端口扫描攻击一般属于哪一项_端口扫描破坏服务器

hacker|
91

如何减少服务器被端口扫描和枚举攻击

近日,发现服务器上日志有很多条登录失败的日志,用netstat -na看了一下,发现很多的established 3389的连接,看样子是服务器被端口扫描了,被远程枚举攻击了。

解决端口被扫描和枚举攻击,其实还是比较简单的,我们对服务器做几处修改,就能避免。

一、修改管理员用户名

默认的管理员用户名是administrator,通过日志也能看出,绝大部分的试图登录都是用这个用户名的。

可以进入 开始--程序--管理攻击--本地安全策略--本地策略--安全选项里面重新命名管理员。

二、设置账户锁定策略

账户锁定策略是指用户在几次尝试之后都没有正确输入密码,那么该账户就会被锁定一定的时间。

可以在开始--程序--管理攻击--本地安全策略--账户策略--账户锁定策略里面设置。

三、修改远程端口

把端口号重新设置一下,那么端口扫描的时候就扫描不到了,相对来说就比较安全了。

我以前有写过一篇修改远程端口的日志,具体的修改远程端口的方法请看这里。

使用Nmap进行端口扫描

    在未经授权的情况下夺取计算机系统控制权的行为是 违法行为, 此篇文章仅作为学习交流和探讨,若要测试成果,请在自己虚拟机上测试,或者被允许渗透的计算机系统上演练, 请勿做出违法之骚操作,操作者做出的一切违法操作均与本人和此文无关

    本文使用Nmap进行扫描,其他扫描手段本文不进行探讨

    Nmap是端口扫描方面的业内标准,网上的资料让人眼花缭乱,时至今日,各式各样的防火墙已经普遍采用了入侵检测和入侵防御技术,他们能够有效地拦截常见的端口扫描,所以,即使使用Nmap程序扫描结果一无所获也不是什么意外的事。换句话说, 如果你在公网上对指定网段进行主机扫描时没检测出一台在线主机,那么就应当认为扫描行动多半是被防火墙系统拦截下来了,反之则是另一种极端情况:每台主机都在线,每个端口都处于开放状态

SYN扫描

    所谓的SYN扫苗实际上是一种模拟TCP握手的端口扫描技术。TCP握手分为3个阶段:SYN、SYN-ACK、ACK。在进行SYN扫描时,Nmap程序向远程主机发送SYN数据包并等待对方的SYN-ACK数据。 如果在最初发送SYN数据包之后没有收到SYN-ACK响应,那么既定端口就不会是开放端口,在此情况下,既定端口不是关闭就是被过滤了

    在使用Nmap扫描之前,可以先使用maltego之类的信息搜集工具分析出有用的信息。我使用一个非法网站的IP来作为演示

需要注意的是,某个端口是开放端口不代表这个端口背后的程序存在安全缺陷,我们仅能够通过开放端口初步了解计算机运行的应用程序,进而判断这个程序是否存在安全缺陷

    版本扫描

    虽然SYN扫描具有某种隐蔽性,但它不能告诉我们打开这些端口的程序到底是什么版本,如果说我们想要知道这台主机的某个端口在运行着什么程序以及它运行的版本,这在我们后期威胁建模阶段有极大的用处, 使用-sT或者-sV 即可查看

    运气很好,看来这个网站运行的程序有安全漏洞,这个名为OpenSSH 5.3的软件存在着一个CVE-2016-10009漏洞,攻击者可以通过远程攻击openssh来获得服务器权限。我们在这里不做攻击操作,毕竟这是别人的网站,虽然是个违法网站。如果有机会后期笔者将会根据情况写一些关于漏洞利用的文章

UPD扫描

    Nmap的SYN扫描和完整的TCP扫描都不能扫描UDP,因为UDP的程序采用无连接的方式传输。在进行UDP扫描时,Nmap将向既定端口发送UPD数据包,不过UDP协议的应用程序有着各自不同的数据传输协议,因此在远程主机正常回复该数据的情况下,能够确定既定端口处于开放状态。 如果既定端口处于关闭状态,那么Nmap程序应当收到ICMP协议的端口不可达信息。 如果没有从远程主机收到任何数据那么情况就比较复杂了,比如说:端口可能处于发放状态,但是响应的应用程序没有回复Nmap发送的查询数据,或者远程主机的回复信息被过滤了,由此可见 在开放端口和被防火墙过滤的端口方面,Nmap存在相应的短板

扫描指定端口

    指定端口的扫描可能造成服务器崩溃,最好还是踏踏实实的彻底扫描全部端口 。就不拿别人的服务器来测试了,毕竟我也怕被报复,在这里我把渗透目标设置为我自己的xp靶机,步骤跟前面一样,扫描出端口查看是否有可利用程序,然后对想扫描的端口进行扫描

    

在渗透测试中,我们都不希望致使任何服务器崩溃,但是我们的确可能会遇到那些无法正确受理非预期输入的应用程序,在这种情况下,Nmap的扫描数据就可能引发程序崩溃

如何利用3389端口攻破服务器

第一步:使用工具Dubrute中的Ipseacher进行搜索一些活跃的IP段,当然也会采用百度搜索的方法进行;接着就采用SYN扫描为了达到好的效果都会在server2003系统下进行扫描,只有在该系统下不能正常扫描的时候才会使用vmware虚拟机进行扫描;另外如果在XP系统下进行扫描的时候,他们往往会让先让XP能支持SYN的扫描,方法就是将支持这种扫描的补丁直接复制粘贴到系统盘下的driver,当电脑进行重启后就能进行扫描了。

第二步:将Ipseach下的IP段进行直接复制到SYN扫描器下的ip.txt中,当进行扫描一段时间后就能生出ips文档而这种ips文档IP事实上就是用户开启3389端口的实际IP;顺便业内专家也将dubrute工具中的英文操作给大家翻译下,能够帮助大家更好进行理解;source代表就为源、bad代表的酒味坏的、good代表的就是好的、error代表的就是错误的、check代表的就是检测、thread代表的就是线程、start代表的就是开始、config代表的就是配置、generation代表的就是生成、about代表的就是关于。

第三步:将直接导入需要攻破的3389IP地址,接着还会打开generation在打开后就能看到有3列需要进行手动输入的框,在第一列框中手动填写的就是需要攻破的服务器IP,而第二列框中填写的就是相关登陆账号一般就是administrator,在第三列中就是导入的3389密码字典,当点击male退出界面后,就能再点击config进行配置了。

第四步:当全部完成后就能点击start进行攻破了,这个时候在good后就会出现相关数字这就能代表攻破了多少数量的服务器,界面中的bad就代表正在check中当在dubrute下找到good文档进行打开,就能轻松查看到攻破服务器的登录账号和密码了。

第五步:依次点击电脑开始—运行项目,并在弹出框内输入mstsc-admin指令就能顺利进入3389登陆框,当输入IP连接上再输入账号密码就能直接登录成功了。

0条大神的评论

发表评论