你有沒有過這樣的時候——你很想了解在你的網絡上和系統中正在發生什麼,但是你隨後又想到:我可沒時間去尋找和安裝那麼一大堆審核工具。 如果你曾經需要深入了解一下網絡狀態、系統或應用軟件的話,這裡有個辦法可以讓你獲得所有可能需要的工具,而不用安裝哪怕一點點軟件。
有種非常有趣的Linux版本(以及BSD,Windows偶爾也有)被叫做“Live CD”。這種Live CD其實是一個放在CDROM(或DVDROM)上的操作系統,可以直接從光驅啟動並進入桌面系統或筆記本系統,然後你可以運行一個“Live Copy”的操作系統,所有的工具都存放在CDROM上或者內存裡,而不是硬盤上。
Live CD現在被用於各種各樣的用途,主要是用於演示——以及購買軟件前的試用。有用於Linux桌面系統版本的Live CD(比如Ubuntu),有用於模擬游戲、並行計算以及集群和網格、科學/數學計算、生物信息學的……當然,也有用於系統安全測試與審核的(在本文結尾有個資源列表,會列出一些廣為人知的審核Live CD)。
工具
在這個“稱手工具”的部分,我們來看看Linux的Live CD如何用於系統審核。有許多可以用於安全的Live CD;看起來,對於人們到底需要怎樣的工具,或者這個工具到底是怎樣的,每個人都有自己不同的想法。我們這裡看一下Backtrack,它無論是綜合性能或是工具集都是該系列中的佼佼者。
使用Live Auditing CD來進行測試
首先,是幾句忠告:
Nmap是一個非常強力的工具——而Linux Auditing Live CD比它要強,因為它內含了上百個(甚至更多)的工具。NMap是一個系統,用於掃描主機上的漏洞以及那些很容易被人忽視的開放端口,而這些Live CD的審核/安全套裝絕大多數都提供系統開鎖和破解工具;對於加強網絡的安全性來說,這些工具非常有用。不過,就像NMap一樣,如果你不按正途去使用它的話,那麼你會發現,自己會因為Baktrack中更為強力的工具,而身陷大麻煩中。
Backtrack中有很多工具,就像絕大多數Auditing Live CD一樣,它能提供成打的工具。創建者已經試圖打破現有的大型工具選擇組合,從而將Backtrack分解成按照功能進行分類管理的部分(本節將使用Backtrack所使用的名字,其他的Live CD可能會使用不同的術語)。
“缺陷漏洞”包——包括現有各種網站和數據庫漏洞和缺陷的連接列表,並聯到對應的補丁。
“列舉(Enumeration)工具”——DNS以及目錄服務類型工具,在檢查一個主機或者網絡到底提供何種服務時非常有用,並可以使用這些服務獲取信息。
“掃描器(Scanners)” ——這就是那些類似NMap的工具,可以幫助一個審核者探測網絡上的系統,或探測一個指定的主機(或一群主機)上是否存在開放的端口和已知的漏洞。
“密碼破解器(PassWord Crackers)”——就是字面的那種意思,用來破解系統密碼的工具。這些工具除了可以用於破解系統,也可以用於查看用戶是否有容易被人破解的薄弱密碼。
“哄騙工具(Spoofing)” ——這些是可以使審核者的機器偽裝成一系列不同種類系統或服務的工具,從而察看在不同類型的安全狀況下,誰能夠對網絡服務或系統造成沖擊。
“嗅探器(Sniffers)” ——嗅探器由一個大范圍的工具組成,從類似WireShark(就是以前的“Ethereal”)這樣的網絡分析工具,到關注各種高等協議(比如AOL Instant Messenger,IRC,Jabber)的高等協議分析工具,甚至還有數據庫處理的嗅歎器。
“無線工具(Wireless Tools)” ——一組802.11無線網絡掃描器以及監控工具,可以用於監控,分析,以及測試WiFi網絡。
“藍牙工具(BlueTooth)” ——一組用於檢查藍牙網絡和設備的工具。
“CISCO工具(CISCO Tools)” ——一組用於探測和連接CISCO路由器的工具。
“數據庫工具(Database Tools)” ——一組用於分析數據庫連接和通信的工具,適用於許多常見的數據庫。
“取證工具(Forensic Tools)” ——一組非常有用的,在審核過程中可以系統化的整理並記錄所發現的數據;一些工具可以將數據存入數據庫,其他的則是讓調查者可以建立一個硬盤的純正備份,然後對此硬盤鏡像進行保護和檢查的系統。
Backtrack系統也包含了大量可以在本地運行的服務器(比如網頁服務器等等),以及其他系統,比如像“蜜罐”這樣的工具可以用於吸引網絡上的攻擊者,從而觀察他們用於攻擊的工具,以及他們用於探測系統和網絡的工具到底是什麼。
Linux審核Live CD可以被用於多種模式:作為純粹的檢驗工具,可以被用於查探在網絡上運行的是什麼(舉例來說,使用一個網絡分析器),服務類型以及信息流。或者,他們可以被用於審核指定系統的安全狀態(舉例來說,試圖使用口令破解工具闖入系統,或者測試已知的漏洞是否存在)。並且,數據捕捉工具可以讓你保留所有你產生的數據,並以一種方法管理它,從而建立一個證據鏈以用於正式審核或其他研究。
最後,你可能會疑惑,怎麼才能保存你捕捉到的數據呢?你現在運行的系統僅僅存在於一台筆記本的內存裡,一旦系統重啟,所有的一切都沒了。不過,這些Live CD的設計者看起來已經把什麼都考慮到了:你可以激活網卡接口,並賦予你的臨時審核工作站一個IP地址,然後你就可以存取你的網絡文件系統,就像你平時正常工作時所做的那樣;或者你可以簡單的把一個USB閃盤插到空閒的USB接口上,然後把數據保存到上面即可。
適合工作的工具
正如一篇相關的短文中所指出的那樣,沒有辦法來判斷類似Backtrack(或任何其他基於Live CD的可用審核/安全系統)這樣一個工具集的范圍和寬度。不過,如果你需要能夠迅速地安裝一套審核套裝軟件,需要確保網絡上一切OK,從而能夠讓老板(或者自己)滿意,那麼你就不能錯過一個Backtrack這樣的工具,這一點再簡單不過了。
審核/安全Live CD
正像我們說明過的,審核/安全Live CD有非常非常多的種類。一些是內容完整的版本(你常常可以選擇把他們安裝到系統盤上,而不是僅僅以Live CD的形式來運行它們),其他一些則是小到完全可以用一個USB閃盤來存儲和運行。
更多內容請看Linux安全 Linux安全 Linux安全專題,或