端口监听

2013-11-16 在tomcat中需要解决响应客户端请求的Socket问题，即接收客户端的请求，Connector作为tomcat中的链接器，管理负责监控网络端口的网络连接器。它是以管理者的身份存在，不涉及具体的网络接口监听，只负责管理监听网络组件，负责组件的所需资源的调配和组件的运行状态控制。作为一个壳，它能管理实现ProtocolHandler接口的网络监听组件，能方便替换网络监听组件。 Connector作为一个tomcat组件的生命周期中应该经历这样一个过程:初始化-启动-停止-销毁.作为Connector，它需要解决一些问题 监听网络端口组件 在带一个参数的构造器中指定监听网络端口组件，传递协议版本或者类名，setProtocol(String)方法负责辨别和之人协议监听网络端口的组件，在构造器中实例化监控网络端口组件。 /** * 指定协议类型 * @param protocol * @throws Exception */ public Connector(String protocol) throws Exception { setProtocol(protocol); // Instantiate protocol handler try { Class clazz = Class.forName(protocolHandlerClassName); this

简介 网络数据包截获分析工具。支持针对网络层、协议、主机、网络或端口的过滤。并提供and、or、not等逻辑语句帮助去除无用的信息。 tcpdump - dump traffic on a network 例子 不指定任何参数 监听第一块网卡上经过的数据包。主机上可能有不止一块网卡，所以经常需要指定网卡。 tcpdump 监听特定网卡 tcpdump -i en0 监听特定主机 例子：监听本机跟主机 182.254.38.55 之间往来的通信包。 备注：出、入的包都会被监听。 tcpdump host 182.254.38.55 特定来源、目标地址的通信 特定来源 tcpdump src host hostname 特定目标地址 tcpdump dst host hostname 如果不指定 src 跟 dst ，那么来源 或者目标 是hostname的通信都会被监听 tcpdump host hostname 特定端口 tcpdump port 3000 监听TCP/UDP 服务器上不同服务分别用了TCP、UDP作为传输层，假如只想监听TCP的数据包 tcpdump tcp 来源主机+端口+TCP 监听来自主机 123.207.116.169 在端口 22 上的TCP数据包 tcpdump tcp port 22 and src host 123.207.116.169

目录 端口复用后门 一. 端口复用 1.1 端口复用场景条件 1.2 类型 1.3 原理 二. HTTP.sys端口复用后门 2.1 简介 2.2 后门配置 2.3 后门连接和使用 2.4 UAC问题 2.5 Hash登录 2.6 防御： 2.7 检测 三. Refer 端口复用后门 一. 端口复用 1.1 端口复用场景条件 server只对外开放指定端口，无法向外进行端口转发 躲避防火墙 内网渗透（当机器在内网，IP端口在外不可直接连接，只是通过出口防火墙向外映射指定端口。可通过端口复用直连内网） 1.2 类型 1.2.1 端口重定向 即本地建立2个套接字sock1、sock2，sock1监听80端口，sock2监听其它端口。当有80的连接时，sock1将接收到的数据进行判断，如果是http数据则处理，如果是其它数据则将其转发到sock2的端口。 1.2.2 端口复用 在本地建立一个监听和本地开放一样的端口如80端口，当有连接来到时，判断是否是自己的数据包，如果是则处理数据，否则不处理，交给源程序。 1.3 原理 端口重定向只是利用了本地环回地址127.0.0.1转发接收外来数据，端口复用只是利用了socket的相关特性。 示例代码： s = socket(AF_INET,SOCK_STREAM,0); setsockopt(s,SOL_SOCKET,SO_REUSEADDR,

问题： 众所周知，同一台机器的同一个端口只可以被一个进程使用，一般用于tcp，或者udp。那一个进程使用同一个端口同时监听tcp、udp请求，是否可以呢？答案：可以。 代码： server 为了同时监听，server使用select进行多路访问控制。 server端代码如下： /* TCP INET use select */ #include<stdio.h> #include<stdlib.h> #include<string.h> #include<errno.h> #include<sys/types.h> #include<sys/socket.h> #include<netinet/in.h> #define LENGTH_OF_LISTEN_QUEUE 20 #define SERVER_PORT 8888 #define MAXLINE 4096 #define MAX_FD_NUM 10 static int init_new_client( int client_fd); static int remove_client( int client_fd); static int get_max_fd( int fd); static int client_fdset[MAX_FD_NUM]; int main( int argc, char ** argv) {

端口转发（Port forwarding），有时被叫做隧道，是安全壳(SSH) 为网络安全通信使用的一种方法。端口转发是转发一个 网络端口 从一个 网络节点 到另一个网络节点的行为，其使一个外部用户从外部经过一个被激活的NAT 路由器 到达一个在私有内部IP地址（局域网内部）上的一个端口。 中文名 端口转发 外文名 Port forwarding 别 名 隧道 用 途 虚拟机与宿主机之间通信时使用 在网吧通过 路由器 或者代理连接到外网，而在内网建立和运行 网络服务器 或FTP服务器是没办法使外网用户直接访问的，通过在路由上的NAT开启建立相应端口转发的映射，你可以指示路由器转发对某一特定网端口（如80 ，为网络服务器或21为FTP服务器） 所有的信息为本地网络。 这意味着，如果一个外部 主机 试图通过HTTP访问外网的IP加相应端口，就可访问到相应的内网建立的服务器。 外部访问此服务器的用户并不知道服务器是处于内部网络上的。 这种方法被广泛应用于网吧或通过NAT 共享上网 在内网建立服务器的用户。公安 监控系统 即通过此方法来监控网吧数据的。 转发端口，比用其它方法更安全更易用， 企业内部可能有很多专业化的服务，比如 ERP 系统，监控系统， OA 系统， CRM 等等，用户不需要移植或者更新现有的服务而单独申请专用的外部IP地址,只需要简单的配置一下 网关 路由 的端口转发功能