数据中心网络协议端口技术一网打尽

对于有些网络技术基础的人来说,协议端口号并不陌生,这是TCP或UDP协议的主要组成部分,用来区分服务和在同一时间进行的多个会话,几乎每个人都可以脱口而出说出几个常用协议端口号,比如FTP的21号端口,SSH的22号端口,Telnet的23号端口等等,但很少有人去研究这些端口背后的故事,尤其如今网络兴起虚拟化、软件定义网络等新技术,更鲜有人提起这些传统技术。实际上,不仅在过去,即使在当下甚至是将来,这些端口技术都将发挥着极为关键的作用。

在以太网标准协议中规定端口号为两个字节的长度,共16个比特,这样端口范围可以从0到65535,端口号种类多达6万多,其中1~1024是被RFC 3232规定好的,用于特定协议,从1025~65535的端口被称为动态端口,可用来建立与其它主机的会话,也可由用户自定义用途。在网络通信过程中,目的主机接收到数据报后,将根据报文首部的目的端口号,把数据发送到相应端口,而与此端口相对应的那个进程将会领取数据并等待下一组数据的到来。不光接受数据报的进程需要开启它自己的端口,发送数据报的进程也需要开启端口,这样,数据报中将会标识有源端口,以便接受方能顺利的回传数据报到这个端口。由于每种网络的服务功能都不相同,有必要将不同的封包送给不同的服务来处理,端口号就可以用来区分不同的服务,这样就算网络中同时跑数十种应用也不会乱,每种应用所用的端口都是不同的。每一种服务都有特定的端口在监听,这样不同应用相互之间无法互访,不会混乱。

端口可分为三类:从0到1023叫做公认端口。它们紧密绑定于一些服务,通常这些端口的通讯明确表明了属于某种服务的协议。例如:53端口是DNS域名解析服务,80端口是HTTP超文本传输服务;从1024到49151叫做注册端口。它们松散地绑定于一些服务,也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始;从49152到65535叫做动态或私有端口。理论上,不应为服务分配这些端口,当然也有例外,比如SUN的一些服务器,还有搭建一些私有网络时,使用这些端口号,实际上是因为没有那么多已知的网络服务需要这么多端口号,后面的端口号都是没有明确定义的,谁都可以使用,但只能是私有使用,并不能得到广泛认可。

之所以将端口技术拿出来讲,最重要的是网络安全问题,网络安全已经成为数据中心里最受人关注的议题,针对数据中心的攻击都来源于网络。通常网络攻击者会用扫描器对目标主机或者网络设备进行端口扫描,以确定哪些端口是开放的,从开放的端口,攻击者就可以知道目标主机或网络设备大致提供了哪些服务,进而猜测可能存在的漏洞。如今对数据中心网络进行防攻击测试,端口测试是一个必测项,看设备都开放了哪些端口,在没有使能相关应用的情况下是否有端口服务是被打开的,数据中心设备应该尽可能少开启端口服务,只有需要的应用对应的端口服务才开启。而一些常用的FTP端口号、Telnet端口号、HTTP端口号也经常被作为攻击的对象,这些协议虽然很成熟,少有系统漏洞,但一些设备防攻击能力较弱,或者软件版本较低,依然有被攻破的风险,对于这些端口也不能忽视。有些端口是比较容易入侵的,比如135、139、445等,135实际上是一个WINNT漏洞,容易引起来自外部的Snork攻击,139是NetBIOS提供服务的TCP端口,445用来传输文件和NET远程管理,一旦这些端口被攻击者顶上,协议处理上有漏洞就很容易被攻破。还有一些端口本身处理是什么问题的,但是在收到大量该端口的报文时,系统可能瘫痪而受到攻击,这时可能系统并不见得被攻破,而是被破坏,导致系统运转异常。比较典型的就是TCP SYN扫描,通常又叫“半开放”扫描,因为它不必打开一个完整的TCP连接,它发送一个SYN包,就像真的要打开一个连接一样,然后等待对端的反应。如果对端返回SYN/ACK报文则表示该端口处于监听状态,此时,扫描端则必须再返回一个RST报文来关闭此连接,返回RST报文则表示该端口没有开放。TCP SYN会导致设备建立大量的半连接,占用大量系统资源,待系统彻底崩溃时,攻击者趁虚而入,破坏或者偷走机密数据,TCP Connect扫描也是常用的扫描方式。

为防止数据中心网络遭受到端口攻击,应该经常检查所有的设备端口开启情况,关闭一些没有必要开启的端口服务。检查的时候要仔细,经常有一些动态分配的端口也可能存在问题,这类端口一般比较低,且连续。还有,一些狡猾的后门软件,他们会借用80等一些常见端口来进行通信(穿透了防火墙),令人防不胜防,所以不要轻易运行陌生程序,才是关键。在数据中心的网络访问入口应该部署一些安全防火墙设备,对端口协议进行过滤,没有应用的端口报文全部丢弃,这不仅对网络攻击,对于正常的安全策略下发也有意义,比如众所周知,QQ的端口号是8000,那么在涉及办公网的数据中心网络中,可以在网络出入口防火墙设备上下发端口号8000 的Deny策略,这样所有的QQ服务都无法使用。

数据中心协议端口技术不难,但是要完全掌握也绝非易事,尤其是能够利用这些端口特性部署应用,还有有效应对各种端口攻击,还需要不断进行探索和学习,所以端口技术虽然可算是一个古老的技术,但依然不过时。

本文转自d1net(转载)

时间: 2024-10-23 02:33:16

数据中心网络协议端口技术一网打尽的相关文章

深入浅出数据中心网络的SDN技术

翻开SDN的介绍不难理解,SDN是一种将网络控制层面和数据转发层面分离的技术,可以为网络带来可编程的特性.未来的网络将和计算机一样,提供一个硬件平台,在此基础上通过软件对网络进行可编程设计. SDN概念说起来简单,但是实际应用却面临不少的困难,尤其是是当前实际应用并不多的情况下,真正了解SDN的人并不多,更多的人并不知道如何去使用SDN,怎么才能利用SDN提升网络设计和管理的效率,本文通过通俗性的语言,简单化的讲解,让大家对SDN有个感性的认识. 用过网络测试仪(比如:思博伦的TestCente

数据中心网络协议动静之分

今天,数据中心通过网络将触角伸向了世界各个角落,使得人们可以坐在世界任意一个地方,享受互联网带来的便利.而在数据中心内部,通过复杂的局域网技术将成千上万台设备连接在一起,完成所有设备互联互通就要靠网络技术.局域网网络中,以太网技术使用最广,基本代表着局域网技术的标准,所以说局域网技术历史基本就是在讲以太网的历史.以太网技术虽然才发展四十几年,却早就成为局域网中的网络协议标准.数据中心内部的网络就是一个局域网,即便数据中心步入云计算时代,数据中心实际仍是由很多个处于不同地区的机房组成,在机房内部依

基于内容优化数据中心网络的三大技术

网络技术分为多个层级,下到物理链路层,上到应用层,不同层级运行着不同的协议,有着不同的作用.随着数据中心的发展,网络技术获得了很大发展,网络已经渗透到了世界的各个角落,不过当我们在上网时,经常遇到网络阻塞,响应速度缓慢,甚至服务器错误响应或无法进行正常访问等一系列问题.为解决这些问题,从网络入手也有不少的方法.其中基于应用层的,也就是基于内容的就有不少的方法,下面就来详细介绍基于内容的三大优化技术. IDC 基于IDC的内容引入技术是三大优化之一,这里所说的IDC内容引入指的是通过数据中心直接将

协议标准化 下一代数据中心网络的支点

[51CTO.com 独家特稿]随着业务量与 各类应用的爆发式增长,传统数据中心网络面临着巨大的变革浪潮--越来越多的厂商和用户已经开始将视线头像了下一代数据中心网络的开发和建设当中.在这样的大环境下,数据中心网络何去何从?下一代数据中心网络又将带来哪些机遇和挑战呢?在近日由计算机世界传媒集团所属网络世界报社主办的"网络世界大会2011暨第十届以太网世界大会"上,记者有幸采访到了IETF ARMD工作组联合主席.华为企业数通产品线高级系统架构师Linda Dunbar女士,对未来数据中

戴尔打造以工作负载为中心的数据中心网络

整体来看,IT基础架构主要由服务器.存储和网络三大部分组成.作为全球领先的IT解决方案供应商,戴尔在服务器方面一直是业内的领先厂商.在存储方面,戴尔近年来也是迅速崛起,展现出了强大的实力.唯独在网络方面,戴尔相对要逊色一些,虽然已经拥有PowerConnect系列的自有产品,并与Juniper和Brocade等领先网络厂商建立了紧密的合作关系,但依然略显单薄.不过这种局面将在短期内被迅速改写.8月26日,戴尔正式对外宣布完成了对高性能数据中心网络领先厂商Force10 Networks的收购.此

数据中心网络运维一指禅

数据中心网络如何高效运维?这个问题经常困扰着数据中心的运维技术人员,运维技术人员疲于处理各种网络故障.变更.检查等事物,没有时间学习新技术,网络运维技术人员的工作往往做得非常辛苦,经常加班加点处理,然而问题似乎越是解决反而越多,陷于一个恶性循环,运维的人员不停地加班,问题不断出现,不断被解决,似乎永远都有处理不完的事情.实际上,网络运维也是一门学问,已经演化成为一门技术学科.有些人整天忙于处理这样那样的问题,但是数据中心网络依然问题不断,而有的人似乎整天也没有很多事情,数据中心业务有条不紊地进行

H3C发布数据中心网络认证项目

10月19日,H3C发布了国内首个 数据中心网络认证项目--H3CSE-Data Center(H3C认证数据中心网络高级工程师).H3CSE-Data Center是H3C认证体系中高端认证项目之一,也是H3CSE系列认证的最新成员.近年来,数据中心建设成为全球各行业的IT建设重点,国内数据中心建设的投资年增长率更是超过20%,金融.制造业.政府.能源.交通.教育.互联网和运营商等各个行业正在规划.建设和改造各自的数据中心,国内对数据中心网络人才特别是高级人才的需求将与日俱增.H3C认证培训体

2010年网络六大领域热点回顾之数据中心网络

数据中心网络是电信部门利用已 有的互联网通信线路.带宽资源,建立标准化的电信专业级机房环境,为企业.政府提供服务器托管.租用以及相关增值等方面的 全方位服务.一.数据中心网络领域年度技术变革过去的一年里,网络也在数据中 心中扮演着越来越重要的位置.首先是对绿色节能的进一步要求.下一代数据中心必然是低碳和节能的一代,因此,作为数据中心的网络设备,也当仁不让的进行了节能化的设计和改进.第二个技术变革出现在网络产品在管理功能的集成化上.数据中心的设备和系统管理应该是统一的,这样才能发挥数据中心最好的性

《数据中心虚拟化技术权威指南》一第2章 数据中心网络演进2.1 以太网协议:过去和现在

第2章 数据中心网络演进 数据中心虚拟化技术权威指南 本章节将讲述以太网协议的发展,设计数据中心以太网络的时候需要考虑的最重要因素,以及虚拟化如何在这些项目实施中克服常见的局限性.本章包含以下几个主题. 以太网协议的过去与现在: 数据中心网络拓扑: 网络虚拟化优势. 数据中心网络的主要目标是将服务器数据传输至客户端和其他服务器.很明显,数据中心是为提供数据服务而建设的,网络可以精确地定义设备的真实效率. 为了与今天数据中心环境的可靠性和成长性相配,数据库中心网络必须包含以下特征. 可用性:能够健