In che modo gli hacker sfruttano le porte aperte come vettore per un attacco?

16

È una conoscenza diffusa, e quindi una pratica comune, chiudere porte aperte su qualsiasi macchina connessa a Internet.

Se, ad esempio, un tipico programma usa la porta xyz come canale di comunicazione, e c'è una vulnerabilità in quel programma, che potrebbe essere sfruttata attraverso quella porta, perché lo stesso attacco non avrà successo attraverso, diciamo, porta 80?

Dato che il nostro pseudo programma utilizza la porta 888 TCP e ha una vulnerabilità che potrebbe essere sfruttata, perché non è possibile sfruttare tale vulnerabilità tramite la porta 80 TCP (che è HTTP ed è aperta su quasi tutte le macchine)?

La porta 80 sul server web sta ascoltando solo un tipo UNICO di pacchetti TCP? Accetta solo un certo tipo di pacchetto?

Perché un hacker non può provare a creare un pacchetto TCP con una stringa dannosa, incapsularlo all'interno del pacchetto HTTP e quindi attaccare il server web?

    
posta Franko 16.01.2012 - 23:04
fonte

2 risposte

11

I servizi ascoltano le porte. I server Web (un servizio) ascoltano la porta 80, ma questo è solo uno standard, non una regola difficile. È possibile configurare qualsiasi servizio per l'ascolto su qualsiasi porta. Non si tratta di "pacchetti speciali", si tratta di "comporre il numero di porta giusto" per ottenere il servizio desiderato.

Se il tuo pseudo programma presenta una vulnerabilità, può essere attaccato sulla porta a cui è assegnato . Non puoi attaccare un programma su porte che non sta ascoltando. Se provi ad attaccarlo su un'altra porta (come la porta 80 nell'esempio), il tuo programma non verrà raggiunto.

La tua ultima domanda, quindi, è un po 'strana: "Perché un hacker non può provare a creare un pacchetto TCP con una stringa dannosa, incapsularlo all'interno del pacchetto HTTP e quindi attaccare il server web?" Questo è ciò che fanno gli hacker. Ma prendono di mira il porto del servizio che vogliono colpire. Ma forse puoi affinare quella domanda sulla base delle informazioni che ho fornito.

Quindi, perché chiudere le porte? Perché desideri ridurre il numero di servizi potenzialmente vulnerabili che esponi a Internet.

    
risposta data 16.01.2012 - 23:21
fonte
5

"Blocco delle porte" è solo un modo approssimativo per affermare ciò che vogliamo veramente fare, il che sta bloccando l'accesso ad alcuni servizi .

Un sistema operativo appena installato spesso ha un certo numero di cose che funzionano automaticamente, alcune delle quali sono servizi che hanno una parte di rete. Qualsiasi vulnerabilità sfruttabile in rete in tale servizio è una potenziale porta di accesso per un utente malintenzionato. Tuttavia, è raramente rilevante che tutti questi servizi siano accessibili a tutti attraverso l'ampia Internet. Ad esempio, per una macchina che dovrebbe essere un server Web, è normale che chiunque sulla Terra possa provare ad accedere al servizio specifico "Web" (questa è la sua funzionalità), ed è normale che sia aperto anche il servizio SSH ( in modo che l'amministratore del server possa amministrare il server); non serve, tuttavia, che i servizi di condivisione file per quel server siano anche ampiamente aperti.

Il blocco dell'accesso a una determinata porta può essere effettuato sul firewall ed è considerato più efficiente dal punto di vista del tempo rispetto al tentativo di convincere il sistema operativo a non eseguire un determinato servizio e ad astenersi dal rilanciarlo o inventare nuovi servizi, in occasione di un aggiornamento software. Quindi è consuetudine bloccare tutte porte tranne quelle che sono note per corrispondere a servizi che dovrebbero essere accessibili in tutto il mondo (ad es. 80 e 22, rispettivamente per Web e SSH).

    
risposta data 16.01.2012 - 23:20
fonte

Leggi altre domande sui tag