BackTrack及其工具保护企业环境免遭远程入侵(1)
0e0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3&6W2N6s2y4W2j5%4g2J5K9i4c8&6i4K6u0W2y4e0q4U0N6r3!0Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8Q4x3V1j5J5x3o6p5K6x3o6y4Q4x3V1j5K6z5o6j5^5x3U0y4Q4x3X3g2Z5N6r3@1`.
2013-03-28 09:34 布加迪编译 51CTO.com
攻击者通常寻找远程安全漏洞，目的是为了对你网络上的资源搞破坏。BackTrack Linux是一款用于测试安全的发行版，可帮助你检查自己的网络和服务器，查找远程安全薄弱环节和潜在的安全漏洞。

BackTrack基于Ubuntu，捆绑了渗透测试和安全审计所必不可少的各种工具。你其实没必要运行BackTrack就可以使用它提供的工具，但是启动BackTrack自生系统光盘（live CD）让你可以马上开始入手。

在你开始入手之前有必要提醒一下：扫描网络可能会耗用系统和网络资源。所以，确保在贵公司内部全面协调你的扫描工作，并告知管理班子。

利用Nmap探测网络环境

你最先想试用的工具之一是Nmap，这是一款功能强大的智能化命令行网络扫描工具。实际上，Nmap显示了开启的端口以及侦听这些端口的服务方面的一些信息。

Nmap随带许多有用的选项，这些选项在默认情况下已启用。比如说，你在探测网络时，端口随机化（扫描端口顺序随机化）可防止简单的入侵检测和预防系统检测和阻止你。另外一些有用的选项包括：

·--script--在一套脚本的帮助下执行扫描。Nmap自身捆绑了根据用途分类的几套脚本，比如用于检测拒绝服务攻击（DOS）、蛮力攻击及其他薄弱环节。你可以在Nmap脚本引擎的主页（3abK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3&6E0j5i4m8Q4x3X3g2G2M7X3N6Q4x3V1k6F1M7$3g2V1L8$3y4Q4x3V1k6Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8e0c8Q4b7U0S2Q4z5p5q4Q4c8e0k6Q4z5o6W2Q4b7V1g2Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0g2Q4b7f1g2Q4z5p5y4Q4c8e0k6Q4z5e0g2Q4b7U0c8Q4c8e0g2Q4z5o6S2Q4z5e0N6Q4c8e0S2Q4b7e0q4Q4b7e0S2Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0g2Q4b7e0k6Q4z5o6u0Q4c8e0k6Q4z5f1g2Q4z5f1y4Q4c8e0c8Q4b7V1c8Q4b7e0m8Q4c8e0g2Q4b7V1k6Q4z5o6y4Q4c8e0W2Q4z5o6N6Q4z5p5y4Q4c8e0k6Q4b7U0u0Q4b7e0q4Q4c8e0g2Q4b7V1q4Q4z5e0g2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0c8Q4b7U0S2Q4z5p5c8Q4c8e0N6Q4z5f1k6Q4b7e0g2Q4c8e0W2Q4z5o6q4Q4z5e0y4Q4c8e0S2Q4b7f1k6Q4b7e0g2Q4c8e0N6Q4z5e0c8Q4b7e0S2Q4c8e0c8Q4b7V1u0Q4z5o6m8Q4c8e0c8Q4b7U0W2Q4z5o6S2Q4c8e0S2Q4z5o6c8Q4z5f1q4Q4c8e0k6Q4z5f1y4Q4b7f1y4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0W2Q4z5o6u0Q4b7e0y4Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0W2Q4z5o6m8Q4z5o6W2Q4c8e0k6Q4z5p5u0Q4b7e0W2Q4c8e0W2Q4b7V1u0Q4z5e0S2Q4c8e0S2Q4b7f1g2Q4b7e0c8Q4c8e0g2Q4z5o6m8Q4b7V1y4Q4c8f1k6Q4b7V1y4Q4z5f1q4Q4c8e0c8Q4b7U0S2Q4z5p5g2Q4c8e0g2Q4z5o6g2Q4b7U0k6Q4c8e0c8Q4b7V1u0Q4z5e0k6Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0c8Q4b7V1q4Q4z5f1u0Q4c8e0W2Q4z5o6m8Q4z5o6W2Q4c8e0W2Q4b7e0q4Q4b7U0W2Q4c8e0N6Q4z5f1u0Q4b7U0S2Q4c8e0k6Q4b7f1k6Q4z5e0c8Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0W2Q4b7V1u0Q4z5e0S2Q4c8e0S2Q4b7f1g2Q4b7e0c8Q4c8e0g2Q4z5o6m8Q4b7V1y4Q4c8e0k6Q4z5f1u0Q4b7U0c8Q4c8e0N6Q4b7e0S2Q4b7U0y4Q4c8e0g2Q4b7V1c8Q4z5e0y4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4b7U0W2Q4b7U0u0Q4c8e0k6Q4z5o6W2Q4b7U0m8Q4c8e0k6Q4z5f1u0Q4b7U0c8Q4c8e0g2Q4b7U0m8Q4z5p5k6Q4c8e0y4Q4z5o6m8Q4z5o6t1`.

·-p--指定你对哪些端口有兴趣。就UDP和TCP这两种协议而言，大多数合法服务在1:10000这个端口范围里面运行。扫描更大范围的端口需要耗用更多的时间和资源。

·-sV--显示了开启端口的服务和版本信息。这很有用，可以表明某项服务是否在侦听非默认端口，比如侦听TCP端口8080的Apache；而版本信息可能表明过时的软件和潜在的安全漏洞。如果你借助Nmap检测到这类过时的应用程序，就要确保尽快给它们打上补丁。

·target--把目标主机或网络定义为Nmap命令的最后实参。

把上述选项组合起来，你就能得到这样的一个命令：

nmap --script=default -p U:1-10000,T:1-10000 -sV 192.168.1.0/24

在这个例子中，目标是一个内部专用网络（192.168.1.0/24）。如果你在寻找真正远程的安全漏洞，应该从本地网络外面执行扫描。不过，内部扫描也很有用，可以显示没必要暴露的服务，这始终是个安全风险。

这个实例的输出类似：

...

Nmap scan report for example.org (192.168.1.102)

Host is up (0.0017s latency).

Not shown: 9997 closed ports

PORT     STATE SERVICE     VERSION

22/tcp   open  ssh     OpenSSH 6.0p1 Debian 3 (protocol 2.0)

...

80/tcp   open  http    Apache httpd 2.2.22 ((Debian))

|_http-methods: No Allow or Public header in OPTIONS response (status code 200)

...

3306/tcp open  mysql   MySQL 5.5.28-1

...

来自Nmap输出的上述片段显示了在192.168.1.102上运行的SSH、HTTP和MySQL等服务的信息。它清楚地显示了每个软件的名称和版本：OpenSSH 6.0p1、Apache httpd 2.2.22和MySQL 5.5.28-1。
限制网络暴露程度

针对每一项暴露的服务，你应该确定该服务是不是果真有必要暴露。若没有必要暴露，一个办法就是，确保该服务只侦听本地回送接口（127.0.0.1）。当MySQL服务只服务本地请求时，这对该服务来说是个好办法。为此，就MySQL服务而言，编辑my.cnf文件。当MySQL侦听所有接口时， bind-address命令看起来像这样：bind-address = 0.0.0.0。想让它只侦听本地接口，将它更改成bind-address = 127.0.0.1。

此外，MySQL让你可以明确限制允许用户连接的远程主机，连接远程主机是MySQL的连接验证过程的一部分。这样一种额外的安全限制有助于防范蛮力攻击，但是通常对防范远程软件安全漏洞无济于事。

你还可以使用防火墙来限制对服务的访问。如果配置得当，防火墙可以只允许某些主机连接至某项特定服务。MySQL的一个示例iptables命令看起来像这样：iptables -I INPUT -s 192.168.1.1 -p TCP --dport 3306 -j ACCEPT; iptables -I INPUT -p TCP --dport 3306 -j DROP。这个示例命令只允许从IP地址192.168.1.1进行MySQL连接。

作为最后一招，你可以决定为某项服务更改默认端口。这通常适用于必须仍然保持相对隐藏，但从外面仍可以完全访问的敏感服务。当系统管理员想从任何地方获得访问权时，SSH常常是这种情况。你可以把SSH端口更改成通常扫描的范围（1-10000）之上的一个端口。比如说，如果你设置SSH守护进程，以便侦听端口19999，它不大可能被检测出来，但是你仍能够从任何地方访问该服务，只要你知道这个端口。想更改SSH端口，编辑文件/etc/ssh/sshd_config 中的命令Port，然后重启服务。当以后用你的SSH客户端进行连接时，别忘了指定该端口（Linux外壳中的ssh -p）。

这些是限制远程连接、防范外部攻击的几个最简单的方法。如果你有兴趣想了解更高级的手段，可以考虑采用端口碰撞（port knocking）这个值得关注的理念和办法。

限制暴露的信息

通过我们的实例处理SSH和MySQL服务后，只有Web服务仍暴露着。按理说，外界通过标准的HTTP TCP端口80，完全可以访问该服务；我们无法把该服务隐藏在一个不同的端口后面，也无法限制对该服务的访问。我们唯一的选择就是，关于它的信息尽量少透露。

按照上一个实例，Apache版本是Apache httpd 2.2.22（(Debian)）。这为攻击者提供了大量的信息：Web服务器名称、版本、甚至还有操作系统。你可以限制这些信息，只需更改Apache配置，并且将服务器权标设置为ServerTokens ProductOnly。之后，当你再次运行扫描时，你会看到版本信息只有Apache httpd。

就算我们使用那个基本的Nmap实例，也能获得除版本之外的更多信息。就Apache而言，Nmap还显示了OPTIONS报头被允许；http方法方面没有什么限制 ：|_http-methods: No Allow or Public header in OPTIONS response (status code 200)。从安全的角度来看，将允许的HTTP方法限制在你网站真正需要的几种方法很重要，因而为攻击者提供了较少的办法。

比如说，TRACE HTTP方法回应用户输入。很显然，这项特性适用于调试，但是在生产环境的Web服务器中不需要。TRACE方法被某些攻击所采用，因为可以允许访问敏感信息，所以它应该几乎总是被禁用。实际上，大多数普通的Web服务器应该只支持两种HTTP方法：GET和POST。为了禁止其余方法，请使用Apache命令limitexcept，就像这样：

Order deny,allow

Deny from all

隐藏服务器权标，并禁止不需要的联系方法，这开了个好头，但还远远不够。还需要应用防火墙，这种防火墙提供了更全面深入的保护。几乎所有可以公共访问的服务都有这样一种防火墙解决方案。以Apache为例，请查阅文章《如何借助ModSecurity保护你的Web服务器》（525K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3!0H3k6h3&6D9L8$3N6A6j5#2)9J5k6h3y4G2L8g2)9J5c8Y4N6S2P5X3W2Q4x3V1k6T1K9h3c8Q4x3V1j5I4z5o6R3H3y4K6g2Q4x3V1k6Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8e0y4Q4z5o6m8Q4z5o6t1`.

仔细检查Nmap的输出，对任何公共暴露的服务进行类似的处理。你应该能够挫败通常的一般性的非针对性攻击，这类攻击随机地扫描互联网，查找过时或配置不当的软件。

借助Nessus，更深入地分析渗透测试

Nmap功能强大，让你可以对自己的环境进行一番严格的渗透测试，但是用起来不如一些更高级的安全漏洞扫描工具来得容易，功能也不如它们全面。比如说，Nessus是一款商用安全漏洞扫描工具，允许家庭用户有限地免费使用。想在BackTrack中开始使用它，你得先注册领取一个许可证密钥，按照官方的Nessus on BackTrack指南（614K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4c8W2L8X3q4T1L8r3g2Q4x3X3g2U0L8$3#2Q4x3V1k6T1L8r3!0Y4i4K6u0r3k6h3&6S2j5X3I4A6L8X3N6Q4x3X3c8F1k6i4y4K6N6i4y4Q4x3X3c8G2L8W2)9J5k6r3u0S2j5$3E0@1M7X3q4U0K9#2)9J5k6o6g2Q4x3X3c8@1K9r3g2Q4x3X3c8G2k6X3k6A6j5$3W2S2L8q4)9J5k6r3N6#2K9h3c8W2i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1&6i4K6R3%4i4K6S2o6i4@1f1&6i4K6W2p5i4@1p5J5i4@1f1$3i4K6S2r3i4K6S2r3i4@1f1^5i4@1u0r3i4@1t1H3i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1#2i4K6R3%4i4@1p5H3i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1&6i4@1p5J5i4K6R3@1i4@1f1#2i4@1p5@1i4K6R3%4i4@1f1$3i4@1q4p5i4@1p5#2i4@1f1&6i4@1q4m8i4@1p5@1i4@1f1#2i4K6S2p5i4@1t1K6i4@1f1#2i4K6S2r3i4@1q4r3i4@1f1K6i4K6R3H3i4K6R3J5

一旦你在BackTrack中让Nessus设置并运行起来，可以通过能够在https://localhost:8834访问的直观的Web界面来控制它。Web界面让你很容易配置渗透测试；一旦配置完毕，可以生成界面专业的报告。

Nessus可以检测所有暴露层面上的50000余个安全漏洞，这些暴露层面从配置不当的服务，到过时软件，不一而足。一旦它检测出了安全漏洞，就会报告所有的相关信息；最为重要的是，还会建议采用什么样的解决办法。这为你节省了时间，确保你遵守解决问题的最佳实践，并确保你符合最高的安全标准。

Nessus是企业用户最青睐的渗透测试解决方案。不过，Nmap依然是网络扫描领域的瑞士军刀，因为它为探测网络环境提供了一条最快捷、最简单的路径，又不必束缚于许可证、花费大量资金。

无论你选择哪个应用程序，最重要的事情就是明白远程安全这个概念。不要暴露没必要的服务，也不要暴露没有明确要求的任何信息。这应该可以确保你不会吸引可能利用零日漏洞的四处横行的安全威胁。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！