三、利用诱饵实现隐蔽扫描。
通过源地址哄骗可以隐藏扫描者的身份,不过这种技术的话在一次扫描过程中之能够伪装一个IP地址。而目前比较流行的隐藏IP地址的方法是使用诱饵主机。简单的说,非法供给者可以采用网络中正在使用的几个IP地址当作自己的IP地址,对网络主机进行扫描。而安全设备的话,并不知道哪个IP地址是真实的IP地址。如在防火墙上可能会纪录某个IP地址的5-8个端口扫描。这是一种比较隐蔽的隐藏自身IP地址的有效手段。
更有趣的是攻击者还可以把自己的真实IP地址也放入进去,以增加攻击的挑战性,挑战防守者的智慧。如系统管理员可以通过ME选项将自己的IP地址放入到诱饵IP地址当中。通常情况下把自己的IP地址放在靠后的位置,则防火墙就很难检测到这个真实的IP地址。不过这个诱饵的IP地址数量不在于多,而在于精。如把这一些具有比较高的权限的IP地址(如在Linux服务器上根据IP地址来实现一些防火墙策略)加入到诱饵主机列表中,将起到出奇制胜的效果。而过多的诱饵地址反而会使得扫描时间过长或者结果不准确。最要命的是可能会导致被扫描网络性能下降,从而引起对方网络管理员的注意。
其实诱饵技术现在也有了预防的方法。如通过路由追踪、响应丢弃等方法,可以用来防止攻击者使用诱饵隐蔽扫描。有时候这种安全机制对于企业很重要。因为诱饵隐蔽攻击不但可以秘密收集到企业网路主机的重要信息,为其后续攻击做好准备。而且nmap –D命令还容易引起SYN洪水攻击。如当非法攻击者所采用的诱饵主机并不在工作状态时,就会对目标主机发起SYN洪水攻击。这是一个比较危险的攻击手段。
既然现在已经有了解决方案来应对诱饵隐蔽扫描,那么Linux系统管理员或者网络工程师所要做的就是来测试防火墙或者其他的安全产品是否提供了类似的解决方案。有时候往往不能够光靠对方业务员的描述,而需要我们来进行测试。那么利用这个nmap 命令显然可以帮助我们来进行这方面的测试。
在nmap命令中,类似的选项还有很多。如可以通过source-port选项,来实现源端口哄骗;如利用date-length选项,在发送报文时附加有害的数据;通过spoof-mac选项,实现MAC地址哄骗,这个跟源地址欺骗结合可以让MAC地址与IP地址捆绑等安全策略失效;等等。这些选项如果被非法攻击者利用,无疑会威胁到Linux网络的安全。但是,如果我们能够事先采用这些选项来测试自己网络与主机的安全性,并率先把这些漏洞补上了。
那么非法攻击者也只好无功而返了。所以我认为工具无所谓好坏,主要就看使用者的心态了。为此我建议各位不妨利用NMAP命令跟自己企业的Linux防火墙等安全产品玩玩躲猫猫的游戏,来判断一下所谓的安全防护体系是否真的安全。