Unix操作系统入侵经典步骤详解

　　偶然的机会发现了一篇名为hacking unix的文章,大概看了看觉得价值十分的大,所以决定翻译出来,我觉得这篇文章一定能够成为中国unix黑客的基石...呵呵,也许有点夸大,不过等你看完了这篇文章以后,你的态度绝对会有转变的...

　　再次声明,这篇文章不是为脚本小孩准备的,因为脚本小孩只会找有已知漏洞的机器,然后用脚本去入侵.......好了不罗嗦了go...........

　　5.3.1. 基本端口扫描

　　应用服务监听在一个端口上,并且直到等待到一个连接(TCP)或者报文被收到.端口扫描器就是做扫描应用服务监听端口的工作.当任何应用可能易受某种攻击伤害时，对一位黑客来说这信息有价值.同时它也给出了在那个系统的目的上的线索.如果看来像是一邮件服务器程序在远程系统上,只不过可能是这个系统是组织的mailserver。为了查明，在一个目标第一系统上运行的服务能连接每个可能的端口并且查明他们中的哪些正在被监听.这种方式就是端口扫描.端口扫描看起来是简单的扫描哪个服务器开开放什么端口,但是这里面也有很多不同的技术.在这部分里面我仅讲述2中基本的端口扫描技术,TCP全连接和半连接.

　　5.3.2. TCP 全连接(FULL CONNECT)

　　TCP与UDP是一个面向连接的协议是不同的，一次仅仅建立一个连接，通讯就能进行.去做一个tcp端口扫描的另外一个方式是只尝试启动一个连接.这过程要求TCP进行3次包的交换(就是传说中的三次握手)，我以一个典型的例子再一次讲解A和B之间的连接.

　　①主机A发送TCP SYN包给B,

　　②主机B发送TCP SYN/ACK包给主机A

　　③主机A发送TCP ACK包给主机B

　　三次握手初始化使用的顺序号是必要的， 在哪些连接期间同时记录哪些建立哪些操作系统的双方连接(当然,只有一个连接可以被建立)。 如果在目标系统上的一个范围的内的端口中有1个端口回复了3次握手的过程,哪我们就可以肯定这个端口是开放的.当目标系统上的端口没有开放的时候,那么它将返回一个RST的包.简而言之,TCP协议的头部包含了flags(就是标志位).例如"SYN"标记设置了,flags(标志位)告诉大约包应该怎样被对待的某些事情.在例如RST标志位表明这个连接重新建立.(连接中断).这SYN标志位是开始，或者协调一个连接的一个请求。 ACK这个标志位只是确认.好了不说了也许你们都不喜欢看,如果有兴趣的可以去看TCP/IP~本站也有相应的tcp/ip教程..让我们来看一个具体的实例吧.

　　让我们再一次在你自己的本地系统尝试一个TCP全连接扫描: $ nmap localhost

　　Starting nmap ( http://www.insecure.org/nmap/ )

　　Interesting ports on localhost (127.0.0.1):

　　(The 1649 ports scanned but not shown below are in state: closed)

　　PORT STATE SERVICE

　　22/tcp open ssh

　　25/tcp open smtp

　　80/tcp open http

　　110/tcp open pop-3

　　143/tcp open imap

　　515/tcp open printer

　　993/tcp open imaps

　　5432/tcp open postgres

　　Nmap run completed -- 1 IP address (1 host up) scanned in 0.815 seconds

　　$

　　这种类型的端口扫描用的是操作系统的应用程序的接口去创建连接,以与一个正常的程序(象你的webbrowser一样)将同样的方式。 它的另外一个名字是TCP connect(),相信这个大家比较熟悉吧.因为connect()是操作系统的过程去建立一个连接.操作系统将告诉我们这个连接是连接了还是没有连接(failed).原因是应用服务已经注册了一个套接字(SOCKET).并且一旦一个进来的连接被建立，操作系统告诉应用服务程序继续.这种扫描将会被日志纪录,其余的部分自己看看TCP/IP协议吧.

　　我们开始另外一个扫描方式也是很隐蔽的方式,半连接扫描

　　5.3.3. TCP半连接扫描.

　　TCP半扫描又称作"SYN扫描"或者一些时候也叫"SYN秘密扫描".它的意思就是端口扫描器讲发送一个SYN包,知道它接受到了SYN/ACK或者是RST一次这样的话我就能得到端口的状态(SYN/ACK说明此端口开放,RST代表端口没有开放)然后继续扫描下一个端口.连接绝不会被完全建立，因此任何应用程序记录将不发生(就是说不写入日志).(当连接已经被建立时,TCP 只将通知进来的连接的申请).所以它有了秘密扫描的名字.好了下面我来给出一个半连接扫描的例子

　　# nmap -sS 10.0.0.1

　　Starting nmap ( http://www.insecure.org/nmap/ )

　　Interesting ports on 10.0.0.1 (10.0.0.1):

　　(The 1649 ports scanned but not shown below are in state: closed)

　　PORT STATE SERVICE

　　22/tcp open ssh

　　25/tcp open smtp

　　80/tcp open http

　　110/tcp open pop-3

　　143/tcp open imap

　　515/tcp open printer

　　993/tcp open imaps

　　5432/tcp open postgres

　　Nmap run completed -- 1 IP address (1 host up) scanned in 0.787 seconds

　　#

　　手工端口扫描

　　这里有一个非常时髦的工具叫做"hping"(http://www.hping.org)

　　给出一个例子:

　　devil:~# hping -S -p 79 tosca

　　HPING tosca (eth0 192.168.9.1): S set, 40 headers + 0 data bytes

　　len=46 ip=192.168.9.1 ttl=64 DF id=2869 sport=79 flags=RA seq=0 win=0 rtt=0.3 ms

　　len=46 ip=192.168.9.1 ttl=64 DF id=2870 sport=79 flags=RA seq=1 win=0 rtt=0.4 ms

　　--- tosca hping statistic ---

　　2 packets transmitted, 2 packets received, 0% packet loss

　　round-trip min/avg/max = 0.3/0.4/0.4 ms

　　devil:~#

　　正如你看到的那样,返回了RST和ACK的包.

　　好了开始下一个主题: 开始之前废话几句,我写这篇文章的目的是以黑客的角度来分析UNIX的入侵技术,为什么要以这个角度写呢,因为网络管理员必须要知道黑客的手法才能更好的防守.所以我写本文的目的是更好的防守,因为我比较喜欢UNIX,我最讨厌windows那种不开放源代码的作风....好了继续吧.不发牢骚了

　　5.3.4. OS 探测

　　这里没有简单的方法去鉴定远程的操作系统.NMAP提供了一个很好的方法而且非常可靠的方式去找到操作系统的指纹(fingerprint).这个技术是利用操作系统的各种各样的网络协议方面的在实施方面的轻微的变化分清操作系统和他们的版本。

　　让我们来尝试一个:

　　# nmap -P0 -sS -O 192.168.0.1

　　Starting nmap ( http://www.insecure.org/nmap/ )

　　Warning: OS detection will be MUCH less reliable because we did not find

　　at least 1 open and 1 closed TCP port

　　Interesting ports on server (192.168.0.1):

　　(The 1655 ports scanned but not shown below are in state: filtered)

　　PORT STATE SERVICE

　　21/tcp open ftp

　　23/tcp open telnet

　　Device type: general purpose

　　Running (JUST GUESSING) : DEC OpenVMS 7.X (90%), Compaq Tru64 UNIX 5.X (88%)

　　Aggressive OS guesses: DEC OpenVMS 7.3 (Compaq TCP/IP 5.3) (90%),

　　DEC OpenVMS 7.3 (Alpha) TCP/IP 5.3 (88%), Compaq Tru64 UNIX V5.1 (Rev. 732) (88%), Compaq Tru64 UNIX V5.1A (Rev.

　　No exact OS matches for host (test conditions non-ideal).

　　Nmap run completed -- 1 IP address (1 host up) scanned in 284.404 seconds

　　这里有个小技巧,就是NMAP打印LINUX的内核,而不是具体的linux操作系统版本号,有经验的人很容易得到版本号,下面给出几个常用的对应表

　　2.2.16=red hat 7.0 2.2.20= red hat 9.0

　　大家弄多了就有经验了.

　　好， 说不可靠即使，完全关闭(OpenVMS) .建议你必须跟一些端口扫描技术一起使用-O 选项...如果主机再线但是远程系统没有对ICMP ECHO(PING)作出作出反应,那么你应该用-PO选项去关闭检测

　　$ telnet server

　　Trying 192.168.0.1...

　　Connected to 192.168.0.1.

　　Escape character is ’^]’.

　　Welcome to OpenVMS (TM) Alpha Operating System, Version V7.3-2

　　Username: [SSL not available]

　　指纹的想法不是新的技术，并且是被在各种各样的工具里使用的(虽然Nmap是利用这的第一个公共工具之一)， 但是Nmap巨大的指纹数据库并且给非常准确的结果.

　　本来到时间了该吃饭了,可是今天心情不好不想吃了,继续翻译吧..

　　Let's go on..

　　5.4. 0 处理防火墙

　　这个部分讲解的是防火墙的基本概念,我将介绍几种新显示轮廓的方法去确认一个防火墙和发现防火墙的规则(ruleset).在一个相互连接的环境在internet网上的用户可以访问其他的网络.一组织将想要限制参与因特网并且将特别想要限制从不可信的因特网进入进内部的网络。 防火墙在交互模式下用于控制网络交通.管理者需要组成一个基于服务的策略，用户关于外部网络要求和服务关于要求的内部的网络从网络的外面进入.到外部网络的某种部分限制进入进内部的网络也是可能的.这个规则然后能被转化成能被用于安置在两个网络之间的防火墙的规则表。

　　下面介绍几种常见的防火墙:

　　5.4.1. Packet Filtering Firewalls (包过滤防火墙)

　　网上有很多这方面的介绍我就不浪费时间了,我们下面给出一个规则:

　　管理者确定的第1 个(聪明)规则看起来象这样:

　　Source: Anywhere

　　Destination: Anywhere

　　Protocol: Any

　　Destination port: Any

　　Policy: DENY

　　下一步管理者努力鉴定这基础规则的例外 .一名管理者可能在组织网络里面有mailserver(邮件服务器)。

　　我宿舍的朋友给我买饭了.先吃吧..一会再写,先看看魔兽的录象,以前我可是human的guso,再bn上曾经打到过38级,不是吹的,希望大家有时间的话和我切磋啊~..

　　好了吃完了继续吧...

　　上次我们讲到了这里下一步管理者努力鉴定这基础规则的例外 .一名管理者可能在组织网络里面有mailserver(邮件服务器)。

　　下面继续讲邮件被通过SMTP 服务从邮件服务器交付,简单的例子就是sendmail和postfix.管理员知道SMTP服务必须能从INTERNET接收邮件,所以管理员定义了一个新的规则(关于第一个的规则的例外)

　　Source: External (Internet)

　　Destination: Internal mailhost

　　Protocol: TCP

　　Destination Port: 25 (SMTP)

　　Policy: ACCEPT.

　　意思任何包从任何预定到去SMTP 服务(TCP 端口25)的地址在MIAL服务器上将被提供适当的方向.. 管理员允许在internet上的任意系统给用户的邮箱交付E-Mail.管理员没有为INTERnet网络定义规则,那些用户只需要连接邮件服务器，不对在内部的网络外边的邮件服务器.因此他只将需要从邮件服务器为SMTP做一个例外:

　　Source: Internal mailhost

　　Destination: External (Internet)

　　Protocol: TCP

　　Port: 25

　　Policy: ACCEPT

　　管理者想要的下一件事情将允许用户在邮件服务器使用POP3 协议上从他们的信箱收到他们的邮件 .管理员喜欢在internet把POP协议设置为.DENY.好了下次再写吧累死了,干了好几个小时了...