2022年黑客攻防技术内幕-网络安全初步(8).docx

2022年黑客攻防技术内幕-网络安全初步(8)2.3 端 口 对 照(1) 2.3 端 口 对 照一个端口就是一个潜在的通信通道，也就是一个入侵通道，开放一个端口就是一台计算机在Internet打开的一扇窗口，黑客主要的入侵方法就是用手工扫描或是端口扫描软件找出服务器所开放的端口，从而根椐其漏洞对服务器进行攻击，因此了解端口对防范入侵者攻击起着很重要的作用。 端口可分为3大类： 公认端口(Well Known Ports)：从01023，它们紧密绑定于一些服务。通常这些端口的通信明确表明白某种服务的协议。例如，80端口事实上总是HTTP通信。 注册端口(Registered Ports)：从102449151。它们松散地绑定于一些服务。也就是说有很多服务绑定于这些端口，这些端口同样用于很多其他目的。例如：很多系统处理动态端口从1024起先。 动态和/或私有端口(Dynamic and/or Private Ports)：从49 15265 535。理论上，不应为服务安排这些端口。事实上，计算机通常从1024起安排动态端口。但也有例外，SUN的RPC端口从32 768起先。接下来看看端口的安排及入侵者的利用，如表2-2所示。 表2-2 常见端口比照 端 口服 务说 明0Reserved通常用于分析操作系统。这一方法能够工作是因为在一些系统中"0"是无效端口，当你试图运用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，运用IP地址为0.0.0.0，设置ACK位并在以太网层广播1tcpmux这显示有人在找寻SGI Irix机器。Irix是实现tcpmux的主要供应者，默认状况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个默认的无密码的账户，如lp，guest，uucp，nuucp，demos，tutor，diag，Ezsetup，OutOfBox和4Dgifts。很多管理员在安装后遗忘删除这些账户。因此Hacker们在Internet上搜寻tcpmux并利用这些账户7Echo能看到很多人们搜寻Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息19Character Generator这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。Hacker利用IP欺瞒可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载21FTPFTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于找寻打开anonymous的ftp服务器的方法。这些服务器带有可读写的书目。木马Blade Runner、Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash所开放的端口22SshPcAnywhere建立TCP和这一端口的连接可能是为了找寻ssh。这一服务有很多弱点，假如配置成特定的模式，很多运用RSAREF库的版本就会有不少漏洞的存在23Telnet远程登录，入侵者在搜寻远程登录UNIX的服务。大多数状况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外运用其他技术，入侵者也会找到密码。木马Tiny Telnet Server 所开放的端口25SMTPSMTP服务器所开放的端口，用于发送邮件。入侵者找寻SMTP服务器是为了传递他们的spam。入侵者的账户被关闭，他们须要拨号连接到高带宽的E-mail服务器上，将简洁的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、Terminator、WinPC、WinSpy 所开放的端口端 口服 务说 明31MSG Authentication木马Master Paradise、Hackers Paradise所开放的端口53Domain Name ServerDNS服务器所开放的端口，入侵者可能是试图进行区域传递(TCP)，欺瞒DNS(UDP)或隐藏其他通信。因此防火墙经常过滤或记录53端口67Bootstrap Protocol Server通过DSL和cable-modem的防火墙常会望见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器恳求一个地址安排。Hacker常进入它们安排一个地址把自己作为局部路由器而发起大量的中间人(man-in-middle)攻击。客户端向68端口(bootps)广播恳求配置，服务器向67端口(bootpc)广播回应恳求。这种回应运用广播是因为客户端还不知道可以发送的IP地址69Trivial File Transfer很多服务器与bootp一起供应这项服务，便于从系统下载启动代码。但是它们经常由于错误配置而使入侵者能从系统中窃取任何文件，如密码文件。它们也可用于向系统写入文件79Finger server入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器finger扫描80HTTP用于网页阅读木马Executor 所开放的端口99Metagram Relay后门程序ncx99开放的端口109Post Office Protocol - Version 2POP2端口，并不像POP3那样出名，但很多服务器同时供应两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在110Post Of