Linux云计算 |【第二阶段】SECURITY-DAY4

主要内容：

Kali系统、扫描与抓包、ginx安全加固、Linux基本防护

补充：使用Curl命令查看网页头部信息和页面内容

不加选项，默认查看网页的内容；

• [ -I ] 选项：访问服务器页面时，显示HTTP的头部信息；
• [ -i ] 选项：访问服务器页面时，显示HTTP的头部信息和网页内容；
• [ -X ] 选项：指定请求服务器的方法；（GET、HEAD、POST、DELETE、PUT）

一、Kail系统概述

Kali Linux系统可以说是在安全测试方面最好的开箱即用的 Linux 发行版，Kali 下的很多工具软件都可以安装在大多数的 Linux 发行版中，Offensive Security 团队在 Kali 系统的开发过程中投入大量的时间精力来完善这个用于渗透测试和安全审计的 Linux 发行版；Kali Linux是基于Debian的面向安全的发行版本。该系统预安装了上百个知名的安全工具软件（渗透测试、安全监测、密码安全、反向工程等）

：https://www.kali/（提供image镜像下载、VMware下载）

准备实验环境：

1）初始化kali虚拟机

[root@localhost 桌面]# kali reset    //初始化虚拟机
kali reset OK.
该虚拟机系统用户名为:kali,密码为:kali
[root@localhost 桌面]# virt-manager   //打开kvm虚拟机管理器，打开kali虚拟机

补充：Debian、Ubuntu等Linux系统，没有root超级管理员，已提前设置sudo指令；

2）修改虚拟网卡配置（网络源选择“private1：隔离网络”）

）设置kali虚拟机IP地址

┌──(kali㉿kali)-[~]
└─$ ip address show     //查看IP信息
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 6556 qdisc noqueue state UKOW group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:9:79:a brd ff:ff:ff:ff:ff:ff
    inet6 fe80::5054:ff:fe9:79a/64 scope link noprefixroute
       valid_lft forever preferred_lft forever                                                                         

┌──(kali㉿kali)-[~]
└─$ nmcli connection show    //查看网卡连接信息（设备名Wired connection 1）
AME                UUID                                  TYPE      DEVICE
Wired connection 1  ee7655c4-89ae-4dbd-a2a2-45b89056b62e  ethernet  eth0   

┌──(kali㉿kali)-[~]
└─$ sudo nmcli connection modify “Wired connection 1”  manual ipv4.address 192.168.4.40/24 connection.autoconnect yes    //修改网卡IP地址
[sudo] kali 的密码：

┌──(kali㉿kali)-[~]
└─$ sudo nmcli connection up “Wired connection 1”    //激活网卡

4）制作靶机（node1为例，192.168.4.5）

靶机：模拟作为攻击目标的主机

[root@node1 ~]# nmcli connection modify eth0 ipv4.addresses 192.168.4.5/24 connection.autoconnect yes
[root@node1 ~]# nmcli connection up eth0
[root@node1 ~]# ip address show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:64:8c:9b brd ff:ff:ff:ff:ff:ff
    inet 192.168.4.5/24 brd 192.168.4.255 scope global noprefixroute eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::4e05:6024:b6dc:a6c5/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

二、安全分析概述

1）攻击事件：

网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。 网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类；

• ① 拒绝服务

拒绝服务攻击事件（DOSAI）是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件；

• ② 后门攻击

后门攻击（BDAI）是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的信息安全事件；

• ③ 漏洞攻击

漏洞攻击事件（VAI）是指除拒绝服务攻击事件和后门攻击事件之外，利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施攻击的信息安全事件；

• ④ 网络窃听

网络扫描窃听事件（SEI）是指利用网络扫描或窃听软件，获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的信息安全事件；

• ⑤ 网络钓鱼

网络钓鱼事件（PI）是指利用欺骗性的计算机网络技术，使用户泄漏重要信息而导致的信息安全事件。例如，利用欺骗性获取用户银行帐号密码等；

• ⑥ 干扰事件

干扰事件（II）是指通过技术手段对网络进行干扰，或对广播电视有线或无线传输网络进行插播，对卫星广播电视信号非法攻击等导致的信息安全事件；

• ⑦ 其他攻击

其他网络攻击事件（OAI）是指不能被包含在以上6个子类之中的网络攻击事件。

扩展：2019年网络安全事件回顾（国内篇）

- 京东金融APP被曝获取用户隐私

- 抖音千万级账号遭撞库攻击，牟利百万黑客被捕

...

链接：https://www.freebuf/geek/226829.html

2）扫描：

以获取一些公开/非公开信息为目的，例如：检测潜在的风险、查可攻击目标、收集设备/主机/系统/软件信息、发现可利用的安全漏洞；

典型的扫描方式：

• Scan，主动探测
• Sniff，被动监听/嗅探
• Capture，数据包捕获（抓包）

常见的安全分析工具：

• 扫描器：MAP
• 协议分析：tcpdump、WireShark

三、MAP安全扫描工具

MAP（etwork Mapper）是一款开放源代码的网络探测和安全审核的工具。用于发现计算机网络上的主机和服务，从而创建网络的“映射”。为了实现其目标，map将特定数据包发送到目标主机，然后分析响应（网络探测、网络渗透工具）

MAP的功能包括：

• ① 主机发现，识别网络上的主机。例如列出响应TCP或ICMP请求或打开特定端口的主机；
• ② 端口扫描，枚举目标主机上的开放端口；
• ③ 版本检测，询问远程设备上的网络服务以确定应用程序名称和版本号；
• ④ OS检测，确定网络设备的操作系统和硬件特性；
• ⑤ 可与脚本进行脚本交互，使用map脚本引擎（SE）和Lua编程语言。

1）MAP基本用法

格式：nmap [扫描类型] [选项]

常用的扫描类型：

• [-sS]  TCP 半开扫描（syn、syn+ack）
• [-sT]  TCP全开扫描（syn、syn+ack、ack）   //（不选择类型，默认-sT）
• [-sU]  UDP扫描
• [-sP]  ICMP扫描
• [-A]  目标系统全面分析

常用选项：

[-n]  不执行DS解析

[-p]  指定查看服务端口

补充：-sS与-sT区别

① 两种MAP扫描类型的扫描结果相同，主要扫描主机、端口、TPC服务信息等；

② -sS半开扫描基于“TCP三次握手”中的前两次连接（客户端发syn、服务端回应syn+ack），则完成一次扫描；-sT全开扫描基于“TCP三次握手”中的完整连接（客户端发syn、服务端回应syn+ack、客户端再回应ack）；

③ -sS半开扫描耗时短，能快速了解服务状态是否启动，但由于不回应ack确认，容易被服务端判断为攻击对象；

案例：MAP扫描与tcpdump抓包分析

案例要求：熟悉Linux主机环境下的常用安全工具，完成以下任务操作：

• 1）使用nmap扫描来获取指定主机/网段的相关信息
• 2）使用nmap执行脚本扫描（SE脚本引擎）
• ）使用tcpdump分析FTP访问中的明文交换信息

练习1：使用MAP扫描来获取指定主机/网段的相关信息（Kali虚拟机）

1）使用-sP扫描类型（ICMP），扫描192.168.4.5主机是否可以ping通

┌──(kali㉿kali)-[~]
└─$ sudo nmap -sP 192.168.4.5
[sudo] kali 的密码：    //输入密码kali
Starting map 7.91 ( https://nmap ) at 2021-05-10 10:21 CST
Stats: 0:00:01 elapsed; 0 hosts completed (0 up), 1 undergoing ARP Ping Scan
Parallel DS resolution of 1 host. Timing: About 0.00% done
Stats: 0:00:0 elapsed; 0 hosts completed (0 up), 1 undergoing ARP Ping Scan
Parallel DS resolution of 1 host. Timing: About 0.00% done
map scan report for 192.168.4.5
Host is up (0.0007s latency).    //扫描到主机状态
MAC Address: 52:54:00:64:8C:9B (QEMU virtual IC)   //扫描到主机MAC地址
map done: 1 IP address (1 host up) scanned in 1.14 seconds

常见报错：DS Warning，无法进行DS解析则报错

mass_dns: warning: Unable to determine any DS servers. Reverse DS is disabled. Try using --system-dns or specify valid servers with --dns-servers

2）使用-sP扫描类型（ICMP），加[-n]选项可以不执行DS解析

┌──(kali㉿kali)-[~]
└─$ sudo nmap -n -sP 192.168.4.5
Starting map 7.91 ( https://nmap ) at 2021-05-10 10:2 CST
map scan report for 192.168.4.5
Host is up (0.0004s latency).
MAC Address: 52:54:00:64:8C:9B (QEMU virtual IC)
map done: 1 IP address (1 host up) scanned in 0.10 seconds

）使用-sP扫描类型（ICMP），扫描192.168.4.0/24网段内哪些主机可以ping通

┌──(kali㉿kali)-[~]
└─$ sudo nmap -n -sP 192.168.4.0/24
Starting map 7.91 ( https://nmap ) at 2021-05-10 10:24 CST
map scan report for 192.168.4.5
Host is up (0.00047s latency).
MAC Address: 52:54:00:64:8C:9B (QEMU virtual IC)
map scan report for 192.168.4.10
Host is up (0.00028s latency).
MAC Address: 52:54:00:DF:57:8D (QEMU virtual IC)
map scan report for 192.168.4.254
Host is up (0.0001s latency).
MAC Address: 52:54:00:7:78:11 (QEMU virtual IC)
map scan report for 192.168.4.40
Host is up.
map done: 256 IP addresses (4 hosts up) scanned in 1.92 seconds

4）