Praxis zum Scannen von Ports für Linux-Unternehmen

[Einleitung] Wie das Sprichwort sagt: Ein tausend Meilen langer Damm wird durch ein Ameisennest zerstört. Sobald ein Angreifer eine kleine Schwachstelle entdeckt, kann die letzte Konsequenz die Lähmung des gesamten Netzwerks sein. Und wie entdeckt man Sicherheitslücken in Unternehmensnetzwerken? Welche Schlüsseltechnologien müssen beherrscht und übernommen werden? Gibt es ein beliebtes und effizientes Tool, das das kann?

Wie das Sprichwort sagt: „Eine tausend Meilen lange Böschung wird durch ein Ameisennest zerstört.“ Sobald ein Angreifer eine kleine Schwachstelle entdeckt, kann das die letzten Konsequenzen haben das gesamte Netzwerk der Lähmung. Und wie entdeckt man Sicherheitslücken in Unternehmensnetzwerken? Welche Schlüsseltechnologien müssen beherrscht und übernommen werden? Gibt es beliebte und effiziente Tools, die Systemadministratoren beim Scannen und Entdecken von Schwachstellen unterstützen können?

Enterprise-Port-Scanning-Strategie

1. Der Zweck des Port-Scannings

Für diejenigen, die sich befinden im Netzwerk Für ein Computersystem ist ein Port ein potenzieller Kommunikationskanal, also ein Einbruchskanal. Durch das Durchführen eines Port-Scans auf dem Zielcomputer können viele nützliche Informationen zur Erkennung von Sicherheitslücken im System gewonnen werden. Dadurch können Systembenutzer verstehen, welche Dienste das System derzeit für die Außenwelt bereitstellt, und so Systembenutzern eine Referenzmethode für die Verwaltung des Netzwerks bieten.

Technisch gesehen sendet das Port-Scanning Erkennungspakete an den TCP/UDP-Service-Port des Zielhosts und zeichnet die Antwort des Zielhosts auf. Indem Sie die Antwort analysieren, um festzustellen, ob der Service-Port offen oder geschlossen ist, können Sie die vom Port bereitgestellten Dienste oder Informationen erfahren. Das Port-Scanning kann auch den Betrieb des lokalen Hosts überwachen, indem es die eingehenden und ausgehenden IP-Pakete des lokalen Hosts oder Servers erfasst. Es kann nicht nur die empfangenen Daten analysieren, sondern Benutzern auch dabei helfen, einige inhärente Schwachstellen des Zielhosts zu entdecken, ohne detaillierte Schritte durchführen zu müssen für den Einstieg in ein System wird zur Verfügung gestellt. Im Allgemeinen besteht der Zweck des Port-Scannens in der Regel aus einem oder mehreren der folgenden Punkte:

1. Offene Ports entdecken: Offene TCP- oder UDP-Ports auf dem Zielsystem erkennen.

2 Betriebssysteminformationen: Beim Port-Scannen kann der „Fingerabdruck“ des Betriebssystems verwendet werden, um Informationen wie die Version des gescannten Betriebssystems oder der gescannten Anwendung abzuleiten.

3. Verstehen Sie die Software- oder Dienstversion: Die Software oder den Dienst Version kann „Flag-Erfassung“ oder Anwendungsfingerabdruck zum Identifizieren und Erhalten sein;

4. Entdecken Sie anfällige Softwareversionen: Identifizieren Sie Fehler in Software und Diensten und helfen Sie so, Angriffe auf Schwachstellen zu starten.

Port-Scanning umfasst hauptsächlich klassische Scanner (Vollverbindung) und sogenannte SYN-Scanner (Halbverbindung). Es gibt auch indirekte Scans und geheime Scans. Die TCP-Scan-Methode stellt eine Standard-TCP-Verbindung mit dem gescannten Host her. Daher ist diese Methode die genaueste und selten Fehler oder Falschmeldungen, kann aber vom Zielhost leicht erkannt und aufgezeichnet werden. Die SYN-Methode stellt eine halboffene Verbindung mit dem Zielhost her, sodass sie vom Zielhost nicht einfach aufgezeichnet werden kann. Die Scanergebnisse führen jedoch zu falsch negativen Ergebnissen, was schwerwiegend ist, wenn der Netzwerkzustand nicht gut ist.

2. Nmap schnell für Enterprise-Port-Scanning installieren

nmap ist ein Netzwerkerkennungs- und Sicherheitsscanprogramm, das von Systemadministratoren verwendet werden kann Einzelpersonen Diese Software scannt große Netzwerke, um Informationen zu erhalten, z. B. welche Hosts ausgeführt werden und welche Dienste bereitgestellt werden. nmap unterstützt viele Scan-Technologien, wie zum Beispiel: UDP, TCP connect(), TCP SYN (halboffenes Scannen), FTP-Proxy (Bounce-Angriff), Reverse Flag, ICMP, FIN, ACK-Scanning, Xmas Tree (Xmas Tree), SYN Scannen und Null-Scan. nmap bietet auch einige erweiterte Funktionen, wie zum Beispiel: Erkennung des Betriebssystemtyps durch TCP/IP-Protokollstapeleigenschaften, geheimes Scannen, dynamische Verzögerungs- und Neuübertragungsberechnung, paralleles Scannen, Erkennung heruntergefahrener Hosts durch paralleles Ping-Scannen, Täuschungsscannen, Vermeidung offener Ports Filtererkennung, direktes RPC-Scannen (keine Portzuordnung erforderlich), Fragment-Scannen und flexible Ziel- und Porteinstellungen.

Um die Leistung von nmap im Nicht-Root-Zustand zu verbessern, haben die Entwickler der Software große Anstrengungen unternommen. Leider müssen einige Kernel-Schnittstellen (z. B. Raw-Sockets) im Root-Status verwendet werden. Daher sollte nmap nach Möglichkeit im Root-Verzeichnis verwendet werden.

Wenn Sie nmap ausführen, wird normalerweise eine Liste der gescannten Host-Ports angezeigt. nmap gibt immer den Dienstnamen des bekannten Ports (sofern möglich), die Portnummer, den Status und Protokollinformationen an. Der Status jedes Ports ist: offen, gefiltert, ungefiltert.

• Der offene Zustand bedeutet, dass der Zielhost den Systemaufruf „accept()“ verwenden kann, um Verbindungen an diesem Port zu akzeptieren.

• Der gefilterte Zustand bedeutet, dass Firewall- und Paketfilter sowie andere Netzwerksicherheitssoftware diesen Port maskieren und verhindern, dass nmap erkennt, ob er geöffnet ist.

• ungefiltert bedeutet, dass der Port geschlossen ist und keine Firewall/Paketfiltersoftware vorhanden ist, um Nmap-Erkennungsversuche zu isolieren. Normalerweise ist der Status eines Ports grundsätzlich ungefiltert. Nur wenn sich die meisten gescannten Ports im gefilterten Zustand befinden, wird der Port im ungefilterten Zustand angezeigt.

Abhängig von den verwendeten Funktionsoptionen kann nmap auch die folgenden Merkmale des Remote-Hosts melden: verwendetes Betriebssystem, TCP-Sequenz, Benutzername, der die an jeden Port gebundene Anwendung ausführt, DNS-Name, ob die Hostadresse eine gefälschte Adresse ist und andere Dinge.

Bevor wir es verwenden können, müssen wir das Quellcodepaket der Software herunterladen und installieren.

Das obige ist der detaillierte Inhalt vonPraxis zum Scannen von Ports für Linux-Unternehmen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!