躲藏服务器的服务及其版本信息削减攻击的线索[网络技术]

大家都知道,在黑客对某个目标策动攻击前,要花大量的时间和精神来汇集有关目标的各种信息.这些信息从最基本的企业IT人员姓名(潜在的社交工程攻击)到企业服务器或Web站点可以采取何种范例的攻击方法.
 
　　从文本写作的目的动身,我们假定此时黑客打算直接入侵企业服务器,而不是采取其他社交工程手段,大概回绝服务攻击.
 
　　有很多地方会表露企业IT架构方面的信息,此中最严重也是最常见的就是企业网站的Contact Us 和Staff部份,以及通过Whois 得到的查询记录,而要理解服务器相关信息,就需求利用系统扫描工具了.一些网络扫描工具,比方Nmap 和Ncat(下面会提到)可以供应大量有关服务器操作系统和服务器上运行何种服务的信息.大大都情形下,这种扫描行为并不违法,但是在很多国家,拥有和传达这类扫描工具确切是违法的.因此,假如你要利用这类工具,一定要确保符合本地的法律规定.
 
　　假如黑客知道了你企业的服务器所采取的操作系统,他就里成功近了一步,知道系统上运行了哪些服务,会更近一步.黑客每多理解一点有关目标服务器的信息,就会离成功更近一点.这就仿佛银行卡盗用,Pin码只有四位数,犯罪分子只知道密码的第一位,和知道密码的前三位,成功率相差很大.只知道第一位密码,需求很长时间去尝试差别的密码,犯罪分子普通城市放弃,大概卡片直接被ATM机吞掉,而假如知道了前三位密码,通过猜想进入用户账户就简单多了.而本文中所谓的密码前三位,就是服务器的操作系统,所运行的服务名称和服务版本.
 
　　假如你也认同这个概念,认为将服务器信息泄露出去会给系统安全带来隐患,那么我们接下来就要看看若何知道自己的服务器正在泄露关键信息,以及该若何消除这种隐患.
 
　　下面我们来看看用Ncat 扫描到的服务信息:
 
 


 
    正如大家看到的,只要简单的利用Ncat输入目标服务器的IP地址和端口,就可以得到该端口运行的服务的切确版本信息.目前,假如黑客查询漏洞数据库,大概简单的用Google搜索一下这个版本的服务程序的漏洞,便可以发现很多信息,此中乃至大概直接发现明确的漏洞信息以及相关的攻击工具.而接下去发生的情形必定是全部企业的IT管理员都不肯意看到的.当然,黑客的智商也各不相同,假如没有发现与服务程序版本相对应的攻击工具,有些黑客就会放弃攻击,但是假如你的服务程序中存在漏洞,就算没有现成的攻击工具,有些聪明的黑客还是会操纵漏洞策动打击的.因此,我们要尽大概避免将服务器系统上的各种服务信息泄露给任何潜在的攻击者.
 
　　削减威胁
 
　　下面我们就来看看最常被操纵和攻击的服务:简单邮件传输协议SMTP.
 
　　我们所利用的扫描工具是Ncat,从前叫做Netcat.这个工具由于具有强盛的扫描功效而被认为是TCP/IP扫描方面的瑞士军刀.Ncat在Netcat的底子上实现了多平台支持,可运行在Linux, Windows, 以及Mac OS系统上.固然拥有近似功效的扫描工具还有不少,但是可以支持多平台的并不多.
 
　　那么,我们接下来就要用Ncat的最基本的扫描功效来扫描测试用服务器的SMTP端口,看看能返回什么信息.我们可以从服务器本身来运行这个扫描工具,扫描本地IP地址,也可以在内网或外网主机运行Ncat.这里我再次提醒一下,利用这类工具在某些国家和区域属于违法行为.别的,按照你所处的位置差别,以及扫描对象的防护技术差别(比方能否有防火墙),你大概也需求改变扫描技术.Ncat的号令格局很简单:
 
　　nc 或ncat <目标IP地址> <目标端口号>
 
 
 
    上图的例子里,我们扫描了测试服务器的SMTP端口(25).从返回的后果中我们能看到,这个SMTP Mail 服务版本号为5.0.2172.1.假如扫描后没有返回任何后果,可以尝试利用以下号令格局-vv (vv参数表示获得具体信息,如nc -vv x.x.x.x 25)
 
　　正如我们前面所提到的,有了服务版本信息,黑客可以很快对你的服务器漏洞举行评价.那么我们该怎么消除服务版本信息呢?
 
　　注意: 下面我将利用MetaEdit往复除windows 服务器中的服务版本信息.这个工具是针对Windows Server 2000/2003的,不过Windows Server 2008也能用.近似的工具和去除服务版本信息的筹划还有很多,由于篇幅限制,本文只介绍这一种筹划.在你对自己的服务器举行扫描后,可以按照扫描后果查看能否存在安全漏洞,在为服务器上的各种漏洞打好补钉后,可以尝试消除服务版本信息,不给黑客留下任何可趁之机.
 
　　下面我们往复除SMTP服务的版本信息.首先是下载MetaEdit (可以从微软官方下载)并举行安装.安装后,只需求启动MetaEdit,然后展开LM文件夹,接下来展开SMTP,展开1并点击1.我们可以在这个位置输入一个新的版本号,比方我们可以在右上方输入36907,在下方数据区域输入但愿显示给扫描软件的版本信息,本例中我们输入“This is a new banner for port 25”.之后点击OK,并退出MetaEdit.目前我们重启SMTP服务,并利用Ncat重新扫描端口25,看看这次会有什么后果.
 
 
 
　　如上图所示,新的版本信息已经替换了真正的SMTP服务版本信息,这使得攻击者无法通过这种扫描方法获得切当的SMTP服务版本,从而降低了被攻击的潜在风险.
 
　　IIS可以通过IIS lockdown工具实现这种功效,IIS6.0版本以下的用户可免得费下载这个工具,并且之后版本的IIS已经集成了IIS lockdown功效.
 
　　每个企业的服务器上大概都在运行多种服务,我们也不大概让每个服务的版本信息都躲藏起来,但是对一些关键服务的信息举行必要的躲藏是应当的.通过评价系统反馈的服务版本信息,你可以更好的观察每个服务能否存在明显的安全漏洞,并且这个工作可以帮忙你更清楚的熟习到该若何保护你的系统安全.