注册
登录
| 关键词: 端口 服务器 软件 密码 随机 TeamViewer 联网 路由器 原理 风险 |
TeamViewer被入侵,存在安全风险,建议停用。 近期江苏网警在微博上发布公告,深圳市也发布了相关通报,通报表示境外黑客组织APT41对远程控制软件TeamViewer 实施了网络攻击,并已成功地拿下了软件的管理后台。据此对相关单位发布风险提示,要求做好网络安全防护,近期停用该软件。 知己知彼百战不殆,我们来了解一下软件的工作原理。安装软件后,打开运行,软件先解析TeamViewer官方域名,得到服务器的IP地址后连接到服务器,通过路由器里面的主机监控,可以看到服务器遍布各国,国内也有。而后软件连接到服务器获得一个ID(相当于主机编号,全球唯一,通过这个ID可以连接到主机),还有一个随机密码。  分析联网及客户端控制原理。 软件解析到服务器IP并联网后,获取到服务器分配的ID和随机密码,随机密码可以手动重置。其他人获取到ID,就可以通过软件连接到你的客户端,通过密码验证后连接成功即可控制电脑。由此可见,ID和随机密码非常重要,这次网络入侵事件,猜测是通过入侵服务器获取到了ID和随机密码,或者是有高级权限直接通过ID即可连接,具体情况没有披露不得而知。 昨天通过相关资料,写文章介绍了,如果通过路由器防火墙规则,封堵端口,保护网络安全。今天测试了一下,仅仅封堵端口5938软件还可以联网(连接端口自动换成其他端口了),获取到ID和随机密码,看似还能正常工作。  针对性彻底封堵外网入侵风险。 既然了解了软件的工作原理,我们从根源彻底封堵其联网,通过DNS过滤禁止路由器解析TeamViewer,这样软件获取不到服务器IP,也就不能连接到服务器获取ID了。另外研究还发现,软件连接到服务器是通过443端口加密传输的,而各种https网站访问请求都是通过该端口,显然不能封堵该端口,因此只能是封堵软件连接服务器。这样软件虽然不能获取ID,但是还可以在局域网使用。  综上,TeamViewer工作原理是先解析域名获得服务器IP,然后通过443端口加密访问服务器,服务器给客户端分配ID和随机密码。软件常用端口5938,端口不通或被占用时自动更换为其他端口,因此仅仅通过封堵5938端口不能防止入侵风险。 由于443端口是https网站访问时常用端口,因此我们不可能因噎废食封堵该端口。我们可以从第一步入手,直接通过路由器的DNS过滤功能,禁止解析TeamViewer域名就可以阻止获取ID。阻止解析后,再次打开软件即可安全的在局域网内使用了。 |
| 本文出处: https://www.toutiao.com/a6747108770108670468/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
