風(fēng)險(xiǎn)評估與網(wǎng)絡(luò)嗅探課件

網(wǎng)絡(luò)掃描與嗅探

TSM-301網(wǎng)絡(luò)掃描與嗅探

TSM-3011網(wǎng)絡(luò)攻擊的完整過程網(wǎng)絡(luò)攻擊的完整過程2信息收集信息收集技術(shù)是一把雙刃劍黑客在攻擊之前需要收集信息，才能實(shí)施有效的攻擊安全管理員用信息收集技術(shù)來發(fā)現(xiàn)系統(tǒng)的弱點(diǎn)并進(jìn)行修補(bǔ)攻擊工具攻擊命令攻擊機(jī)制目標(biāo)網(wǎng)絡(luò)網(wǎng)絡(luò)漏洞目標(biāo)系統(tǒng)系統(tǒng)漏洞攻擊者漏洞掃描評估加固攻擊過程實(shí)時(shí)入侵檢測知己知彼，百戰(zhàn)不殆信息收集信息收集技術(shù)是一把雙刃劍攻擊工具攻擊機(jī)制目標(biāo)網(wǎng)絡(luò)網(wǎng)絡(luò)3信息收集過程信息收集（踩點(diǎn)，footprint）是一個(gè)綜合過程從一些社會(huì)信息入手找到網(wǎng)絡(luò)地址范圍找到關(guān)鍵的機(jī)器地址找到開放端口和入口點(diǎn)找到系統(tǒng)的制造商和版本……信息收集過程信息收集（踩點(diǎn)，footprint）是一個(gè)綜合過4網(wǎng)絡(luò)勘察最常用的工具：Ping和TraceroutePing:PacketInterNetGroper用來判斷遠(yuǎn)程設(shè)備可訪問性最常用的方法原理：發(fā)送ICMPEcho消息，然后等待ICMPReply消息Traceroute用來發(fā)現(xiàn)實(shí)際的路由路徑原理：給目標(biāo)的一個(gè)無效端口發(fā)送一系列UDP，其TTL依次增一，中間路由器返回一個(gè)ICMPTimeExceeded消息Windows中為tracert網(wǎng)絡(luò)勘察最常用的工具：Ping和Traceroute5Ping工具發(fā)送ICMPEcho消息，等待EchoReply消息可以確定網(wǎng)絡(luò)和外部主機(jī)的狀態(tài)可以用來調(diào)試網(wǎng)絡(luò)的軟件和硬件每秒發(fā)送一個(gè)包，顯示響應(yīng)的輸出，計(jì)算網(wǎng)絡(luò)來回的時(shí)間最后顯示統(tǒng)計(jì)結(jié)果——丟包率Ping工具發(fā)送ICMPEcho消息，等待EchoRep6關(guān)于PingPing有許多命令行參數(shù)，可以改變?nèi)笔〉男袨榭梢杂脕戆l(fā)現(xiàn)一臺(tái)主機(jī)是否active為什么不能ping成功？沒有路由，網(wǎng)關(guān)設(shè)置？網(wǎng)卡沒有配置正確增大timeout值被防火墻阻止……“Pingofdeath”發(fā)送特大ping數(shù)據(jù)包(>65535字節(jié))導(dǎo)致機(jī)器崩潰許多老的操作系統(tǒng)都受影響關(guān)于PingPing有許多命令行參數(shù)，可以改變?nèi)笔〉男袨?Traceroute發(fā)送一系列UDP包(缺省大小為38字節(jié))，其TTL字段從1開始遞增，然后監(jiān)聽來自路徑上網(wǎng)關(guān)發(fā)回來的ICMPTimeExceeded應(yīng)答消息UDP包的端口設(shè)置為一個(gè)不太可能用到的值(缺省為33434)，因此，目標(biāo)會(huì)送回一個(gè)ICMPDestinationUnreachable消息，指示端口不可達(dá)Traceroute發(fā)送一系列UDP包(缺省大小為38字節(jié))8關(guān)于Traceroutetraceroute有一些命令行參數(shù)，可以改變?nèi)笔〉男袨榭梢杂脕戆l(fā)現(xiàn)到一臺(tái)主機(jī)的路徑，為勾畫出網(wǎng)絡(luò)拓?fù)鋱D提供最基本的依據(jù)Traceroute允許指定寬松的源路由選項(xiàng)。許多防火墻是禁止帶源路由的包的關(guān)于Traceroutetraceroute有一些命令行參數(shù)9網(wǎng)絡(luò)勘查的對策防火墻：設(shè)置過濾規(guī)則使用NIDS(NetworkIntrusionDetectionSystem)使用其他工具：如rotoroutor，它可以記錄外來的traceroute請求，產(chǎn)生虛假的應(yīng)答網(wǎng)絡(luò)勘查的對策防火墻：設(shè)置過濾規(guī)則10掃描技術(shù)基于TCP/IP協(xié)議，對各種網(wǎng)絡(luò)服務(wù)，無論是主機(jī)或者防火墻、路由器都適用掃描可以確認(rèn)各種配置的正確性，避免遭受不必要的攻擊用途，雙刃劍安全管理員可以用來確保自己系統(tǒng)的安全性黑客用來探查系統(tǒng)的入侵點(diǎn)端口掃描的技術(shù)已經(jīng)非常成熟，目前有大量的商業(yè)、非商業(yè)的掃描器掃描技術(shù)基于TCP/IP協(xié)議，對各種網(wǎng)絡(luò)服務(wù)，無論是主機(jī)或者11掃描器的重要性掃描器能夠暴露網(wǎng)絡(luò)上潛在的脆弱性無論掃描器被管理員利用，或者被黑客利用，都有助于加強(qiáng)系統(tǒng)的安全性它能使得漏洞被及早發(fā)現(xiàn)，而漏洞遲早會(huì)被發(fā)現(xiàn)的掃描器可以滿足很多人的好奇心掃描器除了能掃描端口，往往還能夠發(fā)現(xiàn)系統(tǒng)存活情況，以及哪些服務(wù)在運(yùn)行用已知的漏洞測試這些系統(tǒng)對一批機(jī)器進(jìn)行測試，簡單的迭代過程有進(jìn)一步的功能，包括操作系統(tǒng)辨識(shí)、應(yīng)用系統(tǒng)識(shí)別掃描器的重要性掃描器能夠暴露網(wǎng)絡(luò)上潛在的脆弱性12掃描器的歷史早期80年代，網(wǎng)絡(luò)沒有普及，上網(wǎng)的好奇心驅(qū)使許多年輕人通過Modem撥號進(jìn)入到UNIX系統(tǒng)中。這時(shí)候的手段需要大量的手工操作于是，出現(xiàn)了wardialer——自動(dòng)掃描，并記錄下掃描的結(jié)果現(xiàn)代的掃描器要先進(jìn)得多SATAN:SecurityAdministrator'sToolforAnalyzingNetworks

1995年4月發(fā)布，引起了新聞界的轟動(dòng)界面上的突破，從命令行走向圖形界面(使用HTML界面)，不依賴于X兩位作者的影響(DanFarmer寫過網(wǎng)絡(luò)安全檢查工具COPS，另一位WeitseVenema是TCP_Wrapper的作者)Nmap作者為Fyodor，技術(shù)上，是最先進(jìn)的掃描技術(shù)大集成結(jié)合了功能強(qiáng)大的通過棧指紋來識(shí)別操作系統(tǒng)的眾多技術(shù)掃描器的歷史早期13掃描技術(shù)主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，同時(shí)盡可能多映射目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，主要利用ICMP數(shù)據(jù)包端口掃描：發(fā)現(xiàn)遠(yuǎn)程主機(jī)開放的端口以及服務(wù)操作系統(tǒng)指紋掃描：根據(jù)協(xié)議棧判別操作系統(tǒng)掃描技術(shù)主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，同時(shí)盡可能14傳統(tǒng)主機(jī)掃描技術(shù)ICMPEchoRequest(type8)和EchoReply(type0)通過簡單地向目標(biāo)主機(jī)發(fā)送ICMPEchoRequest數(shù)據(jù)包，并等待回復(fù)的ICMPEchoReply包，如PingICMPSweep（PingSweep）使用ICMPEchoRequest一次探測多個(gè)目標(biāo)主機(jī)。通常這種探測包會(huì)并行發(fā)送，以提高探測效率

BroadcastICMP設(shè)置ICMP請求包的目標(biāo)地址為廣播地址或網(wǎng)絡(luò)地址，則可以探測廣播域或整個(gè)網(wǎng)絡(luò)范圍內(nèi)的主機(jī)，這種情況只適合于UNIX/Linux系統(tǒng)Non-EchoICMP其它ICMP服務(wù)類型（13和14、15和16、17和18）也可以用于對主機(jī)或網(wǎng)絡(luò)設(shè)備如路由器等的探測傳統(tǒng)主機(jī)掃描技術(shù)ICMPEchoRequest(typ15高級主機(jī)掃描技術(shù) 利用被探測主機(jī)產(chǎn)生的ICMP錯(cuò)誤報(bào)文來進(jìn)行復(fù)雜的主機(jī)探測

異常的IP包頭向目標(biāo)主機(jī)發(fā)送包頭錯(cuò)誤的IP包，目標(biāo)主機(jī)或過濾設(shè)備會(huì)反饋ICMPParameterProblemError信息。常見的偽造錯(cuò)誤字段為HeaderLength和IPOptions。不同廠家的路由器和操作系統(tǒng)對這些錯(cuò)誤的處理方式不同，返回的結(jié)果也不同。在IP頭中設(shè)置無效的字段值向目標(biāo)主機(jī)發(fā)送的IP包中填充錯(cuò)誤的字段值，目標(biāo)主機(jī)或過濾設(shè)備會(huì)反饋ICMPDestinationUnreachable信息。這種方法同樣可以探測目標(biāo)主機(jī)和網(wǎng)絡(luò)設(shè)備

高級主機(jī)掃描技術(shù) 利用被探測主機(jī)產(chǎn)生的ICMP錯(cuò)誤報(bào)文來進(jìn)行16高級主機(jī)掃描技術(shù)通過超長包探測內(nèi)部路由器若構(gòu)造的數(shù)據(jù)包長度超過目標(biāo)系統(tǒng)所在路由器的PMTU且設(shè)置禁止分片標(biāo)志,該路由器會(huì)反饋FragmentationNeededandDon’tFragmentBitwasSet差錯(cuò)報(bào)文。反向映射探測用于探測被過濾設(shè)備或防火墻保護(hù)的網(wǎng)絡(luò)和主機(jī)。構(gòu)造可能的內(nèi)部IP地址列表，并向這些地址發(fā)送數(shù)據(jù)包。當(dāng)對方路由器接收到這些數(shù)據(jù)包時(shí)，會(huì)進(jìn)行IP識(shí)別并路由，對不在其服務(wù)的范圍的IP包發(fā)送ICMPHostUnreachable或ICMPTimeExceeded錯(cuò)誤報(bào)文，沒有接收到相應(yīng)錯(cuò)誤報(bào)文的IP地址可被認(rèn)為在該網(wǎng)絡(luò)中高級主機(jī)掃描技術(shù)通過超長包探測內(nèi)部路由器17主機(jī)掃描策略的對策使用可以檢測并記錄ICMP掃描的工具使用入侵檢測系統(tǒng)在防火墻或路由器中設(shè)置允許進(jìn)出自己網(wǎng)絡(luò)的ICMP分組類型主機(jī)掃描策略的對策使用可以檢測并記錄ICMP掃描的工具18端口掃描技術(shù)開放掃描(OpenScanning)需要掃描方通過三次握手過程與目標(biāo)主機(jī)建立完整的TCP連接可靠性高，產(chǎn)生大量審計(jì)數(shù)據(jù)，容易被發(fā)現(xiàn)半開放掃描(Half-OpenScanning)掃描方不需要打開一個(gè)完全的TCP連接秘密掃描(StealthScanning)不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分隱蔽性好，但這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡(luò)時(shí)容易被丟棄從而產(chǎn)生錯(cuò)誤的探測信息端口掃描技術(shù)開放掃描(OpenScanning)19端口掃描技術(shù)基本的TCPconnect()掃描（開放）Reverse-ident掃描（開放）TCPSYN掃描(半開放)IPIDheaderaka“dump”掃描(半開放)TCPFin掃描(秘密)TCPXMAS掃描(秘密)TCPftpproxy掃描(bounceattack)用IP分片進(jìn)行SYN/FIN掃描(躲開包過濾防火墻)UDPICMP端口不可達(dá)掃描UDPrecvfrom掃描端口掃描技術(shù)基本的TCPconnect()掃描（開放）20TCPconnect()掃描原理掃描器調(diào)用socket的connect()函數(shù)發(fā)起一個(gè)正常的連接如果端口是打開的，則連接成功否則，連接失敗優(yōu)點(diǎn)簡單，不需要特殊的權(quán)限缺點(diǎn)服務(wù)器可以記錄下客戶的連接行為，如果同一個(gè)客戶輪流對每一個(gè)端口發(fā)起連接，則一定是在掃描TCPconnect()掃描原理21Reverse-ident掃描Ident協(xié)議(RFC1413)使得可以發(fā)現(xiàn)任何一個(gè)通過TCP連接的進(jìn)程的所有者的用戶名，即使該進(jìn)程并沒有發(fā)起該連接只有在TCP全連接之后才有效TCP端口113例如可以先連接到80端口，然后通過identd來發(fā)現(xiàn)服務(wù)器是否在root下運(yùn)行建議關(guān)閉ident服務(wù)，或者在防火墻上禁止，除非是為了審計(jì)的目的Reverse-ident掃描Ident協(xié)議(RFC141322TCPSYN掃描原理向目標(biāo)主機(jī)的特定端口發(fā)送一個(gè)SYN包如果應(yīng)答包為RST包，則說明該端口是關(guān)閉的否則，會(huì)收到一個(gè)SYN|ACK包。于是，發(fā)送一個(gè)RST，停止建立連接由于連接沒有完全建立，所以稱為“半開連接掃描”優(yōu)點(diǎn)很少有系統(tǒng)會(huì)記錄這樣的行為缺點(diǎn)在UNIX平臺(tái)上，需要root權(quán)限才可以建立這樣的SYN數(shù)據(jù)包TCPSYN掃描原理23IPIDheaderaka“dump”掃描由Antirez首先使用，并在Bugtraq上公布

原理：掃描主機(jī)通過偽造第三方主機(jī)IP地址向目標(biāo)主機(jī)發(fā)起SYN掃描，并通過觀察其IP序列號的增長規(guī)律獲取端口的狀態(tài)優(yōu)點(diǎn)不直接掃描目標(biāo)主機(jī)也不直接和它進(jìn)行連接，隱蔽性較好缺點(diǎn)對第三方主機(jī)的要求較高IPIDheaderaka“dump”掃描由Ant24TCPFin掃描原理掃描器發(fā)送一個(gè)FIN數(shù)據(jù)包如果端口關(guān)閉的，則遠(yuǎn)程主機(jī)丟棄該包，并送回一個(gè)RST包否則的話，遠(yuǎn)程主機(jī)丟棄該包，不回送變種，組合其他的標(biāo)記優(yōu)點(diǎn)不是TCP建立連接的過程，所以比較隱蔽缺點(diǎn)與SYN掃描類似，也需要構(gòu)造專門的數(shù)據(jù)包在Windows平臺(tái)無效，總是發(fā)送RST包TCPFin掃描原理25TCPXMAS掃描原理掃描器發(fā)送的TCP包包頭設(shè)置所有標(biāo)志位關(guān)閉的端口會(huì)響應(yīng)一個(gè)同樣設(shè)置所有標(biāo)志位的包開放的端口則會(huì)忽略該包而不作任何響應(yīng)優(yōu)點(diǎn)比較隱蔽缺點(diǎn)主要用于UNIX/Linux/BSD的TCP/IP的協(xié)議棧不適用于Windows系統(tǒng)TCPXMAS掃描原理26分片掃描它本身并不是一種新的掃描方法，而是其他掃描技術(shù)的變種，特別是SYN掃描和FIN掃描思想是，把TCP包分成很小的分片，從而讓它們能夠通過包過濾防火墻注意，有些防火墻會(huì)丟棄太小的包而有些服務(wù)程序在處理這樣的包的時(shí)候會(huì)出現(xiàn)異常，或者性能下降，或者出現(xiàn)錯(cuò)誤分片掃描它本身并不是一種新的掃描方法，而是其他掃描技術(shù)的變種27TCPftpproxy掃描FTPbounceattack原理用PORT命令讓ftpserver與目標(biāo)主機(jī)建立連接，而且目標(biāo)主機(jī)的端口可以指定如果端口打開，則可以傳輸否則，返回"425Can'tbuilddataconnection:Connectionrefused."Ftp這個(gè)缺陷還可以被用來向目標(biāo)(郵件,新聞)傳送匿名信息優(yōu)點(diǎn)：這種技術(shù)可以用來穿透防火墻缺點(diǎn)：慢，有些ftpserver禁止這種特性TCPftpproxy掃描FTPbounceatta28UDPICMP端口不可達(dá)掃描利用UDP協(xié)議原理開放的UDP端口并不需要送回ACK包，而關(guān)閉的端口也不要求送回錯(cuò)誤包，所以利用UDP包進(jìn)行掃描非常困難有些協(xié)議棧實(shí)現(xiàn)的時(shí)候，對于關(guān)閉的UDP端口，會(huì)送回一個(gè)ICMPPortUnreach錯(cuò)誤缺點(diǎn)速度慢，而且UDP包和ICMP包都不是可靠的需要root權(quán)限，才能讀取ICMPPortUnreach消息一個(gè)應(yīng)用例子Solaris的rpcbind端口(UDP)位于32770之上，這時(shí)可以通過這種技術(shù)來探測UDPICMP端口不可達(dá)掃描利用UDP協(xié)議29UDPrecvfrom()&write()掃描非root用戶不能直接讀取ICMPPortUnreach消息，但是Linux提供了一種方法可以間接通知到原理第二次對一個(gè)關(guān)閉的UDP端口調(diào)用write()總是會(huì)失敗經(jīng)驗(yàn)：在ICMP錯(cuò)誤到達(dá)之前，在UDP端口上調(diào)用recvfrom()會(huì)返回EAGAIN(重試)，否則會(huì)返回ECONNREFUSED(連接拒絕…)UDPrecvfrom()&write()掃描非roo30端口掃描的對策設(shè)置防火墻過濾規(guī)則，阻止對端口的掃描例如可以設(shè)置檢測SYN掃描而忽略FIN掃描使用入侵檢測系統(tǒng)禁止所有不必要的服務(wù)，把自己的暴露程度降到最低Unix或linux中，在/etc/inetd.conf中注釋掉不必要的服務(wù)，并在系統(tǒng)啟動(dòng)腳本中禁止其他不必要的服務(wù)Windows中通過Services禁止敏感服務(wù)，如IIS端口掃描的對策設(shè)置防火墻過濾規(guī)則，阻止對端口的掃描31操作系統(tǒng)辨識(shí)操作系統(tǒng)辨識(shí)的動(dòng)機(jī)許多漏洞是系統(tǒng)相關(guān)的，而且往往與相應(yīng)的版本對應(yīng)從操作系統(tǒng)或者應(yīng)用系統(tǒng)的具體實(shí)現(xiàn)中發(fā)掘出來的攻擊手段都需要辨識(shí)系統(tǒng)操作系統(tǒng)的信息還可以與其他信息結(jié)合起來，比如漏洞庫，或者社會(huì)詐騙(社會(huì)工程，socialengineering)如何辨識(shí)一個(gè)操作系統(tǒng)一些端口服務(wù)的提示信息，例如，telnet、http、ftp等服務(wù)的提示信息TCP/IP棧指紋DNS泄漏出OS系統(tǒng)操作系統(tǒng)辨識(shí)操作系統(tǒng)辨識(shí)的動(dòng)機(jī)32端口服務(wù)提供的信息Telnet服務(wù)Http服務(wù)Ftp服務(wù)端口服務(wù)提供的信息Telnet服務(wù)33棧指紋技術(shù)定義：利用TCP/IP協(xié)議棧實(shí)現(xiàn)上的特點(diǎn)來辨識(shí)一個(gè)操作系統(tǒng)技術(shù)導(dǎo)向可辨識(shí)的OS的種類，包括哪些操作系統(tǒng)結(jié)論的精確度，細(xì)微的版本差異是否能識(shí)別一些工具Checkos,byShokQueso,bySavageNmap,byFyodor棧指紋技術(shù)定義：利用TCP/IP協(xié)議棧實(shí)現(xiàn)上的特點(diǎn)來辨識(shí)一個(gè)34主動(dòng)棧指紋識(shí)別技術(shù)原理：尋找不同操作系統(tǒng)之間在處理網(wǎng)絡(luò)數(shù)據(jù)包上的差異，并且把足夠多的差異組合起來，以便精確地識(shí)別出一個(gè)系統(tǒng)的OS版本配置能力擴(kuò)展性，新的OS，版本不斷推出定義一種配置語言或者格式主動(dòng)棧指紋識(shí)別技術(shù)原理：尋找不同操作系統(tǒng)之間在處理網(wǎng)絡(luò)數(shù)據(jù)包35主動(dòng)棧指紋識(shí)別方法常用的手段給一個(gè)開放的端口發(fā)送FIN包，有些操作系統(tǒng)有回應(yīng)，有的沒有回應(yīng)對于非正常數(shù)據(jù)包的反應(yīng)比如，發(fā)送一個(gè)包含未定義TCP標(biāo)記的數(shù)據(jù)包根據(jù)TCP連接的序列號風(fēng)格尋找初始序列號之間的規(guī)律ACK值有些系統(tǒng)會(huì)發(fā)送回所確認(rèn)的TCP分組的序列號，有些會(huì)發(fā)回序列號加1TCP初始化窗口有些操作系統(tǒng)會(huì)使用一些固定的窗口大小DF位(Don'tFragmentbit)某些操作系統(tǒng)會(huì)設(shè)置IP頭的DF位來改善性能主動(dòng)棧指紋識(shí)別方法常用的手段36主動(dòng)棧指紋識(shí)別方法分片處理方式分片重疊的情況下，處理會(huì)不同：用后到的新數(shù)據(jù)覆蓋先到的舊數(shù)據(jù)或者反之ICMP協(xié)議ICMP錯(cuò)誤消息的限制發(fā)送一批UDP包給高端關(guān)閉的端口，然后計(jì)算返回來的不可達(dá)錯(cuò)誤消息ICMP端口不可達(dá)消息的大小通常情況下送回IP頭+8個(gè)字節(jié)，但是個(gè)別系統(tǒng)送回的數(shù)據(jù)更多一些ICMP回應(yīng)消息中對于校驗(yàn)和的處理方法不同ICMP回應(yīng)消息中，TOS域的值TCP選項(xiàng)(RFC793和更新的RFC1323)這里充滿了各種組合的可能性應(yīng)答方式“Query-Reply”，可以把多個(gè)選項(xiàng)放到一個(gè)包中有些高級選項(xiàng)在新的協(xié)議棧實(shí)現(xiàn)中加入SYNflooding測試如果發(fā)送太多的偽造SYN包，一些操作系統(tǒng)會(huì)停止建立新的連接。許多操作系統(tǒng)只能處理8個(gè)包。主動(dòng)棧指紋識(shí)別方法分片處理方式37被動(dòng)棧指紋識(shí)別方法它和主動(dòng)棧指紋識(shí)別方法類似不是向目標(biāo)系統(tǒng)發(fā)送分組，而是被動(dòng)監(jiān)測網(wǎng)絡(luò)通信，以確定所用的操作系統(tǒng)如根據(jù)TCP/IP會(huì)話中的幾個(gè)屬性：TTL窗口大小DFTOSSiphon工具，/被動(dòng)棧指紋識(shí)別方法它和主動(dòng)棧指紋識(shí)別方法類似38例：被動(dòng)棧指紋識(shí)別方法telnet45（發(fā)起方為55）利用snort監(jiān)聽到的數(shù)據(jù)包：45:23->55:2300TCPTTL:255TOS:0x0ID:58955DF**S***A*Seq:0xD3B709A4Ack:0xBE09B2B7Win:0x2798TCPOptions=>NOPNOPTS:96887759682347NOPWS:0MSS:1460和osprints.conf比較，可猜測45的操作系統(tǒng)為Solaris2.6-2.7例：被動(dòng)棧指紋識(shí)別方法telnet9操作系統(tǒng)識(shí)別的對策端口掃描監(jiān)測工具監(jiān)視操作系統(tǒng)檢測活動(dòng)讓操作系統(tǒng)識(shí)別失效的補(bǔ)丁修改OS的源代碼或改動(dòng)某個(gè)OS參數(shù)以達(dá)到改變單個(gè)獨(dú)特的協(xié)議棧特征的目的防火墻和路由器的規(guī)則配置使用入侵檢測系統(tǒng)操作系統(tǒng)識(shí)別的對策端口掃描監(jiān)測工具監(jiān)視操作系統(tǒng)檢測活動(dòng)40其他掃描方法延時(shí)掃描和分布式掃描原因：各IDS常采用的檢測方法－在某個(gè)時(shí)間段內(nèi)特定主機(jī)對本地端口的訪問頻度是否大于事先預(yù)定的閾值來判斷入侵。延時(shí)掃描是加大各連接之間的時(shí)間間隔，逃避檢測。比較有效但是延緩了掃描速度。分布式掃描解決連接數(shù)問題的同時(shí)也解決了掃描進(jìn)度的問題。把掃描任務(wù)分配到地理位置和網(wǎng)絡(luò)拓?fù)浞植嫉膾呙柚鳈C(jī)上。同時(shí)也解決了大量信息收集時(shí)單機(jī)掃描面臨的主機(jī)負(fù)載和網(wǎng)絡(luò)負(fù)載過重的問題。其他掃描方法延時(shí)掃描和分布式掃描41查點(diǎn)如果黑客從一開始的目標(biāo)探測中沒有找到任何可以直接利用的入侵途徑，他就會(huì)轉(zhuǎn)向收集目標(biāo)有效的用戶賬號或保護(hù)不當(dāng)?shù)墓蚕碣Y源，這就是查點(diǎn)(enumeration)。查點(diǎn)要對目標(biāo)系統(tǒng)進(jìn)行連接和查詢，查點(diǎn)活動(dòng)有可能會(huì)被目標(biāo)系統(tǒng)記錄。查點(diǎn)通常是針對特定操作系統(tǒng)進(jìn)行。查點(diǎn)如果黑客從一開始的目標(biāo)探測中沒有找到任何可以直接利用的入42查點(diǎn)的信息攻擊者查點(diǎn)時(shí)感興趣的信息類型：網(wǎng)絡(luò)資源和共享資源用戶和用戶組服務(wù)器程序及其標(biāo)記(banner)查點(diǎn)的信息攻擊者查點(diǎn)時(shí)感興趣的信息類型：43WindowsNT/2000的查點(diǎn)WindowsNT的網(wǎng)絡(luò)服務(wù)依賴于CIFS/SMB(CommonInternetFileSystem/ServerMessageBlock)和NetBIOS數(shù)據(jù)傳輸協(xié)議，很容易泄漏共享信息。Windows2000也同樣具有NT的不安全特性。Windows提供了很多工具用于管理網(wǎng)絡(luò)，同時(shí)也具有副作用。NTRK(NTResourceKit)2000Server安裝盤的Support\Tools目錄WindowsNT/2000的查點(diǎn)WindowsNT的網(wǎng)44WindowsNT/2000空會(huì)話原理利用WindowsNT/2000對NetBIOS的缺省信賴通過TCP端口139返回主機(jī)的大量信息實(shí)例如果通過端口掃描獲知TCP端口139已經(jīng)打開netuse\\30\IPC$""/USER:""

在攻擊者和目標(biāo)主機(jī)間建立連接Windows2000還有另一個(gè)SMB端口445NTforall工具WindowsNT/2000空會(huì)話原理NTforall45NT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)NT/2000中有很多工具可用于提供對網(wǎng)絡(luò)資源的查詢nbtstat，可以獲取NetBIOS遠(yuǎn)程主機(jī)名字表NT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)NT/2000中有46NT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)netview查看域、計(jì)算機(jī)或計(jì)算機(jī)共享資源的列表如果建立了空會(huì)話連接，可用netview查看目標(biāo)共享資源Nc工具NT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)netview查47NT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)工具兩個(gè)常用的網(wǎng)絡(luò)資源查點(diǎn)工具：legion和NATNT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)工具兩個(gè)常用的網(wǎng)48NT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)工具NTRK中的網(wǎng)絡(luò)資源查點(diǎn)工具nltest、rmtshare、srvcheck、srvinfo、netdom等其他網(wǎng)絡(luò)資源查點(diǎn)工具epdump、getmac、netviewx、enum、dumpsec等NT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)工具NTRK中的49NT/2000NetBIOS用戶查點(diǎn)攻擊者對目標(biāo)主機(jī)的用戶名和密碼更感興趣一旦獲取用戶名，50%的努力花在竊取賬號上用戶通常使用弱密碼在查詢資源的同時(shí)可以查詢用戶前面介紹的一些工具，如NAT、enum、dumpsec等Rudnyi的sid2user和user2sid，從用戶名查找SID(SecurityIdentifier)或從SID查找用戶名參看文章“WhatisaSID”/Articles/Index.cfm?ArticleID=14781NT/2000NetBIOS用戶查點(diǎn)攻擊者對目標(biāo)主機(jī)的用50NT/2000服務(wù)器程序及標(biāo)記查點(diǎn)連接目標(biāo)主機(jī)的應(yīng)用程序并根據(jù)輸出來獲取標(biāo)記可以確認(rèn)服務(wù)器上運(yùn)行的軟件和版本常用的方法telnet和nc(瑞士軍刀)c:\telnet5580NT/2000服務(wù)器程序及標(biāo)記查點(diǎn)連接目標(biāo)主機(jī)的應(yīng)用程序并根51NT/2000服務(wù)器程序及標(biāo)記查點(diǎn)注冊表查點(diǎn)通常情況下正常安裝在系統(tǒng)上的應(yīng)用程序都會(huì)在注冊表中留下信息注冊表中有大量和用戶有關(guān)的信息從目的地得到Windows注冊表的內(nèi)容NT/2000的缺省配置是只允許Administrator訪問注冊表HKEY_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg注冊表訪問工具：regdump、dumpsec等NT/2000服務(wù)器程序及標(biāo)記查點(diǎn)注冊表查點(diǎn)52NT/2000查點(diǎn)的對策在路由器、防火墻或其他網(wǎng)絡(luò)關(guān)口設(shè)置，不允許對TCP和UDP的135～139端口的訪問2000中，還要禁止445端口。NT/2000查點(diǎn)的對策在路由器、防火墻或其他網(wǎng)絡(luò)關(guān)口設(shè)置，53NT/2000查點(diǎn)的對策Hkey_Local_Machine\SYSTEM\CurrentControlSet\Control\LSA，增加一個(gè)數(shù)據(jù)項(xiàng)RestrictAnonymous，數(shù)據(jù)類型為REG_DWORD，NT下數(shù)值為1，2000下為22000下，“管理工具”中的“本地安全設(shè)置”|“本地策略”|“安全選項(xiàng)”中對匿名連接的額外限制(相當(dāng)于設(shè)置RestrictAnonymous為2)NT/2000查點(diǎn)的對策Hkey_Local_Machine54NT/2000查點(diǎn)的對策對服務(wù)程序標(biāo)記查點(diǎn)的對策：對具有風(fēng)險(xiǎn)的應(yīng)用程序，盡可能隱藏其標(biāo)記中的廠商和版本信息；定期使用端口掃描和netcat工具連接活動(dòng)端口進(jìn)行網(wǎng)絡(luò)系統(tǒng)檢查，確保沒有泄露信息鎖定注冊表，不能對它進(jìn)行遠(yuǎn)程訪問IISLogo：www3c.dllNT/2000查點(diǎn)的對策對服務(wù)程序標(biāo)記查點(diǎn)的對策：IISL55網(wǎng)絡(luò)嗅探在一個(gè)共享式網(wǎng)絡(luò)，可以聽取所有的流量是一把雙刃劍管理員可以用來監(jiān)聽網(wǎng)絡(luò)的流量情況開發(fā)網(wǎng)絡(luò)應(yīng)用的程序員可以監(jiān)視程序的網(wǎng)絡(luò)情況黑客可以用來刺探網(wǎng)絡(luò)情報(bào)目前有大量商業(yè)的、免費(fèi)的監(jiān)聽工具，俗稱嗅探器(sniffer)LC4網(wǎng)絡(luò)嗅探在一個(gè)共享式網(wǎng)絡(luò)，可以聽取所有的流量LC456以太網(wǎng)絡(luò)的工作原理載波偵聽/沖突檢測(CSMA/CD,carriersensemultipleaccesswithcollisiondetection)技術(shù)載波偵聽：是指在網(wǎng)絡(luò)中的每個(gè)站點(diǎn)都具有同等的權(quán)利，在傳輸自己的數(shù)據(jù)時(shí)，首先監(jiān)聽信道是否空閑如果空閑，就傳輸自己的數(shù)據(jù)如果信道被占用，就等待信道空閑而沖突檢測則是為了防止發(fā)生兩個(gè)站點(diǎn)同時(shí)監(jiān)測到網(wǎng)絡(luò)沒有被使用時(shí)而產(chǎn)生沖突以太網(wǎng)采用了CSMA/CD技術(shù)，由于使用了廣播機(jī)制，所以，所有與網(wǎng)絡(luò)連接的工作站都可以看到網(wǎng)絡(luò)上傳遞的數(shù)據(jù)以太網(wǎng)絡(luò)的工作原理載波偵聽/沖突檢測(CSMA/CD,ca57以太網(wǎng)卡的工作模式網(wǎng)卡的MAC地址(48位)通過ARP來解析MAC與IP地址的轉(zhuǎn)換用ipconfig/ifconfig可以查看MAC地址正常情況下，網(wǎng)卡應(yīng)該只接收這樣的包MAC地址與自己相匹配的數(shù)據(jù)幀廣播包網(wǎng)卡完成收發(fā)數(shù)據(jù)包的工作，兩種接收模式混雜模式：不管數(shù)據(jù)幀中的目的地址是否與自己的地址匹配，都接收下來非混雜模式：只接收目的地址相匹配的數(shù)據(jù)幀，以及廣播數(shù)據(jù)包(和組播數(shù)據(jù)包)為了監(jiān)聽網(wǎng)絡(luò)上的流量，必須設(shè)置為混雜模式以太網(wǎng)卡的工作模式網(wǎng)卡的MAC地址(48位)58共享網(wǎng)絡(luò)和交換網(wǎng)絡(luò)共享式網(wǎng)絡(luò)通過網(wǎng)絡(luò)的所有數(shù)據(jù)包發(fā)往每一個(gè)主機(jī)最常見的是通過HUB連接起來的子網(wǎng)交換式網(wǎng)絡(luò)通過交換機(jī)連接網(wǎng)絡(luò)由交換機(jī)構(gòu)造一個(gè)“MAC地址-端口”映射表發(fā)送包的時(shí)候，只發(fā)到特定的端口上共享網(wǎng)絡(luò)和交換網(wǎng)絡(luò)共享式網(wǎng)絡(luò)59共享式網(wǎng)絡(luò)示意圖共享式網(wǎng)絡(luò)示意圖60應(yīng)用程序抓包的技術(shù)UNIX系統(tǒng)提供了標(biāo)準(zhǔn)的API支持PacketsocketBPFWindows平臺(tái)上通過驅(qū)動(dòng)程序來獲取數(shù)據(jù)包驅(qū)動(dòng)程序WinPcap應(yīng)用程序抓包的技術(shù)UNIX系統(tǒng)提供了標(biāo)準(zhǔn)的API支持61在交換式網(wǎng)絡(luò)上監(jiān)聽數(shù)據(jù)包ARP重定向技術(shù)，一種中間人攻擊GW1B打開IP轉(zhuǎn)發(fā)功能2B發(fā)送假冒的arp包給A,聲稱自己是GW的IP地址3A給外部發(fā)送數(shù)據(jù)，首先發(fā)給B4B再轉(zhuǎn)發(fā)給GW原理：利用dsniff中的arpredirect工具AB在交換式網(wǎng)絡(luò)上監(jiān)聽數(shù)據(jù)包ARP重定向技術(shù)，一種中間人攻擊GW62Sniffer的反措施合理的網(wǎng)絡(luò)分段，在網(wǎng)絡(luò)中使用網(wǎng)橋和交換機(jī)；相互信任的主機(jī)處于同一網(wǎng)段使用加密技術(shù)傳送敏感數(shù)據(jù)，如SSH為了防止ARP欺騙，使用永久的ARP緩存條目如何檢測處于混雜模式的節(jié)點(diǎn)Sniffer的反措施合理的網(wǎng)絡(luò)分段，在網(wǎng)絡(luò)中使用網(wǎng)橋和交換63檢測處于混雜模式的節(jié)點(diǎn)網(wǎng)卡和操作系統(tǒng)對于是否處于混雜模式會(huì)有一些不同的行為，利用這些特征可以判斷機(jī)器是否運(yùn)行在混雜模式下一些檢測手段觀測DNS很多網(wǎng)絡(luò)監(jiān)聽軟件會(huì)嘗試進(jìn)行地址反向解析，可以通過觀測DNS上是否有明顯增多的解析請求根據(jù)操作系統(tǒng)的特征Linux內(nèi)核的特性：正常情況下，只處理本機(jī)MAC地址或者以太廣播地址的包。在混雜模式下，許多版本的Linux內(nèi)核只檢查數(shù)據(jù)包中的IP地址以確定是否送到IP堆棧。因此，可以構(gòu)造無效以太地址而IP地址有效的ICMPECHO請求，看機(jī)器是否返回應(yīng)答包(混雜模式)，或忽略(非混雜模式)。Windows9x/NT：在混雜模式下，檢查一個(gè)包是否為以太廣播包時(shí)，只看MAC地址前八位是否為0xff。檢測處于混雜模式的節(jié)點(diǎn)網(wǎng)卡和操作系統(tǒng)對于是否處于混雜模式會(huì)有64檢測處于混雜模式的節(jié)點(diǎn)根據(jù)網(wǎng)絡(luò)和主機(jī)的性能根據(jù)響應(yīng)時(shí)間：向本地網(wǎng)絡(luò)發(fā)送大量的偽造數(shù)據(jù)包，然后，看目標(biāo)主機(jī)的響應(yīng)時(shí)間，首先要測得一個(gè)響應(yīng)時(shí)間基準(zhǔn)和平均值L0pht的AntiSniff產(chǎn)品，參考它的技術(shù)文檔檢測處于混雜模式的節(jié)點(diǎn)根據(jù)網(wǎng)絡(luò)和主機(jī)的性能65網(wǎng)絡(luò)掃描與嗅探

TSM-301網(wǎng)絡(luò)掃描與嗅探

TSM-30166網(wǎng)絡(luò)攻擊的完整過程網(wǎng)絡(luò)攻擊的完整過程67信息收集信息收集技術(shù)是一把雙刃劍黑客在攻擊之前需要收集信息，才能實(shí)施有效的攻擊安全管理員用信息收集技術(shù)來發(fā)現(xiàn)系統(tǒng)的弱點(diǎn)并進(jìn)行修補(bǔ)攻擊工具攻擊命令攻擊機(jī)制目標(biāo)網(wǎng)絡(luò)網(wǎng)絡(luò)漏洞目標(biāo)系統(tǒng)系統(tǒng)漏洞攻擊者漏洞掃描評估加固攻擊過程實(shí)時(shí)入侵檢測知己知彼，百戰(zhàn)不殆信息收集信息收集技術(shù)是一把雙刃劍攻擊工具攻擊機(jī)制目標(biāo)網(wǎng)絡(luò)網(wǎng)絡(luò)68信息收集過程信息收集（踩點(diǎn)，footprint）是一個(gè)綜合過程從一些社會(huì)信息入手找到網(wǎng)絡(luò)地址范圍找到關(guān)鍵的機(jī)器地址找到開放端口和入口點(diǎn)找到系統(tǒng)的制造商和版本……信息收集過程信息收集（踩點(diǎn)，footprint）是一個(gè)綜合過69網(wǎng)絡(luò)勘察最常用的工具：Ping和TraceroutePing:PacketInterNetGroper用來判斷遠(yuǎn)程設(shè)備可訪問性最常用的方法原理：發(fā)送ICMPEcho消息，然后等待ICMPReply消息Traceroute用來發(fā)現(xiàn)實(shí)際的路由路徑原理：給目標(biāo)的一個(gè)無效端口發(fā)送一系列UDP，其TTL依次增一，中間路由器返回一個(gè)ICMPTimeExceeded消息Windows中為tracert網(wǎng)絡(luò)勘察最常用的工具：Ping和Traceroute70Ping工具發(fā)送ICMPEcho消息，等待EchoReply消息可以確定網(wǎng)絡(luò)和外部主機(jī)的狀態(tài)可以用來調(diào)試網(wǎng)絡(luò)的軟件和硬件每秒發(fā)送一個(gè)包，顯示響應(yīng)的輸出，計(jì)算網(wǎng)絡(luò)來回的時(shí)間最后顯示統(tǒng)計(jì)結(jié)果——丟包率Ping工具發(fā)送ICMPEcho消息，等待EchoRep71關(guān)于PingPing有許多命令行參數(shù)，可以改變?nèi)笔〉男袨榭梢杂脕戆l(fā)現(xiàn)一臺(tái)主機(jī)是否active為什么不能ping成功？沒有路由，網(wǎng)關(guān)設(shè)置？網(wǎng)卡沒有配置正確增大timeout值被防火墻阻止……“Pingofdeath”發(fā)送特大ping數(shù)據(jù)包(>65535字節(jié))導(dǎo)致機(jī)器崩潰許多老的操作系統(tǒng)都受影響關(guān)于PingPing有許多命令行參數(shù)，可以改變?nèi)笔〉男袨?2Traceroute發(fā)送一系列UDP包(缺省大小為38字節(jié))，其TTL字段從1開始遞增，然后監(jiān)聽來自路徑上網(wǎng)關(guān)發(fā)回來的ICMPTimeExceeded應(yīng)答消息UDP包的端口設(shè)置為一個(gè)不太可能用到的值(缺省為33434)，因此，目標(biāo)會(huì)送回一個(gè)ICMPDestinationUnreachable消息，指示端口不可達(dá)Traceroute發(fā)送一系列UDP包(缺省大小為38字節(jié))73關(guān)于Traceroutetraceroute有一些命令行參數(shù)，可以改變?nèi)笔〉男袨榭梢杂脕戆l(fā)現(xiàn)到一臺(tái)主機(jī)的路徑，為勾畫出網(wǎng)絡(luò)拓?fù)鋱D提供最基本的依據(jù)Traceroute允許指定寬松的源路由選項(xiàng)。許多防火墻是禁止帶源路由的包的關(guān)于Traceroutetraceroute有一些命令行參數(shù)74網(wǎng)絡(luò)勘查的對策防火墻：設(shè)置過濾規(guī)則使用NIDS(NetworkIntrusionDetectionSystem)使用其他工具：如rotoroutor，它可以記錄外來的traceroute請求，產(chǎn)生虛假的應(yīng)答網(wǎng)絡(luò)勘查的對策防火墻：設(shè)置過濾規(guī)則75掃描技術(shù)基于TCP/IP協(xié)議，對各種網(wǎng)絡(luò)服務(wù)，無論是主機(jī)或者防火墻、路由器都適用掃描可以確認(rèn)各種配置的正確性，避免遭受不必要的攻擊用途，雙刃劍安全管理員可以用來確保自己系統(tǒng)的安全性黑客用來探查系統(tǒng)的入侵點(diǎn)端口掃描的技術(shù)已經(jīng)非常成熟，目前有大量的商業(yè)、非商業(yè)的掃描器掃描技術(shù)基于TCP/IP協(xié)議，對各種網(wǎng)絡(luò)服務(wù)，無論是主機(jī)或者76掃描器的重要性掃描器能夠暴露網(wǎng)絡(luò)上潛在的脆弱性無論掃描器被管理員利用，或者被黑客利用，都有助于加強(qiáng)系統(tǒng)的安全性它能使得漏洞被及早發(fā)現(xiàn)，而漏洞遲早會(huì)被發(fā)現(xiàn)的掃描器可以滿足很多人的好奇心掃描器除了能掃描端口，往往還能夠發(fā)現(xiàn)系統(tǒng)存活情況，以及哪些服務(wù)在運(yùn)行用已知的漏洞測試這些系統(tǒng)對一批機(jī)器進(jìn)行測試，簡單的迭代過程有進(jìn)一步的功能，包括操作系統(tǒng)辨識(shí)、應(yīng)用系統(tǒng)識(shí)別掃描器的重要性掃描器能夠暴露網(wǎng)絡(luò)上潛在的脆弱性77掃描器的歷史早期80年代，網(wǎng)絡(luò)沒有普及，上網(wǎng)的好奇心驅(qū)使許多年輕人通過Modem撥號進(jìn)入到UNIX系統(tǒng)中。這時(shí)候的手段需要大量的手工操作于是，出現(xiàn)了wardialer——自動(dòng)掃描，并記錄下掃描的結(jié)果現(xiàn)代的掃描器要先進(jìn)得多SATAN:SecurityAdministrator'sToolforAnalyzingNetworks

1995年4月發(fā)布，引起了新聞界的轟動(dòng)界面上的突破，從命令行走向圖形界面(使用HTML界面)，不依賴于X兩位作者的影響(DanFarmer寫過網(wǎng)絡(luò)安全檢查工具COPS，另一位WeitseVenema是TCP_Wrapper的作者)Nmap作者為Fyodor，技術(shù)上，是最先進(jìn)的掃描技術(shù)大集成結(jié)合了功能強(qiáng)大的通過棧指紋來識(shí)別操作系統(tǒng)的眾多技術(shù)掃描器的歷史早期78掃描技術(shù)主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，同時(shí)盡可能多映射目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，主要利用ICMP數(shù)據(jù)包端口掃描：發(fā)現(xiàn)遠(yuǎn)程主機(jī)開放的端口以及服務(wù)操作系統(tǒng)指紋掃描：根據(jù)協(xié)議棧判別操作系統(tǒng)掃描技術(shù)主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，同時(shí)盡可能79傳統(tǒng)主機(jī)掃描技術(shù)ICMPEchoRequest(type8)和EchoReply(type0)通過簡單地向目標(biāo)主機(jī)發(fā)送ICMPEchoRequest數(shù)據(jù)包，并等待回復(fù)的ICMPEchoReply包，如PingICMPSweep（PingSweep）使用ICMPEchoRequest一次探測多個(gè)目標(biāo)主機(jī)。通常這種探測包會(huì)并行發(fā)送，以提高探測效率

BroadcastICMP設(shè)置ICMP請求包的目標(biāo)地址為廣播地址或網(wǎng)絡(luò)地址，則可以探測廣播域或整個(gè)網(wǎng)絡(luò)范圍內(nèi)的主機(jī)，這種情況只適合于UNIX/Linux系統(tǒng)Non-EchoICMP其它ICMP服務(wù)類型（13和14、15和16、17和18）也可以用于對主機(jī)或網(wǎng)絡(luò)設(shè)備如路由器等的探測傳統(tǒng)主機(jī)掃描技術(shù)ICMPEchoRequest(typ80高級主機(jī)掃描技術(shù) 利用被探測主機(jī)產(chǎn)生的ICMP錯(cuò)誤報(bào)文來進(jìn)行復(fù)雜的主機(jī)探測

異常的IP包頭向目標(biāo)主機(jī)發(fā)送包頭錯(cuò)誤的IP包，目標(biāo)主機(jī)或過濾設(shè)備會(huì)反饋ICMPParameterProblemError信息。常見的偽造錯(cuò)誤字段為HeaderLength和IPOptions。不同廠家的路由器和操作系統(tǒng)對這些錯(cuò)誤的處理方式不同，返回的結(jié)果也不同。在IP頭中設(shè)置無效的字段值向目標(biāo)主機(jī)發(fā)送的IP包中填充錯(cuò)誤的字段值，目標(biāo)主機(jī)或過濾設(shè)備會(huì)反饋ICMPDestinationUnreachable信息。這種方法同樣可以探測目標(biāo)主機(jī)和網(wǎng)絡(luò)設(shè)備

高級主機(jī)掃描技術(shù) 利用被探測主機(jī)產(chǎn)生的ICMP錯(cuò)誤報(bào)文來進(jìn)行81高級主機(jī)掃描技術(shù)通過超長包探測內(nèi)部路由器若構(gòu)造的數(shù)據(jù)包長度超過目標(biāo)系統(tǒng)所在路由器的PMTU且設(shè)置禁止分片標(biāo)志,該路由器會(huì)反饋FragmentationNeededandDon’tFragmentBitwasSet差錯(cuò)報(bào)文。反向映射探測用于探測被過濾設(shè)備或防火墻保護(hù)的網(wǎng)絡(luò)和主機(jī)。構(gòu)造可能的內(nèi)部IP地址列表，并向這些地址發(fā)送數(shù)據(jù)包。當(dāng)對方路由器接收到這些數(shù)據(jù)包時(shí)，會(huì)進(jìn)行IP識(shí)別并路由，對不在其服務(wù)的范圍的IP包發(fā)送ICMPHostUnreachable或ICMPTimeExceeded錯(cuò)誤報(bào)文，沒有接收到相應(yīng)錯(cuò)誤報(bào)文的IP地址可被認(rèn)為在該網(wǎng)絡(luò)中高級主機(jī)掃描技術(shù)通過超長包探測內(nèi)部路由器82主機(jī)掃描策略的對策使用可以檢測并記錄ICMP掃描的工具使用入侵檢測系統(tǒng)在防火墻或路由器中設(shè)置允許進(jìn)出自己網(wǎng)絡(luò)的ICMP分組類型主機(jī)掃描策略的對策使用可以檢測并記錄ICMP掃描的工具83端口掃描技術(shù)開放掃描(OpenScanning)需要掃描方通過三次握手過程與目標(biāo)主機(jī)建立完整的TCP連接可靠性高，產(chǎn)生大量審計(jì)數(shù)據(jù)，容易被發(fā)現(xiàn)半開放掃描(Half-OpenScanning)掃描方不需要打開一個(gè)完全的TCP連接秘密掃描(StealthScanning)不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分隱蔽性好，但這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡(luò)時(shí)容易被丟棄從而產(chǎn)生錯(cuò)誤的探測信息端口掃描技術(shù)開放掃描(OpenScanning)84端口掃描技術(shù)基本的TCPconnect()掃描（開放）Reverse-ident掃描（開放）TCPSYN掃描(半開放)IPIDheaderaka“dump”掃描(半開放)TCPFin掃描(秘密)TCPXMAS掃描(秘密)TCPftpproxy掃描(bounceattack)用IP分片進(jìn)行SYN/FIN掃描(躲開包過濾防火墻)UDPICMP端口不可達(dá)掃描UDPrecvfrom掃描端口掃描技術(shù)基本的TCPconnect()掃描（開放）85TCPconnect()掃描原理掃描器調(diào)用socket的connect()函數(shù)發(fā)起一個(gè)正常的連接如果端口是打開的，則連接成功否則，連接失敗優(yōu)點(diǎn)簡單，不需要特殊的權(quán)限缺點(diǎn)服務(wù)器可以記錄下客戶的連接行為，如果同一個(gè)客戶輪流對每一個(gè)端口發(fā)起連接，則一定是在掃描TCPconnect()掃描原理86Reverse-ident掃描Ident協(xié)議(RFC1413)使得可以發(fā)現(xiàn)任何一個(gè)通過TCP連接的進(jìn)程的所有者的用戶名，即使該進(jìn)程并沒有發(fā)起該連接只有在TCP全連接之后才有效TCP端口113例如可以先連接到80端口，然后通過identd來發(fā)現(xiàn)服務(wù)器是否在root下運(yùn)行建議關(guān)閉ident服務(wù)，或者在防火墻上禁止，除非是為了審計(jì)的目的Reverse-ident掃描Ident協(xié)議(RFC141387TCPSYN掃描原理向目標(biāo)主機(jī)的特定端口發(fā)送一個(gè)SYN包如果應(yīng)答包為RST包，則說明該端口是關(guān)閉的否則，會(huì)收到一個(gè)SYN|ACK包。于是，發(fā)送一個(gè)RST，停止建立連接由于連接沒有完全建立，所以稱為“半開連接掃描”優(yōu)點(diǎn)很少有系統(tǒng)會(huì)記錄這樣的行為缺點(diǎn)在UNIX平臺(tái)上，需要root權(quán)限才可以建立這樣的SYN數(shù)據(jù)包TCPSYN掃描原理88IPIDheaderaka“dump”掃描由Antirez首先使用，并在Bugtraq上公布

原理：掃描主機(jī)通過偽造第三方主機(jī)IP地址向目標(biāo)主機(jī)發(fā)起SYN掃描，并通過觀察其IP序列號的增長規(guī)律獲取端口的狀態(tài)優(yōu)點(diǎn)不直接掃描目標(biāo)主機(jī)也不直接和它進(jìn)行連接，隱蔽性較好缺點(diǎn)對第三方主機(jī)的要求較高IPIDheaderaka“dump”掃描由Ant89TCPFin掃描原理掃描器發(fā)送一個(gè)FIN數(shù)據(jù)包如果端口關(guān)閉的，則遠(yuǎn)程主機(jī)丟棄該包，并送回一個(gè)RST包否則的話，遠(yuǎn)程主機(jī)丟棄該包，不回送變種，組合其他的標(biāo)記優(yōu)點(diǎn)不是TCP建立連接的過程，所以比較隱蔽缺點(diǎn)與SYN掃描類似，也需要構(gòu)造專門的數(shù)據(jù)包在Windows平臺(tái)無效，總是發(fā)送RST包TCPFin掃描原理90TCPXMAS掃描原理掃描器發(fā)送的TCP包包頭設(shè)置所有標(biāo)志位關(guān)閉的端口會(huì)響應(yīng)一個(gè)同樣設(shè)置所有標(biāo)志位的包開放的端口則會(huì)忽略該包而不作任何響應(yīng)優(yōu)點(diǎn)比較隱蔽缺點(diǎn)主要用于UNIX/Linux/BSD的TCP/IP的協(xié)議棧不適用于Windows系統(tǒng)TCPXMAS掃描原理91分片掃描它本身并不是一種新的掃描方法，而是其他掃描技術(shù)的變種，特別是SYN掃描和FIN掃描思想是，把TCP包分成很小的分片，從而讓它們能夠通過包過濾防火墻注意，有些防火墻會(huì)丟棄太小的包而有些服務(wù)程序在處理這樣的包的時(shí)候會(huì)出現(xiàn)異常，或者性能下降，或者出現(xiàn)錯(cuò)誤分片掃描它本身并不是一種新的掃描方法，而是其他掃描技術(shù)的變種92TCPftpproxy掃描FTPbounceattack原理用PORT命令讓ftpserver與目標(biāo)主機(jī)建立連接，而且目標(biāo)主機(jī)的端口可以指定如果端口打開，則可以傳輸否則，返回"425Can'tbuilddataconnection:Connectionrefused."Ftp這個(gè)缺陷還可以被用來向目標(biāo)(郵件,新聞)傳送匿名信息優(yōu)點(diǎn)：這種技術(shù)可以用來穿透防火墻缺點(diǎn)：慢，有些ftpserver禁止這種特性TCPftpproxy掃描FTPbounceatta93UDPICMP端口不可達(dá)掃描利用UDP協(xié)議原理開放的UDP端口并不需要送回ACK包，而關(guān)閉的端口也不要求送回錯(cuò)誤包，所以利用UDP包進(jìn)行掃描非常困難有些協(xié)議棧實(shí)現(xiàn)的時(shí)候，對于關(guān)閉的UDP端口，會(huì)送回一個(gè)ICMPPortUnreach錯(cuò)誤缺點(diǎn)速度慢，而且UDP包和ICMP包都不是可靠的需要root權(quán)限，才能讀取ICMPPortUnreach消息一個(gè)應(yīng)用例子Solaris的rpcbind端口(UDP)位于32770之上，這時(shí)可以通過這種技術(shù)來探測UDPICMP端口不可達(dá)掃描利用UDP協(xié)議94UDPrecvfrom()&write()掃描非root用戶不能直接讀取ICMPPortUnreach消息，但是Linux提供了一種方法可以間接通知到原理第二次對一個(gè)關(guān)閉的UDP端口調(diào)用write()總是會(huì)失敗經(jīng)驗(yàn)：在ICMP錯(cuò)誤到達(dá)之前，在UDP端口上調(diào)用recvfrom()會(huì)返回EAGAIN(重試)，否則會(huì)返回ECONNREFUSED(連接拒絕…)UDPrecvfrom()&write()掃描非roo95端口掃描的對策設(shè)置防火墻過濾規(guī)則，阻止對端口的掃描例如可以設(shè)置檢測SYN掃描而忽略FIN掃描使用入侵檢測系統(tǒng)禁止所有不必要的服務(wù)，把自己的暴露程度降到最低Unix或linux中，在/etc/inetd.conf中注釋掉不必要的服務(wù)，并在系統(tǒng)啟動(dòng)腳本中禁止其他不必要的服務(wù)Windows中通過Services禁止敏感服務(wù)，如IIS端口掃描的對策設(shè)置防火墻過濾規(guī)則，阻止對端口的掃描96操作系統(tǒng)辨識(shí)操作系統(tǒng)辨識(shí)的動(dòng)機(jī)許多漏洞是系統(tǒng)相關(guān)的，而且往往與相應(yīng)的版本對應(yīng)從操作系統(tǒng)或者應(yīng)用系統(tǒng)的具體實(shí)現(xiàn)中發(fā)掘出來的攻擊手段都需要辨識(shí)系統(tǒng)操作系統(tǒng)的信息還可以與其他信息結(jié)合起來，比如漏洞庫，或者社會(huì)詐騙(社會(huì)工程，socialengineering)如何辨識(shí)一個(gè)操作系統(tǒng)一些端口服務(wù)的提示信息，例如，telnet、http、ftp等服務(wù)的提示信息TCP/IP棧指紋DNS泄漏出OS系統(tǒng)操作系統(tǒng)辨識(shí)操作系統(tǒng)辨識(shí)的動(dòng)機(jī)97端口服務(wù)提供的信息Telnet服務(wù)Http服務(wù)Ftp服務(wù)端口服務(wù)提供的信息Telnet服務(wù)98棧指紋技術(shù)定義：利用TCP/IP協(xié)議棧實(shí)現(xiàn)上的特點(diǎn)來辨識(shí)一個(gè)操作系統(tǒng)技術(shù)導(dǎo)向可辨識(shí)的OS的種類，包括哪些操作系統(tǒng)結(jié)論的精確度，細(xì)微的版本差異是否能識(shí)別一些工具Checkos,byShokQueso,bySavageNmap,byFyodor棧指紋技術(shù)定義：利用TCP/IP協(xié)議棧實(shí)現(xiàn)上的特點(diǎn)來辨識(shí)一個(gè)99主動(dòng)棧指紋識(shí)別技術(shù)原理：尋找不同操作系統(tǒng)之間在處理網(wǎng)絡(luò)數(shù)據(jù)包上的差異，并且把足夠多的差異組合起來，以便精確地識(shí)別出一個(gè)系統(tǒng)的OS版本配置能力擴(kuò)展性，新的OS，版本不斷推出定義一種配置語言或者格式主動(dòng)棧指紋識(shí)別技術(shù)原理：尋找不同操作系統(tǒng)之間在處理網(wǎng)絡(luò)數(shù)據(jù)包100主動(dòng)棧指紋識(shí)別方法常用的手段給一個(gè)開放的端口發(fā)送FIN包，有些操作系統(tǒng)有回應(yīng)，有的沒有回應(yīng)對于非正常數(shù)據(jù)包的反應(yīng)比如，發(fā)送一個(gè)包含未定義TCP標(biāo)記的數(shù)據(jù)包根據(jù)TCP連接的序列號風(fēng)格尋找初始序列號之間的規(guī)律ACK值有些系統(tǒng)會(huì)發(fā)送回所確認(rèn)的TCP分組的序列號，有些會(huì)發(fā)回序列號加1TCP初始化窗口有些操作系統(tǒng)會(huì)使用一些固定的窗口大小DF位(Don'tFragmentbit)某些操作系統(tǒng)會(huì)設(shè)置IP頭的DF位來改善性能主動(dòng)棧指紋識(shí)別方法常用的手段101主動(dòng)棧指紋識(shí)別方法分片處理方式分片重疊的情況下，處理會(huì)不同：用后到的新數(shù)據(jù)覆蓋先到的舊數(shù)據(jù)或者反之ICMP協(xié)議ICMP錯(cuò)誤消息的限制發(fā)送一批UDP包給高端關(guān)閉的端口，然后計(jì)算返回來的不可達(dá)錯(cuò)誤消息ICMP端口不可達(dá)消息的大小通常情況下送回IP頭+8個(gè)字節(jié)，但是個(gè)別系統(tǒng)送回的數(shù)據(jù)更多一些ICMP回應(yīng)消息中對于校驗(yàn)和的處理方法不同ICMP回應(yīng)消息中，TOS域的值TCP選項(xiàng)(RFC793和更新的RFC1323)這里充滿了各種組合的可能性應(yīng)答方式“Query-Reply”，可以把多個(gè)選項(xiàng)放到一個(gè)包中有些高級選項(xiàng)在新的協(xié)議棧實(shí)現(xiàn)中加入SYNflooding測試如果發(fā)送太多的偽造SYN包，一些操作系統(tǒng)會(huì)停止建立新的連接。許多操作系統(tǒng)只能處理8個(gè)包。主動(dòng)棧指紋識(shí)別方法分片處理方式102被動(dòng)棧指紋識(shí)別方法它和主動(dòng)棧指紋識(shí)別方法類似不是向目標(biāo)系統(tǒng)發(fā)送分組，而是被動(dòng)監(jiān)測網(wǎng)絡(luò)通信，以確定所用的操作系統(tǒng)如根據(jù)TCP/IP會(huì)話中的幾個(gè)屬性：TTL窗口大小DFTOSSiphon工具，/被動(dòng)棧指紋識(shí)別方法它和主動(dòng)棧指紋識(shí)別方法類似103例：被動(dòng)棧指紋識(shí)別方法telnet45（發(fā)起方為55）利用snort監(jiān)聽到的數(shù)據(jù)包：45:23->55:2300TCPTTL:255TOS:0x0ID:58955DF**S***A*Seq:0xD3B709A4Ack:0xBE09B2B7Win:0x2798TCPOptions=>NOPNOPTS:96887759682347NOPWS:0MSS:1460和osprints.conf比較，可猜測45的操作系統(tǒng)為Solaris2.6-2.7例：被動(dòng)棧指紋識(shí)別方法telnet04操作系統(tǒng)識(shí)別的對策端口掃描監(jiān)測工具監(jiān)視操作系統(tǒng)檢測活動(dòng)讓操作系統(tǒng)識(shí)別失效的補(bǔ)丁修改OS的源代碼或改動(dòng)某個(gè)OS參數(shù)以達(dá)到改變單個(gè)獨(dú)特的協(xié)議棧特征的目的防火墻和路由器的規(guī)則配置使用入侵檢測系統(tǒng)操作系統(tǒng)識(shí)別的對策端口掃描監(jiān)測工具監(jiān)視操作系統(tǒng)檢測活動(dòng)105其他掃描方法延時(shí)掃描和分布式掃描原因：各IDS常采用的檢測方法－在某個(gè)時(shí)間段內(nèi)特定主機(jī)對本地端口的訪問頻度是否大于事先預(yù)定的閾值來判斷入侵。延時(shí)掃描是加大各連接之間的時(shí)間間隔，逃避檢測。比較有效但是延緩了掃描速度。分布式掃描解決連接數(shù)問題的同時(shí)也解決了掃描進(jìn)度的問題。把掃描任務(wù)分配到地理位置和網(wǎng)絡(luò)拓?fù)浞植嫉膾呙柚鳈C(jī)上。同時(shí)也解決了大量信息收集時(shí)單機(jī)掃描面臨的主機(jī)負(fù)載和網(wǎng)絡(luò)負(fù)載過重的問題。其他掃描方法延時(shí)掃描和分布式掃描106查點(diǎn)如果黑客從一開始的目標(biāo)探測中沒有找到任何可以直接利用的入侵途徑，他就會(huì)轉(zhuǎn)向收集目標(biāo)有效的用戶賬號或保護(hù)不當(dāng)?shù)墓蚕碣Y源，這就是查點(diǎn)(enumeration)。查點(diǎn)要對目標(biāo)系統(tǒng)進(jìn)行連接和查詢，查點(diǎn)活動(dòng)有可能會(huì)被目標(biāo)系統(tǒng)記錄。查點(diǎn)通常是針對特定操作系統(tǒng)進(jìn)行。查點(diǎn)如果黑客從一開始的目標(biāo)探測中沒有找到任何可以直接利用的入107查點(diǎn)的信息攻擊者查點(diǎn)時(shí)感興趣的信息類型：網(wǎng)絡(luò)資源和共享資源用戶和用戶組服務(wù)器程序及其標(biāo)記(banner)查點(diǎn)的信息攻擊者查點(diǎn)時(shí)感興趣的信息類型：108WindowsNT/2000的查點(diǎn)WindowsNT的網(wǎng)絡(luò)服務(wù)依賴于CIFS/SMB(CommonInternetFileSystem/ServerMessageBlock)和NetBIOS數(shù)據(jù)傳輸協(xié)議，很容易泄漏共享信息。Windows2000也同樣具有NT的不安全特性。Windows提供了很多工具用于管理網(wǎng)絡(luò)，同時(shí)也具有副作用。NTRK(NTResourceKit)2000Server安裝盤的Support\Tools目錄WindowsNT/2000的查點(diǎn)WindowsNT的網(wǎng)109WindowsNT/2000空會(huì)話原理利用WindowsNT/2000對NetBIOS的缺省信賴通過TCP端口139返回主機(jī)的大量信息實(shí)例如果通過端口掃描獲知TCP端口139已經(jīng)打開netuse\\30\IPC$""/USER:""

在攻擊者和目標(biāo)主機(jī)間建立連接Windows2000還有另一個(gè)SMB端口445NTforall工具WindowsNT/2000空會(huì)話原理NTforall110NT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)NT/2000中有很多工具可用于提供對網(wǎng)絡(luò)資源的查詢nbtstat，可以獲取NetBIOS遠(yuǎn)程主機(jī)名字表NT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)NT/2000中有111NT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)netview查看域、計(jì)算機(jī)或計(jì)算機(jī)共享資源的列表如果建立了空會(huì)話連接，可用netview查看目標(biāo)共享資源Nc工具NT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)netview查112NT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)工具兩個(gè)常用的網(wǎng)絡(luò)資源查點(diǎn)工具：legion和NATNT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)工具兩個(gè)常用的網(wǎng)113NT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)工具NTRK中的網(wǎng)絡(luò)資源查點(diǎn)工具nltest、rmtshare、srvcheck、srvinfo、netdom等其他網(wǎng)絡(luò)資源查點(diǎn)工具epdump、getmac、netviewx、enum、dumpsec等NT/2000NetBIOS網(wǎng)絡(luò)資源查點(diǎn)工具NTRK中的114NT/2000NetBIOS用戶查點(diǎn)攻擊者對目標(biāo)主機(jī)的用戶名和密碼更感興趣一旦獲取用戶名，50%的努力花在竊取賬號上用戶通常使用弱密碼在查詢資源的同時(shí)可以查詢用戶前面介紹的一些工具，如NAT、enum、dumpsec等Rudnyi的sid2user和user2sid，從用戶名查找SID(SecurityIdentifier)或從SID查找用戶名參看文章“WhatisaSID”/Articles/Index.cfm?ArticleID=14781NT/2000NetBIOS用戶查點(diǎn)攻擊者對目標(biāo)主機(jī)的用115NT/2000服務(wù)器程序及標(biāo)記查點(diǎn)連接目標(biāo)主機(jī)的應(yīng)用程序并根據(jù)輸出來獲取標(biāo)記可以確認(rèn)服務(wù)器上運(yùn)行的軟件和版本常用的方法telnet和nc(瑞士軍刀)c:\telnet5580NT/2000服務(wù)器程序及標(biāo)記查點(diǎn)連接目標(biāo)主機(jī)的應(yīng)用程序并根116NT/2000服務(wù)器程序及標(biāo)記查點(diǎn)注冊表查點(diǎn)通常情況下正常安裝在系統(tǒng)上的應(yīng)用程序都會(huì)在注冊表中留下信息注冊表中有大量和用戶有關(guān)的信息從目的地得到Wi