护网开始了，为什么不推荐用默认端口

别人要来你家打你，如果你能力不够，那就暂时寄宿在姥姥家喽。

归根结底还是能力不足，也就是菜。

你可以试一下远程桌面分别放在 3389 和 25873 上看看哪个被爆破的多，只是为了稍微减少一点攻击强度。

不使用默认端口是为了把端口随机化，尤其是内网的一些高危端口，因为攻击者常见的手段几乎都是自动化，围绕常见的端口进行扫描，贵单位参加护网的话肯定也有猴子盯着安全设备，更改默认端口后，可以拖慢攻击方的信息收集速度，就得进行全端口扫描了，动静会非常大，流量也非常明显，安全设备就会疯狂报警，非常容易被猴子们察觉到。

@villivateur 大佬，我觉得你这比喻不大恰当~~轻喷


@AAAAAAAAAAAAAAAA 大佬，我晓得非默认端口会减少被扫的频次，护网这种明确要被攻击的 貌似改端口只是拖延下工具扫描的时间？


@jincong 受教了，大佬

@jincong #3 这个说的对。

安全是分层级的，除了防御一些全网段扫描的广撒网式 bot 之外，改端口和增加密码复杂度、屏蔽某些返回特征等类似，都是在通过增加攻击成本来降低风险。不要小看每个你觉得“这有什么用黑客依然可以通过 xxxx 来绕过”的防御方式，每一个安全措施都会显著地增加黑客的攻击成本。

每年都整，攻击方都提前摸排了，改端口 @jincong 没毛病，现在好多 0-65535 端口服务识别了，稍微延缓了点时间

改下端口最简单的事，能规避掉大部分的扫描器和僵尸机器，何乐而不为。当红队需要攻击你时，全端口扫描的动静也会比较大能及时封禁。

@BadFox
@youyoumarco

@Aevery

受教了大佬们，我以为会有其他方面的考虑~

现在有很多商业化的空间搜索引擎，使用高端口可以防止资产被一部分空间搜索引擎直接收录，加大信息收集难度

今年护网这么晚吗？

我有个小白问题，加密电台可以用跳频来进行保护，端口能否每隔一段时间随机化？当然不可能每台机器都同步，但是比如说重要的机器能否这么做？

其实无关 hvv
变更默认端口本身有意义

@retanoj 大佬，求解释

@levelworm 我的认知里貌似不行，不知道有没有大佬觉得可以

@celisee #14
我觉得你的“拖延时间”的解释就很到位

护网最好的方案是关机

@sj1531122 我觉得是拔网线我上家公司的同事，护网行动熬不住攻击的时候就把网线拔了

有发现漏洞本来补好就完事。但是有些地方规定出现漏洞会有非常严重的惩罚，惹不起难道还躲不起吗？

看来你们领导还稍微懂点，我们直接拉闸关机

攻击链的问题，举个简单例子，默认端口 + 公网映射 + 弱口令 + 无安全补丁 + 内网资产管理混乱 等等，每一步单独拿出来都看起来问题不大，但是结合一起那就可能导致公司整个内网被端，或者中了勒索病毒之类的。

所以为了提高攻击链的复杂程度，只能通过做一些强制要求提高利用难度加大攻击成本了。另外包括一些所谓的核弹级漏洞，也是需要漏洞利用链的，如果连不起来其实问题也不大，当然还是建议能修就都修了，因为以后不知道什么时候就被用上了。

telnet ip 22
Trying xxx...
Connected to xxx.
Escape character is '^]'.
SSH-2.0-OpenSSH_9.7p1 Debian-5

一个简单的 telnet 命令就能检测 ssh 端口，写个脚本还不是分分钟的事

花力气改端口还不如 fail2ban 、ip 白名单、堡垒机

护网不是不让关机吗？ 你都关了红队干啥？

@vangjing 大佬牛 这网络通道一下就立体起来了


@photon006 是啊，扫描端口很快。看看上面大佬说的感觉有点道理
@luzemin 系统多，有的可能图省事直接关机，不是整个公司都关。

不是还没开始吗