| 端口说明及389端口的利用方法 |
| [ 作者:佚名 转贴自:网络转载 阅读次数:27 更新时间:2007-8-2 13:59:00 录入:刘光勇 ] 热 |
|
|
|
一 ,首先,我们将你的问题一分为三:端口,389端口,389端口的利用。 )L�d��i^�b
有人曾经把服务器比作房子,而把端口比作通向不同房间(服务)的门,如果不考虑细节的话,这是 �)���n2P�L
一个不错的比喻。入侵者要占领这间房子,势必要破门而入(物理入侵另说),那么对于入侵者来说, ���?,~ZZp�
了解房子开了几扇门,都是什么样的门,门后面有什么东西就显得至关重要。入侵者通常会用扫描器对 Sl<�~67(![
目标主机的端口进行扫描,以确定哪些端口是开放的,从开放的端口,入侵者可以知道目标主机大致提 7�#:�qtT N
供了哪些服务,进而猜测可能存在的漏洞,因此对端口的扫描可以帮助我们更好的了解目标主机,而对 LNB�{�\K-b
于管理员,扫描本机的开放端口也是做好安全防范的第一步。端口分为两种,一种是TCP端口,一种是 .|{\^6IY<F
UDP端口。计算机之间相互通信的时候,分为两种方式:一种是发送信息以后,可以确认信息是否到达, h,wn '.I~�
也就是有应答的方式,这种方式大多采用TCP协议;一种是发送以后就不管了,不去确认信息是否到达, 2@)q[K�c�o
这种方式大多采用UDP协议。对应这两种协议的服务提供的端口,也就分为TCP端口和UDP端口。 )(A}-"3uo�
查看端口:在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令:依次点击“开始 �c�? 5l�+`
→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”, RqMrHc�`y�
按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。 �[#B�\A� N
a�~s�W'S!/
二 ,其次,我们来谈谈389端口。389端口简单的定义:端口:389 服务:LDAP、ILS 说明:轻型目录访问 �6T/>t1zE?
协议 和 NetMeeting Internet Locator Server 共用这一端口。那么如何理解呢? ���B7>� ��
1,轻量级目录访问协议LDAP �dl--5 ��
Lightweight Directory Access Protocol (LDAP)是一种可让任何人找到网络中的组织,个人或档案 &N}D wUwkj
或装置等其它资源的一种软件协议,不论是公共因特网或企业内网络。顾名思义,LDAP是 ( "��;2��;[:
程序代码较少smaller amount of code) 版本的DAP(Directory Access Protocol),DAP是网络目录服 H>fMJl qE
务标准X.500的一部分。LDAP因不包含安全措施而使程序代码比较少。 ov����NW_$
{LDAP由美国密西根大学所发明,目前已有40家公司采用,如Netscape已将之包含在最新版的 �j V~<$?-
Communicator 套装产品中,它也被微软加入Outlook Express等产品一项名为「Active Directory」中 `�k\pO�)H(
。 ��A�r4rf��
Novell的 NetWare Directory Services 可与LDAP兼容,Cisco 的网络产品也支持。 在网络中,目录可 :�;���jRGo
协助寻找特定对象的位置。在TCP/IP网络(including the Internet)中相对于特定网络位置的网名,构 : jbCZ�F�
成的是目录系统称为网域名称系统(DNS)。LDAP可帮助寻找到个人,即使其位置并不清楚。 LDAP是一 c��~oI�kvr
个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用,不过根据组织者的 5��p��e3 �
需要,它可以做得更加强大。如何理解轻量级目录协议呢,这里有几个很重要的概念----dn :一条记录 @??(1y�`81
的位置 dc :一条记录所属区域 ou :一条记录所属组织 cn/uid:一条记录的名字/ID 。你完全可以把 -�2=s�(`yl
它理解为数据库,不过数据库用表来储存数据,它用树! LDAP最基本的形式是一个连接数据库的标准方 .1T9��C=��
式。该数据库为读查询作了优化。因此它可以很快地得到查询结果,不过在其它方面,例如更新,就慢 z/Id�S4*U
得多。要特别注意的是,LDAP通常作为一个hierarchal数据库使用,而不是一个关系数据库。因此,它 �r\�,m�nf;
的结构用树来表示比用表格好。正因为这样,就不能用SQL语句了。 K/pNQ�Joh|
简单说来,LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。 LDAP的目录,为一层层 EGO?CEY~�r
分支出去的树形图,从根目录下,细分国家、地区、组织、小组织及个人。整个目录分布在许多服务器 Xw)&�hq���
中,每个服务器都复制了一个整体分支图,定期同步化数据。一个LDAP服务器被称作Directory System $�` xwQx�
Agent (DSA即是--目录系统代理) ,由使用者处接受到要求指令,并在必要时传给其它DSA,并确保有单 �s c&EbcS
一服务器可真正执行任务。系统服务DFS(分布式文件系统)和LSASS(Local Security Authority 本地 Y�.R�o�%�
安全机构,lsass.exe进程为系统进程,提供本地安全权限服务,不可结束,可被利用,比如震荡波病毒 �p�f�Q+9m
)各自所使用的众多协议中都包括了LDAP这个协议。 Fz�n�"Cbx:
应用程序协议 协议 端口 QOtAvJ-�%
LDAP Server TCP 389 )_.ar/q�D�
LDAP Server UDP 389 S?-<�8VY�N
2,Internet 定位服务器(ILS) The Microsoft Internet 定位服务器(ILS),过去的名称为 ULS,为 �h�? x|`%H
NetMeeting 2.0 的目录服务提供了 LDAP(轻量级目录访问协议)接口。您可以从 NetMeeting 2.0 或 <M}=UA�{xu
Web 页查看 ILS 目录,也可以浏览当前正在使用 NetMeeting 2.0 的用户名单。以后,您可以选择与名 G%W�& g>�
单中所列的一个或多个用户连接,也可以通过输入其他用户的位置信息选择与他们连接。另外,您还可 \~ r�3��o
以访问 ILS 以及执行一些服务器的任务,如登录和注销、创建可用用户目录列表等。LDAP 标准将确保 �bwy$V<�cD
NetMeeting 在未来仍可与兼容的服务器互操作。 NetMeeting 可检测到服务器是否可用,并在无用户介 &.�o5v�zE�
入的情况下自动从后台登录。如果终止连接后再次要求登录,NetMeeting 将自动登录到指定的 ILS 上 i�7>�p.a}�
。您在安装最新的中文netmeeting 3.01版本之前卸载以前的 Microsoft NetMeeting 测试版。然后要在 �e,��M_1!<
windows NT 服务器上建立 Internet 定位服务器(ILS) 。The Microsoft Internet 定位服务器(ILS), �waS��r3A�
以前的名称为 ULS,为 NetMeeting 的目录服务提供了 LDAP(轻量级目录访问协议)接口。您可以从 #�nNQ�29\}
NetMeeting 2.0 或 Web 页查看 ILS 目录,也可以浏览当前正在使用 NetMeeting 的用户名单。以后, |�V�"~T:�,
您可以选择与名单中所列的一个或多个用户连接,也可以通过输入其他用户的位置信息选择与他们连接 0N��az-� C
。另外,您还可以访问 ILS 以及执行一些服务器的任务,如登录和注销、创建可用用户目录列表等。 0\V�"�c�Gu
LDAP 标准将确保 NetMeeting 在未来仍可与兼容的服务器互操作。 这个程序可以从微软中国下载站上 n�yr0zg��p
找到,ILS 2.0 for X86版(文件名为ILS20-x86.exe,x86指在intel CPU的系列芯片),ILS要求系统的 ,_2�� d^T3
最小配置为486以上机型,NT server 4.0、service pack 1、internet information sever 3.0以上, $��i4T<d4m
内存最小为16M,推荐32M。在NT下运行ILS20-x86.exe,安装很简单。不过安装完毕后,系统报告出错。 � t�� J3�
用事件查看器看了一下,报告是LDAP服务没有启动,强行启动不成功。将NT重新启动了一遍,就一切OK了 m�3b6TH;w"
。ILS的设定是在internet服务管理器中对LDAP项进行设定,不过一般用户没有什么设的,用默认值即可 p?�`Y�NQu
。如果对服务要求比较高,可以参照附带的帮助文档进行高级设置(都是英文的,稍微麻烦了一些)。 ^$=L\sCMKo
uO��;>rG`
三,如何利用389端口? DCF*!t 6��
LDAP存在较大安全性威胁,因为LDAP是一个类似于DNS, NIS的关于目录服务的网络协议,它会受到来自 `UXUNtTd�&
网络上的恶意攻击和篡改.另外,目录服务器也可能遭到物理或远程攻击的破坏,所以对LDAP服务器的安全 IR47 �oU)~
性威胁基本上可以分为两种类型:针对非目录服务的威胁和针对目录服务的威胁。 W�.6�1�Ecl
(一)非目录服务的威胁: Evnu�MW)G
1.对LDAP服务器进行网络攻击,包括对服务器的操作系统,公开端口,主机上运行的进程与服务予以攻 V�8b_p�Kp*
击来破坏资源的可用性,如利用病毒,worms,木马程序等等进行的攻击; ]0HA(Tmzx+
2.通过物理访问操作系统,文件和目录或周边设备等等来攻击主机,这种攻击将会影响到资源的可用性 CubN.vb�H_
,完整性和机密性; [/@��@M7Zm
3.对提供目录服务的后端数据库进行攻击。 �/w�:6�"uo
(二)针对目录服务的威胁: ��1�YRivvb
1.通过数据获取(data-fetching)操作非授权存取数据; +���Pbm *T
2.通过监听(monitoring)其他的访问(通道)非授权的存取可再用的客户(身份)证明信息; �@__�_F��b
3.通过监听其他的访问(通道)非授权存取数据; r�4���m=1I
4.未经授权的数据修改; ��nSF<>,�S
5.未经授权的配置修改; h0G:nRS��~
6.未经授权的或者过分的资源使用(拒绝服务); _�[=_WrBZ�
7.目录的电子欺骗:欺骗客户(client)相信来自一目录服务上的虚假信息,在转接时修改数据或错误 \bG;�O�6O�
指引客户的连接等等。 kQo�FyP~.V
LDAP注射(Injection)的概念类似于SQL注射,与SQL注射不同的是它攻击的目标是活动目录(Active awP |:3t9
Directory)或者任何LDAP服务器。这个思路是恶意用户在LDAP查询中注射不被信任的数据。 Gen]Vm,�%W
防御方法:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP I7c>8# :g7
服务器放入DMZ。 #�B T �I6W
笔者的简单介绍就到这里。
|
|
|
|
下载中心
先飞电脑技术网 →
技术文章 → 网络技术 → 组网建网
版权声明:本站提供的“端口说明及389端口的利用方法”版权归文章所有者,转载请注明出处!
