怎樣隱藏服務(wù)和版本信息

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

從文本寫(xiě)作的目標(biāo)動(dòng)身，我們假定此時(shí)黑客計(jì)劃直接入侵企業(yè)效勞器，而不是采用其他社交工程伎倆，或許回絕效勞進(jìn)擊。

有良多當(dāng)?shù)貢?huì)表露企業(yè)IT架構(gòu)方面的信息，個(gè)中最嚴(yán)峻也是最經(jīng)常見(jiàn)的就是企業(yè)網(wǎng)站的ContactUs和Staff局部，以及經(jīng)過(guò)Whois取得的查詢(xún)記載，而要調(diào)查效勞器相關(guān)信息，就需求運(yùn)用系統(tǒng)掃描東西了。一些收集掃描東西，比方Nmap和Ncat(下面會(huì)提到)可以供應(yīng)很多有關(guān)效勞器操作系統(tǒng)和效勞器上運(yùn)轉(zhuǎn)何種效勞的信息。大大都狀況下，這種掃描行為并不違法，然則在良多國(guó)度，擁有和傳達(dá)這類(lèi)掃描東西的確是違法的。因而，假如你要運(yùn)用這類(lèi)東西，必然要確保契合本地的司法規(guī)則。

假如黑客曉得了你企業(yè)的效勞器所采用的操作系統(tǒng)，他就里成功近了一步，曉得系統(tǒng)上運(yùn)轉(zhuǎn)了哪些效勞，會(huì)更近一步。黑客每多調(diào)查一點(diǎn)有關(guān)目的效勞器的信息，就會(huì)離成功更近一點(diǎn)。這就仿佛銀行卡盜用，Pin碼只要四位數(shù)，犯罪分子只曉得暗碼的第一位，和曉得暗碼的前三位，成功率相差很大。只曉得第一位暗碼，需求很長(zhǎng)工夫去測(cè)驗(yàn)分歧的暗碼，犯罪分子普通都邑拋棄，或許卡片直接被ATM機(jī)吞失落，而假如曉得了前三位暗碼，經(jīng)過(guò)猜想進(jìn)入用戶(hù)賬戶(hù)就輕易多了。而本文中所謂的暗碼前三位，就是效勞器的操作系統(tǒng)，所運(yùn)轉(zhuǎn)的效勞稱(chēng)號(hào)和效勞版本。

假如你也認(rèn)同這個(gè)觀念，以為將效勞器信息走漏出去會(huì)給系統(tǒng)平安帶來(lái)隱患，那么我們接下來(lái)就要看看若何曉得本人的效勞器正在走漏要害信息，以及該若何消弭這種隱患。

正如人人看到的，只需簡(jiǎn)略的運(yùn)用Ncat輸入目的效勞器的IP地址和端口，就能獲得該端口運(yùn)轉(zhuǎn)的效勞的準(zhǔn)確版本信息。目前，假如黑客查詢(xún)破綻數(shù)據(jù)庫(kù)，或許簡(jiǎn)略的用Google查找一下這個(gè)版本的效勞順序的破綻，就可以發(fā)現(xiàn)良多信息，個(gè)中甚至能夠直接發(fā)現(xiàn)明白的破綻信息以及相關(guān)的進(jìn)擊東西。而接下去發(fā)作的狀況一定是一切企業(yè)的IT治理員都不肯意看到的。當(dāng)然，黑客的智商也各不一樣，假如沒(méi)有發(fā)現(xiàn)與效勞順序版原形對(duì)應(yīng)的進(jìn)擊東西，有些黑客就會(huì)拋棄進(jìn)擊，然則假如你的效勞順序中存在破綻，就算沒(méi)有現(xiàn)成的進(jìn)擊東西，有些伶俐的黑客照樣會(huì)應(yīng)用破綻發(fā)起攻逼的。因而，我們要盡量防止將效勞器系統(tǒng)上的各類(lèi)效勞信息泄漏給任何潛在的進(jìn)擊者。

削減要挾

下面我們就來(lái)看看最常被應(yīng)用和進(jìn)擊的效勞：簡(jiǎn)略郵件傳輸和談SMTP。

我們所運(yùn)用的掃描東西是Ncat，以前叫做Netcat。這個(gè)東西因?yàn)榫哂袕?qiáng)壯的掃描功用而被以為是TCP/IP掃描方面的瑞士軍刀。Ncat在Netcat的根底上完成了多平臺(tái)支撐，可運(yùn)轉(zhuǎn)在Linux,Windows,以及MacOS系統(tǒng)上。固然擁有相似功用的掃描東西還有不少，然則可以支撐多平臺(tái)的并不多。

那么，我們接下來(lái)就要用Ncat的最根本的掃描功用來(lái)掃描測(cè)試用效勞器的SMTP端口，看看能返回什么信息。我們可以從效勞器自身來(lái)運(yùn)轉(zhuǎn)這個(gè)掃描東西，掃描當(dāng)?shù)豂P地址，也可以在內(nèi)網(wǎng)或外網(wǎng)主機(jī)運(yùn)轉(zhuǎn)Ncat。這里我再次提示一下，運(yùn)用這類(lèi)東西在某些國(guó)度和地域?qū)儆谶`法行為。別的，依據(jù)你所在的地位分歧，以及掃描對(duì)象的防護(hù)技能分歧(比方能否有防火墻)，你能夠也需求改動(dòng)掃描技能。Ncat的敕令花樣很簡(jiǎn)略：

nc或ncat<目的IP地址><目的端標(biāo)語(yǔ)>

我們掃描了測(cè)試效勞器的SMTP端口(25)。從返回的后果中我們能看到，這個(gè)SMTPMail效勞版本號(hào)為5.0.2172.1。假如掃描后沒(méi)有返回任何后果，可以測(cè)驗(yàn)運(yùn)用以下敕令花樣-vv(vv參數(shù)透露表現(xiàn)獲取具體信息，如nc-vvx.x.x.x25)

正如我們前面所提到的，有了效勞版本信息，黑客可以很快對(duì)你的效勞器破綻進(jìn)行評(píng)價(jià)。那么我們?cè)撛鯓酉粜诎姹拘畔⒛?

留意:下面我將運(yùn)用Meta Edit往來(lái)不斷除windows效勞器中的效勞版本信息。這個(gè)東西是針對(duì)Windows Server 2000/2003的，但是Windows Server 2008也能用。相似的東西和去除效勞版本信息的方案還有良多，因?yàn)槠拗?，本文只引?jiàn)這一種方案。在你對(duì)本人的效勞器進(jìn)行掃描后，可以依據(jù)掃描后果檢查能否存在平安破綻，在為效勞器上的各類(lèi)破綻打好補(bǔ)丁后，可以測(cè)驗(yàn)消弭效勞版本信息，不給黑客留下任何可趁之機(jī)。

下面我們往來(lái)不斷除SMTP效勞的版本信息。起首是下載Meta Edit(可以從微軟官方下載)并進(jìn)行裝置。裝置后，只需求啟動(dòng)MetaEdit，然后睜開(kāi)LM文件夾，接下來(lái)睜開(kāi)SMTP，睜開(kāi)1并點(diǎn)擊1。我們可以在這個(gè)地位輸入一個(gè)新的版本號(hào)，比方我們可以在右上方輸入36907，鄙人方數(shù)據(jù)區(qū)域輸入但愿顯示給掃描軟件的版本信息，本例中我們輸入“This is a new banner for port 25”。之后點(diǎn)擊OK，并退出Meta Edit。目前我們重啟SMTP效勞，并運(yùn)用Ncat從新掃描端口25，看看此次會(huì)有什么后果。

如上圖所示，新的版本信息曾經(jīng)替代了真正的SMTP效勞版本信息，這使得進(jìn)擊者無(wú)法經(jīng)過(guò)這種掃描方法獲取切實(shí)的SMTP效勞版本，然后降低了被進(jìn)擊的潛在風(fēng)險(xiǎn)。

IIS可以經(jīng)過(guò)IIS lockdown東西完成這種功用，IIS6.0版本以下的用戶(hù)可以免費(fèi)下載這個(gè)東西，并且之后版本的IIS曾經(jīng)集成了IIS lockdown功用。

每個(gè)企業(yè)的效勞器上能夠都在運(yùn)轉(zhuǎn)多種效勞，我們也不成能讓每個(gè)效勞的版本信息都埋沒(méi)起來(lái)，然則對(duì)一些要害效勞的信息進(jìn)行需要的埋沒(méi)是應(yīng)該的。經(jīng)過(guò)評(píng)價(jià)系統(tǒng)反應(yīng)的效勞版本信息，你可以更好的調(diào)查每個(gè)效勞能否存在分明的平安破綻，而且這個(gè)任務(wù)可以協(xié)助你更明晰的看法到該若何維護(hù)你的系統(tǒng)平安。