使用Linux系统的Live CD进行安全审核

你有没有过这样的时候——你很想了解在你的网络上和系统中正在发生什么，但是你随后又想到：我可没时间去寻找和安装那么一大堆审核工具。如果你曾经需要深入了解一下网络状态、系统或应用软件的话，这里有个办法可以让你获得所有可能需要的工具，而不用安装哪怕一点点软件。

有种非常有趣的Linux版本（以及BSD，Windows偶尔也有）被叫做“Live CD”。这种Live CD其实是一个放在CDROM（或DVDROM）上的操作系统，可以直接从光驱启动并进入桌面系统或笔记本系统，然后你可以运行一个“Live Copy”的操作系统，所有的工具都存放在CDROM上或者内存里，而不是硬盘上。

Live CD现在被用于各种各样的用途，主要是用于演示——以及购买软件前的试用。有用于Linux桌面系统版本的Live CD（比如Ubuntu），有用于模拟游戏、并行计算以及集群和网格、科学/数学计算、生物信息学的……当然，也有用于系统安全测试与审核的（在本文结尾有个资源列表，会列出一些广为人知的审核Live CD）。

工具

在这个“称手工具”的部分，我们来看看Linux的Live CD怎么样用于系统审核。有许多可以用于安全的Live CD；看起来，对于人们到底需要如何的工具，或者这个工具到底是如何的，每个人都有自己不同的想法。我们这里看一下Backtrack，它无论是综合性能或是工具集都是该系列中的佼佼者。

使用Live Auditing CD来进行测试

首先，是几句忠告：

Nmap是一个非常强力的工具——而Linux Auditing Live CD比它要强，因为它内含了上百个（甚至更多）的工具。NMap是一个系统，用于扫描主机上的漏洞以及那些很容易被人忽视的开放端口，而这些Live CD的审核/安全套装绝大多数都提供系统开锁和破解工具；对于加强网络的安全性来说，这些工具非常有用。不过，就像NMap一样，如果你不按正途去使用它的话，那么你会发现，自己会因为Baktrack中更为强力的工具，而身陷大麻烦中。

Backtrack中有很多工具，就像绝大多数Auditing Live CD一样，它能提供成打的工具。创建者已经试图打破现有的大型工具选择组合，从而把Backtrack分解成按照功能进行分类管理的部分（本节把使用Backtrack所使用的名字，其他的Live CD可能会使用不同的术语）。

“缺陷漏洞”包——包括现有各种网站和数据库漏洞和缺陷的连接列表，并联到对应的补丁。

“列举（Enumeration）工具”——DNS以及目录服务类型工具，在检查一个主机或者网络到底提供何种服务时非常有用，并可以使用这些服务获取信息。

“扫描器（Scanners）” ——这就是那些类似NMap的工具，可以帮助一个审核者探测网络上的系统，或探测一个指定的主机（或一群主机）上是否存在开放的端口和已知的漏洞。

“密码破解器（Password Crackers）”——就是字面的那种意思，用来破解系统密码的工具。这些工具除了可以用于破解系统，也可以用于查看用户是否有容易被人破解的薄弱密码。

“哄骗工具（Spoofing）” ——这些是可以使审核者的机器伪装成一系列不同种类系统或服务的工具，从而察看在不同类型的安全状况下，谁能够对网络服务或系统造成冲击。

“嗅探器（Sniffers）” ——嗅探器由一个大范围的工具组成，从类似WireShark（就是以前的“Ethereal”）这样的网络分析工具，到关注各种高等协议（比如AOL Instant Messenger，IRC，Jabber）的高等协议分析工具，甚至还有数据库处理的嗅叹器。

“无线工具（Wireless Tools）” ——一组802.11无线网络扫描器以及监控工具，可以用于监控，分析，以及测试WiFi网络。

“蓝牙工具（BlueTooth）” ——一组用于检查蓝牙网络和设备的工具。

“CISCO工具（CISCO Tools）” ——一组用于探测和连接CISCO路由器的工具。

“数据库工具（Database Tools）” ——一组用于分析数据库连接和通信的工具，适用于许多常见的数据库。

“取证工具（Forensic Tools）” ——一组非常有用的，在审核过程中可以系统化的整理并记录所发现的数据；一些工具可以把数据存入数据库，其他的则是让调查者可以建立一个硬盘的纯正备份，然后对此硬盘镜像进行保护和检查的系统。

Backtrack系统也包含了大量可以在本地运行的服务器（比如网页服务器等等），以及其他系统，比如像“蜜罐”这样的工具可以用于吸引网络上的攻击者，从而观察他们用于攻击的工具，以及他们用于探测系统和网络的工具到底是什么。