如何无视跳板机

公司连上远程游戏服需要先ssh登到跳板机，再在跳板机上ssh到远程，不能直连，如：
自己的系统(Mac OS) ===> 跳板机 ===>远程服务器
1 跳板机和远程服务器是Linux，远程服务器有python 25（太旧了）
都有ssh、scp，但远程服务器不能用ssh、scp连到跳板机。跳板机不能用ssh和scp连到自己的
系统。也就是说只能正向不能反向。
2 自己的系统有perl 51、python 275、ssh、scp等各种UNIX必备。
3 跳板机能用的命令不多，能访问的目录只有自己的home目录。
4 远程服务器有运维监控着，不能乱搞乱开监听端口开服务。
困难
====
现在的效率比较低的是，有很多的批量可以做的事，比如在N台服务器执行一样的一系列命令，
传文件N个这些服务器，从N个服务器拉特定的日志文件等，因为隔着一台跳板机，不能很轻易的
在自己的系统上搞个脚本自动执行这些重复繁琐的任务。
目前的解决方案
==========
secureCRT脚本。
用secureCRT的Session会话可以一键点击连到远程服务器，secureCRT脚本还可以调用这些预建好的Session自动打开Session然后做跑一些命令（并能自动输入密码）。
但是有时候用得很吃力，有时要打开远程服务器的Session去做，有时如果涉及多个远程的Session，为了不打开太多，就用跳板机的Session用ssh连各个服务器执行各个远程服务器的命令。
传文件也是，比如上传一个文件，secureCRT脚本要执行本地的scp传到跳板机，然后打开跳板机的Session，执行scp拷到远程服务器。
虽然已经封装好了很多函数，用起来比较方便了，但还是免不了打开这个那个Session，在这个那个Session里执行各种命令的状况。
所以想简化这个过程，“绕过”这个跳板机。在本地写脚本，能 *** 作到远程的服务器并执行一些命令。（既然跳板机可以ssh命令到远程服务器执行一个命令就收工，那本地系统上可以用ssh命令到跳板机执行 [前面那段ssh到远程服务器执行命令的命令] ？但这貌似有点复杂，尤其是两次都要输密码，甚至执行的命令本身也要输密码并且又考虑安全的情况下）
寻找解决方法
==========
网上找到了fabric和(R)ex， 前者是Python实现的，后者是perl实现的。但貌似两者只有在“直连"服务器时才能用，猜测也是在实现了ssh命令的连上某服务器执行命令的功能基础上做了封装。
貌似ssh有本地端口转发，但不太会用，不知能不能结合上fabric或者Rex，在不在跳板机和远程服务器作太多“手脚”的情况下，完成本地和远程方便的交互。

如果控制机与受害机直接相连，设想，如果这时受害机已经查出是是哪一台机子发出的Dos时，就会把黑客自己的身份暴露。那如果在受害机察觉以前把控制机的“脚印”全部删除不就可以了？如果你只想攻击受害机一次，那么有无跳板机都可，但如果你想多次攻击受害机，那么你每次都要把自己控制机上的“脚印”删除的干净（包括相关的原代码），这样当你下次要想再攻击受害机时，等于是要重新再建立攻击过程。如果中间有一个跳板机，那么你只需要如在跳板机上的“脚印”删除即可，这样受害机当查到跳板机时，线索就断开了。所以有一个跳板机的作用会使黑客自己本身更加安全。通常DOS攻击是作为入侵者入侵他人系统的一种方法，很少单独使用。入侵的思路就是：目标机发送大量无用的数据，使目标机疲于对付这些无用数据，而造成系统的迟钝缓慢，这就犹如“一心不能两用”一样，这样，入侵者就可以在潮水般的攻击中混骗过入侵检测系统。入侵的方法由以下几种：1、SYN 洪水攻击 利用服务器的连接缓冲区（Backlog Queue），利用特殊的程序，设置TCP的Header，向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。 如果你的SYN请求超过了服务器能容纳的限度，缓冲区队列满，那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。可以持续你的SYN请求发送，直到缓冲区中都是你的只有SYN标记的请求。 这种方法的好处就在于，不用事先去探测别人的IP，直截了当的去占领缓冲区，方法比较简单，但是由于利用的是自己的IP，所以身份比较容易暴露，在使用这种攻击思路时，对自己的主机的隐蔽性一定要做好，最简单的方法就是多使用几台傀儡机，但是在入侵后，对傀儡机的痕迹清扫也随之变得复杂而麻锁。2、IP欺骗DOS攻击 这种攻击利用RST位来实现。假设现在有一个合法用户(1111)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1111，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从1111发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户1111再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。攻击时，伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务。这种方法的好像就是不易被主机发现，但是缺点就在于要事先知道该主机的一个合法用户的IP地址，有时还要知道IP地址对应的端口号。而在大部分的合法客户的IP地址都是随机的，所以如果每次都想用同一个用户的IP很难做到，所以每次都要进行IP合法用户探询。 3、 带宽DOS攻击 如果你的连接带宽足够大而服务器又不是很大，你可以发送请求，来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了，配合上SYN一起实施DOS，威力巨大。 这种方法是比较初级DOS攻击，显然并不试用于攻击大型的服务器。随着宽带的不断提高，与计算机的越来越好，使得计算机有足够的能力来对付这种攻击，这种方法已经开始不试用了。4、自身消耗的DOS攻击 这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同，发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快把资源消耗光。直接导致死机。这中伪装对一些身份认证系统还是威胁巨大的。这种攻击的方式，它的伪装比较好，俗话说“最危险的地方就是最安全的地方”，也正是因为入侵者利用的服务机自身的IP，使得服务器自身很难找到入侵者是谁，这种攻击的方法最终都是因为“死锁”而造成死机的。上面这些实施DOS攻击的手段最主要的就是构造需要的TCP数据，充分利用TCP协议。这些攻击方法都是建立在TCP基础上的。还有其他的DOS攻击手段。 5、塞满服务器的硬盘 通常，如果服务器可以没有限制地执行写 *** 作，那么都能成为塞满硬盘造成DOS攻击的途径，比如： 发送垃圾邮件。一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。破坏者可以发送大量的垃圾邮件，这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中，直到邮箱被撑破或者把硬盘塞满。 让日志记录满。入侵者可以构造大量的错误信息发送出来，服务器记录这些错误，可能就造成日志文件非常庞大，甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志，甚至就不能发现入侵者真正的入侵途径。 向匿名FTP塞垃圾文件。这样也可以塞满硬盘空间。总之，拒绝服务一般都是通过过载而导致服务器死机的，而过载一般是因为请求到达了极限。TCP是一种面向连接的协议，所以它采用了多种服务机制来保证连接的可靠性，如：流量控制、拥塞控制，一旦出现数据流量过大所产生的拥塞就会使服务器拒绝客户提出的连接请求。正是因为TCP的这种拒绝机制，给Dos有了可乘之机。试想，如果有客户大量的向服务器扔送无用的数据报文段，使服务器因为数据流的过多，而拒绝了超过了它上限值的以外的数据。从而导致其它真正的想使用服务器的客户被拒之门外，就会造成不必要的浪费。这也就是Dos的核心内容了。步骤A：首先，攻击者利用自己的控制机找到一个跳板机，向跳板机发出受害机的命令参数。至于发了哪些命令参数将在Dos的编辑过程做解释。步骤B：跳板机收到控制机的命令后，向受害机大量发送无用数据报文段，使得受害机疲于应付那些无数数据

FTP是一种文件传输协议。有时我们把他形象的叫做“文件交流集中地”。FTP文件服务器的主要用途就是提供文件存储的空间，让用户可以上传或者下载所需要的文件。在企业中，往往会给客户提供一个特定的FTP空间，以方便跟可以进行一些大型文件的交流，如大到几百兆的设计图纸等等。同时，FTP还可以作为企业文件的备份服务器，如把数据库等关键应用在FTP服务器上实现异地备份等等。
可见，FTP服务器在企业中的应用是非常广泛的。真是因为其功能如此的强大，所以，很多黑客、病毒也开始“关注”他了。他们企图通过FTP服务器为跳板，作为他们传播木马、病毒的源头。同时，由于FTP服务器上存储着企业不少有价值的内容。在经济利益的诱惑下，FTP服务器也就成为了别人攻击的对象。
所以，FTP服务器的安全性工作也逐渐显得重要。笔者采用的FTP服务器是基于Linxu *** 作系统平台上的Vsftpd软件。笔者今天就以这个软件为例，谈谈如何若照FTP服务器的安全设计。
一、谁可以访问FTP服务器？
在考虑FTP服务器安全性工作的时候，第一步要考虑的就是谁可以访问FTP服务器。在Vsftpd服务器软件中，默认提供了三类用户。不同的用户对应着不同的权限与 *** 作方式。
一类是Real帐户。这类用户是指在FTP服务上拥有帐号。当这类用户登录FTP服务器的时候，其默认的主目录就是其帐号命名的目录。但是，其还可以变更到其他目录中去。如系统的主目录等等。
第二类帐户实Guest用户。在FTP服务器中，我们往往会给不同的部门或者某个特定的用户设置一个帐户。但是，这个账户有个特点，就是其只能够访问自己的主目录。服务器通过这种方式来保障FTP服务上其他文件的安全性。这类帐户，在Vsftpd软件中就叫做Guest用户。拥有这类用户的帐户，只能够访问其主目录下的目录，而不得访问主目录以外的文件。
第三类帐户是Anonymous（匿名）用户，这也是我们通常所说的匿名访问。这类用户是指在FTP服务器中没有指定帐户，但是其仍然可以进行匿名访问某些公开的资源。
在组建FTP服务器的时候，我们就需要根据用户的类型，对用户进行归类。默认情况下，Vsftpd服务器会把建立的所有帐户都归属为Real用户。但是，这往往不符合企业安全的需要。因为这类用户不仅可以访问自己的主目录，而且，还可以访问其他用户的目录。这就给其他用户所在的空间 带来一定的安全隐患。所以，企业要根据实际情况，修改用户虽在的类别。
修改方法：
第一步：修改/etc/Vsftpd/vsftpdconf文件。
默认情况下，只启用了Real与Anonymous两类用户。若我们需要启用Guest类用户的时候，就需要把这个选项启用。修改/etc/Vsftpd/vsftpdconf文件，把其中的“chroot_list_enable=YES”这项前面的注释符号去掉。去掉之后，系统就会自动启用Real类型的帐户。
第二步：修改/etc/vsftpdconf文件。
若要把某个FTP服务器的帐户归属为Guest帐户，则就需要在这个文件中添加用户。通常情况下，FTP服务器上没有这个文件，需要用户手工的创建。利用VI命令创建这个文件之后，就可以把已经建立的FTP帐户加入到这个文件中。如此的话，某个帐户就属于Real类型的用户了。他们登录到FTP服务器后，只能够访问自己的主目录，而不能够更改主目录。
第三步：重新启动FTP服务器。
按照上述步骤配置完成后，需要重新启动FTP服务器，其配置才能够生效。我们可以重新启动服务器，也可以直接利用Restart命令来重新启动FTP服务。
在对用户尽心分类的时候，笔者有几个善意的提醒。
一是尽量采用Guest类型的用户，而减少Real类行的用户。一般我们在建立FTP帐户的时候，用户只需要访问自己的主目录下的文件即可。当给某个用户的权限过大时，会对其他用户文件的安全产生威胁。
二是尽量不要采用匿名类型的帐户。因为他们在没有授权的情况下，就可以访问FTP服务器。虽然其访问的资源受到一定的限制，但是，仍然具有危险性。故在没有特殊需要的情况下，把匿名类型帐户禁用掉。
二、哪些帐号不可以访问FTP服务器？
在以下几种情况下，我们要禁止这些账户访问FTP服务器，以提高服务器的安全。
一是某些系统帐户。如ROOT帐户。这个账户默认情况下是Linxu系统的管理员帐户，其对系统具有的 *** 作与管理权限。若允许用户以这个账户为账户名进行登陆的话，则用户不但可以访问Linux系统的所有资源，而且，还好可以进行系统配置。这对于FTP服务器来说，显然危害很大。所以，往往不允许用户以这个Root等系统帐户身份登陆到FTP服务器上来。
第二类是一些临时账户。有时候我们出于临时需要，为开一些临时账户。如需要跟某个客户进行图纸上的交流，而图纸本身又比较大时，FTP服务器就是一个很好的图纸中转工具。在这种情况下，就需要为客户设立一个临时账户。这些账户用完之后，一般就加入到了黑名单。等到下次需要再次用到的时候，再启用他。
在vstftpd服务器中，要把某些用户加入到黑名单，也非常的简单。在Vsftpd软件中，有一个/etc/vsftpduser_lise配置文件。这个文件就是用来指定哪些账户不能够登陆到这个服务器。我们利用vi命令查看这个文件，通常情况下，一些系统账户已经加入到了这个黑名单中。FTP服务器管理员要及时的把一些临时的或者不再使用的帐户加入到这个黑名单中。从而才可以保证未经授权的账户访问FTP服务器。在配置后，往往不需要重新启动FTP服务，配置就会生效。
不过，一般情况下，不会影响当前会话。也就是说，管理员在管理FTP服务器的时候，发现有一个非法账户登陆到了FTP服务器。此时，管理员马上把这个账户拉入黑名单。但是，因为这个账户已经连接到FTP服务器上，所以，其当前的会话不会受到影响。当其退出当前会话，下次再进行连接的时候，就不允许其登陆FTP服务器了。所以，若要及时的把该账户禁用掉的话，就需要在设置好黑名单后，手工的关掉当前的会话。
对于一些以后不再需要使用的帐户时，管理员不需要把他加入黑名单，而是直接删除用户为好。同时，在删除用户的时候，要记得把用户对应的主目录也一并删除。不然主目录越来越多，会增加管理员管理的工作量。在黑名单中，只保留那些将来可能利用的账户或者不是用作FTP服务器登陆的账户。这不但可以减少服务器管理的工作量，而且，还可以提高FTP服务器的安全性。
三、匿名账户也可以上传文件
在系统默认配置下，匿名类型的用户只可以下载文件，而不能够上传文件。虽然这不是我们推荐的配置，但是，有时候出于一些特殊的需要，确实要开启这个功能。如笔者以前在企业中，利用这个功能实现了对用户终端文件进行备份的功能。为了设置的方便，就在FTP服务器上开启了匿名访问，并且允许匿名访问账户网某个特定的文件夹中上传某个文件。
若要让匿名用户上传文件，则首先要建立一个目录，并且把这个目录指定为匿名用户具有更新的权限。以后匿名用户需要上传文件的时候，只能够王这个文件夹中传。而不能够像Real用户那样，网其他用户的文件夹中上传文件。
文件目录设置好之后，再修改/etc/vsftpd/vsftpdconf配置文件。把这个文件下的有关匿名账户的功能启用。默认情况下，跟匿名账户相关的功能，如更新、增加目录等功能都是被注释掉的。管理员需要把这个注释符号去掉，匿名账户才能够网特定的账户中上传文件。
笔者再次重申一遍，一般情况下，是不建议用户开启匿名账户的文件上传功能。因为很难保证匿名账户上传的文件中，不含有一些破坏性的程序，如病毒或者木马等等。有时候，虽然开启了这个功能，但是往往会在IP上进行限制。如只允许企业内部IP可以进行匿名访问并上传文件，其他账户则不行。如此的话，可以防止外部用户未经授权匿名访问企业的FTP服务器。若用户具有合法的账户，就可以在外网中登陆到FTP服务器上。
总之，在FTP服务器安全管理上，主要关注三个方面的问题。一是未经授权的用户不能往FTP空间上上传文件；二是用户不得访问未经授权的目录，以及对这些目录的文件进行更改，包括删除与上传；三是FTP服务器本身的稳定性。以上三个问题中的前两部分内容，都可以通过上面的三个方法有效的解决。相信管理员灵活采用如上的方法，可以在保障企业应用的前期下，提高FTP服务器的安全性。

作用和用途不同。
1、跳板机是一台位于内部网络和外部网络之间的计算机，通常用于管理和维护内部网络中的其他计算机。
2、跳板机可以作为一种安全措施，限制外部网络对内部网络的访问，同时也可以作为一种管理工具，方便管理员远程管理内部网络中的其他计算机。
3、服务器是一种提供服务的计算机，它可以是一台物理计算机或虚拟机。
4、服务器通常会运行一些服务程序，如Web服务器、邮件服务器、数据库服务器等，以便其他计算机可以通过网络访问和使用这些服务。

第一、物理安全
除了要保证要有电脑锁之外，我们更多的要注意防火，要将电线和网络放在比较隐蔽的地方。我们还要准备UPS，以确保网络能够以持续的电压运行，在电子学中，峰值电压是一个非常重要的概念，峰值电压高的时候可以烧坏电器，迫使网络瘫痪，峰值电压最小的时候，网络根本不能运行。使用UPS可以排除这些意外。另外我们要做好防老鼠咬坏网线。
第二、系统安全（口令安全）
我们要尽量使用大小写字母和数字以及特殊符号混合的密码，但是自己要记住，我也见过很多这样的网管，他的密码设置的的确是复杂也安全，但是经常自己都记不来，每次都要翻看笔记本。另外我们最好不要使用空口令或者是带有空格的，这样很容易被一些黑客识破。
我们也可以在屏保、重要的应用程序上添加密码，以确保双重安全。
第三、打补丁
我们要及时的对系统补丁进行更新，大多数病毒和黑客都是通过系统漏洞进来的，例如今年五一风靡全球臭名昭著的振荡波就是利用了微软的漏洞ms04-011进来的。还有一直杀不掉的SQLSERVER上的病毒slammer也是通过SQL的漏洞进来的。所以我们要及时对系统和应用程序打上最新的补丁，例如IE、OUTLOOK、SQL、OFFICE等应用程序。
另外我们要把那些不需要的服务关闭，例如TELNET，还有关闭Guset帐号等。
第四、安装防病毒软件
病毒扫描就是对机器中的所有文件和邮件内容以及带有exe的可执行文件进行扫描，扫描的结果包括清除病毒，删除被感染文件，或将被感染文件和病毒放在一台隔离文件夹里面。所以我们要对全网的机器从网站服务器到邮件服务器到文件服务器知道客户机都要安装杀毒软件，并保持最新的病毒定义码。我们知道病毒一旦进入电脑，他会疯狂的自我复制，遍布全网，造成的危害巨大，甚至可以使得系统崩溃，丢失所有的重要资料。所以我们要至少每周一次对全网的电脑进行集中杀毒，并定期的清除隔离病毒的文件夹。
现在有很多防火墙等网关产品都带有反病毒功能，例如netscreen总裁谢青旗下的美国飞塔Fortigate防火墙就是，她具有防病毒的功能。
第五、应用程序
我们都知道病毒有超过一半都是通过电子邮件进来的，所以除了在邮件服务器上安装防病毒软件之外，还要对PC机上的outlook防护，我们要提高警惕性，当收到那些无标题的邮件，或是你不认识的人发过来的，或是全是英语例如什么happy99，money，然后又带有一个附件的邮件，建议您最好直接删除，不要去点击附件，因为百分之九十以上是病毒。我前段时间就在一个政府部门碰到这样的情况，他们单位有三个人一直收到邮件，一个小时竟然奇迹般的收到了2000多封邮件，致使最后邮箱爆破，起初他们怀疑是黑客进入了他们的网络，最后当问到这几个人他们都说收到了一封邮件，一个附件，当去打开附件的时候，便不断的收到邮件了，直至最后邮箱撑破。最后查出还是病毒惹的祸。
除了不去查看这些邮件之外，我们还要利用一下outlook中带有的黑名单功能和邮件过虑的功能。
很多黑客都是通过你访问网页的时候进来的，你是否经常碰到这种情况，当你打开一个网页的时候，会不断的跳出非常多窗口，你关都关不掉，这就是黑客已经进入了你的电脑，并试图控制你的电脑。
所以我们要将IE的安全性调高一点，经常删除一些cookies和脱机文件，还有就是禁用那些Active X的控件。
第六、代理服务器
代理服务器最先被利用的目的是可以加速访问我们经常看的网站，因为代理服务器都有缓冲的功能，在这里可以保留一些网站与IP地址的对应关系。
要想了解代理服务器，首先要了解它的工作原理：
环境：局域网里面有一台机器装有双网卡，充当代理服务器，其余电脑通过它来访问网络。
1、内网一台机器要访问新浪，于是将请求发送给代理服务器。
2、代理服务器对发来的请求进行检查，包括题头和内容，然后去掉不必要的或违反约定的内容。
3、代理服务器重新整合数据包，然后将请求发送给下一级网关。
4、新浪网回复请求，找到对应的IP地址。
5、代理服务器依然检查题头和内容是否合法，去掉不适当的内容。
6、重新整合请求，然后将结果发送给内网的那台机器。
由此可以看出，代理服务器的优点是可以隐藏内网的机器，这样可以防止黑客的直接攻击，另外可以节省公网IP。缺点就是每次都要经由服务器，这样访问速度会变慢。另外当代理服务器被攻击或者是损坏的时候，其余电脑将不能访问网络。
第七、防火墙
提到防火墙，顾名思义，就是防火的一道墙。防火墙的最根本工作原理就是数据包过滤。实际上在数据包过滤的提出之前，都已经出现了防火墙。
数据包过滤，就是通过查看题头的数据包是否含有非法的数据，我们将此屏蔽。
举个简单的例子，假如体育中心有一场刘德华演唱会，检票员坐镇门口，他首先检查你的票是否对应，是否今天的，然后撕下右边的一条，将剩余的给你，然后告诉你演唱会现场在哪里，告诉你怎么走。这个基本上就是数据包过滤的工作流程吧。
你也许经常听到你们老板说：要增加一台机器它可以禁止我们不想要的网站，可以禁止一些邮件它经常给我们发送垃圾邮件和病毒等，但是没有一个老板会说：要增加一台机器它可以禁止我们不愿意访问的数据包。实际意思就是这样。接下来我们推荐几个常用的数据包过滤工具。

Pivoting ，在本手册中，指的是「将一个受害机器转为其他攻击和工具的跳板」。Cobalt Strike 的Beacon 提供了多种 pivoting 选项。前提是 Beacon 处于交互模式。交互模式意味着一个 Beacon 每 秒内多次连接到团队服务器。使用 sleep 0 命令来使你的 Beacon 进入交互模式。

通过 [beacon] → Pivoting → SOCKS Server 来在你的团队服务器上设置一个 SOCKS4a 代理服务 器。或者使用 socks 8080 命令来在端口 8080 上设置一个 SOCKS4a 代理服务器(或者任何其他你想 选择的端口)。

所有经过这些 SOCKS 服务器的连接都将被转变为让相关联 Beacon 执行的连接、读写和关闭任务。你 可以通过任何类型的 Beacon 经由 SOCKS 隧道传输(甚至是一个 SMB Beacon)。

Beacon 的 >