Windows system >> Windowsの知識 >  >> Linuxシステムチュートリアル >> Linuxチュートリアル >> Linuxシステムを偽装する方法ハッカーによるシステムの錯覚の設定

Linuxシステムを偽装する方法ハッカーによるシステムの錯覚の設定

  

ネットワーク上のコンピュータは、ツールやその他の方法でハッカーが簡単にスキャンし、システムの脆弱性を見つけて攻撃することができます。

Linuxシステムを偽装し、ハッカーのためのシステムの幻想を設定することで、ハッカーによるシステムの分析の困難さを増し、彼らに迷惑をかけさせることで、コンピュータシステムのセキュリティをさらに向上させることができます。 Red Hat Linuxを例として、いくつかのハッカーのための一般的なLinuxシステムのなりすまし方法を紹介しましょう。

HTTPサービスの場合

WindowsはHTTPサービスを提供するためにIISを使用し、最も一般的なLinuxはApacheです。

デフォルトのApache設定には情報保護メカニズムはなく、ディレクトリ参照は許可されています。ディレクトリを参照すると、通常は「Apache /1.3.27 Server at apache.linuxforum.net Port 80」または「Apache /2.0.49(Unix)PHP /4.3.8」のような情報が得られます。

Apache関連の情報は設定ファイルのServerTokensパラメータを変更することで隠すことができます。ただし、Red Hat Linuxを実行しているApacheはコンパイル済みプログラムであり、プロンプト情報はプログラム内でコンパイルされるため、この情報を非表示にするには、Apacheソースコードを変更してからプロンプトを置き換えます。

Apache 2.0.50を例に使用して、ap_release.hファイルを編集し、' #define AP_SERVER_BASEPRODUCT \\" Apache"< /'#'#define AP_SERVER_BASEPRODUCT \\" Microsoft-IIS /5.0 \\を変更します。 "'" os /unix /os.hファイルを編集して、< #define PLATFORM> Win32の< r>に#ldequine #define PLATFORM" Unix"を修正します。変更後、Apacheを再コンパイルしてインストールします。

Apacheのインストールが完了したら、httpd.conf設定ファイルを修正し、 "ServerTokens Full"を "ServerTokens Prod"に、 "ServerSignature On"を "ServerSignature Off"に変更して保存して終了します。 Apacheを再起動したら、このツールを使用して、プロンプトメッセージでオペレーティングシステムがWindowsであることをスキャンして見つけます。

FTPサービスの場合

FTPサービスでは、オペレーティングシステムの種類を推測することもできますたとえば、WindowsのFTPサービスはほとんどServ-Uですが、Linuxは一般にvsftpd、proftpd、およびpureftpdを使用します。ソフトウェア

例としてproftpdを使用して、設定ファイルproftpd.confを変更し、次の内容を追加します。


次はコードスニペットです。\\" Serv-U FTP Server v5.0 for WinSockの準備ができました... \\


保存して終了したら、proftpdサービスを再起動し、テスト用に変更した情報を使用してFTPサーバーにログインします。


次のコードです。フラグメント:C:\\\\> ftp 192.168.0.1 192.168.0.1に接続されていますWinSock対応の220 Serv-U FTPサーバーv5.0 ...ユーザー(192.168.0.1:(なし)):331パスワードが必要です(なし)パスワード:530ログインが正しくありませんftp> quit 221さようなら


だから表面上、サーバーはServ-Uを実行しているWindowsです。

TTLの戻り値の場合

pingコマンドを使用してホストを検証したり、TTLベースに基づいてオペレーティングシステムの種類を推測したりできます。ゲートウェイや経路を通過しないネットワークでは、他のシステムに直接pingを実行して取得されたTTL値は「TTLベース」と呼ばれます。ネットワーク内では、パケットがルータを通過するたびにTTLが1つ減り、TTLが0の場合、パケットは廃棄されます。

通常、WindowsのTTLベースは128ですが、初期のRed Hat LinuxとSolarisのTTLベースは255です。FreeBSDとRed Hat Linuxの新しいバージョンのTTLベースは64です。たとえば、Red Hatシステムにpingを実行すると、次のように表示されます。


次はコードスニペットです。32バイトのデータで192.168.0.1にpingを実行する:192.168.0.1から返信:バイト= 32時間< 10ms TTL = 64 192.168.0.1から返信:バイト= 32時間<10ms TTL = 64 192.168.0.1から返信:バイト= 32時間<10ms TTL = 64 192.168.0.1から返信:バイト= 32時間<10ms TTL = 64 Ping 192.168.0.1の統計情報:パケット:送信= 4、受信= 4、損失= 0(損失0%)、ミリ秒単位でのおよそのラウンドトリップ:最小= 0ms、最大= 0ms、平均= 0ms

このコマンドはRed Hat LinuxのTTLベースを128(元々64)に変更します。



以下はコードスニペットです。#echo 128> /proc /sys /net /ipv4 /Ip_default_ttl


設定を永続的なものにするために、/etc /sysctl.conf設定ファイルを変更して次の行を追加することができます。



これはコードです。フラグメント:net.ipv4.ip_default_ttl = 1 28


保存して終了した後、192.168.0.1にpingを実行すると、TTLベースは128になります。



コードスニペットは次のとおりです。#iptables -I入力-s!xx.xx.xx.xx -p tcp --dport 22 -j DROP


3389ポートと22ポートの場合

3389ポートと22ポートをスキャンすることで、オペレーティングシステムの種類を推測することもできます。 Windowsは一般にリモートコントロールに3389ポートのTCPプロトコルを使用しますが、LinuxはSSHサービスに暗号化送信を提供するために22ポートのTCPプロトコルを使用する場合があります。

セキュリティの観点から、iptablesを使用して22ポートのSSHログインを制限し、不正なIPスキャンがTCP 22ポートに存在しないようにすることができます。



コードスニペットは次のとおりです。#iptables -I INPUT -s!xx.xx.xx.xx -p tcp --dport 22 -j DROP


iptablesを使用して、このマシンのTCP 3389ポートを次のアドレスに転送します。ポート3389を持つ他のコンピュータでは、Linuxシステムはサービスを提供するTCP 3389ポートのふりをしています。コマンドは次のとおりです。



コードの抜粋は次のとおりです。#echo 1> /proc /sys /net /ipv4 /ip_forward #iptables -t nat -I PREROUTING -p tcp - -dport 3389 -j DNAT --to xx.xx.xx.xx #iptables -t nat -I配置-p tcp --dport 3389 -jマスク


最初のコマンドは、許可されているデータを示します。パケット転送; 2番目のコマンドはTCP 3389をxx.xx.xx.xxに転送することを示し、3番目のコマンドは転送パケットが正しい双方向チャネルを設定するために「双方向パス」を実装することを示します。転送を永続的にしたい場合は、上記のコマンドを/etc/rc.localファイルに追加できます。

したがって、ハッカーがサーバーによって開かれたポートをスキャンすると、ポート22を見つけることはできませんが、偽装されたポート3389を見ることになり、オペレーティングシステムの種類を正しく判断できません。

netcraftの場合

netcraftは非常に強力なスキャンエンジンで、テストされたサーバーのオペレーティングシステム、Webサービスプログラム、およびサーバーの起動時間(Uptime)を簡単なTCP 80で知ることができます。そして他の情報。

上記の方法は、ネットクラフトには効果がありません。 netcraftでは、システムマスカレードにiptablesを使用することができます。これにより、netcraftはオペレーティングシステムを誤って判断します。



次はコードスニペットです。#iptables -t nat -I PREROUTING -s 195.92.95.0 /24 -p tcp --dport 80 -j DNAT --to xx.xx.xx.xx #iptables -t nat -I POSTROUTING -s 195.92.95.0/24 -p tcp --dport 80 -j MASQUERADE


パケットが発見されたため、netcraftは複数のサーバーを持っているため、それが配置されているネットワークセグメントを転送して偽装する必要があります。

概要

上記の方法では、ハッカーによるシステムの脆弱性の分析を一定の角度からしか阻止できないため、コンピュータを攻撃する可能性はある程度低減できますが、それでも「」反紳士ではなく、反紳士は、学習と使用の新しいアイデアを提供するだけです。

Copyright © Windowsの知識 All Rights Reserved