☆☆☆ROS使用报告两点☆☆☆

0779hjj

1、ros每一分钟自动通过 UDP：5678端口向255.255.255.255:5678发(广播)一个UDP数据包。注：MikroTik Neighbor Viewer这个程序运行之后也是开UDP：5678端口，它是通过UDP：5678端口接收ROS发出的数据包来获得ros网卡MAC Address、IP Address、Identity、Version、Platform、Unpacking等信息的。如果加入以下规则----------------------------------------------------------------------ip firewall rule outputadd src-address=:5678 protocol=udp action=drop comment="" disabled=no----------------------------------------------------------------------则MikroTik Neighbor Viewer这个程序就不能找到ros的信息。Neighbor Viewer程序点击“Refresh”按钮时，也是向255.255.255.255发(广播)出一个数据包(本人抓取看过这个数据包，只有96个字节，没有包含KEY在里面)。2、用terminal.exe这个程序通过ROS的网卡MAC Addrss登录ROS控制台时，使用了UDP：20561端口，只要网卡是启用的，总是能成功登录ROS，而不管防火墙是否有这个规则：----------------------------------------------ip firewall rule inputadd src-address=:20561 protocol=udp action=drop----------------------------------------------

心想事成

好文，我以前抓包的时候也注意到了.routeros一定在系统中留了后门的，不过我不相信它的后门会留在iptables中，所以用iptables来封应该是有用的。

lzbnet

难道OS就是这样检测D版的?

zyling

看来真的可能存在后门了

hyh0826

QUOTE (wsgtrsys @ Dec 9 2004, 09:39 PM)
好文，我以前抓包的时候也注意到了.routeros一定在系统中留了后门的，不过我不相信它的后门会留在iptables中，所以用iptables来封应该是有用的。  
  呵呵~！那应该怎么应付呢？老大！求解~！

sblive

楼主，你还记得一个工具么？就是有时设防火墙时误关了所有端口以致WINBOX连不了，官方有个程序可以根据网卡来判断是否运行了ROS，即使关掉所有有用的端口用这个工具依然可以进入ROS中。。。以前论坛发过的。可能就是你所说的发的数据包来判断的吧。

0779hjj

QUOTE (sblive @ Dec 10 2004, 01:21 AM)
楼主，你还记得一个工具么？就是有时设防火墙时误关了所有端口以致WINBOX连不了，官方有个程序可以根据网卡来判断是否运行了ROS，即使关掉所有有用的端口用这个工具依然可以进入ROS中。。。以前论坛发过的。可能就是你所说的发的数据包来判断的吧。  
  对！就是上面的两个东西。

bow

这个广播只能在ISP局端的一个交换机上好使.我的机器上通过Neighbor 能看到一个ROS和一台Cisco交换机.所以用这个检查盗版很难.

rainy

好文，顶ROS是基于Linux的，后门一定是利用 Iptables 或 Ipchains 实现的

zyling

继续顶, 大家还有什么发现啊?

alexhj

广播是过不了路由器的，不会是这种方法的

lgl7078

他利用的广播类似cisco的cdp

rainy

顶上来，不要沉哦

kantona

如果是这样的话，我们只要找到那个所谓的后门端口就可以把它封掉了，是不是这个意思啊，但我觉得他们应该不会没有想到这个问题把/

zhanghui

你telnet 你的routeros的3987端口看看，随时可以连上。或者有隐藏的管理员，呵呵。