扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 来源:ZDNet网络安全 2007年12月19日
关键字: telnet命令 opentelnet linux telnet telnet入侵 telnet telnet端口
如果有人吃疯了,以行输入模式登录,口令明文就在单包中,用户名在另一单包中,更容易恢复出来。作为上述Trigger设置却要失效了。Cterm登录的时候用的应该就是行输入模式。此时一个办法就是不用Trigger,直接抓包看就可以了。如果要指定Trigger,应该修改开始触发规则和持续抓包规则,结束触发规则不必修改。持续抓包规则就设置成telnet协议报文即可,因为用户名和口令明文到底多长不清楚,即使还做数据区长度限制,也应该换成 58 从客户机到服务器,这样的包在login提示符出现前只有一个,是个telnet协商报文,也比较靠近login提示符出现的时候,干扰信息较少,我暂时没有更好的想法来设置开始触发规则。
修正后的Trigger既可以对付单字符输入模式登录,也可以对付行输入模式登录,不过在对付单字符输入模式登录的时候没有前一个Trigger好,干扰信息稍微多了几个。
这里介绍的Trigger不是最好的,仅仅是演示效果。大家可以发挥自己的想象力设置高效实用的Trigger(我憎恨Trigger,回去睡觉,2001-04-15 07:56)。
下午过来时想到,开始触发规则可以用clientIp <-- serverIp,服务器始终会给客户机一个"login:"提示,可以用它做开始触发。对于登录Solaris和Linux有所不同,需要分别抓包确认其中区别,比如Solaris提示"login:"之后还有一些协商过程,而Linux没有。输入口令错误,第二次提示"login:"的报文就和Linux一样了,也是65个字节(包括CRC)。提示"login:"的时候,如果连续两次回车,服务器给客户机的提示报文又有不同。根据具体情况抓包分析,按照某种原则选择合适的报文,设置开始触发规则。显然没有一劳永逸、放之四海皆准的触发规则。
对于结束触发规则,如果服务器上用户主目录$HOME下有一个.hushlogin文件存在,则服务器回显客户机的时候,没有"Last login:"信息,顶多是登录shell的显示(也就几个字节),此时前面设置的结束触发规则失效。演示举例中不考虑这些非普遍现象,真要对付所有情况,应该自己写程序做内容过滤,确定各种触发条件。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。