Webmaster網絡安全講座：第六講偵察手段與工具 如你先前所知，黑客和安全審計人員采取的第一步都是偵查網絡。在本講中，你將接觸一些網絡偵查的工具和方法。 安全掃描 安全掃描以各種各樣的方式進行。你將利用Ping和端口掃描程序來偵查網絡,你當然也可以使用客戶端/服務器程序，如Telnet和SNMP等，來偵查網絡泄漏的有用信息。你應當利用一些工具來了解網絡。有些工具很簡單，便于安裝和使用。有時，審計人員和黑客利用程序語言如Perl, C,C++和Java自己編制一些工具,這是因為他們找不到現成的針對某種漏洞的工具。 另外一些工具功能更全面，但是在使用前需要認真地配置。專門從事網絡管理和安全的公司出售這些工具。你將在本課中學習使用這些工具。好的網絡級和主機級掃描器會試圖監聽和隔離進出網絡和主機的所有會話包。在學習這些“Hacker-in-a-box”的解決方案前，你應當先接觸一些當前黑客常常使用的技巧。 Whois命令 Whois〔類似于finger〕是一種internet的目錄服務，whois 提供了在Internet上一臺主機或某個域的所有者的信息，如管理員的姓名、通信地址、電話號碼和Email地址等信息，這些信息是在官方網站whois server上注冊的，如保存在InterNIC的數據庫內。Whois命令通常是安全審計人員了解網絡情況的開始。一旦你得到了Whois記錄，從查詢的結果還可得知primary和secondary域名服務器的信息。 nslookup 使用DNS的排錯工具nslookup，你可以利用從whois查詢到的信息偵查更多的網絡情況。例如，使用nslookup命令把你的主機偽裝成secondary DNS服務器，如果成功便可以要求從主DNS服務器進行區域傳送。要是傳送成功的話，你將獲得大量有用信息，包括： ·使用此DNS服務器做域名解析到所有主機名和IP地址的映射情況 ·公司使用的網絡和子網情況 · 主機在網絡中的用途。許多公司使用帶有描述性的主機名，像，和。 使用nslookup實現區域傳送的過程 （1）使用whois命令查詢目標網絡，例如在Linux提示符下輸入whois （2）你會得到目標網絡的primary和slaveDNS服務器的信息。例如，假設主DNS服務器的名字是 （3）使用交互查詢方式，缺省情況下nslookup會使用缺省的DNS服務器作域名解析。鍵入命令server 定位目標網絡的DNS服務器； （4）列出目標網絡DNS服務器的內容，如ls 。此時DNS服務器會把數據傳送給你，當然，管理員可以禁止DNS服務器進行區域傳送，目前很多公司將DNS服務器至于防火墻的保護之下并嚴格設定了只能向某些主機進行區域傳送。 一旦你從區域傳送中獲得了有用信息，你便可以對每臺主機實施端口掃描以確定它們提供了那些服務。如果你不能實現區域傳送，你還可以借助ping和端口掃描工具，當然還有traceroute。 host Host命令是UNIX提供的有關Internet域名查詢的命令，可實現主機名到IP地址的映射，反之亦然。用host命令可實現以下功能： ·實現區域傳送 ·獲得名稱解析信息 ·得知域中郵件服務器的信息 參數-v可顯示更多的信息，參數-l實現區域傳送，參數-t允許你查詢特定的DNS記錄。例如，要查詢域的郵件服務器的記錄，你需要鍵入命令： host－tmx你可以參考UNIX命令幫助獲得更多信息。 Traceroute（tracert） Traceroute 用于路由追蹤，如判斷從你的主機到目標主機經過哪些路由器、跳計數、響應時間如何、是否有路由器當掉等。大多數操作系統，包括UNIX，Novell和Windows NT，若配置了TCP/IP協議的話都會有自己版本的traceroute程序。當然我們也可以使用其它一些第三方的路由追蹤軟件，在后面我們會接觸到這些工具。 使用traceroute，你可以推測出網絡的物理布局，包括該網絡連接Internet所使用的路由器。traceroute還可以判斷出響應較慢的節點和數據包在路由過程中的跳計數。 Ping掃描作用及工具 Ping一個公司的Web服務器可幫助你獲得該公司所使用的IP地址范圍。一旦你得知了HTTP服務器的IP地址，你可以使用Ping掃描工具Ping該子網的所有IP地址，這可以幫助你得到該網絡的地址圖。 如下圖所示，你可以使用ping掃描工具偵查出網絡的物理拓撲情況。 Ping掃描程序將自動掃描你所指定的IP地址范圍。WS_Ping ProPack工具包中集成有Ping掃描程序，單獨的Ping工具有許多，Rhino9Pinger是比較流行的程序。 端口掃描 端口掃描與ping掃描相似,不同的是端口掃描不僅可以返回IP地址，還可以發現目標系統上活動的UDP和TCP端口。如圖所示是一次端口掃描所偵查到的服務的情況。 在本例中，地址0正在運行SMTP和Telnet服務，地址2正在運行FTP服務，主機4未運行任何可辨別的服務，而主機6運行著SMTP服務。最后一臺主機屬于Microsoft網絡，因為該網絡使用UDP137和TCP138、139端口。 端口掃描軟件 端口掃描器是黑客最常使用的工具。一些單獨使用的端口掃描工具象Port Scanner1.1，定義好IP地址范圍和端口后便可開始實施掃描。還有許多單獨使用的端口掃描器，如UltraScan等。像Ping掃描器，許多工具也集成了端口掃描器。NetScan、Ping Pro和其它一些程序包集成了盡可能多的相關程序。你將發現許多企業級的網絡產品也將ping和端口掃描集成起來。 網絡偵查和服務器偵查程序 如圖2-9所示，使用簡單的程序如PingPro，你可以偵查出Microsoft的網絡上開啟的端口。Ping Pro的工作是通過監測遠程過程調用服務所使用的TCP、UDP135端口，和Microsoft 網絡會話所使用的UDP137，138，和139端口來實現的。其它的網絡掃描工具允許你監測UNIX，Novell，AppleTalk的網絡。雖然Ping Pro只能工作在其安裝的特定子網，但還有更多更復雜的工具，這些工具的設計者把它們設計成為可以識別更多的網絡和服務類型的程序。 例如，NMAP是UNIX下的掃描工具，它可以識別不同操作系統在處理TCP/IP協議上細微的差別。你可以從Http://獲得該程序。其它類似的程序還包括checkos,queso和SATAN。 堆棧指紋 許多本課中介紹的程序都利用堆棧指紋技術，這種技術允許你利用TCP/IP來識別不同的操作系統和服務。因為大多數的系統管理員注意到信息的泄露而且屏蔽了系統標志，所以應用堆棧指紋的技術十分必要。但是，各個廠商和系統處理TCP/IP協議的特征是管理員所難以更改的。許多審計人員和黑客記錄下這些TCP/IP應用的細微差別，并針對各種系統構建了堆棧指紋表。 要想了解操作系統間處理TCP/IP協議的差異需要向這些系統的IP和端口發送各種特殊的包。根據這些系統對包的回應的差別，你可以推斷出操作系統的種類。例如，你可以向主機發送FIN包（或任何不含有ACK或SYN標志的包），你會從下列操作系統獲得回應： ·MicrosoftWindowsNT,98,95,和3.11 ·FreeBSD ·CISCO ·HP/UX 大多數其它系統不會回應。雖然你只不過縮小了一點范圍,但這至少開始了你對目標系統的了解。如果你向目標系統發送的報文頭有未定義標志的TCP包的話，2.0.35版本以前的LINUX系統會在回應中加入這個未定義的標志。這種特定的行為使你可以判斷出目標主機上是否運行該種LINUX操作系統。 下列是堆棧指紋程序利用的部分特征，許多操作系統對它們的處理方式不同： ·ICMP錯誤信息抑制 ·服務類型值(TOS) ·TCP/IP選項 ·對SYNFLOOD的抵抗力 · TCP初始窗口：只要TCP開始進行三次握手，總是先發出一個SYN包。像NMAP這樣的程序會發出一個SYN包欺騙操作系統作回應。堆棧指紋程序可以從回應報文的格式中推論出目標操作系統的一些情況。 NMAP NMAP由于功能強大、不斷升級和免費的原因十分流行。它對網絡的偵查十分有效是基于兩個原因。首先，它具有非常靈活的TCP/IP堆棧指紋引擎，NMAP的制作人FYODOR不斷升級該引擎是它能夠盡可能多的進行猜測。NMAP可以準確地掃描服務器操作系統（包括Novell, UNIX,Linux,NT），路由器（包括CISCO，3COM和HP），還有一些撥號設備。其次，它可以穿透網絡邊緣的安全設備，例如防火墻。 NMAP穿透防火墻的一種方法是利用碎片掃描技術（fragmentscans），你可以發送隱秘的FIN包（-sF），Xmas tree包（-sX）或NULL包（-sN）。這些選項允許你將TCP查詢分割成片斷從而繞過防火墻規則。這種策略對很多流行的防火墻產品都很有效。 下圖所示是一份掃描結果 當前NMAP只能運行在UNIX操作系統上。操作系統類型包括Linux的所有版本，FreeBSD 2.2.6-30，HP/UX，和Solaris。在Linux的X-Windows上還提供圖形界面。最好的掌握NMAP的方法是學習使用它。使用nmap －h命令可以顯示幫助信息，當然，你也可以用mannmap命令查看它的使用手冊。 共享掃描 你可以掃描網絡中絕大多數的內容，包括正在使用的共享。這種掃描過程提供了重要的偵查和利用各種資源和文件的方法。如下圖所示是共享掃描的工作示意圖。 共享掃描軟件 Ping Pro提供了允許審計人員掃描Windows網絡共享的功能。它只能偵查出共享名稱，但不會入侵共享。例如，Microsoft網絡利用TCP139端口建立共享。更具侵略性的偵查軟件有知名的RedButton，許多Internet站點都免費提供下載。 RedButton是一個很古老的程序，大多數的系統管理員和安全管理員都找到了防范它的方法。這個程序不僅可以偵查出共享名稱還可以發現相應的密碼。它還可以獲得管理員的賬號名稱。 缺省配置和補丁級掃描 黑客和審計人員對系統的缺省配置很了解。你可以編制工具查找這些弱點。實際上，本課中討論的許多企業級的偵查工具都是針對這些弱點進行工作的。安全專家還知道操作系統工作的細節，根據服務補丁和hot fix的數量進行升級。 使用Telnet Telnet是遠程登錄系統進行管理的程序。缺省情況下telnet使用23端口。當然，你還可以利用Telnet客戶端程序連接到其它端口。 例如，你可以Telnet至HTTP端口。在連接一段時間內若沒有任何動作，服務器會因為無法識別這次連接而自動切斷。但是你通常可以從HTTP服務器上得到一些信息。例如，可以得知服務廠商的信息，版本（如Apache WebServer1.36或IIS4.0）等等。 雖然信息不是很多，但你至少能從報錯信息中推斷出服務器類型。如左邊圖所示你與服務器連接被終止，但在Web服務器報錯信息中仍可以看出HTTP服務器版本。你還可以用Telnet連接上系統再使用SYST命令，許多TCP/IP堆棧會泄漏一些重要的信息。 使用SNMP 簡單網絡管理協議（SNMP）允許你從網絡主機上查詢相關的數據。例如，你可以收集TCP/IP方面的信息，還有在路由器、工作站和其它網絡組件上運行的服務情況。SNMP由網絡管理系統（NMS）和代理Agent組成。NMS通常安裝在一臺工作站上，再將代理安裝在任何需要接受管理和配置的主機上。 當前存在三個版本的SNMP。SNMPv1最普通但也最不安全。原因有兩個，首先，它使用弱的校驗機制。只是靠community name作驗證，而communityname只是很短的字符串。其次，SNMP用明文發送community name，易于被sniffer捕獲。而且，許多網絡管理員使用缺省的“public”作community name。任何黑客都會首先嘗試用“public”來訪問SNMP。 SetRequest命令 你還可以利用SNMP重新配置接口或服務。這包括設置路由跳計數，停止和啟動服務，停止和啟用接口等等。如果你使用SNMPv1而且黑客又得到community name的話，他就可以偵查和控制你的系統。SNMPv3包含了更復雜的加密和驗證的機制。然而，許多網絡管理員由于使用缺省的密碼和設置，給黑客以可乘之機。當然，經過加密的SNMP密碼仍然可以被捕獲和暴力攻擊。 SNMP軟件 許多廠商出售SNMP管理軟件，常見的SNMP軟件有： ·HP的OpenView ·WindowsNTResourceKit中的SNMPUTIL ·各種各樣的網絡附加工具包，如PingProPack等 雖然象HP的OpenView程序是工業的標準，你還可以使用功能稍差的程序象PingPro來獲取網絡的情況。如圖顯示了Ping Pro中的SNMP模塊。 TCP/IP服務 大多數的SMTP和POP3服務仍然以明文方式發送密碼，這增大了Man-in-the-middle攻擊成功的可能性。而且，LDAP、FTP、SMTP，尤其是HTTP服務非常容易遭受緩沖區溢出的攻擊。 附加的TCP/IP服務 LDAP服務容易引起問題，不僅因為該服務所泄漏的信息而且經常遭受緩沖區溢出的攻擊。E-mail程序如Microsoft Outlook，Eudora和NetscapeCommunicator也包含LDAP客戶端的軟件。而且，象Ping Pro和NetScan等管理工具運行你進行更復雜的查詢。TFTP的問題是沒有驗證機制。黑客喜歡對其進行拒絕服務攻擊，對系統提出了嚴峻的考驗。 簡單TCP/IP服務 像Finger和TFTP等簡單TCP/IP服務所泄漏的信息容易被黑客利用進行社會工程和其它類型的攻擊。LDAP，FTP和SMTP服務經常出現安全問題有很多原因。首先這些服務容易泄漏太多自己配置的信息。 Finger Finger服務使你考驗獲取遠程服務器上的用戶信息。使用Finger，你可以得到： ·用戶名 ·服務器名 ·E-mail賬號 ·用戶當前是否在線 ·用戶登錄時間 ·用戶的crond任務 企業級的審計工具 進行到這里你已經接觸了一些審計人員使用的基本的工具。這些工具便于安裝和使用。它們可以為你提供很多關于網絡的信息，還可以幫助你對特定系統進行風險評估。前面討論程序的缺點是它們只能單獨進行簡單的查詢而不能同時對多個系統和服務實施偵查。一個好的審計人員需要綜合使用這些方法使審計的偵查工作能夠成功。企業級的審計程序用以其人之道還制其人之身的方式來對付黑客，通過對網絡進行綜合的攻擊使你可以實時地檢測到網絡的漏洞，并加以改進。 絕大多數的網絡探測器都支持TCP/IP，而且許多還支持其它協議包括IPX/SPX，NetBEUI和AppleTalk。你已經對偵查數據庫有所了解，在這一部分，你將更多地接觸如何配置和更新偵查數據庫。你還將學習網絡掃描器的一些特性。 通常，網絡掃描器程序無法跨子網。當然你可以在每個子網中都安裝一個。然而，有些掃描器（如WebTrendsSecurityAnalyzer EnterpriseEdition和ISSInternetScannerEnterpriseEdition）是可以跨子網的。 在你用掃描器掃描網絡之前，你必須先配置它使其能夠識別網絡上的主機。有時，掃描器可以自動識別，但其它時候你必須手動配置它。每個程序都有它自身的配置方法，但配置原則是相同的。所有的商業掃描器都支持TCP/IP。許多還支持象IPX/SPX，NetBEUI，AppleTalk，DECnet和其它協議。你應當根據你的網絡中應用的協議情況來購買不同的版本。 許多版本的掃描器只支持特定的操作系統，因此你必須在購買前考慮到其使用的平臺。以前，網絡掃描器、探測器和入侵監測系統都是在UNIX系統下工作得更出色。但是隨著Windows NT更加成熟，許多功能強大的產品也出現了。 掃描等級 大多數的企業級的掃描器允許你選擇安全掃描的等級。一次輕級別的掃描通常會掃描眾所周知的端口（從0到1023）和常見的安全漏洞，包括弱口令，低的補丁等級和額外的服務。如果你掃描一個小型的子網大概需要花費30分鐘。中級和嚴格級別的掃描根據網絡的速度和運行掃描程序的主機CPU的時鐘速度快慢等因素通常會花費幾天的時間。 定義嚴格級別的掃描策略會讓掃描器對目標網絡發起連續的攻擊。如果你設置了規則讓掃描器掃描所有的65,535個端口，還要檢測口令強度以及細致地分析從管理賬戶到UNIX子系統的每項服務的話，工作量是相當大的。這種掃描不僅費時，而且會極大地加重網絡的負擔。個別主機將無法承受這種掃描。 配置文件和策略 在使用任何掃描器前，你必須首先定義配置文件，然后再實施策略。絕大多數的掃描程序事先都定義了一些配置和策略，但你可以根據實際需要對它們進行編輯和增加。需要注意的是要將策略和配置文件結合起來。 報告功能 企業級的掃描程序具有細致的報告功能。可以用很多種格式輸出信息，包括： ·簡單的ASCII文本 ·HTML字處理文本格式，如RTF，或一些專利格式，例如MicrosoftWord（DOC）或CorelWordPerfect（WPD）。 ·電子表格形式，例如MicrosoftExcel。 ·圖形格式，包括幻燈片，例如MicrosoftPowerPoint 報告風險等級 大多數的網絡掃描器將風險分成低、中、高三個等級。你將接觸到各種掃描器是如何匯報它們的掃描結果的。即使得出你的網絡只有低的安全問題，你也不應該沾沾自喜。一名優秀的黑客可以從很小的缺陷入手給系統造成致命的破壞。 AxcetNetRecon NetRecon是最先為Windows NT網絡設計的網絡掃描產品之一。NetRecon象其它掃描器一樣可以發現網絡中的各種元素，處理本課中討論的各種問題，包括密碼檢查。NetRecon可以比較準確的模擬各種攻擊。NetRecon的界面由三個窗格組成。對象窗口允許你查看每個掃描對象，通過單擊可以展開目錄結構。通過掃描網絡，圖形窗口顯示低、中、高的風險等級。狀態欄顯示掃描的進程。你可以對網絡進行深度掃描，當然這種掃描會耗費大量的時間。例如，廣泛的掃描會花費兩天的時間。 漏洞數據庫和對象列表 在NetRecon中以一些漏洞列表作為偵查數據庫，你可以將這個列表理解為攻擊指紋，但是這個名詞通常被用于入侵檢測系統程序中。如果你持有NetRecon的授權，便可以從Axent的Web站點（）升級這個漏洞列表。通過 Reprots|viewVulnerabilityDescriptions菜單，可以查看相關漏洞的描述。 下面列出NetRecon可以掃描出的系統漏： ·Finger服務漏洞 ·GameOver（遠程管理訪問攻擊） ·未授權注銷禁止 ·服務漏洞，包括SMTP、DNS、FTP、HTTP、SOCKS代理和低的sendmail補丁等級。 大多數網絡掃描器，如NetRecon，包含了事先定義好的對象列表。通過選擇Reprots|ViewObjective Descriptions，你可以查看在NetRecon中已經配置好的當前對象列表。 NetworkAssociatesCyberCopScanner CyberCopScanner是NetworkAssociates的產品，該公司的產品還包括Sniffer Basic（前身是NetXRay）和其它網絡管理軟件。象NetRecon一樣，CyberCop Scanner是一個主機級別的審計程序。與Axent的產品一樣，CyberCop也把各種漏洞分類為低、中、高三個等級。附錄B中是一份CyberCop Scanner生成的報告樣例。 技術提示：CyberCop Monitor不是網絡掃描器，它是入侵監測系統程序，能夠對黑客活動進行監視，提供報警功能，還能懲罰黑客。你將在本教程中學習一些入侵檢測系統程序。 WebTrendsSecurityAnalyzer 該軟件以前叫AsmodeusSecurityScanner，WebTrends的產品在UNIX和NT系統下都經過很好的測試。Security Analyzer的優點之一是與UNIX搭配使用多年，操作界面也簡單易用。 在主界面上選擇Policy，然后edit，這時SecurityAnalyzer 的選項窗口將出現。你可以選擇掃描的強度，或編輯已有的策略、建立新的策略。如果你點擊HostSelection標簽，便可以選擇子網內主機的范圍。 InternetSecuritySystems的掃描產品 InternetSecurity Systems是最早生產掃描程序的公司。在本課中你將學習Internet掃描器和系統掃描器。它們都是ISS設計來提供跨操作平臺的安全工具包。 ISSInternetScanner 這款掃描器工作于UNIX和NT平臺，象AxentNetRecon、WebTrendsSecurity Analyzer和其它掃描器一樣可以掃描遠程主機。 Ineternet Scanner有三個模塊：intranet，firewall和Web服務器。程序的策略是希望將網絡活動分類，并針對每種活動提供一種掃描方案。這個特點由于你可以直接掃描更重要和經常遭受攻擊的系統而變得十分有效。你也可以在三個模塊中定義你自己的掃描參數。 下列是InternetScanner中部分掃描的項目： ·PHP3緩沖區溢出 ·Teardrop和Teardrop2攻擊 ·跨網絡的協議分析儀（包括tcpdump和SnifferBasic） ·搜索一些FTP服務類型，包括WarFTP ·SNMP和RMON檢測 ·Whois檢測 ·SAMBA溢出 ·增強的SMS支持 ·增強的NT功能，使它與UNIX一樣有效 ISSSecurityScanner Security Scanner是基于主機的掃描程序。它可以深入挖掘系統的情況。由于是基于主機的掃描程序，所以能更深入地掃描系統內部。這一功能在檢查象數據庫、FTP和Web服務等特定的系統時顯得十分有用。這種程序應該只運行在考慮到有黑客活動的高風險的系統上。 其它掃描程序廠商 其它提供掃描和檢測漏洞的產品包括： ·SecurityDynamicsKaneSecurityAnalyst（） ·NetectHackerShield（） 社會工程 我們已經接觸了一些偵查程序，其中有的工具非常靈活和全面。但是，通過人為你偵查網絡情況更方便。一名優秀的審計人員會從人力資源角度來獲取網絡信息。雖然你可以用社會工程對網絡進行滲透和控制，但用這種方法來偵查網絡也同樣有效。作為安全管理人員，你不應低估社會工程的威脅。作為安全審計人員，你也不應在偵查工具和技巧中漏掉社會工程。 電話訪問 審計人員試圖以人為突破口。在從Nslookup獲得有關信息后利用電話騙取更多的有用信息。通過這種方法，你可以獲得更多的信息，甚至騙取他人給你訪問網絡主機的權限。 E-mail詐騙 雖然欺騙性的郵件本身是無效的，但你可以偽裝成工程技術人員騙取別人回復你的信件，泄漏有價值的信息。 教育 作為安全管理人員，避免員工成為偵查工具的最好方法是對他們進行教育。通過提高員工對設備的認識和增強他們的責任感，可以使他們變得更難于被黑客控制。 獲得信息 作為安全審計人員，你可以把信息分成網絡級別和主機級別的信息。 網絡級別的信息 下