掃描不屬于你或沒有書面掃描許可的互聯網主機是非法的。很多人認為掃描無傷大雅��,但掃描一般被大多數公司認為是“互聯網白噪聲”(大多數組織每小時掃描數十或數百次)�。永遠記住,“罪犯和信息安全專業人員之間的區別是簽訂了合同”��。
遠程端口和服務枚舉–nmap
最廣泛用于掃描網絡資源的工具是NMAP( 的縮寫)。NMAP最初是一個簡單的端口掃描工具��,但現在已經遠遠超過了那組簡單的功能�,擁有一長串功能。
首先,nmap在基本的工作站上并不是默認安裝(盡管它在許多其它發行版是默認包含的)。執行sudo apt-get nmap命令進行安裝����。
NMAP一般不會引起網絡問題����。但是����,如果您在一個生產網絡上運行這個程序,您將希望首先對該網絡有一個了解。有幾類設備的網絡棧特別“不穩定”——例如較老的醫療設備����,以及較老的工業控制系統(ICS)或監控和數據采集(SCADA)設備���。
換句話說���,如果你在醫院���、工廠、或公用事業單位�,小心!針對您的生產網絡運行任何網絡映射都可能導致問題����。您可能仍然希望這樣做�����,但首先測試已知的“空閑”設備����,這樣就知道當掃描“真實”網絡時��,可以確保不會導致問題����。第二個(法律上的)警告——未經允許不要掃描���。如果您使用的是家庭或實驗室網絡�����,那么這是使用nmap等評估工具或更激進的安全評估工具的好地方��。但是,如果你在工作��,即使你確定你不會引起問題�,您也需要先獲得書面許可。
現在�����,讓我們熟悉這個偉大的工具!嘗試運行man nmap(還記得手動命令嗎?)—在nmap的手冊頁中有很多有用的信息��,包括完整的文檔。一旦我們熟悉這個工具,您可能會發現有了幫助文本使用起來更快����。通常你或多或少知道要找什么�����,所以你可以使用grep命令搜索它,例如:nmap - -help | grep ��。對于nmap�����,您可以省去--help選項���,因為沒有參數的nmap默認輸出是幫助頁面�����。
因此��,要了解如何進行ping掃描——也就是說,ping范圍內的所有內容(我總是忘記語法)——你可以搜索如下:
$ nmap | grep -i ping -sn: Ping Scan - port scan
-PO[ list]: IP Ping
我們如何進行��?NMAP想知道你想要映射什么——在這種情況下�����,我將映射192.168.122.0/24子網:
這是一個快速掃描���,告訴我們子網中當前活動的所有IP�。
現在讓我們來看看服務��。讓我們從查找運行tcp/443(您可能認為它是HTTPS)的任何程序開始。我們將使用nmap -p 443 -open 192.168.122.0/24命令��。在這個命令中有兩件事需要注意�����。首先��,我們使用-p選項指定端口。
默認情況下,NMAP掃描TCP端口用SYN進行掃描�����。nmap發送一個SYN包�,然后等待得到一個SYN-ACK包。如果它看到這一點,則端口是開放的�����。如果它得到端口不可達的響應����,則認為該端口已關閉。如果我們想要一個完整的掃描(完成整個三次握手),我們可以指定-sT。
接下來,我們看到一個--open選項。這表示“只向我顯示開放的端口”。如果不這樣做��,我們將看到關閉端口和“過濾”端口(這通常意味著沒有任何東西從初始包返回)����。
如果我們想了解端口為什么會被視為打開、關閉或過濾的更多細節,我們將刪除--open選項,并添加--:
要掃描UDP端口����,我們將使用相同的語法��,但添加了sU選項。注意這里,此時我們開始看到啟動主機的MAC地址�����。這是因為掃描的主機與掃描儀位于同一子網中����,因此信息可用�。NMAP使用MAC地址的OUI部分來識別每個網卡的供應商:
因為我們正在掃描UDP端口,Nmap需要使用root權限(使用sudo)運行�����。這是因為它需要將發送接口置于混雜模式��,以便捕獲可能返回的任何包�����。這是因為在UDP中不像我們在TCP中有會話的第五層概念,所以在發送和接收數據包之間不存在第五層連接���。根據所使用的命令行參數(不僅僅是UDP掃描),Nmap可能需要提升權限��。在大多數情況下,如果你使用Nmap或類似的工具�����,你會發現自己使用sudo相當多:
關于這個掃描��,還有一些需要注意的事情:
初始掃描嘗試失敗�����,您需要root權限才能在NMAP中進行大多數掃描。為了得到它所做的結果,在許多情況下���,該工具自己制作數據包���,而不是使用標準的操作系統服務來做到這一點�,而且它通常還需要權限來捕獲目標主機返回的數據包,因此nmap需要提升這兩種操作的權限�。
我們看到更多的狀態指示open|端口�����。UDP特別容易發生這種情況——因為沒有SYN/SYN-ACK類型的握手,所以您發送一個UDP數據包�����,可能不會得到任何回復——這并不一定意味著端口關閉����,這可能意味著您的數據包由遠程服務處理,但沒有發送確認(某些協議就是這樣)�����?����;蛘咴谠S多情況下���,這可能意味著端口未啟動�����,主機未正確返回ICMP Port 的錯誤消息(ICMP類型1,代碼3)�。
為了獲得更多細節,讓我們使用sV選項,它將探測有問題的端口,并獲取有關服務本身的更多信息。在本例,我們將看到192.168.122.1被明確標識為open,運行服務�����,服務版本被列為 dns :(這表示服務器不支持dns更新功能�����,如RFC 2136所述)�。如果NMAP標識不確定���,則服務信息后面的服務指紋簽名有助于進一步標識服務�����。
另請注意���,對于其它主機�,原因被列為no-��。如果您了解協議�,通?���?梢栽谶@些情況下做出很好的推斷。在掃描DNS的情況下,無響應意味著那里沒有DNS服務器或端口已關閉��。
還要注意,這個掃描花了整整100秒�����,大約是我們最初掃描的50倍:
讓我們嘗試一個sV詳細服務掃描192.168.122.1網絡掃描儀安裝后找不到��,端口tcp/443 -我們將看到NMAP做了一個相當好的工作來識別運行在該主機上的web服務器:
對192.168.122.51進行相同的嘗試����,我們看到該服務被正確地識別為 ESXi 7.0管理接口:
既然我們是掃描端口的專家�����,有了各種選項,讓我們對此進行擴展。NMAP允許我們對找到的任何open的端口運行腳本——這可以節省大量時間!
NMAP腳本
到目前為止,我們只研究了端口掃描——NMAP的作用遠不止于此�。一個功能齊全的腳本引擎可以基于Lua(一種基于文本的解釋語言)處理數據包或NMAP的輸出��。在本篇,我們不會深入探討LUA����,但是NMAP確實提供了一些預先編寫的腳本���,其中一些對網絡管理員來說是無價的�。
例如����,考慮SMB版本信息。微軟多年來一直強烈建議停用SMBv1,就在2017年/Petya/系列惡意軟件使用SMBv1中的和漏洞之前達到頂峰���。雖然由于在較新的版本中很難啟用SMBv1, SMBv1已經被有效地淘汰,但我們仍然可以在企業網絡中看到SMBv1——無論是在較舊的服務器平臺上,還是在其SAMBA服務中實施SMBv1的較舊的基于Linux設備上���。使用smb-腳本進行掃描再簡單不過了。在使用任何腳本之前,打開腳本以查看它的確切功能以及NMAP需要如何調用它(它可能需要哪些端口或參數)會很方便。在這種情況下,smb-文本給了我們用法����,以及在輸出中預期的內容:
讓我們掃描目標網絡中的一些特定主機以了解更多信息。我們只展示一個運行SMBv1協議的示例主機輸出�����。注意�,從主機名來看,它似乎是一個- (NAS)設備����,因此底層可能是基于Linux或BSD��。從OUI可以看到主機的品牌名稱,這給了我們更具體的信息:
或者�,您可以使用smb-vuln-ms17-010.nse腳本直接掃描*漏洞(僅顯示一個主機作為示例)�。掃描同一臺主機�,我們發現即使啟用了SMBv1,該特定漏洞也沒有發揮作用�����。盡管如此���,仍然強烈建議禁用SMBv1�,因為SMBv1容易受到一系列漏洞的影響,而不僅僅是ms17-010�����。
列表向下滾動一點���,我們的第二個示例主機確實存在這個漏洞�����。從主機名來看���,這可能是一個業務關鍵主機(運行BAAN)���,因此我們更希望修復此服務器�����,而不是使用勒索軟件。查看該主機上的生產應用程序���,SMB完全沒有理由向大多數用戶公開——實際上只有系統或應用程序管理員應該將驅動器映射到該主機,并且用戶將通過其應用程序端口連接到它����。對此的建議顯然是修補漏洞��,而且還要將該服務與大多數用戶隔離開來(或者如果管理員不使用該服務,則禁用該服務):
Nmap安裝時帶有數百個腳本��。如果您正在尋找指定的內容���,特別是如果僅通過端口掃描無法確定它��,那么使用一個或多個nmap腳本通常是最簡單的方法����。記住��,如果您正在尋找一個“流氓”主機����,例如DHCP服務器��,您會找到您的生產主機以及任何需要的實例�。
注意����,其中許多依賴于您在掃描中包含正確的端口號����。“廣播”樣式的腳本通常只掃描掃描器所在的子網,因此掃描遠程子網可能意味著“借用”或將主機放置在該子網上��。此列表中討論的許多核心網絡服務將在后面的章節介紹���,包括DNS�����、DHCP等��。
記住(再次),未經授權掃描不符合您的最佳利益——首先獲得書面許可!
nmap提供了數百個腳本,還有數百個可以通過快速的互聯網搜索獲得���。在生產網絡中,我發現一些預打包的nmap腳本非常方便,它們包括:
意外的、惡意的或錯誤配置的網絡基礎設施:
服務器問題和惡意服務:
盜版��、“影子IT”�����、惡意或其他意想不到的服務器:
工作站的問題:
網絡邊界問題:
其它服務器或工作站問題:
我們總結了Nmap的各種用法�����。Nmap在較大的網絡中表現不佳——例如,在/8或/16網絡中,或者在一些非常大的IPv6網絡中�。對于這些網絡����,需要一種更快的工具�。讓我們研究一下用于這些用途的工具����。
Nmap有限制嗎?
Nmap的主要限制是性能。隨著網絡規模的增長�����,Nmap將花費越來越長的時間來完成正在運行的任何掃描。這通常不是問題,但在生產網絡中����,如果您的掃描從早上8點開始�����,到第二天的某個時候結束,很可能有相當長的一段時間設備都處于關機或斷開連接的狀態,因此掃描的有效性將受到影響�。當您在非常大的網絡上時���,這一點尤其明顯——例如����,隨著子網掩碼的縮小或網絡計數的增加���,Nmap的掃描時間可能會增長到數小時�、數天或數周。同樣,在IPv6網絡上�,經?���?梢钥吹綌登?���、數十萬甚至數百萬個地址����,這些地址可以轉換為Nmap掃描時間長達數年或數十年。
有兩種方法可以幫助解決這個問題�。
首先���,如果您閱讀了NMAP手冊頁����,那么有一些參數可以加快速度—您可以調整并行性(一次可以運行多少個操作)�、主機超時、往返超時和操作之間的延遲等待��。這些在手冊頁有充分的解釋�����,在這里有更深入的討論: man-.html���。
或者���,您可以查看另一個工具�����。Rob 負責維護工具,這是專門為高性能掃描而設計的�����。憑借足夠的帶寬和馬力�,它可以在10分鐘內掃描整個IPv4互聯網。該工具的1.3版本增加了IPv6支持��。的語法類似于Nmap��,但是在使用這個速度更快的工具時,有一些事情需要注意�����。該工具及其文檔和“陷阱”發布在這里:����。
對于非常大的網絡,一種常見的方法是使用(或調優用于更快掃描的Nmap)進行初始掃描。然后網絡掃描儀安裝后找不到��,粗略掃描的輸出可以用于“提供”下一個工具,無論是Nmap還是其它工具�����,可能是或等安全掃描程序��。像這樣將工具“鏈接”在一起��,可以最大化每個工具的優勢,在最短的時間內提供最好的結果���。
所有的工具都有其局限性,IPv6網絡仍然是掃描工具的一個挑戰����。除非您能夠以某種方式限制范圍�����,否則IPv6將很快達到網絡帶寬、時間和掃描主機上的內存限制�����。DNS收集等工具可以在這里提供幫助—如果您可以在掃描服務之前確定哪些主機實際上是活動的�,那么可以將目標地址顯著減少到可管理的數量��。
端口掃描結束后���,讓我們離開有線世界��,在無線網絡上探索Linux的故障排除。
無線診斷操作
無線網絡中的診斷工具通常關注于尋找低信號強度和干擾區域——這些區域會給使用無線網絡的用戶帶來問題。
有一些基于Linux的優秀無線工具,但我們將討論�����、和����。這三個工具都是免費的,都可以使用標準的apt-get
命令安裝。如果您將工具搜索范圍擴大到包括攻擊型工具或商業產品���,那么該列表顯然會變得更大。
是可用于Linux的較老的無線工具之一。我第一次接觸它是作為一種信息安全工具,強調“隱藏”的無線SSID實際上根本沒有隱藏!
運行該工具的命令如下:
$ sudo –c
或者,如果您有完整的工作配置并且不需要實際的服務器窗口���,請運行以下命令:
$ sudo –c &
現在,在另一個窗口(或者在相同的地方,如果你在后臺運行)�,運行客戶端:
$
在出現的顯示中��,您將看到各種SSID,以及傳輸它們的接入點的BSSID。當您滾動這個列表時,您將看到每個SSID使用的通道和加密類型����,您的筆記本電腦知道它可以在該SSID上協商的速度��,以及該SSID上的所有客戶端工作站。每個客戶端都將顯示其MAC地址���、頻率和包計數。這些信息都以明文形式發送,作為每個客戶端關聯過程和持續連接“握手”的一部分�。
由于您的無線適配器一次只能位于一個SSID/BSSID組合上����,因此所顯示的信息是通過在通道之間跳躍來收集的�����。
在以下屏幕截圖中,我們顯示了一個隱藏的SSID��,其中顯示了接入點的BSSID���,以及與該接入點上的該SSID關聯的八個客戶端:
在網絡上按下Enter鍵��,就可以從該接入點廣播SSID的更多信息�����。注意,我們在這個顯示中看到一個隱藏的SSID:
進一步深入�����,你可以得到關于客戶活動的詳細信息:
雖然是一個很好的偵察和演示工具,但菜單很容易讓人迷路��,而且在對信號強度進行故障排除時�,很難專注于跟蹤我們真正關心的事情。
是一個非常不同的工具����。它只監視您的連接�,所以您必須將它與SSID相關聯��。它會給你當前的接入點��,速度,通道,等等���,如下面的截圖所示。這可能很有用,但這只是故障排除通常需要的信息的一個狹窄視圖——注意����,在下面的屏幕截圖中,報告的值主要是關于適配器所關聯的網絡中的數據吞吐量和信號����。由于這個原因���,工具主要用于排除上行鏈路問題���,而不太用于排除故障���、評估或查看整個無線基礎設施的信息:
使用更多的是�,它是來自的應用程序的一個相當接近的端口�����。在運行應用程序時�����,運行應用程序時,屏幕相當空白�。選擇要用于“嗅探”本地無線網絡的無線適配器�,然后按RUN按鈕��。
顯示器顯示了兩個頻譜(2.4和5GHz)上可用的信道�����,每個SSID在頂部窗口中表示。列表中選中的每個SSID/BSSID組合顯示在底部窗口中�。這使得在列表中很容易看到每個AP的信號強度����,以及圖形顯示中的相對強度��。相互干擾的ssid在重疊的圖形顯示中很明顯。下面的屏幕截圖顯示了5GHz的頻譜情況——注意ap似乎都聚集在兩個通道周圍。它們中的任何一個都可以通過改變頻道來提高性能,在我們的顯示器中有大量的空閑頻道——事實上�,這就是將其遷移到5GHz的原因��。是的,這個頻段更快,但更重要的是,它更容易解決來自鄰近接入點的干擾問題�。還要注意的是����,每個通道在圖中顯示為大約20GHz(稍后會有更多關于這一點):
2.4GHz的信道也好不到哪里去�。因為在北美只有11個頻道,你通常會看到人們選擇頻道1、6或11——這3個頻道互不干擾�。在幾乎所有非鄉村的環境中���,你會看到一些鄰居在使用你認為免費的3個頻道!在下面的截圖中��,我們看到每個人都因為某些原因選擇了頻道11:
在第二個例子中(同樣來自2.4 GHz頻譜),我們看到了人們選擇更寬“足跡”信號的結果。在802.11無線網絡中,你可以選擇將默認的20 GHz信道擴展到40-80GHz����。這樣做的好處是——在沒有任何鄰居的情況下——這肯定會提高吞吐量��,特別是對于利用率較低的通道(例如,一個或兩個客戶機)。然而,在相鄰接入點有重疊信號的環境中�,您可以看到不斷增加的信道寬度(2.4GHz頻段)會給每個人帶來更多的干擾—相鄰接入點會發現自己沒有很好的信道選擇����。這種情況通常會影響每個人的信號質量(和吞吐量),包括選擇增加信道寬度的“壞鄰居”�����。
在5GHz頻段����,有更多的信道,所以增加信道寬度通?����?梢愿踩?���。但明智的做法是����,先看看你的頻譜發生了什么,然后再選擇或擴大你的訪問點的通道:
在我們已經討論過的工具中,在進行無線站點調查時非常有用�����,在那里您需要查看哪些頻道可用��,更重要的是�����,跟蹤信號強度并找到“盲點”,以最大化整個建筑或區域的無線覆蓋。也是我們所討論過的最有幫助的工具,可以用來查找信道干擾的情況���,或者在信道寬度選擇不當的情況下進行故障排除。
有了我們所討論的內容和我們所探索的工具,您現在應該能夠很好地解決2.4GHz和5GHz頻段上的無線信號強度和干擾問題��。您應該能夠使用等工具查找隱藏的 SSID�����,使用等工具對關聯的網絡進行故障排除����,以及使用等工具從整體上查看無線頻譜�,查找干擾和信號強度����,以及信道寬度和信道重疊問題。
往期回顧:
技術交流群(僅限行業和技術交流�����,嚴禁廣告��,非誠勿擾):
