資訊安全技術大講堂 點選檢視第二章 點選檢視第三章 從實踐中學習Kali Linux網絡掃描
第1章 網絡掃描概述
随着網際網路絡的飛速發展,網絡入侵行為日益嚴重,網絡安全已成為人們的關注點。在實施滲透測試過程中,網絡掃描是收集目标系統資訊的重要技術之一。通過實施網絡掃描,可以發現一個網絡中活動的主機、開放的端口及對應服務等。本章将介紹網絡掃描的目的和方式。
1.1 掃 描 目 的
通過網絡掃描,使用者能夠發現網絡中活動的主機和主機上開放的端口,進而判斷出目标主機開放的服務。然後通過對服務的掃描,還可以擷取到目标主機的作業系統類型、服務歡迎資訊和版本等資訊。本節将介紹網絡掃描的目的。
1.1.1 發現主機
通過對一個網絡中的主機實施掃描,即可發現該網絡中活動的主機。當發現網絡中活動的主機後,使用者就可以在掃描時重新規劃掃描範圍,而不需要對所有主機進行掃描,這樣将會節約大量的時間和資源,而且掃描的結果更精确。這樣使用者可以針對活動主機做進一步掃描,以探測開放的端口,進而推斷出開放的服務資訊等。
1.1.2 探測端口
當使用者掃描到網絡中活動的主機後,即可探測該活動主機中開放的所有端口。這裡的端口指的不是實體意義上的端口,而是特指TCP/IP協定中的端口,它是邏輯意義上的端口。在TCP/IP協定中,最常用的協定是TCP和UDP協定,由于這兩個協定是獨立的,是以各自的端口号也互相獨立。例如,TCP有235端口,UDP也可以有235端口,且兩者并不沖突。
在TCP/IP協定中的端口,可以根據它們的用途進行分類。是以下面将介紹一下端口的類型,以友善使用者判斷端口所對應的程式。
1.周知端口(Well Known Ports)
周知端口是衆所周知的端口号,範圍為0~1023。例如,WWW服務預設端口為80,FTP服務預設端口為21等。不過,使用者也可以為這些網絡服務指定其他端口号,但是有些系統協定使用固定的端口号,是不能被改變的。例如,139端口專門用于NetBIOS與TCP/IP之間的通信,不能手動改變。
2.動态端口(Dynamic Ports)
動态端口的範圍是49152~65535。之是以稱為動态端口,是因為它們一般不固定配置設定某種服務,而是根據程式申請,系統自動進行動态配置設定。
3.注冊端口
1024~49151端口,是用來配置設定給使用者程序或應用程式的。這些程序主要是使用者所安裝的一些應用程式,而不是已經配置設定好了公認端口的常用程式。這些端口在沒有被伺服器資源占用的時候,可以供使用者端動态選用。
1.1.3 判斷服務
在計算機網絡中,每個服務預設都有對應的端口。例如,FTP服務預設端口為21,SSH服務預設端口為22,HTTP服務預設端口為80等。是以,如果使用者探測出目标主機開放的端口後,即可判斷出對應的服務了。為了幫助使用者能夠快速地判斷出開放端口所對應的服務,這裡将以表格形式列出一些常見的服務及其對應端口,如表1.1所示。
1.2 掃 描 方 式
使用者可以使用三種掃描方式來實施網絡掃描,分别是主動掃描、被動掃描和第三方掃描。本節将分别介紹這三種掃描方式。
1.2.1 主動掃描
主動掃描就是使用者主動發送一些資料包進行掃描,以找到網絡中活動的主機。其中,用于主動掃描的工具有很多,如Netdiscover、Nmap和Ping等。例如,當使用者使用Ping指令實施主動掃描時,将會發送一個ICMP Echo-Request封包給目标主機,如果目标主機收到該請求,并回應一個ICMP Echo-Reply封包,則說明該目标主機是活動的。
1.2.2 被動掃描
被動掃描是通過長期監聽廣播包,來發現同一網絡中的活動主機。一般情況下發送廣播包,主要有兩個原因。一個原因是,應用程式希望在本地網絡中找到一個資源,而應用程式對該資源的位址又沒有預先儲備。例如ARP廣播包,用于擷取區域網路内某IP對應的MAC位址。另一個原因是由于一些重要的功能。例如,路由器要求把它們的資訊發送給所有可以找到的鄰機。
1.2.3 第三方掃描
使用者還可以借助第三方主機來實施掃描。例如,使用公開的網絡服務或者控制其他主機/裝置來實施掃描。下面将介紹一些第三方掃描方式。
1.Shodan的使用
Shodan是目前最強大的搜尋引擎。但是,它與Google這種搜尋網址的搜尋引擎不同,Shodan是用來搜尋網絡空間中線上裝置的,使用者可以通過Shodan搜尋指定的裝置,或者搜尋特定類型的裝置。其中,Shodan上最受歡迎的搜尋内容是webcam、linksys、cisco、netgear和SCADA等。Shodan搜尋引擎的網址為
https://www.shodan.io/,界面如圖1.1所示。
該界面就是Shodan搜尋引擎的主界面。這裡就像是用Google一樣,在首頁的搜尋框中輸入想要的内容即可。例如,這裡搜尋一個SSH關鍵詞,顯示結果如圖1.2所示。
從該界面中可以看到搜尋到的結果,主要包括兩個部分:其中,左側是大量的彙總資料,包括TOTAL RESULTS(搜尋結果總數)、TOP COUNTRIES(使用最多的國家)、TOP SERVICES(使用最多的服務/端口)、TOP ORGANIZATIONS(使用最多的組織/ISP)、TOP OPERATING SYSTEMS(使用最多的作業系統)和TOP PRODUCTS(使用最多的産品/軟體名稱);中間的首頁面就是搜尋結果,包括IP位址、主機名、ISP、該條目的收錄時間、該主機位于的國家和Banner資訊等。如果想要了解每個條目的具體資訊,則需要單擊每個條目下方的Details按鈕即可。此時,URL會變成這種格式
https://www.shodan.io/host/[IP],如圖1.3所示,是以使用者也可以通過直接通路指定的IP來檢視詳細資訊。
從圖1.3頂部的地圖中可以看到主機的實體位置。從左側可以了解到主機的相關資訊,右側顯示了目标主機的端口清單及其詳細資訊。
如果像前面那樣單純地隻使用關鍵字直接進行搜尋,則搜尋的結果可能不太滿意。此時,使用者可以使用一些特定的指令對搜尋結果進行過濾。其中,常見的過濾器指令如下:
- hostname:搜尋指定的主機名或域名,如hostname:"baidu"。
- port:搜尋指定的端口或服務,如port:"21"。
- country:搜尋指定的國家,如country:"CN"。
- city:搜尋指定的城市,如city:"beijing"。
- org:搜尋指定的組織或公司,如org:"google"。
- isp:搜尋指定的ISP供應商,如isp:"China Telecom"。
- product:搜尋指定的作業系統、軟體和平台,如product:"Apache httpd"。
- version:搜尋指定的軟體版本,如version:"1.6.2"。
- geo:搜尋指定的地理位置,參數為經緯度,如geo:"31.8639, 117.2808"。
- before/after:搜尋指定收錄時間前後的資料,格式為dd-mm-yy,如before:"11-11-15"。
- net:搜尋指定的IP位址或子網,如net:"210.45.240.0/24"。
【執行個體1-1】使用Shodan查找位于國内的Apache伺服器。搜尋過濾器的文法格式為apache country:"CN"。此時,在Shodan的搜尋文本框中輸入該過濾器,如圖1.4所示。
在搜尋框中輸入以上過濾器後,單擊
(搜尋)按鈕,即可顯示其掃描結果,如圖1.5所示。
從圖1.5中可以看到掃描到的結果。如果想要檢視某個主機的具體位置,單擊Maps按鈕後,Shodan會将查詢結果可視化地展示在地圖當中,如圖1.6所示。
Shodan服務還支援使用者将掃描結果生成一個報表并下載下傳下來。如果想要生成報表,可以單擊Create Report按鈕,将彈出一個對話框,如圖1.7所示。
在該對話框中需要指定一個标題。例如,這裡設定标題為SSH。然後,單擊Create Report按鈕,将顯示如圖1.8所示頁面。
從圖1.8中可以看到一條提示資訊,顯示報告已生成成功,并且該報告已發送到新增賬號的郵箱中。此時,進入郵箱即可看到接收到的郵件,如圖1.9所示。
從圖1.10中可以看到提示報告SSH已成功生成。此時,單擊該郵件中的連結,即可檢視報告内容,如圖1.10所示。
該報告内容較多,由于無法截取整個頁面,因而隻顯示了一部分資訊。
2.路由器的管理界面
使用者通過登入路由器,也可以檢視目前區域網路中活動的主機。下面将以TP-LINK路由器為例,來介紹檢視活動主機的方法。
【執行個體1-2】利用路由器的管理界面檢視活動主機。具體操作步驟如下。
(1)登入路由器的管理界面。其中,該路由器的預設位址為
http://192.168.1.1/,使用者名和密碼為admin。當使用者在浏覽器中通路
位址後,将彈出一個身份驗證對話框,如圖1.11所示。
(2)在其中輸入預設的使用者名和密碼進行登入。登入成功後,将顯示如圖1.12所示頁面。
(3)在其中依次選擇“DHCP伺服器”|“用戶端清單”選項,将進入如圖1.13所示頁面。
(4)從圖1.13所示的用戶端清單中可以看到有4個用戶端。由此可以說明,目前區域網路中有4個用戶端,其IP位址分别是192.168.1.100、192.168.1.101、192.168.1.102和192.168.1.103。
1.3 準 備 環 境
當使用者對網絡掃描的目的和方式了解清楚後,就可以對目标實施掃描了。但是要實施掃描,還需要準備環境,如安裝掃描工具、搭建攻擊靶機和網絡環境等。本節将介紹準備環境的相關工作。
1.3.1 軟體環境
在書中主要是使用Nmap工具來實施掃描的,是以需要安裝Nmap工具。在Kali Linux系統中,預設已經安裝了Nmap工具。是以推薦使用者使用Kali Linux作業系統,這樣就無須進行任何配置了,否則需要手動安裝Nmap。為了友善使用者在非Kali Linux系統中使用Nmap工具,下面介紹擷取及安裝Nmap工具的方法。
1.擷取Nmap
如果要安裝Nmap工具,可以從官方網站擷取其安裝包。Nmap的官方下載下傳位址為
https://nmap.org/download.html。在浏覽器中輸入該位址,即可打開其下載下傳頁面,如圖1.14所示。
在圖1.14所示的下載下傳頁面中,提供了Windows二進制包、Linux二進制包、Mac OS X二進制包、源碼包及其他作業系統的包,并且還提供了幾種包的安裝方式,如RPM二進制包的安裝方式和源碼包安裝方式。此時可以根據自己的系統版本及架構,選擇相應的軟體包。由于頁面太大,這裡隻截取了其中的一部分資訊(包括源碼包和Windows二進制包的下載下傳位址)。
2.安裝Nmap
下面将以Windows作業系統為例,來介紹安裝Nmap工具的方法。Nmap官方網站提供了兩種格式的安裝包,分别是可執行檔案(.exe)和壓縮檔案(.zip)。其中,.exe格式的檔案需要使用者手動安裝;.zip格式的檔案直接解壓後就可以使用。為了能夠快速并友善地使用Nmap工具,這裡将選擇下載下傳.zip格式。具體安裝方法如下:
(1)下載下傳Windows版本的.zip壓縮檔案安裝包,下載下傳完成後,其軟體包名為nmap-7.70- win32.zip。
(2)使用WinRAR壓縮工具,解壓下載下傳的安裝包。解壓成功後,所有的檔案将被解壓到一個名為nmap-7.70的檔案夾中。打開該檔案夾後,即可看到用于啟動Nmap工具的應用程式檔案.exe,如圖1.15所示。
(3)從圖1.15中可以看到解壓出的所有檔案。其中,nmap.exe可執行檔案是用來啟動Nmap工具的。接下來,在指令行終端執行該指令即可。
1.3.2 搭建靶機環境
将掃描工具準備好後,即可開始實施掃描了。在掃描的時候,需要指定目标。在學習階段,為了避免法律風險,還需要準備靶機。靶機是用來模拟真實目标,以供使用者進行測試和聯系。目标靶機有3種類型,分别是實體靶機、虛拟機靶機和第三方靶機。下面将分别介紹搭建靶機環境的方法。
1.實體靶機
實體靶機就是使用實體主機充當靶機。使用實體靶機,更貼近實際。建構實體靶機有兩種選擇,分别是使用空閑計算機和網絡雲主機。
- 空閑計算機是指不用的多餘的計算機。使用這類靶機可以模拟各種區域網路環境。
- 網絡雲主機是各大公司提供的雲伺服器。這類靶機往往具備外網IP,可以更好地模拟外網環境。
2.虛拟機靶機
實體靶機花費較多,并且數量有限。如果為了測試各種不同的服務和系統,可以選擇使用虛拟機的方法。其中,VMware是一款非常強大的虛拟機安裝軟體。在該虛拟機軟體中,使用者可以安裝各種作業系統作為靶機,如Windows XP/7/8/10、Linux、Mac OS等。而且,這些作業系統可以同時運作,互不影響。同時,使用者可以在系統中安裝不同的服務。下面将介紹使用VMware建立虛拟機的方法。
【執行個體1-3】使用VMware軟體建立虛拟機。具體操作步驟如下:
(1)下載下傳并安裝VMware軟體。其中,VMware軟體的下載下傳位址如下:
https://www.vmware.com/cn/products/workstation-pro/workstation-pro-evaluation.html在浏覽器中輸入該位址後,将打開VMware的下載下傳頁面,如圖1.16所示。
(2)從圖1.16中可以看到,分别提供了Windows和Linux版本的VMware安裝包。本例中将選擇下載下傳Windows版本的安裝包。單擊Windows版本軟體包下面的“立即下載下傳”按鈕進行下載下傳。下載下傳完成後,其軟體包名為VMware-workstation-full-15.0.2-10952284.exe。然後輕按兩下該安裝包,根據提示即可快速将VMware軟體安裝到系統中。啟動VMware虛拟機軟體後,顯示界面如圖1.17所示。
(3)從主界面中可以看到有3個圖示,分别是“建立新的虛拟機”“打開虛拟機”“連接配接遠端伺服器”。本例中要安裝新的虛拟靶機,是以選擇建立新的虛拟機。單擊建立新的虛拟機圖示後,彈出如圖1.18所示的對話框。
(4)該對話框用來選擇安裝虛拟機的類型,這裡選擇“典型(推薦)(T)”選項。單擊“下一步”按鈕,将進入“安裝客戶機作業系統”對話框中,如圖1.19所示。
(5)在其中選擇安裝來源。這裡提供了3種方式,分别是安裝程式CD光牒(D)、安裝程式CD光牒映像檔案(iso)(M)和稍後安裝作業系統(S),在本例中選擇“稍後安裝作業系統(S)”單選按鈕。單擊“下一步”按鈕,将進入“選擇客戶機作業系統”對話框,如圖1.20所示。
(6)在其中選擇将要安裝的作業系統類型和版本。從中可以看到可安裝的作業系統類型有Windows、Linux和Apple Mac OS等。選擇不同的作業系統類型後,在版本的下拉清單框中可以選擇系統版本。在本例中選擇Linux系統類型,Debian 9.x 64位版本。然後,單擊“下一步”按鈕,進入“命名虛拟機”對話框,如圖1.21所示。
(7)在其中定義将要安裝的虛拟機名稱和位置。本例中定義的虛拟機名稱為Kali Linux,位置為E:Kali Linux。然後,單擊“下一步”按鈕,進入“指定磁盤容量”對話框,如圖1.22所示。
(8)在其中指定将要安裝的虛拟機磁盤大小。這裡将定義磁盤大小為100GB,并選擇“将虛拟磁盤拆分成多個檔案(M)”單選按鈕。然後,單擊“下一步”按鈕,進入“已準備好建立虛拟機”對話框,如圖1.23所示。
(9)在其中顯示了前面配置的虛拟機資訊。此時,單擊“完成”按鈕,則虛拟機建立完成,如圖1.24所示。
(10)在圖1.24中顯示成功建立了一個虛拟機。此時,将要安裝的作業系統鏡像檔案加載到該虛拟機中,即可開始安裝作業系統了。在其中選擇“編輯虛拟機設定”選項,将彈出“虛拟機設定”對話框,如圖1.25所示。
(11)在其中可以設定虛拟機的記憶體、處理器、使用的鏡像檔案和網絡連接配接方式等。這裡選擇CD/DVD(IED)選項,并在右側選擇“使用ISO映像檔案(M)”單選按鈕,指定要安裝的虛拟機系統鏡像檔案。設定完成後,單擊“确定”按鈕,将傳回如圖1.24所示的頁面。然後,單擊“開啟此虛拟機”選項,即可開始安裝對應的作業系統。
3.第三方靶機
除了前面的兩種靶機外,也可以從網際網路上下載下傳一些第三方靶機直接使用,避免手動安裝,手動配置系統和服務。例如,一個比較有名的虛拟靶機Metasploit 2,裡面包含了很多的漏洞,可以使用該靶機練習掃描。下面來介紹将第三方靶機加載到虛拟機中的方法。
【執行個體1-4】在虛拟機中加載Metasploit 2作業系統。具體操作步驟如下:
(1)下載下傳Metasploitable 2,其檔案名為Metasploitable-Linux-2.0.0.zip。
(2)将Metasploitable-Linux-2.0.0.zip檔案解壓到本地磁盤。
(3)打開VMwareWorstation,并依次選擇“檔案”|“打開”指令,将彈出如圖1.26所示對話框。
(4)在VMware中,字尾為“.vmw”的檔案是用來啟動作業系統的。是以,這裡選擇Metasploitable.vmx檔案,并單擊“打開”按鈕,彈出如圖1.27所示對話框。
(5)在該視窗中單擊“開啟此虛拟機”按鈕或按鈕,啟動Metasploitable 2系統。當啟動該系統後,會彈出如圖1.28所示對話框。
(6)該對話框提示此虛拟機可能已經被移動或複制。單擊“我已複制該虛拟機”按鈕,将啟動Metasploitable 2作業系統,如圖1.29所示。
(7)該界面為Metasploitable 2登入界面。系統預設的使用者名和密碼都是msfadmin,此時依次輸入使用者名和密碼後将成功登入系統。
1.3.3 搭建網絡環境
如果使用者使用虛拟機作為靶機的話,還需要對網絡進行簡單配置;如果靶機配置不當,則會導緻無法對其實施掃描。下面将介紹在虛拟機中設定網絡的方法。
1.虛拟機NAT網絡
虛拟機提供了3種網絡模式,分别是橋接模式、NAT模式和僅主機模式。如果要通路網際網路,NAT模式是最好的選擇。使用NAT網絡後,不僅可以與區域網路中的主機進行通信,還可以通路外網。下面将介紹配置NAT網絡的方法。
(1)由于NAT模式是借助虛拟NAT裝置和虛拟DHCP伺服器,使虛拟機連接配接到網際網路的,是以要使用NAT網絡,必須先啟動NAT服務和DHCP服務。在Windows桌面,右擊“計算機”,在彈出的快捷菜單中選擇“管理”指令,打開“計算機管理”視窗。然後選擇“服務和應用程式”|“服務”選項,将顯示如圖1.30所示的視窗。
(2)在該視窗中顯示了三部分内容,分别是計算機管理(本地)選項清單、服務資訊和操作選項。在第二部分的服務資訊下拉清單中,即可找到VMware NAT Service和VMware DHCP Service。從該視窗中可以看到,這兩個服務已經啟動。如果沒有啟動的話,選擇對應服務并右擊,将彈出一個快捷菜單,如圖1.31所示。
(3)在該快捷菜單中,選擇“啟動(S)”指令,即可啟動對應的服務。接下來設定NAT的網段和範圍,用來為主機動态配置設定IP位址。在VMware的菜單欄中依次選擇“編輯(E)”|“虛拟網絡編輯器(N)”指令,将彈出如圖1.32所示對話框。
(4)從其中可以看到目前虛拟機中的所有虛拟網絡連接配接方式。這裡設定的是NAT網絡,是以選擇VMnet8。然後即可進行NAT和DHCP設定。單擊“NAT設定(S)”按鈕,将進入如圖1.33所示對話框。
(5)在該對話框中可設定NAT的網段。可以看到,本例中的NAT網段為192.168.33.0/ 24。如果想要修改為其他網段的話,隻需要修改網關IP位址即可。例如,如果想要設定NAT網段為192.168.5.0,則設定網關IP位址為192.168.5.2即可。然後單擊“确定”按鈕,将傳回“虛拟網絡編輯器”對話框。單擊“DHCP設定(P)”按鈕,将進入如圖1.34所示對話框,在其中即可設定NAT網絡範圍。
(6)圖1.34中所示的起始IP位址和結束IP位址就是用來設定網絡範圍的。可以看到,目前的NAT網絡範圍為192.168.33.128至192.168.33.254,并且還可以設定位址的租用時間。設定完成後,單擊“确定”按鈕完成設定。
2.使用實體網絡
虛拟機網絡可能導緻部分掃描出現錯誤。這時,需要使用實體網絡來實施掃描。通過在虛拟機中接入一個USB無線網卡,可以讓虛拟機使用實體網絡。下面介紹在虛拟機中使用USB網卡的方式。
【執行個體1-5】在虛拟機中使用USB無線網卡,具體操作步驟如下:
(1)啟動虛拟機的USB服務。在目前計算機中打開服務界面,如圖1.35所示。
(2)從服務中找到VMware USB Arbitration Service服務,并确定該服務已啟動。接下來将USB無線網卡插到實體機上,此時會彈出一個“可移動裝置”對話框,如圖1.36所示。
(3)從該對話框中可以看到,目前系統中插入了一個名稱為“Ralink 802.11n WLAN”的USB裝置。通過選擇“虛拟機”|“可移動裝置”指令,即可将該裝置連接配接到此虛拟機上。此時,在VMware的菜單欄中依次選擇“虛拟機(M)”|“可移動裝置(D)”|Ralink 802.11n WLAN|“連接配接(斷開與主機的連接配接)(C)”指令,即可将該USB無線網卡接入到虛拟機中,如圖1.37所示。
(4)當選擇“連接配接(斷開與主機的連接配接)(C)”選項後,将彈出如圖1.38所示的對話框。
(5)從該對話框中可以看到,某個USB裝置将要從主機拔出并連接配接到虛拟機上。此時,單擊“确定”按鈕,則成功将USB無線網卡接入到虛拟機中。接下來,使用該USB無線網卡即可接入實體網絡。
1.3.4 遠端掃描
前面介紹的幾種環境都是一個區域網路,可以直接實施掃描。如果無法直接連入對方網絡的話,例如異地對區域網路進行檢測,則需要使用遠端掃描方式。此時可以在樹莓派上安裝Kali Linux系統,并配置4G上網卡加入異地的區域網路中。使用者在任何地方通過4G網絡遠端登入Kali Linux系統,即可對所在區域網路絡實施掃描。
1.4 法 律 邊 界
當實施網絡掃描及滲透測試時,擷取準确的書面授權是非常重要的事情,否則可能會面臨法律訴訟。本節将介紹網絡掃描的法律邊界問題。
1.4.1 授權掃描
使用者在實施掃描之前,首先需要擷取目标所有者的正式授權,否則會違反法律規定,造成不必要的麻煩。下面列舉幾條網絡掃描相關的法律條文。
(1)不得非法入侵他人網絡、幹擾他人網絡正常功能、竊取網絡資料,進行危害網絡安全的活動。
(2)不得提供專門用于從事侵入網絡、幹擾網絡正常功能及防護措施、竊取網絡資料等危害安全活動的程式、工具。
是以,使用者在實施掃描之前,必須要擷取網絡所有人明确的書面授權。
1.4.2 潛在風險
在實施掃描時,部分操作存在一定的潛在風險,如消耗大量的網絡資源、觸發安全軟體報警。例如,使用者使用Namp -A實施掃描時,将會向1~65535端口依次發包,要求建立TCP連接配接,這樣容易造成網絡擁堵。如果同時掃描區域網路内多個主機時,占用的網絡資源會翻倍。
部分掃描操作沒有建立完整的連接配接過程,會被網絡防火牆認定為攻擊行為,進而觸發網絡警報。同時,部分網絡會建立蜜罐機制,而掃描操作往往會觸發這類機制,造成錯誤預警。是以,使用者需要事先以正式的方式告知目标網絡所有者,掃描操作可能會造成的影響,并要求對方确認。