找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 13118|回复: 27

[其它] ☆☆☆ROS使用报告两点☆☆☆

[复制链接]
发表于 2004-12-9 21:32:39 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
1、ros每一分钟自动通过 UDP:5678端口向255.255.255.255:5678发(广播)一个UDP数据包。注:MikroTik Neighbor Viewer这个程序运行之后也是开UDP:5678端口,它是通过UDP:5678端口接收ROS发出的数据包来获得ros网卡MAC Address、IP Address、Identity、Version、Platform、Unpacking等信息的。如果加入以下规则----------------------------------------------------------------------ip firewall rule outputadd src-address=:5678 protocol=udp action=drop comment="" disabled=no----------------------------------------------------------------------则MikroTik Neighbor Viewer这个程序就不能找到ros的信息。Neighbor Viewer程序点击“Refresh”按钮时,也是向255.255.255.255发(广播)出一个数据包(本人抓取看过这个数据包,只有96个字节,没有包含KEY在里面)。2、用terminal.exe这个程序通过ROS的网卡MAC Addrss登录ROS控制台时,使用了UDP:20561端口,只要网卡是启用的,总是能成功登录ROS,而不管防火墙是否有这个规则:----------------------------------------------ip firewall rule inputadd src-address=:20561 protocol=udp action=drop----------------------------------------------
routeros
发表于 2004-12-9 21:39:58 | 显示全部楼层
好文,我以前抓包的时候也注意到了.routeros一定在系统中留了后门的,不过我不相信它的后门会留在iptables中,所以用iptables来封应该是有用的。
routeros
回复

使用道具 举报

发表于 2004-12-9 21:41:39 | 显示全部楼层
难道OS就是这样检测D版的?
routeros
回复

使用道具 举报

发表于 2004-12-9 22:54:56 | 显示全部楼层
看来真的可能存在后门了
routeros
回复

使用道具 举报

发表于 2004-12-10 00:14:37 | 显示全部楼层
QUOTE (wsgtrsys @ Dec 9 2004, 09:39 PM)
好文,我以前抓包的时候也注意到了.routeros一定在系统中留了后门的,不过我不相信它的后门会留在iptables中,所以用iptables来封应该是有用的。  
  呵呵~!那应该怎么应付呢?老大!求解~!
routeros
回复

使用道具 举报

发表于 2004-12-10 01:21:38 | 显示全部楼层
楼主,你还记得一个工具么?就是有时设防火墙时误关了所有端口以致WINBOX连不了,官方有个程序可以根据网卡来判断是否运行了ROS,即使关掉所有有用的端口用这个工具依然可以进入ROS中。。。以前论坛发过的。可能就是你所说的发的数据包来判断的吧。
routeros
回复

使用道具 举报

 楼主| 发表于 2004-12-10 08:43:45 | 显示全部楼层
QUOTE (sblive @ Dec 10 2004, 01:21 AM)
楼主,你还记得一个工具么?就是有时设防火墙时误关了所有端口以致WINBOX连不了,官方有个程序可以根据网卡来判断是否运行了ROS,即使关掉所有有用的端口用这个工具依然可以进入ROS中。。。以前论坛发过的。可能就是你所说的发的数据包来判断的吧。  
  对!就是上面的两个东西。
routeros
回复

使用道具 举报

发表于 2004-12-10 09:11:50 | 显示全部楼层
这个广播只能在ISP局端的一个交换机上好使.我的机器上通过Neighbor 能看到一个ROS和一台Cisco交换机.所以用这个检查盗版很难.
routeros
回复

使用道具 举报

发表于 2004-12-10 10:49:48 | 显示全部楼层
好文,顶ROS是基于Linux的,后门一定是利用 Iptables 或 Ipchains 实现的
routeros
回复

使用道具 举报

发表于 2004-12-10 11:08:52 | 显示全部楼层
继续顶, 大家还有什么发现啊?
routeros
回复

使用道具 举报

发表于 2004-12-10 12:37:36 | 显示全部楼层
广播是过不了路由器的,不会是这种方法的
routeros
回复

使用道具 举报

发表于 2004-12-10 12:57:10 | 显示全部楼层
他利用的广播类似cisco的cdp
routeros
回复

使用道具 举报

发表于 2004-12-11 13:40:15 | 显示全部楼层
顶上来,不要沉哦
routeros
回复

使用道具 举报

发表于 2004-12-11 15:57:29 | 显示全部楼层
如果是这样的话,我们只要找到那个所谓的后门端口就可以把它封掉了,是不是这个意思啊,但我觉得他们应该不会没有想到这个问题把/
routeros
回复

使用道具 举报

发表于 2004-12-11 20:38:19 | 显示全部楼层
你telnet 你的routeros的3987端口看看,随时可以连上。或者有隐藏的管理员,呵呵。
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-22 16:30 , Processed in 0.116133 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表