端口碰撞技术是远程管理的好方式

端口碰撞技术(Port knocking):

从安全管理的角度来说,开启的服务端口越多,就越不安全,有道是“明枪易躲,暗箭难防”,因此“系统安全加固服务”中,最常用的方式,就是先关闭无用端口,再对提供服务的端口做访问控制。而作为远程管理与维护的人员通常需要开启一些服务端口,如FTP和SSH,这些服务使用大家熟悉的一些端口,长时间开启这些端口,往往是“严重”的安全隐患。所以能在“需要”的时候才开启服务,并只对特定的人提供服务,服务完毕端口有恢复关闭状态,攻击者就难以利用这个“安全隐患”了,端口碰撞技术提供了比较理想的解决方案。

端口碰撞技术是一种允许服务设备在用户按照约定的序列碰撞后,打开一个约定的服务端口提供服务的技术。所谓碰撞是由一个尝试访问系统中关闭端口的序列组成,也就是特定端口的连接请求。

说起来,端口碰撞技术的实现很简单:

1、开启固定的端口服务。

如在服务器上设置为:服务器接收到同一个用户的对端口2048、2049、2055、2058连接序列尝试后,则服务器打开TCP服务端口号28,该用户可以通过该端口进行远程工作,连接结束后自动关闭该服务端口。若是防火墙等网关类设备,则在截获该序列的尝试后,在访问列表中增加一条规则来放行该用户的TCP28数据包,使该连接可以通过防火墙。收到连接关闭命令后,再删除该规则,恢复对该端口的拒绝服务。

2、动态开启端口服务

若需要使用端口碰撞技术打开的服务端口有多个,或者动态变化服务的端口,在设计服务器上的碰撞序列时,可以采用在序列中“指定”端口,在序列某个位置上“告之”希望打开的服务端口。如设定规则为,最后的一个端口减2000为服务端口好,则碰撞序列为2048、2049、2055、2058、2443时,就是希望开启443端口的服务。

端口碰撞技术看起来不复杂,对于使用者了说,在正常的连接建立前,又增加了一层“密码”验证,可以做个小工具软件来自动化你每次的碰撞过程,把碰撞序列作为密码一样顺序发出,就可以直接工作了。并且不仅在防火墙上可以实现(此时服务器上可以默认打开该服务端口),而且在服务器上也可以直接实现。在实现的设备上增加了一个匹配的缓冲池,以状态机的方式跟踪进入匹配的用户(源IP),从匹配第一个端口包,开始启动状态机,该用户后来的包逐个匹配序列,完成一个进入下一个状态,直到整个序列匹配,若有一个包不匹配,则回到初试状态。

端口碰撞技术的安全性:

既然,端口碰撞技术实现起来不麻烦,对于工作人员(使用人少的服务合适,若大量用户的功能显然不适合)的“特殊”服务需求的开启就很方便,那它的安全性有问题吗?

“密码”类的防护有两种“天敌”,一是密码简单,很容易猜测,因为帐号一般不是保密的,即使是系统默认的一些系统管理的高级帐号,所以容易破解。二是暴力破解,目前128位的密码破解的时间已经缩短到小时级别,所以密码类防护技术,目前的方式大多的增加长度与组合。

端口碰撞采用端口号的组合方式,有些类似密码,但首先端口序列本身没有含义,是使用者自己设置的,所以不容易猜测,端口号理论上有六万多个,没有开启服务的都可以拿来做碰撞使用,组合数量也很庞大。其次,碰撞序列的长度不固定,这让扫描类的破解工具很“头痛”,因为不知道何时为猜测的结束。再次,也是最重要的一点,碰撞可以采用与连接的初始包一样包做碰撞,也可以不一样,如采用特殊标记的SYN包等。端口碰撞是探测服务器没有开启的服务端口,服务器的回复(很多是不理睬)不能说明你现在是否是匹配的,即使你“有幸”找到了碰撞序列,但下一个数据包应该是你开始正常连接的数据包,而这时若选错了,前边的“匹配”立即“归零”,因此,该技术抗扫描的能力是很强的。

碰撞技术的扩展:

端口碰撞技术最理想的应用应该是远程设备管理,因为这是使用不频繁,而威胁很大的需求,也是网络维护人员最需要的功能。另外,应用到一些保密文档的远程获取,也是不错的选择,也就是说可以在FTP服务上增加动态共享保密文件的功能,碰撞的方式可以不再是端口,而是FTP普通服务命令的特殊组合序列,匹配时临时为该用户开通保密文档的下载功能,使用完后可以立即取消。

本栏目更多精彩内容:http://www.bianceng.cnhttp://www.bianceng.cn/Network/Security/

时间: 2024-12-01 10:43:26

端口碰撞技术是远程管理的好方式的相关文章

路由器远程管理实例

公司在郊区设立了营销点,营销点的员工使用宽带路由器共享上网,和公司总部保持联系.因此,网管时常坐两个多小时的车到营销点对宽带路由器进行维护,这让网管非常疲惫.不过,他想到了启用宽带路由器的"远程控制"功能,在总部对路由器进行远程维护. 然而,安全问题开始困扰他,在方便自己的同时,这也方便了那些"不怀好意"者,一旦他们得到路由器的管理员账号,就能进行各种破坏活动,后果是不堪设想的.那么,如何才能增强远程控制的安全呢? 让管理账号更复杂 要想对营销点的宽带路由器进行管理

远程管理域控服务器不小心网卡禁用了,还有什么解决的办法,求技术大拿分析解救在线等

问题描述 远程管理域控服务器不小心网卡禁用了,还有什么解决的办法,求技术大拿分析解救在线等 远程管理域控服务器不小心网卡禁用了,还有什么解决的办法,求技术大拿分析解救在线等 解决方案 网卡禁用了,这个你失去对它的控制了,除非找服务器机房的管理员帮你恢复,否则没办法.

Intel多款产品远程管理技术AMT出现本地及远程提权漏洞CVE-2017-5689 攻击者可以获得高级权限

当地时间5月1日(北京时间5月2日上午),英特尔(Intel)官方发布安全公告,公告表明Intel旗下产品英特尔主动管理技术(AMT),英特尔标准可管理性(ISM)和英特尔小型企业技术版本中的固件版本6.x,7.x,8.x 9.x,10 .x,11.0,11.5和11.6存在提权漏洞,可以使无特权攻击者获取这些产品的高级管理功能权限,CVE编号:CVE-2017-5689. 普通用户基于Intel的PC不受影响. 参考链接: https://www.us-cert.gov/ncas/curren

如何修改XP 远程管理默认端口_注册表

自Windows 2000开始,微软就提供一项终端服务(Terminal Server)这项服务可以将远程的桌面传递到本地.通过该服务,可视化的远程管理可以非常方便的实现.继Windows 2000之后,Windows XP也提供这项服务.在Windows XP 中的Terminal Server Client程序比Windows 2000中的那个有了进一步的发展,许多功能都强大了许多. Windows XP 中的Terminal Server Client程序主要的新特性有:  1)可以将目标

Windows系统远程管理实施方案

对于很多的微软系统的管理员来说,都面临着一个以怎样的安全方式管理远程系统的问题!在Unix系统中,这个答案十分简单:使用SSH 协议,这是足够安全和有效的.在SSH方式下,我们不仅能在命令行下管理远程系统,我们也能通过使用隧 道技术(Tunnlling)运行远程X-Window.在传输过程中通过使用强壮的加密算法,以防止传送的数据被未经授权的访问. 令人遗憾的是,如果把远程安全访问应用于微软操作系统就不是一件非常容易的事了.首先,仅仅NT 终端服务器,2000服务器和XP安装有远程管理服务( 终

Windows 远程管理WinRM

根据 WinRM SDK (msdn2.microsoft.com/aa384426),Windows 远程管理是"WS 管理协议的 Microsoft 实施,该协议是基于标准 SOAP.不受防火墙影响的协议,允许不同供应商的硬件和操作系统相互操作."Java Specification Request 262(Web Services Connector for JMX Agent)承诺要与基于 Windows 的.WS-Management 服务直接交互. WinRM 可用于 Wi

asp中利用xmlhttp实现远程管理数据库

xml|数据|数据库 A Review of Remote Database Administer几年之前, CGI-BIN 模块被用作远程管理数据库.现在, CGI-BIN 用得越来越少了,原因是它运行速度很慢,而且难于维护. 近几年,组件对象模型 (COM) 得到了广泛的运用,不幸的是,在虚拟主机上注册 COM 组件是一件很麻烦的事. 在 .NET 或 J2EE 平台上, 我们可以很方便地开发n层结构的 Web 应用程序.但是对于网站来说,我们有更方便的方法远程管理数据库,例如:运用 XML

解决交换机无法远程管理的经典三招

交换机作为局域网中的核心设备之一,它的工作性能直接决定着网络的数据传输性能.可是,在长时间工作之后,交换机难免会遇到这样或那样的故障现象;为了及时解决故障现象,网络管理员时常会采取远程方法来管理交换机系统. 然而有的时候,我们会遭遇无法远程管理交换机的现象,面对这种故障现象,我们究竟该采取什么措施来面对呢?现在,本文就对这类故障的排除思路进行分析,希望能对大家带来一定的帮助. 检查线路连接状态 如果客户端系统与目标交换机设备之间的物理连接不通畅的话,那么我们当然不能通过网络通道远程登录进目标交换

网管知识:DMRC软件远程管理疑难解答

众所周知Dame Ware Mini Remote Control软件,是一款功能强大且基于NT系统的远程管理工具,其优点有很多,比如速度快.体积小等等.另外最重要的一点就是管理员有了它,就不用再为了设置和调试服务器而东奔西走,通过其远程控制功能就可轻松完成.不过因为Windows XP SP2系统安全性很高,所以使用其远程管理软件会受到一些限制,甚至有时还会出现报错等无法使用的情况. 因此针对以上所出现的情况,笔者将会与其相同遭遇的朋友,一同来将该问题解决,以下Dame Ware Mini R