昨晚上睡不着就無聊玩玩metasploit***,哎讓我大失所所望,整來整去是一個垃圾東東,可能對win還用點沒有那麼多安全防禦手段,可是對於linux.bsd簡直就是廢物一個。
我使用的免費版本的metasploit,更新到了最新的漏洞配對***模塊庫,當然我也更新了最新的xp補丁,結果硬是沒搞下來。。。悲哀。。。這個軟件有一個pro收費版本,不知道多少錢反正哥不信了Pro版的區別是:
1,有更多更新的***漏洞模塊
2,集成nexo掃描模塊,免費的只有nmap
3,更智能的***自動處理
4,有更強大的IDS/IDP evasion逃逸免殺功能(吹吧。牛就是這樣上天的)
其運行的原理簡單的來講,就是:
1,使用nmap nexo nss等掃描軟件掃描當前目標的各種端口服務,漏洞等
2,把結果db_import到postgre數據庫中去(鬱悶爲什不使用mysql.memcached,redis或者直接把所有的模塊直接放進mongodb中去呢)
3,serach漏洞庫進行端口 服務比對掃描***
本人是菜鳥,沒有能力自己發掘軟件漏洞,定義***模塊,就使用了動***模式:
1,db_namp -A -T4 -Pn 目標ip (沒有使用其他的掃描工具,沒意義)
2,db_autopwn -t -p -e (免費版去除了,害我自己下載裝的)
3,session n (可惜啊,連滿補丁的xp都沒成功溢出,拿不到會話,也沒用上悲哀!0
說白了,metasploit一般來說就是使用當前被公佈的或者自己定義的(高手)漏洞模塊加入到漏洞倉庫中去進行殺毒軟件一樣的反向被動掃描。。很弱智。豪無主動性。。。如果你看過本人之前寫過的那篇“分層縱深防禦,一切******都是浮雲”http://cookingbsd.blog.51cto.com/5404439/956995基本上就不需要考慮這種***了。。
但是看到很多兄弟深諳此道,動不動就搞我最愛的xp系統(估計連個補丁都不給打上),連個防火牆也不裝,直接搞咱們的殺毒軟件,有意思嗎!我估計換一個win8都會讓牛頭疼,爲了讓廣大的和我一樣的菜鳥兄弟們看清metaspoliot真面目,避免把自己有限的生命浪費在這種無用的溢出軟件上(我們還有很多重要的事情要去做呢),我這裏就專門給出一些徹底防禦metasploit******的的建議,僅供參考,請勿用於生產環境,出了事與本人無關^_^:
1 ,所有下載的系統和服務器軟件必須到官方網站下載同時進行md5 sha512驗證
2,安裝完基本的linux系統,馬上進行系統的安全升級,特別是那些重要的通用共享庫,一般這個是自動的。
3,定製精簡內核,去除所有無用的驅動,功能,調試模式(除非你是內核調試專家),打上Grsecurity,tomoyo等補丁關於內核版本選擇我的建議是以rhel debian的發行版爲基準考慮,沒有什麼必要不要選用通用的主線kernel,漏洞很多。如果爲了新功能也要選擇大版本號與當前的使用的debian/rhel發行版一樣,小版本號必須是最高的內核,這樣kapi兼容更好。
4,最高安全防止所有安全崩潰,請所有的linux內核服務器軟件都有兩套系統,,比如內核一個是最新的linux3.5.3 一個是發行版穩定的2.6.32系列,這樣可以給我們以切換維護時間。同時不耽誤生產,服務器軟件比如nginx apache都要部署,不管哪個除了問題另外一個可接接力!(現在什麼都是雙核的,四核心的)
5,所有服務其軟件nginx,mysql等等,必須加入gcc4.7.1 -fstack-protect-all選項加強溢出防禦,同時如果沒有必要請關閉所有的debug調試功能,畢竟程序設計誰也不能保證沒有漏洞,除非你不是人!當然內核中也有這個選項,我們一般不開,原因是一般內核的溢出都是本地的多,而且內核被打上那個選項一溢出馬上崩潰,本身也是一種不好的行爲,還有就是太影響性能,再說內核有Grsecurity安全補丁保護,重複了。。所以不開!
6,每個服務器軟件必須修改源代碼verion.h頭文件,僞裝軟件,把nginx變成apache,或者版本號亂寫,這樣加大了掃描的難度,還有迷惑那些手動掃描的***的,影藏軟件的所有無用信息,同時開啓內核Grsecurity tcpu序列號隨機功能,防止tcp序列號***掃描判斷!(很強吧對付nmap)
7,使用精簡定製的freebsd-pf防火牆進行 syn代理,同時關閉所有無用的端口,只開放80端口,讓掃描風險大大降低,同時加入併發控制,一般掃描都要很多連接,超過了就封,
8,在交換機複製端口,部署IDS系統-snort進行類似7層防火牆一樣的應用層匹配掃描,發現掃描溢出***,反饋給防火牆進行封鎖,淡然如果你們公司很有錢可以使用專業的IDS/IDP或者7層放火牆。
9,設置nginx,apache的安全模塊功能,防止cc***。。防止多連接掃描。
10,如果真的遇到超級牛人硬是溢出了,可以參考之前寫的”linux核心蜜罐系統,分析***,斬斷黑手“http://cookingbsd.blog.51cto.com/5404439/958560可以部署mac(sellinux,tomoyo,appa)強制訪問控制,沙盒化被溢出的程序,同時報警,讓咱們切換程序版本。。讓那些牛人直接發牛脾氣呵呵!
11,最後的防線,定時合理的備份時最原始,最簡單,最有效地防禦。。
通過以上10點的調整,您的系統估計是刀槍不入了,當然了人爲的放水出外哦,metaploist就是玩玩xp,不設安全防禦的系統,不是什麼神一樣的東東,,要不百度,新浪睡的着啊呵呵
寫在最後,不要盲目相信某種***或者安全軟件,安全和***永遠都是矛盾發展的,我們要發揮所有安全工具防禦所有的安全***,把思考的層次提高,2維度不行就3維度,循環嵌套,多樣部署,層層防禦,把現有的安全防禦軟件***軟件,創新了用,纔能有所收穫,有所成就。