为Solaris服务器配置开源安全工具(上)

随着Internet的迅猛发展，网络已无处不在，但是，它可能随时受到来自各方的攻击。了解哪些人正在访问资源、哪些人正在享受服务、哪些人正在发送大量垃圾等，对网络管理员来说是非常必要的。利用Solaris中较常见的网络安全分析工具Tcpdump、Nmap和IP Filter 、ethereal、gftp，可以使网络管理工作更加轻松。Etherea和 Tcpdump主要是截获通过本机网络接口的数据，用以分析。Nmap是强大的端口扫描工具，可扫描任何主机或网络。lsof可用来检查本机当前提供的服务及状态。IP Filter是开源的防火墙工具。这几个者各有所长，结合起来，就可以比较透彻地了解网络状况。

?i7i7{0_.tK0   一、使用Tcpdump

jvC EA8z&U0

EX#L`#o,W#H\"T"y0    Tcpdump能够截获当前所有通过本机网卡的数据包。它拥有灵活的过滤机制，可以确保得到想要的数据。由于Tcpdump只能收集通过本机的数据，因此它的应用受到了一些限制，大多应用在网关或服务器自我检测上。

oH@%k\0IXPUB技术博客s~6j"`{8s

1.     软件下载和安装：

dm/gAfDQ0

|B:_2C+KO hn5I0    Libpcap能 独立地 通过主机协议发送和接受数据，如同TCP-IP。这就意味着Libpcap不能阻止、过滤或操纵同一机器上的其他应用程序的通讯：它仅仅能简单地"监视"在网络上传输的数据包。所以，它不能提供类似网络流量控制、服务质量调度和个人防火墙之类的支持。IXPUB技术博客O ~pU%`Od@ G

IXPUB技术博客!P6G4wFU%Kp

    #wgethttp://mirrors.easynews.com/sunfreeware/i386/10/libpcap-0.8.3-sol10-intel-local.gzIXPUB技术博客@f'q+]y

IXPUB技术博客D+b6Mkba`Oo

    #pkgadd －d libpcap-0.8.3-sol10-intel-local.pkg

.y3C\l['{2?(V-k0IXPUB技术博客0r S{,X%h;v7y

    使用Solaris pkg-get 工具安装gftp

5j h(sQ8a&_l~}B0IXPUB技术博客g/m9{W TTa

    pkg_get,由blastwave.org推出的，是一个用来自动获得www.sunfreeware.com网站上的软件包工具. 模拟了Debian linux上的"apt-get 工具” 。安装 CSW (Community SoftWare) 软件包非常方便。IXPUB技术博客*Z#~[Tk+C4| \K

IXPUB技术博客)[n b@ l

    #wgethttp://www.blastwave.org/pkg_get.pkg

+[:b!f7gi c.[0IXPUB技术博客k&W&c.t4D#tE

    #pkgadd -d pkg_get.pkg all

G:|)uy4E"Y C0IXPUB技术博客bY~9A|'b

    # pkg_get –i tcpdumpIXPUB技术博客_ {/^
b ~,si\

jSK:m p l0    2 软件使用IXPUB技术博客._;oEHG~)n ^fc

IXPUB技术博客b;dx8}(_K

    例如，在作为网关的主机上，想知道本地网络中IP地址为192.168.0.2的主机现在与外界通信的情况，就可以使用如下命令：

8m6y4X$te)a{o}0

n#zF { f@0    tcpdump -i pcn0 src host 192.168.0.2 > 115.txtIXPUB技术博客.F5Q7?1}&z"T

DV}'nZ.s0    如图1 。

'{4ws`G0p8eWT0

5JN/Jpo-cSpH0

    图1 把tcpdump重定向到文件再进行分析IXPUB技术博客 lwSn]5U?'U5TV5s

&t-Xl#A#\0    在默认情况下，Tcpdump会将数据输出到屏幕。如果数据量太大，可能根本看不清具体的内容，这时我们可以把它重定向到文件再进行分析。IXPUB技术博客].N1K}zznx6E&G

,?)}*[Cf ~Y0    把115.txt文件打开可以就可以清楚地了解刚才用户的一举一动：

*rh%kh)V#S.\0IXPUB技术博客 _ ~.E$c2q,P|

    首先到2911.net的SMTP服务器发送邮件：IXPUB技术博客MW5] I{+S-N3x

IXPUB技术博客9` fc q(_!r(G!`6M

    06:08:03.434544 IP cjh.32899 > mail.2911.net.smtp: S 800489075:800489075(0) win 49640 <mss 1460,nop,wscale 0,nop,nop,sackOK>IXPUB技术博客&^H0H5c$]Pj#J

t[t)` ^1Q.Nh6s0    06:08:03.454318 IP cjh.32899 > mail.2911.net.smtp: . ack 3379070854 win 50400IXPUB技术博客QC!hsRD

H a&nZU5X0    06:08:03.475770 IP cjh.32899 > mail.2911.net.smtp: . ack 31 win 50400

\Tj5}8dY0K0

peSQ8uP s*jhs0    06:08:03.477207 IP cjh.32899 > mail.2911.net.smtp: P 0:18(18) ack 31 win 50400IXPUB技术博客vE5b;A3F

2I'ppm+k3N9F-_pZ+H G0    06:08:03.497277 IP cjh.32899 > mail.2911.net.smtp: . ack 163 win 50400IXPUB技术博客9r6pDs6ZPj&^LJ

IXPUB技术博客KN3Fq ~w"E7v$I

    然后访问了IT168的主页：

l"yQE6XQR"o0IXPUB技术博客Wg1Sd!o?H&A2L8l!lB

    06:08:39.594065 IP cjh.32950 > gjjdial.bta.net.cn.domain:  20696+ AAAA? subject.it168.com. (35)IXPUB技术博客+mj(K aP&ny`!i

IXPUB技术博客 Z$o lr8BL@ bS

    06:08:39.635189 IP cjh.32901 > 202.99.120.124.80: P 439:941(502) ack 621 win 50400

tMm6k5]s0IXPUB技术博客#d1M2r^,Cf4q*N

    06:08:39.635867 IP cjh.32900 > 202.99.120.122.80: . ack 66554 win 50400IXPUB技术博客2``M{V)V9R/~a(e

Gc8]5Pbl6C&h0    对于普通的网络分析，这些信息已经足够了。这就是Tcpdump的基本功能，其它高级功能都是在这一基础上的细化和增强。

^!~j5\ U3CbL0IXPUB技术博客 tW!k'pW(oq

    例如，我只想知道192.168.0.2当前正在访问哪些Web站点，可以用下面这条命令：IXPUB技术博客7j#Xh#}qGR*vc]h

IXPUB技术博客+MSZt&H3D At!y?

    ./tcpdump -i pcn0 src host 192.168.0.5 and dst port 80

a+Rt0q
wF6V Y
U0IXPUB技术博客1BZ0N3eTu+I#y| {

    该命令的目的是截获所有由eth0进入、源地址(src)为192.168.0.2的主机(host)，并且(and)目标(dst)端口(port)为80的数据包。显然，通过and或者not这些逻辑组合，就可以得到特定的数据。Tcpdump还可以监听不同的数据类型（如TCP、UDP），以用不同的网络范围（如Host主机、Net网络），甚至用Ether直接指定物理地址。

(o@ Qw*t9wP0IXPUB技术博客K9~M9wm

    表1 Tcpdump常用命令行选项IXPUB技术博客,u:~p8v"\\

IXPUB技术博客_d"f6en?#j

,nAC
g7^y+d0    用Tcpdump在网络中获取信息如此清晰，是不是有一种一览无余的感觉。正是因为Tcpdump功能过于强大，连个人隐私和敏感数据的保护都成了问题，所以通常只有root用户能够使用这一工具。IXPUB技术博客7yIGQ!v~

0v5F}3Uv\sEh U&`J~[0二、使用Nmap

f.ajU^!A0ZnZ0

S7g[B} e6l"M0    1 nmap简介

ga O^WH0IXPUB技术博客'vv6~d:m

    Nmap设计的初衷是系统管理员可以方便地了解自己的网络运行情况，例如有多少台主机在运行、分别提供什么样的服务。因此，它扫描的速度非常快，尤其适合大型网络。在对网络进行扫描时，Nmap主要利用ICMP echo探测主机是否开启。凡是了解TCP/IP协议的都知道，对于一个TCP端口，无论是否使用防火墙进行过滤，该主机都会对该端口发出的请求做出一定响应。所以即使配置了严格的防火墙规则，nmap照样可以找到这些主机。

2zb
q#eJa Y8E0

C%Z,f.]Z\WMXA0    2 软件下载安装IXPUB技术博客^v0bg}D\+kd

IXPUB技术博客,rP-b!Fa
h3]Zy

    #pkgadd -d pkg_get.pkg allIXPUB技术博客Cm*~&R1[8@6^

G(PTy
\
K0    # pkg_get –i nmapIXPUB技术博客C
hW_9r.a!pR{\H

IXPUB技术博客#A O0ly&?`7Py5yM+E

    3 软件使用

?P:Af~+qj
s6P]"G]0

2K$Q7n%TR l Rh0    探测一台主机是否在线用Nmap探测试试看，如图2 。

"n
v'C}+] R0

6U?L]t8|tJ0

图2 nmap -sP 192.168.0.1

s-T!wR8G:s+Z:^$n0

#L
{,sJ)aun LVy"s0    探测结果好像该主机还开着呢！这里，-sP指定使用Ping echo 进行扫描(Scan)。 利用这一特点，可以很快知道目的网络究竟有多少主机处于运行状态：IXPUB技术博客UAq#Y?1g@f2n

c9Xv`![p(}0    nmap -sP 192.168.0.1/24 //24表明目标是一个网络而非单个主机

w,t1E#_uG0

C:Y7Y[ h(\c3E*?(w0    既然已经知道了哪些主机还开着，就可以进一步探测这些主机的信息，如开启的端口、提供的服务及操作系统类型等。从上面扫描的结果可以知道，192.168.0.5这台机器正在运行。想要了解该主机的详细信息，可以执行：

,O;v?"N"l1{#C'L0IXPUB技术博客7ou8?!Z*q*[+z |3^

    nmap 192.168.0.5IXPUB技术博客3AW:Z7jUeXx*z
U

IXPUB技术博客1^3\#U l"am7g/y)E'k

    稍后会显示如图3的内容：IXPUB技术博客5P^2yL2isr-d

v7dWt e"W`2dt @0

图3 了解该主机的详细信息

IN0d?8|q0

R2^,buo.s0    由上可以断定，这是一台运行Windows操作系统的主机，因为它开启了80端口还提供了IIS网络服务等。这些信息如果被不怀好意的人得到，就可以采用对应的攻击办法。其实，强大的Nmap本身就可以依据TCP/IP的指纹特征猜测对方使用的操作系统。我们可以用-O来开启这一选项：IXPUB技术博客)U6{(z I @&Y

IXPUB技术博客 G+|N5^ ?u:`9or u

    nmap -O 192.168.0.5IXPUB技术博客2MMn`1k+c$b f8O

/Y9cfp/E:V;R NE0    得到的结果是：

~/J A1XzLCO0IXPUB技术博客rf
{
m5j:t JmS

    Starting nmap V. 2.54BETA22 (www.insecure.org/nmap/)IXPUB技术博客p$~lR ~9V(@

iH+Yn'O|0    Interesting ports onwww.somewhere.net(192.168.0.5):IXPUB技术博客ZL3E9_]Bo

IXPUB技术博客'lyD_a%@

    (The 1536 ports scanned but not shown below are in state: closed)

Xg^6l`OaQ0

-^,iW{#`t
p0    Port       State   Service

|N Qn j/lX0IXPUB技术博客k iV&Cn

    80/tcp     open   http                   

:M z@;H*A O1g0

Q&a2t!qV;J.W0    135/tcp    open   loc-srv                IXPUB技术博客 iU_8C,]

4SDO2rm V&HQ0    139/tcp    open   netbios-ssn            IXPUB技术博客buIpZt kk*d!z.l

IXPUB技术博客+~&B.UA'F JfF6eD

    443/tcp    open   https                  

'[7?%dN(}D9D&dD#lh0IXPUB技术博客%k6Isb.{'l

    1032/tcp   open   iad3                   

~j(A/Ep3O7U;`0IXPUB技术博客b"K)Xp|GG

    1433/tcp   open   ms-sql-s               

-q1g\
e B/v0IXPUB技术博客Kg$rjS$i8`(S

    Remote operating system guess: Microsoft NT 4.0 Server SP5 + 2047 Hotfixes

lbH(|3]H LB B0IXPUB技术博客"p`0r-PT

    Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds

"N7I.ss8}+N0

6T5u ?6w(v?ec:E0    它猜测的远程主机类型是Microsoft NT 4.0 Server SP5 + 2047 Hotfixes，并且相当准确和详尽。 另外nmap既可在Shell下运行，也可以通过一个叫nmapfe的图形界面来运行，这个图形界面是基于Gtk库的。运行nmapfe（要运行所有功能需要超级用户权限）： ＃nmapfe ，如图4 。IXPUB技术博客:~MY:\"u:?R

IXPUB技术博客/ZM| d:X4L{?

图4 nmapfe扫描程序IXPUB技术博客5`*M m~'Y![(z

IXPUB技术博客 a"^9T
fl"O

    nmapfe支持种类繁多的扫描技术，例如，TCP connect()扫描是最基本的TCP扫描方式；TCP SYN扫描通常称为半开扫描；UDP扫描目标系统，提供UDP服务的端口；系统识别扫描需要超级用户权限；ping扫描是隐蔽扫描；还有Ident扫描（Ident Scanning）等。     从扫描技术看，nmap是众多端口扫描器中的极品。此外，它还提供了一些高级的特征，例如，高速、秘密、系统指纹特征识别、诱饵扫描、碎片扫描等。IXPUB技术博客Sd0lx)}#z|.M.z Z

9\ x9mBF;S$c4D0