当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 一次意外的入侵经历-黑冰防火墙溢出攻击

安全基础
谈谈针对Linux的病毒起源、发展及分类
如何根据名称识别计算机病毒
防御计算机病毒十大必知步骤
区别计算机病毒与故障技巧
判断病毒的标准及清除方法
详细讲解病毒的知识
VBS脚本病毒原理分析及防范
计算机病毒的入侵方式及分类
文件型病毒的消毒原理
邮件病毒入侵后的清除步骤
QQ病毒查杀实战
宽带用户防范病毒入侵的对策
常见危险文件病毒的防范方法
恶意网页病毒症状分析及修复方法
窥视计算机病毒的磁盘存储结构
病毒出现时可能引发的异常现象
防止电脑反复中病毒及重复感染
电脑客户端的病毒防护步骤
特洛伊木马原理分析
清除木马不如预防木马

安全基础 中的 一次意外的入侵经历-黑冰防火墙溢出攻击


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 63 ::
收藏到网摘: n/a

 

  1、事出有因

  最近学校新上了一台文件服务器,用于校园网内教师交换教案和资料共享之用。服务器正好放在我实验室隔壁,隔着玻璃就能看到。(可惜啊!可望不可及:-( )通过我多方打探,大体了解了服务器的网络设置,关键就在于服务器有两块网卡,一块居然和我们实验室相连(一开始不了解是为什么,事后才知道为了便于实验室的管理员远程管理!)一块与学校主干网相连。知道了这些手就痒痒了,更何况负责服务器安全配置的老师说他把机器配置得很无敌了!(汗!~这么具有挑战性啊~)

  2、初试身手

  由于我本身就在实验室,所以当然用服务器实验室的那段ip最方便了,因此以下我说的ip都是指服务器和实验室同网段的ip。很容易获得了文件服务器的ip 为192.168.203.2,我的机器的ip为192.168.203.16。很自然地ping了一下,结果如下:

K:\mfm>ping 192.168.203.2

Pinging 192.168.203.2 with 32 bytes of data:
Reply from 192.168.203.2: bytes=32 time<10ms TTL=128
Reply from 192.168.203.2: bytes=32 time<10ms TTL=128
Reply from 192.168.203.2: bytes=32 time<10ms TTL=128
Reply from 192.168.203.2: bytes=32 time<10ms TTL=128

  居然可以ping得通!(难道没装防火墙?也许那个老师自信把所有漏洞都补上了,难道不怕我DDOS它?:-))。还是谨慎点好,我用了一贯测试防火墙的方法做进一步的检测  在cmd下输入telnet 192.168.203.2 54321 大约经过了10几秒左右,出现下面的提示:

  K:\mfm>telnet 192.168.203.2 54321

  正在连接到192.168.203.2...无法打开到主机的连接 在端口 54321 : 连接失败

  我晕,根据经验肯定是有防火墙的!其实这个判断原理是很简单,你用telnet到目标主机的任意不存在端口,如果停留时间比较长后才出现连接不上的提示,那么几乎可以肯定对方装有防火墙了(或是其它包过滤设备)。但是有点奇怪,既然是防火墙为什么要允许ping呢?。不管它了,既然有了防火墙,那么先猜一下它可能开的端口吧。既然是文件服务器,估计ftp得开吧。连一下试试,如下:

  ftp: connect :连接超时

  我倒。。。ftp端口也被屏蔽!不是文件服务器嘛。。不用ftp难道用……共享?!!不至于吧,这也太……现在只有两种可能,要么ftp端口被改了,这样我得进行大范围的端口扫描(关键会留下好多的扫描记录撒!~~)另一种可能就是服务器没有使用ftp来上传管理文件而是采用的共享,我选择了第二种,因为第一种不太现实。既然是用共享的话,那么139端口应该是开放的吧?

  好我试一下,这里要用到一个工具hping,这个工具可以自己定制数据包,使用方法如下:

方法如下:
K:\mfm>hping
Compiled by [email protected]

Usage: hping [options] host

  -h     Show this help menu          显示帮助菜单
  -v     Show version number          显示软件版本号
  -c     Stop after count response packets.    收到多少个响应包后停止发包
  -i     Interval in X (seconds) or uX (micro seconds) 发包间隔时间以秒或毫秒
  -M     Set sequence number        设置包序列号
  -a     Spoof source address        伪造源IP地址
  -p     Destination port           -p 目的端口
  -s     Source port              源端口
  -R     Set RST tcp flag           设置RST位
  -S     Set SYN tcp flag           设置SYN位
  -A     Set ACK tcp flag            设置ACK位
  -F     Set FIN tcp flag           设置FIN位
  -P     Set PSH tcp flag           设置PSH位
  -U     Set URG tcp flag           设置URG位

  后面的中文是我加的说明,相信大家一看就知道怎么用了。说了用法,我们来看看如何操作了,在cmd下输入:hping -S -p 139 -c 3 192.168.203.2

  意思向192.168.203.2的139端口发送SYN数据包(就是请求连接的包)响应3次就停止发包,结果如图一。

  哈哈!有回应了,说明我的猜测没有错!果然是用了共享。下面该怎么办呢?暴力破解?我可没那闲工夫!怪不得那个老师如此得意啊,原来只开了个139,其它的要么关闭了,要么被防火墙给屏