連接阜攻防大全
看一些系統管理或者電腦安全方面的文章,「連接阜」出現的次數很多,可見,連接阜是管理員和系統攻擊者都關注的問題。連接阜可以成為管理員提供服務的途徑也可以成為攻擊者的通道,怎樣根據伺服器提供的服務正確設定連接阜,是每一個管理員都應該徹底明白的問題。
一:徹底瞭解什麼是連接阜
要設定連接阜,必須明白什麼是連接阜。首先需要明白的一點是,我們這裡所說的連接阜,不是電腦硬體的I/O連接阜,而是軟體形式上的概念。伺服器可以向外提供多種服務,比如,一台伺服器可以同時是WEB伺服器,也可以是FTP伺服器,同時,它也可以是郵件伺服器。為什麼一台伺服器可以同時提供那麼多的服務呢?其中一個很主要的方面,就是各種服務採用不同的連接阜分別提供不同的服務,比如:WEB採用80連接阜,FTP採用21連接阜等。這樣,通過不同連接阜,電腦與外界進行互不干擾的通信。
工具提供服務檔案類型的不同,連接阜分為兩種,一種是TCP連接阜,一種是UDP連接阜。電腦之間相互通信的時候,分為兩種方式:一種是傳送訊息以後,可以驗證訊息是否到達,也就是有回應的方式,這種方式大多採用TCP傳輸協定;一種是傳送以後就不管了,不去驗證訊息是否到達,這種方式大多採用UDP傳輸協定。對應這兩種傳輸協定的服務提供的連接阜,也就分為TCP連接阜和UDP連接阜。
一般的TCP連接阜如下:(http://www.ccw.com.cn/htm/net/seminar/01_10_8_2.asp)
一般的UDP連接阜如下: (http://www.ccw.com.cn/htm/net/seminar/01_10_8_2.asp)
瞭解一般的連接阜以後,我們大致明白了連接阜的作用。那麼,如果攻擊者使用軟體掃瞄目標電腦,得到目標電腦開啟的連接阜,也就瞭解了目標電腦提供了那些服務。我們都知道,提供服務就一定有服務軟體的漏洞,根據這些,攻擊者可以達到對目標電腦的初步瞭解。如果電腦的連接阜開啟太多,而管理者不知道,那麼,有兩種情況:一種是提供了服務而管理者沒有注意,比如安裝IIS的時候,軟體就會自動增加很多服務,而管理員可能沒有注意到;一種是伺服器被攻擊者安裝木馬,通過特殊的連接阜進行通信。這兩種情況都是很危險的,說到底,就是管理員不瞭解伺服器提供的服務,減小了系統安全係數。
二:連接阜掃瞄工具
電腦開啟那些連接阜可以通過一定的網路指令來檢測,但是,我們沒有必要一個個去試驗,因為我們有專門的連接阜掃瞄工具。
工具掃瞄方式的不同,連接阜掃瞄器分為兩者:
第一種針對一個連續網段掃瞄特定連接阜。這種工具常用於尋找特定主機或者特定服務,比如WEB伺服器,也可以用來檢測是否中了木馬,比如檢測7626連接阜來檢測冰河。這種工具有NetBrute。
第二種針對一台特定的伺服器掃瞄所有連接阜。這種工具常用於攻擊一台特定主機以前搜集此主機的大致訊息,確定攻擊方案。這種工具有SuperScan。
一) 掃瞄網段特定連接阜的NetBrute
連接阜對應特定的服務,所以,當我們要檢測本網段電腦是否提供了不該提供的服務或者開放了不該開放的連接阜的時候,我們就應該自己掃瞄一下。掃瞄網段連接阜的工具很多,我們在這裡介紹NetBrute。之所以使用它,有幾個原因:(1)NetBrute簡單易用;一般管理員不願意使用太複雜的工具來進行一些簡單的管理,那有殺豬使用牛刀的感覺;(2)NetBrute是免費的;儘管網上有很多免費的午餐,但是,完全免費沒有廣告或者沒有提示的其實還是比較少;(3)掃瞄速度快,結果清晰;如果使用過一些DOS下的掃瞄程序,可能就有一些體會,雖然速度快,但是,結果有時候不是很清晰;(4)免安裝,程序小;誰也不想在自己的電腦或者伺服器上安裝太多無關或者比較常用的軟體,NetBrute只有500K,完全綠色軟體。該軟體可以到開發者的主頁下載,一邊得到最新版本:http://www.rawlogic.com/
開啟軟體,我們看到一下介面(圖一): (http://www.ccw.com.cn/htm/net/seminar/01_10_8_2.asp)
再以上介面中,我們可以設定連接阜掃瞄時間(Time Out),一般採用軟體預設的300;選項需要掃瞄的連接阜(Tcp Port),點擊下拉框,可以看到連接阜和對應的解釋;掃瞄的IP範圍,預設軟體可以掃瞄一個網段,如果需要掃瞄幾個網段,點擊表單【Option】,取消選項「Class C」;如果掃瞄的IP比較多,可以選項【Scroll Bars】,這樣,在左邊的結果顯示欄出現捲軸;現在,我們選項掃瞄一個網段,看看結果怎樣(圖二) (http://www.ccw.com.cn/htm/net/seminar/01_10_8_2.asp)
在上圖,我們掃瞄了*.75.40.1到*.75.40.255這個網段的所有80連接阜,在結果欄,我們可以看到在這一網段所有提供WEB服務的IP。
在使用以上工具的時候,我們需要注意一下幾點:
1) 連接阜的選項;連接阜對應相應的服務,但是,千萬不要將這句話理解為特定服務一定使用一個特定連接阜。有些管理員為了安全考慮,會將預設連接阜改變,比如,將WEB服務的連接阜改變為8080,這樣,當我們在使用以上工具搜尋WEB服務的時候,就會漏掉使用8080連接阜的電腦。所以,不要簡單的將掃瞄到的結果認定為最後結果。
2) 掃瞄時機的選項;儘管伺服器一般是24小時不間斷服務的,但是,一些特殊的服務和一些特殊的機構不一定24小時開啟伺服器,所以,管理員在考慮對本系統進行檢測的時候盡量選項所有服務均開啟的時間;
3) 掃瞄的利用;除了攻擊者將掃瞄器作為一種攻擊協助工具,管理員其實也非常需要這種軟體,除了檢查伺服器不必要的服務以外,最好同時檢測一般的PC電腦來發現木馬。
二)掃瞄特定電腦所有連接阜的SuperScan
攻擊者在攻擊一台主機以前,一般都需要搜集目標電腦提供的服務,SuperScan 就可以實現這種功能。對一個純粹管理伺服器的管理員而言,上面介紹的NeuBrute並不能完全滿足要求,畢竟,伺服器不會太多。對一台伺服器的完全瞭解才是最重要的。SuperScan需要安裝執行,可以在開發者網站http://www.foundstone.com/下載最新版本。SuperScan有以下特點:(1)小巧易用,使用方法比較簡單,而且,軟體對常用連接阜有介紹;(2)可以選項需要掃瞄的連接阜也可以選項所有連接阜;這一點對於管理員來說比較方便,其實,大部分時候我們不必要掃瞄電腦的所有連接阜,掃瞄1024以下的連接阜基本已經可以了;(3)可以選項掃瞄多個網段;儘管提供這項功能,還是不推薦使用這個功能,因為速度實在太慢;(4)其他功能,比如取得電腦主機名電腦,設定掃瞄速度。
開啟軟體,出現以下介面(圖三):(http://www.ccw.com.cn/htm/net/seminar/01_10_8_2.asp )
以上介面其實可以分為三部分:(1)主機名探測功能(Hostname Lookup),主要取得目標電腦主機名;(2)掃瞄設定區,在【IP】部分可以設定需要掃瞄的IP(或者IP網段); 在【Timeout】設定各種時間參數;在【Scan type】選項掃瞄方式,可以是只Ping目標電腦(Ping only),Every Port in list(連接阜列表的所有連接阜),連接阜列表的連接阜在「Port list setup」設定;(3)結果顯示區。
現在,我們首先設定需要掃瞄的連接阜,選項【Port list setup】,出現以下介面(圖四): (http://www.ccw.com.cn/htm/net/seminar/01_10_8_2.asp)
在以上介面設定需要掃瞄的連接阜,為了簡單,我們選項所有列表中列出的連接阜,儲存為連接阜列表文件。現在開始掃瞄,掃瞄結果如下(圖五): (http://www.ccw.com.cn/htm/net/seminar/01_10_8_2.asp)
在以上介面中,我們檢視結果欄,可以看到目標主機開啟的連接阜,在每一個連接阜後面都有關於這個連接阜的間斷說明,在一些一般的連接阜比如80連接阜還有服務軟體的檔案類型,在這裡檢測到web服務軟體為 IIS4。在【Open ports】顯示了開啟的連接阜的數量。在使用這款軟體的時候,我們需要注意以下問題:
(1) 明確掃瞄目的。任何對目標主機的掃瞄都會給目標主機帶來一定的額外負載,當掃瞄連接阜較多的時候,掃瞄者就有必要考慮掃瞄的目的。如果只是一般維護,當然掃瞄的時候在主機負載較少的時候最好;如果為了攻擊作準備,最好掃瞄以前考慮清除對目標電腦產生的影響同時考慮是否觸犯國家有關法律法規。
(2) 掃瞄結果的檢視。掃瞄結束以後,很多使用者發現目標電腦一個連接阜也沒有開啟!其實不是這樣的,軟體設計者在設計軟體的時候沒有注意結果欄背景色,所以,在掃瞄的IP位址前面有一個小小的+號不能清楚地看見,這時候,我們點擊【Expand all】展開所有接點才會出現圖五所顯示的結果。
(3) 掃瞄速度的考慮。如果掃瞄目標較多,建議晚上進行第二天早上再看結果,因為實在速度不是很快。
三:伺服器連接阜的設定
以上我們介紹了怎樣掃瞄目標電腦的連接阜,現在,我們看一下怎樣設定伺服器連接阜,使連接阜與提供的服務適合。
一) 在系統設定
Win2000和WinNT都可以在TCP/IP設定介面設定開啟伺服器連接阜。現在我們看Win2000中怎樣設定連接阜。開啟【Internet傳輸協定(TCP/IP)內容】設定,選項【進階】,在出現的【進階TCP/IP設定】中選項【選項】,在出現的介面中選項【TCP/IP】刪選,點擊【內容】,出現以下介面(圖六): (http://www.ccw.com.cn/htm/net/seminar/01_10_8_2.asp)
在以上的介面中,可以設定TCP和UDP連接阜。在確定開啟那些連接阜以前,建議考慮以下幾點:
(1) 伺服器到底提供那些服務,這些服務使用那些連接阜。這一點是每一個管理員應該考慮的,在滿足要求下盡量少的服務加開啟適當地連接阜,可以在一定程度上加固伺服器的安全。
(2) 設定完成以後對伺服器進行全面檢測。儘管管理員可能對伺服器很熟悉,但是在設定完成以後還是建議對伺服器的所有服務作一個全面檢測,以免出現服務不能正常執行的情況。
二)軟體設定
以上在系統設定連接阜很簡單,其實,還有更加簡單的方法,那就是使用專門設定連接阜的軟體。使用這一類軟體的好處設定簡單同時還有日誌功能。
(1)阻止通過Internet連接特定連接阜的PortBlocker 這款軟體主要針對同時連接區域網路和網際網路的用戶,當伺服器與網際網路連接以後,管理員就有必要更加注意連接阜的設定。這款軟體專門檢測來自網際網路的通信,如果有任何企圖連接不予開放的連接阜,該軟體就會彈出視窗報告IP位址和企圖的連接阜。現在我們來看這款軟體的使用。
在http://www.analogx.com/ 下載該軟體,安裝以後,開啟它,會在系統工具列的工作列部分出現一個小圖示,右鍵點擊此圖示,選項【Mapping】,出現設定介面(圖七):(http://www.ccw.com.cn/htm/net/seminar/01_10_8_2.asp)
在這裡,我們看到一些常用的連接阜已經被關閉了,當然,我們可以根據需要增加移除或者編輯已有的連接阜。這些設定完全和Win2000一樣,在這裡就不詳細介紹。
(2)IP位址限制和連接阜轉向的PortMapping
上面介紹的軟體主要針對與網際網路連接的伺服器,具有一定的局限性。PortMapping是另外的思法來限制連接阜的一個軟體,當請求已經設定的連接阜的時候,該軟體自動將這些請求轉移到另外的IP或者電腦,這樣,保護的連接阜就安全了。同時,這款軟體也可以限制連接伺服器的IP,此功能和Win2000的IP限制是一樣的。
在http://www.analogx.com/ 下載該軟體,安裝以後,開啟它,會在系統工具列的工作列部分出現一個小圖示,右鍵點擊此圖示,選項【Configure】,出現以下介面【圖八】: (http://www.ccw.com.cn/htm/net/seminar/01_10_8_2.asp)
在這裡,我們可以選項軟體的兩個功能:IP限制和連接阜轉向。我們選項【Port Redirection】,出現連接阜設定介面,選項【Add】按鈕增加連接阜,出現以下介面(圖九):(http://www.ccw.com.cn/htm/net/seminar/01_10_8_2.asp)
在以上介面我們可以設定連接阜、連接阜對應的傳輸協定(TCP、UDP)、轉向的目標(電腦名稱或者IP位址)已經接頭(來自區域網路還是網際網路)。
四:總結
不管是攻擊還是防守,連接阜都是大家關心的問題。所以,在對連接阜作任何的設定或者掃瞄以前,建議不但要考慮到對系統的影響同時也要考慮到是否觸犯國家法律法規。
|