windows cmd下测试mail server和发送mail
[ 2008/09/19 13:21 | by selboo ]
在实际应用中,管理员可能会偶尔遇到无法发送邮件,或者无法正常收取邮件的情况,发生这种状况的时候,您可以参考以下方法,对服务器进行命令行方式的探测。
以下命令都是在Windows命令提示符窗口下完成的,所以在操作之前,必须打开命令提示符窗口,在“开始”菜单-->运行中输入: cmd 回车后,就进入了命令提示符模式。
在要对目标邮件服务器进行探测的时候,必须先知道对方的收件服务器IP地址,所以必须先通过nslookup命令查找得到对方邮件服务器的mx记录指向的主机。操作如下:
比如我现在要探测通过我当前所在机器 是否可以给163.com发送邮件:
一般来说,如果是你的邮件服务器不能发送到目标的主机,进行指令测试的时候,必须在你的邮件服务器上打开命令窗口进行测试,而不是你的工作计算机,因为在连接对方服务器的时候,对方服务器会要判断你的IP地址和你的域名是否对应,显然,如果你用的是工作机去连接的话,大多数情况下是会被对方邮件服务器中断连接的。
首先,先获得163.com的任意一个SMTP收信服务器地址 (蓝色部分为输入的命令):
C:\>nslookup
Default Server: vassun2.macau.ctm.net
Address: 202.175.3.8
> set type=mx
> 163.com
Server: vassun2.macau.ctm.net
Address: 202.175.3.8
Non-authoritative answer:
163.com MX preference = 50, mail exchanger = mx.mail.163.com <---- 这个即为163.com的收信地址
163.com nameserver = ns3.nease.net
163.com nameserver = ns.nease.net
ns.nease.net internet address = 202.106.185.75
ns3.nease.net internet address = 220.181.28.3
接下来,我们就可以按照以下命令对服务器 mx.mail.163.com 进行探测了。
如果要探测或测试其他的邮件服务器,用同样的方法和过程都可以测试。
注:以下的操作,在命令提示符下,如果进入了telnet的网络连接状态,输入的指令在windows 2000或以下的版本下不会回显出来(windows2003的命令提示可以显示),建议将指令先整理好放在记事本当中,然后逐条指令复制,对着已经连接上的CMD命令提示符窗口点击右键(一般对着命令提示符点击右键就可以粘贴剪贴板的数据),就可以将复制到剪贴板的所有内容粘贴到命令提示符窗口上(粘贴过来的字符一般也没有显示)。
命令行方式发送邮件
[ 蓝色部分为输入的命令,黑色为服务器的回应,绿色为操作注释说明 ]
C:\>telnet mx.mail.163.com 25
220 163.com Coremail SMTP(Anti Spam) System
HELO hunan.com.cn [ 此处输入的是HELO名,一般情况下是邮件后缀名(域名) ]
250 OK
MAIL FROM: [ 发件人地址指令 ]
250 Mail OK
RCPT TO: [ 收件人地址指令 ]
250 Mail OK
DATA [ 进入发邮件正文数据状态指令 ]
354 End data with.
(可以随意输入一些内容或者也可以输入以下内容)
From: "hunan.com.cn postmaster"
To: "sd179@163.com"
Subject: =?gb2312?B?ztLU2rLiytTE4w==?=
Date: Mon, 14 Apr 2003 11:03:36 +0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0016_01C30275.811BAE50"
X-Priority: 3
X-MSMail-Priority: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4910.0300
This is a multi-part message in MIME format.
------=_NextPart_000_0016_01C30275.811BAE50
Content-Type: text/plain;
charset="gb2312"
Content-Transfer-Encoding: base64
c2tmamFzZg0KweO148DWttO1xNK70KnKssO0uOjU2g0K
------=_NextPart_000_0016_01C30275.811BAE50
Content-Type: text/html;
charset="gb2312"
Content-Transfer-Encoding: base64
PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuM
CBUcmFuc2l0aW9uYWwvL0VOIj4NCjxIVE1MPjxIRUFEPg0KPE1FVEEgY2
9udGVudD0idGV4dC9odG1sOyBjaGFyc2V0PWdiMjMxMiIgaHR0cC1lcXV
pdj1Db250ZW50LVR5cGU+DQo8TUVUQSBjb250ZW50PSJNU0hUTUwgNS4w
MC4zNTAyLjUzOTAiIG5hbWU9R0VORVJBVE9SPg0KPFNUWUxFPjwvU1RZT
EU+DQo8L0hFQUQ+DQo8Qk9EWSBiZ0NvbG9yPSNmZmZmZmY+DQo8RElWPj
xGT05UIHNpemU9Mj5za2ZqYXNmPC9GT05UPjwvRElWPg0KPERJVj48Rk9
OVCBzaXplPTI+weO148DWttO1xNK70KnKssO0uOjU2jwvRk9OVD48L0RJ
Vj48L0JPRFk+PC9IVE1MPg0K
------=_NextPart_000_0016_01C30275.811BAE50--
. [在此输入 回车 . 回车 ]
250 OK aMAZAPuU8kNXMAIA.28499S2
以上为完整的手工登录163的发信服务器,并且发送一份简单邮件的过程,其中蓝色的为手工输入部分,底下的邮件内容可以在把以上内容复制到剪贴板后,直接在命令提示符窗口直接点击鼠标右键即可。
如果以上步骤能正常处理到最后,一般邮件发送就成功了。 如果出现问题,中途一般会发生错误提示。
以mx.mail.163.com为例,发生错误后,一般在输入 回车 点 回车 的结束指令后,会提示:
450 Requested action not taken:mx8, aMAZAPuU8kNXMAIA.28499S2, please try again,SCORE
或者类似的其他错误信息,但一般情况下,错误一般在DATA指令输入之前就会发生,如sina.com的邮件服务器,如果你的IP地址和HELO名不对应,在RCPT TO指令输入的时候就会提示错误信息并中断连接。一般来说,如果命令提示符直接发信操作都出现问题,不管什么类型的邮件服务器,都会和手工操作一样,发生同样的发信故障。这个提示的错误信息,就是一般在回退信中看到的错误信息了,具体的错误信息说明,可以通过英文字面意思或者参考 典型引起错误退信的原因 的相关章节。
以下命令都是在Windows命令提示符窗口下完成的,所以在操作之前,必须打开命令提示符窗口,在“开始”菜单-->运行中输入: cmd 回车后,就进入了命令提示符模式。
在要对目标邮件服务器进行探测的时候,必须先知道对方的收件服务器IP地址,所以必须先通过nslookup命令查找得到对方邮件服务器的mx记录指向的主机。操作如下:
比如我现在要探测通过我当前所在机器 是否可以给163.com发送邮件:
一般来说,如果是你的邮件服务器不能发送到目标的主机,进行指令测试的时候,必须在你的邮件服务器上打开命令窗口进行测试,而不是你的工作计算机,因为在连接对方服务器的时候,对方服务器会要判断你的IP地址和你的域名是否对应,显然,如果你用的是工作机去连接的话,大多数情况下是会被对方邮件服务器中断连接的。
首先,先获得163.com的任意一个SMTP收信服务器地址 (蓝色部分为输入的命令):
C:\>nslookup
Default Server: vassun2.macau.ctm.net
Address: 202.175.3.8
> set type=mx
> 163.com
Server: vassun2.macau.ctm.net
Address: 202.175.3.8
Non-authoritative answer:
163.com MX preference = 50, mail exchanger = mx.mail.163.com <---- 这个即为163.com的收信地址
163.com nameserver = ns3.nease.net
163.com nameserver = ns.nease.net
ns.nease.net internet address = 202.106.185.75
ns3.nease.net internet address = 220.181.28.3
接下来,我们就可以按照以下命令对服务器 mx.mail.163.com 进行探测了。
如果要探测或测试其他的邮件服务器,用同样的方法和过程都可以测试。
注:以下的操作,在命令提示符下,如果进入了telnet的网络连接状态,输入的指令在windows 2000或以下的版本下不会回显出来(windows2003的命令提示可以显示),建议将指令先整理好放在记事本当中,然后逐条指令复制,对着已经连接上的CMD命令提示符窗口点击右键(一般对着命令提示符点击右键就可以粘贴剪贴板的数据),就可以将复制到剪贴板的所有内容粘贴到命令提示符窗口上(粘贴过来的字符一般也没有显示)。
命令行方式发送邮件
[ 蓝色部分为输入的命令,黑色为服务器的回应,绿色为操作注释说明 ]
C:\>telnet mx.mail.163.com 25
220 163.com Coremail SMTP(Anti Spam) System
HELO hunan.com.cn [ 此处输入的是HELO名,一般情况下是邮件后缀名(域名) ]
250 OK
MAIL FROM:
250 Mail OK
RCPT TO:
250 Mail OK
DATA [ 进入发邮件正文数据状态指令 ]
354 End data with
(可以随意输入一些内容或者也可以输入以下内容)
From: "hunan.com.cn postmaster"
To: "sd179@163.com"
Subject: =?gb2312?B?ztLU2rLiytTE4w==?=
Date: Mon, 14 Apr 2003 11:03:36 +0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0016_01C30275.811BAE50"
X-Priority: 3
X-MSMail-Priority: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4910.0300
This is a multi-part message in MIME format.
------=_NextPart_000_0016_01C30275.811BAE50
Content-Type: text/plain;
charset="gb2312"
Content-Transfer-Encoding: base64
c2tmamFzZg0KweO148DWttO1xNK70KnKssO0uOjU2g0K
------=_NextPart_000_0016_01C30275.811BAE50
Content-Type: text/html;
charset="gb2312"
Content-Transfer-Encoding: base64
PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuM
CBUcmFuc2l0aW9uYWwvL0VOIj4NCjxIVE1MPjxIRUFEPg0KPE1FVEEgY2
9udGVudD0idGV4dC9odG1sOyBjaGFyc2V0PWdiMjMxMiIgaHR0cC1lcXV
pdj1Db250ZW50LVR5cGU+DQo8TUVUQSBjb250ZW50PSJNU0hUTUwgNS4w
MC4zNTAyLjUzOTAiIG5hbWU9R0VORVJBVE9SPg0KPFNUWUxFPjwvU1RZT
EU+DQo8L0hFQUQ+DQo8Qk9EWSBiZ0NvbG9yPSNmZmZmZmY+DQo8RElWPj
xGT05UIHNpemU9Mj5za2ZqYXNmPC9GT05UPjwvRElWPg0KPERJVj48Rk9
OVCBzaXplPTI+weO148DWttO1xNK70KnKssO0uOjU2jwvRk9OVD48L0RJ
Vj48L0JPRFk+PC9IVE1MPg0K
------=_NextPart_000_0016_01C30275.811BAE50--
. [在此输入 回车 . 回车 ]
250 OK aMAZAPuU8kNXMAIA.28499S2
以上为完整的手工登录163的发信服务器,并且发送一份简单邮件的过程,其中蓝色的为手工输入部分,底下的邮件内容可以在把以上内容复制到剪贴板后,直接在命令提示符窗口直接点击鼠标右键即可。
如果以上步骤能正常处理到最后,一般邮件发送就成功了。 如果出现问题,中途一般会发生错误提示。
以mx.mail.163.com为例,发生错误后,一般在输入 回车 点 回车 的结束指令后,会提示:
450 Requested action not taken:mx8, aMAZAPuU8kNXMAIA.28499S2, please try again,SCORE
或者类似的其他错误信息,但一般情况下,错误一般在DATA指令输入之前就会发生,如sina.com的邮件服务器,如果你的IP地址和HELO名不对应,在RCPT TO指令输入的时候就会提示错误信息并中断连接。一般来说,如果命令提示符直接发信操作都出现问题,不管什么类型的邮件服务器,都会和手工操作一样,发生同样的发信故障。这个提示的错误信息,就是一般在回退信中看到的错误信息了,具体的错误信息说明,可以通过英文字面意思或者参考 典型引起错误退信的原因 的相关章节。
蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对贵公司服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
1.蜜罐的定义
首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。”
设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。
2.涉及的法律问题
蜜罐是用来给黑客入侵的,它必须提供一定的漏洞,但是我们也知道,很多漏洞都属于“高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的,例如,一个入侵者成功进入了一台蜜罐,并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人,那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。
设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。
由于蜜罐属于记录设备,所以它有可能会牵涉到隐私权问题,如果一个企业的管理员恶意设计一台蜜罐用于收集公司员工的活动数据,或者偷偷拦截记录公司网络通讯信息,这样的蜜罐就已经涉及法律问题了。
对于管理员而言,最倒霉的事情就是蜜罐被入侵者成功破坏了。有人也许会认为,既然蜜罐是故意设计来“牺牲”的,那么它被破坏当然合情合理,用不着小题大做吧。对,蜜罐的确是用来“受虐”的,但是它同时也是一台连接网络的计算机,如果你做的一台蜜罐被入侵者攻破并“借”来对某大学服务器进行攻击,因此引发的损失恐怕只能由你来承担了。还有一些责任是谁也说不清的,例如,你做的一台蜜罐不幸引来了Slammer、Sasser、Blaster等大名鼎鼎的“爬虫类”病毒而成了传播源之一,那么这个责任谁来负担?
3.蜜罐的类型
世界上不会有非常全面的事物,蜜罐也一样。根据管理员的需要,蜜罐的系统和漏洞设置要求也不尽相同,蜜罐是有针对性的,而不是盲目设置来无聊的,因此,就产生了多种多样的蜜罐……
3.1.实系统蜜罐
实系统蜜罐是最真实的蜜罐,它运行着真实的系统,并且带着真实可入侵的漏洞,属于最危险的漏洞,但是它记录下的入侵信息往往是最真实的。这种蜜罐安装的系统一般都是最初的,没有任何SP补丁,或者打了低版本SP补丁,根据管理员需要,也可能补上了一些漏洞,只要值得研究的漏洞还存在即可。然后把蜜罐连接上网络,根据目前的网络扫描频繁度来看,这样的蜜罐很快就能吸引到目标并接受攻击,系统运行着的记录程序会记下入侵者的一举一动,但同时它也是最危险的,因为入侵者每一个入侵都会引起系统真实的反应,例如被溢出、渗透、夺取权限等。
3.2.伪系统蜜罐
什么叫伪系统呢?不要误解成“假的系统”,它也是建立在真实系统基础上的,但是它最大的特点就是“平台与漏洞非对称性”。
大家应该都知道,世界上操作系统不是只有Windows一家而已,在这个领域,还有Linux、Unix、OS2、BeOS等,它们的核心不同,因此会产生的漏洞缺陷也就不尽相同,简单的说,就是很少有能同时攻击几种系统的漏洞代码,也许你用LSASS溢出漏洞能拿到Windows的权限,但是用同样的手法去溢出Linux只能徒劳。根据这种特性,就产生了“伪系统蜜罐”,它利用一些工具程序强大的模仿能力,伪造出不属于自己平台的“漏洞”,入侵这样的 “漏洞”,只能是在一个程序框架里打转,即使成功“渗透”,也仍然是程序制造的梦境——系统本来就没有让这种漏洞成立的条件,谈何“渗透”?实现一个“伪系统”并不困难,Windows平台下的一些虚拟机程序、Linux自身的脚本功能加上第三方工具就能轻松实现,甚至在Linux/Unix下还能实时由管理员产生一些根本不存在的“漏洞”,让入侵者自以为得逞的在里面瞎忙。实现跟踪记录也很容易,只要在后台开着相应的记录程序即可。
这种蜜罐的好处在于,它可以最大程度防止被入侵者破坏,也能模拟不存在的漏洞,甚至可以让一些Windows蠕虫攻击Linux——只要你模拟出符合条件的Windows特征!但是它也存在坏处,因为一个聪明的入侵者只要经过几个回合就会识破伪装,另者,编写脚本不是很简便的事情,除非那个管理员很有耐心或者十分悠闲。
4.使用你的蜜罐
既然蜜罐不是随随便便做来玩的,管理员自然就不会做个蜜罐然后让它赋闲在家,那么蜜罐做来到底怎么用呢?
4.1.迷惑入侵者,保护服务器
一般的客户/服务器模式里,浏览者是直接与网站服务器连接的,换句话说,整个网站服务器都暴露在入侵者面前,如果服务器安全措施不够,那么整个网站数据都有可能被入侵者轻易毁灭。但是如果在客户/服务器模式里嵌入蜜罐,让蜜罐作为服务器角色,真正的网站服务器作为一个内部网络在蜜罐上做网络端口映射,这样可以把网站的安全系数提高,入侵者即使渗透了位于外部的“服务器”,他也得不到任何有价值的资料,因为他入侵的是蜜罐而已。虽然入侵者可以在蜜罐的基础上跳进内部网络,但那要比直接攻下一台外部服务器复杂得多,许多水平不足的入侵者只能望而却步。蜜罐也许会被破坏,可是不要忘记了,蜜罐本来就是被破坏的角色。
在这种用途上,蜜罐不能再设计得漏洞百出了。蜜罐既然成了内部服务器的保护层,就必须要求它自身足够坚固,否则,整个网站都要拱手送人了。
4.2.抵御入侵者,加固服务器
入侵与防范一直都是热点问题,而在其间插入一个蜜罐环节将会使防范变得有趣,这台蜜罐被设置得与内部网络服务器一样,当一个入侵者费尽力气入侵了这台蜜罐的时候,管理员已经收集到足够的攻击数据来加固真实的服务器。
采用这个策略去布置蜜罐,需要管理员配合监视,否则入侵者攻破了第一台,就有第二台接着承受攻击了……
4.3.诱捕网络罪犯
这是一个相当有趣的应用,当管理员发现一个普通的客户/服务器模式网站服务器已经牺牲成肉鸡的时候,如果技术能力允许,管理员会迅速修复服务器。那么下次呢?既然入侵者已经确信自己把该服务器做成了肉鸡,他下次必然还会来查看战果,难道就这样任由他放肆?一些企业的管理员不会罢休,他们会设置一个蜜罐模拟出已经被入侵的状态,做起了姜太公。同样,一些企业为了查找恶意入侵者,也会故意设置一些有不明显漏洞的蜜罐,让入侵者在不起疑心的情况下乖乖被记录下一切行动证据,有些人把此戏称为“监狱机”,通过与电信局的配合,可以轻易揪出IP源头的那双黑手。
1.蜜罐的定义
首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。”
设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。
2.涉及的法律问题
蜜罐是用来给黑客入侵的,它必须提供一定的漏洞,但是我们也知道,很多漏洞都属于“高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的,例如,一个入侵者成功进入了一台蜜罐,并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人,那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。
设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。
由于蜜罐属于记录设备,所以它有可能会牵涉到隐私权问题,如果一个企业的管理员恶意设计一台蜜罐用于收集公司员工的活动数据,或者偷偷拦截记录公司网络通讯信息,这样的蜜罐就已经涉及法律问题了。
对于管理员而言,最倒霉的事情就是蜜罐被入侵者成功破坏了。有人也许会认为,既然蜜罐是故意设计来“牺牲”的,那么它被破坏当然合情合理,用不着小题大做吧。对,蜜罐的确是用来“受虐”的,但是它同时也是一台连接网络的计算机,如果你做的一台蜜罐被入侵者攻破并“借”来对某大学服务器进行攻击,因此引发的损失恐怕只能由你来承担了。还有一些责任是谁也说不清的,例如,你做的一台蜜罐不幸引来了Slammer、Sasser、Blaster等大名鼎鼎的“爬虫类”病毒而成了传播源之一,那么这个责任谁来负担?
3.蜜罐的类型
世界上不会有非常全面的事物,蜜罐也一样。根据管理员的需要,蜜罐的系统和漏洞设置要求也不尽相同,蜜罐是有针对性的,而不是盲目设置来无聊的,因此,就产生了多种多样的蜜罐……
3.1.实系统蜜罐
实系统蜜罐是最真实的蜜罐,它运行着真实的系统,并且带着真实可入侵的漏洞,属于最危险的漏洞,但是它记录下的入侵信息往往是最真实的。这种蜜罐安装的系统一般都是最初的,没有任何SP补丁,或者打了低版本SP补丁,根据管理员需要,也可能补上了一些漏洞,只要值得研究的漏洞还存在即可。然后把蜜罐连接上网络,根据目前的网络扫描频繁度来看,这样的蜜罐很快就能吸引到目标并接受攻击,系统运行着的记录程序会记下入侵者的一举一动,但同时它也是最危险的,因为入侵者每一个入侵都会引起系统真实的反应,例如被溢出、渗透、夺取权限等。
3.2.伪系统蜜罐
什么叫伪系统呢?不要误解成“假的系统”,它也是建立在真实系统基础上的,但是它最大的特点就是“平台与漏洞非对称性”。
大家应该都知道,世界上操作系统不是只有Windows一家而已,在这个领域,还有Linux、Unix、OS2、BeOS等,它们的核心不同,因此会产生的漏洞缺陷也就不尽相同,简单的说,就是很少有能同时攻击几种系统的漏洞代码,也许你用LSASS溢出漏洞能拿到Windows的权限,但是用同样的手法去溢出Linux只能徒劳。根据这种特性,就产生了“伪系统蜜罐”,它利用一些工具程序强大的模仿能力,伪造出不属于自己平台的“漏洞”,入侵这样的 “漏洞”,只能是在一个程序框架里打转,即使成功“渗透”,也仍然是程序制造的梦境——系统本来就没有让这种漏洞成立的条件,谈何“渗透”?实现一个“伪系统”并不困难,Windows平台下的一些虚拟机程序、Linux自身的脚本功能加上第三方工具就能轻松实现,甚至在Linux/Unix下还能实时由管理员产生一些根本不存在的“漏洞”,让入侵者自以为得逞的在里面瞎忙。实现跟踪记录也很容易,只要在后台开着相应的记录程序即可。
这种蜜罐的好处在于,它可以最大程度防止被入侵者破坏,也能模拟不存在的漏洞,甚至可以让一些Windows蠕虫攻击Linux——只要你模拟出符合条件的Windows特征!但是它也存在坏处,因为一个聪明的入侵者只要经过几个回合就会识破伪装,另者,编写脚本不是很简便的事情,除非那个管理员很有耐心或者十分悠闲。
4.使用你的蜜罐
既然蜜罐不是随随便便做来玩的,管理员自然就不会做个蜜罐然后让它赋闲在家,那么蜜罐做来到底怎么用呢?
4.1.迷惑入侵者,保护服务器
一般的客户/服务器模式里,浏览者是直接与网站服务器连接的,换句话说,整个网站服务器都暴露在入侵者面前,如果服务器安全措施不够,那么整个网站数据都有可能被入侵者轻易毁灭。但是如果在客户/服务器模式里嵌入蜜罐,让蜜罐作为服务器角色,真正的网站服务器作为一个内部网络在蜜罐上做网络端口映射,这样可以把网站的安全系数提高,入侵者即使渗透了位于外部的“服务器”,他也得不到任何有价值的资料,因为他入侵的是蜜罐而已。虽然入侵者可以在蜜罐的基础上跳进内部网络,但那要比直接攻下一台外部服务器复杂得多,许多水平不足的入侵者只能望而却步。蜜罐也许会被破坏,可是不要忘记了,蜜罐本来就是被破坏的角色。
在这种用途上,蜜罐不能再设计得漏洞百出了。蜜罐既然成了内部服务器的保护层,就必须要求它自身足够坚固,否则,整个网站都要拱手送人了。
4.2.抵御入侵者,加固服务器
入侵与防范一直都是热点问题,而在其间插入一个蜜罐环节将会使防范变得有趣,这台蜜罐被设置得与内部网络服务器一样,当一个入侵者费尽力气入侵了这台蜜罐的时候,管理员已经收集到足够的攻击数据来加固真实的服务器。
采用这个策略去布置蜜罐,需要管理员配合监视,否则入侵者攻破了第一台,就有第二台接着承受攻击了……
4.3.诱捕网络罪犯
这是一个相当有趣的应用,当管理员发现一个普通的客户/服务器模式网站服务器已经牺牲成肉鸡的时候,如果技术能力允许,管理员会迅速修复服务器。那么下次呢?既然入侵者已经确信自己把该服务器做成了肉鸡,他下次必然还会来查看战果,难道就这样任由他放肆?一些企业的管理员不会罢休,他们会设置一个蜜罐模拟出已经被入侵的状态,做起了姜太公。同样,一些企业为了查找恶意入侵者,也会故意设置一些有不明显漏洞的蜜罐,让入侵者在不起疑心的情况下乖乖被记录下一切行动证据,有些人把此戏称为“监狱机”,通过与电信局的配合,可以轻易揪出IP源头的那双黑手。
JSky beta版本发布(针对所有互联网用户)
[ 2008/09/17 13:05 | by selboo ]
from:http://www.nosec.org/web/node/162
非常高兴的宣布JSky这一完全免费的Web应用漏洞扫描软件终于进入beta版本了。此时对所有互联网的朋友开放使用。下载请到http://www.nosec.org/web/jsky
很感谢在alpha版本中提出了宝贵意见的朋友,不管是马甲也好、NOSEC的FANS也好,从大家对JSky的关注情况来看确实令我感到万分的欣慰。本次beta版本除了解决了alpha版本中朋友反馈的一些问题以外,也添加和完善一些功能。希望大家喜欢,enjoy it.
现在的JSky从安全扫描的功能方面来说已经很完善了(这里的用户是指自用型,非提供服务型),包括如下一些功能:
向导式的全自动化扫描Web漏洞
快速的Spider和漏洞扫描引擎
自定义漏洞扫描启用策略
全面的参数配置信息,满足不同场景测试
动态统计数据显示
扫描结果查看,数据分析
扫描结果导出
集成Pangolin渗透测试(在注入的页面上点击右键,选择Pen-test this vulnerability)
……
目前JSky的Personal版本不提供如下一些针对企业级用户以及提供评估服务用户的功能:
保存项目打开后继续扫描
帮助文档
结果报告导出
企业级应用模块
全面的渗透测试功能
自定义漏洞扫描
漏洞扫描模块开发的SDK
非常高兴的宣布JSky这一完全免费的Web应用漏洞扫描软件终于进入beta版本了。此时对所有互联网的朋友开放使用。下载请到http://www.nosec.org/web/jsky
很感谢在alpha版本中提出了宝贵意见的朋友,不管是马甲也好、NOSEC的FANS也好,从大家对JSky的关注情况来看确实令我感到万分的欣慰。本次beta版本除了解决了alpha版本中朋友反馈的一些问题以外,也添加和完善一些功能。希望大家喜欢,enjoy it.
现在的JSky从安全扫描的功能方面来说已经很完善了(这里的用户是指自用型,非提供服务型),包括如下一些功能:
向导式的全自动化扫描Web漏洞
快速的Spider和漏洞扫描引擎
自定义漏洞扫描启用策略
全面的参数配置信息,满足不同场景测试
动态统计数据显示
扫描结果查看,数据分析
扫描结果导出
集成Pangolin渗透测试(在注入的页面上点击右键,选择Pen-test this vulnerability)
……
目前JSky的Personal版本不提供如下一些针对企业级用户以及提供评估服务用户的功能:
保存项目打开后继续扫描
帮助文档
结果报告导出
企业级应用模块
全面的渗透测试功能
自定义漏洞扫描
漏洞扫描模块开发的SDK
form:http://steven24.blog.51cto.com/346765/70867
我就一直很纳闷,一些学技术的人总是对英语存在怪异的看法,对英语考试更是不屑一顾,想想我就觉得恶心,且不说英语会成为学习技术的瓶颈,作为一门语言,英语可以深化到艺术层面,也可以定义为一种学习工具,不同的人需求不同,岂是一句“学英语没用”就能加以否定的?四六级是BT,但也不至于让你咬牙切齿,没人让你机械化做题去拼高分,只是虚荣在驱使你自己而已,听说读写这些硬功夫你又能到什么水平,分数是不能代表能力,但至少有能力的考不出低分数吧,有时间在BBS里灌水却没时间学英语,这学习态度还真是够幽默的。
如果只是为了快速的阅读技术原文档,只要培养阅读能力和记住专业词汇就够了,四六级托福雅思和你没什么关系,没必要眼红或上火,因为你对英语的定位和别人不同。不要看着考过专八的人就一阵狂卷,说人家没能力(特别是口语)就会考试,实际上是在将他和自己划为一档,弥补一下距离产生的挫败感,不要忘了,你们将来都是网络技术的“专八”,即使过了CCIE,专业技术也可能很水,如果都有真功夫,同是两个领域的精英,应彼此惺惺相惜才是;而倘若是自己的技术菜的不行还在那里说别人是冒牌货,我只能用一个网上流传的“英语词汇”来形容了,RPWT——人品问题。
我就一直很纳闷,一些学技术的人总是对英语存在怪异的看法,对英语考试更是不屑一顾,想想我就觉得恶心,且不说英语会成为学习技术的瓶颈,作为一门语言,英语可以深化到艺术层面,也可以定义为一种学习工具,不同的人需求不同,岂是一句“学英语没用”就能加以否定的?四六级是BT,但也不至于让你咬牙切齿,没人让你机械化做题去拼高分,只是虚荣在驱使你自己而已,听说读写这些硬功夫你又能到什么水平,分数是不能代表能力,但至少有能力的考不出低分数吧,有时间在BBS里灌水却没时间学英语,这学习态度还真是够幽默的。
如果只是为了快速的阅读技术原文档,只要培养阅读能力和记住专业词汇就够了,四六级托福雅思和你没什么关系,没必要眼红或上火,因为你对英语的定位和别人不同。不要看着考过专八的人就一阵狂卷,说人家没能力(特别是口语)就会考试,实际上是在将他和自己划为一档,弥补一下距离产生的挫败感,不要忘了,你们将来都是网络技术的“专八”,即使过了CCIE,专业技术也可能很水,如果都有真功夫,同是两个领域的精英,应彼此惺惺相惜才是;而倘若是自己的技术菜的不行还在那里说别人是冒牌货,我只能用一个网上流传的“英语词汇”来形容了,RPWT——人品问题。
