大家都知道，在黑客對(duì)某個(gè)目標(biāo)發(fā)動(dòng)攻擊前，要花大量的時(shí)間和精力來(lái)收集有關(guān)目標(biāo)的各種信息。這些信息從最基本的企業(yè)IT人員姓名(潛在的社交工程攻擊)到企業(yè)服務(wù)器或Web站點(diǎn)可以采用何種類型的攻擊方式。

從文本寫作的目的出發(fā)，我們假設(shè)此時(shí)黑客打算直接入侵企業(yè)服務(wù)器，而不是采用其他社交工程手段，或者拒絕服務(wù)攻擊。

有很多地方會(huì)暴露企業(yè)IT架構(gòu)方面的信息，其中最嚴(yán)重也是最常見(jiàn)的就是企業(yè)網(wǎng)站的ContactUs和Staff部分，以及通過(guò)Whois獲得的查詢記錄，而要了解服務(wù)器相關(guān)信息，就需要使用系統(tǒng)掃描工具了。一些網(wǎng)絡(luò)掃描工具，比如Nmap和Ncat(下面會(huì)提到)可以提供大量有關(guān)服務(wù)器操作系統(tǒng)和服務(wù)器上運(yùn)行何種服務(wù)的信息。大多數(shù)情況下，這種掃描行為并不違法，但是在很多國(guó)家，擁有和傳播這類掃描工具確實(shí)是違法的。因此，如果你要使用這類工具，一定要確保符合當(dāng)?shù)氐姆梢?guī)定。

如果黑客知道了你企業(yè)的服務(wù)器所采用的操作系統(tǒng)，他就里成功近了一步，知道系統(tǒng)上運(yùn)行了哪些服務(wù)，會(huì)更近一步。黑客每多了解一點(diǎn)有關(guān)目標(biāo)服務(wù)器的信息，就會(huì)離成功更近一點(diǎn)。這就好像銀行卡盜用，Pin碼只有四位數(shù)，犯罪分子只知道密碼的第一位，和知道密碼的前三位，成功率相差很大。只知道第一位密碼，需要很長(zhǎng)時(shí)間去嘗試不同的密碼，犯罪分子一般都會(huì)放棄，或者卡片直接被ATM機(jī)吞掉，而如果知道了前三位密碼，通過(guò)猜測(cè)進(jìn)入用戶賬戶就容易多了。而本文中所謂的密碼前三位，就是服務(wù)器的操作系統(tǒng)，所運(yùn)行的服務(wù)名稱和服務(wù)版本。

如果你也認(rèn)同這個(gè)觀點(diǎn)，認(rèn)為將服務(wù)器信息泄漏出去會(huì)給系統(tǒng)安全帶來(lái)隱患，那么我們接下來(lái)就要看看如何知道自己的服務(wù)器正在泄漏關(guān)鍵信息，以及該如何消除這種隱患。

下面我們來(lái)看看用Ncat掃描到的服務(wù)信息：

正如大家看到的，只要簡(jiǎn)單的使用Ncat輸入目標(biāo)服務(wù)器的IP地址和端口，就能得到該端口運(yùn)行的服務(wù)的精確版本信息?，F(xiàn)在，如果黑客查詢漏洞數(shù)據(jù)庫(kù)，或者簡(jiǎn)單的用Google搜索一下這個(gè)版本的服務(wù)程序的漏洞，就可以發(fā)現(xiàn)很多信息，其中甚至可能直接發(fā)現(xiàn)明確的漏洞信息以及相關(guān)的攻擊工具。而接下去發(fā)生的情況肯定是所有企業(yè)的IT管理員都不愿意看到的。當(dāng)然，黑客的智商也各不相同，如果沒(méi)有發(fā)現(xiàn)與服務(wù)程序版本相對(duì)應(yīng)的攻擊工具，有些黑客就會(huì)放棄攻擊，但是如果你的服務(wù)程序中存在漏洞，就算沒(méi)有現(xiàn)成的攻擊工具，有些聰明的黑客還是會(huì)利用漏洞發(fā)動(dòng)進(jìn)攻的。因此，我們要盡量避免將服務(wù)器系統(tǒng)上的各種服務(wù)信息透露給任何潛在的攻擊者。

減少威脅

下面我們就來(lái)看看最常被利用和攻擊的服務(wù)：簡(jiǎn)單郵件傳輸協(xié)議SMTP。

我們所使用的掃描工具是Ncat，以前叫做Netcat。這個(gè)工具由于具有強(qiáng)大的掃描功能而被認(rèn)為是TCP/IP掃描方面的瑞士軍刀。Ncat在Netcat的基礎(chǔ)上實(shí)現(xiàn)了多平臺(tái)支持，可運(yùn)行在Linux,Windows,以及MacOS系統(tǒng)上。雖然擁有類似功能的掃描工具還有不少，但是能夠支持多平臺(tái)的并不多。

那么，我們接下來(lái)就要用Ncat的最基本的掃描功能來(lái)掃描測(cè)試用服務(wù)器的SMTP端口，看看能返回什么信息。我們可以從服務(wù)器本身來(lái)運(yùn)行這個(gè)掃描工具，掃描本地IP地址，也可以在內(nèi)網(wǎng)或外網(wǎng)主機(jī)運(yùn)行Ncat。這里我再次提醒一下，使用這類工具在某些國(guó)家和地區(qū)屬于違法行為。另外，根據(jù)你所處的位置不同，以及掃描對(duì)象的防護(hù)技術(shù)不同(比如是否有防火墻)，你可能也需要改變掃描技術(shù)。Ncat的命令格式很簡(jiǎn)單：

nc或ncat<目標(biāo)IP地址><目標(biāo)端口號(hào)>

上圖的例子里，我們掃描了測(cè)試服務(wù)器的SMTP端口(25)。從返回的結(jié)果中我們能看到，這個(gè)SMTPMail服務(wù)版本號(hào)為5.0.2172.1。如果掃描后沒(méi)有返回任何結(jié)果，可以嘗試使用以下命令格式-vv(vv參數(shù)表示獲取詳細(xì)信息，如nc-vvx.x.x.x25)

正如我們前面所提到的，有了服務(wù)版本信息，黑客可以很快對(duì)你的服務(wù)器漏洞進(jìn)行評(píng)估。那么我們?cè)撛趺聪?wù)版本信息呢?

注意:下面我將使用Meta Edit來(lái)去除windows服務(wù)器中的服務(wù)版本信息。這個(gè)工具是針對(duì)Windows Server 2000/2003的，不過(guò)Windows Server 2008也能用。類似的工具和去除服務(wù)版本信息的方案還有很多，由于篇幅限制，本文只介紹這一種方案。在你對(duì)自己的服務(wù)器進(jìn)行掃描后，可以根據(jù)掃描結(jié)果查看是否存在安全漏洞，在為服務(wù)器上的各種漏洞打好補(bǔ)丁后，可以嘗試消除服務(wù)版本信息，不給黑客留下任何可趁之機(jī)。

下面我們來(lái)去除SMTP服務(wù)的版本信息。首先是下載Meta Edit(可以從微軟官方下載)并進(jìn)行安裝。安裝后，只需要啟動(dòng)MetaEdit，然后展開(kāi)LM文件夾，接下來(lái)展開(kāi)SMTP，展開(kāi)1并點(diǎn)擊1。我們可以在這個(gè)位置輸入一個(gè)新的版本號(hào)，比如我們可以在右上方輸入36907，在下方數(shù)據(jù)區(qū)域輸入希望顯示給掃描軟件的版本信息，本例中我們輸入“This is a new banner for port 25”。之后點(diǎn)擊OK，并退出Meta Edit。現(xiàn)在我們重啟SMTP服務(wù)，并使用Ncat重新掃描端口25，看看這次會(huì)有什么結(jié)果。

如上圖所示，新的版本信息已經(jīng)代替了真正的SMTP服務(wù)版本信息，這使得攻擊者無(wú)法通過(guò)這種掃描方式獲取確切的SMTP服務(wù)版本，從而降低了被攻擊的潛在風(fēng)險(xiǎn)。

IIS可以通過(guò)IIS lockdown工具實(shí)現(xiàn)這種功能，IIS6.0版本以下的用戶可以免費(fèi)下載這個(gè)工具，而且之后版本的IIS已經(jīng)集成了IIS lockdown功能。

每個(gè)企業(yè)的服務(wù)器上可能都在運(yùn)行多種服務(wù)，我們也不可能讓每個(gè)服務(wù)的版本信息都隱藏起來(lái)，但是對(duì)一些關(guān)鍵服務(wù)的信息進(jìn)行必要的隱藏是應(yīng)該的。通過(guò)評(píng)估系統(tǒng)反饋的服務(wù)版本信息，你可以更好的考察每個(gè)服務(wù)是否存在明顯的安全漏洞，并且這個(gè)工作能夠幫助你更清晰的認(rèn)識(shí)到該如何保護(hù)你的系統(tǒng)安全。