在Linux操作系統(tǒng)中部署有防火墻，通過這個防火墻可以實現(xiàn)不讓其他主機掃描本機。如果企業(yè)網(wǎng)絡(luò)中有獨立防火墻的話，再也可以實現(xiàn)類似的限制。如有些企業(yè)部署了入侵檢測系統(tǒng)可以主動的阻止可疑的惡意行為，如NMAP掃描等等。但是NMAP命令結(jié)合一些選項使用，卻可以跟防火墻或者入侵檢測系統(tǒng)躲貓貓。

雖然有的管理員質(zhì)疑NMAP開發(fā)者提供這些選項的意圖，這些選項容易被攻擊者利用。但是工具沒有好壞，就看人怎么利用了。一些系統(tǒng)管理員往往利用NMAP命令的這些選項來提高網(wǎng)絡(luò)部署的安全性。如我就喜歡利用這個命令來跟防火墻等安全軟件玩躲貓貓的游戲。也就是說筆者偽裝成一個攻擊者，來測試這些安全系統(tǒng)能否阻擋我的攻擊或者能否在安全系統(tǒng)日志內(nèi)留下我的蹤跡。換個角度思考，或許就能夠發(fā)現(xiàn)企業(yè)的安全漏洞。

類似的選項有很多。出于篇幅的限制，不能夠過多的闡述。我就只拿一些常用的選項來進行說明。

一、把報文進行分段。

像防火墻等類似的安全設(shè)備，都可以用來過濾掃描報文。但是這個過濾的策略并不是很安全。如現(xiàn)在利用NMAP命令的-f選項，可以將Tcp頭分段在好幾個包中。如此的話，防火墻或者入侵檢測系統(tǒng)中的包過濾器就很難過濾這個TCP包。從而可以讓SNMP掃描命令跟這些安全措施玩躲貓貓的游戲。

當(dāng)使用-f選項時，一個20字節(jié)的TCP頭會被分割成三個包，其中兩個包分別有TCP頭的八個字節(jié);另外一個包具有TCP頭剩下的四個字節(jié)。通常情況下安全措施所采用的包過濾器會對所有的IP分段進行排隊，而不會直接使用這些分段包。由于對報文進行了分段，那么這些過濾器就很難識別這些包的類型。然后這些包會在主機處重新進行整合，變成一個合法的TCP包。在大多數(shù)情況下這些安全措施應(yīng)該禁止這些包。因為這些包會給企業(yè)的網(wǎng)絡(luò)帶來很大的性能沖擊，無論是防火墻或者終端設(shè)備都會受到影響。如Linux系統(tǒng)的防火墻中有一個配置項，就可以通過禁止對IP分段進行排隊而限制對TCP包進行分段。

可見nmap –f命令對防火墻等安全措施具有一定的欺騙性。我們剛好可以利用這個命令來測試我們所采用的安全軟件是否真的安全。據(jù)我了解，雖然這個安全隱患已經(jīng)出現(xiàn)許多年了，但是現(xiàn)在不是所有的安全產(chǎn)品都能夠?qū)Υ诉M行有效的預(yù)防。所以采用這個-f選項可以幫助系統(tǒng)管理員一針見血的判斷所采用的安全產(chǎn)品能否應(yīng)對這個可能的攻擊。如在防火墻上設(shè)置禁止掃描，然后系統(tǒng)管理員再利用nmap –f命令無法得到應(yīng)有的結(jié)果時，則表明防火墻策略有效。但是相反其仍然可以正常的返回結(jié)果(可能時間會長一點)，則表明nmap –f命令可以成功的跟防火墻玩貓貓。系統(tǒng)管理員需要注意一下Linux防火墻的安全性了。

二、利用假的IP地址進行掃描。

通常情況下像防火墻或者客戶端電腦都可以記錄下訪問者的相關(guān)信息，如IP地址等等。為此如果采用nmap命令來進行掃描的話，那就會在防火墻或者客戶端主機上留下掃描著的IP地址。留下這個“罪證”對于掃描著可就非常不利了。另外在防火墻的配置上，系統(tǒng)管理員可能允許某個特定的IP地址可以進行掃描作業(yè)。而其他IP地址發(fā)出的掃描數(shù)據(jù)包都會被過濾掉。在這種情況下，無論是為了隱藏自己的真實身份，又或者是冒用合法地址進行NMAP掃描，都需要用到一種叫做源地址哄騙的技術(shù)。

說到這種技術(shù)，我不得不說說最近出現(xiàn)的一種手機詐騙手段，跟這個源地址哄騙非常類似。有時候我們會接到朋友打過來的電話或者發(fā)過來的短消息，要求我們匯錢過去。雖然此時手機上顯示的是朋友的手機號碼，其實發(fā)短信的人不一定是你的朋友。因為現(xiàn)在有一種技術(shù)可以把發(fā)送者的手機號碼進行修改。發(fā)送者想顯示什么號碼就是什么號碼。其實這個源地址哄騙跟這個手機號碼欺騙是類似的道理。通過“nmap –s 掃描者IP地址 被掃描者IP地址”這種方式，攻擊者可以把自己的IP地址隱藏掉，而采用一個假冒的IP地址。無論這個IP地址是否在網(wǎng)絡(luò)中存在，都可以使用。在防火墻或者操作系統(tǒng)的日志上顯示的都是偽裝過的那個IP地址。

為此在選購防火墻等安全產(chǎn)品的時候，Linux系統(tǒng)管理員可以利用nmap –s命令來測試防火墻是否具有應(yīng)對源地址哄騙攻擊的手段。如先在防火墻上啟用日志功能，然后利用nmap –s命令來掃描防火墻或者其他主機設(shè)備。再去查看相關(guān)的日志?？纯催@個日志中紀(jì)錄的IP地址信息是偽裝的IP地址還是掃描者真實的IP地址。通過這種方式就可以簡單的判斷出防火墻等安全產(chǎn)品能否應(yīng)對類似的源地址欺騙攻擊。雖然日志記錄的攻擊者真實身份有點像放馬后炮，但是對于我們迅速查找攻擊者，防止其再次發(fā)動攻擊具有很大的價值。為此一些安全產(chǎn)品中需要具備一些源地址哄騙的預(yù)防功能。

三、利用誘餌實現(xiàn)隱蔽掃描。

通過源地址哄騙可以隱藏掃描者的身份，不過這種技術(shù)的話在一次掃描過程中之能夠偽裝一個IP地址。而目前比較流行的隱藏IP地址的方法是使用誘餌主機。簡單的說，非法供給者可以采用網(wǎng)絡(luò)中正在使用的幾個IP地址當(dāng)作自己的IP地址，對網(wǎng)絡(luò)主機進行掃描。而安全設(shè)備的話，并不知道哪個IP地址是真實的IP地址。如在防火墻上可能會紀(jì)錄某個IP地址的5-8個端口掃描。這是一種比較隱蔽的隱藏自身IP地址的有效手段。

更有趣的是攻擊者還可以把自己的真實IP地址也放入進去，以增加攻擊的挑戰(zhàn)性，挑戰(zhàn)防守者的智慧。如系統(tǒng)管理員可以通過ME選項將自己的IP地址放入到誘餌IP地址當(dāng)中。通常情況下把自己的IP地址放在靠后的位置，則防火墻就很難檢測到這個真實的IP地址。不過這個誘餌的IP地址數(shù)量不在于多，而在于精。如把這一些具有比較高的權(quán)限的IP地址(如在Linux服務(wù)器上根據(jù)IP地址來實現(xiàn)一些防火墻策略)加入到誘餌主機列表中，將起到出奇制勝的效果。而過多的誘餌地址反而會使得掃描時間過長或者結(jié)果不準(zhǔn)確。最要命的是可能會導(dǎo)致被掃描網(wǎng)絡(luò)性能下降，從而引起對方網(wǎng)絡(luò)管理員的注意。

其實誘餌技術(shù)現(xiàn)在也有了預(yù)防的方法。如通過路由追蹤、響應(yīng)丟棄等方法，可以用來防止攻擊者使用誘餌隱蔽掃描。有時候這種安全機制對于企業(yè)很重要。因為誘餌隱蔽攻擊不但可以秘密收集到企業(yè)網(wǎng)路主機的重要信息，為其后續(xù)攻擊做好準(zhǔn)備。而且nmap –D命令還容易引起SYN洪水攻擊。如當(dāng)非法攻擊者所采用的誘餌主機并不在工作狀態(tài)時，就會對目標(biāo)主機發(fā)起SYN洪水攻擊。這是一個比較危險的攻擊手段。

既然現(xiàn)在已經(jīng)有了解決方案來應(yīng)對誘餌隱蔽掃描，那么Linux系統(tǒng)管理員或者網(wǎng)絡(luò)工程師所要做的就是來測試防火墻或者其他的安全產(chǎn)品是否提供了類似的解決方案。有時候往往不能夠光靠對方業(yè)務(wù)員的描述，而需要我們來進行測試。那么利用這個nmap 命令顯然可以幫助我們來進行這方面的測試。

在nmap命令中，類似的選項還有很多。如可以通過source-port選項，來實現(xiàn)源端口哄騙;如利用date-length選項，在發(fā)送報文時附加有害的數(shù)據(jù);通過spoof-mac選項，實現(xiàn)MAC地址哄騙，這個跟源地址欺騙結(jié)合可以讓MAC地址與IP地址捆綁等安全策略失效;等等。這些選項如果被非法攻擊者利用，無疑會威脅到Linux網(wǎng)絡(luò)的安全。但是，如果我們能夠事先采用這些選項來測試自己網(wǎng)絡(luò)與主機的安全性，并率先把這些漏洞補上了。那么非法攻擊者也只好無功而返了。所以我認(rèn)為工具無所謂好壞，主要就看使用者的心態(tài)了。為此我建議各位不妨利用NMAP命令跟自己企業(yè)的防火墻等安全產(chǎn)品玩玩躲貓貓的游戲，來判斷一下所謂的安全防護體系是否真的安全。

【編輯推薦】

1. Linux經(jīng)典實用技巧
2. 技巧：安裝linux后的內(nèi)核調(diào)優(yōu)
3. 有備無患Linux操作系統(tǒng)的備份方法介紹