内网KDC服务器开放在哪个端口,针对kerbores的攻击有哪些?

最新推荐文章于 2024-08-12 11:39:27 发布
最新推荐文章于 2024-08-12 11:39:27 发布
阅读量3.6k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 内网渗透 漏洞经验 Windows 文章标签: 安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ping_Pig/article/details/121229153
本文探讨了Kerberos协议的安全性,详述了针对Kerberos的各种攻击手段,如用户名爆破、密码喷洒、Kerberoasting等,并提到了MS14-068漏洞。了解这些攻击有助于提升内网安全防护,通过分析认证过程和PAC的不严谨性,可以深入理解攻击原理并采取相应防御措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

解释:

KDC服务器默认开放88、464端口

针对Kerberos的攻击有哪些

  1. 用户名爆破
  2. 密码喷洒和密码爆破
  3. Kerberoasting
  4. ASRepRoasting
  5. 黄金票据和白银票据
  6. MS14-068
  7. 非约束委派、约束委派、基于资源的约束委派
  8. 票据传递(ptt/ptk/ptc)
  9. mimikatz加密降级攻击(万能钥匙)
  10. 使用恶意的kerberos证书做权限维持

讲在后面:

针对kerberos的攻击,我们必须要了解kerberos协议的始终,对一次完整的kerberos认证进行抓包分析,结合已有的文章进行理解,为什么这一个步骤会出现用户名爆破,为什么PAC的不严谨会导致MS14-068。

参考文章:

针对kerbores攻击
m0_62207482的博客
03-08 220
6. MS14-068
kdc服务安装及配置
weixin_69010480的博客
03-23 1061
kdc服务配置
kerberos认证_Kerberos攻击的本质是什么?| 研究:五分钟掌握金票攻击
weixin_39761822的博客
12-03 397
·安全帮出品|安全帮(www.secbang.com)概述:安全帮专注安全教育【伪造原理】黄金票据不需要AS进行交互,需要krbtgt Hash1.kerbors正常验证流程是Client将自己信息发送给AS,然后AS验证后使用krbtgt用户的Hash作为密钥进行加密生成TGT返回给Client。2.那么如果获取到了krbtgt的Hash值,就可以伪造任意4的TGT了。3.因为krb...
Centos7 + KDC 1.15 高可用部署(全量和增量方式)
snipercai的博客
08-02 2153
搭建kdc服务,采用全量和增量两种方式实现高可用
Kerberos 的安装和使用
u011250186的博客
11-25 4270
Kerberos 的安装和使用
2023年网络安全岗面试跳槽看这一篇就够了(含面试题+大厂面经分享)
m0_71743066的博客
03-10 1826
又到了一年一度的金三银四面试季,想必有些朋友的心已经开始躁动了,毕竟跳槽涨薪的幅度远高于内部调薪的幅度!以下为网络安全各个方向涉及的面试题以及安全大厂的面经汇总,星数越多代表问题出现的几率越大,祝各位都能找到满意的工作。注:本套面试题及面经,已整理成pdf文档,但内容还在持续更新中,因为无论如何都不可能覆盖所有的面试问题,更多的还是希望由点达面,查漏补缺,希望对大家有帮助。
2022最新网络安全岗面试题汇总(附答案解析)
weixin_70257503的博客
11-18 3490
网络安全各个方向涉及的面试题,星数越多代表问题出现的几率越大,祝各位都能找到满意的工作
网络安全工程师面试题汇总
yinjiyufei的博客
11-09 1190
网络安全工程师面试题汇总,牢记的小伙伴都进大厂啦!!
Kerberos安装及使用2(Kerberos服务器KDC安装及配置)
u011250186的博客
11-25 4030
Kerberos安装及使用2(Kerberos服务器KDC安装及配置)
Windows认证基础知识
hello
02-21 1864
域管理员是在整个域控中管理权限最高的,为了防止域管理员的令牌被恶意窃取,必须禁止域管理员异机登录。如果因一些特殊情况域管理员登录了其他机器,应及时将令牌清除,以防止令牌被窃取。
Windows服务端口大全(转贴)
wgscd blog
03-26 1726
Windows服务端口大全应用层网关服务Internet 连接共享 (ICS)/Internet 连接防火墙 (ICF) 服务的这个子组件对允许网络协议通过防火墙并在 Internet 连接共享后面工作的插件提供支持。应用层网关 (ALG) 插件可以打开端口和更改嵌入在数据包内的数据(如端口和 IP 地址)。文件传输协议 (FTP) 是唯一具有 Windows Server 2003 标准版和 W
Kerberos 配置
ilvchocolate的专栏
11-19 3846
KDC服务器,Ktelnetd,Krlogind,Krsh服务器,最后就可以使用krb5-workstation提供的telnet,rlogin,rsh来登录这些服务了。     1.生成kerberos的本地数据库 kdb5_util create-r EXAMPLE.COM -s  /usr/local/var/krb5kdc(创建文件夹) 2. 生成账号 kerbero
Windows安全认证机制——Kerberos 域认证
lurenjia404的博客
07-02 1636
Kerberos是由麻省理工学院(MIT)开发的网络身份验证协议,它的主要好处是强大的加密和单点登录(SSO)。Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如共享密钥)实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据的情况下保证通讯安全
Windows域权限维持——Kerberos协议
qq_55202378的博客
08-12 1148
服务端收到由客户端发来的AP-REO请求后,会通过服务密钥对ST进行解密,并从中提取service sessionkey信息,同时就TGT的过期时间、Authenticator认证中的Client主体名和TGT中是否相同等信息对客户端进行校验。的认证请求,认证请求携带了通过客户端NTLM哈希加密的时间戳、用户名、主机IP,以及一些其他参数(如消息类型、版本号、协商选项等),作为认证请求的凭据。收到AS发来的响应包后,客户端会使用自己的NTLM哈希对两部分密文进行解密,得到用于与TGS通信的密码。
端口号大全
热门推荐
一个小运维
03-14 6万+
计算机系统“端口”是英文 port 的义译,可以认为是计算机与外界通讯交流的出口。其中 硬件领域的端口又称接口,如:USB 端口、串行端口、打印机端口等。软件领域的端口一般 指网络中面向连接服务和无连接服务的通信协议端口,是一种抽象的软件结构,包括一些数 据结构和 I/O(基本输入输出)缓冲区。说白了,我们在计算机的任何操作都在有意无意的 使用着计算机的各个端口,下面列出了计算机的常用端口: 0 ...
Impala配置Kerberos认证和Sentry权限控制
qq_30982323的博客
06-21 5754
集群说明: 集群有wlint01、wlnamenode01、wldatanode001~wldatanode018一共20个节点, 对应ip地址192.168.32.9~192.168.32.28 1.生成keytab文件 生成http.keytab文件 [wlbd@wlint01 keytabFile]$ sudo kadmin.local -q "xst -norandkey -k ...
金三银四,我猜你需要这三套网络安全工程师面试题(附答案解析)
youmaob的博客
04-04 586
2023年已经开始了,先来灵魂三连问,年初定的目标是多少?薪资能涨吗?女朋友能找到吗?好了,不扎大家的心了,接下来进入正文。由于我之前写了不少网络安全技术相关的文章和回答,不少读者朋友知道我是从事网络安全相关的工作,于是经常有人私信问我:我刚入门网络安全,该怎么学?想找网络安全工作,应该要怎么进行技术面试准备?工作不到 2 年,想跳槽看下机会,有没有相关的面试题呢?
建立 Windows AD 对 Kerberos 的单向信任(允许使用域账号登录Kerberos集群)
Laurence的技术博客
04-07 5394
文章目录1. 环境说明2. 在AD服务器上添加Kerberos的KDC并信任其Realm3. 配置加密类型4. 在Kerberos端配置对AD的信任5. 修改应用程序的认证配置 这一操作具有广泛的适用场景,例如:在一个启用了Kerberos的大数据集群下,想联通企业的Windows AD服务器,允许企业用户使用域账号和密码登入集群或提交作业。注意:典型的应用场景下,我们是不需要配置Kerberos与Windows AD双向互信,因为让Windows AD取信任Kerberos管控集群的那些服务账号没有特别大
在非MRS节点上配置krb5.conf时,如何确定KDC服务器地址?
最新发布
07-22
<think>我们正在处理一个关于Kerberos配置的问题。用户询问在非MRS节点上配置krb5.conf时如何确定KDC服务器地址。根据引用[1]中的内容,我们知道Kerberos服务器(即KDC服务器)的地址是配置Kerberos客户端所必需的。 引用[1]提到:“将kerberos server的ip和主机名映射加到clickhouse的所有节点的hosts文件中。如果kerberos server的防火墙是开启的,将kerberos server的tcp 88和udp 88的端口访问权限开放给clickhouse的所有节点。” 这里虽然没有直接给出KDC服务器的地址,但我们可以推断出KDC服务器就是Kerberos server。 在华为云MRS集群中,Kerberos服务通常部署在集群的管理节点上。具体来说,KDC服务器通常位于集群的Master节点上。 因此,确定KDC服务器地址的方法如下: 1. 登录到MRS集群的管理控制台。 2. 查看集群的节点信息,特别是Master节点的IP地址(或主机名)。 3. 通常,KDC服务就运行在Master节点上,所以Master节点的IP地址就是KDC服务器的地址。 另外,引用[1]还提到需要将Kerberos server的主机名和IP地址映射添加到客户端的hosts文件中,并且开放Kerberos server的88端口(TCP和UDP)的访问权限。 所以,在非MRS节点(即客户端节点)上配置krb5.conf时,我们需要在配置文件中指定KDC服务器的地址。具体配置示例: ``` [libdefaults] default_realm = HADOOP.HUAWEI [realms] HADOOP.HUAWEI = { kdc = master1_ip:88 kdc = master2_ip:88 admin_server = master1_ip:749 default_domain = hadoop.huawei } [domain_realm] .hadoop.huawei = HADOOP.HUAWEI hadoop.huawei = HADOOP.HUAWEI ``` 注意:这里需要替换`master1_ip`和`master2_ip`为实际的Master节点的IP地址(如果集群有多个Master节点,则可能有多个KDC服务器,用于高可用)。 如果用户无法从控制台获取,还可以通过以下方式之一确定KDC服务器地址: - 在MRS集群的任意节点上,查看`/etc/krb5.conf`文件,其中会明确列出KDC服务器的地址。 - 询问MRS集群的管理员,获取KDC服务器的地址。 因此,总结步骤: 步骤1:获取MRS集群的Master节点IP地址。 步骤2:在非MRS节点上配置krb5.conf文件,将KDC服务器地址设置为Master节点的IP地址(或主机名,但需要确保主机名可解析)。 注意:华为云MRS集群的Kerberos域名固定为`HADOOP.HUAWEI`,不可更改。 引用[2]展示了两个不同域之间的Kerberos互信配置,但我们的场景是同一个域(HADOOP.HUAWEI)内,所以不需要跨域配置。 引用[3]是关于Spark集群和Livy的安装,与当前问题无关。 因此,回答如下:</think>### 在非MRS节点上确定KDC服务器地址的方法 #### 一、通过MRS控制台查询(推荐方式) 1. **登录华为云控制台** ```bash # 访问路径 华为云控制台 > 大数据 > MapReduce服务 (MRS) > 目标集群 ``` 2. **查看集群网络信息** - 在集群详情页选择 **节点管理** - 记录所有 **Master节点** 的IP地址(KDC通常部署在Master节点) - 检查 **安全组规则**:确认88端口(TCP/UDP)开放[^1] 3. **获取完整KDC地址格式** ```bash # 标准格式 kdc = <master_ip>:88 admin_server = <master_ip>:749 ``` #### 二、通过集群配置文件查询 1. **登录MRS集群任意节点** ```bash ssh mrs_admin@<集群节点IP> ``` 2. **查看krb5.conf文件** ```bash # 定位配置文件 cat /etc/krb5.conf # 关键输出示例 [realms] HADOOP.HUAWEI = { kdc = 192.168.1.10:88 kdc = 192.168.1.11:88 # 多KDC高可用 admin_server = 192.168.1.10:749 } ``` > 记录`kdc`和`admin_server`字段的IP地址[^1] #### 三、通过DNS或主机名解析 1. **查询Kerberos服务域名** ```bash # 在MRS节点执行 sudo grep -r "KERBEROS_SERVER" /etc/BigData/* ``` 2. **解析主机名** ```bash # 若输出类似"krbserver.hadoop.huawei" nslookup krbserver.hadoop.huawei # 返回IP列表即为KDC地址 ``` #### 四、验证KDC连通性 ```bash # 在非MRS节点测试连接 telnet <KDC_IP> 88 # 应返回Connected nc -vzu <KDC_IP> 88 # UDP端口测试 # 完整连通性检查 kinit -V -S kadmin/<KDC_IP>@HADOOP.HUAWEI ``` > 成功返回:`Authenticated to Kerberos v5` #### 五、配置krb5.conf示例 ```conf # /etc/krb5.conf [libdefaults] default_realm = HADOOP.HUAWEI [realms] HADOOP.HUAWEI = { kdc = 192.168.1.10:88 kdc = 192.168.1.11:88 admin_server = 192.168.1.10:749 } [domain_realm] .hadoop.huawei = HADOOP.HUAWEI hadoop.huawei = HADOOP.HUAWEI ``` #### 注意事项 1. **域名强制要求** - 必须使用`HADOOP.HUAWEI`作为realm名[^1] - 主机名需包含完整域名后缀(如`node1.hadoop.huawei`) 2. **高可用配置** - 生产环境通常有多个KDC - 在`krb5.conf`中配置多个`kdc`地址实现故障转移 3. **防火墙规则** ```bash # 开放非MRS节点到KDC的访问 # TCP/UDP 88 (Kerberos) # TCP 749 (Kadmin) # TCP 464 (kpasswd) ``` 4. **主机名解析** ```bash # 在非MRS节点添加hosts映射 echo "<KDC_IP> krbserver.hadoop.huawei" >> /etc/hosts ``` > **故障排查**:若`kinit`失败,使用`KRB5_TRACE=/dev/stdout kinit`查看详细认证过程。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值