aix訪問限制
1. Aix中怎麼樣限制ip訪問
smitty mktcpip 然後給en設備配就行了 或者smitty tcpip 第二項里邊找到你需要配置的具體設備 給一個ip 再就是用chdev命令加一大堆參數 建議第一種~
2. 當計算機受到任何攻擊的時候...
先說一下攻擊
黑客在進行攻擊時會借用其他系統來達到自己的目的,如對下一目標的攻擊和被侵佔計算機本身的利用等等。本文介紹了常見的黑客對被侵佔計算機的使用方式和安全管理員相應的應對方法。
黑客進行網路攻擊時,除了自己手中直接操作的計算機外,往往在攻擊進行時和完成之後利用、控制其他的計算機。他們或者是藉此達到攻擊的目的,或者是把這些計算機派做其他的用途。本文匯總描述了黑客各種利用其他計算機的手段,希望網路與系統管理員能通過了解這些攻擊辦法來達到更好地進行安全防範的目的。
一、對「肉雞」的利用
「肉雞」這個詞被黑客專門用來描述Internet上那些防護性差,易於被攻破而且控制的計算機。
1.1、本身數據被獲取
原理介紹
這是一台計算機被攻破並完全控制之後,黑客要做的第一件事。很多黑客宣稱自己是非惡意的,只是對計算機安全感興趣,在進入別人的計算機時,不會進行破壞、刪除、篡改等操作。甚至還有更"好心"一些的黑客會為這些計算機打補丁,做一些安全加強。
但是他們都迴避了一個問題,那就是對這些計算機上本身保存的數據如何處理。確實,對別人的計算機進行破壞這種損人不利已的事情對這大多數黑客來講沒有太大意思,不過他們都不會反對把「肉雞」上的數據弄回來保存。這時黑客再說"沒有進行破壞"是說不過去的,根據計算機安全的基本原則,當數據的"完整性、可用性和機密性"中任意三者之一在受到破壞的時候,都應視為安全受到了破壞。在被佔領的計算機上可能會保存著用戶信息、網路拓撲圖、商業秘密、財務報表、軍事情報和其他各類需要保密的數據,黑客獲得這些數據(即使只是查看數據的內容而不下載)時正是破壞了保密性。在實際情況中,很多商業間諜和政治間諜都是這一類,他們只是默默地拿走你的數據而絕不做任何的破壞,而且盡最大可能地掩蓋自己行動的痕跡。這些黑客希望長時間大量地得到珍貴的數據而不被發覺,這其實是最可怕的一種攻擊行為。
很多黑客會在「肉雞」上安裝ftp軟體或者開放FTP服務,再下載其數據,但安裝軟體和開放服務這樣的動作很容易在系統中的各類日誌留下記錄,有可能被發現。而不希望被人發覺的黑客會自己建立一台FTP伺服器,讓「肉雞」做為客戶端把自己的數據上傳過來。
防禦方法
防止本身數據資料不被竊取,當然首先要考慮的是計算機本身不被攻破。如果自己是鐵桶一個,水潑不進,黑客無法在你的網路中的計算機取得任何訪問的許可權,當然就杜絕了絕大多數的泄密可能(請注意,這時候還是有可能會泄密的!比如被黑客欺騙而將數據發送出去)。我們先來看一下如何加強自己的計算機的操作系統,對於所有需要事先控制的攻擊方式,這些手段都是有效的,在以後的章節中就不重復說明了。
簡單地說,對於操作系統的加強,無論是Windows、Unix或是Linux,都可以從物理安全、文件系統、帳號管理、網路設置和應用服務幾個方面來考慮,在這里我們不詳細討論全面的安全防護方案,只是提供一些簡單實用的系統安全檢查項目。這是安全的必要條件,而不是充分條件。
物理安全
簡單地說,物理安全就是你的計算機所在的物理環境是否可靠,會不會受到自然災害(如火災、水災、雷電等)和人為的破壞(失竊、破壞)等。物理安全並不完全是系統或者網路管理員的責任,還需要公司的其他部門如行政、保安等一起協作,不過因為這是其他安全手段的基礎,所以我們網管員還是應該密切注意的。要特別保證所有的重要設備與伺服器要集中在機房裡,並制訂機房相關制度,無關人員不得進入機房等。網管員無特殊情況也不要進入機房,需要可以從外面的指定終端進行管理。
如果重要的伺服器暴露在人人都可以接近的外部,那麼無論你的口令設得多麼強大都沒用了,各種操作系統都可以用軟盤、光碟啟動來破解密碼。
文件系統安全
文件和目錄的許可權設置得是否正確,對系統中那些重要的文件,許可權要重新設置;
在Unix與Linux系統中,還要注意文件的setuid和setgid許可權,是否有不適合的文件被賦予了這些許可權;
帳號系統安全
帳號信息,用戶名和密碼是否合乎規則,具有足夠的復雜程度。不要把許可權給予任何沒有必要的人;
在Unix/Linux中可以合理地使用su與sudo;
關閉無用賬號;
網路系統安全
關閉一切不必要的服務。這一點不必多說了吧,每個開放的服務就象一扇開啟的門,都有可能會被黑客悄悄地進入;
網路介面特性。注意網卡不要處在監聽的混雜模式;
防止DoS的網路設置。禁止IP轉發、不轉發定向廣播、限定多宿主機、忽略和不發送重定向包、關閉時間戳響應、不響應Echo廣播、地址掩碼廣播、不轉發設置了源路由的包、加快ARP表過期時間、提高未連接隊列的大小、提高已連接隊列的大小;
禁用r*命令和telnet命令,用加密的SSH來遠程管理;
對NIS/NIS+進行安全設置;
對NFS進行安全設置;
應用服務安全
應用服務是伺服器存在的原因,又是經常會產生問題的地方。因為應用服務的種類太多,這里無法一一敘述,就請大家注意一下這方面的資料吧。如果有可能,我會在今後繼續提供一些相關知識。可以肯定地說,沒有一種應用程序是完全安全的,必須依靠我們去重新設置。
對於防止數據被竊取,也有手段可以採用,使黑客侵入計算機之後不能盜竊數據和資料。這就是訪問控制和加密。系統訪問控制需要軟體來實現,可以限制root的許可權,把那些重要的數據設置為除了特殊用戶外,連root都無法訪問,這樣即使黑客成為root也沒有用。加密的手段有很多,這里也不詳細介紹了,文件通過加密會以密文的形式存放在硬碟中,如果不能正確解密,就是一堆沒有任何意義的字元,黑客就算拿到了也沒有用。
1.2、非法proxy
原理介紹
Proxy代理技術在提高Internet訪問速度與效率上有很大作用,在這種技術的基礎之上又出現了Cache Server等Internet訪問優化技術,但Proxy也被黑客利用來進行非法活動。黑客把「肉雞」設置為Proxy一般有兩個目的,首先與正常Proxy的目的一樣,是利用它更好地訪問Internet,進行WWW瀏覽;其次就是利用這台Proxy「肉雞」的特殊位置繞過一些訪問的限制。
普通的WWW Proxy其實在Internet上是很常見的,一些計算機免費而且開放地為所有計算機提供WWW Proxy服務,如果黑客想得到一台合適的Proxy時,並不需要自己親自去攻擊計算機並安裝Proxy軟體,只需利用這些現成的Proxy計算機就可以了。在駭軟站點上,有很多Proxy Hunter之類的軟體,輸入某個網段就可以運行去自動搜索已經存在的Proxy計算機了。雖然Proxy本身並不會被攻擊,但是運行Proxy服務,在客戶端連接數目多的時候會造成很大的負擔。而且一些攻擊如Unicode、Lotus Notes、ASP攻擊也正是通過HTTP協議進行的,最終被攻擊者會把Proxy伺服器當做攻擊的來源,換句話說,Proxy伺服器會成為這些攻擊者的替罪羊。所以最好不要向外提供開放的Proxy服務,即使因為需要而開放了,也應加以嚴格的限制。
利用Proxy繞過一些訪問限制,在「肉雞」的利用中也是很常見的。舉個實例來說,某個公司為了提高工作效率,不允許員工使用QQ聊天,指示在公司的防火牆上限制了所有由內向外對UDP 8000這個埠的訪問,這樣內部就無法向外連接Internet上的QQ伺服器進行聊天了。但黑客利用自己設置的QQ Proxy就可以繞過這個限制正常訪問QQ伺服器。
QQ Proxy同WWW Proxy的設置和使用方法是一樣的。在有了Internet上的QQ Proxy時,黑客在公司內部向外訪問QQ Proxy的UDP 18000埠,這是不被禁止的。而QQ Proxy會以客戶端的身份向真正的訪問目標-QQ伺服器進行訪問,然後把信息從UDP 18000埠向黑客計算機轉回去。這樣,黑客就利用Proxy實現了對訪問限制的突破。
還可以利用這個原理進行其他協議限制的繞過,如WWW、ICQ、MSN、Yahoo Messager、AOL等,只要Proxy軟體支持。
防禦方法
我們設立任何類型的Proxy伺服器時,應當對客戶端有所限制,不向無關的人員提供使用許可權。這樣提高了伺服器的效率,又杜絕了黑客借我們的Proxy進行攻擊的可能。
防止內部人員利用外部的Proxy時,可以在防火牆上嚴格限制,只能對外部規定站點的規定服務進行訪問。當然這樣有可能造成業務上的不便,所以在具體環境下要具體考慮,綜合地權衡。
1.3、黑客交流平台
原理介紹
這又是「肉雞」的一大功能,黑客很喜歡把一些被託管在IDC中的「肉雞」設置為自己的BBS/E-mail伺服器,這些計算機一般都是CPU快、內存大、硬碟空間足和網速快的,對黑客需要的功能可以很好地支持。黑客分布在世界范圍內的各個角落,除了一些固定的黑客組織外,很多黑客都是只通過網路交流,如通過電子郵件、在線聊天等方式"互送秋波",交流攻擊和其他技術,傾訴仰慕之情。很多交往多年的黑客好友從未在現實生活中見過面,這是毫不為奇的。
大家會問那麼黑客直接發電子郵件、上ICQ不就行了嗎?何必去冒險攻擊其他的計算機做為交流平台呢。請注意黑客之間傳播的都是一些不能被別人知道的信息,如"我已經控制了XXX省網的骨幹路由器,你想要一份它的路由表嗎?",這樣的內容如果在任何一個郵件伺服器和聊天伺服器上被截獲,從道義上講這個網管都是有義務提醒被攻擊的網路負責人的,所以利用公共的網路交流手段對黑客來說並不可靠,黑客也要保密啊:-) 。那怎麼辦?黑客既然控制了「肉雞」,成為了「肉雞」的第二個"家長",就有資格和許可權去把它設置為交流用的伺服器。在這樣的交流平台上,黑客被發現的可能性小得多,最高的控制許可權可以使黑客對這些活動進行各種各樣的掩飾。還有另一種利用形式就是FTP伺服器,供黑客兄弟們上傳下載黑客軟體,互通有無。
黑客在「肉雞」上做信息交換的時候,會產生大量的網路通信,尤其是利用FTP上傳下載時。如果發現你的內外部通信突然反常地加大,檢查一下自己的計算機吧。
防衛性差的「肉雞」其管理員一般水平也不會很高,再加上缺乏責任心,往往在自己的計算機被佔領了很長時間都不知道,直到有一天收到了高額的數據通信收費單,才大吃一驚:"怎麼搞的?!"。- 難道他們自己就沒有責任嗎?
防禦方法
管理員要有實時監視的手段,並制定合理的檢查制度,定期地對所負責的網路和伺服器進行檢查。對於網路流量突然增大、可疑訪問出現、伺服器情況異常、不正常的日誌項等,都要立即進行檢查。要記得把這些記錄、日誌歸類備份,以便在出現情況時前後比較。
安全不安全很大程度上取決於管理員是否盡職盡責,好的管理員必須有好的習慣。
1.4、學習/開發平台
原理介紹
這種情況是比較少見的,卻很有意思。我們平時使用的是個人計算機,一般可以安裝Windows、FreeBSD、Linux和其他Unix系統的x86版本,如果要實習其他平台上的操作系統幾乎是不可能的。象AIX、HP-UX、Solaris(sparc)、IRIX等,都需要相應的硬體平台來配套,普通的個人計算機是裝不上的,這些知名廠商的Unix計算機又非常昂貴,成了一般計算機愛好者可望不可及的寶物。黑客兄弟們在這里又有了大顯身手的時候了,到網上找到一些可以侵入的AIX什麼的機器,佔領之後,想學習這種平台的操作使用還不是很簡單的事嗎?我曾在一個黑客站點上看到有人轉讓一台Sun E250「肉雞」的控制權,開價300塊,可憐那個管理員,自己的機器已經被公開出售了還不知道。
黑客在「肉雞」上做開發就更少見了,因為這樣做會有很大的風險。許黑客都沒有全職的工作,他們中的很多人都是編程高手,會通過朋友和其他渠道攬一些程序開發的活計,掙些零花錢。很多定製的程序是要跑在特定平台上的,如果一個程序需要在HP-UX平台上開發調試怎麼辦?HP-UX計算機是很少能找到的。但黑客又可以利用自己的"特長"去攻下一台,做為開發平台。不過我們都知道開發調試程序的時候會有各種種樣的bug,輕則導致程序不正常,重則讓系統崩潰,還會在日誌里留下記錄。這就是為什麼說這么做很危險,因為它太容易被發現了。要是一台計算機被當做開發平台用了很久而管理員卻一無所知的話,這個管理員實在應該好好反省。
防禦方法
方法同前一部分,就不必多說了。關心你的伺服器吧。
再說一下解決方法
遠離黑客十條永恆的安全法則 1、當您選擇運行一個程序時,您也在做出將計算機的控制權移交給該程序的決定。 程序一旦運行便可以執行任何操作,其上限是您自己能在該計算機上執行的所有操作。 2、說到底,操作系統只是一系列的 1 和 0,它們在處理器的解釋下讓計算機執行特定的操作。 改變這些 1 和 0,執行的操作就不同了。 這些 1 和 0 存儲在什麼地方呢? 還用問?就在計算機上,和其他所有內容在一起! 它們只不過是文件,如果使用計算機的其他人可以更改這些文件,那就游戲結束」了。 3、如果有人能物理地訪問您的計算機,他/她就可以完全控制計算機並能執行任何操作(如修改數據、偷取數據、拿走硬體或物理地搗毀計算機)。 4、如果您運行的是 web 站點,就需要限制訪問者的行為。 您應該只允許由您或您所信任的開發人員編寫的程序在站點上運行。 但這還不夠。 如果您的站點與其他站點共享同一台伺服器,就需要額外小心。 如果某個別有用心的人攻陷了該伺服器上的其他站點,他就有可能進一步控制該伺服器,並因此控制該伺服器上的所有站點 — 包括您的站點。 5、如果黑客」獲取了您的密碼,就可以登錄到您的計算機,在計算機上執行您能執行的一切操作。 請總是使用密碼;有相當數量的帳戶都沒有密碼,這真令人驚異。 還要選用復雜一點的密碼。 不要將您的愛犬的名字、周年紀念日或當地球隊的名字用作密碼。 也不要使用 password 作為密碼! 6、不可信的管理員可以取消您採取的所有其他安全措施。 他可以更改計算機上的許可權、修改系統安全策略、安裝惡意軟體、添加虛假用戶或執行其他種種操作。 因為擁有控制權,他實際上可以徹底破壞操作系統中的任何保護措施。 最糟的是,他可以隱去行蹤。 如果您遇上了不可信的管理員,您沒有半點安全可言。 7、許多操作系統和加密軟體產品都提供在計算機上存儲加密密鑰的功能。 這樣做的好處是方便,因為您無需處理密鑰,但卻要付出安全代價。 通常情況下,這些密鑰會經過變體處理(即進行隱藏),有些變體處理方法還相當不錯。 但最終不論密碼隱藏得多麼好,只要它保存在計算機上,就總可以找到。 而且它必須能被找到畢竟軟體可以找到密鑰,因此一個絞盡腦汁的不良分子也同樣能找到。 只要有可能,就請使用離線的方法存儲密鑰。 8、病毒掃描程序的工作方式是將計算機上的數據與一系列病毒簽名 進行比較。 每個簽名都是特定病毒的特徵。當掃描程序發現文件、電子郵件或其他位置的數據與簽名相匹配時,就會認為發現了病毒。 不過,病毒掃描程序只能發現它知道的病毒。 保持病毒掃描程序的病毒簽名文件處於最新狀態非常重要,因為每天都有新的病毒出現。 9、在internet 上保護您的隱私的最佳方式與在日常生活中保護隱私的方式相同 — 即通過您的行為進行保護。 請閱讀所訪問站點上的隱私聲明,且只與認可其做法的站點打交道。 如果對 cookie 不放心,可以禁用它們。 最重要的是避免不加選擇地瀏覽 web 頁要知道,就像多數大都市都有應盡量避開的陰暗面一樣,internet 也是如此。 10、完美的安全性需要達到的完美程度還不存在,事實上永遠也不可能存在。 這對於軟體和人類所涉獵的幾乎所有領域都是客觀事實。 軟體開發不是一門完美的科學,事實上所有軟體都有缺陷。 其中有些缺陷可能會被人利用而破壞安全性。 這就是無法更改的事實。 但是,即使軟體可做到盡善盡美,也不能徹底解決問題。 大多數攻擊在某種程度上牽涉到對人類本性的操縱 — 這通常被稱為社交工程」。 如果對安全技術進行攻擊的成本和難度提高,別有用心的人會改變其應對策略即將重點從技術轉移到控制台處的人。 了解您在維護穩固的安全性方面所起的作用非常重要,否則,您本人就會成為自己系統安全保護層上的漏洞」。
3. 關於Aix中怎麼樣限制ip訪問
設置IP限制,可以把訪問IP設置為黑名單,不允許訪問、
反之,需要解除IP限制,解決異常的方法可以嘗試一下換IP
電腦換IP很簡單,使用雙魚IP轉換器
手機換IP可以將手機設置為飛行模式10分鍾後再重新打開就是不同的IP了
4. AIX系統中如何限制用戶的ftp訪問
還是要看你需要實現什麼樣的目的。
要想實現對某一目錄,針對不同的ftp用戶有不同的訪問許可權,建議安裝專門的ftp server軟體,如wu_ftpd。 如果使用AIX默認的ftp
server,我們可以通過使用ACL(Access Control List)--訪問控制列表--來實現近似的效果。 ACL是一種在基本文件許可權控制以外的擴展控制,它可以針對某個文件做更精細的控制,可單獨指定某個用戶或屬組的訪問許可權,配置過程舉例如下:
1、 針對我們的需求,首先把/tmp/ftp_folder 的許可權改成750(或其他需要的許可權),然後通過ACL給不同的用戶增加許可讀和寫的許可權。注意:如果在執行acledit後重新執行chmod,ACL
中的「extended permissions」將會被重新置成「disabled」;
2、指定ACL使用的編輯器:
# export EDITOR=/usr/bin/vi
3、# acledit /tmp/ftp_folder
其中 /tmp/ftp_folder 為所要控制的文件,此時,屏幕將顯示
attributes:
base permissions
owner(root): rwx
group(system): r-x
others: ---
extended permissions
disabled --> enabled
為使用ACL控制,將其中的disabled改為enabled
4、在其後添加控制項,用關鍵字permit來控制具體許可權,比如:
permit r-x u:ftp1 用戶ftp1對其有「讀」許可權
permit -wx u:ftp2 用戶ftp2對其有「寫」許可權
注意: ACL中每行只能有一個用戶名。
5、測試
針對用戶ftp1,上傳操作被拒絕
ftp> put file1
200 PORT command successful.
553 file1: The file access permissions do not allow the specified action.
針對用戶ftp2,列取文件操作沒有輸出
ftp> ls
200 PORT command successful.
550 No files found.
這里要注意是,用戶ftp2不具有「讀」許可權只表明該用戶無法讀取文件列表,但如果他知道該目錄下的文件名,一樣可以用 get命令來下載文件(如果用戶使用的是可視化的ftp工具基本不存在這個問題);這是因為在UNIX系統中,對目錄來說,「讀」(r)許可權代表可以列出 該目錄下的內容。即使沒有「讀」許可權,只要有「訪問」(x)許可權,就可以從該目錄下拷貝文件。 因此,我們只能說ACL可以近似實現限制「讀」(下載)的需求。
5. 系統的埠都有哪些~~~
埠:0
服務:Reserved
說明:通常用於分析操作系統。這一方法能夠工作是因為在一些系統中「0」是無效埠,當你試圖使用通常的閉合埠連接它時將產生不同的結果。一種典型的掃描,使用IP地址為0.0.0.0,設置ACK位並在乙太網層廣播。
埠:1
服務:tcpmux
說明:這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者,默認情況下tcpmux在這種系統中被打開。Irix機器在發布是含有幾個默認的無密碼的帳戶,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。許多管理員在安裝後忘記刪除這些帳戶。因此HACKER在INTERNET上搜索tcpmux並利用這些帳戶。
埠:7
服務:Echo
說明:能看到許多人搜索Fraggle放大器時,發送到X.X.X.0和X.X.X.255的信息。
埠:19
服務:Character Generator
說明:這是一種僅僅發送字元的服務。UDP版本將會在收到UDP包後回應含有垃圾字元的包。TCP連接時會發送含有垃圾字元的數據流直到連接關閉。HACKER利用IP欺騙可以發動DoS攻擊。偽造兩個chargen伺服器之間的UDP包。同樣Fraggle DoS攻擊向目標地址的這個埠廣播一個帶有偽造受害者IP的數據包,受害者為了回應這些數據而過載。
埠:21
服務:FTP
說明:FTP伺服器所開放的埠,用於上傳、下載。最常見的攻擊者用於尋找打開anonymous的FTP伺服器的方法。這些伺服器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的埠。
埠:22
服務:Ssh
說明:PcAnywhere建立的TCP和這一埠的連接可能是為了尋找ssh。這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
埠:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一埠是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個埠。
埠:25
服務:SMTP
說明:SMTP伺服器所開放的埠,用於發送郵件。入侵者尋找SMTP伺服器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL伺服器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠。
埠:31
服務:MSG Authentication
說明:木馬Master Paradise、Hackers Paradise開放此埠。
埠:42
服務:WINS Replication
說明:WINS復制
埠:53
服務:Domain Name Server(DNS)
說明:DNS伺服器所開放的埠,入侵者可能是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏其他的通信。因此防火牆常常過濾或記錄此埠。
埠:67
服務:Bootstrap Protocol Server
說明:通過DSL和Cable modem的防火牆常會看見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP伺服器請求一個地址。HACKER常進入它們,分配一個地址把自己作為局部路由器而發起大量中間人(man-in-middle)攻擊。客戶端向68埠廣播請求配置,伺服器向67埠廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的IP地址。
埠:69
服務:Trival File Transfer
說明:許多伺服器與bootp一起提供這項服務,便於從系統下載啟動代碼。但是它們常常由於錯誤配置而使入侵者能從系統中竊取任何 文件。它們也可用於系統寫入文件。
埠:79
服務:Finger Server
說明:入侵者用於獲得用戶信息,查詢操作系統,探測已知的緩沖區溢出錯誤,回應從自己機器到其他機器Finger掃描。
埠:80
服務:HTTP
說明:用於網頁瀏覽。木馬Executor開放此埠。
埠:99
服務:gram Relay
說明:後門程序ncx99開放此埠。
埠:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
埠:109
服務:Post Office Protocol -Version3
說明:POP3伺服器開放此埠,用於接收郵件,客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交 換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸後還有其他緩沖區溢出錯誤。
埠:110
服務:SUN公司的RPC服務所有埠
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
埠:113
服務:Authentication Service
說明:這是一個許多計算機上運行的協議,用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多計算機的信息。但是它可作為許多服務的記錄器,尤其是FTP、POP、IMAP、SMTP和IRC等服務。通常如果有許多客戶通過防火牆訪問這些服務,將會看到許多這個埠的連接請求。記住,如果阻斷這個埠客戶端會感覺到在防火牆另一邊與E-MAIL伺服器的緩慢連接。許多防火牆支持TCP連接的阻斷過程中發回RST。這將會停止緩慢的連接。
埠:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個埠的連接通常是人們在尋找USENET伺服器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組伺服器。打開新聞組伺服器將允許發/讀任何人的帖子,訪問被限制的新聞組伺服器,匿名發帖或發送SPAM。
埠:135
服務:Location Service
說明:Microsoft在這個埠運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個埠是為了找到這個計算機上運行Exchange Server嗎?什麼版本?還有些DOS攻擊直接針對這個埠。
埠:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP埠,當通過網上鄰居傳輸文件時用這個埠。而139埠:通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於windows文件和列印機共享和SAMBA。還有WINS Regisrtation也用它。
埠:143
服務:Interim Mail Access Protocol v2
說明:和POP3的安全問題一樣,許多IMAP伺服器存在有緩沖區溢出漏洞。記住:一種LINUX蠕蟲(admv0rm)會通過這個埠繁殖,因此許多這個埠的掃描來自不知情的已經被感染的用戶。當REDHAT在他們的LINUX發布版本中默認允許IMAP後,這些漏洞變的很流行。這一埠還被用於IMAP2,但並不流行。
埠:161
服務:SNMP
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在資料庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網路。
埠:177
服務:X Display Manager Control Protocol
說明:許多入侵者通過它訪問X-windows操作台,它同時需要打開6000埠。
埠:389
服務:LDAP、ILS
說明:輕型目錄訪問協議和NetMeeting Internet Locator Server共用這一埠。
埠:443
服務:Https
說明:網頁瀏覽埠,能提供加密和通過安全埠傳輸的另一種HTTP。
埠:456
服務:[NULL]
說明:木馬HACKERS PARADISE開放此埠。
埠:513
服務:Login,remote login
說明:是從使用cable modem或DSL登陸到子網中的UNIX計算機發出的廣播。這些人為入侵者進入他們的系統提供了信息。
埠:544
服務:[NULL]
說明:kerberos kshell
埠:548
服務:Macintosh,File Services(AFP/IP)
說明:Macintosh,文件服務。
埠:553
服務:CORBA IIOP (UDP)
說明:使用cable modem、DSL或VLAN將會看到這個埠的廣播。CORBA是一種面向對象的RPC系統。入侵者可以利用這些信息進入系統。
埠:555
服務:DSF
說明:木馬PhAse1.0、Stealth Spy、IniKiller開放此埠。
埠:568
服務:Membership DPA
說明:成員資格 DPA。
埠:569
服務:Membership MSN
說明:成員資格 MSN。
埠:635
服務:mountd
說明:Linux的mountd Bug。這是掃描的一個流行BUG。大多數對這個埠的掃描是基於UDP的,但是基於TCP的mountd有所增加(mountd同時運行於兩個埠)。記住mountd可運行於任何埠(到底是哪個埠,需要在埠111做portmap查詢),只是Linux默認埠是635,就像NFS通常運行於2049埠。
埠:636
服務:LDAP
說明:SSL(Secure Sockets layer)
埠:666
服務:Doom Id Software
說明:木馬Attack FTP、Satanz Backdoor開放此埠
埠:993
服務:IMAP
說明:SSL(Secure Sockets layer)
埠:1001、1011
服務:[NULL]
說明:木馬Silencer、WebEx開放1001埠。木馬Doly Trojan開放1011埠。
埠:1024
服務:Reserved
說明:它是動態埠的開始,許多程序並不在乎用哪個埠連接網路,它們請求系統為它們分配下一個閑置埠。基於這一點分配從埠1024開始。這就是說第一個向系統發出請求的會分配到1024埠。你可以重啟機器,打開Telnet,再打開一個窗口運行natstat -a 將會看到Telnet被分配1024埠。還有SQL session也用此埠和5000埠。
埠:1025、1033
服務:1025:network blackjack 1033:[NULL]
說明:木馬netspy開放這2個埠。
埠:1080
服務:SOCKS
說明:這一協議以通道方式穿過防火牆,允許防火牆後面的人通過一個IP地址訪問INTERNET。理論上它應該只允許內部的通信向外到達INTERNET。但是由於錯誤的配置,它會允許位於防火牆外部的攻擊穿過防火牆。WinGate常會發生這種錯誤,在加入IRC聊天室時常會看到這種情況。
埠:1170
服務:[NULL]
說明:木馬Streaming Audio Trojan、Psyber Stream Server、Voice開放此埠。
埠:1234、1243、6711、6776
服務:[NULL]
說明:木馬SubSeven2.0、Ultors Trojan開放1234、6776埠。木馬SubSeven1.0/1.9開放1243、6711、6776埠。
埠:1245
服務:[NULL]
說明:木馬Vodoo開放此埠。
埠:1433
服務:SQL
說明:Microsoft的SQL服務開放的埠。
埠:1492
服務:stone-design-1
說明:木馬FTP99CMP開放此埠。
埠:1500
服務:RPC client fixed port session queries
說明:RPC客戶固定埠會話查詢
埠:1503
服務:NetMeeting T.120
說明:NetMeeting T.120
埠:1524
服務:ingress
說明:許多攻擊腳本將安裝一個後門SHELL於這個埠,尤其是針對SUN系統中Sendmail和RPC服務漏洞的腳本。如果剛安裝了防火牆就看到在這個埠上的連接企圖,很可能是上述原因。可以試試Telnet到用戶的計算機上的這個埠,看看它是否會給你一個SHELL。連接到600/pcserver也存在這個問題。
埠:1600
服務:issd
說明:木馬Shivka-Burka開放此埠。
埠:1720
服務:NetMeeting
說明:NetMeeting H.233 call Setup。
埠:1731
服務:NetMeeting Audio Call Control
說明:NetMeeting音頻調用控制。
埠:1807
服務:[NULL]
說明:木馬SpySender開放此埠。
埠:1981
服務:[NULL]
說明:木馬ShockRave開放此埠。
埠:1999
服務:cisco identification port
說明:木馬BackDoor開放此埠。
埠:2000
服務:[NULL]
說明:木馬GirlFriend 1.3、Millenium 1.0開放此埠。
埠:2001
服務:[NULL]
說明:木馬Millenium 1.0、Trojan Cow開放此埠。
埠:2023
服務:xinuexpansion 4
說明:木馬Pass Ripper開放此埠。
埠:2049
服務:NFS
說明:NFS程序常運行於這個埠。通常需要訪問Portmapper查詢這個服務運行於哪個埠。
埠:2115
服務:[NULL]
說明:木馬Bugs開放此埠。
埠:2140、3150
服務:[NULL]
說明:木馬Deep Throat 1.0/3.0開放此埠。
埠:2500
服務:RPC client using a fixed port session replication
說明:應用固定埠會話復制的RPC客戶
6. Aix中怎麼樣限制ip訪問
/etc/ssh/sshd_config文件里加上允許的IP段就可以了。
AllowUsers *@172.18.3.*