• Linux系统扫描技术及安全防范


    1.概述
    一、主机扫描
    二、路由扫描
    三、批量服务扫描
    四、linux防范恶意扫描安全策略

    一个典型的网络安全事件
    ·案例:通过网络扫描方式获取某运营商核心设备管理权限
    step01:通过tracert路由跟踪一个公网地址,发现有走内网的核心设备转发,tracert的作用。例如:tracert www.jd.com
    step02:通过端口范围扫描nmap,得知开放了80(http)、23(Telnet)端口。nmap用于批量主机服务扫描。
    step03:尝试进行暴力破解,发现登录http://10.202.4.73,可以用弱口令进行登录(admin/admin).
    step04:登录到管理界面后,尝试用nc命令进行交互式shell操作。
    step05:可以进行任意的操作。

    总结:
    一、网络入侵方式
    踩点 - 网络扫描 - 查点 - 提权 等
    二、实例中运用到的命令
    tracert、nmap、nc
    ===================================================================================
    2.fping应用
    主机扫描命令fping
    作用: 批量地给目标主机发送ping请求,测试主机的存活情况。
    特点: 并行发送、结果易读

    检测配置(./configure)->编译(make)->安装(make install)


    fping安装步骤:
    1.获取源码包(http://fping.org/)登录终端软件:SecureCRT
    # wget http://fping.org/dist/fping-3.10.tar.gz
    # ls
    # tar -xvf fping-3.10.tar.gz
    # ls
    # cd fping-3.10
    # ls
    # more INSTALL(提示)
    # ./configure
    # make
    # make install
    # ls /usr/local/sbin/fping
    # echo $PATH
    # fping -h
    # fping -v
    # pwd

    fping参数介绍:
    一、命令参数man、-h方式
    二、常用参数介绍
    -a 只显示出存活的主机(相反参数-u)
    1.通过标准输入方式 fping + IP1 + IP2
    -g 支持主机段的方式 192.168.1.1 192.168.1.255 192.168.1.0/24
    2.通过读取一个文件中的IP内容
    方式:fping -f filename
    演示:
    # ls
    # man fping
    # fping -h
    # fping 10.10.140.221 10.10.140.222
    # fping -a 10.10.140.221 10.10.140.222
    # fping -a -g 10.10.140.1 10.10.140.200
    # fping -a -g 10.10.140.1/24

    # mkdir /opt/myfile
    # cd /opt/myfile
    # vim ip_list.txt
    进行编辑
    # fping -a -f ./ip_list.txt
    # fping -u -f ./ip_list.txt

    =======================================================================
    3.hping应用
    主机扫描命令hping
    特点:支持使用的TCP/IP数据包组装、分析工具
    官方站点:http://www.hping.org/
    需要依赖安装:
    apt-get install libpcap-devel/yum install libcap-devel
    ln -s /usr/include/pcap-bpf.h /usr/include/net/bpf.h
    安装步骤:
    ./configure && make && make install


    # ls
    # wget https://github.com/antirez/hping/archive/master.zip
    # ls
    # file master
    # unzip master
    # ls
    # cd hping-master
    # ls
    # sudo apt-get install libpcap-devel
    # ./configure
    # make
    # ./hping3 -v 进行检查版本
    # make install
    如果make install报错,则输入# rm -rf /usr/sbin/hping*,然后再make install
    # hping -h
    # hping -v

    hping参数介绍:
    一、对制定目标端口发起tcp探测
    -p 端口
    -S 设置TCP模式SYN包

    二、伪造来源IP,模拟Ddos攻击。
    -a 伪造IP地址

    # hping -v
    # ls
    # netstat -ltn
    # hping -p 22 -S 10.10.163.233
    # ping 10.10.163.233

    # tcpdump -np -ieth1 src host 10.10.163.235

    ==========================================================================

    4.路由扫描
    作用:查询一个主机到另一个主机的经过的路由的跳数、及数据延迟情况。
    常用工具:traceroute、mtr
    mtr特点:能测试出主机到每一个路由间的联通性。

    traceroute参数作用:
    # tra
    # traceroute --help
    # whereis traceroute
    # apt-get/yum install traceroute

    traceroute参数介绍:
    1.默认使用的是UDP协议(30000上的端口)
    2.使用TCP协议 -T -p
    3.使用ICMP协议介绍 -I
    # traceroute www.baidu.com
    # traceroute -n www.baidu.com
    # traceroute -In www.baidu.com
    # traceroute -T -p 80 -n www.baidu.com

    mtr使用:
    # mtr --help
    # man mtr
    # mtr www.baidu.com
    ===========================================================================

    5.批量主机服务扫描
    目的:1、批量主机存活扫描。2、针对主机服务扫描。
    作用:
    1、能更方便快捷获取网络中主机的存活状态。
    2、更加细致、智能获取主机服务侦查情况。
    典型命令:nmap、ncat

    namp使用:
    # whereis nmap
    # nmap -sP 10.10.140.0/24
    # netstat -ltpn
    # nmap -sS 10.10.163.233
    # nmap -sS -p 0-30000 10.10.163.233
    # nmap -sT -p 0-30000 10.10.163.233
    # nmap -sU 10.10.163.233

    ncat工具使用:
    组合参数:
    -w 设置的超时时间
    -z 一个输入输出模式
    -v 显示命令执行过程
    方式一、基于tcp协议(默认)
    nc -v -z -w2 10.10.250.254 1-50
    方式二、基于udp协议-u
    nc -v -u -z -w2 10.10.250.254 1-50
    ===========================================================================
    6.防攻击介绍
    常见的攻击方法:
    1.SYN攻击:利用TCP协议缺陷进行,导致系统服务停止响应,网络宽带跑满或者响应缓慢。
    SYN类型DDOS攻击预防:
    方式1、减少发送syn+ack包时重试次数
    sysctl -w net.ipv4.tcp_synack_retries=3
    sysctl -w net.ipv4.tcp_syn_retries=3
    方式2、SYN cookies技术
    sysctl -w net.ipv4.tcp_syncookies=1
    方式3、增加backlog队列
    sysctl -w net.ipv4.tcp_max_syn_backlog=2048

    2.DDOS攻击:分布式访问拒绝服务攻击。
    3.恶意扫描

    Linux下其他预防策略
    策略1、如何关闭ICMP协议请求
    sysctl -w net.ipv4.icmp_echo_ignore_all=1
    策略2、通过iptables防止扫描
    iptables -A FORWARD -p tcp -syn -m limit -limit 1/s -limit-burst 5 -j ACCEPT

  • 相关阅读:
    laravel5.1框架简介及安装
    数据结构之队列定义及基本操作实现
    PHP之闭包详解
    数据结构之栈定义及基本操作实现
    PHP之MVC微型框架简单搭建
    对web应用中单一入口模式的理解及php实现
    php面向对象编程学习之高级特性
    数据结构之链表定义及基本操作实现
    数据结构之数组定义及基本操作
    感悟
  • 原文地址:https://www.cnblogs.com/abelsu/p/5195452.html
Copyright © 2020-2023  润新知