HTTP 明文传输:账号密码裸奔在路上
你在咖啡馆连上免费Wi-Fi,打开某个小网站登录账号,看起来一切正常。可你不知道的是,这个网站还在用HTTP协议,所有数据都是明文发出去的。隔壁桌一个人开着抓包工具,你的用户名、密码、甚至聊天内容,全都被实时看到。这不是电影情节,而是每天都在发生的现实。
HTTP本身不加密,数据在传输过程中经过多个节点,任何一个中间代理或路由器都可能被攻击者控制。更麻烦的是,很多老系统、内部管理系统依然依赖HTTP,运维人员稍不注意就把敏感接口暴露了出去。
DNS 劫持:你以为去的是官网,其实进了钓鱼窝
输入www.bank.com,浏览器跳到了一个长得一模一样的页面,你还以为是银行升级了界面。结果一登录,账户里的钱第二天就被转空了。问题出在哪?很可能是DNS协议被劫持了。
DNS默认使用UDP 53端口,查询过程基本不验证来源。运营商、恶意路由器甚至本地ARP欺骗都能篡改解析结果。有些公共DNS看似速度快,背后却偷偷插入广告或重定向流量。排查时可以用dig命令比对不同DNS服务器的返回结果:
dig www.bank.com @8.8.8.8
dig www.bank.com @114.114.114.114如果结果不一致,说明中间有人动手脚。
SNMP 弱口令:让设备变成透明人
某公司内网突然大量带宽被占,排查发现几台交换机在疯狂往外传数据。查日志才发现,攻击者通过SNMP协议读取了设备配置,还修改了路由规则。原因很简单——社区字符串还是默认的"public"和"private"。
SNMPv2c基本靠社区字符串当密码,很多人装完设备根本不去改。扫描工具扫到一个开放161端口的设备,拿common字符串一试,整台设备的信息就全拿到了。建议关闭不必要的SNMP服务,必须用的要改成v3并启用认证加密。
FTP 与 Telnet:老古董协议的安全硬伤
有些老旧工控设备、路由器维护界面还在用FTP传配置文件,Telnet远程登录。这两个协议的问题很直接:所有通信,包括登录凭证,全部明文传输。
抓一段FTP登录过程,能清楚看到USER和PASS命令后面跟着的就是明文账号密码。现在应该全面转向SFTP(基于SSH)和SSH登录。别因为设备老就妥协,可以在前端加个跳板机做协议转换。
ARP 欺骗:局域网里的冒名顶替
办公室几个人同时断网,重启路由器也没用。一查发现网关的MAC地址变了。这就是典型的ARP欺骗攻击。攻击者伪造网关的ARP响应,让其他主机把数据发到他的机器上,再转发出去,形成中间人攻击。
这种问题在共享网络里特别常见。可以用arp -a命令看网关MAC是否正常,或者用arpwatch这类工具监控异常变更。更彻底的做法是在交换机上绑定IP-MAC映射,开启端口安全策略。
如何快速识别协议层面的风险
平时排查可以靠几个简单命令打底。比如用netstat看有没有异常开放的监听端口;用tcpdump抓包观察是否有可疑的广播或多播请求;nmap扫描内网设备开放的服务,重点盯161(SNMP)、21(FTP)、23(Telnet)这些高危端口。
遇到问题先问三个问题:这个协议有没有加密?认证机制靠不靠谱?是不是有更安全的替代方案?很多漏洞不是技术太差,而是习惯太懒。改掉“能用就行”的思维,才能少踩坑。