黑客常见攻击方式之端口攻击

在上网的时候,我们经常会看到“端口”这个词,也会经常用到端口号,比如在FTP地址后面增加的“21”,21就表示端口号。那么端口到底是什么意思呢?怎样查看端口号呢?一个端口是否成为网络恶意攻击的大门呢 ...

比较常见的端口服务攻击有

在上面的分析中发现192.168.1.7的80端口并未打开,而是在8899端口开启了网站服务

黑客攻击的正确方式(黑客常见攻击方式之端口攻击)(1)

请点击此处输入图片描述

我们知道的开启的端口有135/139/445/3306/8001/8002/8008/8899/49152/49153/49154/49155/49156/49157

其中只有139/445是SMB服务,8899是网站服务,3306是MySQL数据库服务,其他的暂不明含义,因此我们分析黑客在此时可发起的攻击只有针对SMB服务和网站两种。

操作建议:因为有的FTP服务器可以通过匿名登录,所以常常会被黑客利用。另外,21端口还会被一些木马利用。如果不架设FTP服务器,建议关闭21端口。 23端口:23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。

端口说明:23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端,开启Telnet服务的客户端就可以登录远程Telnet服务器,采用授权用户名和密码登录。登录之后,允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中,键入“Telnet”命令来使用Telnet远程登录。

在前面我们发现黑客在扫描完后就立刻访问了192.168.1.107下的网站,那么我们可以推测他是打算从网站下手,所以优先检查http数据流(这里只一种简单思路,为了保险起见应当更详细地去检查)

检索数据包2,发现只有两条关于192.168.1.136的信息

黑客攻击的正确方式(黑客常见攻击方式之端口攻击)(2)

请点击此处输入图片描述

所以推断黑客在这里换了另一台肉鸡来进行操作,那么怎么才能找到黑客的新马甲呢?那就只有从192.168.1.107服务器数据流逐一反查了........

找到黑客的新马甲

在真实情况下,一台服务器每天接收和发出的数据量是非常巨大的,所以逐一反查是非常耗时的,不过我也只能想到这种方法了,我觉得应该有更简便的方法。

一看经过192.168.1.107的数据流,就发先192.168.1.108向其发送了大量的ICMP和UDP包,UDP包发送的内容都是长文本,这里应该是在ping服务器了,先将192.168.1.108列为嫌疑对象。

黑客攻击的正确方式(黑客常见攻击方式之端口攻击)(3)

黑客攻击的正确方式(黑客常见攻击方式之端口攻击)(4)

请点击此处输入图片描述

一直下拉,就发现192.168.1.108在访问网站了,查看http包,发现访问地址全都是/jscgnr.php?id=1,返回状态码全部为431

黑客攻击的正确方式(黑客常见攻击方式之端口攻击)(5)

请点击此处输入图片描述

431状态码表示Request Header Fields Too Large (请求头字段太大),就算不知道这个,一看到php?id=1哪怕是个刚接触Web安全的小白都知道他在干嘛了。192.168.1.108就是新马甲没跑了。

攻击时间

这个是作为证据,并为修复提供参考。

从第一次注入到最后一次注入的数据流,点击查看物理层信息,即可知道开始时间和结束时间

黑客攻击的正确方式(黑客常见攻击方式之端口攻击)(6)

黑客攻击的正确方式(黑客常见攻击方式之端口攻击)(7)

请点击此处输入图片描述

所以此次注入从20:20:05开始到20:21:10结束,历时65秒。在如此短的时间内进行了上百次注入,所以肯定是工具注入。

所以5-7题结果是

还有一个有趣的事情是,在20:21:10最后一次注入后,发现了服务器向其返还了大量的RST包,所以黑客后来没有继续攻击的原因应该是访问请求被防火墙拦截了

黑客攻击的正确方式(黑客常见攻击方式之端口攻击)(8)

请点击此处输入图片描述

==================================================================

0x03 8-12题 追查黑客ftp攻击过程

这里虽然是题目提示了黑客在爆破ftp,但在真实情况下也是需要分析的,爆破时会留下大量的一连串的ftp请求,这个比较简单就略过了。黑客技术经典书籍 网络黑白 某宝有售

,