it-swarm-eu.dev

Jak hackeři využívají otevřené porty jako vektor pro útok?

Uzavření otevřených portů na všech strojích připojených k internetu je rozšířené znalosti, a proto je běžnou praxí.

Pokud například typický program používá port xyz jako svůj komunikační kanál a v tomto programu existuje chyba zabezpečení, kterou by bylo možné prostřednictvím tohoto portu zneužít, proč nebude stejný útok úspěšný, řekněme, portem 80?

Vzhledem k tomu, že náš pseudo program používá port 888 TCP a má zranitelnost, kterou lze zneužít, proč nelze tuto zranitelnost zneužít prostřednictvím portu 80 TCP (což je HTTP a je téměř otevřený) nějaký stroj)?

Poslouchá port 80 na webovém serveru pouze UNIQUE typ TCP pakety?) Přijímá pouze určitý druh paketu?

Proč se hacker nemůže pokusit vymyslet paket TCP) se škodlivým řetězcem, zapouzdřit jej do paketu HTTP a napadnout tak webový server?

16
Franko

Služby poslouchají porty. Webové servery (služba) poslouchají port 80, ale to je jen standard, nikoli tvrdé pravidlo. Mohli byste nakonfigurovat jakoukoli službu tak, aby poslouchala na jakémkoli portu. Nejde o „speciální pakety“, ale o „vytočení správného čísla portu“ pro získání požadované služby.

Pokud má váš program pseudo zranitelnost, může být napaden na portu, ke kterému je přiřazen. Na porty, které neposlouchá, nemůžete zaútočit na program. Pokud se pokusíte zaútočit na jiný port (například port 80 v příkladu), váš program nebude dosažen.

Vaše poslední otázka je tedy trochu podivná: „Proč se hacker nemůže pokusit vymyslet a TCP paket se škodlivým řetězcem), zapouzdřit jej do HTTP paketu a napadnout tak webový server ? “To IS, co hackeři dělají.) Zaměřují se však na port služby, kterou chtějí zasáhnout. Možná však můžete tuto otázku upřesnit na základě informací, které jsem poskytl.

Proč tedy uzavírat porty? Protože chcete snížit počet potenciálně zranitelných služeb , které vystavujete internetu.

11
schroeder

„Blokování portů“ je pouze přibližný způsob, jak uvést, co opravdu chceme dělat, což blokuje přístup k některým services.

Čerstvě nainstalovaný operační systém má často řadu věcí spuštěných automaticky, z nichž některé jsou služby, které mají síťovou část. Jakákoli zranitelnost zneužitelná sítí v takové službě je potenciálními přístupovými dveřmi útočníka. Je však zřídka důležité, aby všechny tyto služby byly dostupné všem na celém internetu. Například u počítače, který má být webovým serverem, je normální, že se kdokoli na Zemi může pokusit o přístup ke konkrétní „webové“ službě (to je její funkčnost), a obvykle je také otevřena služba SSH ( aby administrátor serveru mohl spravovat server); není však možné, aby služby sdílení souborů pro tento server byly také široce otevřené.

Blokování přístupu k danému portu lze provést na firewallu a je považováno za časově efektivnější než pokusit se přesvědčit OS, aby danou službu neprovozoval, a zdržet se jejího opětovného spuštění nebo vynalézání nových služeb při příležitosti softwaru. Aktualizace. Je tedy obvyklé blokovat všechny porty kromě ty, o kterých je známo, že odpovídají službám, které by měly být přístupné po celém světě (např. 80 a 22 pro Web a SSH).

5
Tom Leek