Linux系统扫描技术及安全防范
一、主机扫描
1、关于网络安全技术
保障数据在互联网的‘真实’、‘可靠’、‘完整’、‘可控’性传输与存储;
通过网络扫描、查点、系统服务扫描等手段,基于网络的入侵大道窃取敏感信息。
tracert
nmap:批量主机服务扫描。
nc
主机扫描命令:fping安装
作用:批量给目标主机发送ping请求,测试主机的存活情况。
特点:并行发送、结果易读
安装:源码包方式安装fping。下载地址:http://fping.org
主机扫描命令:hping安装
特点:支持使用的TCP/IP数据包组装、分析工具。 (比如禁止ping的主机也可以检测)
下载地址:http://www.hping.org
安装钱需要先安装libpcap-devel。可以yum安装。或者下载rpm包,下载地址:http://rpmfind.net
安装libpcap后还要做个软连接:
ln -sf /usr/include/pcap-bpf.h /usr/include/net/bpf.h
然后还要yum install tcl tcl-devel,就可以开似乎编译安装hping了。
hping参数:
1、对制定目标端口发起tcp探测。(规避主机对ICMP的屏蔽)
-p 端口
-S 设置TCP模式SYN包
2、伪造来源IP,模拟Ddos攻击
-a 伪造IP地址
hping -p 22 -S 127.0.0.1 -a 127.1.1.2
后面一个ip就是伪造的ip。
二、路由扫描
作用:查询一个主机到另外一个主机的经过的路由的跳数、及数据延迟情况。
例如:
windows的trancert、winMTR
linux的traceroute、mtr
linux下是发送udp的报文(大于30000端口)、windows下是发送的ICMP报文。
例如使用TCP协议:
traceroute -T -p 80 www.imooc.com -n
三、批量服务扫描
目的:
1、批量主机存活扫描;
2、针对主机服务扫描;
作用:
1、能更方便快捷获取网络中主机的存活状态;
2、更加细致、只能获取主机服务侦查情况。
典型命令:
1、nmap
nmap -sP www.imdupeng.cn //ICMP协议类型(ping扫描),简单、快速、有效
nmap -sS www.imdupeng.cn //TCP SYN扫描(TCP半开放扫描),高效、不易被检测、通用
nmap -sT www.imdupeng.cn //TCP connect扫描(TCP全开放扫描),真实、结果可靠
nmap -sU www.imdupeng.cn //UDP扫描(UDP协议扫描),有效透过防火墙策略、速度非常慢
以上是使用的默认扫描的1~1000端口,自定义扫描范围:
nmap -sT -p 1~5000 www.imdupeng.cn //用TCP扫描1~5000的端口
2、ncat (netcat)外号瑞士军刀
组合参数:
-w 设置超时时间
-z 一个输入输出的模式(控制输出效果)
-v 显示命令执行过程
实例:
方式一、基于tcp协议(默认)
nc -v -z -w2 127.0.0.1 1-50
方式二、基于udp协议-u
nc -v -u -z -w2 127.0.0.1 1-50
预防策略
常见攻击方法:
一、SYN攻击:
利用TCP协议缺陷(TCP三次握手),导致系统服务停止响应,网络带宽跑满或者响应缓慢;
防御方法:
1、减少发送syn+ack包重试次数;
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3
2、SYN cookies技术
sysctl -w net.ipv4.tcp_syncookies=1
3、增加backlog队列
sysctl -w net.ipv4.tcp_max_syn_backlog = 2048 增大数值
以上三点可直接修改/etc/sysctl.conf文件,永久性配置。
4、关闭ICPM协议请求
sysctl -w net.ipv4.icmp_echo_ignore_all=1
5、或者通过iptables防止扫描
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flag SYN,ACK,FIN,RST TST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
