骇客攻击:跳板攻击与防御(2)

核心提示： 图三B “肉鸡”跳板主板被临时放置在目标服务器的同一网段 至此问题就比较清楚了：黑客首先占领了这台毫不设防的SUN机，然后上载nc，骇客攻击:跳板攻击与防御(2)(4)，设置端口跳转，攻击Windows 2000服务器的139端口，然后SUN会把对自己2139端口的

图三B “肉鸡”跳板主板被临时放置在目标服务器的同一网段

至此问题就比较清楚了：黑客首先占领了这台毫不设防的SUN机，然后上载nc，设置端口跳转，攻击Windows 2000服务器的139端口，并且成功地拿下了它。还原当时的网络拓扑图应该是这样的，如图三B。

图三C 利用“肉鸡”跳板进行端口跳转

图三C解释了端口跳板是如何起作用的。nc安装后，黑客就会通过定制一些运行参数，在“肉鸡”的后台建立起由“肉鸡”的2139端口到目标计算机的139端口的跳转。这就象是一条虚拟的通道，由“肉鸡”的2139端口通向目标的139端口，任何向“肉鸡”的2139进行的访问都会自动地转发到目标计算机的139端口上去。就是说，访问“肉鸡”的2139端口，就是在访问目标的139端口。反过来，目标计算机的回馈信息也会通过“肉鸡”的通道向黑客计算机返回。

图三D 黑客通过两次跳转绕过防火墙对139端口的阻止

图三D是我们分析后还原的nc端口跳转攻击拓扑图，黑客在这里需要两次端口跳转，第一次是利用自己的linux计算机把对139端口的访问向SUN的2139端口发送，这样就绕过了防火墙对139端口的访问限制。然后SUN会把对自己2139端口的访问发送到攻击最终目标的139端口上。为什么图中的"黑客"计算机不直接访问SUN的2139端口，而需要linux多跳转一次呢？这是由于象net、nbtdump、远程口令猜测等手段都是默认针对139端口而且黑客无法改变的。