我担心的是 msf 上最常见的漏洞之一,即通过缓冲区溢出进行 TCP 反向攻击。我能否通过任何方式停止或管理 TCP 端口以拒绝授予 rhosts 访问权限并避免此类攻击?
答案1
不存在基于反向 TCP 的攻击,反向 TCP 只是攻击者与被攻击主机建立通信通道的方式。
您可以尝试使用出站防火墙规则来最大限度地减少攻击者打开反向连接的机会,从而阻止您的服务器访问他们不需要的端口。即使您的服务器需要打开端口并发布服务,也并不意味着必须对外部世界进行无限制的访问,我建议阻止除 SMTP 之外的所有内容(如果它是邮件服务器),如果您需要 HTTP/HTTPS,请通过代理执行。这将阻止您的服务器打开反向连接以向攻击者的 IP 地址提供远程 shell。此外,大多数入侵防御系统在发现异常出站流量时都会发出警报。
当然最好的是,首先防止被利用的服务受到损害,方法是遵循供应商的强化指南,使用具有运行这些服务所需的最低权限的服务帐户,并保持软件更新。 您在 MSF 中发现的几乎每个漏洞模块在发布时都已由供应商修补。