这问题问得可奇怪了。想了半天不知道怎么回答。随便说两句得,反正你没听懂也别怪我,因为我也不懂你问的是啥意思。
扫描出端口是非常常见的事情,一个端口只是代表一种服务,如果发现存在说明服务开放,开放服务了你自然可以进,例如开了80你就用浏览器进,开了23你就用TELNET进,开了21就用FTP进,这些正常的登陆。登陆后呢服务器和你之间就建立了TCP连接。那么有连接就能查到,只是看网管是不是想仔细去查。想查是绝对可以查到的。如果是想非正常的登陆呢,例如溢出什么的。也同样可以被发现,例如在WINDOWS下运行中输入netstat -an就可以看到所有的连接。
就拿木马来说,假如对方机器中了木马,你扫描的时候会发现木马端口,但是你连接上以后,对方的机器依然可以用netstat -an显示出你的连接及通讯端口。
如果希望通讯隐藏的目的除非利用WINSOCKET服务多重绑定,以低级别服务绑定高级别服务。也就是说你利用很低的权限运行一个木马,虽然这个木马没有系统控制权限,仅仅是通过guest权限运行的,但是却可以捆绑到高级服务同样的端口上进行通讯,在一个端口如何进行多服务通讯时,木马除向你发送数据包外,还需接收数据包,那么木马判断收到的包是否是符合自己的特定格式,如果不同则认为数据包是被捆绑服务的,利用127.0.0.1发送给被捆绑服务,这种安全隐患是非常严重的。假如说一个web服务器的服务程序被捆绑上低级别的服务的木马,穿头投普通防火墙是非常容易的事情,因为WEB服务器任何情况下防火墙是不会关闭80端口的。这类木马即使没有系统控制权限,也可能根本就无法拿到更高级的权限,但却可以发起中间人攻击,当admin或其他高权限的管理者登陆后,便可发起中间人攻击,假扮管理员身份获得最高权限。
以上是我一点心得,在安焦上看到FLASHSKY的《端口截听实现端口隐藏,嗅探与攻击》一文后的一些总结。如果想了解更多,请亲自看看这篇文章,里面还带有一个截听telnet服务器的程序的代码。
http://www.xfocus.net/articles/200211/458.html
[此贴被 悟休(wuxiu) 在 12月27日22时28分 编辑过]
|
论坛用户
论坛用户
论坛用户
见习版主
论坛: 菜鸟乐园 标题: 我怎么才知道哪个端口是我能进去的啊!!谢谢大峡能告诉我!!