第五章 Telnet服务器安全.ppt

Telnet服务器安全 1. 什么是远程登录 以前，很少有人买得起计算机，更甭说买功能强大的计算机了。所以那时的人采用一种叫做Telnet的方式来访问Internet： 也就是把自己的低性能计算机连接到远程性能好的大型计算机上，一旦连接上，他们的计算机就仿佛是这些远程大型计算机上的一个终端，自己就仿佛坐在远程大型机的屏幕前一样输入命令，运行大机器中的程序。人们把这种将自己的电脑连接到远程计算机的操作方式叫做“登录”，称这种登录的技术为Telnet（远程登录）。 2 今天的Telnet Telnet已经越用越少了。主要有如下三方面原因： 第一，个人计算机的性能越来越强，致使在别人的计算机中运行程序要求逐渐减弱。 第二，Telnet服务器的安全性欠佳，因为它允许他人访问其操作系统和文件。 第三，Telnet使用起来不是很容易，特别是对初学者。 Telnet的工作原理 当你用Telnet登录进入远程计算机系统时，你事实上启动了两个程序，一个叫Telnet客户程序，它运行在你的本地机上，另一个叫Telnet服务器程序，它运行在你要登录的远程计算机上，本地机上的客户程序要完成如下功能： 1) 建立与服务器的TCP联接。 2) 从键盘上接收你输入的字符。 3) 把你输入的字符串变成标准格式并送给远程服务器。 4) 从远程服务器接收输出的信息。 5) 把该信息显示在你的屏幕上。 远程计算机的“服务”程序通常被称为“精灵”，它平时不声不响地候在远程计算机上，一接到你的请求，它马上活跃起来，并完成如下功能： 1) 通知你的计算机，远程计算机已经准备好了。 2) 等候你输入命令。 3) 对你的命令作出反应（如显示目录内容，或执行某个程序等）。 4) 把执行命令的结果送回给你的计算机。 5) 重新等候你的命令。 4 黑客的最爱 当终端服务这个基于图形界面访问的服务推出之后，现在已经很少有人利用Telnet服务进行远程访问和远程办公了。但是Telnet服务却摇身一变成为了黑客的最爱。据统计，被黑客利用得最多的一个系统服务，就是Telnet服务。 黑客为什么不喜欢使用同样基于远程访问，并且更加方便直观的终端服务，而偏爱Telnet服务呢?难道因为黑客就喜欢在黑乎乎的命令窗口中操作吗? 因为使用Telnet服务进行远程控制更加隐蔽，对系统的资源消耗也非常小，并且只需要一个命令即可开启和关闭它。所以对于网络安全来讲Telnet服务是一个非常危险的服务。 4 使用telnet能干什么 Telnet是控制主机的第一手段 如果 入侵 者想要在远程主机上执行命令，需要建立IPC$连接，然后使用net time命令查看系统时间，最后使用at命令建立计划任务才能完成远程执行命令。虽然这种方法能够远程执行命令，但相比之下， Telnet方式对 入侵 者而言则会方便得多。 入侵 者一旦与远程主机建立Telnet连接，就可以像控制本地 计算机 一样来控制远程 计算机 。可见，Telnet方式是 入侵 者惯于使用的远程控制方式，当他们千方百计得到远程主机的管理员权限后，一般都会使用Telnet方式进行登录。 用来做跳板 入侵 者把用来隐身的肉鸡称之为“跳板”，他们经常用这种方法，从一个“肉鸡”登录到另一个“肉鸡”，这样在 入侵 过程中就不会暴露自己的IP地址 5 删除Telnet服务 Telnet服务使用Telnet协议传输，在系统中使用的默认端口为TCP23端口。由于Telnet协议是集成在TCP/IP协议中的，所以我们无法使用删除协议的办法来禁止Telnet服务。 6 Telnet的攻 1.开启Telnet服务 要想利用系统当中的Telnet服务必须先开启Telnet服务，因为在默认情况下Telnet服务是被系统所禁止的。所以当黑客使用缓冲溢出，IPC等方法拿到远程主机的Shell之后，必须开启Telnet服务。 6.2 Telnet的攻 2.利用Telnet服务 　　那么是不是启动了Telnet服务，黑客就可以利用Telnet服务连接到远程主机中去了呢?在命令行窗口中键入“telnet IP”命令，如telnet 192.168.0.3，这时命令行窗口会出现 6.2 Telnet的攻 NTLM验证： 因为用户没有通过远程主机的NTLM验证。正是利用NTLM这个基于WorkGroup网络当中的身份验证协议，使得黑客不能轻易地利用到Telnet服务，这时即使黑客知道了Telnet服务器的管理员用户名和密码，他仍然通不过NTLM验证，这无疑给系统带给了一定的安全性。 6.3 突破NTLM验证 黑客知道了Telnet服务器上的一个管理员组的用户名和密码(如用户名为xiewei,密码为12345)， 那么黑客可以在自己的系统中建