Ping掃描(Ping Sweeping)]
[端口掃描(Port Scanning)]
[隱蔽掃描(Stealth Scanning)]
[UDP掃描(UDP Scanning)]
[操作系統識別(OS Fingerprinting)]
[Ident掃描(Ident Scanning)]
[選項(Options)]
[小結]
簡介:
 最近媒體報道了許多關于入侵網絡的新聞,使人們總以為入侵者只需通過簡單工具就可獲得電腦的訪問權限.但實際上,事情并不是想象中的這么簡單.黑客想要入侵一臺電腦,首先要有一套完整的計劃.在入侵系統之前,黑客必須先找到一臺目標主機,并查出哪些端口在監(jiān)聽之后才能進行入侵.
找出網絡上的主機,測試哪些端口在監(jiān)聽,這些工作通常是由掃描來實現的.掃描網絡是黑客進行入侵的第一步.通過使用掃描器(如Nmap)掃描網絡,尋找存在漏洞的目標主機.一旦發(fā)現了有漏洞的目標,接下來就是對監(jiān)聽端口的掃描.Nmap通過使用TCP協議棧指紋準確地判斷出被掃主機的操作系統類型.
本文全方位地介紹Nmap的使用方法,可以讓安全管理員了解在黑客眼中的站點.并通過使用它,安全管理員可以發(fā)現自己網站的漏洞,并逐步完善自己的系統.
   Nmap是在免費軟件基金會的GNU General Public License (GPL)下發(fā)布的,可從
www.insecure.org/nmap
站點上免費下載.下載格式可以是tgz格式的源碼或RPM格式.目前較穩(wěn)定的版本是2.12.帶有圖形終端,本文集中討論Nmap命令的使用. Nmap的語法相當簡單.Nmap的不同選項和-s標志組成了不同的掃描類型,比如:一個Ping-scan命令就是"-sP".在確定了目標主機和網絡之后,即可進行掃描.如果以root來運行Nmap,Nmap的功能會大大的增強,因為超級用戶可以創(chuàng)建便于Nmap利用的定制數據包.
在目標機上,Nmap運行靈活.使用Nmap進行單機掃描或是整個網絡的掃描很簡單,只要將帶有"/mask"的目標地址指定給Nmap即可.地址是"victim/24", 則目標是c類網絡,地址是"victim/16", 則目標是B類網絡.
另外,Nmap允許你使用各類指定的網絡地址,比如 1Array2.168.7.*,是指1Array2.168.7.0/24, 或 1Array2.168.7.1,4,8-12,對所選子網下的主機進行掃描.
Ping掃描(Ping Sweeping)
  入侵者使用Nmap掃描整個網絡尋找目標.通過使用" -sP"命令,進行ping掃描.缺省情況下,Nmap給每個掃描到的主機發(fā)送一個ICMP echo和一個TCP ACK, 主機對任何一種的響應都會被Nmap得到.
舉例:掃描1Array2.168.7.0網絡:
# nmap -sP 1Array2.168.7.0/24
Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/)
Host (1Array2.168.7.11) appears to be up.
Host (1Array2.168.7.12) appears to be up.
Host (1Array2.168.7.76) appears to be up.
Nmap run completed -- 256 IP addresses (3 hosts up) scanned in 1 second
如果不發(fā)送ICMP echo請求,但要檢查系統的可用性,這種掃描可能得不到一些站點的響應.在這種情況下,一個TCP"ping"就可用于掃描目標網絡.
一個TCP"ping"將發(fā)送一個ACK到目標網絡上的每個主機.網絡上的主機如果在線,則會返回一個TCP RST響應.使用帶有ping掃描的TCP ping選項,也就是"PT"選項可以對網絡上指定端口進行掃描(本文例子中指的缺省端口是80(http)號端口),它將可能通過目標邊界路由器甚至是防火墻.注意,被探測的主機上的目標端口無須打開,關鍵取決于是否在網絡上.
# nmap -sP -PT80 1Array2.168.7.0/24
TCP probe port is 80
Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/)
Host (1Array2.168.7.11) appears to be up.
Host (1Array2.168.7.12) appears to be up.
Host (1Array2.168.7.76) appears to be up.
Nmap run completed -- 256 IP addresses (3 hosts up) scanned in 1 second
當潛在入侵者發(fā)現了在目標網絡上運行的主機,下一步是進行端口掃描.
Nmap支持不同類別的端口掃描TCP連接, TCP SYN, Stealth FIN, Xmas Tree,Null和UDP掃描.
端口掃描(Port Scanning)
 一個攻擊者使用TCP連接掃描很容易被發(fā)現,因為Nmap將使用connect()系統調用打開目標機上相關端口的連接,并完成三次TCP握手.黑客登錄到主機將顯示開放的端口.一個tcp連接掃描使用"-sT"命令如下.
# nmap -sT 1Array2.168.7.12
Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/)
Interesting ports on (1Array2.168.7.12):
Port State Protocol Service
7 open tcp echo
Array open tcp discard
13 open tcp daytime
1Array open tcp chargen
21 open tcp ftp
...
Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds
隱蔽掃描(Stealth Scanning)
   如果一個攻擊者不愿在掃描時使其信息被記錄在目標系統日志上,TCP SYN掃描可幫你的忙,它很少會在目標機上留下記錄,三次握手的過程從來都不會完全實現.通過發(fā)送一個SYN包(是TCP協議中的第一個包)開始一次SYN的掃描.任何開放的端口都將有一個SYN|ACK響應.然而,攻擊者發(fā)送一個RST替代ACK,連接中止.三次握手得不到實現,也就很少有站點能記錄這樣的探測.如果是關閉的端口,對最初的SYN信號的響應也會是RST,讓NMAP知道該端口不在監(jiān)聽."-sS"命令將發(fā)送一個SYN掃描探測主機或網絡:
# nmap -sS 1Array2.168.7.7
Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/)
Interesting ports on saturnlink.nac.net (1Array2.168.7.7):
Port State Protocol Service
21 open tcp ftp
25 open tcp smtp
53 open tcp domain
80 open tcp http
...
Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
雖然SYN掃描可能不被注意,但他們仍會被一些入侵檢測系統捕捉.Stealth FIN,Xmas樹和Null scans可用于躲避包過濾和可檢測進入受限制端口的SYN包.這三個掃描器對關閉的端口返回RST,對開放的端口將吸收包.一個 FIN "-sF"掃描將發(fā)送一個FIN包到每個端口.
    然而Xmas掃描"-sX"打開FIN, URG和PUSH的標志位,一個Null scans "-sN"關閉所有的標志位.因為微軟不支持TCP標準,所以FIN, Xmas Tree和Null scans在非微軟公司的操作系統下才有效.
UDP掃描(UDP Scanning)
   如果一個攻擊者尋找一個流行的UDP漏洞,比如 rpcbind漏洞或cDc Back Orifice.為了查出哪些端口在監(jiān)聽,則進行UDP掃描,即可知哪些端口對UDP是開放的.Nmap將發(fā)送一個O字節(jié)的UDP包到每個端口.如果主機返回端口不可達,則表示端口是關閉的.但這種方法受到時間的限制,因為大多數的UNIX主機限制ICMP錯誤速率.幸運的是,Nmap本身檢測這種速率并自身減速,也就不會產生溢出主機的情況.
# nmap -sU 1Array2.168.7.7
WARNING: -sU is now UDP scan -- for TCP FIN scan use -sF
Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/)
Interesting ports on saturnlink.nac.net (1Array2.168.7.7):
Port State Protocol Service
53 open udp domain
111 open udp sunrpc
123 open udp ntp
137 open udp netbios-ns
138 open udp netbios-dgm
177 open udp xdmcp
1024 open udp unknown
Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds
操作系統識別(OS Fingerprinting)
 通常一個入侵者可能對某個操作系統的漏洞很熟悉,能很輕易地進入此操作系統的機器.一個常見的選項是TCP/IP上的指紋,帶有"-O"選項決定遠程操作系統的類型.這可以和一個端口掃描結合使用,但不能和ping掃描結合使用.Nmap通過向主機發(fā)送不同類型的探測信號,縮小查找的操作系統系統的范圍.指紋驗證TCP包括使用FIN探測技術發(fā)現目標機的響應類型.BOGUS的標志探測,發(fā)現遠程主機對發(fā)送的帶有SYN包的不明標志的反應,TCP 初始序列號(ISN)取樣發(fā)現ISN數值的樣式,也可以用另外的方式決定遠程操作系統.有一篇權威的關于指紋(fingertprinting)的文章,作者:Fyodor,也是namp的作者,參見地址:http://www.insecure.org/nmap/nmap-fingerprinting-article.html
Nmap’s操作系統的檢測是很準確也是很有效的,舉例:使用系統Solaris 2.7帶有SYN掃描的指紋驗證堆棧.
# nmap -sS -O 1Array2.168.7.12
Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/)
Interesting ports on comet (1Array2.168.7.12):
Port State Protocol Service
7 open tcp echo
Array open tcp discard
13 open tcp daytime
1Array open tcp chargen
21 open tcp ftp
...
TCP Sequence Prediction: Class=random positive increments
Difficulty=17818 (Worthy challenge)
Remote operating system guess: Solaris 2.6 - 2.7
Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds
Ident掃描(Ident Scanning)
 一個攻擊者常常尋找一臺對于某些進程存在漏洞的電腦.比如,一個以root運行的WEB服務器.如果目標機運行了identd,一個攻擊者使用Nmap通過"-I"選項的TCP連接,就可以發(fā)現哪個用戶擁有http守護進程.我們將掃描一個Linux WEB服務器為例:
# nmap -sT -p 80 -I -O www.yourserver.com
Starting nmap V. 2.12 by Fyodor ([email protected], www.insecure.org/nmap/)
Interesting ports on www.yourserver.com (xxx.xxx.xxx.xxx):
Port State Protocol Service Owner
80 open tcp http root
TCP Sequence Prediction: Class=random positive increments
Difficulty=11404Array2 (Good luck!)
Remote operating system guess: Linux 2.1.122 - 2.1.132; 2.2.0-pre1 - 2.2.2
Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
如果你的WEB服務器是錯誤的配置并以root來運行,象上例一樣,它將是黎明前的黑暗.
Apache運行在root下,是不安全的實踐,你可以通過把/etc/indeed.conf中的auth服務注銷來阻止ident請求,并重新啟動ident.另外也可用使用ipchains或你的最常用的防火墻,在網絡邊界上執(zhí)行防火墻規(guī)則來終止ident請求,這可以阻止來路不明的人探測你的網站用戶擁有哪些進程.
選項(Options)
 除了以上這些掃描,Nmap還提供了無數選項.有一個是"-PT",,我們已經介紹過了.在目標機或網絡上常見的未經過濾的端口,進行TCP "ping"掃描.
另一個選項是"-P0".在缺省設置下試圖掃描一個端口之前,Nmap將用TCP ping" 和 ICMP echo命令ping一個目標機,如果ICMP 和TCP的探測掃描得不到響應,目標主機或網絡就不會被掃描,即使他們是運行著的.而"-P0"選項允許在掃描之前不進行ping,即可進行掃描.
你應該習慣使用"-v"命令,它詳細列出所有信息,能和所有的掃描選項一起使用.你能反復地使用這個選項,獲得有關目標機的更多信息.
使用"-p "選項,可以指定掃描端口.比如 ,攻擊者想探測你的web服務器的ftp(port 21),telnet (port 23), dns (port 53), http (port 80),想知道你所使用的操作系統,它將使用SYN掃描.
# nmap -sS -p 21,23,53,80 -O -v
www.yourserver.com

小結:
   使用什么樣的方法來抵制一個黑客使用Nmap,這樣的工具是有的,比如 Scanlogd, Courtney, and Shadow;,然而使用這樣的工具并不能代替網絡安全管理員.因為掃描只是攻擊的前期準備,站點使用它只可以進行嚴密的監(jiān)視.
使用Nmap監(jiān)視自己的站點,系統和網絡管理員能發(fā)現潛在入侵者對你的系統的探測.