网络安全攻击之445端口

一、445 端口是什么

445 是 Windows SMB(文件共享) 端口,用于局域网文件共享、打印机共享、IPC$ 管道、远程管理,Windows 2000 及以上默认开放。

  • 139:NetBIOS SMB
  • 445:TCP 直连 SMB,无 NetBIOS,外网直接可访问

二、445 端口最核心风险(必须封堵的根本原因)

1. 永恒之蓝(EternalBlue)勒索病毒,全球最大危害

MS17-010 漏洞(2017 年爆发),利用 445 端口 SMB 协议漏洞:

  • 无需账号密码,外网只要 445 开放就能远程执行代码;
  • 典型病毒:WannaCry、Petya、GlobeImposter;
  • 中招后果:全盘文件加密,索要比特币赎金,企业服务器、监控、办公电脑大面积瘫痪;
  • 老旧系统(Win7、2008、XP)无补丁极易被攻破。

2. 暴力破解、爆破账号密码

攻击者扫描全网开放 445 的 IP,通过 SMB 协议:

  • 暴力枚举管理员账号、弱密码;
  • 拿到账号后读取共享文件、窃取业务数据、植入木马;
  • 横向渗透:一台电脑沦陷,通过 445 扩散内网所有主机。

3. IPC$ 空连接入侵

开放 445 可建立 IPC$ 空会话:

  • 无需密码获取系统用户列表、主机名、磁盘信息;
  • 配合弱口令直接远程登录、上传后门、植入远控。

4. 内网渗透、横向移动的核心通道

黑客入侵一台机器后,优先扫描内网 445 端口:

  • 远程创建计划任务、服务;
  • 批量感染域内所有服务器 / 办公终端;
  • 拿下域控,整个企业数据完全泄露。

5. 大量扫描器全网爆破 445

互联网上 7×24 小时自动化扫描脚本持续探测全网 445 端口,只要暴露公网,短时间内就会收到攻击流量,属于高危暴露端口。

三、哪些场景必须封堵

  1. 公网出口防火墙:绝对禁止公网直接访问内网 445,全网封堵入站 445;
  2. 云服务器(阿里云 / 腾讯云等):安全组默认关闭 445,一旦开放极易中毒;
  3. 家用宽带公网 IP:光猫 / 路由器不要映射 445 到内网电脑;
  4. 对外服务器:业务无文件共享需求,直接本机防火墙禁用 445。

四、如果确实需要文件共享怎么办

  1. 仅限内网访问:防火墙只放行内网网段,拒绝所有公网 IP;
  2. 打全系统补丁:安装 MS17-010 永恒之蓝补丁;
  3. 禁用空 IPC 连接、设置复杂管理员密码;
  4. 改用更安全方案:FTP/SFTP、企业网盘、NAS 私有链路,不直接暴露 SMB;
  5. 域环境额外加固:启用 SMB 签名、关闭老旧 SMBv1 协议。

五、总结

445 是勒索病毒、内网渗透、暴力破解的头号高危端口,公网无业务需求一律封堵;仅内网受控环境才可有限开放,且必须配套补丁与访问白名单防护。

补充: