通过伪装Linux系统给黑客设置系统假象可以加大黑客对系统分析难度引诱他们步入歧途从而进步提高计算机系统安全性下面以Red Hat Linux为例针对几种黑客常用途径介绍些常用Linux系统伪装思路方法
针对HTTP服务
通过分析Web服务器类型大致可以推测出操作系统类型比如Windows使用IIS来提供HTTP服务而Linux中最常见是Apache
默认Apache配置里没有任何信息保护机制并且允许目录浏览通过目录浏览通常可以获得类似“Apache/1.3.27 Server at apache.linuxforum.net Port 80”或“Apache/2.0.49 (Unix) PHP/4.3.8”信息
通过修改配置文件中ServerTokens参数可以将Apache相关信息隐藏起来但是Red Hat Linux运行Apache是编译好提示信息被编译在里要隐藏这些信息需要修改Apache源代码然后重新编译安装以实现替换里面提示内容
以Apache 2.0.50为例编辑ap_release.h文件修改“# AP_SERVER_BASEPRODUCT \"Apache\"”为“# AP_SERVER_BASEPRODUCT \"Microsoft-IIS/5.0\"”编辑os/unix/os.h文件修改“# PLATFORM \"Unix\"”为“# PLATFORM \"Win32\"”修改完毕后重新编译、安装Apache
Apache安装完成后修改httpd.conf配置文件将“ServerTokens Full”改为“ServerTokens Prod”;将“ServerSignature _disibledevent=> Reply from 192.168.0.1: s=32 time <10ms TTL=64
Reply from 192.168.0.1: s=32 time <10ms TTL=64
Reply from 192.168.0.1: s=32 time <10ms TTL=64
Ping statistics for 192.168.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
用以下命令修改Red Hat LinuxTTL基数为128(本来为64):
# echo 128 > /proc/sys/net/ipv4/ip_default_ttl
用以下命令修改Red Hat LinuxTTL基数为128(本来为64):
net.ipv4.ip_default_ttl = 128
保存退出后再ping 192.168.0.1TTL基数就变为128了
针对3389端口和22端口
有时通过扫描3389端口和22端口也可以推测操作系统类型Windows下般利用TCP协议3389端口进行远程控制而Linux可能会用TCP协议22端口提供带有加密传输SSH服务
为了安全可以利用iptables来限制22端口SSH登录让非授权IP扫描不到TCP 22端口存在:
#iptables -I INPUT -s ! xx.xx.xx.xx -p tcp --dport 22 -j DROP
利用iptables将本机TCP 3389端口转移到其它开有3389端口计算机上给Linux系统伪装出个提供服务TCP 3389端口命令如下:
#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to xx.xx.xx.xx
#iptables -t nat -I POSTROUTING -p tcp --dport 3389 -j MASQUERADE
第条命令表示允许数据包转发;第 2条命令表示转发TCP 3389到xx.xx.xx.xx;第 3条命令表示使转发数据包实现“双向通路”给数据包设置个正确返回通道若想使转发永久生效可以把以上命令添加到/etc/rc.local文件中
这样当黑客扫描服务器所开端口时候就找不到22号端口而是看到个伪装3389端口从而不能正确判断出操作系统类型
针对netcraft
netcraft是个很厉害扫描引擎它通过简单TCP 80就可以知道所测服务器操作系统、Web服务和服务器开机时间(Uptime)等信息
上面介绍几种思路方法对netcraft来说均不奏效针对netcraft可利用iptables进行系统伪装使netcraft判断操作系统:
#iptables -t nat -I PREROUTING -s 195.92.95.0/24
-p tcp --dport 80 -j DNAT --to xx.xx.xx.xx
#iptables -t nat -I POSTROUTING -s 195.92.95.0/24
-p tcp --dport 80 -j MASQUERADE
由于通过抓包发现netcraft服务器不止台所以需要对它所在网段进行转发欺骗处理
小结
以上思路方法只能从某种角度上防止和阻挠黑客对系统漏洞分析在定程度上可减少计算机被攻击可能性但仍然是“防君子不防小人”仅是给大家提供个活学活用新思路.
最新评论