端口與漏洞發(fā)現(xiàn)及掃描也是對(duì)企業(yè)進(jìn)行風(fēng)險(xiǎn)評(píng)估和管理的必要手段。俗話說得好：“千里之堤，毀于蟻穴。”一個(gè)小小的漏洞造成一旦被攻擊者發(fā)現(xiàn)，最終后果有可能是整個(gè)網(wǎng)絡(luò)的癱瘓。而怎么來發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)的安全漏洞呢？需要掌握和采用一些什么關(guān)鍵技術(shù)？有什么比較流行和高效的工具可以用來輔助系統(tǒng)管理員來進(jìn)行漏洞的掃描和發(fā)現(xiàn)呢？

企業(yè)端口掃描策略

1、端口掃描的目的

對(duì)于位于網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)來說，一個(gè)端口就是一個(gè)潛在的通信通道，也就是一個(gè)入侵通道。對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描，能得到許多有用的信息從而發(fā)現(xiàn)系統(tǒng)的安全漏洞。通過其可以使系統(tǒng)用戶了解系統(tǒng)目前向外界提供了哪些服務(wù)，從而為系統(tǒng)用戶管理網(wǎng)絡(luò)提供了一種參考的手段。

從技術(shù)原理上來說，端口掃描向目標(biāo)主機(jī)的TCP/UDP服務(wù)端口發(fā)送探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過分析響應(yīng)來判斷服務(wù)端口是打開還是關(guān)閉，就可以得知端口提供的服務(wù)或信息。端口掃描也可以通過捕獲本地主機(jī)或服務(wù)器的流入流出IP數(shù)據(jù)包來監(jiān)視本地主機(jī)的運(yùn)行情況，不僅能對(duì)接收到的數(shù)據(jù)進(jìn)行分析，而且能夠幫助用戶發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的弱點(diǎn)，而不會(huì)提供進(jìn)入一個(gè)系統(tǒng)的詳細(xì)步驟。一般說來，端口掃描的目的通常是如下的一項(xiàng)或者多項(xiàng)：

1. 發(fā)現(xiàn)開放端口：發(fā)現(xiàn)目標(biāo)系統(tǒng)上開放的TCP或UDP端口；

2. 了解主機(jī)操作系統(tǒng)信息：端口掃描可以通過操作系統(tǒng)的“指紋”來推測(cè)被掃描操作系統(tǒng)或者應(yīng)用程序的版本等信息；

3. 了解軟件或者服務(wù)版本：軟件或服務(wù)版本可以通過“標(biāo)志獲取”或者應(yīng)用程序的指紋來識(shí)別獲得；

4. 發(fā)現(xiàn)脆弱的軟件版本：識(shí)別軟件和服務(wù)的缺陷，從而有助于發(fā)起針對(duì)漏洞的攻擊。

端口掃描主要有經(jīng)典的掃描器（全連接）以及所謂的SYN（半連接）掃描器。此外還有間接掃描和秘密掃描等。TCP掃描方式是通過與被掃描主機(jī)建立標(biāo)準(zhǔn)的TCP連接，因此這種方式最準(zhǔn)確，很少漏報(bào)、誤報(bào)，但是容易被目標(biāo)主機(jī)察覺、記錄。SYN方式是通過與目標(biāo)主機(jī)建立半打開連接，這樣就不容易被目標(biāo)主機(jī)記錄，但是掃描結(jié)果會(huì)出現(xiàn)漏報(bào)，在網(wǎng)絡(luò)狀況不好的情況下這種漏報(bào)是嚴(yán)重的。

2、快速安裝nmap進(jìn)行企業(yè)端口掃描

nmap是一個(gè)網(wǎng)絡(luò)探測(cè)和安全掃描程序，系統(tǒng)管理者和個(gè)人可以使用這個(gè)軟件掃描大型的網(wǎng)絡(luò)，獲取那臺(tái)主機(jī)正在運(yùn)行以及提供什么服務(wù)等信息。nmap支持很多掃描技術(shù)，例如：UDP、TCP connect()、TCP SYN(半開掃描)、ftp代理(bounce攻擊)、反向標(biāo)志、ICMP、FIN、ACK掃描、圣誕樹(Xmas Tree)、SYN掃描和null掃描。nmap還提供了一些高級(jí)的特征，例如：通過TCP/IP協(xié)議棧特征探測(cè)操作系統(tǒng)類型，秘密掃描，動(dòng)態(tài)延時(shí)和重傳計(jì)算，并行掃描，通過并行ping掃描探測(cè)關(guān)閉的主機(jī)，誘餌掃描，避開端口過濾檢測(cè)，直接RPC掃描(無須端口影射)，碎片掃描，以及靈活的目標(biāo)和端口設(shè)定。

為了提高nmap在non-root狀態(tài)下的性能，軟件的設(shè)計(jì)者付出了很大的努力。很不幸，一些內(nèi)核界面(例如raw socket)需要在root狀態(tài)下使用。所以應(yīng)該盡可能在root使用nmap。

nmap運(yùn)行通常會(huì)得到被掃描主機(jī)端口的列表。nmap總會(huì)給出well known端口的服務(wù)名(如果可能)、端口號(hào)、狀態(tài)和協(xié)議等信息。每個(gè)端口的狀態(tài)有：open、filtered、unfiltered。

open狀態(tài)意味著目標(biāo)主機(jī)能夠在這個(gè)端口使用accept()系統(tǒng)調(diào)用接受連接；

filtered狀態(tài)表示防火墻、包過濾和其它的網(wǎng)絡(luò)安全軟件掩蓋了這個(gè)端口，禁止 nmap探測(cè)其是否打開。

unfiltered表示這個(gè)端口關(guān)閉，并且沒有防火墻/包過濾軟件來隔離nmap的探測(cè)企圖。通常情況下，端口的狀態(tài)基本都是unfiltered狀態(tài)，只有在大多數(shù)被掃描的端口處于filtered狀態(tài)下，才會(huì)顯示處于unfiltered狀態(tài)的端口。

根據(jù)使用的功能選項(xiàng)，nmap也可以報(bào)告遠(yuǎn)程主機(jī)的下列特征：使用的操作系統(tǒng)、TCP序列、運(yùn)行綁定到每個(gè)端口上的應(yīng)用程序的用戶名、DNS名、主機(jī)地址是否是欺騙地址、以及其它一些東西。

在使用之前，我們需要下載該軟件的源碼包進(jìn)行安裝。下載網(wǎng)址為：http://linux.softpedia.com/get/System/Networking/Nmap-184.shtml。下載完成后，以作者下載到的版本為例：nmap-5.00.tgz，用戶執(zhí)行如下安裝命令即可：

（1）解壓縮軟件包

#tar –xzvf nmap-5.00.tgz

（2）切換到安裝目錄

#cd nmap-5.00

（3）使用configure命令生成make文件

#./configure

（4）編譯源代碼

#make

（5）安裝相關(guān)模塊

#make install

#p#

3、四步驟使用nmap確定企業(yè)網(wǎng)絡(luò)開放端口

（1）掃描實(shí)施第一步：發(fā)現(xiàn)活動(dòng)主機(jī)

使用nmap掃描整個(gè)網(wǎng)絡(luò)尋找目標(biāo)，已確定目標(biāo)機(jī)是否處于連通狀態(tài)。通過使用“-sP”命令，進(jìn)行ping掃描。缺省情況下，nmap給每個(gè)掃描到的主機(jī)發(fā)送一個(gè)ICMP echo和一個(gè)TCP ACK，主機(jī)對(duì)任何一種的響應(yīng)都會(huì)被nmap得到，掃描速度非?？欤诤芏痰臅r(shí)間內(nèi)可以掃描一個(gè)很大的網(wǎng)絡(luò)。該命令使用如下所示：

[root@localhost ~]# nmap -sP 10.1.4.0/24

Nmap finished: 256 IP addresses (125 hosts up) scanned in 7.852 seconds

通過該掃描，可以發(fā)現(xiàn)該公司網(wǎng)絡(luò)中有125臺(tái)主機(jī)是活躍的，也就是說有機(jī)可趁，下一步就是要進(jìn)行更詳細(xì)的掃描，來掃描這些主機(jī)到底有些什么活動(dòng)端口。

（2）掃描實(shí)施第二步：掃描端口掃描

通常情況下，當(dāng)nmap的使用者確定了網(wǎng)絡(luò)上運(yùn)行的主機(jī)處于連通狀態(tài)，下一步的工作就是進(jìn)行端口掃描，端口掃描使用-sT參數(shù)。如下面結(jié)果如示：

[root@localhost ~]# nmap -v  -sT 10.1.4.0/24

Host 10.1.4.11 appears to be up ... good.

Interesting ports on 10.1.4.11:

Not shown: 1673 closed ports

PORT     STATE    SERVICE

80/tcp   open     http

MAC Address: 00:1E:65:F0:78:CA (Unknown)

可以清楚地看到，端口掃描采用多種方式對(duì)網(wǎng)絡(luò)中主機(jī)的TCP活動(dòng)端口進(jìn)行了全面的掃描，由于掃描的主機(jī)數(shù)太多（125臺(tái)），上面僅僅給出了2臺(tái)主機(jī)的TCP端口情況，也就是主機(jī)10.1.4.1和10.1.4.11，并且，主機(jī)10.1.4.1打開的端口非常多，網(wǎng)絡(luò)服務(wù)也相對(duì)比較豐富，并且從IP地址的構(gòu)成來看，該主機(jī)極有可能是網(wǎng)關(guān)（一般網(wǎng)關(guān)的IP地址設(shè)定為X.X.X.1），我們于是就鎖定了這臺(tái)主機(jī)進(jìn)行后續(xù)的掃描。

（3）掃描實(shí)施第三步：主機(jī)操作系統(tǒng)識(shí)別

通常一個(gè)入侵者可能對(duì)某個(gè)操作系統(tǒng)的漏洞很熟悉，能很輕易地進(jìn)入此操作系統(tǒng)的機(jī)器。一個(gè)常見的選項(xiàng)是TCP/IP上的指紋，帶有"-O"選項(xiàng)決定遠(yuǎn)程操作系統(tǒng)的類型。這可以和一個(gè)端口掃描結(jié)合使用，但不能和ping掃描結(jié)合使用。nmap通過向主機(jī)發(fā)送不同類型的探測(cè)信號(hào)，縮小查找的操作系統(tǒng)的范圍。如下面的掃描結(jié)果所示：

[root@localhost ~]# nmap -O 10.1.4.1

Interesting ports on 10.1.4.1:

。。。

MAC Address: 00:0B:CD:B9:EE:A8 (Compaq (HP))

Device type: general purpose

Running: Microsoft Windows 95/98/ME|NT/2K/XP

OS details: Microsoft Windows Millennium Edition (Me), Windows 2000 Professional or Advanced Server, or Windows XP

Nmap finished: 1 IP address (1 host up) scanned in 68.749 seconds

通過上述掃描結(jié)果可以看到，10.1.4.1這臺(tái)機(jī)器運(yùn)行的是Windows系列的操作系統(tǒng)，并且提供了一些比較常用的網(wǎng)絡(luò)服務(wù)。

（4）掃描實(shí)施第四步：掃描總結(jié)歸納

通過上述3步的掃描實(shí)施，可以逐步總結(jié)得出了如下幾點(diǎn)結(jié)論和經(jīng)驗(yàn)：

端口掃描的步驟是先發(fā)現(xiàn)活動(dòng)主機(jī)，然后發(fā)現(xiàn)活動(dòng)主機(jī)的活動(dòng)端口，從而確定需要重點(diǎn)關(guān)注或者需要供給的主機(jī)，一般這些主機(jī)是服務(wù)端口開得多的主機(jī)；再然后對(duì)重點(diǎn)關(guān)注的主機(jī)實(shí)行操作系統(tǒng)掃描，從而確定操作系統(tǒng)類型，以便從操作系統(tǒng)層面來尋找突破口；一般情況下，如果是Windows操作系統(tǒng)的話，那么就有比較大的攻擊或者是安全維護(hù)的空間。

除了上述幾個(gè)常用的掃描選項(xiàng)外，在掃描過程中還需要綜合采用其他-T之類的選項(xiàng)，以保證掃描不被對(duì)方發(fā)現(xiàn)，否則對(duì)于具有豐富管理經(jīng)驗(yàn)的管理員來說，很容易發(fā)現(xiàn)這種掃描行為，引起反追蹤甚至是報(bào)復(fù)性的攻擊等。當(dāng)然，對(duì)于內(nèi)網(wǎng)的網(wǎng)管性的維護(hù)工作來說，就沒有這個(gè)風(fēng)險(xiǎn)。

另外，通常nmap在運(yùn)行時(shí)，能夠很好地根據(jù)網(wǎng)絡(luò)特點(diǎn)進(jìn)行調(diào)整。掃描時(shí)，nmap會(huì)盡量減少被目標(biāo)檢測(cè)到的機(jī)會(huì)，同時(shí)盡可能加快掃描速度。然而，nmap默認(rèn)的適時(shí)策略有時(shí)候不太適合用戶的目標(biāo)。使用下面這些選項(xiàng)，可以有效地控制nmap的掃描時(shí)間。

1）-T

設(shè)置nmap的掃描策略，主要有如下幾種：

Paranoid：為了避開IDS的檢測(cè)使掃描速度極慢，nmap串行所有的掃描，每隔至少5分鐘發(fā)送一個(gè)包；

Sneaky：和Paranoid差不多，只是數(shù)據(jù)包的發(fā)送間隔是15秒；

Polite：不增加太大的網(wǎng)絡(luò)負(fù)載，避免宕掉目標(biāo)主機(jī)，串行每個(gè)探測(cè)，并且使每個(gè)探測(cè)有0.4 秒種的間隔；

Normal：nmap默認(rèn)的選項(xiàng)，在不是網(wǎng)絡(luò)過載或者主機(jī)/端口丟失的情況下盡可能快速地掃描；

Aggressive：設(shè)置5分鐘的超時(shí)限制，使對(duì)每臺(tái)主機(jī)的掃描時(shí)間不超過5分鐘，并且使對(duì)每次探測(cè)回應(yīng)的等待時(shí)間不超過1.5秒鐘；

Insane：只適合快速的網(wǎng)絡(luò)或者用戶不在意丟失某些信息，每臺(tái)主機(jī)的超時(shí)限制是75秒，對(duì)每次探測(cè)只等待0.3秒鐘。

用戶也可以使用數(shù)字來代替上述這些模式，例如：-T 0等于-T Paranoid，-T 5等于-T Insane。并且，上述這些模式不能和下面的選項(xiàng)組合使用。

2）--host_timeout

設(shè)置掃描一臺(tái)主機(jī)的時(shí)間，以毫秒為單位。默認(rèn)的情況下，沒有超時(shí)限制。

3）--max_rtt_timeout

設(shè)置對(duì)每次探測(cè)的等待時(shí)間，以毫秒為單位。如果超過這個(gè)時(shí)間限制就重傳或者超時(shí)。默認(rèn)值是大約9000毫秒。

4）--min_rtt_timeout

當(dāng)目標(biāo)主機(jī)的響應(yīng)很快時(shí)，nmap就縮短每次探測(cè)的超時(shí)時(shí)間。這樣會(huì)提高掃描的速度，但是可能丟失某些響應(yīng)時(shí)間比較長(zhǎng)的包。使用這個(gè)選項(xiàng)，可以讓nmap對(duì)每次探測(cè)至少等待用戶指定的時(shí)間，以毫秒為單位。

5）--initial_rtt_timeout

設(shè)置初始探測(cè)的超時(shí)值。一般這個(gè)選項(xiàng)只在使用-P0選項(xiàng)掃描有防火墻保護(hù)的主機(jī)才有用。默認(rèn)值是6000毫秒。

6）--max_parallelism

設(shè)置最大的并行掃描數(shù)量。--max_parallelism 1表示同時(shí)只掃描一個(gè)端口。這個(gè)選項(xiàng)對(duì)其它的并行掃描也有效，例如ping sweep, RPC scan。

7）--scan_delay

設(shè)置在兩次探測(cè)之間，nmap必須等待的時(shí)間。這個(gè)選項(xiàng)主要用于降低網(wǎng)絡(luò)的負(fù)載。