0779hjj
发表于 2004-12-9 21:32:39
1、ros每一分钟自动通过 UDP:5678端口向255.255.255.255:5678发(广播)一个UDP数据包。注:MikroTik Neighbor Viewer这个程序运行之后也是开UDP:5678端口,它是通过UDP:5678端口接收ros发出的数据包来获得ros网卡MAC Address、IP Address、Identity、Version、Platform、Unpacking等信息的。如果加入以下规则----------------------------------------------------------------------ip firewall rule outputadd src-address=:5678 protocol=udp action=drop comment="" disabled=no----------------------------------------------------------------------则MikroTik Neighbor Viewer这个程序就不能找到ros的信息。Neighbor Viewer程序点击“Refresh”按钮时,也是向255.255.255.255发(广播)出一个数据包(本人抓取看过这个数据包,只有96个字节,没有包含KEY在里面)。2、用terminal.exe这个程序通过ROS的网卡MAC Addrss登录ROS控制台时,使用了UDP:20561端口,只要网卡是启用的,总是能成功登录ROS,而不管防火墙是否有这个规则:----------------------------------------------ip firewall rule inputadd src-address=:20561 protocol=udp action=drop----------------------------------------------
心想事成
发表于 2004-12-9 21:39:58
好文,我以前抓包的时候也注意到了.routeros一定在系统中留了后门的,不过我不相信它的后门会留在iptables中,所以用iptables来封应该是有用的。
lzbnet
发表于 2004-12-9 21:41:39
难道OS就是这样检测D版的?
zyling
发表于 2004-12-9 22:54:56
看来真的可能存在后门了
hyh0826
发表于 2004-12-10 00:14:37
QUOTE (wsgtrsys @ Dec 9 2004, 09:39 PM)
好文,我以前抓包的时候也注意到了.routeros一定在系统中留了后门的,不过我不相信它的后门会留在iptables中,所以用iptables来封应该是有用的。
呵呵~!那应该怎么应付呢?老大!求解~!
sblive
发表于 2004-12-10 01:21:38
楼主,你还记得一个工具么?就是有时设防火墙时误关了所有端口以致WINBOX连不了,官方有个程序可以根据网卡来判断是否运行了ROS,即使关掉所有有用的端口用这个工具依然可以进入ROS中。。。以前论坛发过的。可能就是你所说的发的数据包来判断的吧。
0779hjj
发表于 2004-12-10 08:43:45
QUOTE (sblive @ Dec 10 2004, 01:21 AM)
楼主,你还记得一个工具么?就是有时设防火墙时误关了所有端口以致WINBOX连不了,官方有个程序可以根据网卡来判断是否运行了ROS,即使关掉所有有用的端口用这个工具依然可以进入ROS中。。。以前论坛发过的。可能就是你所说的发的数据包来判断的吧。
对!就是上面的两个东西。
bow
发表于 2004-12-10 09:11:50
这个广播只能在ISP局端的一个交换机上好使.我的机器上通过Neighbor 能看到一个ROS和一台Cisco交换机.所以用这个检查盗版很难.
rainy
发表于 2004-12-10 10:49:48
好文,顶ROS是基于Linux的,后门一定是利用 Iptables 或 Ipchains 实现的
zyling
发表于 2004-12-10 11:08:52
继续顶, 大家还有什么发现啊?
alexhj
发表于 2004-12-10 12:37:36
广播是过不了路由器的,不会是这种方法的
lgl7078
发表于 2004-12-10 12:57:10
他利用的广播类似cisco的cdp
rainy
发表于 2004-12-11 13:40:15
顶上来,不要沉哦
kantona
发表于 2004-12-11 15:57:29
如果是这样的话,我们只要找到那个所谓的后门端口就可以把它封掉了,是不是这个意思啊,但我觉得他们应该不会没有想到这个问题把/
zhanghui
发表于 2004-12-11 20:38:19
你telnet 你的routeros的3987端口看看,随时可以连上。或者有隐藏的管理员,呵呵。