在本章中将向大家介绍一些作为一个黑客所必不可少的小工具,从丰富多彩的扫描器到经典好用的嗅探器,针对不同的计算机安全漏洞,无论是对抗黑客的入侵与攻击,还是做好系统的安全管理,这一些无疑将是大家明智的选择,因为只有知己知彼,才能百战不殆。
8.1 扫描与反扫描工具精粹
通过安全扫描,黑客可以找出别人的系统,而系统管理员掌握它之后则可以有效地防范黑客的入侵。在本节中,笔者将就系统安全防范等多个方面向大家介绍几款扫描与反扫描的经典工具。
8.1.1 用MBSA检测Windows系统是否安全
Microsoft Baseline Security Analyzer(简称MBSA)即“微软基准安全分析器”.它是微软提供的检测Windows系统安全的免费软件。MBSA可以运行于Windows 2000以上版本的几个系统,具体使用的操作步骤如下:
①直接双击下载的Mbsasetup.msi程序即可进入安装向导,8-1。
②在单击【Nex】按钮后的下一步中首先选中I acc licenseagrment复选框,8-2。同意授权协议后单击Next按钮继续进行安装即可,完成后用鼠标单击Finish按钮即可。
③单台计算机模式最典型情况是“自扫描”,也就是扫描本地计算机。运行MBSA程序并在主窗口左栏中单击Picka computer to scan项之后,右栏中将显示准备对单台计算机扫描时的设置面板,8-3。
④从设置面板中可以看出有两种方式可供选择:使用机器名或lP地址,即在CompuLername文本框中输入想扫描的计算机名称(默认为本地计算机).或在lP address中输入该机的IP地址(要想扫描一台计算机,必须有管理员访问权限才行)。
⑤MBSA每完成一台计算机的扫描之后都会生成一个XML格式的安全报告。在Secu—ty report name文本框中输入安全报告名称的格式,建议使用默认格式;在Options选项区域中选择安全分析的内容,根据要扫描的机器情况进行选择,建议使用默认选项。
⑥最后单击Start Scan按钮,则会弹出安全警告对话框,单击【是】按钮之后,系统进入扫描状态,8-4。
⑦扫描结束之后.MBSA将为用户生成一份安垒报告,8-5。如果想了解详细的情况,单击安全报告中的Result Details链接即可列出详细的系统安全漏洞,这样用户就可以根据这些系统漏洞安装补丁程序了。
⑧多台计算机模式和单台计算机模式稍有不同,它是对某一个lP地址段或者整个域进行扫描。单击主窗口的Pick multiple computers to scan项,在右栏中对要扫描的计算机进行设置,8-6。在Donmin name中输入想扫描的网络域名或在lP address range中输入要扫描的IP地址段。
⑨因为Security report name和Opaons的设置和单台计算机模式相同,所以这里就不再赘述,最后单击Start Scan按钮开始扫描即可,完成后同样会生成一份安全报告,8-7。
8.1.2 深入浅出RPC漏洞扫描
利用RPC漏洞进行攻击的病毒和黑客程序数不胜数,因此就要时常对系统中的RpC服务进行监控,以防出现什么漏洞让系统被非法用户悄然入侵。这个时候,RPC漏洞扫描器就可以派上用场了。
建议网管使用“RPC漏洞扫描器”等程序对整个网络系统进行RPC漏洞的扫描,8-8。因为扫描是单一的,所以扫描的使用将会十分简单。
在【起始lP地址】文本框中输入192,.168.0.1,单击【扫描】按钮即可开始对局域网中所有系统进行RPC漏洞扫描了。在扫描到有安全漏洞的计算机之后,将会把计算机名、lP地址等信息显示在下方的列表框中,8-9。
由此可见,局域网中没有计算机存在RPC安全漏洞,值得欣慰了吧,说明已经为所育计算机都打好RPC补丁了。
8.1.3 个人服务器漏洞扫描的利器-WebDAVScan
现在使用Windows 2000架设个人服务器的朋友是越来越多了,想过服务器中可能存有大名鼎鼎的WebDAV漏洞吗?现在就使用一些小小的工具来检测一下。
可以进行WebDAV漏洞扫描的程序很多,下面以WebDAVScan为例,讲解一下扫描的方法。WebDAVScan可以对不同ip段进行扫描,来就检测网段的Microsotf IIS 5.0服务器是否提供了对WebDAV的支持,8.10。
在【起始IP】和【结束IP】地址栏中输入IP地址后,单击下方的【扫描】按钮即可开始对系统进行WebDAV漏洞的扫描,8-11。如果在下方的结果列表中lP地址后右侧显示Enable.则说明此服务器支持WebDAV并可能存在漏洞。
解决WebDAV漏洞时,如果不能立刻安装补丁或升级,建议采取以下措旆来降低威胁:
①微软提供的IIS Lockdown工具能够有效防止该漏洞被黑客利用。
②要完全关闭WebDAV包括的PUT和Delete请求,可对注册表进行如下更改:
在注册表编辑器(Regedt32.exe)中展开分支HKEY_LOCAL_MACHINEISYSTEM1CurrenLControIS et\Services\W3 SVC\Parameters,新增一个DWORD类型的名为DisableWebDAV的键且赋值为1即可。
③如果有条件的话还是尽快为系统打上补丁,可参考安全公告( MS03-007)进行系统补丁的下载与安装。
8.1.4用网页安全扫描器查看你的网页是否安全
想知道自己的服务器都存在哪些安全隐患么?想知道最新HTTP方面的漏洞对自己网站有什么影响么?那么快使用可以检测1300多个httP的漏洞的TrusLSight SecurieyScanner来完成这个复杂的安全扫描吧。
TrustSight Security Scanner扫描漏洞的操作步骤如下:
①运行程序之后,在Host address文本框中输入lP地址井单击下方的Perform Scan按钮,8-I2。
②随即系统开始漏洞的扫描,此时大家一定要耐心等待,8-13。
③在扫描结束之后,系统将弹出一个文件保存对话框,8. 14。选择默认文件名并单击【保存】按钮后即可将本次扫描的结果保存下来,以供日后随时查询。
在漏洞扫描操作结束之后,如果想知道服务器中到底存在哪些安全隐患,就需要将扫描出来的安全漏洞列示出来,打开C:\Program Files\TrustSight\TrustSight SecuriLyScanner\Rep文件夹下的保存文件,在IE浏览器中即可查看漏洞的列表和详细说明,8-15。
8.1.5 防御扫描器追踪的好帮手--ProtectX
ProtectX是一个可以在用户连接上网络时保护自己计葬机的小工具,能够有效防止黑客入侵。假如任何人想尝试入侵连接到自己的计算机,ProLectX即会发出声音警告并将入侵者的IP地址记录下来。
ProtectX的安装过程很简单,运行后的主窗口8-16。在该窗口中有几项实用的功能组件,依次是端口安全( Port Sentry)、特洛伊安全(Trajan Sentry)和Identd服务(ldentdServer)等。
1、端口安全( Port Sentry)
端口安全就是端口扫描监视器,在TCP端口l上监听,如果有扫描活动触发到1号端口,则Port Sentry将会报警,8-17。接着Protectx即可反跟踪对方。查询其域名,追溯它的路由信息,即可在主界面上显示所截击到的扫描信息,8-18
2、特洛伊安全(Trojan Sentry)
是指在一些木马常用端口上进行监听,一旦发现有人试图连接这些端口,即可报警。
3、ldantd服务(ldentd Server)
可以在计算机上打开一个安全Iderud服务,对于初级用户来说,不要打开这个服务。
ProtectX的保护虽然可以对付一般的扫描攻击,但耍想高扰无忧,还需要注意:
①对于Windows 2000/XP用户,要修改注册表,禁止匿名用户对IPC$的访问。
方法是在注册表编辑器中展开到H KEY_LOCAL_MACfflNE\SYSTEM\CurremControlSet\ControIILsa分支,找到restrictanonymous键值并将其值改为l,8-19。
②修改注册表,禁止自动管理共享。
方法是在注册表编辑器中展开到HKEY_LOCAI。MACHINE\SYSTEM\CurrentControlSetlServices\LanmanserveI:、paramelers分支,找到AutoShareServer键值井将其改为o,8-20,同时找到AutoShareWKs键值将其改为0即可。
③及时更新操作系统,其重要性就不必多说了。
8.2介绍几款经典嗅探器
嗅探器是一把双刃剑,如果到了黑客的手里,自然成了《指环王》里无恶不作的魔戒,但如果到了系统管理员的手里,则能帮助用户监控异常网络流量,从而更好地管理好网络。
8.2.1用嗅探器Sniffer Portable捕获数据
Sniffer Portable是一款著名的嗅探软件,它可提供数据包获取和译码的功能,捕获到任何类型的数据包并译码,提供图形以确切指出在网络中哪里出现了严重的业务拥塞。另外,通过配置可以用,监控多个网段。
在Sniffer Portable初次启动时,可能会提示选择一个适配器进行镜像,此时正确选择接入网络的网卡。这样Sniffer Portable才可以把网卡设置为杂乱(Promiscuous)模式,以接受传输在网络上的每一个信息包。
Sniffer Portable运行后的主界面8-21,从中可以看出目前网络中的状态,哪个连接最为繁忙一目了然。
使用Sniffer Portable进行数据捕获具体操作步骤如下:
①选择【工具】→【数据包发生器】命令,在【数据包发生器】窗口中可以看到SnifferPortable的捕获工作已经开始了,8-22。
②在【捕获】菜单中可以用Fl0键实现“开始”和“停止”操作,显然这是控制捕获的运行与中止时使用的,8-23。
由于网络上的数据包非常多,因此使用Sniffer PortaWe的默认设置来进行捕获将得到非常庞大的数据,不便于分析判断,这就要求打开Sniffer Portable设置窗口进行正确、有效的设置,8-24。
捕获条件设置的另外一个重要选项是“协议”设置,8-25。这里可以设置捕获几乎所有的协议数据包。
上述捕获设置完成并让Sruffer Ponable开始捕获数据包之后,就可以通过单击查看按钮分析捕捉到的数据包了。
假设已经在局域阿中任意计算机上的IE地址栏中输人类似fip://ftp.newtop.com的FTP网址,然后在弹出的对话框中输入用户名和密码后,接着再查看Sniffer Portable的捕获数据窗口,8-26。
这个窗口分为3个部分,第一部分是被捕捉到的数据包的列表,每一行就代表一个数据包;第二部分是针对第一部分被选取的数据包加以分析的结果;第三部分则是第一部分中被选取数据包的原始内容,网上传输的来加密信息在这里都可以读到。从第一部分的窗口中可以清楚地看到FTP用户名和密码已经以明文方式被捕获。
触目惊心吗?黑客很简单就利用嗅探器捕获得到了FtP用户名和口令,如果捕获的是办公局域网中内部的FtP服务器密码或是系统管理员登录终端的密码,后果就非常严重了。
8.2.2局域网中的嗅探精灵-his
当大家享受着宽带网带来的方便,心情舒畅地进行网上浏览、收发电子邮件,或网上购物时,有没有想到过在某个黑暗的角落里,可能有人正在窥视着你的一举一动……这可不是在讲述《黑客帝国》电影,嗅探器就可以拦截所有明文传送的账号、密码,即使采用了加密机制,也不能高枕无忧,因为世上没有打不开的锁。
①安装Lrs很简单,一路按回车键即可,初次启动时会要求选择绑定网卡,8-27。
②单击工具栏上的Start Capture按钮,即可捕捉所有流经的数据帧,8-28。
③kis可以捕捉所在网段里所有的数据包,单击Capture图标,主界面被分为3个窗格。左侧的Packet Decoder窗格用树型结构显示着每个数据包的详细结构以及数据包的每个部分所包含的数据:右下角的Packet Editer窗格分左右两部分。左边显示数据包的十六进制信息,右边则显示对应的ASC值;右.右上角的Packets Lists窗格显示所有流经的数据列表(新产生的数据包自动添加到列表里)。选中特定的数据包之后,其详细信息将会呈树型显示在Packet Decoder窗格中。
④单击Decode按钮可以对捕获的数据包进行分析,8-29。其主窗口也分为3个窗格。
左边的Host Activity窗格用于列出按照服务类型显示的树型结构的主机传输信息。选中某个服务之后,客户机和服务器之间的会话信息就会显示在Sessions Eist View窗格中,选中某个会话记录,就可以在Session Data View窗格里显示解码后的信息。在Sessions ListView窗格中每个会话的属性有服务器、客户机、服务器端口、客户机端口、客户机物理地址,还有服务器到客户机的数据量、客户机到服务器的数据量以及总的数据量。右下角的Session Data View窗格显示解码后的会话信息。
⑤流经Iris的数据很多,但大部分均没什么实际用处,可以通过Filters设置,仅处理需要的信息以减少系统资源占用。单击Iris主窗口左边的Filters图标,弹出8-30的配置界面。
Hardware Filters(硬件过滤):确保选中Promiscuous(混杂)模式,以确保可以捕捉当前网段的数据包。
Word(单词过滤):可以过滤包含特定字符串的数据包,比如包含Password、User等敏感字眼,可以同时包含多个关键字(And按钮)或其中之一(Or按钮)。还可以根据物理她址、lP地址等其他条件过滤数据包。
单击工具栏上的Top Hosts Statistics按钮即可按图表的形式展示与本机相连的数据量最大的lO台主机,8-31。
可以用多种方式显示(包括饼图、柱状图等).还可以在底部状态栏上切换数据包类型(lP包、MAC包或IPX包),可以据此查出可疑连接(显然数据通信量最大的几个连接主机都值得怀疑)。这个工具还有一个根另类的用处,就是显示QQ聊友的lP地址,只需在状态栏上切换到lP类型(因为是因特网连接,所以只用到TCP/1P协议),然后给聊友发一个信息,图表中马上就可以增加对方的IP地址。
8.2.3用嗅探器SpyNet Sniffer实现多种操作
SpyNer Sluffer是个极好的网络监听工具,不仅可以告诉用户谁连接到自己的系统,而且还能告诉用户他们正在做什么。如果有人攻击系统,SpyNet Sniffer可以攫取证据。
使用SpyNet Sniffer捕获地址的操作步骤如下:
①SpyNet Sniffef运行后首先需要在弹出的窗口中指定与网络连接的网卡并单击【确定】按钮进行确认,8-32。
②选择Capture→Sout命令之后,SpyNet Sniffer开始数据的捕获,8-33。
③稍后即可看到已经嗅探出了很多数据包.继续选择File→ Save命令,将其保存为cap格式的文件。
④在将结果保存之后,即可使用“写字板”、“记事本”等程序将其打开,8-34。使用简单的查找功能查拽一定的关键字,如Flash动画的后缀名是swf.所以就查找这个关键字swf,很快就可以找到该页面中的Flash动画网址。
8.2.4 能够捕获网页内容的“艾菲网页侦探”
“艾菲网页侦探”(EffeTech HTIl Sniffer)是一个专门设计来分析局域网络上HTTP数据传输封包的软件,可实时分析出局域网络上所传送的HTTP资料封包,并将封包内容整理出来让用户查看。通过它可监控网络中的其他人浏览了哪些网页以及这些网页的内容是什么等在使用“艾菲网页侦探”进行网络嗅探前,需要首先对软件进行必要的设置,方法如下:
选择Sniffer→Options命令,8-35。在弹出的设置界面中根据实际情况设置捕获的lP地址范围即可。从中可看到捕获的lP地址范围是所有网络,捕获的内容是GIF.ZIP等内容。
“艾菲网页侦探”可以自动分析并提取出指定网络中的所有数据,下面在使用192.168.0.1和192.168.1.54两台计算机进行不同的网页内容访问后,可以看到“艾菲网页侦探”已经成功地捕获并提出两台计算机访问的网页中的所有数据,8-36。
假设想要查看访问了的某个网页中的某项内容,如提取某个网页中的“丁香花”这个Flash动画,除了先看一下该网页的源代码外,还可以从8-37的“记事本”中对其进行查找。
找到之后.将Host项中的网址和Get项中的具体目录及文件指向合并起来再漆加上HTTP的协议就可以使用FlashGet下载它了。
为了防止某些用户下载非法内容,还可以使用“艾菲网页侦探”进行下载程序的监控。
假设现在透过华军软件园下载“弹珠球”这款游戏程序,那么在捕获列表中就可以看到不仅“弹珠球”的引用页被列举了出来,其隐藏的真实下载路径也被捕获到了。显然,善于利用“艾菲页侦探”的功能将会极好地帮助网管进行网络中非法内容的浏览和下载管理。
8.3看不见的管理员——谁在欺骗我们的网络
说起欺骗真是件让人痛恨的事儿,但有时欺骗偏偏就能起到大作用。这不,“蜜罐”技术就可以模拟出一个充满漏洞的系统,当恶意入侵者得意洋洋时,用户却早已为反攻赢得了宝贵的时间。
8.3.1 小心具备诱捕功能的蜜罐
KFSenSOf是一款基于IDS的安全工具,通过模拟FIP、POP3、HTTP、SMTP等服务,吸引黑客、木马和病毒进攻。通过详细的安全检测报告,实时监测本地计算机,简单易用且功能强大。
KFSensor的具体使用步骤如下:
①安装完毕KFSensor之后,将会提示选择要伪装的漏洞类型,这里有好几种,例如模仿木马端口开放、危险服务开放等,为了使蜜罐更逼真,建议将全部的模拟内容选上,8-38。
②根据向导提示给蜜罐设置一个域名。这样使机器看起来更像一台服务器,这里输入networksforu.com.8-39。通过简单设置之后,即可将本机架设一个满是漏洞的蜜罐,下面来看看这个模拟出来的蜜罐到底有什么能耐。
③这里以入侵者的身份来扫描一下该计算机,利用的是常用的端口扫描工具SUpcrScanr在ip处输入本机lP,将端口定义在1~65525.单击【开始】按钮即可实现一次通扫。
④扫完之后即可看到扫描结果,可以看到机器开放的端口很多,几乎就像一台刚刚装好系统和服务器软件的主机,连一些危险的端口都开放着。不过这些开放的危险端口都是KFSensor模拟出来的,用X-Scan等漏洞扫描器进行扫描,可以发现nt、FTP、SQL弱口令-COJ、IIS漏洞等,这些也都是KFSensor模拟出来的。
⑤当发现有人对其进行扫描时.KFSensor会进行报警并变成红色,此时可以打开KFSensor进行日志分析。经过上面的诱捕测试,可以确认蜜罐安装成功。
8.3.2拒绝恶意接入的“网络执法官”
“网络执法官”是一款局域网管理辅助软件,能穿透各客户端防火墙对网络中的每一台主机(本文中主机指各种计算机、交换机等配有IP的网络设备)进行监控:采用网卡号(MAC)识别用户,从而可以彻底地杜绝恶意用户欺骗式的接入网络;软件本身占用网络资源少,对网络没有不良影响。
软件不需运行于指定的服务器,在网内任一台主机上运行即可有效监控所有本机连接到的网络(支持多网段监控)。
“网络执法官”使用的具体操作步骤如下;
①根据安装向导提示进行安装之后,因为软件在运行时需要WinPcap包支持,所以程序在安装完成后会提示安装WinPcap包。
②双击桌面上生成的快捷方式启动“网络执法官”,软件启动后自动探测局域网中存在的计算机,列出各种计算机IP地址、网卡类型、网卡MAC地址、首次上线时间和最后一次下线时间等相关信息并赋予默认权限,840。
③如果想要查看目标计算机属性,则可在【用户列表】中取击耍查看的用户,弹出【用户属性】列表,8-41。
④单击【上线记录】按钮即可查看用户上线情况,8-42。单击【导出记录】按钮即可将该信息存为文本文件,8-43。
⑤如果想要批量保存目标主机信息,则可以选择【记录查询】选项卡,在【ip地址段】中输入起始Ip和结束lP.单击【查找】按钮之后即可开始收集局域网中计算机信息,8-44。单击【导出】按钮即可将所有信息导出为文本文件,8-45。
除了收集局域网中各计算机信息,“网络执法官”还可以对局域网中的计算机进行网络管理。“关键主机”是由管理员指定的lP地址,可以是网关、其他计算机或服务器等。管理员将指定的lP存入“关键主机”之后,可令非法用户仅断开与“关键主机”的连接而不断开与其他计算机的连接。
⑥执行【设置】→【关键主机】命令,在【指定lP】文本框中输入要添加主机的IP地址.单击【添加】按钮即可将该主机ip加入【已指定的关键主机】列表中(最多可以为一个局域网指定32台“关键主机”),8-46。
⑦执行【设置】→【默认权限】命令,8A7。接着选中【允许指定的条件与网络连接】单选按钮,选择“只允许使用以下iP段”或“不允许使用以下IP段”,输入起始lP和结束lP用以限制lP地址访问局域网。
⑥选择【发现该用户与网络连接即进行管理】单选按钮,在【管理方式】选项区域中设置管理方式,当目录计算机连入局域网时,“网络执法官”即按照设定的项对该计算机进行管理, 8-48。右击【用户属性】列表中的用户,在弹m的快捷菜单中选样【设定权限】命令即可单独配置该用户的权限。
⑨禁止目标计算机访问网络是“网络执法官”的重要功能,右击【用户属性】列表中的用户,在弹出的快捷菜单中选择【锁定,解锁】命令,8-49。选择好目标计算机的断开方式之后,单击【确定】按钮,即可禁止该计算机访问相应连接。
⑩要解除对该计算机的限制,只需要重新右击该计算机并选择【锁定,解锁】命令,选中【解除锁定】单选按钮之后单击【确定】按钮即可。
8.4可能出现的问题与解决
在进行扫描与嗅探时如何测试防火墙系统?
在测试时切记要确保内网的默认网关为防火墙系统,如果已经选择好了一个完整的日 志记录体系,且工作在内网主机与日志记录主机之间的话,那么,就可以进行日志记录选项测试了。如果日志记录在防火墙机器上完成的话,则不妨直接使用内网机器连上去。
如果把安装有扫描器与嗅探器的机器安置在拓扑的内部与外部,则便于用来分析与捕捉双向的通信问题与通信情况(数据从内到外、从外到内)。
8.5总结与经验积累
仔细地扫描自己网络内的所有主机(包括防火墙系统),检查自己扫描的包是否被堵塞,从而确认不能从中得到任何数据信息。尝试使用特定的“认证端口”(如使用FTP的20端口)发送包去扫描各端口的存活情况,看看这样能否脱离防火墙的规则限制。
还可以把入侵测试系统安装在自己的虚拟网络环境或现实网络环境中,以帮助了解与测试的包过滤规则能否保护系统与网络对抗现有的攻击行为。要做到这样,我们将需要在基本的规划上运行这一类的工具并定期分析结果。
当然,还可以将这一步的测试工作推迟到自己完全地配置好整个新的防火墙系统之后来进行。
最后,应该先把新的防火墙系统安装在内网并配置通过,然后再接接上外网接口。为了降低最后阶段测试所带来的风险,管理员可以在内网连上少量的机器(主管理机器群与防火墙系统),当测试通过后再来逐步增加内网的机器数目。
本文内容所提及均为本地测试或经过目标授权同意,旨在提供教育和研究信息,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,作者不鼓励或支持任何形式的非法行为。