8,327
社区成员
发帖
与我相关
我的任务
分享怎样搞好IIS的安全?
1:首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub;其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除(罪恶之源呀,忘了http://www.target.com/scripts/..%c1%1c../winnt/system32/cmd.exe了?我们虽然已经把Inetpub从系统盘挪出来了,但是还是小心为上),如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给)
第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP, ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw, htr, idq, ida……想知道这些故事?去查以前的漏洞列表吧。什么?找不到在哪里删?在IIS管理器中右击主机->属性->WWW服务 编辑->主目录 配置->应用程序映射,然后就开始一个个删吧(里面没有全选的,嘿嘿)。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。
为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手(武侠小说中常说全身漏洞反而无懈可击,难道说的就是这个境界?)不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。
2:关闭系统端口
方法如下:
网上邻居--属性--本地连接--属性--属性--INTERNET协议--属性--高级--
选项--TCP/IP筛选--属性--在这里开放你想开放的端口--确定
一般只开80
3:系统打sp4补丁,以及最新补丁,iis补丁等
4:装软或者硬件防火墙
软件防火墙如费尔,诺顿(有些人评论访问速度不快),isa(消耗内存大,如果没有512m内存,建议不要装)
5:利用漏洞扫描软件,在客户端对服务器进行扫描
扫描软件如superscan ,x-scan, 20cn , 流光,sss等
6:进行模拟攻击(在客户端对服务器进行模拟攻击)
7:经常察看logfile,判断是否有可疑的浏览。
第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP, ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw, htr, idq, ida……想知道这些故事?去查以前的漏洞列表吧。什么?找不到在哪里删?在IIS管理器中右击主机->属性->WWW服务 编辑->主目录 配置->应用程序映射,然后就开始一个个删吧(里面没有全选的,嘿嘿)。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。
为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手(武侠小说中常说全身漏洞反而无懈可击,难道说的就是这个境界?)不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。
2:关闭系统端口
方法如下:
网上邻居--属性--本地连接--属性--属性--INTERNET协议--属性--高级--
选项--TCP/IP筛选--属性--在这里开放你想开放的端口--确定
一般只开80
3:系统打sp4补丁,以及最新补丁,iis补丁等
4:装软或者硬件防火墙
软件防火墙如费尔,诺顿(有些人评论访问速度不快),isa(消耗内存大,如果没有512m内存,建议不要装)
5:利用漏洞扫描软件,在客户端对服务器进行扫描
扫描软件如superscan ,x-scan, 20cn , 流光,sss等
6:进行模拟攻击(在客户端对服务器进行模拟攻击)
7:经常察看logfile,判断是否有可疑的浏览。
...全文
请发表友善的回复…
发表回复
yishao 2003-08-26
- 打赏
- 举报
添加为精华贴如何?
seafarer777 2003-08-24
- 打赏
- 举报
收藏之
ceocio 2003-08-24
- 打赏
- 举报
不错。
yishao 2003-08-23
- 打赏
- 举报
8:还有一点删除不必要的服务,曾有人说最小的服务+最小的权限=最大的安全
特别是FRONTPAGE2000服务器扩展,老是或多或少带来几个漏洞(最好不用FRONTPAGE扩展)
如果只是做web服务器,那么只剩下 INTERNE服务器管理器+www服务+公用文件 即可
特别是FRONTPAGE2000服务器扩展,老是或多或少带来几个漏洞(最好不用FRONTPAGE扩展)
如果只是做web服务器,那么只剩下 INTERNE服务器管理器+www服务+公用文件 即可
yishao 2003-08-23
- 打赏
- 举报
2)TwwwScan扫描器
TwwwScan扫描器是一款专门扫描WWW服务的扫描器,它扫描的漏洞较多(1.2版可以扫描四百多种漏洞),而且可以扫描Windows和Unix系统漏洞。具体使用格式如下:
Twwwscan <服务器> <服务端口> <显示属性> <类型> <目标系统类型>
显示属性:-v 显示状态;-n:不显示状态
类型:-t1:使用GET;-t2:扫描虚拟主;-t3(-n):以上两者
目标系统类型:-pw:Windows;-pu:Unix;-pa(-all):以上两者
比如我们现在扫描网络上一台主机:
twwwscan 202.*.*.* 80 –v –n –pw
扫描结束以后,会形成一个202.*.*.*.htm的文件,结果如下(图七):
图七
仔细阅读以上结果,我们不但可以看到系统漏洞,同时也会看到解决方法。
(3)X-Scan扫描器
X-Scan采用多线程方式对指定IP地址段(或单机)进行安全漏洞扫描,支持插件功能,提供了图形界面和命令行两种操作方式。
扫描内容包括:远程操作系统类型及版本、标准端口状态及端口banner信息、CGI漏洞、RPC漏洞、SQL-SERVER默认帐户、FTP弱口令,NT主机共享信息、用户信息、组信息、NT主机弱口令用户等。扫描结果保存在/log/目录中,index_*.htm为扫描结果索引文件。对于一些已知漏洞,给出了相应的漏洞描述、利用程序及解决方案,其它漏洞资料正在进一步整理完善中。
现在,我们来看看图象界面(图八):
图八
X-scan可以自定义扫描端口,还可以自定义NT、FTP、SQL Server的默认帐号,还可以自己维护CGI漏洞列表,给用户很大的自由空间。
现在,我们用它来扫描一台IIS服务器,选择【IIS漏洞】开始扫描,结果如下(图九):
图九
从以上结果,我们可以看到该系统的漏洞,点击这些漏洞,可以看到漏洞的详细解释。需要注意的是,该软件扫描速度比较慢,建议不要一次扫描太多主机。
(4)RangeScan扫描器
RangeScan是一款开放式多网段的扫描器,之所以称开放式,是因为RangScan可以自定义扫描内容,根据加入的扫描内容来扫描特定主机(图十)。这一功能的好处就是可以大大加快扫描速度,不像X-Scan,虽然扫描功能强大,但是速度太慢。
图十
如果我们要扫描Unicode漏洞,我们可以添加以下扫描内容:
/scripts/..%c1%1c../winnt/system32/cmd.exe(2000中文)
/scripts/..%c1%9c../winnt/system32/cmd.exe(NT4中文)
四、总结
扫描工具在进行扫描的时候会造成大量数据的传送,也会加重服务器的负担,甚至会给某些服务带来危害。所以,不要轻易使用扫描工具随意扫描主机,更加不要违背国家法律法规使用扫描工具做危害网络安全的事。
以上介绍的扫描工具大部分经过了时间的考验,是经过众多使用者使用证明非常有效的扫描工具。现在,网络上扫描工具很多,良莠不齐,在选择扫描工具的时候,除了防止扫描工具隐藏有对目标主机的攻击因素以外,还要注意扫描工具本身就捆绑有木马。
TwwwScan扫描器是一款专门扫描WWW服务的扫描器,它扫描的漏洞较多(1.2版可以扫描四百多种漏洞),而且可以扫描Windows和Unix系统漏洞。具体使用格式如下:
Twwwscan <服务器> <服务端口> <显示属性> <类型> <目标系统类型>
显示属性:-v 显示状态;-n:不显示状态
类型:-t1:使用GET;-t2:扫描虚拟主;-t3(-n):以上两者
目标系统类型:-pw:Windows;-pu:Unix;-pa(-all):以上两者
比如我们现在扫描网络上一台主机:
twwwscan 202.*.*.* 80 –v –n –pw
扫描结束以后,会形成一个202.*.*.*.htm的文件,结果如下(图七):
图七
仔细阅读以上结果,我们不但可以看到系统漏洞,同时也会看到解决方法。
(3)X-Scan扫描器
X-Scan采用多线程方式对指定IP地址段(或单机)进行安全漏洞扫描,支持插件功能,提供了图形界面和命令行两种操作方式。
扫描内容包括:远程操作系统类型及版本、标准端口状态及端口banner信息、CGI漏洞、RPC漏洞、SQL-SERVER默认帐户、FTP弱口令,NT主机共享信息、用户信息、组信息、NT主机弱口令用户等。扫描结果保存在/log/目录中,index_*.htm为扫描结果索引文件。对于一些已知漏洞,给出了相应的漏洞描述、利用程序及解决方案,其它漏洞资料正在进一步整理完善中。
现在,我们来看看图象界面(图八):
图八
X-scan可以自定义扫描端口,还可以自定义NT、FTP、SQL Server的默认帐号,还可以自己维护CGI漏洞列表,给用户很大的自由空间。
现在,我们用它来扫描一台IIS服务器,选择【IIS漏洞】开始扫描,结果如下(图九):
图九
从以上结果,我们可以看到该系统的漏洞,点击这些漏洞,可以看到漏洞的详细解释。需要注意的是,该软件扫描速度比较慢,建议不要一次扫描太多主机。
(4)RangeScan扫描器
RangeScan是一款开放式多网段的扫描器,之所以称开放式,是因为RangScan可以自定义扫描内容,根据加入的扫描内容来扫描特定主机(图十)。这一功能的好处就是可以大大加快扫描速度,不像X-Scan,虽然扫描功能强大,但是速度太慢。
图十
如果我们要扫描Unicode漏洞,我们可以添加以下扫描内容:
/scripts/..%c1%1c../winnt/system32/cmd.exe(2000中文)
/scripts/..%c1%9c../winnt/system32/cmd.exe(NT4中文)
四、总结
扫描工具在进行扫描的时候会造成大量数据的传送,也会加重服务器的负担,甚至会给某些服务带来危害。所以,不要轻易使用扫描工具随意扫描主机,更加不要违背国家法律法规使用扫描工具做危害网络安全的事。
以上介绍的扫描工具大部分经过了时间的考验,是经过众多使用者使用证明非常有效的扫描工具。现在,网络上扫描工具很多,良莠不齐,在选择扫描工具的时候,除了防止扫描工具隐藏有对目标主机的攻击因素以外,还要注意扫描工具本身就捆绑有木马。
yishao 2003-08-23
- 打赏
- 举报
让漏洞无处藏身---扫描工具大阅兵
喻凯
8月份“红色代码”(Code Red)蠕虫病毒及其多种变体横扫互联网,给全世界造成近26亿美元的损失。在这场红色风暴中,我国也没有幸免,全国多个省市的服务器出现瘫痪甚至阻塞整个网段,具体损失尚无法估计,公安部也多次发出了病毒通告。现在,红色代码的危害大致已经过去,大部分的服务器已经加上了微软最新补丁,但是,我们回头来看,发现其实如果我们平时仔细检测服务器的漏洞,还是完全可以避免这类病毒。
微软的IIS服务器由于其使用的简便,被国内大部分中小网站使用。但是,也就是因为它的使用简便,只是微软服务器一直成为黑客最喜欢攻击的目标,于是,几乎大家已经形成一个心里定式,那就是微软的服务器是不安全的、脆弱的。
其实这个我们我们应该一分为二的看,一是微软的系统本身的问题,不可否认,微软的系统特别是IIS的确有较多漏洞,有些漏洞设置威胁到这个系统的安全;另一方便,国内的大多数网管其实并没有真正的研究过系统漏洞甚至完全没有仔细设置过IIS的安全,所以,现在我们只要在网上随便找就可以找到很多几年前的就发现的IIS漏洞的服务器,这不能不说是网管的责任。
针对以上情况,微软在早些时候发布了一款专门帮助管理员设置IIS安全性的工具-IISLOCK。其实,作为一个真正负责任的网管,保护自己系统最简单有效的一个方法就是模拟进攻自己的系统,而模拟进攻最主要的武器之一就是扫描器。
一、什么是扫描器
扫描器是检测远程或本地系统安全脆弱性的软件;通过与目标主机TCP/IP端口建立连接和并请求某些服务(如TELNET、FTP等),记录目标主机的应答,搜集目标主机相关信息(如匿名用户是否可以登录等),从而发现目标主机某些内在的安全弱点。
扫描器的重要性在于把极为烦琐的安全检测,通过程序来自动完成,这不仅减轻管理者的工作,而且缩短了检测时间,使问题发现更快。当然,也可以认为扫描器是一种网络安全性评估软件。一般而言,扫描器可以快速、深入地对网络或目标主机进行评估。
二、扫描器的分类
从信息流的角度理解信息安全,可划分为数据存放的安全性与网络传输的安全性(涉及操作系统安全性及应用程序的安全性),网络中任何一个环节出现不安全因素都会破坏整个信息流的安全性,因此把扫描器分为三类:数据库安全扫描器,操作系统安全扫描器和网络安全扫描器(针对于网络服务、应用程序、网络设备、网络协议等)。
对扫描对象的脆弱性进行深入了解,能较好地用运用程序来自动检测发现其是否存在已有的漏洞;能给扫描时发现的问题提供一个良好的解决方案;能在系统实现时,提高效率并提供了相应的补救信息。
我们这里主要介绍网络安全扫描器,主要针对微软的服务器。
三、扫描器阅兵
以下介绍的扫描器主要是一般网络维护者常用的,并不和黑客们使用的扫描器完全相同。
1、月光追捕系列扫描器
之所以要介绍这一系列的扫描器,主要是这一系列的扫描器不但功能强大,而且不管是对网管还是对普通用户甚至计算机安全工作人员都有很大帮助。
月光追捕系列软件软件包括:IP追捕;月光搜索-追捕版;月光搜索-域名版。现在我们分别来介绍。
(1)IP追捕(如图一)
图一
IP追捕最主要的功能就是根据IP得到该IP的具体物理位置,后来又增加了检测域名,主机情况和远程监控功能。现在该软件的最新版本为1.70,运行稳定,数据库经过不断的升级修改已经比较完善,数据比较全面。
该工具对系统维护人员而言,可以追查攻击者的物理位置;对攻击者而言,该工具可以初步判断系统类型,常用服务和用户名工作组。
(2)月光搜索-追捕版(图二)
图二
月光追捕-搜索版最主要的功能就是一段网址进行搜索,列出所有机器的机器名称和组/域名。需要注意的是,必须能够PING到对方,才能搜索到对方机器名。
这个工具最大的特征就是可以一次搜索一系列网址,而且可以保存结果。在使用过程中,我们发现该软件好像只能对计算机有作用,如果目标是路由器或者其他网络设备,软件就不能识别。所以,在使用此软件的时候要注意,软件主要功能是列出机器名而不是检查机器是否可以PING通,有些可以PING的设备不一定可以搜索得到的。尽管有这一个小小的缺点,网管人员还是可以用它简单的检测网络的基本状况。
(3)月光追捕-域名版(图三)
图三
月光追捕-域名版主要的功能就是对一段网址搜索域名,列出所有机器域名。这个工具更多的是对系统维护人员有帮助。需要注意的是,使用这款软件的时候,你会发现它大部分时候毫无反映!为什么?因为软件的DNS服务器设置要求最好设置为该区域的DNS服务器,这也是上面说软件更多的对维护人员有帮助的原因。
2、网络刺客Ⅱ
网络刺客是国内比较有名网络安全工具,功能强大,扫描只是其中的一个功能而已。网络刺客的扫描功能包括:共享扫描;端口扫描和口令扫描猜解。我们在这里介绍共享扫描和端口扫描功能。
(1)共享扫描
共享功能是一柄双刃剑,在方便资源和硬件共享的同时,也给攻击者开了方便之门。最主要的是,一般使用者往往设置共享以后忘记取消共享或者只给共享设置简单的访问密码,容易导致资料的泄漏甚至资料的损坏。作为网络维护人员,需要密切注意本系统的共享设置情况,及时堵塞漏洞;作为攻击者,当然这时最简单的攻击方式,但是却又常常是最有效的攻击方式。
点击菜单【主机资源】->【共享扫描】,出现扫描界面(图四):
图四
在以上界面设置搜索的起始地址和结束地址就可以开始扫描,扫描程序使用50个线程扫描,速度很快。
(2)端口扫描
端口是系统数据进出的大门,所以,对于不必要的端口,最好全部关闭。
由于不同的服务对应不同的端口,所以,攻击者可以根据系统的端口确定系统打开了哪些服务,以此来决定攻击的类型;对于网络维护人员,扫描本系统的端口可以及时知道系统攻击弱点,或者判断系统是否被攻击者用木马(远程控制软件)控制。
菜单【工具箱】->【Port端口扫描】,出现以下界面(图五):
图五
在以上设置界面中设定要扫描的主机地址,开始端口和结束端口,扫描线程,超时时长就可以进行扫描了。
3、代理猎手(图六)
图六
代理服务器可以让多台计算机使用一个出口与网络连接,不但节省网络费用,而且可以有效的加大网络访问速度,加强本网络的安全性;对于攻击者而言,代理服务器可以有效掩饰自己的IP地址,通过一个甚至多个代理,攻击者可以很“安全”的对目标进行攻击;对于某些特殊的用户,代理可以加快他们访问国外网站的速度,比如教育网用户。所以,代理服务器往往成为大众目标,大家都来搜索。搜索使用最多的工具就是代理猎手。
代理猎手最主要的功能是快速搜索免费的代理。它的主要特点是:支持多网址段、多端口自动查询,支持自动验证并给出速度评价,支持后续的再验证,支持用户设置连接超时和验证超时,支持用户设置验证内容,支持进度时间预测,支持用户设置最大连接数(可以作到不影响其他网络程序),支持自动查找最新版本,最大的特点是搜索速度快,最快可以在十几分钟内搜完整个 B 类地址的 65536 个地址。
4、漏洞扫描工具
任何系统都有漏洞,不要以为自己的系统固若金汤,作为一个系统维护人员,除了系统安全的设置以外,最常见的工作就是自己扫描系统漏洞,找出系统弱点。下面我们针对WinNT和Win2000系统介绍几款功能强大的扫描器。
(1)Mysfind扫描器
mysfind扫描器是很著名的扫描器pfind的加强版,主要用于扫描Printer漏洞和Unicode漏洞。Printer漏洞可以让攻击者取得系统的控制权,Unicode可以让攻击者随意操作系统内的文件甚至完全控制系统,今年五月的中美黑客大战,中国黑客就有很多利用这两个漏洞进行攻击的,这也是有人撰文说此次黑客大战水平不高的原因之一。
由于这两个漏洞出现时间比较晚,所以,现在网络上仍然有很多存在这两个漏洞的系统。网络维护者如果不确定已经安装这两个漏洞的补丁,可以使用这个工具扫描系统漏洞。
Mysfind是一个命令行程序,它采用多线程扫描系统漏洞,速度快结果准。具体使用格式如下:
sfind 扫描漏洞类型 开始IP地址 结束IP地址
目前的扫描方式支持3种:
-all 扫描所有的漏洞
-e 扫描printer漏洞
-u 扫描unicode漏洞
比如我们要扫描某个网段的Unicode漏洞,可以这样:
sfind –u 192.168.0.1 192.168.0.255
扫描结束以后,结果自动保存在sfind.txt文件中。
喻凯
8月份“红色代码”(Code Red)蠕虫病毒及其多种变体横扫互联网,给全世界造成近26亿美元的损失。在这场红色风暴中,我国也没有幸免,全国多个省市的服务器出现瘫痪甚至阻塞整个网段,具体损失尚无法估计,公安部也多次发出了病毒通告。现在,红色代码的危害大致已经过去,大部分的服务器已经加上了微软最新补丁,但是,我们回头来看,发现其实如果我们平时仔细检测服务器的漏洞,还是完全可以避免这类病毒。
微软的IIS服务器由于其使用的简便,被国内大部分中小网站使用。但是,也就是因为它的使用简便,只是微软服务器一直成为黑客最喜欢攻击的目标,于是,几乎大家已经形成一个心里定式,那就是微软的服务器是不安全的、脆弱的。
其实这个我们我们应该一分为二的看,一是微软的系统本身的问题,不可否认,微软的系统特别是IIS的确有较多漏洞,有些漏洞设置威胁到这个系统的安全;另一方便,国内的大多数网管其实并没有真正的研究过系统漏洞甚至完全没有仔细设置过IIS的安全,所以,现在我们只要在网上随便找就可以找到很多几年前的就发现的IIS漏洞的服务器,这不能不说是网管的责任。
针对以上情况,微软在早些时候发布了一款专门帮助管理员设置IIS安全性的工具-IISLOCK。其实,作为一个真正负责任的网管,保护自己系统最简单有效的一个方法就是模拟进攻自己的系统,而模拟进攻最主要的武器之一就是扫描器。
一、什么是扫描器
扫描器是检测远程或本地系统安全脆弱性的软件;通过与目标主机TCP/IP端口建立连接和并请求某些服务(如TELNET、FTP等),记录目标主机的应答,搜集目标主机相关信息(如匿名用户是否可以登录等),从而发现目标主机某些内在的安全弱点。
扫描器的重要性在于把极为烦琐的安全检测,通过程序来自动完成,这不仅减轻管理者的工作,而且缩短了检测时间,使问题发现更快。当然,也可以认为扫描器是一种网络安全性评估软件。一般而言,扫描器可以快速、深入地对网络或目标主机进行评估。
二、扫描器的分类
从信息流的角度理解信息安全,可划分为数据存放的安全性与网络传输的安全性(涉及操作系统安全性及应用程序的安全性),网络中任何一个环节出现不安全因素都会破坏整个信息流的安全性,因此把扫描器分为三类:数据库安全扫描器,操作系统安全扫描器和网络安全扫描器(针对于网络服务、应用程序、网络设备、网络协议等)。
对扫描对象的脆弱性进行深入了解,能较好地用运用程序来自动检测发现其是否存在已有的漏洞;能给扫描时发现的问题提供一个良好的解决方案;能在系统实现时,提高效率并提供了相应的补救信息。
我们这里主要介绍网络安全扫描器,主要针对微软的服务器。
三、扫描器阅兵
以下介绍的扫描器主要是一般网络维护者常用的,并不和黑客们使用的扫描器完全相同。
1、月光追捕系列扫描器
之所以要介绍这一系列的扫描器,主要是这一系列的扫描器不但功能强大,而且不管是对网管还是对普通用户甚至计算机安全工作人员都有很大帮助。
月光追捕系列软件软件包括:IP追捕;月光搜索-追捕版;月光搜索-域名版。现在我们分别来介绍。
(1)IP追捕(如图一)
图一
IP追捕最主要的功能就是根据IP得到该IP的具体物理位置,后来又增加了检测域名,主机情况和远程监控功能。现在该软件的最新版本为1.70,运行稳定,数据库经过不断的升级修改已经比较完善,数据比较全面。
该工具对系统维护人员而言,可以追查攻击者的物理位置;对攻击者而言,该工具可以初步判断系统类型,常用服务和用户名工作组。
(2)月光搜索-追捕版(图二)
图二
月光追捕-搜索版最主要的功能就是一段网址进行搜索,列出所有机器的机器名称和组/域名。需要注意的是,必须能够PING到对方,才能搜索到对方机器名。
这个工具最大的特征就是可以一次搜索一系列网址,而且可以保存结果。在使用过程中,我们发现该软件好像只能对计算机有作用,如果目标是路由器或者其他网络设备,软件就不能识别。所以,在使用此软件的时候要注意,软件主要功能是列出机器名而不是检查机器是否可以PING通,有些可以PING的设备不一定可以搜索得到的。尽管有这一个小小的缺点,网管人员还是可以用它简单的检测网络的基本状况。
(3)月光追捕-域名版(图三)
图三
月光追捕-域名版主要的功能就是对一段网址搜索域名,列出所有机器域名。这个工具更多的是对系统维护人员有帮助。需要注意的是,使用这款软件的时候,你会发现它大部分时候毫无反映!为什么?因为软件的DNS服务器设置要求最好设置为该区域的DNS服务器,这也是上面说软件更多的对维护人员有帮助的原因。
2、网络刺客Ⅱ
网络刺客是国内比较有名网络安全工具,功能强大,扫描只是其中的一个功能而已。网络刺客的扫描功能包括:共享扫描;端口扫描和口令扫描猜解。我们在这里介绍共享扫描和端口扫描功能。
(1)共享扫描
共享功能是一柄双刃剑,在方便资源和硬件共享的同时,也给攻击者开了方便之门。最主要的是,一般使用者往往设置共享以后忘记取消共享或者只给共享设置简单的访问密码,容易导致资料的泄漏甚至资料的损坏。作为网络维护人员,需要密切注意本系统的共享设置情况,及时堵塞漏洞;作为攻击者,当然这时最简单的攻击方式,但是却又常常是最有效的攻击方式。
点击菜单【主机资源】->【共享扫描】,出现扫描界面(图四):
图四
在以上界面设置搜索的起始地址和结束地址就可以开始扫描,扫描程序使用50个线程扫描,速度很快。
(2)端口扫描
端口是系统数据进出的大门,所以,对于不必要的端口,最好全部关闭。
由于不同的服务对应不同的端口,所以,攻击者可以根据系统的端口确定系统打开了哪些服务,以此来决定攻击的类型;对于网络维护人员,扫描本系统的端口可以及时知道系统攻击弱点,或者判断系统是否被攻击者用木马(远程控制软件)控制。
菜单【工具箱】->【Port端口扫描】,出现以下界面(图五):
图五
在以上设置界面中设定要扫描的主机地址,开始端口和结束端口,扫描线程,超时时长就可以进行扫描了。
3、代理猎手(图六)
图六
代理服务器可以让多台计算机使用一个出口与网络连接,不但节省网络费用,而且可以有效的加大网络访问速度,加强本网络的安全性;对于攻击者而言,代理服务器可以有效掩饰自己的IP地址,通过一个甚至多个代理,攻击者可以很“安全”的对目标进行攻击;对于某些特殊的用户,代理可以加快他们访问国外网站的速度,比如教育网用户。所以,代理服务器往往成为大众目标,大家都来搜索。搜索使用最多的工具就是代理猎手。
代理猎手最主要的功能是快速搜索免费的代理。它的主要特点是:支持多网址段、多端口自动查询,支持自动验证并给出速度评价,支持后续的再验证,支持用户设置连接超时和验证超时,支持用户设置验证内容,支持进度时间预测,支持用户设置最大连接数(可以作到不影响其他网络程序),支持自动查找最新版本,最大的特点是搜索速度快,最快可以在十几分钟内搜完整个 B 类地址的 65536 个地址。
4、漏洞扫描工具
任何系统都有漏洞,不要以为自己的系统固若金汤,作为一个系统维护人员,除了系统安全的设置以外,最常见的工作就是自己扫描系统漏洞,找出系统弱点。下面我们针对WinNT和Win2000系统介绍几款功能强大的扫描器。
(1)Mysfind扫描器
mysfind扫描器是很著名的扫描器pfind的加强版,主要用于扫描Printer漏洞和Unicode漏洞。Printer漏洞可以让攻击者取得系统的控制权,Unicode可以让攻击者随意操作系统内的文件甚至完全控制系统,今年五月的中美黑客大战,中国黑客就有很多利用这两个漏洞进行攻击的,这也是有人撰文说此次黑客大战水平不高的原因之一。
由于这两个漏洞出现时间比较晚,所以,现在网络上仍然有很多存在这两个漏洞的系统。网络维护者如果不确定已经安装这两个漏洞的补丁,可以使用这个工具扫描系统漏洞。
Mysfind是一个命令行程序,它采用多线程扫描系统漏洞,速度快结果准。具体使用格式如下:
sfind 扫描漏洞类型 开始IP地址 结束IP地址
目前的扫描方式支持3种:
-all 扫描所有的漏洞
-e 扫描printer漏洞
-u 扫描unicode漏洞
比如我们要扫描某个网段的Unicode漏洞,可以这样:
sfind –u 192.168.0.1 192.168.0.255
扫描结束以后,结果自动保存在sfind.txt文件中。
