端口安全檢測(cè)的步驟

younghawk

配置了網(wǎng)絡(luò)服務(wù)之后，關(guān)注一下哪些端口在監(jiān)聽系統(tǒng)的網(wǎng)絡(luò)接口這一點(diǎn)很重要。任何打開的端口都可能是入侵的證明。
要列舉正在監(jiān)聽網(wǎng)絡(luò)的端口，有兩種基本方法。一種不太可靠的方法是通過(guò)鍵入 netstat -an 或 lsof -i 之類的命令來(lái)查詢網(wǎng)絡(luò)堆棧。這種方法之所以不太可靠是因?yàn)檫@些程序不連接網(wǎng)絡(luò)上的機(jī)器，而是查看系統(tǒng)上在運(yùn)行什么。因此，它們頻繁成為攻擊者的替換目標(biāo)。怪客在打開了未經(jīng)授權(quán)的網(wǎng)絡(luò)端口后，就以這種方法來(lái)企圖掩蓋他們的蹤跡。
更可靠的方法是使用 nmap 之類的端口掃描器來(lái)檢查哪些端口正在監(jiān)聽網(wǎng)絡(luò)。
以下從控制臺(tái)發(fā)出的命令會(huì)判定哪些端口在監(jiān)聽來(lái)自網(wǎng)絡(luò)上的 TCP 連接：
nmap -sT -O localhost
該命令的輸出和以下相似：
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1596 ports scanned but not shown below are in state: closed)
Port       State       Service
22/tcp     open        ssh
111/tcp    open        sunrpc
515/tcp    open        printer
834/tcp    open        unknown
6000/tcp   open        X11
Remote OS guesses: Linux Kernel 2.4.0 or Gentoo 1.2 Linux 2.4.19 rc1-rc7)
Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds
該輸出顯示了由于 sunrpc 服務(wù)的存在，系統(tǒng)正在運(yùn)行 portmap。然而，端口834上還有一個(gè)神秘服務(wù)。要查看一下該端口是否和任何已知服務(wù)相關(guān)，鍵入：
cat /etc/services | grep 834
該命令沒(méi)有返回任何輸出。這表明雖然該端口是在保留范圍內(nèi)（即從0到1023內(nèi)），并且需要根權(quán)限才能打開，它并沒(méi)有關(guān)聯(lián)任何已知服務(wù)。
下一步，檢查使用 netstat 或 lsof 的端口的信息。要使用 netstat 檢查端口834，使用以下命令：
netstat -anp | grep 834
該命令返回以下輸出：
tcp   0    0 0.0.0.0:834    0.0.0.0:*   LISTEN   653/ypbind
這個(gè)開放端口在 netstat 中存在，這一點(diǎn)比較令人安慰，因?yàn)槿绻�怪客在被攻擊的系統(tǒng)上暗中打開一個(gè)端口，他們很可能不會(huì)讓這個(gè)端口使用該命令被暴露出來(lái)。還有，[p] 選項(xiàng)揭示了打開這個(gè)端口的進(jìn)程 id（PID）。在這個(gè)例子中，被打開的端口屬于 ypbind（NIS），這是和 portmap 服務(wù)一起進(jìn)行的 RPC 服務(wù)。
lsof 命令揭示了相似的信息，因?yàn)樗�也能夠鏈接開放端口和服務(wù)：
lsof -i | grep 834
以下是這個(gè)命令中和討論有關(guān)的輸出部分：
ypbind      653        0    7u  IPv4       1319                 TCP *:834 (LISTEN)
ypbind      655        0    7u  IPv4       1319                 TCP *:834 (LISTEN)
ypbind      656        0    7u  IPv4       1319                 TCP *:834 (LISTEN)
ypbind      657        0    7u  IPv4       1319                 TCP *:834 (LISTEN)
這些工具揭示了大量關(guān)于運(yùn)行在機(jī)器上的服務(wù)狀態(tài)的信息。它們很靈活，能夠提供關(guān)于網(wǎng)絡(luò)服務(wù)和配置的許多信息。強(qiáng)烈推薦你閱讀 lsof、netstat、nmap 和 services 的說(shuō)明書頁(yè)。


本文來(lái)自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u/2022/showart_1120280.html