什么是端口扫描?
端口扫描是指某些别有用心的人发送一组端口扫描消息,试图以此侵入某台计算机,并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)。端口扫描是计算机解密高手喜欢的一种方式。攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上,端口扫描包括向每个端口发送消息,一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻其弱点。
扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器可以不留痕迹地发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本,这就能让人们间接的或直观的了解到远程主机所存在的安全问题。
详见 百度百科
如何减少服务器被端口扫描和枚举攻击
近日,发现服务器上日志有很多条登录失败的日志,用netstat -na看了一下,发现很多的established 3389的连接,看样子是服务器被端口扫描了,被远程枚举攻击了。
解决端口被扫描和枚举攻击,其实还是比较简单的,我们对服务器做几处修改,就能避免。
一、修改管理员用户名
默认的管理员用户名是administrator,通过日志也能看出,绝大部分的试图登录都是用这个用户名的。
可以进入 开始--程序--管理攻击--本地安全策略--本地策略--安全选项里面重新命名管理员。
二、设置账户锁定策略
账户锁定策略是指用户在几次尝试之后都没有正确输入密码,那么该账户就会被锁定一定的时间。
可以在开始--程序--管理攻击--本地安全策略--账户策略--账户锁定策略里面设置。
三、修改远程端口
把端口号重新设置一下,那么端口扫描的时候就扫描不到了,相对来说就比较安全了。
我以前有写过一篇修改远程端口的日志,具体的修改远程端口的方法请看这里。
如何利用3389端口攻破服务器
第一步:使用工具Dubrute中的Ipseacher进行搜索一些活跃的IP段,当然也会采用百度搜索的方法进行;接着就采用SYN扫描为了达到好的效果都会在server2003系统下进行扫描,只有在该系统下不能正常扫描的时候才会使用vmware虚拟机进行扫描;另外如果在XP系统下进行扫描的时候,他们往往会让先让XP能支持SYN的扫描,方法就是将支持这种扫描的补丁直接复制粘贴到系统盘下的driver,当电脑进行重启后就能进行扫描了。
第二步:将Ipseach下的IP段进行直接复制到SYN扫描器下的ip.txt中,当进行扫描一段时间后就能生出ips文档而这种ips文档IP事实上就是用户开启3389端口的实际IP;顺便业内专家也将dubrute工具中的英文操作给大家翻译下,能够帮助大家更好进行理解;source代表就为源、bad代表的酒味坏的、good代表的就是好的、error代表的就是错误的、check代表的就是检测、thread代表的就是线程、start代表的就是开始、config代表的就是配置、generation代表的就是生成、about代表的就是关于。
第三步:将直接导入需要攻破的3389IP地址,接着还会打开generation在打开后就能看到有3列需要进行手动输入的框,在第一列框中手动填写的就是需要攻破的服务器IP,而第二列框中填写的就是相关登陆账号一般就是administrator,在第三列中就是导入的3389密码字典,当点击male退出界面后,就能再点击config进行配置了。
第四步:当全部完成后就能点击start进行攻破了,这个时候在good后就会出现相关数字这就能代表攻破了多少数量的服务器,界面中的bad就代表正在check中当在dubrute下找到good文档进行打开,就能轻松查看到攻破服务器的登录账号和密码了。
第五步:依次点击电脑开始—运行项目,并在弹出框内输入mstsc-admin指令就能顺利进入3389登陆框,当输入IP连接上再输入账号密码就能直接登录成功了。
0条大神的评论