一、概述

1.linux扫描技术概述

四大块内容：

1.主机扫描

2.路由扫描

3.批量服务扫描

4.linux防范恶毒扫描安全策略

2.网络安全技术定义

互联网安全：保障数据在互联网的真实、可靠、完整、可控性传输与存储。

网络安全技术：安全技术的一种手段，通过基于网络的入侵来达到窃取敏感信息。

通常使用网络扫描、查点、系统服务扫描等手段。

3.场景介绍

案例：通过网络扫描方式获取某运营商核心设备管理权限。

步骤1：通过tracert路由跟踪一个公网地址，发现有走内网的核心设备转发，tracert的作用（通过查询本机到某个域名地址经过的路由的条数）。

步骤2：通过端口范围扫描nmap，得知开放了80（http）、23（Telnet）端口。（nmap用作批量主机服务扫描，知道某个路由里面开放了某个端口）。

步骤3：尝试进行暴力破解，发现登录http://10.202.4.73可以用弱口令进行登录（admin/admion）

步骤4：登录到管理界面后，尝试用nc命令进行交互式shell操作。

nc -lvp 2005  //监控2005端口，可以操作存在漏洞的核心设备

好处：1.不会频繁通过界面去登录而留下痕迹

             2.登录非常方便

             3.不会被侦测设备侦测到

总结

4.课程意义

1.了解互联网安全领域中日趋重要的扫描技术

2.了解到在不同网络场景下的扫描技术的手段

3.熟悉linux下系统内核防护策略并能搭建一个有效的系统防护体系

4.增强工作安全意识，并能有效的时间与工作场景中

二、fping应用

1.fping概述及源码包编译原理

主机扫描命令：fping

作用：批量的给目标主机发送ping请求，测试主机的存活情况

特点：并行发送、结果易读

源码包编译过程

解释：执行./confugure命令检测配置，生成一个makefile文件，执行make命令后生成一个二进制可执行文件，最后通过make instal l 命令将源码包安装到指定位置。

2.通过源码包方式安装fping

安装步骤：

1.下载源码包 ：http://fping.org/

复制连接地址

下载命令：wegt http://fping.org/dist/fping-4.2.tar.gz

图示

2.将下载下来的源码包解压缩

命令：tar -xvf fping-4.2.tar.gz

图示

3.编译

图示

1）命令：./configure.

图示

此时报错，解决办法，安装gcc组件即可（若不报错，可跳到2命令步骤）

命令：yum install gcc

2）命令：make

此时报错，解决办法，安装make组件。之后再次执行make命令即可。

命令：yum install make

图示 make编译成功图示

3）命令：make install

查看fping是否安装完成 查看fping的帮助信息

3.fping参数介绍

fping

-a 只显示出存活的主机（相反参数-u）

1.通过标准输入方式fping + IP1 +IP2

-g 支持主机段的方式 192.168.1.1 192.168.1.255 192.168.1.0/24（192.168.1.1 192.168.1.255  或者192.168.1.0/24) 

fping -g 192.168.1.1 192.168.1.255

2.通过读取一个文件IP内容

fping -f filename #读取一个文件中的Ip 

三、主机扫描hping应用

1.hping介绍及安装

特点：支持使用的TCP/IP数据包组装分析工具

下载地址：http://www.hping.org/

图示

1）下载命令：wget https://github.com/antirez/hping/archive/master.zip

图示

2）解压：unzip master.zip

图示

3）配置检查：./configure

图示

此时报错，需要安装依赖包。命令如下：

yum install libpcab-devel

yum install -y tcl tcl-devel

4）编译：make

图示

报错：

gcc -c -O2 -Wall -DUSE_TCL -g main.c

main.c:29:10: 致命错误：pcap.h：没有那个文件或目录

#include <pcap.h>

编译中断。

make: *** [Makefile:66：main.o] 错误 1

解决方式：

下载tcpdump地址：http://snapshot.debian.org/package/tcpdump/4.9.2-1~deb9u1/

命令：wget http://snapshot.debian.org/archive/debian-security/20170913T050526Z/pool/updates/main/t/tcpdump/tcpdump_4.9.2.orig.tar.gz

用了n种方法，仍然报上述错误。。。。

待解决ing。。。

安装步骤附上

2.hping参数介绍

应用场景：

1）对制定目标端口发起tcp探测

-P 端口

-S 设置TCP模式SYN包

2）伪造来源IP，模拟Ddos攻击

-a 伪造IP地址

例子：

    netstat -ltn

解释：Linux查看端口 ，netstat -l（监听）t（TCP）n（不显示主机名）

 netstat -ano

解释：Windows查看端口   

hping -p 22 -S 192.168.3.26 -a 192.168.3.27

解释：hping -p [端口] -S（发送SYN包） [目标IP]  -a（伪造发送IP） [伪造IP] 

 sysctl -w net.ipv4.icmp_echo_ignore_all=1

解释：修改Linux内核禁用ICMP报文   

tcpdump -np -ieth1 src host 192.168.163.22

解释：查看经过某网络设备包信息 。tcpdump -n（不把主机IP转换为名称） -p（不让网络界面进入混杂模式） -i[网卡名称] src host（只显示此IP包信息） [目标IP]    

四、路由扫描

1.路由扫描介绍

作用：查询一个主机到另一个主机经过的路由的跳数，及数据延迟的情况。

常用工具：traceroute、mtr

mtr特点：能测试出主机到每一个路由的联通性。

原理

注意：在linux上，Traceroute发送的是UDP的报文，在windows下发送的是ICMP的报文。

udp协议传送的数据包必须是3万以下的，如果发送的是3万以上的，当发送给目标地址时候，目的地址就返回给源地址“目的地址不可达”此时，便判断出这个目标地址是存在的。

2.traceroute参数使用

traceroute帮助命令：traceroute --help

图示

参数介绍：

1）默认使用的UDP协议（30000上的端口）

2）使用TCP协议 -T（-T 发送TCP包）-P（ -P 指定端口号）

3）使用ICMP协议介绍 -I（ -l发送ICMP包）

eg：

1.发送UDP包扫描路由：traceroute -n 域名/ip地址 （ -n 不解析主机名 ）

2.发送ICMP：traceroute -In 域名/地址

3.发送TCP：traceroute -T -p  端口号 域名/ip地址

eg1图示 eg2图示 eg3图示

由此可知：只有基于TCP的协议方式才能检测到目的主机。

3.mtr使用

mtr帮助使用

使用方式：mtr 域名/ip地址 重要信息 丢包率

五、批量主机扫描

1.批量主机服务扫描

目的：

1.批量主机存活扫描

2.针对主机服务扫描

作用：

1.能更加方便快捷获取网络中主机的存活状态

2.更加细致、智能获取主机服务侦查情况

2.nmap介绍1

使用介绍

查看nmap的安装位置：whereis nmap

查看nmap的rpm包：rpm -qf /usr/bin/nmap

图示

使用1： 查看这一段IP内哪个主机的开放的 ICMP协议类型 ping扫描（ nmap -sP IP/24  ）

例子： nmap -sP 10.10.140.0/24

可以查看有多少主机是启动的、耗费的时间等

图示

使用2： 查看IP开发的TCP端口 、TCP SYN扫描 、tcp半开放扫描(没有建立三次握手)(不会被服务检测，例如Apache等)

nmap默认扫描0-1024端口及一些常用端口（nmap -sS [-p 端口范围] IP）

例子：nmap -sS IP

            nmap -sS -p 0-30000 IP

图示 图示（端口范围0-3000）

使用3：TCP connect()扫描 、TCP全开放扫描（ nmap -sT [-p 端口范围] IP  ）

使用4：UDP扫描 UDP协议扫描、有效透过防火墙策略（ nmap -sU IP ）

问题：用udp协议扫描linux上的协议会比较慢，原因是内核会限制相应的时间，导致会时常处于等待的状态。

3.ncat使用介绍

安全测试、安全渗透需要了解

组合参数：-w 设置的超时时间 -z 一个输入输出模式 -v 显示命令执行过程

方式一：基于tcp协议（默认）

nc -v -z -w2 IP 端口

例子：nc -v -z -w2 192.168.242.167 1-50

注意：-w后面显示的是超时的时间

方式二：基于udp协议 -u

nc -v -u -z -w2 IP 端口

例子：nc -v -u -z -w2 192.168.242.167 1-50

六、防攻击介绍

1.防攻击介绍

常见的攻击方法：

1.SYN攻击

利用TCP协议缺陷进行，导致系统服务停止响应，网络带宽跑满或者响应缓慢。

2.DDOS攻击

分布式访问拒绝服务攻击。（即在同一时间，接收到了很多类似正常的请求或者就是正常的请求，导致服务响应不过来了）

3.恶意扫描

tcp三次握手

注意：正常的三次握手在这里是没有接受攻击的。

解释：攻击的机器发送一个syn的包给目标机器；目标机器接收到之后，回一个syn的包加上一个ack的包；此时，目标机器进入到syn..recv状态，队列增加记录，等待IP1的机器回包；当ip1的机器将ack确认包回包时候，此时队列才会删除记录；这时候双方进入监听的状态，进行正常的数据通信。

syn攻击原理

造成的问题：攻击的机器可以伪造一个源ip出来，然后使得目标机器的队列不断增加队列记录，导致服务器写死，无法通信（考虑增加backlog队列长度）；或者导致目标机器一直频繁发送重试，导致系统资源用满（把目标机器重试次数调小）；一直回包导致网络带宽跑满（如果发现类似的攻击，直接拒绝三次握手）。

syn类型DDOS攻击预防 其他预防策略 学习目标