1.概述
一、主机扫描
二、路由扫描
三、批量服务扫描
四、linux防范恶意扫描安全策略
一个典型的网络安全事件
·案例:通过网络扫描方式获取某运营商核心设备管理权限
step01:通过tracert路由跟踪一个公网地址,发现有走内网的核心设备转发,tracert的作用。例如:tracert www.jd.com
step02:通过端口范围扫描nmap,得知开放了80(http)、23(Telnet)端口。nmap用于批量主机服务扫描。
step03:尝试进行暴力破解,发现登录http://10.202.4.73,可以用弱口令进行登录(admin/admin).
step04:登录到管理界面后,尝试用nc命令进行交互式shell操作。
step05:可以进行任意的操作。
总结:
一、网络入侵方式
踩点 - 网络扫描 - 查点 - 提权 等
二、实例中运用到的命令
tracert、nmap、nc
===================================================================================
2.fping应用
主机扫描命令fping
作用: 批量地给目标主机发送ping请求,测试主机的存活情况。
特点: 并行发送、结果易读
检测配置(./configure)->编译(make)->安装(make install)
fping安装步骤:
1.获取源码包(http://fping.org/)登录终端软件:SecureCRT
# wget http://fping.org/dist/fping-3.10.tar.gz
# ls
# tar -xvf fping-3.10.tar.gz
# ls
# cd fping-3.10
# ls
# more INSTALL(提示)
# ./configure
# make
# make install
# ls /usr/local/sbin/fping
# echo $PATH
# fping -h
# fping -v
# pwd
fping参数介绍:
一、命令参数man、-h方式
二、常用参数介绍
-a 只显示出存活的主机(相反参数-u)
1.通过标准输入方式 fping + IP1 + IP2
-g 支持主机段的方式 192.168.1.1 192.168.1.255 192.168.1.0/24
2.通过读取一个文件中的IP内容
方式:fping -f filename
演示:
# ls
# man fping
# fping -h
# fping 10.10.140.221 10.10.140.222
# fping -a 10.10.140.221 10.10.140.222
# fping -a -g 10.10.140.1 10.10.140.200
# fping -a -g 10.10.140.1/24
# mkdir /opt/myfile
# cd /opt/myfile
# vim ip_list.txt
进行编辑
# fping -a -f ./ip_list.txt
# fping -u -f ./ip_list.txt
=======================================================================
3.hping应用
主机扫描命令hping
特点:支持使用的TCP/IP数据包组装、分析工具
官方站点:http://www.hping.org/
需要依赖安装:
apt-get install libpcap-devel/yum install libcap-devel
ln -s /usr/include/pcap-bpf.h /usr/include/net/bpf.h
安装步骤:
./configure && make && make install
# ls
# wget https://github.com/antirez/hping/archive/master.zip
# ls
# file master
# unzip master
# ls
# cd hping-master
# ls
# sudo apt-get install libpcap-devel
# ./configure
# make
# ./hping3 -v 进行检查版本
# make install
如果make install报错,则输入# rm -rf /usr/sbin/hping*,然后再make install
# hping -h
# hping -v
hping参数介绍:
一、对制定目标端口发起tcp探测
-p 端口
-S 设置TCP模式SYN包
二、伪造来源IP,模拟Ddos攻击。
-a 伪造IP地址
# hping -v
# ls
# netstat -ltn
# hping -p 22 -S 10.10.163.233
# ping 10.10.163.233
# tcpdump -np -ieth1 src host 10.10.163.235
==========================================================================
4.路由扫描
作用:查询一个主机到另一个主机的经过的路由的跳数、及数据延迟情况。
常用工具:traceroute、mtr
mtr特点:能测试出主机到每一个路由间的联通性。
traceroute参数作用:
# tra
# traceroute --help
# whereis traceroute
# apt-get/yum install traceroute
traceroute参数介绍:
1.默认使用的是UDP协议(30000上的端口)
2.使用TCP协议 -T -p
3.使用ICMP协议介绍 -I
# traceroute www.baidu.com
# traceroute -n www.baidu.com
# traceroute -In www.baidu.com
# traceroute -T -p 80 -n www.baidu.com
mtr使用:
# mtr --help
# man mtr
# mtr www.baidu.com
===========================================================================
5.批量主机服务扫描
目的:1、批量主机存活扫描。2、针对主机服务扫描。
作用:
1、能更方便快捷获取网络中主机的存活状态。
2、更加细致、智能获取主机服务侦查情况。
典型命令:nmap、ncat
namp使用:
# whereis nmap
# nmap -sP 10.10.140.0/24
# netstat -ltpn
# nmap -sS 10.10.163.233
# nmap -sS -p 0-30000 10.10.163.233
# nmap -sT -p 0-30000 10.10.163.233
# nmap -sU 10.10.163.233
ncat工具使用:
组合参数:
-w 设置的超时时间
-z 一个输入输出模式
-v 显示命令执行过程
方式一、基于tcp协议(默认)
nc -v -z -w2 10.10.250.254 1-50
方式二、基于udp协议-u
nc -v -u -z -w2 10.10.250.254 1-50
===========================================================================
6.防攻击介绍
常见的攻击方法:
1.SYN攻击:利用TCP协议缺陷进行,导致系统服务停止响应,网络宽带跑满或者响应缓慢。
SYN类型DDOS攻击预防:
方式1、减少发送syn+ack包时重试次数
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3
方式2、SYN cookies技术
sysctl -w net.ipv4.tcp_syncookies=1
方式3、增加backlog队列
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
2.DDOS攻击:分布式访问拒绝服务攻击。
3.恶意扫描
Linux下其他预防策略
策略1、如何关闭ICMP协议请求
sysctl -w net.ipv4.icmp_echo_ignore_all=1
策略2、通过iptables防止扫描
iptables -A FORWARD -p tcp -syn -m limit -limit 1/s -limit-burst 5 -j ACCEPT