2000年9月27日,
Ankit發嗲
隨著黑客和黑客攻擊事件的蔓延,時機已經到來,當大公司的服務器,但也到他們的ISP撥號連接到互聯網的人,不僅系統管理員必須擔心他們的系統安全。它真的沒有太大的差別,你是否有一個靜態的IP地址或一個動態的,如果你的系統連接到互聯網,再有就是每次它被攻擊的機會。
本手冊的目的是在討論系統安全性分析的方法,將闡明如何保護您的獨立(也連接到局域網系統)系統的光。
開放港口:對安全的威脅?
在netstat教程,我們已經討論了如何netstat-a命令顯示您的系統上開放的端口列表。好吧,無論如何,在我動議之前,我想快速重述的重要組成部分。所以在這裡,直接從netstat的教程:
現在,??選項用於顯示在本地計算機上所有打開的連接。它也返回這是我們連接到遠程系統,遠程系統的端口連接(本地計算機)和遠程系統連接的類型和狀態,我們有數字。
例如,
C:\ WINDOWS> netstat的-A
活動連接
原本地地址外國地址國家
TCP ankit:1031 dwarf.box.sk:FTP成立的
TCP ankit:1036 dwarf.box.sk:FTP的數據處於TIME_WAIT
TCP ankit:1043 banners.egroups.com:80處於FIN_WAIT_2
TCP ankit:1045 mail2.mtnl.net.in:POP3處於TIME_WAIT
TCP ankit:1052 zztop.boxnetwork.net:80 ESTABLISHE。ð
TCP ankit:1053 mail2.mtnl.net.in:POP3處於TIME_WAIT
UDP ankit:1025 *:*
UDP ankit:nbdatagram *:*
現在,讓我們從上面的輸出單行和它所代表的:
原本地地址外國地址國家
TCP ankit:1031 dwarf.box.sk:FTP成立的
現在,上面可以安排如下:
協議:TCP(這可能是傳輸控制協議或TCP,用戶數據報協議或UDP或有時甚至是IP或互聯網協議。)
本地系統的名稱:ankit(這是你的Windows安裝過程中設置的本地系統的名稱。)
本地端口打開此連接使用:1031
遙控系統:dwarf.box.sk(這是我們所連接的系統的非數值形式。)
遠程端口:FTP(這是我們連接遠程系統dwarf.box.sk的端口號。)
國家建立連接:
?NETSTAT? ???參數正常使用,得到自己的系統上,即在本地系統上開放的端口列表。這可以是特別有用的檢查,看看您的系統是否有木馬安裝或沒有。是的,最良好的抗病毒軟件能夠檢測到木馬的存在,但是,我們是黑客,需要對軟件告訴我們,我們是否有感染或不。此外,它是更有趣的手動做一些事情,而不是簡單地點擊?掃描?按鈕,並讓一些軟件做到這一點。
以下是木馬和它們使用的端口號列表,如果你的Netstat自己找到任何以下開放,那麼你可以相當肯定,你被感染。
12345端口(TCP)Netbus
31337(UDP)端口返回孔板
有關完整列表,請參閱木馬教程:hackingtruths.box.sk / trojans.txt
----
現在,上面的教程導致一些人提出這樣的問題:如果“NETSTAT-a'命令顯示在我的系統開放的端口,這是否意味著任何人都可以連接到他們嗎?或者,我怎樣才能關閉這些打開的端口?我怎麼知道一個開放的端口,如果是我的系統的安全不構成威脅呢?好了,所有這些問題的答案將是明確的,一旦你閱讀下面的段落:
現在,這裡要明白的是,端口號劃分為三個範圍:
眾所周知的端口是從0到1023。此範圍或端口綁定到其上運行的服務。本我的意思是,每個端口通常有一個特定的服務,在其上運行。你看到有一個國際公認的端口號服務規則,(參見RFC 1700中)以指定的端口號特定服務運行。例如,默認或通常的FTP端口21上運行。所以,如果你發現21端口是打開一個特定的系統上,那麼它通常意味著該特定系統的使用FTP協議來傳輸文件。然而,請注意,一些聰明的系統的管理員delibrately即愚弄了lamers這個軟件上運行流行端口的假服務。例如,一個系統可能正在運行的端口21上的假FTP守護進程。雖然你得到了相同的接口像FTP守護旗幟,響應號碼等,但是,它實際上可能是一個軟件登錄您的測定水中微量鉬,有時甚至跟踪你!!
已註冊的端口是從1024到49151人。這個端口號的範圍不受任何特定的服務。其實,像你的瀏覽器,電子郵件客戶端的網絡utlites,FTP軟件打開一個隨機端口,在此範圍內,並開始與遠程服務器通信。在此範圍內的一個端口號的原因是,你為什麼能夠上網衝浪,或檢查你的電子郵件等
如果你發現,當你給netstat-a命令,然後在此範圍內的端口數是開放的,那麼你應該不用擔心。只是打開這些端口,所以,你可以得到您的應用軟件,做你想讓他們做的。這些端口被打開各種應用程序暫停執行任務。他們的行動作為轉讓緩衝包(數據)接收到的應用程序和VIS-A-反之亦然。一旦你關閉該應用程序,然後你會發現這些端口自動關閉。例如,當您在您的瀏覽器中鍵入www.hotmail.com,然後您的瀏覽器隨機選擇一個註冊的端口,並使用它作為一個緩衝區所涉及的各種遠程服務器通信。
動態和/或私有端口是從49152到65535人。此範圍很少使用,主要用於通過木馬,但是一些應用程序傾向於使用如此高的端口號範圍。例如,Sun開始在32768 RPC端口。
因此,這基本上給我們帶來了做什麼,如果你發現的Netstat給你幾個系統開放的端口:
1。檢查木馬端口列表和檢查開放端口與任何流行的匹配。如果它再刪除木馬和刪除木馬。
2。如果沒有或如果特洛伊木馬說:“沒有發現木馬,然後看到開放的端口,如果在註冊端口範圍。如果是的話,那麼你有什麼可擔心的,所以忘記它。
***********************
黑客入侵的真相:系統管理員採用一個共同的技術,重新映射端口。例如,通常為HTTP的默認端口是80。然而,系統管理員也可以重新映射到端口8080。現在,如果是這樣的話,那麼在該服務器託管的網頁將是:
http://domain.com:8080代替
http://domain.com:80
港重映背後的想法,而不是運行在一個眾所周知的端口,它可以很容易被利用的服務,將更好地運行不那麼廣為人知的端口,黑客,會覺得更難以發現服務。他將不得不端口掃描發現端口重映射的數字高範圍。
重映射使用的端口通常是很容易記住。他們choosen銘記的默認端口號被重新映射服務應該運行。例如,默認情況下的POP端口110上運行。不過,如果你要重新映射,你會選擇以下任一:1010,11000,1111等等等等
有些系統管理員也喜歡選擇以下列方式的端口號:1234,2345,3456,4567和等...然而,為什麼港重映的另一個原因,是在Unix系統上能夠聽取低於1024端口,你必須有root previledges。
************************
防火牆
防火牆的使用已不再局限於服務器或網站或商事公司。即使您只需撥打到您的ISP或使用PPP(點對點協議),網上衝浪,你根本不能做沒有防火牆。那麼究竟什麼是防火牆?
嗯,在非怪胎語言,防火牆基本上是盾牌,保護您的系統連接到互聯網的不可信不可靠系統。這是一個軟件,監聽任何試圖打開一個連接您的系統上的所有端口,當它檢測到這樣的嘗試,然後它會根據預定義的規則集作出反應。因此,基本上,防火牆是保護網絡從互聯網(或制度看)的東西。這是來自車輛保護車輛在發生火災時防火材料製成的屏障用於防火牆的概念。
現在,一個更好的“根據”聖經“防火牆定義之:作為一個軟件或硬件或硬件和軟件兩包過濾,只允許選擇包通過從互聯網到您的私人內部網絡防火牆是最好的。防火牆是一個系統或一個系統,防止一個可信任的網絡組(內部專用網絡,從不受信任的網絡(互聯網)。
注:這是一個非常簡短的防火牆是什麼,我會不會被他們的工作細節在本手冊的desciption。
總之,在長期的“防火牆”,(一般是由企業用於商業目的)已演變成一個新的術語稱為“個人防火牆”。現在,這個詞基本上是用來指一個獨立的系統,可能會或可能不會聯網,即它通常連接到ISP上安裝防火牆。或者換句話說,個人防火牆是用於個人使用防火牆。
現在你有一個基本desciption防火牆是什麼,讓我們繼續前進到底為什麼你需要安裝防火牆嗎?或者,怎麼能不安裝防火牆到您的系統安全構成威脅呢?
你看,當你連接到互聯網,那麼你有百萬計的連接以及其他不可信系統。如果莫名其妙地有人發現了你的IP地址,然後他們可以做可能什麼你的系統。他們可以利用任何在您的系統中存在的漏洞,破壞您的數據,甚至使用侵入其他電腦系統。
找出someone'e的IP地址是不是很困難。任何人都可以找出您的IP地址,通過各種聊天服務,即時消息程序(ICQ,MSN,美國在線等),通過一個共同的ISP和許多其他的方式。逸岸找出一個特定的人的IP地址並不總是一些黑客的優先。
我的意思,說是有數量之間預定義的常見漏洞掃描一定範圍內的所有IP地址的腳本和工具。例如,文件共享啟用或系統運行的操作系統,這是平的死亡攻擊等等容易,只要被發現有漏洞的系統的系統,然後,他們使用的IP進行攻擊。
最常見的掃描儀尋找與鼠或安裝遠程管理工具的系統。他們發送一個數據包常見的木馬端口和受害者的系統是否已安裝該木馬或不顯示。 “掃描IP地址範圍”,這些方案接受相當廣泛,可以很容易地找到一個易受攻擊的系統在幾分鐘甚至幾秒鐘的事。
特洛伊木馬想回到孔板提供遠程訪問你的系統,可以設置一個密碼嗅探器。後門嗅探器的組合,是一個危險的後門提供未來的遠程訪問,而嗅探器可以揭示你喜歡你其他的密碼,銀行信息,信用卡號碼,社會安全號碼等重要信息,如果你的家系統連接到本地局域網和攻擊者設法在其上安裝一個後門,那麼你可能已經攻擊到您的內部網絡相同的訪問級別,因為你。這wouls也意味著你已經創建了一個後門進入您的網絡,繞過任何防火牆,可守著前門。
你可能會說我,作為您使用的是高達鏈接到您的ISP通過PPP撥號,攻擊者將能夠訪問你的機器,只有當你上網。嗯,是的這是真的,但是,不完全屬實。是的,它使訪問您的系統,當您重新連接,困難的,因為你有一個充滿活力的互聯網協議地址。但是,雖然這提供了一個保護的微弱的希望,常規掃描您的IP所在的IP的範圍,將更多的往往不是顯示您的當前動態IP和後門提供對系統的訪問。
*******************
黑客入侵真相:微軟說:“戰爭撥號程序自動掃描調製解調器試圖在每一個電話號碼交換。如果調製解調器只能使用撥號連接,戰爭撥號器不會發現它。但是,PPP改變方程式,因為它提供了雙向transportmaking任何連接系統可見於掃描儀和攻擊。
*******************
那麼,我該如何保護自己從這些掃描和unsolicitated的攻擊?嗯,這是個人防火牆進來,他們就像他們的名字表明,保護您unsolicitated連接探針,掃描,攻擊。
他們傾聽收到任何連接請求(合法和假冒主機)和發送(如瀏覽器,電子郵件客戶端等應用),只要這樣一個實例記錄到所有的端口,它彈出一個警告,要求你做什麼或是否允許連接到啟動與否。此警告消息也包含正試圖發起連接和端口號,它試圖連接即包被發送到端口的IP。它還能保護您的系統,從端口掃描,DOS攻擊,漏洞攻擊等,所以基本上它充當盾牌或不允許的緩衝系統直接溝通與不可信系統。
大多數個人防火牆,有廣泛的記錄設施,允許你追查攻擊。一些流行的防火牆:
1.BlackICE後衛:PC的一個IDS。這在http://www.networkice.com。
2。 ZoneAlarm的:最簡單的“設置和管理防火牆。免費獲得:www.zonelabs.com
一旦你已經安裝在您的系統防火牆,你經常會得到一個警告,這可能似乎是,如果有人試圖闖入你的系統的數量,然而,他們實際上是假消息,這是您的操作系統本身造成的或由於過程稱為動態IP的分配。對於這兩個細節描寫,讀。
許多人抱怨他們盡快撥號到ISP,他們的防火牆說,這樣或那樣的IP探測X口是什麼原因導致他們嗎?
嗯,這是相當普遍的。原因是有人掛了之前,您撥打的電話和您的ISP分配給你相同的IP地址。你現在看到以前的人溝通的遺骸。這是最常見的時候,較早前被分配的IP的人使用ICQ或聊天程序,連接到遊戲服務器,或乾脆關閉他之前,他的通信的調製解調器與遠程服務器的完整。
你甚至可能得到一個消息,如:某某IP是試圖initaite這再次是extrememly共同的NetBIOS會話上港十。以下是解釋為什麼會發生,我拿起前兩天:NetBIOS請求UDP端口137是最常見的項目,你會看到在你的防火牆拒絕日誌。談到即將從微軟的Windows功能:當一個程序分解成一個IP地址的名稱,它可能會發送一個NetBIOS查詢的IP地址。這是互聯網背景輻射的一部分,並沒有予以關注。
是什麼原因導致呢?在幾乎所有的系統(UNIX,Macintosh和Windows)中,程序調用的函數gethostbyaddr()'所需的地址。此功能將做相應的查找,並返回名稱。此功能是套接字API的一部分。 gethostbyaddr()要記住的關鍵一點是,它是虛擬的。它不指定如何解決名稱地址。在實踐中,將使用所有可用的機制。如果我們看一下的UNIX,Windows和Macintosh系統中,我們看到了以下技術:
中的DNS-addr.arpa的PTR查詢發送到DNS服務器
發送到IP地址的NetBIOS NodeStatus查詢
查找在/ etc / hosts中的文件
AppleTalk的發送IP名稱查詢的IP地址
RPC查詢發送到UNIX NIS服務器
NetBIOS查找發送到WINS服務器
Windows系統的/ etc / hosts中的DNS,WINS,請和NodeStatus技術。更難以忍受的細節,微軟有一個通用的系統組件,稱為命名服務。系統中的所有協議棧(的NetBIOS,TCP / IP協議,新的IPX,AppleTalk的,榕樹等)註冊的各種名稱的決議,他們可以執行。同樣,一些RPC的產品將註冊NIS命名服務。當一個程序請求解決一個地址,這個地址被傳遞到通用命名服務。 Windows會嘗試每個已註冊的域名解析子系統順序,直到它得到一個答案。
(附註:有時用戶的抱怨,訪問Windows服務器很慢,這是安裝不需要的協議棧,必須超時先真正的協議棧的服務器名稱的質疑引起的。)。
可以配置Windows註冊表鍵下的順序,在它的IP地址執行這些決議的步驟
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \服務\ TCPIP \ ServiceProvider。
突破防火牆
雖然防火牆是為了提供完整的保護您的端口掃描探針等有流行的防火牆在現有的幾個洞,等待著被剝削。在這個問題上,我將討論孔在ZoneAlarm版本2.1.10到2.0.26,這使得端口掃描攻擊的目標系統(雖然它通常應該停止這種掃描。)
如果使用67端口作為源端口的TCP或UDP掃描,ZoneAlarm就會讓數據包通過,並不會通知用戶。這意味著,人可以在TCP或UDP端口掃描的ZoneAlarm保護電腦,因為如果沒有防火牆,如果使用67端口上的數據包的源端口。
利用:
UDP掃描:
你可以使用nmap端口掃描主機下面的命令行:
nmap的-G67-P0-P130-140-SU 192.168.128.88
(請注意,G67指定源端口)。
TCP掃描:
你可以使用nmap端口掃描主機下面的命令行:
nmap的-G67-P0-P130-140-SS 192.168.128.88
(請注意,G67指定源端口)。
ankit發嗲
