二、利用假的IP地址进行扫描。
通常情况下像防火墙或者客户端电脑都可以记录下访问者的相关信息,如IP地址等等。为此如果采用nmap命令来进行扫描的话,那就会在防火墙或者客户端主机上留下扫描着的IP地址。留下这个“罪证”对于扫描着可就非常不利了。另外在防火墙的配置上,系统管理员可能允许某个特定的IP地址可以进行扫描作业。而其他IP地址发出的扫描数据包都会被过滤掉。在这种情况下,无论是为了隐藏自己的真实身份,又或者是冒用合法地址进行NMAP扫描,都需要用到一种叫做源地址哄骗的技术。
说到这种技术,我不得不说说最近出现的一种手机诈骗手段,跟这个源地址哄骗非常类似。有时候我们会接到朋友打过来的电话或者发过来的短消息,要求我们汇钱过去。虽然此时手机上显示的是朋友的手机号码,其实发短信的人不一定是你的朋友。因为现在有一种技术可以把发送者的手机号码进行修改。发送者想显示什么号码就是什么号码。其实这个源地址哄骗跟这个手机号码欺骗是类似的道理。通过“nmap –s 扫描者IP地址 被扫描者IP地址”这种方式,攻击者可以把自己的IP地址隐藏掉,而采用一个假冒的IP地址。无论这个IP地址是否在网络中存在,都可以使用。在防火墙或者操作系统的日志上显示的都是伪装过的那个IP地址。
为此在选购防火墙等安全产品的时候,Linux系统管理员可以利用nmap –s命令来测试防火墙是否具有应对源地址哄骗攻击的手段。如先在Linux防火墙上启用日志功能,然后利用nmap –s命令来扫描防火墙或者其他主机设备。再去查看相关的日志。看看这个日志中纪录的IP地址信息是伪装的IP地址还是扫描者真实的IP地址。通过这种方式就可以简单的判断出防火墙等安全产品能否应对类似的源地址欺骗攻击。虽然日志记录的攻击者真实身份有点像放马后炮,但是对于我们迅速查找攻击者,防止其再次发动攻击具有很大的价值。为此一些安全产品中需要具备一些源地址哄骗的预防功能。