135連線埠主要被用於RPC(Remote Procedure Call,遠程過程調用)協定和提供DCOM(分散式組件對象模型)服務。RPC允許在一台計算機上運行的程式順利執行遠程計算機上的代碼,而DCOM則允許通過網路直接進行通信,支持包括HTTP協定在內的多種網路傳輸。
135連線埠的安全問題主要體現在RPC和DCOM的服務接口上。例如,RPC在處理通過TCP/IP的訊息交換時存在一個漏洞,這個漏洞是由於錯誤地處理格式不正確的訊息造成的。這個漏洞會影響到RPC與DCOM之間的接口,該接口偵聽的連線埠就是135。這個漏洞被「衝擊波」病毒所利用,該病毒在2003年爆發,感染了大量Windows 2000和Windows XP系統。
攻擊者可以通過掃描網路段,找到開放135連線埠的主機,然後利用RPC和DCOM的漏洞,如WMI(Windows Management Instrumentation)漏洞,進行進一步的攻擊。例如,使用recton等工具,可以掃描弱口令,利用已知的管理員用戶名和密碼,執行任意命令,從而取得遠程控制許可權。這種攻擊的成功往往依賴於目標主機的安全配置,如默認的administrator賬戶弱口令或未設定口令。
因此,保護135連線埠的安全需要確保RPC和DCOM服務的配置安全,包括但不限於限制遠程訪問、更新和打全系統補丁、避免使用弱口令等措施。