halo~我是bay_Tong桐小白
本文内容是桐小白个人对所学知识进行的总结和分享,知识点会不定期进行编辑更新和完善,了解最近更新内容可参看更新日志,欢迎各位大神留言、指点
【学习网络安全知识,维护绿色网络环境】
【步入网络安全第一步,了解《中华人民共和国网络安全法》。从自身做起,做一名努力贡献绵力的红白帽】
【学习实践目的为熟悉掌握相关知识,理解操作原理思考防护措施,务必在虚拟机环境下操作,坚决杜绝病毒传播与恶意操作】
【本文为初学Windows环境下的基本服务安全,原理的系统性总结与归纳详见计算机网络专栏,后续持续更新补全】
【更新日志】
最近更新:
- 暂无编辑记录,内容持续更新中……
RDP协议安全
端口号:3389
服务功能:远程桌面管理
服务开启/关闭方式:我的电脑右键——属性——远程——勾选/不勾选“启用这台计算机上的远程桌面”(可通过cmd窗口使用netstat -an命令查看对外开放了哪些端口服务)
远程桌面管理/入侵模拟:(以winxp与win2003为例,winxp主机远程桌面管理/入侵win2003主机)
- 配置网络,确定两主机可以互相通信(本示例将两主机桥接在同一局域网,winxp主机ip为192.168.0.102,win2003主机ip为192.168.0.1)且被远程的目标机开启3389端口服务
- 使用winxp主机远程桌面管理/入侵win2003服务器,按下win+R在运行窗口输入mstsc,按下Enter(回车)
- 在弹出的mstsc窗口上点击“选项”按钮,在计算机名处输入要连接的计算机的计算机名或ip地址,在用户名处输入要使用的要连接的计算机的用户,之后点击连接
- 连接之后即进入win2003的登录界面,输入密码完成登录,即可进行远程桌面操作控制(第二张图将远程窗口进行了缩小以便观察)
(如使用非管理员账户登录远程,需要在服务器上将用户加入到远程桌面内置组Remote Desktop)
存在安全隐患:
- 远程桌面入侵(在可以互通的网络中,只要目标的3389端口开放即可利用其连接进行图形界面入侵,ip可通过扫描工具获取,密码可通过字典撞库等方式破解)(扫描ip与字典撞库后续更新)
- (……待补充,后续更新)
防御方式一:我的电脑右键——属性——远程——不勾选“启用这台计算机上的远程桌面”(即对于一般PC来说如果不常用到远程桌面管理,可直接进行服务端口的关闭)
防御方式二:(……待补充,后续更新)
telnet协议安全
端口号:23
服务功能:远程命令行管理
服务开启/关闭方式:开始——运行——输入services.msc——启用/停止telnet服务(win2008及更高版本系统默认关闭此端口服务,如需开启此服务则参看 win2008开启telnet服务 与 win10开启telnet服务)
远程命令行管理/入侵模拟:(以winxp与win2003为例,winxp主机远程桌面管理/入侵win2003主机)
- 配置网络,确定两主机可以互相通信(本示例将两主机桥接在同一局域网,winxp主机ip为192.168.0.102,win2003主机ip为192.168.0.1)且被远程的目标机开启telnet端口服务
- 使用winxp主机远程命令行管理/入侵win2003服务器,按下win+R在运行窗口输入cmd,按下Enter(回车),在cmd命令行窗口输入telnet 192.168.0.1,按下Enter(回车)
- 输入y,之后输入用户名与密码进行登录(密码输入不会在窗口中显示出来,输入完毕按下Enter(回车)即可)
- 登录完成后,即完成连接与登录,可对目标机进行命令行管理/入侵
(如使用非管理员账户登录远程,需要在服务器上将用户加入到远程桌面内置组Remote Desktop)
- 以一个简单的例子进行被入侵的危害性的说明,目标机win2003的D盘中有三个共享文件,winxp使用管理员账户进行命令行入侵后可通过DOS命令对其进行操作,如随意读写文件
【学习实践目的为熟悉掌握命令语句,理解操作原理思考防护措施,务必在虚拟机环境下操作,坚决杜绝病毒传播与恶意操作;简单的几行DOS命令编写出的恶意脚本就能对用户的操作系统造成危害,且造成的后果往往是致命的,切勿在真实机上进行操作尝试】
存在安全隐患:
- 命令行入侵(在可以互通的网络中通过23端口连接进行命令行入侵)
- (……待补充,后续更新)
防御方式一:开始——运行——输入services.msc——停止并禁用telnet服务(即对于一般PC来说如果不常用到远程命令行管理,可直接进行服务端口关闭)(win2008及更高版本系统默认关闭此端口服务,如需开启此服务则参看 win2008开启telnet服务 与 win10开启telnet服务)
防御方式二:(……待补充,后续更新)
SMB协议安全
端口号:445
服务功能:文件共享服务
服务开启/关闭方式:开始——运行——输入services.msc——启用/停止server服务
存在安全隐患:
- 445端口开启,IPC$空链接被获取,进行木马植入(详细入侵模拟过程后续更新)
- (……待补充,后续更新)
防御方式一:关闭445端口(即对于一般PC来说如果不常用到文件共享服务功能,可直接进行服务端口关闭)开始——运行——输入services.msc——停止并禁用server服务
防御方式二:配置高级安全防火墙入站规则(针对win7、win2008及以上的系统)(具体操作后续更新)
防御方式三:(……待补充,后续更新)
DHCP协议安全
端口号:67/68
服务功能:自动为客户机分配IP地址
服务开启/关闭方式:安装并启用/停止DHCP服务软件
DHCP原理:(也称为DHCP租约过程,分为4个步骤)
- 客户机发送DHCP Discovery广播包,即客户机广播请求IP地址(广播包内包含客户机的mac地址)
- 服务器响应DHCP Offer广播包,即DHCP服务器收到客户机的DIscovery广播包后,广播DHCP Offer包进行响应(其中包括提供DHCP客户机的IP地址和相关配置信息)
- 客户机发送DHCP Request广播包,即客户机收到DHCP Offer包后如果接受DHCP服务器所提供的相关参数,则通过广播DHCP Request包向DHCP服务器请求提供IP地址
- 服务器发送DHCP ACK广播包,即服务器确定了租约,并提供网卡详细参数IP、掩码、网关、DNS、租期等
部署DHCP服务器步骤:
- 手动配置服务器静态IP地址
- 安装DHCP服务软件,打开端口
- 新建作用域地址池及作用域选项
- 激活作用域
存在安全隐患:
- 地址池耗尽攻击,使用kali频繁发送伪装DHCP请求,直至将DHCP地址池资源耗尽
- 伪装DHCP攻击,骇客通过将自己部署为DHCP服务器,为客户机提供非法ip地址
- (……待补充,后续更新)
防御方式一:针对地址池耗尽攻击,在交换机(管理型)的端口上做动态MAC地址绑定
防御方式二:针对伪装DHCP攻击,在交换机(管理型)上,除合法的DHCP服务器所在接口外,全部设置为禁止发送DHCP offer包
防御方式三:(……待补充,后续更新)
DNS协议安全
端口号:53
服务功能:域名解析服务
服务开启/关闭方式:安装并启用/停止DNS服务软件
域名组成:
DNS服务器部署过程:
- 手动配置服务器静态IP地址
- 安装DNS服务软件,打开端口
- 创建区域文件(负责一个域名后缀的解析,一台DNS服务器内可存放多个区域文件)
DNS服务器处理域名请求顺序
- DNS高速缓存
- DNS区域配置文件
- DNS转发器
- 根提示
客户机域名请求解析顺序
- DNS缓存
- 本地hosts文件(hosts文件路径:C:\windows\system32\drivers\etc\hosts)(win7之后的系统若要修改hosts文件,需要给自己添加NTFS权限才可以修改)
- 本地DNS服务器
存在安全隐患:
- 伪装DNS攻击,骇客通过将自己部署为DNS服务器,为客户机提供非法地址
- (……待补充,后续更新)
防御方式一:(……待补充,后续更新)
持续更新中……
我是桐小白,一个摸爬滚打的计算机小白