幫2章同塔安全與防
還有許多入侵者將為自己開的后門設(shè)在一個非常高的端口上,這些不常用的端口,常常被
掃描程序忽略。入侵者通過這些端口可以任意使用系統(tǒng)的資源,也為他人非法訪問這臺主機
開了方便之門。在國內(nèi),許多不能直接出國的主機上的用戶總愛將一些 Proxy之類的程序,偷
倫地安裝在一些方便出國的主機上,將大筆的流量賬單轉(zhuǎn)嫁到他人身上。有許多方法可以檢
測到這類活動,其中之一便是使用端口掃描程序。日個以
2.7.2各種端口擔(dān)描 同)を
通常說來,最簡單的端口掃描程序僅僅是檢查一下目標(biāo)主機有哪些端口可以建立TCP連
接,如果可以建立連接,則說明該主機在那個端口監(jiān)聽。當(dāng)然,這種端口掃描程序不能進(jìn)一步
確定端口提供什么樣的服務(wù),也不能確定該服務(wù)是否有眾所周知的那些缺陷
要想知道端口上具體是什么服務(wù),則必須用相應(yīng)的協(xié)議來驗證。因為一個服務(wù)進(jìn)程總是
客戶端提供正確的命令序列,才能完成正確的文件傳輸服務(wù)。遠(yuǎn)程終端服務(wù)在一開始總是要 為了完成某種具體的工作,比如說,文件傳輸服務(wù)有文件傳輸?shù)囊惶讌f(xié)議,只有按照這個協(xié)議,
交換許多關(guān)于終端的信息,才能在用戶端實現(xiàn)正常的顯示。因此,應(yīng)用層協(xié)議是各不相同的。
個專門在網(wǎng)絡(luò)上搜尋代理的程序,總是試圖連接一臺主機的許多端口,如果能夠通過這許多
端口之一,調(diào)來某一個WwW站點的網(wǎng)頁,則可以認(rèn)為在這個端口正在運行著一個代理程序。
這種方法可以被目標(biāo)主機檢測到,并被記錄下來。因為這種方法總是要主動去與目標(biāo)主
機建立連接。而建立連接之后,便被目標(biāo)主機記錄下來。另外,可以被防火墻之類的系統(tǒng)過濾
掉。當(dāng)防火墻檢查通過的IP包時,對于這種來自未知的源IP地址的包總是非常警愒的。因
此,入侵者為了有效地隱蔽自己,又能進(jìn)行端口掃描,需要尋找更有效的方法。有許多利用
TCP/IP協(xié)議的本身特征,實現(xiàn)隱身的技巧可供入侵者利用。了解這些知識對于管理員和配
置防火墻有很大的幫助。一些防火墻已提供這方面的過濾功能?,F(xiàn)在,讓我們先來溫習(xí)ー下
IP數(shù)據(jù)包中的一些字段的含義吧。メ
個在TCP數(shù)據(jù)包的報頭中有六個位,分別表示FIN、SYN、RST、PSHI、ACK和URGa
其中,ACK被置1,表明確認(rèn)號是有效的;如果這一位被清零,數(shù)據(jù)包中不包含一個確認(rèn)
確認(rèn)號域?qū)⒈缓雎浴?/div>
PSH提示數(shù)據(jù)的接收者將收到的數(shù)據(jù)直接交給應(yīng)用程序,而不是將它放在緩沖區(qū),直到
緩沖區(qū)滿才交給應(yīng)用程序。它常用一些實時的通信。個一は的の)
RST用來重置一個連接,用于ー臺主機崩潰或一些其它原因而引起的通信混亂。它也被
用來拒絕接收一個無效的TCP數(shù)據(jù)包,或者用來拒絕一個建立連接的企圖。當(dāng)?shù)玫揭粋€重置 口8,S
了RST的TCP數(shù)據(jù)包,通常說明本機有一些問題
用,對連接請求需要應(yīng)答,所以,在應(yīng)答的TCP數(shù)據(jù)包中,SYN=1、ACK=L,SYN通常用來指 sYN用來建立一個連接。在連接請求數(shù)據(jù)包中,SYN=1、ACK=0指明確認(rèn)域沒有使
明連接請求和連接請求被接收,而用ACK來區(qū)分這兩種情況。FN用來釋放一個連接。它指出發(fā)送者已經(jīng)沒有數(shù)據(jù)要發(fā)送。然而,當(dāng)關(guān)ー個連接之
后,一個進(jìn)程還可以繼續(xù)接收數(shù)據(jù)。SUN和FIN的TCP數(shù)據(jù)包都有順序號。因此,可保證數(shù)
據(jù)按照正確的順序被處理
材企與鹽S
下面讓我們看一看利用上述這些信息,人侵者是如何障藏自己的端口掃描活動的。
(1) TCP connect()的掃描。這是最基本的一種掃描方式。使用系統(tǒng)提供的 connect()第
說明該端口不可訪問。它的一個特點是,使用 TCP connect()不需要任何特權(quán),任何Unix用r 統(tǒng)調(diào)用并建立與想要的目標(biāo)主機的端口的連接。如果端口正在監(jiān)聽, connec()就返回,否則、
接目標(biāo)主機的端口,還可以同時使用多個ekt,來加快掃描的速度。使用個非阻塞的 都可以使用這個系統(tǒng)調(diào)用另一個特點是速度快。除了串行地使用單個cm()調(diào)用來
調(diào)用將可以同時監(jiān)視多個Ska另外,這種掃描方式容島被檢測到,并且被過濾。。
主機的日志文件將會記錄下這些達(dá)連接信息和錯誤信息,然后立即關(guān)閉連接,。目標(biāo)
(2) TCP SYN掃描。這種掃描通常稱為半開掃描,因為并不是一個全TCP連接。通過發(fā)
送一個SYN數(shù)據(jù)包,就好像準(zhǔn)備打開一個真正的連接,然后等待響應(yīng)。一個SYN/ACK表明 該端口正在監(jiān)聽,一個RST響應(yīng)表明該端口沒有被監(jiān)聽。如果收到一個 SYN/ACK,通過立
戶權(quán)限才能建立這種可配置的SYN數(shù)據(jù)包。文的五記部,令命的五 即發(fā)送一個RST來關(guān)閉連接。它的特點是極少有主機來記錄這種連接請求,但必須有超級用
(3) TCP FIN掃描。在很多情況下,即使是SYN掃描也不能做到很隱秘。些防火墻和
包過濾程序監(jiān)視SYN數(shù)據(jù)包訪間個未被允許訪問的端口,=些程序可以檢測到這些掃描。
然而,F(xiàn)IN數(shù)據(jù)包卻有可能通過這些掃描。回 其基本思想是:關(guān)閉的端口將會用正確的RST來應(yīng)答發(fā)送的FIN數(shù)據(jù)包,而相反,打開
的端口往往忽略這些請求。這是一個TCP實現(xiàn)上的錯誤,但不是所有的系統(tǒng)都存在著類似錯
誤,因此,并不是對所有的系統(tǒng)都有效。に自來部數(shù)、加高 (4) Fragmentation掃描。這種掃描并不是僅僅發(fā)送檢測的數(shù)據(jù)包,而是將要發(fā)送的數(shù)據(jù)
包分成一組更小的IP包。通過將TCP包頭分成幾段,放人不同的IP包中,將使得包過濾程
序難以過濾,因此,可以做到想要做的掃描活動。然而,一些程序很難處理這些過小的包。
(S5) UDP recfrom()和 write()掃描。一些人認(rèn)為,UDP的掃描是無意義的。沒有Root權(quán)
限的用戶不能直接得到端口不可訪問的錯誤,但是 Linux可以間接地通知用戶。例如,一個關(guān)
閉的端口的第二次 write()調(diào)用通常會失敗。如果在一個非阻塞的 Udpsocket上調(diào)用 rector
()通常會返回 EAGAIN()(“ Try again",eror=13),而ICMP則收到一個 ECONNERFUSED
(" Connection refused”,erno=111)的錯誤信息。等的五
(6)ICMP的掃描。這并不是一個真正的端口掃描,因為ICMP并沒有端口的抽象。然
而,用PING這個命令,通??梢缘玫骄W(wǎng)上目標(biāo)主機是否正在運行的信息。置來田T29
82.8口令破解 圖金的就當(dāng) 0常面,,別D的武個的
,Y2
.當(dāng)前,無論是計算機用戶,還是一個銀行的戶頭,都是通過口令來進(jìn)行身份認(rèn)證的,口令是
維持安全的第一道防線??墒?,使用口令面臨著許多的安全問題現(xiàn)在有越來越多的人試圖
在 Internet上進(jìn)行人侵和高科技的犯罪,他們最初的原因也許是因為系統(tǒng)沒有口令,或者是使
用了一個容易猜測的口令。網(wǎng)站建設(shè)畫9T的Uは民
本文地址:http://blackside-inc.com//article/3745.html
上一篇:Sniffer 間生個陽面目,限楽天
下一篇:同塔安全與防
