幫2章同塔安全與防
還有許多入侵者將為自己開的后門設(shè)在一個(gè)非常高的端口上,這些不常用的端口,常常被
掃描程序忽略。入侵者通過這些端口可以任意使用系統(tǒng)的資源,也為他人非法訪問這臺主機(jī)
開了方便之門。在國內(nèi),許多不能直接出國的主機(jī)上的用戶總愛將一些 Proxy之類的程序,偷
倫地安裝在一些方便出國的主機(jī)上,將大筆的流量賬單轉(zhuǎn)嫁到他人身上。有許多方法可以檢
測到這類活動(dòng),其中之一便是使用端口掃描程序。日個(gè)以
2.7.2各種端口擔(dān)描 同)を
通常說來,最簡單的端口掃描程序僅僅是檢查一下目標(biāo)主機(jī)有哪些端口可以建立TCP連
接,如果可以建立連接,則說明該主機(jī)在那個(gè)端口監(jiān)聽。當(dāng)然,這種端口掃描程序不能進(jìn)一步
確定端口提供什么樣的服務(wù),也不能確定該服務(wù)是否有眾所周知的那些缺陷
要想知道端口上具體是什么服務(wù),則必須用相應(yīng)的協(xié)議來驗(yàn)證。因?yàn)橐粋€(gè)服務(wù)進(jìn)程總是
客戶端提供正確的命令序列,才能完成正確的文件傳輸服務(wù)。遠(yuǎn)程終端服務(wù)在一開始總是要 為了完成某種具體的工作,比如說,文件傳輸服務(wù)有文件傳輸?shù)囊惶讌f(xié)議,只有按照這個(gè)協(xié)議,
交換許多關(guān)于終端的信息,才能在用戶端實(shí)現(xiàn)正常的顯示。因此,應(yīng)用層協(xié)議是各不相同的。
個(gè)專門在網(wǎng)絡(luò)上搜尋代理的程序,總是試圖連接一臺主機(jī)的許多端口,如果能夠通過這許多
端口之一,調(diào)來某一個(gè)WwW站點(diǎn)的網(wǎng)頁,則可以認(rèn)為在這個(gè)端口正在運(yùn)行著一個(gè)代理程序。
這種方法可以被目標(biāo)主機(jī)檢測到,并被記錄下來。因?yàn)檫@種方法總是要主動(dòng)去與目標(biāo)主
機(jī)建立連接。而建立連接之后,便被目標(biāo)主機(jī)記錄下來。另外,可以被防火墻之類的系統(tǒng)過濾
掉。當(dāng)防火墻檢查通過的IP包時(shí),對于這種來自未知的源IP地址的包總是非常警愒的。因
此,入侵者為了有效地隱蔽自己,又能進(jìn)行端口掃描,需要尋找更有效的方法。有許多利用
TCP/IP協(xié)議的本身特征,實(shí)現(xiàn)隱身的技巧可供入侵者利用。了解這些知識對于管理員和配
置防火墻有很大的幫助。一些防火墻已提供這方面的過濾功能。現(xiàn)在,讓我們先來溫習(xí)ー下
IP數(shù)據(jù)包中的一些字段的含義吧。メ
個(gè)在TCP數(shù)據(jù)包的報(bào)頭中有六個(gè)位,分別表示FIN、SYN、RST、PSHI、ACK和URGa
其中,ACK被置1,表明確認(rèn)號是有效的;如果這一位被清零,數(shù)據(jù)包中不包含一個(gè)確認(rèn)
確認(rèn)號域?qū)⒈缓雎浴?/div>
PSH提示數(shù)據(jù)的接收者將收到的數(shù)據(jù)直接交給應(yīng)用程序,而不是將它放在緩沖區(qū),直到
緩沖區(qū)滿才交給應(yīng)用程序。它常用一些實(shí)時(shí)的通信。個(gè)一は的の)
RST用來重置一個(gè)連接,用于ー臺主機(jī)崩潰或一些其它原因而引起的通信混亂。它也被
用來拒絕接收一個(gè)無效的TCP數(shù)據(jù)包,或者用來拒絕一個(gè)建立連接的企圖。當(dāng)?shù)玫揭粋€(gè)重置 口8,S
了RST的TCP數(shù)據(jù)包,通常說明本機(jī)有一些問題
用,對連接請求需要應(yīng)答,所以,在應(yīng)答的TCP數(shù)據(jù)包中,SYN=1、ACK=L,SYN通常用來指 sYN用來建立一個(gè)連接。在連接請求數(shù)據(jù)包中,SYN=1、ACK=0指明確認(rèn)域沒有使
明連接請求和連接請求被接收,而用ACK來區(qū)分這兩種情況。FN用來釋放一個(gè)連接。它指出發(fā)送者已經(jīng)沒有數(shù)據(jù)要發(fā)送。然而,當(dāng)關(guān)ー個(gè)連接之
后,一個(gè)進(jìn)程還可以繼續(xù)接收數(shù)據(jù)。SUN和FIN的TCP數(shù)據(jù)包都有順序號。因此,可保證數(shù)
據(jù)按照正確的順序被處理
材企與鹽S
下面讓我們看一看利用上述這些信息,人侵者是如何障藏自己的端口掃描活動(dòng)的。
(1) TCP connect()的掃描。這是最基本的一種掃描方式。使用系統(tǒng)提供的 connect()第
說明該端口不可訪問。它的一個(gè)特點(diǎn)是,使用 TCP connect()不需要任何特權(quán),任何Unix用r 統(tǒng)調(diào)用并建立與想要的目標(biāo)主機(jī)的端口的連接。如果端口正在監(jiān)聽, connec()就返回,否則、
接目標(biāo)主機(jī)的端口,還可以同時(shí)使用多個(gè)ekt,來加快掃描的速度。使用個(gè)非阻塞的 都可以使用這個(gè)系統(tǒng)調(diào)用另一個(gè)特點(diǎn)是速度快。除了串行地使用單個(gè)cm()調(diào)用來
調(diào)用將可以同時(shí)監(jiān)視多個(gè)Ska另外,這種掃描方式容島被檢測到,并且被過濾。。
主機(jī)的日志文件將會(huì)記錄下這些達(dá)連接信息和錯(cuò)誤信息,然后立即關(guān)閉連接,。目標(biāo)
(2) TCP SYN掃描。這種掃描通常稱為半開掃描,因?yàn)椴⒉皇且粋€(gè)全TCP連接。通過發(fā)
送一個(gè)SYN數(shù)據(jù)包,就好像準(zhǔn)備打開一個(gè)真正的連接,然后等待響應(yīng)。一個(gè)SYN/ACK表明 該端口正在監(jiān)聽,一個(gè)RST響應(yīng)表明該端口沒有被監(jiān)聽。如果收到一個(gè) SYN/ACK,通過立
戶權(quán)限才能建立這種可配置的SYN數(shù)據(jù)包。文的五記部,令命的五 即發(fā)送一個(gè)RST來關(guān)閉連接。它的特點(diǎn)是極少有主機(jī)來記錄這種連接請求,但必須有超級用
(3) TCP FIN掃描。在很多情況下,即使是SYN掃描也不能做到很隱秘。些防火墻和
包過濾程序監(jiān)視SYN數(shù)據(jù)包訪間個(gè)未被允許訪問的端口,=些程序可以檢測到這些掃描。
然而,F(xiàn)IN數(shù)據(jù)包卻有可能通過這些掃描。回 其基本思想是:關(guān)閉的端口將會(huì)用正確的RST來應(yīng)答發(fā)送的FIN數(shù)據(jù)包,而相反,打開
的端口往往忽略這些請求。這是一個(gè)TCP實(shí)現(xiàn)上的錯(cuò)誤,但不是所有的系統(tǒng)都存在著類似錯(cuò)
誤,因此,并不是對所有的系統(tǒng)都有效。に自來部數(shù)、加高 (4) Fragmentation掃描。這種掃描并不是僅僅發(fā)送檢測的數(shù)據(jù)包,而是將要發(fā)送的數(shù)據(jù)
包分成一組更小的IP包。通過將TCP包頭分成幾段,放人不同的IP包中,將使得包過濾程
序難以過濾,因此,可以做到想要做的掃描活動(dòng)。然而,一些程序很難處理這些過小的包。
(S5) UDP recfrom()和 write()掃描。一些人認(rèn)為,UDP的掃描是無意義的。沒有Root權(quán)
限的用戶不能直接得到端口不可訪問的錯(cuò)誤,但是 Linux可以間接地通知用戶。例如,一個(gè)關(guān)
閉的端口的第二次 write()調(diào)用通常會(huì)失敗。如果在一個(gè)非阻塞的 Udpsocket上調(diào)用 rector
()通常會(huì)返回 EAGAIN()(“ Try again",eror=13),而ICMP則收到一個(gè) ECONNERFUSED
(" Connection refused”,erno=111)的錯(cuò)誤信息。等的五
(6)ICMP的掃描。這并不是一個(gè)真正的端口掃描,因?yàn)镮CMP并沒有端口的抽象。然
而,用PING這個(gè)命令,通常可以得到網(wǎng)上目標(biāo)主機(jī)是否正在運(yùn)行的信息。置來田T29
82.8口令破解 圖金的就當(dāng) 0常面,,別D的武個(gè)的
,Y2
.當(dāng)前,無論是計(jì)算機(jī)用戶,還是一個(gè)銀行的戶頭,都是通過口令來進(jìn)行身份認(rèn)證的,口令是
維持安全的第一道防線。可是,使用口令面臨著許多的安全問題現(xiàn)在有越來越多的人試圖
在 Internet上進(jìn)行人侵和高科技的犯罪,他們最初的原因也許是因?yàn)橄到y(tǒng)沒有口令,或者是使
用了一個(gè)容易猜測的口令。網(wǎng)站建設(shè)畫9T的Uは民
本文地址:http://m.knowyourextract.com//article/3746.html
上一篇:同塔安全與防
下一篇:攻擊者不能訪問系統(tǒng)