Linux_09------Linux上系统扫描和安全策略

先谢慕课网/** * linux系统扫描技术 * * 主机扫描、路由扫描、批量服务扫描、系统安全策略(防SYN和ddos攻击) */

/** * 主机扫描 * ping fping hping * * fping * fping安装 * 下载： * (mkdir /Services && cd /Services) * wgget http://www.fping.org/dist/fping-3.13.tar.gz * 解压： * tar -zxvf ./fping-3.13.tar.gz * 安装： * cd fping-3.13 * ./configure * make * make install * * fping参数 * -h * -a       只显示出存活的主机 * -u       只显示出不存活的主机 * -g       支持主机段的方式 * -f       支持文件的方式 * * fping +IP1 + IP2 * fping -g 192.168.1.1 192.168.1.255 * fping -g 192.168.1.1/24 * fping -f filename * fping -a -g 120.77.140.1 120.77.140.10 > alive.log * * * hping * icmp包被屏蔽时，用hping，支持TCP/IP数据包组装 * hping安装 * 下载: * wget https://github.com/antirez/hping/archive/master.zip * 解压: * unzip master.zip * 安装： * error: pcap.h: No such file or directory ->需要依赖包(pcap) * yum list |grep pcap * yum -y install "*pcap*" * error: net/bpf.h: No such file or directory->找不到bpf.h * find / -name bpf.h * ln -sf /usr/include/pcap/bpf.h /usr/include/net/bpf.h * /usr/bin/ld: cannot find -ltcl->需要安装ltcl * yum list |grep tcl * yum -y install "*tcl*" * ./configure * make * make strip * make install * * hping参数 * 对特定目标发起tcp探测 * -p 端口        探测目标主机的端口 * -S            设置TCP模式 SYN包 * -a 伪造ip      伪造来源IP，模拟ddos攻击 * * hping -p 22 -S 121.43.156.66 * ping 121.43.156.33 * 可以ping通， * 连接上121.43.156.66：sysctl -w net.ipv4.icmp_echo_ignore_all=1 禁ping * 再次通过hping和ping发现ping不通了但是hping还是可以通的。 * * 在121.43.156.66上通过tcpdump -np -ieth1 src host 120.76.140.88抓取120.76.140.88发送过来的包 * hping -p 22 -S 121.43.156.66 -a 121.76.140.88 */

/** * 路由扫描 * 查询一个主机到另一个主机经过的路由跳数，及数据延迟情况 * tracert ntr * mtr能测试出一个主机到每一个路由间的连通性 * * tracerout * 默认已经安装的 * 1.默认使用的是UDP协议（30000以上的读研口） * 2.使用TCP协议 -T -P * 3.使用ICMP协议 -I * * traceroute www.baidu.com * traceroute -n www.baidu.com * traceroute -T -p 80 -n www.baidu.com * * mtr * 默认已经安装 * mtr www.baidu.com * loss项 * * 查看路由跳数，丢包情况。 */

/** * 批量主机服务扫描 * 目的：批量主机存活扫描、针对主机服务扫描 * 能快捷获取网络中主机的存活状态 * 更加细致、只能获取主机服务侦查情况 * nmap ncat * * nmap * -P       ICMP协议类型         ping扫描 * -sS      TCP SYN扫描         TCP半开放扫描 * -sT      TCP connect()扫描   TCP全开放扫描 * -sU      UDP扫描             UDP协议扫描 * * nmap -sP 120.76.140.1/24     主机段扫描，查看存活的主机 * name -sS 120.76.140.1/24     没有建立三次握手，只发送SYN包 * * nmap -sS 121.43.156.66               查看主机开启的端口(通常扫描到1024及常用端口) * nmap -sS -p 0-30000 121.43.156.66    指定扫描端口范围 * * nmap -sT -p 0-30000 121.43.156.66    建立全握手，模拟真实的用户请求 * * nmap -sU 121.43.156.66               有效透过防火墙，但是比较慢 * * ncat * 安全测试的工具 * -w   设置超时时间 * -z   一个输入输出模式 * -v   显示命令执行过程 * * * yum -y install nc * 方式一、基于tcp协议（默认） *  nc -v -z -w2 121.43.156.66 1-50 * 方式二、基于udp协议-u *  nc -v -u -z -w2 121.43.156.66 1-50->要等待很久 */

/** * 预防策略 * 常见的攻击方法：SYN攻击、DDOS攻击、恶意扫描 * * SYN攻击： * 利用TCP协议缺陷，导致系统服务停止，网络带宽跑满或者响应缓慢 * 攻击的机器伪造一个源IP(hping -a)，目标机器回应给伪造IP，增加记录到backlog，但是目标机器无法获得第三次响应， * 会不断重试，一直处于等待，backlog无法删除，导致带宽跑满等问题。 * 1.增加backlog队列长度 * 2.调节重试的次数 * 3.拒绝第三次握手 * DDOS攻击： * 分布式访问拒绝服务（多个访问，海量访问导致服务响应不过来） * * (永久生效需要修改/etc/sysctl.config文件,减少到3次) * 方式一：减少发送syn+ack包时的重试次数 *      sysctl -w net.ipv4.tcp_synack_retries=3 *      sysctl -w net.ipv4.tcp_syn_retries=3 * 方式二：SYN cookies技术 *      sysctl -w net.ipv4.tcp_syncookies=1 * 方式三：增加backlog队列长度 *      sysctl -w net.ipv4.tcp_max_syn_backlog=2048 *      这个值和内存有关。 * * 其他预防策略 * 1.关闭icmp协议请求 *      sysctl -w net.ipv4.icmp_echo_ignore_all=1 * 2.通过iptables方式拒绝扫描 *      iptables -A FORWARD -p tcp -syn -m limit -limit 1/s -limit-burst 5 -j ACCEPT *      iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit -limit 1/s -j ACCEPT *      iptables -A FORWARD -p icmp -icmp-type echo-request -m limit -limit 1/s -j ACCEPT *      （iptables后续） */