第章網(wǎng)絡(luò)攻擊與防護(hù)PPT課件

1、第8章 網(wǎng)絡(luò)攻擊與防護(hù) 黑客及攻擊8.1 IP欺騙8.2 拒絕服務(wù)攻擊8.3偵察與工具8.4 攻擊與滲透8.5 入侵監(jiān)測(cè)系統(tǒng)IDS8.6審 計(jì) 結(jié) 果8.76/30/202218.1 黑客及攻擊1黑客概述 在各種媒體上有許多關(guān)于Hacker這個(gè)名詞的定義，一般是指計(jì)算機(jī)技術(shù)的行家或熱衷于解決問(wèn)題、克服限制的人。這可以追溯到幾十年前第一臺(tái)微型計(jì)算機(jī)剛剛誕生的時(shí)代。那時(shí)有一個(gè)由程序設(shè)計(jì)專家和網(wǎng)絡(luò)名人所組成的具有分享特質(zhì)的文化族群。這一文化族群的成員創(chuàng)造了Hacker這個(gè)名詞。他們建立了Internet，創(chuàng)造出現(xiàn)在使用的UNIX操作系統(tǒng)，并且讓W(xué)orld Wide Web傳播開(kāi)來(lái)，這就是最早的Hac

2、ker。6/30/20222 也存在另外一個(gè)團(tuán)體，其成員也稱自己為Hacker。這些人專門闖入計(jì)算機(jī)或入侵電話系統(tǒng)，真正的Hacker稱他們?yōu)槿肭终撸–racker），并且不愿意和他們?cè)谝黄鹱鋈魏问?。Hacker們認(rèn)為這些人懶惰，不負(fù)責(zé)任，并且不夠光明正大。他們認(rèn)為，能破解安全系統(tǒng)并不能使你成為一位Hacker。基本上，Hacker和Cracker之間最主要的不同是，Hacker創(chuàng)造新東西，Cracker破壞東西?，F(xiàn)在，人們所說(shuō)的黑客是指Cracker。6/30/202232黑客常用的攻擊方法（1）獲取口令通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)，非法得到用戶口令知道用戶的賬號(hào)后利用一些專門軟件強(qiáng)行破解用戶口令獲得一個(gè)服

3、務(wù)器上的用戶口令文件后，用暴力破解程序破解用戶口令（2）放置特洛伊木馬程序6/30/20224（3）WWW的欺騙技術(shù)訪問(wèn)的網(wǎng)頁(yè)被黑客篡改過(guò)，當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁(yè)的時(shí)候，實(shí)際上是向黑客服務(wù)器發(fā)出請(qǐng)求，那么黑客就可以達(dá)到欺騙的目的了。（4）電子郵件攻擊 電子郵件轟炸和電子郵件“滾雪球”電子郵件欺騙（5）通過(guò)一個(gè)節(jié)點(diǎn)來(lái)攻擊其他節(jié)點(diǎn)黑客在突破一臺(tái)主機(jī)后，以此主機(jī)作為根據(jù)地，攻擊其他主機(jī)，從而隱藏其入侵路徑6/30/20225（6）網(wǎng)絡(luò)監(jiān)聽(tīng)在網(wǎng)絡(luò)監(jiān)聽(tīng)這種模式下，主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送發(fā)和接收方是誰(shuí)。（7）尋找系統(tǒng)漏洞（8）利用賬號(hào)進(jìn)行攻擊利用操作系統(tǒng)提供

4、的缺省賬戶和密碼進(jìn)行攻擊（9）偷取特權(quán)黑客通過(guò)非法手段獲得對(duì)用戶機(jī)器的完全控制權(quán)，甚至是整個(gè)網(wǎng)絡(luò)的絕對(duì)控制權(quán)。6/30/202268.2 IP欺騙 IP電子欺騙攻擊是指利用TCP/IP本身的缺陷進(jìn)行的入侵，即用一臺(tái)主機(jī)設(shè)備冒充另外一臺(tái)主機(jī)的IP地址，與其它設(shè)備通信，從而達(dá)到某種目的的過(guò)程。它不是進(jìn)攻的結(jié)果而是進(jìn)攻的手段。6/30/202278.2.1 IP欺騙原理所謂IP欺騙，就是偽造某臺(tái)主機(jī)的IP地址的技術(shù)。其實(shí)質(zhì)就是讓一臺(tái)機(jī)器來(lái)扮演另一臺(tái)機(jī)器，以達(dá)到蒙混過(guò)關(guān)的目的。被偽造的主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任。6/30/20228在IP欺騙的狀態(tài)下，三次握手的情況如下：第一步：黑客假

5、冒A主機(jī)IP向服務(wù)方B主機(jī)發(fā)送SYN，告訴B主機(jī)是他所信任的A主機(jī)想發(fā)起一次TCP連接，序列號(hào)為數(shù)值X，這一步實(shí)現(xiàn)比較簡(jiǎn)單，黑客將IP包的源地址偽造為A主機(jī)IP地址即可。 第二步：服務(wù)方B產(chǎn)生SYN ACK響應(yīng)，并向請(qǐng)求方A主機(jī)（注意:是A，不是黑客，因?yàn)锽收到的IP包的源地址是A）發(fā)送ACK，6/30/20229ACK的值為X+1，表示數(shù)據(jù)成功接收到，且告知下一次希望接收到字節(jié)的SEQ是X+1。同時(shí)，B向請(qǐng)求方A發(fā)送自己的SEQ，注意，這個(gè)數(shù)值對(duì)黑客是不可見(jiàn)的。 第三步：黑客再次向服務(wù)方發(fā)送ACK，表示接收到服務(wù)方的回應(yīng)雖然實(shí)際上他并沒(méi)有收到服務(wù)方B的SYN ACK響應(yīng)。這次它的SEQ值為X

6、+1，同時(shí)它必須猜出ACK的值，并加1后回饋給B主機(jī)。6/30/202210IP欺騙技術(shù)有如下三個(gè)特征：（1）只有少數(shù)平臺(tái)能夠被這種技術(shù)攻擊，也就是說(shuō)很多平臺(tái)都不具有這方面缺陷。（2）這種技術(shù)出現(xiàn)的可能性比較小，因?yàn)檫@種技術(shù)不好理解，也不好操作，只有一些真正的網(wǎng)絡(luò)高手才能做到這點(diǎn)。（3）很容易防備這種攻擊方法，如使用防火墻等。6/30/202211IP欺騙的對(duì)象 IP欺騙只能攻擊那些完全實(shí)現(xiàn)了TCP/IP協(xié)議，包括所有的端口和服務(wù)。 IP欺騙的實(shí)施 幾乎所有的欺騙都是基于某些機(jī)器之間的相互信任的。 黑客可以通過(guò)很多命令或端口掃描技術(shù)、監(jiān)聽(tīng)技術(shù)確定機(jī)器之間的信任關(guān)系，例如一臺(tái)提供服務(wù)的機(jī)器很容易

7、被端口掃描出來(lái)，使用端口掃描技術(shù)同樣可以非常方便地確定一個(gè)局部網(wǎng)絡(luò)內(nèi)機(jī)器之間的相互關(guān)系。 6/30/202212假定一個(gè)局域網(wǎng)內(nèi)部存在某些信任關(guān)系。例如，主機(jī)A信任主機(jī)B、主機(jī)B信任主機(jī)C，則為了侵入該網(wǎng)絡(luò)，黑客可以采用下面兩種方式。（1）通過(guò)假冒機(jī)器B來(lái)欺騙機(jī)器A和C。（2）通過(guò)假冒機(jī)器A或C來(lái)欺騙機(jī)器B。為了假冒機(jī)器C去欺騙機(jī)器B，首要的任務(wù)是攻擊原來(lái)的C，使得C發(fā)生癱瘓。這是一種拒絕服務(wù)的攻擊方式。6/30/2022138.2.2 IP欺騙的防止1拋棄基于地址的信任策略2進(jìn)行包過(guò)濾3使用加密方法4使用隨機(jī)化的初始序列號(hào)6/30/202214 對(duì)于來(lái)自網(wǎng)絡(luò)外部的欺騙來(lái)說(shuō)，阻止這種攻擊的方法

8、是很簡(jiǎn)單的，在局部網(wǎng)絡(luò)的對(duì)外路由器上加一個(gè)限制條件，只要在路由器里面設(shè)置不允許聲稱來(lái)自于內(nèi)部網(wǎng)絡(luò)的外來(lái)包通過(guò)就行了。如果網(wǎng)絡(luò)存在外部的可信任主機(jī)，那么路由器就無(wú)法防止別人冒充這些主機(jī)而進(jìn)行的IP欺騙。當(dāng)實(shí)施欺騙的主機(jī)在同一網(wǎng)絡(luò)內(nèi)時(shí)，攻擊往往容易得手，并且不容易防范。 6/30/202215 應(yīng)該注意與外部網(wǎng)絡(luò)相連的路由器，看它是否支持內(nèi)部接口。如果路由器有支持內(nèi)部網(wǎng)絡(luò)子網(wǎng)的兩個(gè)接口，則須警惕，因?yàn)楹苋菀资艿絀P欺騙。這也是為什么說(shuō)將Web服務(wù)器放在防火墻外面有時(shí)會(huì)更安全的原因。 檢測(cè)和保護(hù)站點(diǎn)免受IP欺騙的最好辦法就是安裝一個(gè)過(guò)濾路由器，來(lái)限制對(duì)外部接口的訪問(wèn)，禁止帶有內(nèi)部網(wǎng)資源地址包通過(guò)。當(dāng)

9、然也應(yīng)禁止（過(guò)濾）帶有不同內(nèi)部資源地址的內(nèi)部包通過(guò)路由器到別的網(wǎng)上去，這就防止內(nèi)部的用戶對(duì)別的站點(diǎn)進(jìn)行IP欺騙。 6/30/2022168.3 拒絕服務(wù)攻擊8.3.1 概述DoS-Denial of Service：現(xiàn)在一般指導(dǎo)致服務(wù)器不能正常提供服務(wù)的攻擊。圖8-1 拒絕服務(wù)攻擊示意圖6/30/202217 拒絕服務(wù)是一種簡(jiǎn)單的破壞性攻擊，通常攻擊者利用TCP/IP中的某個(gè)漏洞，或者系統(tǒng)存在的某些漏洞，對(duì)目標(biāo)系統(tǒng)發(fā)起大規(guī)模的攻擊，使得攻擊目標(biāo)失去工作能力，使得系統(tǒng)不可訪問(wèn)，合法用戶不能及時(shí)得到應(yīng)得的服務(wù)或系統(tǒng)資源，它最本質(zhì)的特征是延長(zhǎng)正常的應(yīng)用服務(wù)的等待時(shí)間。6/30/202218DoS攻擊

10、的事件 ： 2000年2月份的Yahoo、亞馬遜、CNN被DoS攻擊。 2002年10月全世界13臺(tái)DNS服務(wù)器同時(shí)受到了DDoS（分布式拒絕服務(wù)）攻擊。 2003年1月25日的“2003蠕蟲王”病毒。 2004年8月，共同社報(bào)道：日本近期共有上百網(wǎng)站遭到黑客襲擊。6/30/2022198.3.2 拒絕服務(wù)攻擊的原理1拒絕服務(wù)的模式 按照入侵方式，拒絕服務(wù)可以分為資源消耗型，配置修改型，物理破壞型以及服務(wù)利用型。6/30/202220（1）資源消耗型：指入侵者試圖消耗目標(biāo)的合法資源，如網(wǎng)絡(luò)帶寬、內(nèi)存和磁盤空間等，從而達(dá)到拒絕服務(wù)的目的。（2）配置修改型：入侵者通過(guò)改變或者破壞系統(tǒng)的配置信息，來(lái)

11、阻止其他合法用戶使用計(jì)算機(jī)和網(wǎng)絡(luò)提供的服務(wù)。6/30/202221（3）物理破壞型：它主要針對(duì)物理設(shè)備的安全。入侵者可以通過(guò)破壞或者改變網(wǎng)絡(luò)部件以實(shí)現(xiàn)拒絕服務(wù)。（4）服務(wù)利用型：入侵者常用的是TCP/IP以及目標(biāo)系統(tǒng)自身應(yīng)用軟件中的一些漏洞和弱點(diǎn)，來(lái)達(dá)到拒絕服務(wù)的目的。6/30/2022222拒絕服務(wù)常用方法以消耗目標(biāo)主機(jī)的可用資源為目的（例如：死亡之ping、SYN攻擊、Land攻擊、淚珠攻擊（Teardrop）、Smurf攻擊等） 以消耗服務(wù)器鏈路的有效帶寬為目的（例如：蠕蟲） 6/30/202223攻擊者 目標(biāo)主機(jī)SYNSYN/ACKACK等待應(yīng)答SYN：同步SYN/ACK:同步/確認(rèn)A

12、CK：確認(rèn)SYN攻擊的原理（1）6/30/202224.SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標(biāo)主機(jī)SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK.等待ACK應(yīng)答.不應(yīng)答不應(yīng)答重新發(fā)送SYN攻擊的原理（2）6/30/2022251)攻擊者攻擊諸客戶主機(jī)以求分析他們的安全水平和脆弱性。攻擊者各種客戶主機(jī)目標(biāo)系統(tǒng)2)攻擊者進(jìn)入其已經(jīng)發(fā)現(xiàn)的最弱的客戶主機(jī)之內(nèi)(“肉雞”)，并且秘密地安置一個(gè)其可遠(yuǎn)程控制的代理程序(端口監(jiān)督程序demon)。攻擊準(zhǔn)備：安置代理代理程序DDoS (分布式拒絕服務(wù))攻擊（1）6/30/202226 3)攻擊者使

13、他的全部代理程序同時(shí)發(fā)送由殘缺的數(shù)字包構(gòu)成的連接請(qǐng)求送至目標(biāo)系統(tǒng)。攻擊者目標(biāo)系統(tǒng)發(fā)起攻擊：指令攻擊的代理程序4)包括虛假的連接請(qǐng)求在內(nèi)的大量殘缺的數(shù)字包攻擊目標(biāo)系統(tǒng)，最終將導(dǎo)致它因通信淤塞而崩潰。虛假的連接請(qǐng)求DDoS (分布式拒絕服務(wù))攻擊（2）6/30/2022278.4 偵察與工具8.4.1 安全掃描 安全掃描以各種各樣的方式進(jìn)行?？梢岳肞ing和端口掃描程序來(lái)偵查網(wǎng)絡(luò)，也可以使用客戶端/服務(wù)器程序，如Telnet和SNMP等來(lái)偵查網(wǎng)絡(luò)泄漏的有用信息。應(yīng)當(dāng)利用一些工具來(lái)了解網(wǎng)絡(luò)。有些工具很簡(jiǎn)單，便于安裝和使用。有時(shí)，審計(jì)人員和黑客會(huì)利用程序語(yǔ)言如Perl, C,C+和Java自己編制一

14、些工具，因?yàn)樗麄冋也坏浆F(xiàn)成的針對(duì)某種漏洞的工具。6/30/202228 另外一些工具功能更全面，但是在使用前需要認(rèn)真地配置。有專門從事網(wǎng)絡(luò)管理和安全的公司出售這些工具。好的網(wǎng)絡(luò)級(jí)和主機(jī)級(jí)掃描器會(huì)監(jiān)聽(tīng)和隔離進(jìn)出網(wǎng)絡(luò)和主機(jī)的所有會(huì)話包。在學(xué)習(xí)這些“Hacker-in-a-box”的解決方案前，應(yīng)當(dāng)先接觸一些當(dāng)前黑客常常使用的技巧。6/30/2022291Whois命令 Whois（類似于finger）是一種Internet的目錄服務(wù)，whois提供了在Internet上一臺(tái)主機(jī)或某個(gè)域的所有者的信息，如管理員的姓名、通信地址、電話號(hào)碼和E-mail地址等信息，這些信息是在官方網(wǎng)站whois ser

15、ver上注冊(cè)的，如保存在InterNIC的數(shù)據(jù)庫(kù)內(nèi)。Whois命令通常是安全審計(jì)人員了解網(wǎng)絡(luò)情況的開(kāi)始。一旦得到了Whois記錄，從查詢的結(jié)果還可得知primary和secondary域名服務(wù)器的信息。 6/30/2022302nslookup 使用DNS的排錯(cuò)工具nslookup，可以利用從whois查詢到的信息偵查更多的網(wǎng)絡(luò)情況。例如，使用nslookup命令把主機(jī)偽裝成secondary DNS服務(wù)器，如果成功便可以要求從主DNS服務(wù)器進(jìn)行區(qū)域傳送。要是傳送成功的話，將獲得大量有用信息，包括： 使用此DNS服務(wù)器做域名解析到所有主機(jī)名和IP地址的映射情況； 公司使用的網(wǎng)絡(luò)和子網(wǎng)情況； 主

16、機(jī)在網(wǎng)絡(luò)中的用途，許多公司使用帶有描述性的主機(jī)名。 6/30/202231 使用nslookup實(shí)現(xiàn)區(qū)域傳送的過(guò)程有如下幾步。 第1步，使用whois命令查詢目標(biāo)網(wǎng)絡(luò)，例如在Linux提示符下輸入whois 。 第2步，得到目標(biāo)網(wǎng)絡(luò)的primary和slave DNS服務(wù)器的信息。例如，假設(shè)主DNS服務(wù)器的名字是。 第3步，使用交互查詢方式，缺省情況下nslookup會(huì)使用缺省的DNS服務(wù)器作域名解析。鍵入命令server 定位目標(biāo)網(wǎng)絡(luò)的DNS服務(wù)器。6/30/202232 第4步，列出目標(biāo)網(wǎng)絡(luò)DNS服務(wù)器的內(nèi)容，如ls 。此時(shí)DNS服務(wù)器會(huì)把數(shù)據(jù)傳送過(guò)來(lái)。當(dāng)然，管理員可以禁止DNS服務(wù)器進(jìn)行

17、區(qū)域傳送，目前很多公司將DNS服務(wù)器至于防火墻的保護(hù)之下并嚴(yán)格設(shè)定了只能向某些主機(jī)進(jìn)行區(qū)域傳送。 一旦從區(qū)域傳送中獲得了有用信息，便可以對(duì)每臺(tái)主機(jī)實(shí)施端口掃描以確定它們提供了哪些服務(wù)。如果不能實(shí)現(xiàn)區(qū)域傳送，用戶還可以借助ping和端口掃描工具，當(dāng)然還有traceroute。6/30/2022333host Host命令是UNIX提供的有關(guān)Internet域名查詢的命令，可實(shí)現(xiàn)主機(jī)名到IP地址的映射，反之亦然。用host命令可實(shí)現(xiàn)以下功能： 實(shí)現(xiàn)區(qū)域傳送； 獲得名稱解析信息； 得知域中郵件服務(wù)器的信息。參數(shù)-v可顯示更多的信息，參數(shù)-l實(shí)現(xiàn)區(qū)域傳送，參數(shù)-t允許查詢特定的DNS記錄。6/30/2

18、02234 例如，要查詢域的郵件服務(wù)器的記錄，需要鍵入命令： host t mx （你可以參考UNIX命令幫助獲得更多信息）Traceroute（tracert） Traceroute 用于路由追蹤，如判斷從主機(jī)到目標(biāo)主機(jī)經(jīng)過(guò)哪些路由器、跳計(jì)數(shù)、響應(yīng)時(shí)間如何等。大多數(shù)操作系統(tǒng)（包括UNIX、Novell和Windows NT）若配置了TCP/IP協(xié)議的話，都會(huì)有自己版本的traceroute程序。當(dāng)然也可以使用其他一些第三方的路由追蹤軟件，在后面我們會(huì)接觸到這些工具。 使用traceroute，你可以推測(cè)出網(wǎng)絡(luò)的物理布局，包括該網(wǎng)絡(luò)連接Internet所使用的路由器。traceroute還可以

19、判斷出響應(yīng)較慢的節(jié)點(diǎn)和數(shù)據(jù)包在路由過(guò)程中的跳計(jì)數(shù)。 6/30/2022354Ping掃描作用及工具 Ping一個(gè)公司的Web服務(wù)器可幫助獲得該公司所使用的IP地址范圍。一旦得知了HTTP服務(wù)器的IP地址，就可以使用Ping掃描工具Ping該子網(wǎng)的所有IP地址，這可以幫助得到該網(wǎng)絡(luò)的地址圖。 Ping掃描程序?qū)⒆詣?dòng)掃描所指定的IP地址范圍，WS_Ping ProPack工具包中集成有Ping掃描程序。單獨(dú)的Ping工具有許多，Rhino9 Pinger是比較流行的程序。 6/30/2022368.4.2 端口掃描與其他1端口掃描 端口掃描與ping掃描相似，不同的是端口掃描不僅可以返回IP地址，

20、還可以發(fā)現(xiàn)目標(biāo)系統(tǒng)上活動(dòng)的UDP和TCP端口。 例如，地址0正在運(yùn)行SMTP和Telnet服務(wù)，地址2正在運(yùn)行FTP服務(wù)，主機(jī)4未運(yùn)行任何可辨別的服務(wù)，而主機(jī)6運(yùn)行著SMTP服務(wù)。最后一臺(tái)主機(jī)屬于Microsoft網(wǎng)絡(luò)，因?yàn)樵摼W(wǎng)絡(luò)使用UDP137和TCP138、139端口。 6/30/202237（1）端口掃描軟件 端口掃描器是黑客最常使用的工具。一些單獨(dú)使用的端口掃描工具像Port Scanner1.1，定義好IP地址范圍和端口后便可開(kāi)始實(shí)施掃描。還有許多單獨(dú)使用的端口掃描器，如UltraScan等。如同

21、Ping掃描器，許多工具也集成了端口掃描器。NetScan、Ping Pro和其他一些程序包集成了盡可能多的相關(guān)程序。許多企業(yè)級(jí)的網(wǎng)絡(luò)產(chǎn)品也將ping和端口掃描集成起來(lái)。6/30/202238（2）網(wǎng)絡(luò)偵查和服務(wù)器偵查程序 使用簡(jiǎn)單的程序如Ping Pro，可以偵查出Microsoft的網(wǎng)絡(luò)上開(kāi)啟的端口。Ping Pro的工作是通過(guò)監(jiān)測(cè)遠(yuǎn)程過(guò)程調(diào)用服務(wù)所使用的TCP、UDP135端口，和Microsoft 網(wǎng)絡(luò)會(huì)話所使用的UDP137，138，和139端口來(lái)實(shí)現(xiàn)的。其他的網(wǎng)絡(luò)掃描工具允許你監(jiān)測(cè)UNIX、Novell、AppleTalk的網(wǎng)絡(luò)。雖然Ping Pro只能工作在其安裝的特定子網(wǎng)，但還

22、有更多更復(fù)雜的工具，這些工具的設(shè)計(jì)者把它們?cè)O(shè)計(jì)成為可以識(shí)別更多的網(wǎng)絡(luò)和服務(wù)類型的程序。 例如，NMAP是UNIX下的掃描工具，它可以識(shí)別不同操作系統(tǒng)在處理TCP/IP協(xié)議上細(xì)微的差別。其他類似的程序還包括checkos,queso和SATAN。6/30/2022392堆棧指紋 許多程序都利用堆棧指紋技術(shù)，這種技術(shù)允許利用TCP/IP來(lái)識(shí)別不同的操作系統(tǒng)和服務(wù)。因?yàn)榇蠖鄶?shù)的系統(tǒng)管理員注意到信息的泄露而且屏蔽了系統(tǒng)標(biāo)志，所以應(yīng)用堆棧指紋的技術(shù)十分必要。但是，各個(gè)廠商和系統(tǒng)處理TCP/IP的特征是管理員所難以更改的。許多審計(jì)人員和黑客記錄下這些TCP/IP應(yīng)用的細(xì)微差別，并針對(duì)各種系統(tǒng)構(gòu)建了堆棧指紋

23、表。 6/30/202240 要想了解操作系統(tǒng)間處理TCP/IP的差異，需要向這些系統(tǒng)的IP和端口發(fā)送各種特殊的包。根據(jù)這些系統(tǒng)對(duì)包的回應(yīng)的差別，可以推斷出操作系統(tǒng)的種類。例如，可以向主機(jī)發(fā)送FIN包（或任何不含有ACK或SYN標(biāo)志的包），從下列操作系統(tǒng)將獲得回應(yīng)： Microsoft Windows NT,98,95,和3.11 FreeBSD CISCO HP/UX 6/30/202241 大多數(shù)其他系統(tǒng)不會(huì)回應(yīng)。雖然只不過(guò)縮小了一點(diǎn)范圍，但這至少開(kāi)始了對(duì)目標(biāo)系統(tǒng)的了解。如果向目標(biāo)系統(tǒng)發(fā)送的報(bào)文頭有未定義標(biāo)志的TCP包的話，2.0.35版本以前的LINUX系統(tǒng)會(huì)在回應(yīng)中加入這個(gè)未定義的標(biāo)志

24、。這種特定的行為可以判斷出目標(biāo)主機(jī)上是否運(yùn)行該種LINUX操作系統(tǒng)。 6/30/202242 下面是堆棧指紋程序利用的部分特征，許多操作系統(tǒng)對(duì)它們的處理方式不同： ICMP錯(cuò)誤信息抑制 服務(wù)類型值(TOS) TCP/IP選項(xiàng) 對(duì)SYN FLOOD的抵抗力 TCP初始窗口 只要TCP開(kāi)始進(jìn)行三次握手，總是先發(fā)出一個(gè)SYN包。像NMAP這樣的程序會(huì)發(fā)出一個(gè)SYN包欺騙操作系統(tǒng)作回應(yīng)。堆棧指紋程序可以從回應(yīng)報(bào)文的格式，推論出目標(biāo)操作系統(tǒng)的一些情況。6/30/202243 NMAP由于功能強(qiáng)大、不斷升級(jí)和免費(fèi)的原因，使之十分流行。它對(duì)網(wǎng)絡(luò)的偵查十分有效是基于兩個(gè)原因。首先，它具有非常靈活的TCP/IP

25、堆棧指紋引擎。NMAP的制作人FYODOR不斷升級(jí)該引擎，使它能夠盡可能多的進(jìn)行猜測(cè)。NMAP可以準(zhǔn)確地掃描服務(wù)器操作系統(tǒng)（包括Novell、UNIX、Linux、NT），路由器（包括CISCO、3COM和HP），還有一些撥號(hào)設(shè)備。其次，它可以穿透網(wǎng)絡(luò)邊緣的安全設(shè)備，例如防火墻。 6/30/202244 NMAP穿透防火墻的一種方法是利用碎片掃描技術(shù)（fragment scans），可以發(fā)送隱秘的FIN包（-sF）、Xmas tree包（-sX）或NULL包（-sN）。這些選項(xiàng)允許將TCP查詢分割成片斷，從而繞過(guò)防火墻規(guī)則。這種策略對(duì)很多流行的防火墻產(chǎn)品都很有效。 當(dāng)前NMAP只能運(yùn)行在Lin

26、ux操作系統(tǒng)上，包括Free BSD 2.2.6-30、HP/UX和Solaris等Linux的所有版本。在Linux的X-Windows上還提供圖形界面。最好的掌握NMAP的方法是學(xué)習(xí)使用它。使用nmaph命令可以顯示幫助信息，當(dāng)然，也可以用man nmap命令查看它的使用手冊(cè)。 6/30/2022453共享掃描 共享掃描指可以掃描網(wǎng)絡(luò)中絕大多數(shù)的內(nèi)容，包括正在使用的共享。這種掃描過(guò)程提供了重要的偵查和利用各種資源和文件的方法。6/30/202246（1）共享掃描軟件 Ping Pro提供了允許審計(jì)人員掃描Windows網(wǎng)絡(luò)共享的功能。它能偵查出共享名稱，但不會(huì)入侵共享。例如，Microso

27、ft網(wǎng)絡(luò)利用TCP139端口建立共享。更具侵略性的偵查軟件有知名的RedButton，許多Internet站點(diǎn)都免費(fèi)提供下載。 RedButton是一個(gè)很古老的程序，大多數(shù)的系統(tǒng)管理員和安全管理員都找到了防范它的方法。這個(gè)程序不僅可以偵查出共享名稱還可以發(fā)現(xiàn)相應(yīng)的密碼。它還可以獲得管理員的賬號(hào)名稱。 6/30/202247（2）缺省配置和補(bǔ)丁級(jí)掃描 黑客和審計(jì)人員對(duì)系統(tǒng)的缺省配置很了解，可以編制工具查找這些弱點(diǎn)。實(shí)際上，許多企業(yè)級(jí)的偵查工具都是針對(duì)這些弱點(diǎn)進(jìn)行工作的。安全專家還知道操作系統(tǒng)工作的細(xì)節(jié)，根據(jù)服務(wù)補(bǔ)丁和hot fix的數(shù)量進(jìn)行升級(jí)。 6/30/202248（3）使用Telnet T

28、elnet是遠(yuǎn)程登錄系統(tǒng)進(jìn)行管理的程序，缺省情況下telnet使用23端口。當(dāng)然，也可以利用Telnet客戶端程序連接到其他端口。 例如，可以遠(yuǎn)程連接至HTTP端口。在連接一段時(shí)間內(nèi)若沒(méi)有任何動(dòng)作，服務(wù)器會(huì)因?yàn)闊o(wú)法識(shí)別這次連接而自動(dòng)切斷。但是通常可以從HTTP服務(wù)器上得到一些信息。例如，可以得知服務(wù)廠商的信息、版本（如Apache Web Server 1.36或IIS 4.0）等。 雖然信息不是很多，但至少能從報(bào)錯(cuò)信息中推斷出服務(wù)器類型，在Web服務(wù)器報(bào)錯(cuò)信息中可以看出HTTP服務(wù)器版本，還可以用Telnet連接上系統(tǒng)再使用SYST命令，許多TCP/IP堆棧會(huì)泄漏一些重要的信息6/30/20

29、22494掃描等級(jí) 大多數(shù)的企業(yè)級(jí)掃描器允許選擇安全掃描的等級(jí)。一次輕級(jí)別的掃描通常會(huì)掃描眾所周知的端口（從0到1023）和常見(jiàn)的安全漏洞，包括弱口令，低的補(bǔ)丁等級(jí)和額外的服務(wù)。如果掃描一個(gè)小型的子網(wǎng)大概需要花費(fèi)30分鐘。中級(jí)和嚴(yán)格級(jí)別的掃描根據(jù)網(wǎng)絡(luò)的速度和運(yùn)行掃描程序的主機(jī)CPU的時(shí)鐘速度快慢等因素，通常會(huì)花費(fèi)幾天的時(shí)間。 定義嚴(yán)格級(jí)別的掃描策略會(huì)讓掃描器對(duì)目標(biāo)網(wǎng)絡(luò)發(fā)起連續(xù)的攻擊。如果設(shè)置了規(guī)則讓掃描器掃描所有的65,535個(gè)端口，還要檢測(cè)口令強(qiáng)度以及細(xì)致地分析從管理賬戶到UNIX子系統(tǒng)的每項(xiàng)服務(wù)的話，工作量是相當(dāng)大的。這種掃描不僅費(fèi)時(shí)，而且會(huì)極大地加重網(wǎng)絡(luò)的負(fù)擔(dān)。個(gè)別主機(jī)將無(wú)法承受這種掃描

30、。 6/30/2022505配置文件和策略 在使用任何掃描器前，必須首先定義配置文件，然后再實(shí)施策略。絕大多數(shù)的掃描程序事先都定義了一些配置和策略，但可以根據(jù)實(shí)際需要對(duì)它們進(jìn)行編輯和增加。需要注意的是要將策略和配置文件結(jié)合起來(lái)。 6/30/202251（1）報(bào)告功能 企業(yè)級(jí)的掃描程序具有細(xì)致的報(bào)告功能?？梢杂煤芏喾N格式輸出信息，包括： 簡(jiǎn)單的ASCII文本 HTML字處理文本格式，如RTF，或一些專利格式，例如Microsoft Word（DOC）或Corel Word Perfect（WPD） 電子表格形式，例如Microsoft Excel 圖形格式，包括幻燈片，例如Microsoft P

31、owerPoint 6/30/202252（2）報(bào)告風(fēng)險(xiǎn)等級(jí) 大多數(shù)的網(wǎng)絡(luò)掃描器將風(fēng)險(xiǎn)分成低、中、高三個(gè)等級(jí)。應(yīng)該了解各種掃描器是如何匯報(bào)它們掃描結(jié)果的。即使得出網(wǎng)絡(luò)只有低的安全問(wèn)題，也不應(yīng)該沾沾自喜。一名優(yōu)秀的黑客可以從很小的缺陷入手就會(huì)給系統(tǒng)帶來(lái)致命的破壞。 6/30/202253（3）Axcet NetRecon NetRecon是最先為Windows NT網(wǎng)絡(luò)設(shè)計(jì)的網(wǎng)絡(luò)掃描產(chǎn)品之一。NetRecon象其他掃描器一樣可以發(fā)現(xiàn)網(wǎng)絡(luò)中的各種元素，包括密碼檢查。 NetRecon可以比較準(zhǔn)確地模擬各種攻擊。NetRecon的界面由三個(gè)窗格組成，對(duì)象窗口允許查看每個(gè)掃描對(duì)象，通過(guò)單擊可以展開(kāi)目錄

32、結(jié)構(gòu)；通過(guò)掃描網(wǎng)絡(luò)，圖形窗口顯示低、中、高的風(fēng)險(xiǎn)等級(jí)；狀態(tài)欄顯示掃描的進(jìn)程?？梢詫?duì)網(wǎng)絡(luò)進(jìn)行深度掃描，當(dāng)然這種掃描會(huì)耗費(fèi)大量的時(shí)間。例如，廣泛的掃描會(huì)花費(fèi)兩天的時(shí)間。 6/30/2022548.4.3 掃描產(chǎn)品1NetRecon 在NetRecon中以一些漏洞列表作為偵查數(shù)據(jù)庫(kù)，可以將這個(gè)列表理解為攻擊指紋，但是這個(gè)名詞通常被用于入侵檢測(cè)系統(tǒng)程序中。如果你持有NetRecon的授權(quán)，便可以從Axent的Web站點(diǎn)升級(jí)這個(gè)漏洞列表。通過(guò)Reprots|view Vulnerability Descriptions菜單，可以查看相關(guān)漏洞的描述。 6/30/202255下面列出NetRecon可以掃描

33、出的系統(tǒng)漏洞： Finger服務(wù)漏洞 GameOver（遠(yuǎn)程管理訪問(wèn)攻擊） 未授權(quán)注銷禁止 服務(wù)漏洞，包括SMTP、DNS、FTP、HTTP、SOCKS代理和低的sendmail補(bǔ)丁等級(jí)大多數(shù)網(wǎng)絡(luò)掃描器，如NetRecon，包含了事先定義好的對(duì)象列表。通過(guò)選擇“Reprots”“View Objective Descriptions”，可以查看在NetRecon中已經(jīng)配置好的當(dāng)前對(duì)象列表。 6/30/2022562Network Associates CyberCop Scanner CyberCop Scanner是Network Associates的產(chǎn)品，該公司的產(chǎn)品還包括Sniffer

34、 Basic（前身是NetXRay）和其他網(wǎng)絡(luò)管理軟件。象NetRecon一樣，CyberCop Scanner是一個(gè)主機(jī)級(jí)別的審計(jì)程序。與Axent的產(chǎn)品一樣，CyberCop把各種漏洞分類為低、中、高三個(gè)等級(jí)。 技術(shù)提示：CyberCop Monitor不是網(wǎng)絡(luò)掃描器，它是入侵監(jiān)測(cè)系統(tǒng)程序，能夠?qū)诳突顒?dòng)進(jìn)行監(jiān)視，提供報(bào)警功能，還能懲罰黑客。你將在本教程中學(xué)習(xí)一些入侵檢測(cè)系統(tǒng)程序。 6/30/2022573WebTrends Security Analyzer 該軟件以前叫Asmodeus Security Scanner，WebTrends的產(chǎn)品在UNIX和NT系統(tǒng)下都經(jīng)過(guò)很好的測(cè)試。S

35、ecurity Analyzer的優(yōu)點(diǎn)之一是與UNIX搭配使用多年，操作界面簡(jiǎn)單易用。 在主界面上選擇“Policy”，然后“edit”，這時(shí)“Security Analyzer”的選項(xiàng)窗口將出現(xiàn)。你可以選擇掃描的強(qiáng)度，或編輯已有的策略、建立新的策略。如果你單擊Host Selection標(biāo)簽，便可以選擇子網(wǎng)內(nèi)主機(jī)的范圍。6/30/2022584Internet Security Systems的掃描產(chǎn)品 Internet Security Systems是最早生產(chǎn)掃描程序的公司，提供跨操作平臺(tái)的安全工具包。（1）ISS Internet Scanner 這款掃描器工作于UNIX和NT平臺(tái)，像

36、Axent NetRecon、WebTrends Security Analyzer和其他掃描器一樣，可以掃描遠(yuǎn)程主機(jī)。Ineternet Scanner有三個(gè)模塊：intranet、firewall和Web服務(wù)器，程序的策略是希望將網(wǎng)絡(luò)活動(dòng)分類，并針對(duì)每種活動(dòng)提供一種掃描方案，也可以在三個(gè)模塊中定義自己的掃描參數(shù)。 6/30/202259下面是Internet Scanner中的部分掃描項(xiàng)目： PHP3緩沖區(qū)溢出 Teardrop和Teardrop2攻擊 跨網(wǎng)絡(luò)的協(xié)議分析儀（包括tcpdump和Sniffer Basic） 搜索一些FTP服務(wù)類型，包括War FTP SNMP和RMON檢測(cè)

37、Whois檢測(cè) SAMBA溢出 增強(qiáng)的SMS支持 增強(qiáng)的NT功能，使它與UNIX一樣有效 6/30/202260（2）ISS Security Scanner Security Scanner是基于主機(jī)的掃描程序，它可以深入挖掘系統(tǒng)的情況。由于是基于主機(jī)的，所以能更深入地掃描系統(tǒng)內(nèi)部，在檢查像數(shù)據(jù)庫(kù)、FTP和Web服務(wù)等特定的系統(tǒng)時(shí)顯得十分有用。這種程序應(yīng)該運(yùn)行在考慮到有黑客活動(dòng)的高風(fēng)險(xiǎn)的系統(tǒng)上。 6/30/2022615其他掃描程序廠商其他提供掃描和檢測(cè)漏洞的產(chǎn)品有： Security Dynamics Kane Security Analyst Netect HackerShield6/3

38、0/2022628.5 攻擊與滲透8.5.1 常見(jiàn)攻擊類型和特征 一旦黑客定位了要攻擊的網(wǎng)絡(luò)，就會(huì)選定一個(gè)目標(biāo)進(jìn)行滲透。通常這個(gè)目標(biāo)是安全漏洞最多，或是其擁有最多攻擊工具的主機(jī)。6/30/2022631常見(jiàn)的攻擊滲透網(wǎng)絡(luò)和主機(jī)的方法（1）字典攻擊：黑客利用一些自動(dòng)執(zhí)行的程序來(lái)猜測(cè)用戶使用的口令和密碼。（2）Man-in-the-middle攻擊：黑客從合法的傳輸過(guò)程中嗅探密碼和信息。（3）劫持攻擊：在雙方進(jìn)行會(huì)話時(shí)被黑客入侵，黑客黑掉其中一方，并冒充他繼續(xù)與另一方進(jìn)行會(huì)話。6/30/202264（4）病毒攻擊：利用病毒來(lái)消耗系統(tǒng)資源。（5）非法服務(wù)：是任何未經(jīng)同意便運(yùn)行在操作系統(tǒng)上的進(jìn)程或服務(wù)

39、。（6）拒絕服務(wù)攻擊：利用各種程序使系統(tǒng)崩潰或消耗帶寬。6/30/2022652容易遭受攻擊的目標(biāo)（1）路由器 （2）數(shù)據(jù)庫(kù) （3）服務(wù)器安全（4）Web頁(yè)面涂改 （5）郵件服務(wù) （6）名稱服務(wù) 6/30/2022668.5.2 審計(jì)系統(tǒng)漏洞安全審計(jì)系統(tǒng)的主要作用：對(duì)潛在的攻擊者起到震懾或警告作用。對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追糾證據(jù)。為系統(tǒng)安全管理員提供有何時(shí)何地的系統(tǒng)使用日志，從而幫助系統(tǒng)安全管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。為系統(tǒng)安全管理員提供系統(tǒng)運(yùn)行的統(tǒng)計(jì)日志，使系統(tǒng)安全管理員能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進(jìn)的地方。6/30/202267審計(jì)系統(tǒng)漏洞：1審計(jì)Trap

40、 Door和Root Kit 2審計(jì)和后門程序 3審計(jì)拒絕服務(wù)攻擊4緩沖區(qū)溢出 5Telnet的拒絕服務(wù)攻擊 6Windows NT的TCP port 3389存在漏洞 7特洛伊木馬 8蠕蟲 6/30/2022688.5.3 結(jié)合所有攻擊定制審計(jì)策略 1設(shè)備和服務(wù) 2物理接觸 3操作系統(tǒng)策略 4較弱的密碼策略 5較弱的系統(tǒng)策略 6審計(jì)文件系統(tǒng)漏洞 7IP欺騙和劫持6/30/2022698.6 入侵監(jiān)測(cè)系統(tǒng)IDS8.6.1 入侵監(jiān)測(cè)的功能1什么是入侵監(jiān)測(cè) 入侵監(jiān)測(cè)系統(tǒng)處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵監(jiān)測(cè)系統(tǒng)是防火墻的延續(xù)，它們可以與防火墻和路

41、由器配合工作。6/30/202270 入侵監(jiān)測(cè)就是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。入侵監(jiān)測(cè)系統(tǒng)（IDS）被認(rèn)為是防火墻之后的第二道安全閘門。IDS掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來(lái)過(guò)濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時(shí)報(bào)警。6/30/2022712入侵監(jiān)測(cè)的功能 （1）網(wǎng)絡(luò)流量管理 （2）系統(tǒng)掃描（3）追蹤 ：IDS所能做到的不僅僅是記錄事件，它還可以確定事件發(fā)生的位置。6/30/2022728.6.2 入侵監(jiān)測(cè)系統(tǒng)的構(gòu)架網(wǎng)絡(luò)級(jí)IDS：網(wǎng)絡(luò)級(jí)IDS程序同時(shí)充當(dāng)管理者和代理的身份，安裝IDS的主機(jī)完成所有的工作，網(wǎng)絡(luò)只是接受被動(dòng)的查詢。 這種入侵監(jiān)測(cè)系統(tǒng)的優(yōu)點(diǎn)是很容易安裝和實(shí)施，通常只需要將程序在主機(jī)上安裝一次。它尤其適合阻止掃描和拒絕服務(wù)攻擊。 6/30/202273主機(jī)級(jí)IDS ：主機(jī)級(jí)IDS 結(jié)構(gòu)使用一個(gè)管理者和數(shù)個(gè)代理，管理者向代理發(fā)送查詢請(qǐng)求，代理向管理者回報(bào)網(wǎng)絡(luò)中主機(jī)傳輸信息的情況。代理和管理者之間直接通信，解決了復(fù)雜網(wǎng)絡(luò)中的許多問(wèn)題。6/30/202274按照監(jiān)測(cè)的對(duì)象