安全掃描技術(shù)PPT課件

1、黑客防御技術(shù)1）加密/散列/簽名技術(shù)（理論基礎(chǔ)）2）主機加固技術(shù)（打補?。?）病毒防護(hù)技術(shù)（廣義病毒）4）防火墻技術(shù)（門衛(wèi)/被動/進(jìn)出）5）虛擬專用網(wǎng)技術(shù)（端-端/密碼技術(shù)）6）入侵檢測技術(shù)（警察/動態(tài)/內(nèi)部）7）蜜罐技術(shù)（主動/位置/誤報少） 返回第1頁/共21頁黑客攻擊技術(shù)1）隱藏攻擊者地址和身份技術(shù)2）踩點技術(shù)3）掃描技術(shù)4）嗅探技術(shù)（共享網(wǎng)/交換網(wǎng)）5）攻擊技術(shù)（正式攻擊）6）權(quán)限提升技術(shù)7）痕跡清除和留置后門技術(shù)8）特洛伊木馬/蠕蟲/病毒 返回第2頁/共21頁1）隱藏攻擊者地址和身份技術(shù) IP地址欺騙或盜用技術(shù) MAC地址盜用技術(shù) 通過Proxy隱藏技術(shù) 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)

2、盜用他人網(wǎng)絡(luò)帳戶技術(shù) 返回第3頁/共21頁2）踩點技術(shù) 目標(biāo)系統(tǒng)的用戶注冊信息Whois 域名、IP地址、DNS服務(wù)器、郵件服務(wù)器nslookup 網(wǎng)絡(luò)拓?fù)浜吐酚尚畔raceroute 獲取公開的信息；采用的技術(shù)合法； 說者無心，聽者有意 返回第4頁/共21頁3）掃描技術(shù) 主機掃描（合法的Ping，查看目標(biāo)主機是否存活） 端口掃描（惡意地用專門軟件，如Nmap） 操作系統(tǒng)探測（協(xié)議棧指紋鑒別） 查點（有時作為一個獨立階段） 返回第5頁/共21頁端口掃描TCP三次握手 SYN包,C的序列號 Client SYN+ACK包,S序列號,C應(yīng)答號Server ACK包,S的應(yīng)答號 源端口(1024高

3、端口) 目的端口(1024熟知 源IP地址(尋址只關(guān)心 端口，表明Server上 目的IP，不認(rèn)證源IP地 提供的服務(wù)) 址，可能是“假”地址) 目的IP地址 注意TCP頭部的六個標(biāo)志位的作用： SYN/ACK/RST/FIN/PSH/URG第6頁/共21頁端口掃描分析比較表（1）第7頁/共21頁端口掃描分析比較表（2）第8頁/共21頁端口掃描分析比較表（3）第9頁/共21頁端口掃描策略（1）1）隨機端口掃描（Random Port Scan） 許多商業(yè)IDS和防火墻會搜尋順序的連接嘗試，一旦找到就報告存在端口掃描攻擊。隨機端口掃描可能躲避它們的檢測。2）慢掃描（Slow Scan） IDS可

4、以確定某個特定的IP是否正在掃描被保護(hù)的網(wǎng)絡(luò)。這通常根據(jù)分析某段時間內(nèi)的網(wǎng)絡(luò)通信量來實現(xiàn)。很多入侵者非常有耐心，掃描可持續(xù)很久。第10頁/共21頁端口掃描策略（2）3）分片掃描（Fragmentation Scanning） 在TCP協(xié)議中，8個字節(jié)的數(shù)據(jù)（最小分片長度）只能用來包含源和目的端口號，TCP協(xié)議的標(biāo)志字段被放到第二個分片當(dāng)中。 由于過濾設(shè)備在第一個分組中無法測試SYN=1和ACK=0標(biāo)志位，因此可能無法正確處理連接請求，而且可能繼續(xù)忽略后續(xù)其他分片包，從而繞過這些過濾設(shè)備。第11頁/共21頁端口掃描策略（3）4）誘騙（Decoy） 某些網(wǎng)絡(luò)掃描器還包含選項用于誘騙或者偽造假地址，

5、使得IDS認(rèn)為有很多主機在掃描被保護(hù)網(wǎng)絡(luò)，要確定真正的攻擊者幾乎不可能。 一種解決方法是利用TTL字段。如果所有進(jìn)入分組的TTL值相同，可認(rèn)為它們是同一臺主機產(chǎn)生的。 但如果攻擊者利用Nmap工具掃描，那么IDS無法利用它判斷，因為它是隨機產(chǎn)生介于5164的TTL值的分組的。第12頁/共21頁操作系統(tǒng)探測（協(xié)議棧指紋鑒別） 黑客對目標(biāo)主機發(fā)出探測包，由于不同OS廠商的IP協(xié)議棧實現(xiàn)存在細(xì)微差別，因此每種OS都有獨特的響應(yīng)方法，黑客經(jīng)常能夠確定目標(biāo)主機運行的OS。 利用Ping進(jìn)行探測，根據(jù)就是所返回的TTL值的細(xì)微差別，確定目標(biāo)主機的OS。 TTL接近256：UNIX系統(tǒng) TTL接近128：W

6、indows系統(tǒng) TTL接近64：Linux系統(tǒng)第13頁/共21頁查點 針對特定應(yīng)用和服務(wù)的漏洞掃描Web服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫服務(wù)器、防火墻、路由器 從系統(tǒng)中抽取有效賬號或?qū)С鲑Y源名這些信息很可能成為目標(biāo)系統(tǒng)的禍根（猜測密碼或查找漏洞）第14頁/共21頁4）嗅探技術(shù) 即局域網(wǎng)上主機監(jiān)聽到發(fā)送給其他主機的數(shù)據(jù)包內(nèi)容。 共享局域網(wǎng)將該主機網(wǎng)卡設(shè)置成混雜（Promiscuous）模式 各種局域網(wǎng)某主機使用ARP欺騙 兩種技術(shù)可結(jié)合使用，從而嗅探到局域網(wǎng)上傳送的用戶的帳號和口令。 返回第15頁/共21頁5）攻擊技術(shù)1）DoS/DDoS2）口令破解3）欺騙技術(shù)（IP、DNS、Web、Email）4）

7、會話劫持（重放攻擊、中間人攻擊、會話注射）5）緩沖區(qū)溢出（棧、堆、格式化字符串） 返回第16頁/共21頁6）權(quán)限提升技術(shù)1）GetAdmin權(quán)限提升方法2）SecHole權(quán)限提升方法3）NetDDE權(quán)限提升方法4）PipeUpAdmin權(quán)限提升方法 返回第17頁/共21頁7）痕跡清除和留置后門技術(shù)1）禁止日志審計 2）清除事件日志 3） Rootkit1）SUID后門（提升權(quán)限后門）2）rlogin后門（信任關(guān)系后門）3）NetCat后門（遠(yuǎn)程登錄后門）4）采用隧道技術(shù)的后門（封包來躲避防火墻）5）端口重定向后門（反向連接來躲避防火墻）6）鍵盤記錄器后門（木馬功能一種）7）木馬服務(wù)器后門（遠(yuǎn)程控制后門） 返回第18頁/共21頁8）特洛伊木馬/蠕蟲/病毒（1）以木馬為例：0）木馬的客戶端和服務(wù)器端1）木馬的種植 郵件正文/郵件附件/網(wǎng)頁/下載/共享2）種植后的隱藏 文件名/（附件）大小/圖標(biāo)/端口/路徑/注冊表3）木馬的啟動 自啟動/隨文件啟動4）啟動后隱藏 窗口/任務(wù)條/進(jìn)程第19頁/共21頁8）特洛伊木馬/蠕蟲/病毒（2）5）建立連接 S送回IP地