當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)技巧>正文

用端口碰撞技術(shù)實(shí)現(xiàn)服務(wù)器遠(yuǎn)程管理

http://www.yibo1263.com　2008/7/30 14:58:29 　來(lái)源:本站　編輯:葉子

　　從安全管理的角度來(lái)說(shuō)，開(kāi)啟的服務(wù)端口越多，就越不安全，有道是“明槍易躲，暗箭難防”，因此“系統(tǒng)安全加固服務(wù)”中，最常用的方式，就是先關(guān)閉無(wú)用端口，再對(duì)提供服務(wù)的端口做訪問(wèn)控制。

　　端口碰撞技術(shù)(Port knocking)

　　從安全管理的角度來(lái)說(shuō)，開(kāi)啟的服務(wù)端口越多，就越不安全，有道是“明槍易躲，暗箭難防”，因此“系統(tǒng)安全加固服務(wù)”中，最常用的方式，就是先關(guān)閉無(wú)用端口，再對(duì)提供服務(wù)的端口做訪問(wèn)控制。

　　而作為遠(yuǎn)程管理與維護(hù)的人員通常需要開(kāi)啟一些服務(wù)端口，如FTP和SSH，這些服務(wù)使用大家熟悉的一些端口，長(zhǎng)時(shí)間開(kāi)啟這些端口，往往是“嚴(yán)重”的安全隱患。所以能在“需要”的時(shí)候才開(kāi)啟服務(wù)，并只對(duì)特定的人提供服務(wù)，服務(wù)完畢端口有恢復(fù)關(guān)閉狀態(tài)，攻擊者就難以利用這個(gè)“安全隱患”了，端口碰撞技術(shù)提供了比較理想的解決方案。

　　端口碰撞技術(shù)是一種允許服務(wù)設(shè)備在用戶按照約定的序列碰撞后，打開(kāi)一個(gè)約定的服務(wù)端口提供服務(wù)的技術(shù)。所謂碰撞是由一個(gè)嘗試訪問(wèn)系統(tǒng)中關(guān)閉端口的序列組成，也就是特定端口的連接請(qǐng)求。

　　說(shuō)起來(lái)，端口碰撞技術(shù)的實(shí)現(xiàn)很簡(jiǎn)單：

　　1、開(kāi)啟固定的端口服務(wù)

　　如在服務(wù)器上設(shè)置為：服務(wù)器接收到同一個(gè)用戶的對(duì)端口2048、2049、2055、2058連接序列嘗試后，則服務(wù)器打開(kāi)TCP服務(wù)端口號(hào)28，該用戶可以通過(guò)該端口進(jìn)行遠(yuǎn)程工作，連接結(jié)束后自動(dòng)關(guān)閉該服務(wù)端口。若是防火墻等網(wǎng)關(guān)類設(shè)備，則在截獲該序列的嘗試后，在訪問(wèn)列表中增加一條規(guī)則來(lái)放行該用戶的TCP28數(shù)據(jù)包，使該連接可以通過(guò)防火墻。收到連接關(guān)閉命令后，再刪除該規(guī)則，恢復(fù)對(duì)該端口的拒絕服務(wù)。

　　2、動(dòng)態(tài)開(kāi)啟端口服務(wù)

　　若需要使用端口碰撞技術(shù)打開(kāi)的服務(wù)端口有多個(gè)，或者動(dòng)態(tài)變化服務(wù)的端口，在設(shè)計(jì)服務(wù)器上的碰撞序列時(shí)，可以采用在序列中“指定”端口，在序列某個(gè)位置上“告之”希望打開(kāi)的服務(wù)端口。如設(shè)定規(guī)則為，最后的一個(gè)端口減2000為服務(wù)端口好，則碰撞序列為2048、2049、2055、2058、2443時(shí)，就是希望開(kāi)啟443端口的服務(wù)。

　　端口碰撞技術(shù)看起來(lái)不復(fù)雜，對(duì)于使用者了說(shuō)，在正常的連接建立前，又增加了一層“密碼”驗(yàn)證，可以做個(gè)小工具軟件來(lái)自動(dòng)化你每次的碰撞過(guò)程，把碰撞序列作為密碼一樣順序發(fā)出，就可以直接工作了。并且不僅在防火墻上可以實(shí)現(xiàn)(此時(shí)服務(wù)器上可以默認(rèn)打開(kāi)該服務(wù)端口)，而且在服務(wù)器上也可以直接實(shí)現(xiàn)。在實(shí)現(xiàn)的設(shè)備上增加了一個(gè)匹配的緩沖池，以狀態(tài)機(jī)的方式跟蹤進(jìn)入匹配的用戶(源IP)，從匹配第一個(gè)端口包，開(kāi)始啟動(dòng)狀態(tài)機(jī)，該用戶后來(lái)的包逐個(gè)匹配序列，完成一個(gè)進(jìn)入下一個(gè)狀態(tài)，直到整個(gè)序列匹配，若有一個(gè)包不匹配，則回到初試狀態(tài)。

　　端口碰撞技術(shù)的安全性

　　既然，端口碰撞技術(shù)實(shí)現(xiàn)起來(lái)不麻煩，對(duì)于工作人員(使用人少的服務(wù)合適，若大量用戶的功能顯然不適合)的“特殊”服務(wù)需求的開(kāi)啟就很方便，那它的安全性有問(wèn)題嗎?

　　“密碼”類的防護(hù)有兩種“天敵”，一是密碼簡(jiǎn)單，很容易猜測(cè)，因?yàn)閹ぬ?hào)一般不是保密的，即使是系統(tǒng)默認(rèn)的一些系統(tǒng)管理的高級(jí)帳號(hào)，所以容易破解。二是暴力破解，目前128位的密碼破解的時(shí)間已經(jīng)縮短到小時(shí)級(jí)別，所以密碼類防護(hù)技術(shù)，目前的方式大多的增加長(zhǎng)度與組合。

　　端口碰撞采用端口號(hào)的組合方式，有些類似密碼，但首先端口序列本身沒(méi)有含義，是使用者自己設(shè)置的，所以不容易猜測(cè)，端口號(hào)理論上有六萬(wàn)多個(gè)，沒(méi)有開(kāi)啟服務(wù)的都可以拿來(lái)做碰撞使用，組合數(shù)量也很龐大。其次，碰撞序列的長(zhǎng)度不固定，這讓掃描類的破解工具很“頭痛”，因?yàn)椴恢篮螘r(shí)為猜測(cè)的結(jié)束。再次，也是最重要的一點(diǎn)，碰撞可以采用與連接的初始包一樣包做碰撞，也可以不一樣，如采用Ping包，或者采用特殊標(biāo)記的SYN包等。端口碰撞是探測(cè)服務(wù)器沒(méi)有開(kāi)啟的服務(wù)端口，服務(wù)器的回復(fù)(很多是不理睬)不能說(shuō)明你現(xiàn)在是否是匹配的，即使你“有幸”找到了碰撞序列，但下一個(gè)數(shù)據(jù)包應(yīng)該是你開(kāi)始正常連接的數(shù)據(jù)包，而這時(shí)若選錯(cuò)了，前邊的“匹配”立即“歸零”，因此，該技術(shù)抗掃描的能力是很強(qiáng)的。

本新聞共2頁(yè),當(dāng)前在第1頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·遠(yuǎn)程管理工作站十大技巧

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费