正如大家看到的，只要簡單的使用Ncat輸入目標(biāo)服務(wù)器的IP地址和端口，就能得到該端口運(yùn)行的服務(wù)的精確版本信息?，F(xiàn)在，如果黑客查詢漏洞數(shù)據(jù)庫，或者簡單的用Google搜索一下這個(gè)版本的服務(wù)程序的漏洞，就可以發(fā)現(xiàn)很多信息，其中甚至可能直接發(fā)現(xiàn)明確的漏洞信息以及相關(guān)的攻擊工具。而接下去發(fā)生的情況肯定是所有企業(yè)的IT管理員都不愿意看到的。當(dāng)然，黑客的智商也各不相同，如果沒有發(fā)現(xiàn)與服務(wù)程序版本相對(duì)應(yīng)的攻擊工具，有些黑客就會(huì)放棄攻擊，但是如果你的服務(wù)程序中存在漏洞，就算沒有現(xiàn)成的攻擊工具，有些聰明的黑客還是會(huì)利用漏洞發(fā)動(dòng)進(jìn)攻的。因此，我們要盡量避免將服務(wù)器系統(tǒng)上的各種服務(wù)信息透露給任何潛在的攻擊者。

減少威脅

下面我們就來看看最常被利用和攻擊的服務(wù)：簡單郵件傳輸協(xié)議SMTP。

我們所使用的掃描工具是Ncat，以前叫做Netcat。這個(gè)工具由于具有強(qiáng)大的掃描功能而被認(rèn)為是TCP/IP掃描方面的瑞士軍刀。Ncat 在Netcat的基礎(chǔ)上實(shí)現(xiàn)了多平臺(tái)支持，可運(yùn)行在Linux, Windows, 以及 Mac OS系統(tǒng)上。雖然擁有類似功能的掃描工具還有不少，但是能夠支持多平臺(tái)的并不多。

那么，我們接下來就要用Ncat的最基本的掃描功能來掃描測(cè)試用服務(wù)器的SMTP端口，看看能返回什么信息。我們可以從服務(wù)器本身來運(yùn)行這個(gè)掃描工具，掃描本地IP地址，也可以在內(nèi)網(wǎng)或外網(wǎng)主機(jī)運(yùn)行Ncat。這里我再次提醒一下，使用這類工具在某些國家和地區(qū)屬于違法行為。另外，根據(jù)你所處的位置不同，以及掃描對(duì)象的防護(hù)技術(shù)不同(比如是否有防火墻)，你可能也需要改變掃描技術(shù)。Ncat的命令格式很簡單：

nc 或 ncat <目標(biāo)IP地址> <目標(biāo)端口號(hào)>

上圖的例子里，我們掃描了測(cè)試服務(wù)器的SMTP端口(25)。從返回的結(jié)果中我們能看到，這個(gè)SMTP Mail 服務(wù)版本號(hào)為5.0.2172.1。如果掃描后沒有返回任何結(jié)果，可以嘗試使用以下命令格式-vv (vv參數(shù)表示獲取詳細(xì)信息，如 nc -vv x.x.x.x 25)

正如我們前面所提到的，有了服務(wù)版本信息，黑客可以很快對(duì)你的服務(wù)器漏洞進(jìn)行評(píng)估。那么我們?cè)撛趺聪?wù)版本信息呢?

注意: 下面我將使用MetaEdit來去除windows 服務(wù)器中的服務(wù)版本信息。這個(gè)工具是針對(duì) Windows Server 2000/2003的，不過Windows Server 2008也能用。類似的工具和去除服務(wù)版本信息的方案還有很多，由于篇幅限制，本文只介紹這一種方案。在你對(duì)自己的服務(wù)器進(jìn)行掃描后，可以根據(jù)掃描結(jié)果查看是否存在安全漏洞，在為服務(wù)器上的各種漏洞打好補(bǔ)丁后，可以嘗試消除服務(wù)版本信息，不給黑客留下任何可趁之機(jī)。

下面我們來去除SMTP服務(wù)的版本信息。首先是下載MetaEdit (可以從微軟官方下載)并進(jìn)行安裝。安裝后，只需要啟動(dòng)MetaEdit，然后展開LM文件夾，接下來展開 SMTP，展開1并點(diǎn)擊1。我們可以在這個(gè)位置輸入一個(gè)新的版本號(hào)，比如我們可以在右上方輸入36907，在下方數(shù)據(jù)區(qū)域輸入希望顯示給掃描軟件的版本信息，本例中我們輸入“This is a new banner for port 25”。之后點(diǎn)擊OK，并退出MetaEdit?，F(xiàn)在我們重啟SMTP服務(wù)，并使用Ncat重新掃描端口25，看看這次會(huì)有什么結(jié)果。

如上圖所示，新的版本信息已經(jīng)代替了真正的SMTP服務(wù)版本信息，這使得攻擊者無法通過這種掃描方式獲取確切的SMTP服務(wù)版本，從而降低了被攻擊的潛在風(fēng)險(xiǎn)。

IIS可以通過IIS lockdown工具實(shí)現(xiàn)這種功能，IIS6.0版本以下的用戶可以免費(fèi)下載這個(gè)工具，而且之后版本的IIS已經(jīng)集成了IIS lockdown功能。

每個(gè)企業(yè)的服務(wù)器上可能都在運(yùn)行多種服務(wù)，我們也不可能讓每個(gè)服務(wù)的版本信息都隱藏起來，但是對(duì)一些關(guān)鍵服務(wù)的信息進(jìn)行必要的隱藏是應(yīng)該的。通過評(píng)估系統(tǒng)反饋的服務(wù)版本信息，你可以更好的考察每個(gè)服務(wù)是否存在明顯的安全漏洞，并且這個(gè)工作能夠幫助你更清晰的認(rèn)識(shí)到該如何保護(hù)你的系統(tǒng)安全。

huanghui