就慢了CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面造成服务器资源的浪费CPU长时间处于100%永远都有处理不完的连接直至就网络拥塞正常的访问被中止。以下介绍一些cc攻击的常用变种。
1基于HTTP-header慢速cc攻击
Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点发起一个HTTP请求一直不停的发送HTTP头部消耗服务器的连接和内存资源。抓包数据可见攻击客户端与服务器建立TCP连接后每30秒才向服务器发送一个HTTP头部而Web服务器再没接收到2个连续的\r\n时会认为客户端没有发送完头部而持续的等等客户端发送数据。
2基于HTTP-body慢速cc攻击
攻击者发送一个HTTP POST请求该请求的Content-Length头部值很大使得Web服务器或代理认为客户端要发送很大的数据。服务器会保持连接准备接收数据但攻击客户端每次只发送很少量的数据使该连接一直保持存活消耗服务器的连接和内存资源。抓包数据可见攻击客户端与服务器建立TCP连接后发送了完整的HTTP头部POST方法带有较大的Content-Length然后每10s发送一次随机的参数。服务器因为没有接收到相应Content-Length的body而持续的等待客户端发送数据。
3基于HTTP-read慢速cc攻击
客户端与服务器建立连接并发送了一个HTTP请求客户端发送完整的请求给服务器端然后一直保持这个连接以很低的速度读取Response比如很长一段时间客户端不读取任何数据通过发送Zero Window到服务器让服务器误以为客户端很忙直到连接快超时前才读取一个字节以消耗服务器的连接和内存资源。抓包数据可见客户端把数据发给服务器后服务器发送响应时收到了客户端的ZeroWindow提示表示自己没有缓冲区用于接收数据服务器不得不持续的向客户端发出ZeroWindowProbe包询问客户端是否可以接收数据。
剖析其原理本质上还是对任何一个开放了HTTP访问的服务器HTTP服务器先建立了一个连接指定一个比较大的content-length然后以非常低的速度发包比如1-10s发一个字节然后维持住这个连接不断开。如果客户端持续建立这样的连接那么服务器上可用的连接将一点一点被占满从而导致拒绝服务。
2.3 基于端口发起的渗透测试
IP和端口作为应用暴露在公网的唯一入口攻击者通常发起渗透测试的起点便是通过扫描目标IP上的开放端口来发现系统的漏洞、薄弱点或安全隐患。
往往服务器系统本身或引入的应用服务就具备一定的脆弱性攻击者获取到目标服务器的端口列表后会逐一去比对自己的武器库进行漏洞利用尝试。
以下是整理的常见端口利用清单及攻击利用方式 图3 常见的端口利用清单
三、基于端口利用的案例
Equifax数据泄露案落幕七亿赔款索赔期限延长四年 图4 EQUIFAX 图片来源globalnews.ca
2017年9月Equifax系统遭到黑客攻击导致超过1.45亿美国消费者的个人信息以及1520万英国居民的记录和8000名加拿大用户的数据遭到泄露其中包括姓名、地址、出生日期、身份证号、护照、驾照、信用卡等信息。事件曝光后Equifax股票暴跌30%相当于蒸发掉50亿美元市值成为史上罕见大型数据泄露事件之一。2018年12月美国国会众议院的政府改革暨监督委员会发布报告指出因Equifax公司组织架构的缺陷导致公司部门间的沟通失效从而致使大量的关键系统补丁没有被及时开发其中包括一个超19个月未做更新的漏洞。最终黑客对Equifax进行了长达76天的攻击先后265次从公司获取未被加密的数据。该事件最初是由于Equifax未修补针对Apache Struts的漏洞而导致的攻击者利用该漏洞访问了Equifax的数据库这个漏洞是通过开放的80端口进行攻击的。
爱尔兰国家医疗保健局数据泄露事件 图5 爱尔兰卫生部
图片来源超400名旅客在爱尔兰强制隔离期间被检测出新冠病毒_费用
爱尔兰国家医疗保健局HSE是负责为爱尔兰居民提供医疗保健的机构。在2021年5月该机构发生了一起数据泄露事件影响到数百万个患者的个人信息。该事件起因于攻击者通过暴露的VPN服务端口进行攻击成功登录了HSE的IT系统。接着攻击者开始利用系统漏洞并最终获取了HSE服务器的管理员权限。攻击者随后将一个WastedLocker勒索软件的恶意代码安装在服务器上并要求赎金以释放数据。在攻击过程中攻击者还利用了HSE的Exchange电子邮件系统以及HSE员工用于管理患者信息的软件系统。这些系统中的漏洞使得攻击者能够访问和窃取大量患者的个人信息包括姓名、出生日期、地址、电话号码、诊断信息和病历等。据称该事件涉及到的患者数量达到了数百万。HSE在发现事件后立即关闭了受影响的系统并采取措施保护患者数据的安全。HSE还与执法部门和网络安全专家合作以追查攻击者的身份和追回数据。截至目前尚未有人或组织宣称对此次攻击负责。
四、端口风险防护及治理实践
4.1 端口风险防护
无论是Flood还是cc防护一般都是借助一些安全设备及安全设备提供的策略定制能力流量级的可以依靠运营商提供的抗D服务如云盾、云堤流量清洗服务等面向应用层的攻击可以借助防火墙WAFNIDS等安全设备/节点提供的能力。无论是借助厂商还是自身建设抗D能力都需要摸清企业所面临的资源耗尽风险一方面理清基础架构的脆弱点治理脆弱点另一方面需要熟悉攻击利用原理制定针对性策略来进行异常检测及攻击缓解。
这里简述一些对抗思路例如上文提到SYN Flood攻击其本质上是利用TCP建立链接的机制漏洞只要持续发送建立链接请求服务端就会进行响应同时在连接池里记录一条链接那么依据该原理防护思路就很明确了
1. 对发起源进行主动认证 图6 主动认证示意图 当连续一段时间内去往目标服务器的SYN报文超过告警阈值后抗DDoS设备启动源认证机制。源认证机制启动后抗DDoS设备将会代替服务器向客户端响应带有正确确认序号的SYN-ACK报文 如果这个源是虚假源是一个不存在的地址或者是存在的地址但却没有发送过SYN报文不会做出任何响应 如果这个源是真实客户端则会向服务器发送ACK报文对收到的SYN-ACK报文进行确认。抗DDoS设备收到ACK报文后将该客户端的源IP地址加入白名单。同时抗DDoS设备会向客户端发送RST报文要求重新建立连接 后续这个客户端发出的SYN报文命中白名单直接通过。
2. 首包丢弃 图7 首包丢弃示意图
TCP的可靠性保证除了面向连接三次/四次握手之外还体现在超时与重传机制。TCP协议规范要求发送端每发送一个报文就启动一个定时器并等待确认信息如果在定时器超时前还没有收到确认就会重传报文。
首包丢弃功能就是利用了TCP的超时重传机制Anti-DDoS系统对收到的第一个SYN报文直接丢弃然后观察客户端是否重传。如果客户端重传了SYN报文再对重传的SYN报文进行源认证即反弹SYN-ACK报文这样就可以大大减少反弹报文的数量。
混合使用效果更佳
实际部署时一般将首包丢弃和源认证结合使用。防御SYN Flood攻击时先通过首包丢弃功能来过滤掉一些攻击报文当重传的SYN报文超过告警阈值后再启动源认证。这样就能够减少反弹的SYN-ACK报文的数量缓解网络拥塞情况。对于虚假源攻击尤其是对于不断变换源IP和源端口的虚假源攻击可以达到最佳防御效果。
针对连接耗尽场景其防御思路可以总结为以下内容
针对此攻击会耗尽服务器的TCP连接资源的特点对目的IP地址的新建连接速率和并发连接数分布进行统计当新建连接速率或并发连接数大于阈值时则触发对源IP地址的相应检查当检查发现异常时将异常源IP地址加入黑名单切断其TCP流量。 源IP地址新建连接速率检查启动源IP地址新建连接速率检查后如果某个源IP地址在检查周期内发起的TCP新建连接数大于阈值则将该源IP地址判定为攻击源。 源IP地址并发连接数检查启动源IP地址并发连接数检查后如果某个源IP地址的TCP并发连接数大于阈值则将该源IP地址判定为攻击源。 慢速连接速率检查启动慢速连接速率检查后统计同一源IP地址对同一目的IP地址的连接次数在各统计时间间隔内如果连续多次连接数相同并超过阈值则判定为TCP慢速连接攻击。 异常会话检查如果在检查周期内某个源IP地址发起的TCP异常会话的连接数大于阈值时则将该源IP地址判定为攻击源。
判定TCP异常会话依据如下 【空连接检查】如果在检查周期内在某条TCP连接上通过的报文数小于阈值则判定该连接为异常连接。 【重传会话检查】当某条TCP连接上重传报文数量大于阈值时则判定该连接为异常连接。 【慢启动连接检查】当某条TCP连接上通过的报文窗口小于阈值时则判定该连接为异常连接。 当异常会话数超过一定数量时将此源加入黑名单。异常会话数量可配置。
同样的应用层CC攻击按照相对应的原理进行内容检查这也是一般WAF或NIDS设备提供的基础能力这里就不再累述。
4.2 端口风险治理实践
上段内容有提到的防护思路理解协议的脆弱性原理再依据攻击者的视角进行防护措施的定制则会有比较清晰的防护思路和防护效果因此在端口安全治理实践上我们通过建立常态化端口发现机制以及常态化的漏洞扫描机制将网络端口及端口漏洞风险进行持续统一治理同时建立基于流量的异常识别能力丰富基于行为的异常端口检测能力再辅以脆弱性管理以及端口生命周期管理规范与流程来形成整个端口安全治理体系。
1. 建立常态化的端口发现机制
使用网络发现工具进行异常端口识别设计思路是首先通过vscheduler中间件触发扫描支持两种模式一网段配置表全表网段扫描、二是指定网段扫描。调用扫描工具以nmap为例进行扫描通过增加两个异步线程去读取缓冲区内容以解决缓冲区拥塞问题通过异步线程进行缓冲区内容读取以及清理的同时通过错误缓冲区内容判断是否扫描失败。扫描结果输出xml后通过dom4j进行解析再进行分批保存避免大事务以及减少jvm内存占用。最后把文件删除释放存储空间。 图8 端口扫描架构图
2. 建立常态化漏洞扫描机制
结合漏洞扫描工具及端口扫描工具构建自动化漏洞扫描平台漏扫平台架构设计思路如下图 图9 漏扫平台架构图
该系统架构的核心功能点包括资产收集、Web漏洞扫描、依赖包扫描、端口扫描辅助功能包括扫描任务管理、风险管理等。 【资产收集】扫描的目标是公司的网络资产没有资产无法进行扫描资产不全面扫描的效果也会打折扣所以平台采集了多种途径进行资产的采集力求做到无遗漏持续丰富采集的手段。 【Web漏洞扫描】用于发现暴露在公网的站点、URL等Web资源是否存在漏洞。 【依赖包扫描】用于发现线上业务是否使用了高危的Java依赖包。 【端口扫描】用于发现公司服务器是否对公网开放了高危端口。 【扫描任务管理】无论是依赖包扫描、端口扫描都是通过创建扫描任务的形式来发起的扫描任务分为立即扫描任务和定时扫描任务两种类型用户可以创建立即扫描任务来一次性执行扫描也可以创建定时任务来周期性执行扫描。 【风险管理】对于扫描出来的Web、依赖包和端口风险系统能够对其处理状态进行管理以便安全工程师对风险状态进行跟踪和处理。 【工单管理】对于扫描出来的Web、依赖包和端口风险运营人员可对其创建工单工单会对接到漏洞管理系统通过漏洞管理系统的工单体系来对跟踪风险的处理进程。
常用的漏扫工具 【Nmap】Nmap是一款常用的网络发现和安全审计工具支持多种扫描技术和扫描选项可以快速扫描本地或远程计算机上的开放端口和服务。 【Masscan】Masscan是一款高速的端口扫描工具可以在短时间内扫描数百万个端口支持TCP和UDP扫描适用于大规模网络扫描。 【Zenmap】Zenmap是Nmap的图形用户界面GUI版本可以方便地进行扫描选项配置和结果分析。 【Angry IP Scanner】Angry IP Scanner是一款轻量级的端口扫描工具支持多线程扫描和快速扫描本地网络和远程主机。 【SuperScan】SuperScan是一款Windows平台上的端口扫描工具支持TCP和UDP扫描、多线程扫描、服务版本识别等功能。 【Unicornscan】Unicornscan是一款高速的网络扫描工具支持TCP、UDP、ICMP等多种扫描方式和扫描选项。 【Netcat】Netcat是一款多功能的网络工具其中包括端口扫描功能支持TCP和UDP扫描可以快速扫描本地或远程计算机上的开放端口和服务。
3. 建立基于流量的异常识别能力
1流量基线学习
流量基线一般对五元组进行配置学习通过对比应用流量基线发现孤立的端口流量对比端口开放库以发现异常开放的端口另外可以同步建设告警能力与处置能力在发现异常的第一时间切断风险源头。 图10 基线学习
流量基线学习的核心表 【策略快照表】从离线同步过来的每个小时的服务维度的多种策略计算结果 【学习配置表】用于存放学习配置包括各种策略的加解锁条件偏离阈值次数、偏离告警条件偏离阈值次数可以预留出来告警下迭代做 【当前策略集】服务维度自定义的的策略集 【策略状态表】记录各个服务节点的锁状态偏离情况策略生效时间等 【策略目标集】部分策略拥有自己的目标机器/服务结算逻辑该表用于存放目标范围用于定时清理不在目标集的策略
2异常检测
通过对上节提到的流量基线结果的数据分析来识别网络个体或群体的异常行为一方面建立行为偏离预警机制另一方面需要引入一些统计分析模型帮助建立阈值点在偏离预警机制这块我们做了一些架构实践其逻辑简单描述如下 行为偏离比对逻辑 总结四个关键点分别为 配置文件用于描述对应服务的流量特征 上锁参数或配置文件在满足预设规则条件下或人工干预下停止动态学习行为 解锁参数或配置文件在满足预设规则条件下或人工干预下重新开始动态学习行为 偏离指同一服务下某一时间切片的配置文件与已上锁的配置文件的参数值对比发生超过阈值的变化
此外便是阈值的设定问题通过引入统计模型的使用来帮助我们制定阈值常用的入侵检测统计模型有以下几类 操作模型该模型假设异常可通过测量结果与一些固定指标相比较得到固定指标可以根据经验值或一段时间内的统计平均得到举例来说在短时间内多次针对某一端口尝试建立连接失败则可能是针对端口的拒绝服务 方差这也是常用的模型通过计算参数的方差设定置信区间当测量值超过置信区间的范围时表明可能存在异常 多元模型操作模型的扩展通过同时分析多个参数实现异常检测 马尔柯夫过程模型将每种类型的事件定义为系统状态用状态转移矩阵来表示状态的变化当一个事件发生时如果状态矩阵中该转移的概率较小则可能是异常事件 时间序列分析将流量切片特征提取出来按照时间排成序列如果一个新的请求或一个新的请求集合在该时间发生的概率较低则该事件可能是异常
在异常识别这块通常也会引入基于图的数据分析方法针对网络个体和网络群体进行流量行为分析来发现异常行为但应用起来相对较为复杂也需要较高学习与实践成本这块更多在NIDS的应用范畴在此模块不再赘述。
需要提醒的是以上这种方法还是存在一些局限如爬虫类服务商业广告类服务因为其服务的特殊性以上机制比较难进行准确的基线生成虽说无法解决100%的问题但也能cover住大部分的服务类型同样的在这个领域还需要持续探索来提升服务类型的覆盖率以及异常检测精度。
4. 健全脆弱性管理能力实现风险追踪与闭环
端口暴露的最核心问题就是脆弱性利用因此健全基础架构的脆弱性管理能力是阻断外部威胁有效控制风险的重要手段我们通过建立统一的脆弱性管理平台来建立业务关系流脆弱性库资产三者的关联关系针对脆弱性做到持续发现持续修复并将脆弱性作为安全告警关联分析中的重要评价维度。脆弱性管理系统因其安全管理战略特殊性此处只能简单介绍给读者一些建设思路
脆弱性管理系统核心功能模块结构 另外脆弱性关联分析AVC是脆弱性管理系统的核心功能读者可以从以下评价维度进行建设实践 5. 完善端口生命周期管理规范与流程
1制定端口管理规范
规范原则 最小权限原则端口开放遵循最小权限原则只允许开放运行http和https的80/443端口其他对外开放的端口必须有合理的业务理由并且应该只开放业务需要的最小端口集合由端口使用者提出工作联络单进行申请经审批同意后方可开放。 可审计原则所有端口开放都必须有可追溯的对应申请依据、安全性评估依据、审批依据不允许私自开放端口。 闭环原则端口开放应实施闭环管理在业务不再需要时应及时关闭端口。
对端口进行明确定义 图11 端口定义示例
规范内容可包含端口申请规范端口使用规范端口关闭规范以及明确的处罚规定。
2端口生命周期管理
实现从端口申请到端口关闭全流程管理应用申请 → 端口记录→ 开墙映射→ 安全节点纳管 → 流量反馈 → 主动关闭 → 端口映射记录清除→ 安全节点卸载→ 端口资源池回收
3持续评估
结合异常端口发现机制和端口开放库以及相关流程建立起持续端口风险评估机制用以保障规范以及风险处置有效性的落地。
五、总结
端口作为应用对外暴露的主要入口是应用暴露在公网上的标识因此端口安全建设是企业信息安全防护体系中的重要一环安全团队需要详细了解其内部网络中使用的所有端口以及开放和关闭的端口数量和情况在理解协议的脆弱性原理基础上制定合适的安全策略和措施。同时再安全策略和措施制定的过程中通过对各类端口扫描工具的使用安全团队可以快速获取目标网络中的端口开放情况。然后根据扫描结果采取合适的安全策略和措施禁止不必要端口的开放或者采取过滤、加密等方式对端口进行保护。在技术实践上建设常态化端口发现机制以及常态化的漏洞扫描机制将网络端口及端口漏洞风险进行持续统一治理同时建立基于流量的异常识别能力丰富基于行为的异常端口检测能力再辅以脆弱性管理以及端口生命周期管理规范与流程来形成整个端口安全治理体系。另外值得强调的是全员网络安全意识的水位决定整体安全态势的下限个人行为和错误配置通常是网络漏洞的一大原因因此安全管理团队需要持续加强内部员工的网络安全教育和培训提高其网络安全意识和知识水平建立全员参与的安全意识文化。总的来说可以通过规范流程技术和人员意识培训来构建全面的网络端口风险治理体系。
参考文献 《网络端口安全治理的研究与实践》姜云飞高国权张全超2019 《基于漏洞扫描的网络端口安全治理研究》黄珂杨明张鹏飞2017 《基于流量监测的网络端口安全治理技术研究》胡彩玲申伟周婷婷2016 《网络端口安全治理技术研究》程显霞郑晓宁2014 《网络端口安全治理策略研究》朱绍军李彦霞陈琳琳2013 vivo互联网端口开放管理规范 什么是网络端口 【漏洞分析】DDOS攻防分析四——TCP篇 CC攻击原理及防范方法和如何防范CC攻击 常用的端口攻击 TCP连接耗尽攻击与防御原理 DDOS之TCP连接耗尽攻击与防御
