荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: igmp (igmp), 信区: Security
标 题: 八种扫描器说明
发信站: 荔园晨风BBS站 (Sat Jun 30 18:51:36 2001), 转信
八种扫描器说明
扫描器
⑴NSS(网络安全扫描器)
NSS由Perl语言编成,它最根本的价值在于它的速度,它运行速度非常快,它可以
执行下列常规检查
: ■Sendmail
■匿名FTP
■NFS出口
■TFTP
■Hosts.equiv
■Xhost
注:除非你拥有最高特权,否则NSS不允许你执行Hosts.equiv。
利用NSS,用户可以增加更强大的功能,其中包括:
■AppleTalk扫描
■Novell扫描
■LAN管理员扫描
■可扫描子网
简单地说,NSS执行的进程包括:
■取得指定域的列表或报告,该域原本不存在这类列表
■用Ping命令确定指定主机是否是活性的
■扫描目标主机的端口
■报告指定地址的漏洞
尽管没有详尽讨论NSS,但我在这里要说明一些次要的问题:
■在对NSS进行解压缩后,不能立即运行NSS,需要对它进行一些修改,必须设置一
些环境变量,以适应你的机器配置。主要变量包括:
■$TmpDir_NSS使用的临时目录
■$YPX-ypx应用程序的目录
■$PING_可执行的ping命令的目录
■$XWININFO_xwininfo的目录
提示:如果你隐藏了Perl include目录(目录中有Perl include文件),并且在
PATH环境变量中没有包含该目录,你需要加上这个目录;同时,用户应该注意NSS
需要ftplib.pl库函数。NSS具有并行能力,可以在许多工作站之间进行分布式扫描
。而且,它可以使进程分支。在资源有限的机器上运行NSS(或未经允许运行NSS)
应该避免这种情况,在代码中有这方面的选项设置。
你可在下面地址找到NSS拷贝。 http://www.giga.or.at/pub/hacker/unix
⑵Strobe(超级优化TCP端口检测程序)
strobe是一个TCP端口扫描器,它可以记录指定机器的所有开放端口。strobe运行
速度快(其作者声称在适中的时间内,便可扫描整个一个国家的机器)。
strobe的主要特点是,它能快速识别指定机器上正在运行什么服务。strobe的主要
不足是这类信息是很有限的,一次strobe攻击充其量可以提供给“入侵者”一个粗
略的指南,告诉什么服务可以被攻击。但是,strobe用扩展的行命令选项弥补了这
个不足。比如,在用大量指定端口扫描主机时,你可以禁止所有重复的端口描述。
(仅打印首次端口定义)其他选项包括:
■定义起始和终止端口
■定义在多长时间内接收不到端口或主机响应,便终止这次扫描。
■定义使用的socket号码
■定义strobe要捕捉的目标主机的文件
在如下地址可以找到strobe的拷贝: http://sunsite.kth.
se/linux/system/network/admin/
提示:在你获得strobe的同时,必然获得手册页面,这对于Solaris 2.3是一个明
显的问题,为了防止发生问题,你必须禁止使用getpeername()。在行命令中加入
-g 标志就可以实现这一目的。
同时,尽管strobe没有对远程主机进行广泛测试,但它留下的痕迹与早期的ISS一
样明显,被strobe扫描过的主机会知道这一切(这非常象在/var/adm/messages文
件中执行连接请求)。
⑶SATAN(安全管理员的网络分析工具)
SATAN是为UNIX设计的,它主要是用C和Perl语言编写的(为了用户界面的友好性,
还用了一些HTML技术)。它能在许多类UNIX平台上运行,有些根本不需要移植,而
在其他平台上也只是略作移植。
注意:在Linux上运行SATAN有一个特殊问题,应用于原系统的某些规则在Linus平
台上会引起系统失效的致命缺陷;在tcp-scan模块中实现select()调用也会产生问
题;最后要说的是,如果用户扫描一个完整子网,则会引进反向fping爆炸,也即
套接字(socket)缓冲溢出。但是,有一个站点不但包含了用于Linux的、改进的
SATAN二进制代码,还包含了diff文件,这些条款可以在ftp.lod.com
上发现,或者可以直接从Sun站点(sunsite.unc.edu)取得diff文件:
/pub/linux/system/network/admin/satan-linux.1.1.1.diff.gz
SATAN用于扫描远程主机的许多已知的漏洞,其中包括,但并不限于下列这些漏洞
:
■FTPD脆弱性和可写的FTP目录
■NFS脆弱性
■NIS脆弱性
■RSH脆弱性
■Sendmail
■X服务器脆弱性
你可在下面地址中获得SATAN的拷贝: http://www.fish.com
安装过程
SATAN的安装和其他应用程序一样,每个平台上的SATAN目录可能略有不同,但一般
都是/satan-1.1.1。安装的第一步(在阅读了使用文档说明后)是运行Perl程序
reconfig。这个程序搜索各种不同的组成成分,并定义目录路径。如果它不能找到
或定义一个浏览器。则运行失败,那些把浏览器安装在非标准目录中(并且没有在
PATH中进行设置)的用户将不得不手工进行设置。同样,那些没有用DNS(未在自
己机器上运行DNS)的用户也必须在/satan-1.1.1/conf/satan.cf中进行下列设置
:$dont_use_nslookuo=1;在解决了全部路径问题后,用户可以在分布式系统上运
行安装程序(IRIX或SunOS),我建议要非常仔细地观察编译,以找出错误。
提示:SATAN比一般扫描器需要更多一些的资源,尤其是在内存和处理器功能方面
要求更高一些。如果你在运行SATAN时速度很慢,可以尝试几种解决办法。最直接
的办法就是扩大内存和提高处理器能力,但是,如果这种办法不行,我建议用下面
两种方法:一是尽可能地删除其他进程;二是把你一次扫描主机的数量限制在100
台以下。最后说明的一点是,对于没有强大的视频支持或内存资源有限的主机,
SATAN有一个行命令接口,这一点很重要。
⑷Jakal
Jakal是一个秘密扫描器,也就是就,它可以扫描一个区域(在防火墙后面),而
不留下任何痕迹。秘密扫描器工作时会产生“半扫描”(half scans),它启动(
但从不完成)与目标主机的SYN/ACK过程。从根本上讲,秘密扫描器绕过了防火墙
,并且避开了端口扫描探测器,识别出在防火墙后面运行的是什么服务。(这里包
括了像Courtney和GAbriel这样的精制扫描探测器)
在下面地址中可以找到由Half life,Jeff(PhiJi)Fay和Abdullah Marahie编写的
Jakal拷贝:
http://www.giga.or.at.pub/hacker/unix
⑸IdentTCPscan
IdentTCPscan是一个更加专业化的扫描器,其中加入了识别指定TCP端口进程的所
有者的功能,也就是说,它能测定该进程的UID。可在如下地址找到拷贝: http:
//www.giga.or.at/pub/hacker/unix
⑹CONNECT
CONNECT是一个bin/sh程序,它的用途是扫描TFTP服务子网。在下面地址可得到拷
贝:
http://www.giga.or.at/pub/hacker/unix/
⑺FSPScan
FSPScan用于扫描FSP服务顺。FSP代表文件服务协议,是非常类似于FTP的
Internet协议。它提供匿名文件传输,并且据说具有网络过载保护功能(比如,
FSP从来不分叉)。FSP最知名的安全特性可能就是它记录所有到来用户的主机名,
这被认为优于FTP,因为FTP仅要求用户的E-mail地址(而实际上根本没有进行记录
)。FSP相当流行,现在为Windows 和OS/2开发了GUI客户程序。可在如下地址找到
:
http://www.giga.or.at/pub/hacker/unix
⑻XSCAN
XSCAN扫描具有X服务器弱点的子网(或主机)。乍一看,这似乎并不太重要,毕竟
其他多数扫描器都能做同样的工作。然而,XSCAN包括了一个增加的功能:如果它
找到了一个脆弱的目标,它会立即加入记录。 XSCAN的其他优点还包括:可以一次
扫描多台主机。这些主机可以在行命令中作为变量键入(并且你可以通过混合匹配
同时指定主机和子网)。可在如下地址找到: http://www.giga.or.
at/pub/hacker/unix
文章转载请注明出处保持完整
--
小小人物
没有过去,没有将来
只有你与我
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.43.46]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店