黑客攻击的正确方式（黑客常见攻击方式之端口攻击）

黑客常见攻击方式之端口攻击

在上网的时候，我们经常会看到“端口”这个词，也会经常用到端口号，比如在FTP地址后面增加的“21”，21就表示端口号。那么端口到底是什么意思呢？怎样查看端口号呢？一个端口是否成为网络恶意攻击的大门呢 ...

比较常见的端口服务攻击有

• 21端口ftp服务——爆破

• 22端口ssh隧道连接服务——爆破

• 23端口Telnet远程登陆服务——嗅探/爆破

• 80端口网站服务——通过渗透网站来获取服务器shell

• 请点击此处输入图片描述

• 139/445SMB服务器消息块——未修复、老版本的服务器有可利用模块

• 3389远程桌面登陆

在上面的分析中发现192.168.1.7的80端口并未打开，而是在8899端口开启了网站服务

请点击此处输入图片描述

我们知道的开启的端口有135/139/445/3306/8001/8002/8008/8899/49152/49153/49154/49155/49156/49157

其中只有139/445是SMB服务，8899是网站服务，3306是MySQL数据库服务，其他的暂不明含义，因此我们分析黑客在此时可发起的攻击只有针对SMB服务和网站两种。

操作建议：因为有的FTP服务器可以通过匿名登录，所以常常会被黑客利用。另外，21端口还会被一些木马利用。如果不架设FTP服务器，建议关闭21端口。 23端口：23端口主要用于Telnet(远程登录)服务，是Internet上普遍采用的登录和仿真程序。

端口说明：23端口主要用于Telnet(远程登录)服务，是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端，开启Telnet服务的客户端就可以登录远程Telnet服务器，采用授权用户名和密码登录。登录之后，允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中，键入“Telnet”命令来使用Telnet远程登录。

在前面我们发现黑客在扫描完后就立刻访问了192.168.1.107下的网站，那么我们可以推测他是打算从网站下手，所以优先检查http数据流（这里只一种简单思路，为了保险起见应当更详细地去检查）

检索数据包2，发现只有两条关于192.168.1.136的信息

请点击此处输入图片描述

所以推断黑客在这里换了另一台肉鸡来进行操作，那么怎么才能找到黑客的新马甲呢？那就只有从192.168.1.107服务器数据流逐一反查了........

找到黑客的新马甲

在真实情况下，一台服务器每天接收和发出的数据量是非常巨大的，所以逐一反查是非常耗时的，不过我也只能想到这种方法了，我觉得应该有更简便的方法。

一看经过192.168.1.107的数据流，就发先192.168.1.108向其发送了大量的ICMP和UDP包，UDP包发送的内容都是长文本，这里应该是在ping服务器了，先将192.168.1.108列为嫌疑对象。

请点击此处输入图片描述

一直下拉，就发现192.168.1.108在访问网站了，查看http包，发现访问地址全都是/jscgnr.php?id=1，返回状态码全部为431

请点击此处输入图片描述

431状态码表示Request Header Fields Too Large (请求头字段太大)，就算不知道这个，一看到php?id=1哪怕是个刚接触Web安全的小白都知道他在干嘛了。192.168.1.108就是新马甲没跑了。

攻击时间

这个是作为证据，并为修复提供参考。

从第一次注入到最后一次注入的数据流，点击查看物理层信息，即可知道开始时间和结束时间

请点击此处输入图片描述

所以此次注入从20:20:05开始到20:21:10结束，历时65秒。在如此短的时间内进行了上百次注入，所以肯定是工具注入。

所以5-7题结果是

• 第5题：黑客扫描完后直接对服务器发起了攻击，请分析数据包2，分析黑客的攻击方式

• SQL注入

• 第6题：通过分析数据包2，请对数据包2做出详细分析，请根据攻击时间进行排序（格式：协议名/协议名/协议名）【icmp可忽略】

• TCP/UDP/HTTP

• 第7题：通过分析数据包2，,现公司希望能够知道黑客什么时候第五题的攻击和什么时候结束第五题的攻击，（格式：18:44:52/19:05:02）

• 20:20:05/20:21:10

还有一个有趣的事情是，在20:21:10最后一次注入后，发现了服务器向其返还了大量的RST包，所以黑客后来没有继续攻击的原因应该是访问请求被防火墙拦截了

请点击此处输入图片描述

==================================================================

0x03 8-12题 追查黑客ftp攻击过程

• 第8题：后来公司调整网络安全架构，成功防范了黑客的攻击，接着又对数据包3进行了分析，发现黑客在暴力破解ftp，并且成功获得了账号密码，黑客获取到的账号密码是什么（格式：账号/密码）

• 第9题：黑客获取到账号密码后，并成功登入了ftp，黑客是在什么时间登入ftp的？（格式：16:44:02）

• 第10题：黑客连接ftp的时候获取到了FTP的软件名称，服务器是用什么软件搭建FTP的

• 第11题：黑客成功登入ftp后，执行的第一条命令是什么？

• 第12题：黑客之后下载了一个相当关键的文件，该文件的名称是什么

这里虽然是题目提示了黑客在爆破ftp，但在真实情况下也是需要分析的，爆破时会留下大量的一连串的ftp请求，这个比较简单就略过了。黑客技术经典书籍 网络黑白 某宝有售