??? 在Linux操作系統(tǒng)中部署有防火墻����,通過(guò)這個(gè)防火墻可以實(shí)現(xiàn)不讓其他主機(jī)掃描本機(jī)��。如果企業(yè)網(wǎng)絡(luò)中有獨(dú)立防火墻的話�,再也可以實(shí)現(xiàn)類(lèi)似的限制����。如有些企業(yè)部署了入侵檢測(cè)系統(tǒng)可以主動(dòng)的阻止可疑的惡意行為,如NMAP掃描等等。但是NMAP命令結(jié)合一些選項(xiàng)使用���,卻可以跟防火墻或者入侵檢測(cè)系統(tǒng)躲貓貓�。
??? 雖然有的管理員質(zhì)疑NMAP開(kāi)發(fā)者提供這些選項(xiàng)的意圖����,這些選項(xiàng)容易被攻擊者利用��。但是工具沒(méi)有好壞���,就看人怎么利用了��。一些系統(tǒng)管理員往往利用NMAP命令的這些選項(xiàng)來(lái)提高網(wǎng)絡(luò)部署的安全性��。如我就喜歡利用這個(gè)命令來(lái)跟防火墻等安全軟件玩躲貓貓的游戲���。也就是說(shuō)筆者偽裝成一個(gè)攻擊者,來(lái)測(cè)試這些安全系統(tǒng)能否阻擋我的攻擊或者能否在安全系統(tǒng)日志內(nèi)留下我的蹤跡�����。換個(gè)角度思考��,或許就能夠發(fā)現(xiàn)企業(yè)的安全漏洞。
??? 類(lèi)似的選項(xiàng)有很多�����。出于篇幅的限制���,不能夠過(guò)多的闡述����。我就只拿一些常用的選項(xiàng)來(lái)進(jìn)行說(shuō)明�。
??? 一、把報(bào)文進(jìn)行分段���。
??? 像防火墻等類(lèi)似的安全設(shè)備�����,都可以用來(lái)過(guò)濾掃描報(bào)文����。但是這個(gè)過(guò)濾的策略并不是很安全�。如現(xiàn)在利用NMAP命令的-f選項(xiàng),可以將Tcp頭分段在好幾個(gè)包中�。如此的話��,防火墻或者入侵檢測(cè)系統(tǒng)中的包過(guò)濾器就很難過(guò)濾這個(gè)TCP包���。從而可以讓SNMP掃描命令跟這些安全措施玩躲貓貓的游戲。
??? 當(dāng)使用-f選項(xiàng)時(shí)�����,一個(gè)20字節(jié)的TCP頭會(huì)被分割成三個(gè)包���,其中兩個(gè)包分別有TCP頭的八個(gè)字節(jié);另外一個(gè)包具有TCP頭剩下的四個(gè)字節(jié)。通常情況下安全措施所采用的包過(guò)濾器會(huì)對(duì)所有的IP分段進(jìn)行排隊(duì)����,而不會(huì)直接使用這些分段包。由于對(duì)報(bào)文進(jìn)行了分段����,那么這些過(guò)濾器就很難識(shí)別這些包的類(lèi)型。然后這些包會(huì)在主機(jī)處重新進(jìn)行整合����,變成一個(gè)合法的TCP包。在大多數(shù)情況下這些安全措施應(yīng)該禁止這些包���。因?yàn)檫@些包會(huì)給企業(yè)的網(wǎng)絡(luò)帶來(lái)很大的性能沖擊���,無(wú)論是防火墻或者終端設(shè)備都會(huì)受到影響����。如Linux系統(tǒng)的防火墻中有一個(gè)配置項(xiàng)���,就可以通過(guò)禁止對(duì)IP分段進(jìn)行排隊(duì)而限制對(duì)TCP包進(jìn)行分段�����。
??? 可見(jiàn)nmap –f命令對(duì)防火墻等安全措施具有一定的欺騙性��。我們剛好可以利用這個(gè)命令來(lái)測(cè)試我們所采用的安全軟件是否真的安全�。據(jù)我了解�,雖然這個(gè)安全隱患已經(jīng)出現(xiàn)許多年了,但是現(xiàn)在不是所有的安全產(chǎn)品都能夠?qū)Υ诉M(jìn)行有效的預(yù)防����。所以采用這個(gè)-f選項(xiàng)可以幫助系統(tǒng)管理員一針見(jiàn)血的判斷所采用的安全產(chǎn)品能否應(yīng)對(duì)這個(gè)可能的攻擊。如在防火墻上設(shè)置禁止掃描��,然后系統(tǒng)管理員再利用nmap –f命令無(wú)法得到應(yīng)有的結(jié)果時(shí)��,則表明防火墻策略有效。但是相反其仍然可以正常的返回結(jié)果(可能時(shí)間會(huì)長(zhǎng)一點(diǎn))��,則表明nmap –f命令可以成功的跟防火墻玩貓貓����。系統(tǒng)管理員需要注意一下Linux防火墻的安全性了。
??? 二�����、利用假的IP地址進(jìn)行掃描���。
???
??? 通常情況下像防火墻或者客戶端電腦都可以記錄下訪問(wèn)者的相關(guān)信息,如IP地址等等�。為此如果采用nmap命令來(lái)進(jìn)行掃描的話,那就會(huì)在防火墻或者客戶端主機(jī)上留下掃描著的IP地址���。留下這個(gè)"罪證"對(duì)于掃描著可就非常不利了�����。另外在防火墻的配置上���,系統(tǒng)管理員可能允許某個(gè)特定的IP地址可以進(jìn)行掃描作業(yè)��。而其他IP地址發(fā)出的掃描數(shù)據(jù)包都會(huì)被過(guò)濾掉���。在這種情況下,無(wú)論是為了隱藏自己的真實(shí)身份��,又或者是冒用合法地址進(jìn)行NMAP掃描���,都需要用到一種叫做源地址哄騙的技術(shù)����。
??? 說(shuō)到這種技術(shù)���,我不得不說(shuō)說(shuō)最近出現(xiàn)的一種手機(jī)詐騙手段���,跟這個(gè)源地址哄騙非常類(lèi)似。有時(shí)候我們會(huì)接到朋友打過(guò)來(lái)的電話或者發(fā)過(guò)來(lái)的短消息���,要求我們匯錢(qián)過(guò)去��。雖然此時(shí)手機(jī)上顯示的是朋友的手機(jī)號(hào)碼���,其實(shí)發(fā)短信的人不一定是你的朋友��。因?yàn)楝F(xiàn)在有一種技術(shù)可以把發(fā)送者的手機(jī)號(hào)碼進(jìn)行修改��。發(fā)送者想顯示什么號(hào)碼就是什么號(hào)碼���。其實(shí)這個(gè)源地址哄騙跟這個(gè)手機(jī)號(hào)碼欺騙是類(lèi)似的道理。通過(guò)"nmap –s 掃描者IP地址 被掃描者IP地址"這種方式�,攻擊者可以把自己的IP地址隱藏掉,而采用一個(gè)假冒的IP地址��。無(wú)論這個(gè)IP地址是否在網(wǎng)絡(luò)中存在���,都可以使用��。在防火墻或者操作系統(tǒng)的日志上顯示的都是偽裝過(guò)的那個(gè)IP地址�。
??? 為此在選購(gòu)防火墻等安全產(chǎn)品的時(shí)候���,Linux系統(tǒng)管理員可以利用nmap –s命令來(lái)測(cè)試防火墻是否具有應(yīng)對(duì)源地址哄騙攻擊的手段。如先在防火墻上啟用日志功能�,然后利用nmap –s命令來(lái)掃描防火墻或者其他主機(jī)設(shè)備。再去查看相關(guān)的日志��?���?纯催@個(gè)日志中紀(jì)錄的IP地址信息是偽裝的IP地址還是掃描者真實(shí)的IP地址�����。通過(guò)這種方式就可以簡(jiǎn)單的判斷出防火墻等安全產(chǎn)品能否應(yīng)對(duì)類(lèi)似的源地址欺騙攻擊���。雖然日志記錄的攻擊者真實(shí)身份有點(diǎn)像放馬后炮,但是對(duì)于我們迅速查找攻擊者��,防止其再次發(fā)動(dòng)攻擊具有很大的價(jià)值���。為此一些安全產(chǎn)品中需要具備一些源地址哄騙的預(yù)防功能��。
??? 三���、利用誘餌實(shí)現(xiàn)隱蔽掃描。
??? 通過(guò)源地址哄騙可以隱藏掃描者的身份�,不過(guò)這種技術(shù)的話在一次掃描過(guò)程中之能夠偽裝一個(gè)IP地址。而目前比較流行的隱藏IP地址的方法是使用誘餌主機(jī)�����。簡(jiǎn)單的說(shuō),非法供給者可以采用網(wǎng)絡(luò)中正在使用的幾個(gè)IP地址當(dāng)作自己的IP地址�����,對(duì)網(wǎng)絡(luò)主機(jī)進(jìn)行掃描�。而安全設(shè)備的話,并不知道哪個(gè)IP地址是真實(shí)的IP地址�。如在防火墻上可能會(huì)紀(jì)錄某個(gè)IP地址的5-8個(gè)端口掃描。這是一種比較隱蔽的隱藏自身IP地址的有效手段���。
??? 更有趣的是攻擊者還可以把自己的真實(shí)IP地址也放入進(jìn)去��,以增加攻擊的挑戰(zhàn)性����,挑戰(zhàn)防守者的智慧���。如系統(tǒng)管理員可以通過(guò)ME選項(xiàng)將自己的IP地址放入到誘餌IP地址當(dāng)中����。通常情況下把自己的IP地址放在靠后的位置�����,則防火墻就很難檢測(cè)到這個(gè)真實(shí)的IP地址�。不過(guò)這個(gè)誘餌的IP地址數(shù)量不在于多,而在于精���。如把這一些具有比較高的權(quán)限的IP地址(如在Linux服務(wù)器上根據(jù)IP地址來(lái)實(shí)現(xiàn)一些防火墻策略)加入到誘餌主機(jī)列表中�����,將起到出奇制勝的效果���。而過(guò)多的誘餌地址反而會(huì)使得掃描時(shí)間過(guò)長(zhǎng)或者結(jié)果不準(zhǔn)確。最要命的是可能會(huì)導(dǎo)致被掃描網(wǎng)絡(luò)性能下降��,從而引起對(duì)方網(wǎng)絡(luò)管理員的注意�。
??? 其實(shí)誘餌技術(shù)現(xiàn)在也有了預(yù)防的方法。如通過(guò)路由追蹤��、響應(yīng)丟棄等方法���,可以用來(lái)防止攻擊者使用誘餌隱蔽掃描����。有時(shí)候這種安全機(jī)制對(duì)于企業(yè)很重要����。因?yàn)檎T餌隱蔽攻擊不但可以秘密收集到企業(yè)網(wǎng)路主機(jī)的重要信息����,為其后續(xù)攻擊做好準(zhǔn)備�����。而且nmap –D命令還容易引起SYN洪水攻擊���。如當(dāng)非法攻擊者所采用的誘餌主機(jī)并不在工作狀態(tài)時(shí)��,就會(huì)對(duì)目標(biāo)主機(jī)發(fā)起SYN洪水攻擊�。這是一個(gè)比較危險(xiǎn)的攻擊手段��。
??? 既然現(xiàn)在已經(jīng)有了解決方案來(lái)應(yīng)對(duì)誘餌隱蔽掃描����,那么Linux系統(tǒng)管理員或者網(wǎng)絡(luò)工程師所要做的就是來(lái)測(cè)試防火墻或者其他的安全產(chǎn)品是否提供了類(lèi)似的解決方案。有時(shí)候往往不能夠光靠對(duì)方業(yè)務(wù)員的描述��,而需要我們來(lái)進(jìn)行測(cè)試��。那么利用這個(gè)nmap 命令顯然可以幫助我們來(lái)進(jìn)行這方面的測(cè)試�。
??? 在nmap命令中���,類(lèi)似的選項(xiàng)還有很多��。如可以通過(guò)source-port選項(xiàng)���,來(lái)實(shí)現(xiàn)源端口哄騙;如利用date-length選項(xiàng)�����,在發(fā)送報(bào)文時(shí)附加有害的數(shù)據(jù);通過(guò)spoof-mac選項(xiàng)�����,實(shí)現(xiàn)MAC地址哄騙��,這個(gè)跟源地址欺騙結(jié)合可以讓MAC地址與IP地址捆綁等安全策略失效;等等�����。這些選項(xiàng)如果被非法攻擊者利用����,無(wú)疑會(huì)威脅到Linux網(wǎng)絡(luò)的安全��。但是,如果我們能夠事先采用這些選項(xiàng)來(lái)測(cè)試自己網(wǎng)絡(luò)與主機(jī)的安全性�����,并率先把這些漏洞補(bǔ)上了�����。那么非法攻擊者也只好無(wú)功而返了����。所以我認(rèn)為工具無(wú)所謂好壞,主要就看使用者的心態(tài)了�����。為此我建議各位不妨利用NMAP命令跟自己企業(yè)的防火墻等安全產(chǎn)品玩玩躲貓貓的游戲���,來(lái)判斷一下所謂的安全防護(hù)體系是否真的安全�����。
關(guān)鍵詞標(biāo)簽:linux,NMAP命令,防火墻
安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程