交换机配置公网地址后经常被扫描
没有什么好方法不被扫描,除非你让运营商帮你封端口,或者你在交换机之上增加防火墙。不过还是有安全方法可以做的,telnet协议不建议使用,明文协议比较不安全。用SSH协议吧,另外把SSH的默认端口改成高位端口号,可以增加交换机安全性。
【traceroute】关于traceroute(路由追踪)的原理分析
traceroute 主要利用 IP 数据包的 TTL 字段值 + ICMP 来实现,它发送的用于探测网络路径的数据包的 IP 之上的协议可以是 UDP、TCP或ICMP。
协议表示该数据报文所携带的数据所使用的协议类型,占 8 位。
该字段可以方便目的主机的 IP 层知道按照什么协议来处理数据部分。不同的协议有专门不同的协议号。
例如,TCP 的协议号为 6,UDP 的协议号为 17,ICMP 的协议号为 1。
不同模式下,探测过程中设计的数据包如下:
UDP 探测数据包(目标端口大于 30000) + 中间网关发回 ICMP TTL 超时数据包 + 目标主机发回 ICMP Destination Unreachable 数据包
TCP [SYN] 探测数据包(默认目标端口为 80) + 中间网关发回 ICMP TTL 超时数据包 + 目标主机发回 TCP [SYN ACK] 数据包
ICMP Echo (ping) Request 探测数据包 + 中间网关发回 ICMP TTL 超时数据包 + 目标主机发回 ICMP Echo (ping) reply 数据包
UDP 端口扫描比较麻烦,它同TCP不一样,因为它不需要建立连接。
我们向 目标主机 的固定端口发送UDP数据包,可以得到 两种结果:
在运营商的路由器上,UDP 与 ICMP 的待遇大不相同。
为了利于 troubleshooting,ICMP ECHO Request/Reply 是不会封的,而 UDP 则不同。
UDP 常被用来做网络攻击,因为 UDP 无需连接,因而没有任何状态约束它,比较方便攻击者伪造源 IP、伪造目的端口发送任意多的 UDP 包,长度自定义。
所以运营商为安全考虑,对于 UDP 端口常常采用白名单 ACL,就是只有 ACL 允许的端口才可以通过,没有明确允许的则统统丢弃。比如允许 DNS/DHCP/SNMP 等。
当网络工程师用Ping时,Ping在偷摸做啥事儿?
ping命令是依托于 ICMP协议的, ICMP协议的存在就是为了更高效的转发 IP数据报和提高交付成功的机会。
ping命令除了依托于 ICMP,在局域网下还要借助于 ARP协议, ARP协议能根据 IP地址反查出计算机的 MAC地址。
另外 ARP是有缓存的,为了保证 ARP的准确性,计算机会更新ARP缓存。
有时我们traceroute 一台主机时,会看到有一些行是以星号表示的。
出现这样的情况,可能是防火墙封掉了ICMP的返回信息,所以我们得不到什么相关的数据包返回数据。
有些路由器会隐藏的自己的位置,不让ICMP Timeout的消息通过,结果就是在那一跳上始终会显示星号。此外服务器也可以伪造traceroute路径的,不过一般应用服务器也没有理由这么做,所以Traceroute的结果还是能够为网络分析提供一些参考的。
Linux下traceroute程序默认发送的探测包为UDP协议,windows下tracert、mtr,以及Linux下mtr默认都发送的是icmp的数据包,并不是所有网关都会如实返回 ICMP 超时报文。处于安全性考虑,大多数防火墙以及启用了防火墙功能的路由器缺省配置为不返回各种 ICMP 报文,其余路由器或交换机也可能被管理员主动修改配置变为不返回 ICMP 报文。因此 Traceroute 程序不一定能拿到所有的沿途网关地址。所以,当某个 TTL 值的数据包得不到响应时,并不能停止这一追踪过程,程序仍然会把 TTL 递增而发出下一个数据包。这个过程将一直持续到数据包发送到目标主机,或者达到默认或用参数指定的追踪限制(maximum_hops 默认最大为30)才结束追踪
如果在局域网中的不同网段之间,我们可以通过traceroute 来排查问题所在,是主机的问题还是网关的问题。
如果我们通过远程来访问某台服务器遇到问题时,我们用到traceroute 追踪数据包所经过的网关,提交IDC服务商,也有助于解决问题;但目前看来在国内解决这样的问题是比较困难的,就是我们发现问题所在,IDC服务商也不可能帮助我们解决。
动态图解traceroute(路由追踪)的原理与实现
IP数据报格式详解
解析为何traceroute探测的时候中间有些节点探测不到?
traceroute使用与实现原理分析
traceroute(路由追踪)的原理及实现
为什么目标地址ping能通,但是tracetoute不通?
只会用ping测试网络通不通?高级网工还会这么用
当网络工程师用Ping时,Ping在偷摸做啥事儿?
traceroute原理
TCP/UDP/ICMP Traceroute的原理及区别
常见端口入侵
端口漏洞:相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒,该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口,该接口侦听的端口就是135。
1:用139端口入侵
我们先确定一台存在139端口漏洞的主机。用扫描工具扫描!比如SUPERSCAN这个端口扫描工具。假设现在我们已经得到一台存在139端口漏洞的主机,我们要使用nbtstat -a IP这个命令得到用户的情况!现在我们要做的是与对方计算机进行共享资源的连接。
用到两个NET命令,下面就是这两个命令的使用方法
NET VIEW?
作 用:显示域列表、计算机列表或指定计算机的共享资源列表。?
命令格式:net view [\\computername | /domain[:domainname]]?
参数介绍:?
1键入不带参数的net view显示当前域的计算机列表。?
2\\computername 指定要查看其共享资源的计算机。?
3/domain[:domainname]指定要查看其可用计算机的域?
NET USE?
作用:连接计算机或断开计算机与共享资源的连接,或显示计算机的连接信息。?
命令格式:net use [devicename | *] [\\computername\sharename[\volume]]?
[password | *]] [/user:[domainname\]username] [[/delete] |?
[/persistent:{yes | no}]]?
参数介绍:?
键入不带参数的net use列出网络连接。?
devicename指定要连接到的资源名称或要断开的设备名称。?
\\computername\sharename服务器及共享资源的名称。?
password访问共享资源的密码。?
*提示键入密码。 /user指定进行连接的另外一个用户。?
domainname指定另一个域。?
username指定登录的用户名。?
/home将用户连接到其宿主目录?
/delete取消指定网络连接。?
/persistent控制永久网络连接的使用。?
C:\net use \\IP
C:\net view \\IP
我们已经看到对方共享了他的C,D,E三个盘
我们要做的是使用NBTSTAT命令载入NBT快取.
c:\nbtstat –R 载入NBT快取
c:\nbtstat –c 看有无载入NBT快取
现在我们已经得到的139端口漏洞的主机IP地址和用户名,现在就该是我们进入他计算的时候了,点击开始---查找--计算机,将刚才找到的主机名字输入到上面,选择查找,就可以找到这台电脑了!双击就可以进入,其使用的方法和网上领居的一样。
2:4899端口入侵
用4899过滤器.exe,扫描空口令的机器
我的局域网中的计算机被电信公司进行端口扫描,出现浏览器页面被屏蔽现象,怎么办?
如果你是用一个PC做代理,代理另一个PC上网的,就把那个代理的进程隐藏掉。网上很多隐藏进程的软件,下一个就行。然后隐藏那个进程。一般那个进程较syaserv。就是一个代理进程。要是用路由器,不想被别人扫描,那你设置ACL限制就好了。限制掉一些特殊的端口1080,应该是共享端口。
怎样才能知道电信是否封了自己的端口 有什么方法可以解决
如下参考:
1.先在电脑上依次:开始运行。
2.在runinput框中,输入CMD并单击ok。
3.在DOS输入框中输入netstat-nao,然后回车。
4.您可以看到refresh,找到端口80,并看到它已被打开,并被编号为3448的攻击占用。
5.现在让我们看看哪个进程占用了端口80。右键单击任务栏并选择任务管理器,以进入以下屏幕。单击菜单:查看-选择列。
6.确保选择了第一个选项PID,然后单击ok,如下图。
为何 宽带运营商的dns服务器 要扫描用户的udp 1032端口,做什么用的?
1032 UDP C:/WINDOWS/System32/inetsrv/inetinfo.exe
估计是系统互相验证判断网络是否连通的包
0条大神的评论