本节书摘来自异步社区《Nmap渗透测试指南》一书中的第6章6.1节关于防火墙/IDS,作者 商广明,更多章节内容可以访问云栖社区“异步社区”公众号查看。
第6章 防火墙/IDS逃逸
Nmap渗透测试指南
本章知识点
关于防火墙/IDS
报文分段
指定偏移大小
IP欺骗
源地址欺骗
源端口欺骗
指定发包长度
目标主机随机排序
MAC地址欺骗
本章节将介绍的知识仅供参考,读者切勿用于非法用途,请遵守相应的道德标准。通过对该章的学习可以利用Nmap逃避防火墙/IDS的防护获取信息甚至进行攻击,本章只对实用选项进行典型例子解析,希望可以起到抛砖引玉的作用。
本章选项
表6.1所示为本章节所需Nmap命令表,为方便读者查阅,笔者特此整理。
6.1 关于防火墙/IDS
网络防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口,而且还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。作一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
IDS系统组件之间需要通信,不同厂商的IDS系统之间也需要通信。因此,定义统一的协议,使各部分能够根据协议所制订的标准进行沟通是很有必要的。IETF目前有一个专门的小组IDWG(IntrusionDetection WorkingGroup)负责定义这种通信格式,称作Intrusion Detection ExchangeFormat。目前只有相关的草案,并未形成正式的RFC文档。尽管如此,草案为IDS各部分之间甚至不同IDS系统之间的通信提供层协议,涉及许多其他功能(如可从任意端发起连接,结合了加密、身份验证等)。
