防范4种级别攻击来确保Linux服务器

  以下的文章主要描述的是防范四种级别攻击确保Linux服务器安全，如果你对防范四种级别攻击确保Linux服务器安全心存好奇的话，以下的文章将会揭开它的神秘面纱。随着Linux企业应用的不断扩展。

有大量的网络服务器都在使用Linux操作系统。Linux服务器的安全性能受到越来越多的关注。

这里根据Linux服务器受到攻击的深度以级别形式列出，并提出不同的解决方案。

随着Linux企业应用的扩展，有大量的网络服务器使用Linux操作系统。Linux服务器的安全性能受到越来越多的关注，这里根据Linux服务器受到攻击的深度以级别形式列出，并提出不同的解决方案。

对Linux服务器攻击的定义是：攻击是一种旨在妨碍、损害、削弱、破坏Linux服务器安全的未授权行为。攻击的范围可以从服务拒绝直至完全危害和破坏Linux服务器。对Linux服务器攻击有许多种类,本文从攻击深度的角度说明，我们把攻击分为四级。

攻击级别一：服务拒绝攻击(DoS)

由于DoS攻击工具的泛滥，及所针对的协议层的缺陷短时无法改变的事实，DoS也就成为了流传最广、最难防范的攻击方式。

服务拒绝攻击包括分布式拒绝服务攻击、反射式分布拒绝服务攻击、DNS分布拒绝服务攻击、FTP攻击等。大多数服务拒绝攻击导致相对低级的危险，即便是那些可能导致系统重启的攻击也仅仅是暂时性的问题。这类攻击在很大程度上不同于那些想获取网络控制的攻击，一般不会对数据Linux服务器安全有影响，但是服务拒绝攻击会持续很长一段时间，非常难缠。

到目前为止，没有一个绝对的方法可以制止这类攻击。但这并不表明我们就应束手就擒，除了强调个人主机加强保护不被利用的重要性外，加强对服务器的管理是非常重要的一环。一定要安装验证软件和过滤功能，检验该报文的源地址的真实地址。另外对于几种服务拒绝可以采用以下措施：关闭不必要的服务、限制同时打开的Syn半连接数目、缩短Syn半连接的time out 时间、及时更新系统补丁。

攻击级别二：本地用户获取了他们非授权的文件的读写权限

本地用户是指在本地网络的任一台机器上有口令、因而在某一驱动器上有一个目录的用户。本地用户获取到了他们非授权的文件的读写权限的问题是否构成危险很大程度上要看被访问文件的关键性。任何本地用户随意访问临时文件目录(/tmp)都具有危险性，它能够潜在地铺设一条通向下一级别攻击的路径。

级别二的主要攻击方法是：黑客诱骗合法用户告知其机密信息或执行任务，有时黑客会假装网络管理人员向用户发送邮件，要求用户给他系统升级的密码。

由本地用户启动的攻击几乎都是从远程登录开始。对于Linux服务器，最好的办法是将所有shell账号放置于一个单独的机器上，也就是说，只在一台或多台分配有shell访问的服务器上接受注册。这可以使日志管理、访问控制管理、释放协议和其他潜在的安全问题管理更容易些。还应该将存放用户 CGI的系统区分出来。这些机器应该隔离在特定的网络区段，也就是说，根据网络的配置情况，它们应该被路由器或网络交换机包围。其拓扑结构应该确保硬件地址欺骗也不能超出这个区段。

攻击级别三：远程用户获得特权文件的读写权限

第三级别的攻击能做到的不只是核实特定文件是否存在，而且还能读写这些文件。造成这种情况的原因是：Linux服务器配置中出现这样一些弱点：即远程用户无需有效账号就可以在服务器上执行有限数量的命令。

密码攻击法是第三级别中的主要攻击法，损坏密码是最常见的攻击方法。密码破解是用以描述在使用或不使用工具的情况下渗透网络、系统或资源以解锁用密码保护的资源的一个术语。用户常常忽略他们的密码，密码政策很难得到实施。

黑客有多种工具可以击败技术和社会所保护的密码。主要包括：字典攻击(Dictionary attack)、混合攻击(Hybrid attack)、蛮力攻击(Brute force attack)。一旦黑客拥有了用户的密码，他就有很多用户的特权。密码猜想是指手工进入普通密码或通过编好程序的正本取得密码。一些用户选择简单的密码 —如生日、纪念日和配偶名字，却并不遵循应使用字母、数字混合使用的规则。对黑客来说要猜出一串8个字生日数据不用花多长时间。

防范第三级别的攻击的最好的防卫方法便是严格控制进入特权，即使用有效的密码。主要包括密码应当遵循字母、数字、大小写(因为Linux对大小写是有区分)混合使用的规则。使用象“#”或“%”或“$”这样的特殊字符也会添加复杂性。例如采用"countbak"一词，在它后面添加“#$” (countbak#$)，这样您就拥有了一个相当有效的密码。

攻击级别四：远程用户获得根权限

第四攻击级别是指那些决不应该发生的事发生了，这是致命的攻击。表示攻击者拥有Linux服务器的根、超级用户或管理员许可权，可以读、写并执行所有文件。换句话说，攻击者具有对Linux服务器的全部控制权，可以在任何时刻都能够完全关闭甚至毁灭此网络。

攻击级别四主要攻击形式是TCP/IP连续偷窃，被动通道听取和信息包拦截。TCP/IP连续偷窃，被动通道听取和信息包拦截，是为进入网络收集重要信息的方法，不像拒绝服务攻击，这些方法有更多类似偷窃的性质，比较隐蔽不易被发现。

一次成功的TCP/IP攻击能让黑客阻拦两个团体之间的交易，提供中间人袭击的良好机会，然后黑客会在不被受害者注意的情况下控制一方或双方的交易。通过被动窃听，黑客会操纵和登记信息，把文件送达，也会从目标系统上所有可通过的通道找到可通过的致命要害。黑客会寻找联机和密码的结合点，认出申请合法的通道。信息包拦截是指在目标系统约束一个活跃的听者程序以拦截和更改所有的或特别的信息的地址。信息可被改送到非法系统阅读，然后不加改变地送回给黑客。

TCP/IP连续偷窃实际就是网络嗅探，注意如果您确信有人接了嗅探器到自己的网络上，可以去找一些进行验证的工具。这种工具称为时域反射计量器 (Time Domain Reflectometer，TDR)。TDR对电磁波的传播和变化进行测量。将一个TDR连接到网络上，能够检测到未授权的获取网络数据的设备。不过很多中小公司没有这种价格昂贵的工具。对于防范嗅探器的攻击最好的方法是：

1、Linux服务器安全的拓扑结构。嗅探器只能在当前网络段上进行数据捕获。这就意味着，将网络分段工作进行得越细，嗅探器能够收集的信息就越少。

2、会话加密。不用特别地担心数据被嗅探，而是要想办法使得嗅探器不认识嗅探到的数据。这种方法的优点是明显的：即使攻击者嗅探到了数据，这些数据对他也是没有用的。

特别提示：应对攻击的反击措施

对于超过第二级别的攻击您就要特别注意了。因为它们可以不断的提升攻击级别，以渗透Linux服务器。此时，我们可以采取的反击措施有：

首先备份重要的企业关键数据。

改变系统中所有口令，通知用户找系统管理员得到新口令。

隔离该网络网段使攻击行为仅出现在一个小范围内。

允许行为继续进行。如有可能，不要急于把攻击者赶出系统，为下一步作准备。

记录所有行为，收集证据。这些证据包括：系统登录文件、应用登录文件、AAA(Authentication、Authorization、 Accounting，认证、授权、计费)登录文件，RADIUS(Remote Authentication Dial-In User Service) 登录，网络单元登录(Network Element Logs)、防火墙登录、HIDS(Host-base IDS，基于主机的入侵检测系统) 事件、NIDS(网络入侵检测系统)事件、磁盘驱动器、隐含文件等。收集证据时要注意：在移动或拆卸任何设备之前都要拍照;在调查中要遵循两人法则，在信息收集中要至少有两个人，以防止篡改信息;应记录所采取的所有步骤以及对配置设置的任何改变，要把这些记录保存在安全的地方。检查系统所有目录的存取许可，检测Permslist是否被修改过。

进行各种尝试(使用网络的不同部分)以识别出攻击源。

为了使用法律武器打击犯罪行为，必须保留证据，而形成证据需要时间。为了做到这一点，必须忍受攻击的冲击(虽然可以制定一些安全措施来确保攻击不损害网络)。对此情形，我们不但要采取一些法律手段，而且还要至少请一家有权威的安全公司协助阻止这种犯罪。这类操作的最重要特点就是取得犯罪的证据、并查找犯罪者的地址，提供所拥有的日志。对于所搜集到的证据，应进行有效地保存。在开始时制作两份，一个用于评估证据，另一个用于法律验证。

找到系统漏洞后设法堵住漏洞，并进行自我攻击测试。

网络安全已经不仅仅是技术问题，而是一个社会问题。企业应当提高对网络Linux服务器安全重视，如果一味地只依靠技术工具，那就会越来越被动; 只有发挥社会和法律方面打击网络犯罪，才能更加有效。我国对于打击网络犯罪已经有了明确的司法解释，遗憾的是大多数企业只重视技术环节的作用而忽略法律、社会因素，这也是本文的写作目的。

拒绝服务攻击(DoS)

DoS即Denial Of Service，拒绝服务的缩写，可不能认为是微软的DOS操作系统!DoS攻击即让目标机器停止提供服务或资源访问，通常是以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，使正常的用户请求得不到应答，以实现攻击目的。

要打开“ISA 服务器管理”，请单击“开始”，依次指向“所有程序”、“Microsoft ISA Server”，然后单击“ISA 服务器管理”。 当为 RADIUS 身份验证配置 ISA 服务器时，RADIUS 服务器的配置会应用于使用 RADIUS 身份验证的所有规则或网络对象。 共享机密用于验证 RADIUS 消息（Access-Request 消息除外）是否是配置了相同的共享机密且启用了 RADIUS 的设备发送的。 请务必更改 RADISU 服务器上的默认预共享密钥。 配置强共享密钥，并经常更改，以防止词典攻击。强共享机密是一串很长（超过 22 个字符）的随机字母、数字和标点符号。 如果选择“总是使用消息验证程序”，请确保 RADIUS 服务器能够接收并配置为接收消息验证程序。 对于 *** 客户端，可扩展的身份验证协议(EAP) 消息始终是随同消息验证程序一起发送的。对于 Web 代理客户端，将仅使用密码身份验证协议 (PAP)。 如果 RADIUS 服务器运行了 Internet 身份验证服务 (IAS)，并且为此服务器配置的 RADIUS 客户端选择了“请求必须包含消息验证程序属性”选项，则必须选择“总是使用消息验证程序”。

RADIUS 是一种用于在需要认证其链接的网络访问服务器（NAS）和共享认证服务器之间进行认证、授权和记帐信息的文档协议。

RADIUS server配置 RADIUS 服务器：在“ISA 服务器管理”的控制台树中，单击“常规”- 对于 ISA Server 2004 Enterprise Edition，依次展开“Microsoft Internet Security and Acceleration Server 2004”、“阵列”、“Array_Name”、“配置”，然后单击“常规”。 对于 ISA Server 2004 Standard Edition，依次展开“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”，然后单击“常规”。 在详细信息窗格中，单击“定义 RADIUS 服务器”。 在“RADIUS 服务器”选项卡上，单击“添加”。 在“服务器名”中，键入要用于身份验证的 RADIUS 服务器的名称。 单击“更改”，然后在“新机密”中，键入要用于 ISA 服务器与 RADIUS 服务器之间的安全通讯的共享机密。必须在 ISA 服务器与 RADIUS 服务器上配置相同的共享机密，RADIUS 通讯才能成功。 在“端口”中，键入 RADIUS 服务器要对传入的 RADIUS 身份验证请求使用的用户数据报协议(UDP)。默认值 1812 基于 RFC 2138。对于更早的 RADIUS 服务器，请将端口值设置为 1645。 在“超时（秒）”中，键入 ISA 服务器将尝试从 RADIUS 服务器获得响应的时间（秒），超过此时间之后，ISA 服务器将尝试另一台 RADIUS 服务器。 如果基于共享机密的消息验证程序与每个 RADIUS 消息一起发送，请选择“总是使用消息验证程序”。

linux查看tcp连接主动关闭原因？

你在查看TCP的时候，它连接如果是主动关闭的话，可能是因为系统出现了一个组字的情况

如何查询每秒tcp连接数？

linux或者mac系统下，实用netstat命令配合相关参数进行查询

使用TCP上网需要什么服务？

端口：1

服务：tcpmux

说明：这显示有人在寻找sgiirix机器。irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。irix机器在发布是含有几个默认的无密码的帐户，如：ip、guestuucp、nuucp、demos、tutor、diag、outofbox等。许多管理员在安装后忘记删除这些帐户。因此hacker在internet上搜索tcpmux并利用这些帐户。

端口：7

服务：echo

说明：能看到许多人搜索fraggle放大器时，发送到xxx0和xxx255的信息。

端口：19

服务：charactergenerator

说明：这是一种仅仅发送字符的服务。udp版本将会在收到udp包后回应含有字符的包。tcp连接时会发送含有字符的数据流直到连接关闭。hacker利用ip欺骗可以发动dos攻击。伪造两个chargen服务器之间的udp包。同样fraggledos攻击向目标地址的这个端口广播一个带有伪造受害者ip的数据包，受害者为了回应这些数据而过载。

端口：21

服务：ftp

说明：ftp服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的ftp服务器的方法。这些服务器带有可读写的目录。木马dolytrojan、fore、invisibleftp、webex、wincrash和bladerunner所开放的端口。

端口：22

服务：ssh

说明：pcanywhere建立的tcp和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用rsaref库的版本就会有不少的漏洞存在。

端口：23

服务：telnet

说明：远程登录，入侵者在搜索远程登录unix的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马tinytelnetserver就开放这个端口。

端口：25

服务：smtp

说明：smtp服务器所开放的端口，用于发送邮件。入侵者寻找smtp服务器是为了传递他们的spam。入侵者的帐户被关闭，他们需要连接到高带宽的e－mail服务器上，将简单的信息传递到不同的地址。木马antigen、emailpasswordsender、haebucoceda、shtrilitzstealth、winpc、winspy都开放这个端口。

端口：31

服务：msgauthentication

说明：木马masterparadise、hackersparadise开放此端口。

端口：42

服务：winsreplication

说明：wins复制

端口：53

服务：domainnameserver（dns）

说明：dns服务器所开放的端口，入侵者可能是试图进行区域传递（tcp），欺骗dns（udp）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。

端口：67

服务：bootstrapprotocolserver

说明：通过dsl和cablemodem的防火墙常会看见大量发送到广播地址255255255255的数据。这些机器在向dhcp服务器请求一个地址。hacker常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man－in－middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的ip地址。

端口：69

服务：trivalfiletransfer

说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何文件。它们也可用于系统写入文件。

端口：79

服务：fingerserver

说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器finger扫描。

端口：80

服务：http

说明：用于网页浏览。木马executor开放此端口。

端口：99

服务：metagramrelay

说明：后门程序ncx99开放此端口。

端口：102

服务：messagetransferagent(mta)－x400overtcp/ip

说明：消息传输代理。

端口：109

服务：postofficeprotocol－version3

说明：pop3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。pop3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口：110

服务：sun公司的rpc服务所有端口

说明：常见rpc服务有rpcmountd、nfs、rpcstatd、rpccsmd、rpcttybd、amd等

端口：113

服务：authenticationservice

说明：这是一个许多计算机上运行的协议，用于鉴别tcp连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是ftp、pop、imap、smtp和irc等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与e－mail服务器的缓慢连接。许多防火墙支持tcp连接的阻断过程中发回rst。这将会停止缓慢的连接。

端口：119

服务：networknewstransferprotocol

说明：news新闻组传输协议，承载usenet通信。这个端口的连接通常是人们在寻找usenet服务器。多数isp限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。

端口：135

服务：本地service

说明：microsoft在这个端口运行dcerpcend－pointmapper为它的dcom服务。这与unix111端口的功能很相似。使用dcom和rpc的服务利用计算机上的end－pointmapper注册它们的位置。远端客户连接到计算机时，它们查找end－pointmapper找到服务的位置。hacker扫描计算机的这个端口是为了找到这个计算机上运行exchangeserver吗？什么版本？还有些dos攻击直接针对这个端口。

端口：137、138、139

服务：netbiosnameservice

说明：其中137、138是udp端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得netbios/smb服务。这个协议被用于windows文件和打印机共享和samba。还有winsregisrtation也用它。

端口：143

服务：interimmailaccessprotocolv2

说明：和pop3的安全问题一样，许多imap服务器存在有缓冲区溢出漏洞。记住：一种linux蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当redhat在他们的linux发布版本中默认允许imap后，这些漏洞变的很流行。这一端口还被用于imap2，但并不流行。

端口：161

服务：snmp

说明：snmp允许远程管理设备。所有配置和运行信息的储存在数据库中，通过snmp可获得这些信息。许多管理员的错误配置将被暴露在internet。cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。snmp包可能会被错误的指向用户的网络。

端口：177

服务：xdisplaymanagercontrolprotocol

说明：许多入侵者通过它访问x－windows操作台，它同时需要打开6000端口。

端口：389

服务：ldap、ils

说明：轻型目录访问协议和netmeetinginternetlocatorserver共用这一端口。

端口：443

服务：https

说明：网页浏览端口，能提供加密和通过安全端口传输的另一种http。

端口：456

服务：null

说明：木马hackersparadise开放此端口。

端口：513

服务：login,remotelogin

说明：是从使用cablemodem或dsl登陆到子网中的unix计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

端口：544

服务：null

说明：kerberoskshell

端口：548

服务：macintosh,fileservices(afp/ip)

说明：macintosh,文件服务。

端口：553

服务：corbaiiop（udp）

说明：使用cablemodem、dsl或vlan将会看到这个端口的广播。corba是一种面向对象的rpc系统。入侵者可以利用这些信息进入系统。

端口：555

服务：dsf

说明：木马phase10、stealthspy、inikiller开放此端口。

端口：568

服务：membershipdpa

说明：成员资格dpa。

端口：569

服务：membershipmsn

说明：成员资格msn。

端口：635

服务：mountd

说明：linux的mountdbug。这是扫描的一个流行bug。大多数对这个端口的扫描是基于udp的，但是基于tcp的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是linux默认端口是635，就像nfs通常运行于2049端口。

端口：636

服务：ldap

说明：ssl（securesocketslayer）

端口：666

服务：doomidsoftware

说明：木马attackftp、satanzbackdoor开放此端口

端口：993

服务：imap

说明：ssl（securesocketslayer）

端口：1001、1011

服务：null

说明：木马silencer、webex开放1001端口。木马dolytrojan开放1011端口。

端口：1024

服务：reserved

说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开telnet，再打开一个窗口运行natstat－a将会看到telnet被分配1024端口。还有sqlsession也用此端口和5000端口。

端口：1025、1033

服务：1025：networkblackjack1033：null

说明：木马netspy开放这2个端口。

端口：1080

服务：socks

说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个ip地址访问internet。理论上它应该只允许内部的通信向外到达internet。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。wingate常会发生这种错误，在加入irc聊天室时常会看到这种情况。

端口：1170

服务：null

说明：木马streamingaudiotrojan、psyberstreamserver、voice开放此端口。

端口：1234、1243、6711、6776

服务：null

说明：木马subseven20、ultorstrojan开放1234、6776端口。木马subseven10/19开放1243、6711、6776端口。

端口：1245

服务：null

说明：木马vodoo开放此端口。

端口：1433

服务：sql

说明：microsoft的sql服务开放的端口。

端口：1492

服务：stone－design－1

说明：木马ftp99cmp开放此端口。

端口：1500

服务：rpcclientfixedportsessionqueries

说明：rpc客户固定端口会话查询

端口：1503

服务：netmeetingt120

说明：netmeetingt120

端口：1524

服务：ingress

说明：许多攻击脚本将安装一个后门shell于这个端口，尤其是针对sun系统中sendmail和rpc服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试telnet到用户的计算机上的这个端口，看看它是否会给你一个shell。连接到600/pcserver也存在这个问题。

端口：1600

服务：issd

说明：木马shivka－burka开放此端口。

端口：1720

服务：netmeeting

说明：netmeetingh233callsetup。

端口：1731

服务：netmeetingaudiocallcontrol

说明：netmeeting音频调用控制。

端口：1807

服务：null

说明：木马spysender开放此端口。

端口：1981

服务：null

说明：木马shockrave开放此端口。

端口：1999

服务：ciscoidentificationport

说明：木马backdoor开放此端口。

端口：2000

服务：null

说明：木马girlfriend13、millenium10开放此端口。

端口：2001

服务：null

说明：木马millenium10、trojancow开放此端口。

端口：2023

服务：xinuexpansion4

说明：木马passripper开放此端口。

端口：2049

服务：nfs

说明：nfs程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口。

端口：2115

服务：null

说明：木马bugs开放此端口。

端口：2140、3150

服务：null

说明：木马deepthroat10/30开放此端口。

端口：2500

服务：rpcclientusingafixedportsessionreplication

说明：应用固定端口会话复制的rpc客户

端口：2583

服务：null

说明：木马wincrash20开放此端口。

端口：2801

服务：null

说明：木马phineasphucker开放此端口。

端口：3024、4092

服务：null

说明：木马wincrash开放此端口。

端口：3128

服务：squid

说明：这是squidhttp代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问internet。也会看到搜索其他代理服务器的端口8000、8001、8080、8888。扫描这个端口的另一个原因是用户正在进入聊天室。其他用户也会检验这个端口以确定用户的机器是否支持代理。

端口：3129

服务：null

说明：木马masterparadise开放此端口。

端口：3150

服务：null

说明：木马theinvasor开放此端口。

端口：3210、4321

服务：null

说明：木马schoolbus开放此端口

端口：3333

服务：dec－notes

说明：木马prosiak开放此端口

端口：3389

服务：超级终端

说明：windows2000终端开放此端口。

端口：3700

服务：null

说明：木马portalofdoom开放此端口

端口：3996、4060

服务：null

说明：木马remoteanything开放此端口

端口：4000

服务：qq客户端

说明：腾讯qq客户端开放此端口。

端口：8000

服务：oicq

说明：腾讯qq服务器端开放此端口。

端口：8010

服务：wingate

说明：wingate代理开放此端口。

端口：8080

服务：代理端口

说明：www代理开放此端口。

端口：13223

服务：powwow

说明：powwow是tribalvoice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有攻击性。它会驻扎在这个tcp端口等回应。造成类似心跳间隔的连接请求。如果一个拨号用户从另一个聊天者手中继承了ip地址就会发生好象有很多不同的人在测试这个端口的情况。这一协议使用opng作为其连接请求的前4个字节。

端口：17027

服务：conducent

说明：这是一个外向连接。这是由于公司内部有人安装了带有conducentadbot的共享软件。conducentadbot是为共享软件显示广告服务的。使用这种服务的一种流行的软件是pkware。

51cto学院APP手机软件

端口：137

说明：sqlnamedpipesencryptionoverotherprotocolsnamelookup(其他协议名称查找上的sql命名管道加密技术)和sqlrpcencryptionoverotherprotocolsnamelookup(其他协议名称查找上的sqlrpc加密技术)和winsnetbtnameservice(winsnetbt名称服务)和winsproxy都用这个端口。

端口：161

说明：simplenetworkmanagementprotocol(smtp)（简单网络管理协议）。

端口：162

说明：snmptrap（snmp陷阱）

端口：445

说明：commoninternetfilesystem(cifs)（公共internet文件系统）

端口：464

说明：kerberoskpasswd(v5)。另外tcp的464端口也是这个用途。

端口：500

说明：internetkeyexchange(ike)（internet密钥交换）

端口：1645、1812

说明：remotauthenticationdial－inuserservice(radius)authentication(routingandremoteaccess)(远程认证拨号用户服务)

端口：1646、1813

说明：radiusaccounting(routingandremoteaccess)(radius记帐（路由和远程访问）)

端口：1701

说明：layertwotunnelingprotocol(l2tp)(第2层隧道协议)

端口：1801、3527

说明：microsoftmessagequeueserver(microsoft消息队列服务器)。还有tcp的135、1801、2101、2103、2105也是同样的用途。

端口：2504

说明：networkloadbalancing(网络平衡负荷)

linux服务器tcp连接数过大怎么办？

不管是什么系统的服务器，客户连接到服务器的最明显的看出来就是TCP的显示。一般分为两种情况：

1CC攻击的表现情况CC攻击会造成访问量增大，带宽图上的代表TCP访问量（红色）会忽然不正常的增高。CPU的占用量增大，然后造成打开慢或者卡死的情况。所以看到如果是TCP，突然增大的话，证明你的服务器在遭受CC攻击，可以联系服务器商，让机房做下防御策略。

2如果TCP的连接量一直在一个区域一直很大的话，那检查服务器的资源，可能无法支撑访问量，需要更大的资源，更高的配置支持。

linux客户端关闭tcp的正确方法？

客户端调用write()->客户端调用shutdown(write)->服务端收到FIN(表现为阻塞read读了0Byte)(->服务端调用write())

即使做了最充分的预测，未来始终是不可预测的。WLAN 委员会设计了了 WEP 和 WPA 作为最简单的加密机制，但是，久而久之，这些机制拥有在现实世界中广泛公布和利用的缺陷。

WLAN 加密机制易受密码学攻击，这有相当长的历史了。这从 2000 年的 WEP 开始，它最后被完全破解。最近，攻击慢慢转向了 WPA。即使当前没有公开攻击方式用于在所有情况下破解 WPA，特殊情况下的攻击还是可行的。

WLAN 在空气中传输数据，所以保护数据的机密性是一种内在需求。使用加密是最佳方案。WLAN 委员会（IEEE 80211）为数据加密指定了以下协议：

这一章中，我们会看一看每个加密协议，并演示针对它们的多种攻击。

WEP 协议在 2000 年发现漏洞，但是，诧异的是，它仍然被使用，并且接入点仍然自带 WEP 功能。

WEP 中有许多密码学缺陷，它们被 Walker，Arbaugh，Fluhrer，Martin，Shamir，KoreK，以及其它人发现。密码学立场上的评估超出了这本书的范围，并且涉及到复杂的数学。这一节中，我们会看一看如何使用 Kali 中便捷可用的工具来破解 WEP 加密。这包含整个 aircrack-ng 工具套件 -- airmon-ng ， aireplay-ng ， airodump-ng ， aircrack-ng ，以及其它。

WEP 的基础缺陷是使用 RC4 和短的 IV 值，每 224 帧复用。虽然这本身是个大数，但是每 5000 个封包中还是有 50% 的几率重用四次。为了利用这个，我们尝试大量流量，是我们增加重用 IV 的可能性，从而比较两个使用相同密钥和 IV 加密的密文。

让我们首先在测试环境中建立 WEP，并且看看如何破解。

遵循以下指南来开始：

我们在环境中建立 WEP，并成功破解了 WEP 密钥。为了完成它，我们首先等待正常客户端连接到接入点。之后，我们使用 aireplay-ng 工具在网络上重放 ARP 封包。这会导致网络发送 ARP 重放封包，从而增加空中发送的数据封包数量。之后我们使用 aircrack-ng 工具，通过分析数据风暴的密码学缺陷来破解 WEP 密钥。

要注意我们也能够使用共享密钥验证绕过机制，来伪造接入点的验证，这会在后面的章节中学到。如果正常客户端离开了网络，这可以更方便一些。这会确保我们可以伪造验证和关联，并且继续将重放封包发送到网络。

在之前的练习中，如果正常客户端突然断开了网络，我们就不能重放封包，因为接入点会拒绝接受来自未关联客户端的封包。

你的挑战就是，使用即将在后面学到的共享密钥绕过伪造验证和授权，使你仍然能够将封包注入到网络中，并验证接入点是否接受和响应它们。

WPA 或者 WPA v1 主要使用 TKIP 加密算法。TKIP 用于改进 WEP，不需要完全新的硬件来运行。反之，WPA2 必须使用 AES-CCMP 算法来加密，这比 TKIP 更加强大和健壮。

WPA 和 WPA2 允许 基于 WAP 的验证，使用基于 RADIUS 服务器（企业）和预共享密钥（PSK）（个人）的验证模式。

WPA/WPA2 PSK 易受字典攻击。攻击所需的输入是客户端和接入点之间的四次 WPA 握手，以及包含常用口令的单词列表。之后，使用例如 Aircrack-ng 的工具，我们可以尝试破解 WPA/WPA2 PSK 口令。

四次握手的演示见下面：

WPA/WPA2 PSK 的原理是它导出了会话层面的密钥，叫做成对临时密钥（PTK），使用预共享密钥和五个其它参数 -- 网络 SSID、验证者 Nounce （ANounce）、申请者 Nounce （SNounce）、验证着 MAC 地址（接入点 MAC）、申请者 MAC 地址（WIFI 客户端 MAC）。密钥之后用于加密接入点和客户端之间的所有数据。

通过嗅探空气来窃取整个对话的攻击者，可以获得前面提到的全部五个参数。它唯一不能得到的东西就是预共享密钥。所以，预共享密钥如何创建？它由用户提供的 WPA-PSK 口令以及 SSID 导出。这些东西的组合通过基于密码的密钥推导函数（PBKDF2）来发送，它的输出是 256 位的共享密钥。

在典型的 WPA/WPA2 PSK 字典攻击中，攻击者会使用可能口令的大量字典以及攻击工具。工具会从每个口令中导出 256 位的预共享密钥，并和其它参数（之前提到过）一起使用来创建 PTK。PTK 用于在握手包之一中验证信息完整性检查（MIC）。如果匹配，从字典中猜测的口令就正确，反之就不正确。

最后，如果授权网络的口令存在于字典中，它会被识别。这就是 WPA/WPA2 PSK 破解的工作原理。下面的图展示涉及到的步骤：

下个练习中，我们会看一看如何破解 WPA PSK 无线网络。使用 CCMP（AES）的WPA2-PSK 网络的破解步骤与之相同。

遵循以下指南来开始：

我们在接入点上设置了 WPA-PSK，使用常见口令： abcdefgh 。之后我们使用解除验证攻击，让正常客户端重新连接到接入点。当我们重新连接时，我们捕获了客户端和接入点之间的 WPA 四次握手。

因为 WPA-PSK 易受字典攻击，我们向 Aircrack-ng 输入了包含 WPA 四次握手的捕获文件，以及常见口令的列表（以单词列表形式）。因为口令 abcdefgh 出现在单词列表中， Aircrack-ng 就能够破解 WPS-PSK 共享口令。要再次注意，在基于字典的 WPA 破解中，你的水平就等于你的字典。所以在你开始之前，编译一个大型并且详细的字典非常重要。通过 Kali 自带的字典，有时候可能不够，可能需要更多单词，尤其是考虑位置因素。

Cowpatty 是个同样使用字典攻击来破解 WPA-PSK 口令的工具。这个工具在 Kali 中自带。我将其留做练习，来让你使用 Cowpatty 破解 WPA-PSK 口令。

同样，设置不常见的口令，它不出现在你的字典中，并再次尝试。你现在再破解口令就不会成功了，无论使用 Aircrack-ng 还是 Cowpatty。

要注意，可以对 WPA2-PSK 网络执行相同攻击。我推荐你自己验证一下。

我们在上一节中看到，如果我们在字典中拥有正确的口令，破解个人 WPA 每次都会像魔法一样。所以，为什么我们不创建一个大型的详细字典，包含百万个常见密码和词组呢？这会帮助我们很多，并且多数情况都会最终破解出口令。这听起来不错，但是我们错过了一个核心组件 -- 所花费的时间。更多需要 CPU 和时间的计算之一就是使用 PSK 口令和 SSID 通过 PSKDF2 的预共享密钥。这个函数在输出 256 位的与共享密钥之前，计算超过 4096 次二者组合的哈希。破解的下一步就是使用这个密钥以及四次握手中的参数来验证握手中的 MIC。这一步计算了非常大。同样，握手中的参数每次都会变化，于是这一步不能预先计算。所以，为了加速破解进程，我们需要使来自口令的与共享密钥的计算尽可能快。

我们可以通过预先计算与共享密钥，在 80211 标准术语中也叫作成对主密钥（PMK）来加速。要注意，因为 SSID 也用于计算 PMK，使用相同口令和不同 SSID，我们会得到不同的 PMK。所以，PMK 取决于口令和 SSID。

下个练习中，我们会看看如何预先计算 PMK，并将其用于 WPA/WPA2 的破解。

我们可以遵循以下步骤来开始：

我们查看了多种不同工具和技巧来加速 WPA/WPA2-PSK 破解。主要原理就是对给定的 SSID 和字典中的口令列表预计算 PMK。

在所有我们做过的联系中，我们使用多种技巧破解了 WEP 和 WPA 密钥。我们能拿这些信息做什么呢？第一步就是使用密钥解密我们捕获的数据封包。

下一个练习中，我们会在相同的我们所捕获的记录文件中解密 WEP 和 WPA 封包，使用我们破解得到的密钥。

遵循以下步骤来开始：

我们刚刚看到了如何使用 Airdecap-ng 解密 WEP 和 WPA/WPA2-PSK 加密封包。要注意，我们可以使用 Wireshark 做相同的事情。我们推荐你查阅 Wireshark 的文档来探索如何用它来完成。

我们也可以在破解网络密钥之后连接到授权网络。这在渗透测试过程中非常方便。使用破解的密钥登录授权网络，是你可以提供给客户的证明网络不安全的证据。

遵循以下步骤来开始：

我们连接到了 WEP 网络。

遵循以下步骤来开始：

默认的 WIFI 工具 iwconfig 不能用于连接 WPA/WPA2 网络。实际上的工具是 WPA_Supplicant 。这个实验中，我们看到如何使用它来连接 WPA 网络。

Q1 哪种封包用于封包重放？

Q2 WEP 什么时候能被破解？

Q3 WPA 什么时候能被破解？

这一章中，我们了解了 WLAN 加密。WEP 含有缺陷，无论 WEP 密钥是什么，使用足够的数据封包就能破解 WEP。WPA/WPA2 在密码学上不可破解；但是，在特殊的场景下，例如 WPA/WP2-PSK 中使用了弱口令，它就能够通过字典攻击来获得口令。

下一章中我们会看一看 WLAN 设施上的不同工具，例如伪造接入点，邪恶双生子，位反转攻击，以及其它。