Linux系统扫描技术及安全防范

1.概述
一、主机扫描
二、路由扫描
三、批量服务扫描
四、linux防范恶意扫描安全策略

一个典型的网络安全事件
·案例：通过网络扫描方式获取某运营商核心设备管理权限
step01：通过tracert路由跟踪一个公网地址，发现有走内网的核心设备转发，tracert的作用。例如：tracert www.jd.com
step02:通过端口范围扫描nmap,得知开放了80(http)、23（Telnet)端口。nmap用于批量主机服务扫描。
step03:尝试进行暴力破解，发现登录http://10.202.4.73,可以用弱口令进行登录（admin/admin).
step04:登录到管理界面后，尝试用nc命令进行交互式shell操作。
step05:可以进行任意的操作。

总结：
一、网络入侵方式
踩点 - 网络扫描 - 查点 - 提权 等
二、实例中运用到的命令
tracert、nmap、nc
===================================================================================
2.fping应用
主机扫描命令fping
作用: 批量地给目标主机发送ping请求，测试主机的存活情况。
特点: 并行发送、结果易读

检测配置(./configure)->编译(make)->安装(make install)

fping安装步骤：
1.获取源码包（http://fping.org/）登录终端软件：SecureCRT
# wget http://fping.org/dist/fping-3.10.tar.gz
# ls
# tar -xvf fping-3.10.tar.gz
# ls
# cd fping-3.10
# ls
# more INSTALL(提示)
# ./configure
# make
# make install
# ls /usr/local/sbin/fping
# echo $PATH
# fping -h
# fping -v
# pwd

fping参数介绍：
一、命令参数man、-h方式
二、常用参数介绍
-a 只显示出存活的主机(相反参数-u)
1.通过标准输入方式 fping + IP1 + IP2
-g 支持主机段的方式 192.168.1.1 192.168.1.255 192.168.1.0/24
2.通过读取一个文件中的IP内容
方式：fping -f filename
演示：
# ls
# man fping
# fping -h
# fping 10.10.140.221 10.10.140.222
# fping -a 10.10.140.221 10.10.140.222
# fping -a -g 10.10.140.1 10.10.140.200
# fping -a -g 10.10.140.1/24

# mkdir /opt/myfile
# cd /opt/myfile
# vim ip_list.txt
进行编辑
# fping -a -f ./ip_list.txt
# fping -u -f ./ip_list.txt

=======================================================================
3.hping应用
主机扫描命令hping
特点：支持使用的TCP/IP数据包组装、分析工具
官方站点：http://www.hping.org/
需要依赖安装：
apt-get install libpcap-devel/yum install libcap-devel
ln -s /usr/include/pcap-bpf.h /usr/include/net/bpf.h
安装步骤：
./configure && make && make install

# ls
# wget https://github.com/antirez/hping/archive/master.zip
# ls
# file master
# unzip master
# ls
# cd hping-master
# ls
# sudo apt-get install libpcap-devel
# ./configure
# make
# ./hping3 -v 进行检查版本
# make install
如果make install报错，则输入# rm -rf /usr/sbin/hping*,然后再make install
# hping -h
# hping -v

hping参数介绍：
一、对制定目标端口发起tcp探测
-p 端口
-S 设置TCP模式SYN包

二、伪造来源IP,模拟Ddos攻击。
-a 伪造IP地址

# hping -v
# ls
# netstat -ltn
# hping -p 22 -S 10.10.163.233
# ping 10.10.163.233

# tcpdump -np -ieth1 src host 10.10.163.235

==========================================================================

4.路由扫描
作用：查询一个主机到另一个主机的经过的路由的跳数、及数据延迟情况。
常用工具：traceroute、mtr
mtr特点：能测试出主机到每一个路由间的联通性。

traceroute参数作用：
# tra
# traceroute --help
# whereis traceroute
# apt-get/yum install traceroute

traceroute参数介绍：
1.默认使用的是UDP协议（30000上的端口）
2.使用TCP协议 -T -p
3.使用ICMP协议介绍 -I
# traceroute www.baidu.com
# traceroute -n www.baidu.com
# traceroute -In www.baidu.com
# traceroute -T -p 80 -n www.baidu.com

mtr使用:
# mtr --help
# man mtr
# mtr www.baidu.com
===========================================================================

5.批量主机服务扫描
目的：1、批量主机存活扫描。2、针对主机服务扫描。
作用：
1、能更方便快捷获取网络中主机的存活状态。
2、更加细致、智能获取主机服务侦查情况。
典型命令：nmap、ncat

namp使用：
# whereis nmap
# nmap -sP 10.10.140.0/24
# netstat -ltpn
# nmap -sS 10.10.163.233
# nmap -sS -p 0-30000 10.10.163.233
# nmap -sT -p 0-30000 10.10.163.233
# nmap -sU 10.10.163.233

ncat工具使用：
组合参数：
-w 设置的超时时间
-z 一个输入输出模式
-v 显示命令执行过程
方式一、基于tcp协议（默认）
nc -v -z -w2 10.10.250.254 1-50
方式二、基于udp协议-u
nc -v -u -z -w2 10.10.250.254 1-50
===========================================================================
6.防攻击介绍
常见的攻击方法：
1.SYN攻击：利用TCP协议缺陷进行，导致系统服务停止响应，网络宽带跑满或者响应缓慢。
SYN类型DDOS攻击预防：
方式1、减少发送syn+ack包时重试次数
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3
方式2、SYN cookies技术
sysctl -w net.ipv4.tcp_syncookies=1
方式3、增加backlog队列
sysctl -w net.ipv4.tcp_max_syn_backlog=2048

2.DDOS攻击：分布式访问拒绝服务攻击。
3.恶意扫描

Linux下其他预防策略
策略1、如何关闭ICMP协议请求
sysctl -w net.ipv4.icmp_echo_ignore_all=1
策略2、通过iptables防止扫描
iptables -A FORWARD -p tcp -syn -m limit -limit 1/s -limit-burst 5 -j ACCEPT