8月份“红色代码”(Code Red)蠕虫病毒及其多种变体横扫互联网,给全世界造成近26亿美元的损失。在这场红色风暴中,我国也没有幸免,全国多个省市的服务器出现瘫痪甚至阻塞整个网段,具体损失尚无法估计,公安部也多次发出了病毒通告。现在,红色代码的危害大致已经过去,大部分的服务器已经加上了微软最新补丁,但是,我们回头来看,发现其实如果我们平时仔细检测服务器的漏洞,还是完全可以避免这类病毒。
微软的IIS服务器由于其使用的简便,被国内大部分中小网站使用。但是,也就是因为它的使用简便,只是微软服务器一直成为黑客最喜欢攻击的目标,于是,几乎大家已经形成一个心里定式,那就是微软的服务器是不安全的、脆弱的。
其实这个我们我们应该一分为二的看,一是微软的系统本身的问题,不可否认,微软的系统特别是IIS的确有较多漏洞,有些漏洞设置威胁到这个系统的安全;另一方便,国内的大多数网管其实并没有真正的研究过系统漏洞甚至完全没有仔细设置过IIS的安全,所以,现在我们只要在网上随便找就可以找到很多几年前的就发现的IIS漏洞的服务器,这不能不说是网管的责任。
针对以上情况,微软在早些时候发布了一款专门帮助管理员设置IIS安全性的工具-IISLOCK。其实,作为一个真正负责任的网管,保护自己系统最简单有效的一个方法就是模拟进攻自己的系统,而模拟进攻最主要的武器之一就是扫描器。
一、什么是扫描器
扫描器是检测远程或本地系统安全脆弱性的软件;通过与目标主机TCP/IP端口建立连接和并请求某些服务(如TELNET、FTP等),记录目标主机的应答,搜集目标主机相关信息(如匿名用户是否可以登录等),从而发现目标主机某些内在的安全弱点。
扫描器的重要性在于把极为烦琐的安全检测,通过程序来自动完成,这不仅减轻管理者的工作,而且缩短了检测时间,使问题发现更快。当然,也可以认为扫描器是一种网络安全性评估软件。一般而言,扫描器可以快速、深入地对网络或目标主机进行评估。
二、扫描器的分类
从信息流的角度理解信息安全,可划分为数据存放的安全性与网络传输的安全性(涉及操作系统安全性及应用程序的安全性),网络中任何一个环节出现不安全因素都会破坏整个信息流的安全性,因此把扫描器分为三类:数据库安全扫描器,操作系统安全扫描器和网络安全扫描器(针对于网络服务、应用程序、网络设备、网络协议等)。
对扫描对象的脆弱性进行深入了解,能较好地用运用程序来自动检测发现其是否存在已有的漏洞;能给扫描时发现的问题提供一个良好的解决方案;能在系统实现时,提高效率并提供了相应的补救信息。
我们这里主要介绍网络安全扫描器,主要针对微软的服务器。
三、扫描器阅兵
以下介绍的扫描器主要是一般网络维护者常用的,并不和黑客们使用的扫描器完全相同。
1、月光追捕系列扫描器
之所以要介绍这一系列的扫描器,主要是这一系列的扫描器不但功能强大,而且不管是对网管还是对普通用户甚至计算机安全工作人员都有很大帮助。
月光追捕系列软件软件包括:IP追捕;月光搜索-追捕版;月光搜索-域名版。现在我们分别来介绍。
(1)IP追捕(如图一)
screen.width-300)this.width=screen.width-300" border=0>
IP追捕最主要的功能就是根据IP得到该IP的具体物理位置,后来又增加了检测域名,主机情况和远程监控功能。现在该软件的最新版本为1.70,运行稳定,数据库经过不断的升级修改已经比较完善,数据比较全面。
[1] [2] [3] [4]
该工具对系统维护人员而言,可以追查攻击者的物理位置;对攻击者而言,该工具可以初步判断系统类型,常用服务和用户名工作组。
(2)月光搜索-追捕版(图二)
screen.width-300)this.width=screen.width-300" border=0>
月光追捕-搜索版最主要的功能就是一段网址进行搜索,列出所有机器的机器名称和组/域名。需要注意的是,必须能够PING到对方,才能搜索到对方机器名。
这个工具最大的特征就是可以一次搜索一系列网址,而且可以保存结果。在使用过程中,我们发现该软件好像只能对计算机有作用,如果目标是路由器或者其他网络设备,软件就不能识别。所以,在使用此软件的时候要注意,软件主要功能是列出机器名而不是检查机器是否可以PING通,有些可以PING的设备不一定可以搜索得到的。尽管有这一个小小的缺点,网管人员还是可以用它简单的检测网络的基本状况。
(3)月光追捕-域名版(图三)
screen.width-300)this.width=screen.width-300" border=0>
月光追捕-域名版主要的功能就是对一段网址搜索域名,列出所有机器域名。这个工具更多的是对系统维护人员有帮助。需要注意的是,使用这款软件的时候,你会发现它大部分时候毫无反映!为什么?因为软件的DNS服务器设置要求最好设置为该区域的DNS服务器,这也是上面说软件更多的对维护人员有帮助的原因。
2、网络刺客Ⅱ
网络刺客是国内比较有名网络安全工具,功能强大,扫描只是其中的一个功能而已。网络刺客的扫描功能包括:共享扫描;端口扫描和口令扫描猜解。我们在这里介绍共享扫描和端口扫描功能。
(1)共享扫描
共享功能是一柄双刃剑,在方便资源和硬件共享的同时,也给攻击者开了方便之门。最主要的是,一般使用者往往设置共享以后忘记取消共享或者只给共享设置简单的访问密码,容易导致资料的泄漏甚至资料的损坏。作为网络维护人员,需要密切注意本系统的共享设置情况,及时堵塞漏洞;作为攻击者,当然这时最简单的攻击方式,但是却又常常是最有效的攻击方式。
点击菜单【主机资源】->【共享扫描】,出现扫描界面(图四):
screen.width-300)this.width=screen.width-300" border=0>
在以上界面设置搜索的起始地址和结束地址就可以开始扫描,扫描程序使用50个线程扫描,速度很快。
(2)端口扫描
端口是系统数据进出的大门,所以,对于不必要的端口,最好全部关闭。
由于不同的服务对应不同的端口,所以,攻击者可以根据系统的端口确定系统打开了哪些服务,以此来决定攻击的类型;对于网络维护人员,扫描本系统的端口可以及时知道系统攻击弱点,或者判断系统是否被攻击者用木马(远程控制软件)控制。
菜单【工具箱】->【Port端口扫描】,出现以下界面(图五):
screen.width-300)this.width=screen.width-300" border=0>
在以上设置界面中设定要扫描的主机地址,开始端口和结束端口,扫描线程,超时时长就可以进行扫描了。
3、代理猎手(图六)
screen.width-300)this.width=screen.width-300" border=0>
代理服务器可以让多台计算机使用一个出口与网络连接,不但节省网络费用,而且可以有效的加大网络访问速度,加强就绲陌踩裕欢杂诠髡叨裕矸衿骺梢杂行а谑巫约旱腎P地址,通过一个甚至多个代理,攻击者可以很“安全”的对目标进行攻击;对于某些特殊的用户,代理可以加快他们访问国外网站的速度,比如教育网用户。所以,代理服务器往往成为大众目标,大家都来搜索。搜索使用最多的工具就是代理猎手。
代理猎手最主要的功能是快速搜索免费的代理。它的主要特点是:支持多网址段、多端口自动查询,支持自动验证并给出速度评价,支持后续的再验证,支持用户设置连接超时和验证超时,支持用户设置验证内容,支持进度时间预测,支持用户设置最大连接数(可以作到不影响其他网络程序),支持自动查找最新版本,最大的特点是搜索速度快,最快可以在十几分钟内搜完整个 B 类地址的 65536 个地址。
[1] [2] [3] [4]
4、漏洞扫描工具
任何系统都有漏洞,不要以为自己的系统固若金汤,作为一个系统维护人员,除了系统安全的设置以外,最常见的工作就是自己扫描系统漏洞,找出系统弱点。下面我们针对WinNT和Win2000系统介绍几款δ芮看蟮纳杵鳌?/P>
(1)Mysfind扫描器
mysfind扫描器是很著名的扫描器pfind的加强版,主要用于扫描Printer漏洞和Unicode漏洞。Printer漏洞可以让攻击者取得系统的控制权,Unicode可以让攻击者随意操作系统内的文件甚至完全控制系统,今年五月的中美黑客大战,中国黑客就有很多利用这两个漏洞进行攻击的,这也是有人撰文说此次黑客大战水平不高的原因之一。
由于这两个漏洞出现时间比较晚,所以,现在网络上仍然有很多存在这两个漏洞的系统。网络维护者如果不确定已经安装这两个漏洞的补丁,可以使用这个工具扫描系统漏洞。
Mysfind是一个命令行程序,它采用多线程扫描系统漏洞,速度快结果准。具体使用格式如下:
sfind 扫描漏洞类型 开始IP地址 结束IP地址
目前的扫描方式支持3种:
-all 扫描所有的漏洞
-e 扫描printer漏洞
-u 扫描unicode漏洞
比如我们要扫描某个网段的Unicode漏洞,可以这样:
sfind –u 192.168.0.1 192.168.0.255
扫描结束以后,结果自动保存在sfind.txt文件中。
(2)TwwwScan扫描器
TwwwScan扫描器是一款专门扫描WWW服务的扫描器,它扫描的漏洞较多(1.2版可以扫描四百多种漏洞),而且可以扫描Windows和Unix系统漏洞。具体使用格式如下:
Twwwscan
显示属性:-v 显示状态;-n:不显示状态
类型:-t1:使用GET;-t2:扫描虚拟主;-t3(-n):以上两者
目标系统类型:-pw:Windows;-pu:Unix;-pa(-all):以上两者
比如我们现在扫描网络上一台主机:
twwwscan 202.*.*.* 80 –v –n –pw
扫描结束以后,会形成一个202.*.*.*.htm的文件,结果如下(图七):
screen.width-300)this.width=screen.width-300" border=0>
仔细阅读以上结果,我们不但可以看到系统漏洞,同时也会看到解决方法。
(3)X-Scan扫描器
X-Scan采用多线程方式对指定IP地址段(或单机)进行安全漏洞扫描,支持插件功能,提供了图形界面和命令行两种操作方式。
扫描内容包括:远程操作系统类型及版本、标准端口状态及端口banner信息、CGI漏洞、RPC漏洞、SQL-SERVER默认帐户、FTP弱口令,NT主机共享信息、用户信息、组信息、NT主机弱口令用户等。扫描结果保存在/log/目录中,index_*.htm为扫描结果索引文件。对于一些已知漏洞,给出了相应的漏洞描述、利用程序及解决方案,其它漏洞资料正在进一步整理完善中。
现在,我们来看看图象界面(图八):
screen.width-300)this.width=screen.width-300" border=0>
X-scan可以自定义扫描端口,还可以自定义NT、FTP、SQL Server的默认帐号,还可以自己维护CGI漏洞列表,给用户很大的自由空间。
现在,我们用它来扫描一台IIS服务器,选择【IIS漏洞】开始扫描,结果如下(图九):
screen.width-300)this.width=screen.width-300" border=0>
从以上结果,我们可以看到该系统的漏洞,点击这些漏洞,可以看到漏洞的详细解释。需要注意的是,该软件扫描速度比较慢,建议不要一次扫描太多主机。
(4)RangeScan扫描器
RangeScan是一款开放式多网段的扫描器,之所以称开放式,是因为RangScan可以自定义扫描内容,根据加入的扫描内容来扫描特定主机(图十)。这一功能的好处就是可以大大加快扫描速度,不像X-Scan,虽然扫描功能强大,但是速度太慢。
screen.width-300)this.width=screen.width-300" border=0>
如果我们要扫描Unicode漏洞,我们可以添加以下扫描内容:
/scripts/..%c1%1c../winnt/system32/cmd.exe(2000中文)
/scripts/..%c1%9c../winnt/system32/cmd.exe(NT4中文)
四、总结
扫描工具在进行扫描的时候会造成大量数据的传送,也会加重服务器的负担,甚至会给某些服务带来危害。所以,不要轻易使用扫描工具随意扫描主机,更加不要违背国家法律法规使用扫描工具做危害网络安全的事。
以上介绍的扫描工具大部分经过了时间的考验,是经过众多使用者使用证明非常有效的扫描工具。现在,网络上扫描工具很多,良莠不齐,在选择扫描工具的时候,除了防止扫描工具隐藏有对目标主机的攻击因素以外,还要注意扫描工具本身就捆绑有木马。
[1] [2] [3] [4]
(出处:http://www.sheup.com)
[1] [2] [3] [4]
从以上结果,我们可以看到该系统的漏洞,点击这些漏洞,可以看到漏洞的详细解释。需要注意的是,该软件扫描速度比较慢,建议不要一次扫描太多主机。
(4)RangeScan扫描器
RangeScan是一款开放式多网段的扫描器,之所以称开放式,是因为RangScan可以自定义扫描内容,根据加入的扫描内容来扫描特定主机(图十)。这一功能的好处就是可以大大加快扫描速度,不像X-Scan,虽然扫描功能强大,但是速度太慢。
screen.width-300)this.width=screen.width-300" border=0>
如果我们要扫描Unicode漏洞,我们可以添加以下扫描内容:
/scripts/..%c1%1c../winnt/system32/cmd.exe(2000中文)
/scripts/..%c1%9c../winnt/system32/cmd.exe(NT4中文)
四、总结
扫描工具在进行扫描的时候会造成大量数据的传送,也会加重服务器的负担,甚至会给某些服务带来危害。所以,不要轻易使用扫描工具随意扫描主机,更加不要违背国家法律法规使用扫描工具做危害网络安全的事。
以上介绍的扫描工具大部分经过了时间的考验,是经过众多使用者使用证明非常有效的扫描工具。现在,网络上扫描工具很多,良莠不齐,在选择扫描工具的时候,除了防止扫描工具隐藏有对目标主机的攻击因素以外,还要注意扫描工具本身就捆绑有木马。
(出处:http://www.sheup.com)
[1] [2] [3] [4] [5]