用端口碰撞技術實現(xiàn)服務器遠程管理

http://m.yibo1263.com　2008/7/30 14:58:29 　來源:本站　編輯:葉子

　　從安全管理的角度來說，開啟的服務端口越多，就越不安全，有道是“明槍易躲，暗箭難防”，因此“系統(tǒng)安全加固服務”中，最常用的方式，就是先關閉無用端口，再對提供服務的端口做訪問控制。

　　端口碰撞技術(Port knocking)

　　從安全管理的角度來說，開啟的服務端口越多，就越不安全，有道是“明槍易躲，暗箭難防”，因此“系統(tǒng)安全加固服務”中，最常用的方式，就是先關閉無用端口，再對提供服務的端口做訪問控制。

　　而作為遠程管理與維護的人員通常需要開啟一些服務端口，如FTP和SSH，這些服務使用大家熟悉的一些端口，長時間開啟這些端口，往往是“嚴重”的安全隱患。所以能在“需要”的時候才開啟服務，并只對特定的人提供服務，服務完畢端口有恢復關閉狀態(tài)，攻擊者就難以利用這個“安全隱患”了，端口碰撞技術提供了比較理想的解決方案。

　　端口碰撞技術是一種允許服務設備在用戶按照約定的序列碰撞后，打開一個約定的服務端口提供服務的技術。所謂碰撞是由一個嘗試訪問系統(tǒng)中關閉端口的序列組成，也就是特定端口的連接請求。

　　說起來，端口碰撞技術的實現(xiàn)很簡單：

　　1、開啟固定的端口服務

　　如在服務器上設置為：服務器接收到同一個用戶的對端口2048、2049、2055、2058連接序列嘗試后，則服務器打開TCP服務端口號28，該用戶可以通過該端口進行遠程工作，連接結束后自動關閉該服務端口。若是防火墻等網(wǎng)關類設備，則在截獲該序列的嘗試后，在訪問列表中增加一條規(guī)則來放行該用戶的TCP28數(shù)據(jù)包，使該連接可以通過防火墻。收到連接關閉命令后，再刪除該規(guī)則，恢復對該端口的拒絕服務。

　　2、動態(tài)開啟端口服務

　　若需要使用端口碰撞技術打開的服務端口有多個，或者動態(tài)變化服務的端口，在設計服務器上的碰撞序列時，可以采用在序列中“指定”端口，在序列某個位置上“告之”希望打開的服務端口。如設定規(guī)則為，最后的一個端口減2000為服務端口好，則碰撞序列為2048、2049、2055、2058、2443時，就是希望開啟443端口的服務。

　　端口碰撞技術看起來不復雜，對于使用者了說，在正常的連接建立前，又增加了一層“密碼”驗證，可以做個小工具軟件來自動化你每次的碰撞過程，把碰撞序列作為密碼一樣順序發(fā)出，就可以直接工作了。并且不僅在防火墻上可以實現(xiàn)(此時服務器上可以默認打開該服務端口)，而且在服務器上也可以直接實現(xiàn)。在實現(xiàn)的設備上增加了一個匹配的緩沖池，以狀態(tài)機的方式跟蹤進入匹配的用戶(源IP)，從匹配第一個端口包，開始啟動狀態(tài)機，該用戶后來的包逐個匹配序列，完成一個進入下一個狀態(tài)，直到整個序列匹配，若有一個包不匹配，則回到初試狀態(tài)。

　　端口碰撞技術的安全性

　　既然，端口碰撞技術實現(xiàn)起來不麻煩，對于工作人員(使用人少的服務合適，若大量用戶的功能顯然不適合)的“特殊”服務需求的開啟就很方便，那它的安全性有問題嗎?

　　“密碼”類的防護有兩種“天敵”，一是密碼簡單，很容易猜測，因為帳號一般不是保密的，即使是系統(tǒng)默認的一些系統(tǒng)管理的高級帳號，所以容易破解。二是暴力破解，目前128位的密碼破解的時間已經(jīng)縮短到小時級別，所以密碼類防護技術，目前的方式大多的增加長度與組合。

　　端口碰撞采用端口號的組合方式，有些類似密碼，但首先端口序列本身沒有含義，是使用者自己設置的，所以不容易猜測，端口號理論上有六萬多個，沒有開啟服務的都可以拿來做碰撞使用，組合數(shù)量也很龐大。其次，碰撞序列的長度不固定，這讓掃描類的破解工具很“頭痛”，因為不知道何時為猜測的結束。再次，也是最重要的一點，碰撞可以采用與連接的初始包一樣包做碰撞，也可以不一樣，如采用Ping包，或者采用特殊標記的SYN包等。端口碰撞是探測服務器沒有開啟的服務端口，服務器的回復(很多是不理睬)不能說明你現(xiàn)在是否是匹配的，即使你“有幸”找到了碰撞序列，但下一個數(shù)據(jù)包應該是你開始正常連接的數(shù)據(jù)包，而這時若選錯了，前邊的“匹配”立即“歸零”，因此，該技術抗掃描的能力是很強的。

本新聞共2頁,當前在第1頁 1 2

【收藏】【打印】【進入論壇】

·遠程管理工作站十大技巧

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费