風險評估與網(wǎng)絡嗅探

風險評估與網(wǎng)絡嗅探第一頁，共六十五頁，2022年，8月28日網(wǎng)絡攻擊的完整過程第二頁，共六十五頁，2022年，8月28日信息收集信息收集技術是一把雙刃劍黑客在攻擊之前需要收集信息，才能實施有效的攻擊安全管理員用信息收集技術來發(fā)現(xiàn)系統(tǒng)的弱點并進行修補攻擊工具攻擊命令攻擊機制目標網(wǎng)絡網(wǎng)絡漏洞目標系統(tǒng)系統(tǒng)漏洞攻擊者漏洞掃描評估加固攻擊過程實時入侵檢測知己知彼，百戰(zhàn)不殆第三頁，共六十五頁，2022年，8月28日信息收集過程信息收集（踩點，footprint）是一個綜合過程從一些社會信息入手找到網(wǎng)絡地址范圍找到關鍵的機器地址找到開放端口和入口點找到系統(tǒng)的制造商和版本……第四頁，共六十五頁，2022年，8月28日網(wǎng)絡勘察最常用的工具：Ping和TraceroutePing:PacketInterNetGroper用來判斷遠程設備可訪問性最常用的方法原理：發(fā)送ICMPEcho消息，然后等待ICMPReply消息Traceroute用來發(fā)現(xiàn)實際的路由路徑原理：給目標的一個無效端口發(fā)送一系列UDP，其TTL依次增一，中間路由器返回一個ICMPTimeExceeded消息Windows中為tracert第五頁，共六十五頁，2022年，8月28日Ping工具發(fā)送ICMPEcho消息，等待EchoReply消息可以確定網(wǎng)絡和外部主機的狀態(tài)可以用來調(diào)試網(wǎng)絡的軟件和硬件每秒發(fā)送一個包，顯示響應的輸出，計算網(wǎng)絡來回的時間最后顯示統(tǒng)計結果——丟包率第六頁，共六十五頁，2022年，8月28日關于PingPing有許多命令行參數(shù)，可以改變?nèi)笔〉男袨榭梢杂脕戆l(fā)現(xiàn)一臺主機是否active為什么不能ping成功？沒有路由，網(wǎng)關設置？網(wǎng)卡沒有配置正確增大timeout值被防火墻阻止……“Pingofdeath”發(fā)送特大ping數(shù)據(jù)包(>65535字節(jié))導致機器崩潰許多老的操作系統(tǒng)都受影響第七頁，共六十五頁，2022年，8月28日Traceroute發(fā)送一系列UDP包(缺省大小為38字節(jié))，其TTL字段從1開始遞增，然后監(jiān)聽來自路徑上網(wǎng)關發(fā)回來的ICMPTimeExceeded應答消息UDP包的端口設置為一個不太可能用到的值(缺省為33434)，因此，目標會送回一個ICMPDestinationUnreachable消息，指示端口不可達第八頁，共六十五頁，2022年，8月28日關于Traceroutetraceroute有一些命令行參數(shù)，可以改變?nèi)笔〉男袨榭梢杂脕戆l(fā)現(xiàn)到一臺主機的路徑，為勾畫出網(wǎng)絡拓撲圖提供最基本的依據(jù)Traceroute允許指定寬松的源路由選項。許多防火墻是禁止帶源路由的包的第九頁，共六十五頁，2022年，8月28日網(wǎng)絡勘查的對策防火墻：設置過濾規(guī)則使用NIDS(NetworkIntrusionDetectionSystem)使用其他工具：如rotoroutor，它可以記錄外來的traceroute請求，產(chǎn)生虛假的應答第十頁，共六十五頁，2022年，8月28日掃描技術基于TCP/IP協(xié)議，對各種網(wǎng)絡服務，無論是主機或者防火墻、路由器都適用掃描可以確認各種配置的正確性，避免遭受不必要的攻擊用途，雙刃劍安全管理員可以用來確保自己系統(tǒng)的安全性黑客用來探查系統(tǒng)的入侵點端口掃描的技術已經(jīng)非常成熟，目前有大量的商業(yè)、非商業(yè)的掃描器第十一頁，共六十五頁，2022年，8月28日掃描器的重要性掃描器能夠暴露網(wǎng)絡上潛在的脆弱性無論掃描器被管理員利用，或者被黑客利用，都有助于加強系統(tǒng)的安全性它能使得漏洞被及早發(fā)現(xiàn)，而漏洞遲早會被發(fā)現(xiàn)的掃描器可以滿足很多人的好奇心掃描器除了能掃描端口，往往還能夠發(fā)現(xiàn)系統(tǒng)存活情況，以及哪些服務在運行用已知的漏洞測試這些系統(tǒng)對一批機器進行測試，簡單的迭代過程有進一步的功能，包括操作系統(tǒng)辨識、應用系統(tǒng)識別第十二頁，共六十五頁，2022年，8月28日掃描器的歷史早期80年代，網(wǎng)絡沒有普及，上網(wǎng)的好奇心驅(qū)使許多年輕人通過Modem撥號進入到UNIX系統(tǒng)中。這時候的手段需要大量的手工操作于是，出現(xiàn)了wardialer——自動掃描，并記錄下掃描的結果現(xiàn)代的掃描器要先進得多SATAN:SecurityAdministrator'sToolforAnalyzingNetworks

1995年4月發(fā)布，引起了新聞界的轟動界面上的突破，從命令行走向圖形界面(使用HTML界面)，不依賴于X兩位作者的影響(DanFarmer寫過網(wǎng)絡安全檢查工具COPS，另一位WeitseVenema是TCP_Wrapper的作者)Nmap作者為Fyodor，技術上，是最先進的掃描技術大集成結合了功能強大的通過棧指紋來識別操作系統(tǒng)的眾多技術第十三頁，共六十五頁，2022年，8月28日掃描技術主機掃描：確定在目標網(wǎng)絡上的主機是否可達，同時盡可能多映射目標網(wǎng)絡的拓撲結構，主要利用ICMP數(shù)據(jù)包端口掃描：發(fā)現(xiàn)遠程主機開放的端口以及服務操作系統(tǒng)指紋掃描：根據(jù)協(xié)議棧判別操作系統(tǒng)第十四頁，共六十五頁，2022年，8月28日傳統(tǒng)主機掃描技術ICMPEchoRequest(type8)和EchoReply(type0)通過簡單地向目標主機發(fā)送ICMPEchoRequest數(shù)據(jù)包，并等待回復的ICMPEchoReply包，如PingICMPSweep（PingSweep）使用ICMPEchoRequest一次探測多個目標主機。通常這種探測包會并行發(fā)送，以提高探測效率

BroadcastICMP設置ICMP請求包的目標地址為廣播地址或網(wǎng)絡地址，則可以探測廣播域或整個網(wǎng)絡范圍內(nèi)的主機，這種情況只適合于UNIX/Linux系統(tǒng)Non-EchoICMP其它ICMP服務類型（13和14、15和16、17和18）也可以用于對主機或網(wǎng)絡設備如路由器等的探測第十五頁，共六十五頁，2022年，8月28日高級主機掃描技術 利用被探測主機產(chǎn)生的ICMP錯誤報文來進行復雜的主機探測

異常的IP包頭向目標主機發(fā)送包頭錯誤的IP包，目標主機或過濾設備會反饋ICMPParameterProblemError信息。常見的偽造錯誤字段為HeaderLength和IPOptions。不同廠家的路由器和操作系統(tǒng)對這些錯誤的處理方式不同，返回的結果也不同。在IP頭中設置無效的字段值向目標主機發(fā)送的IP包中填充錯誤的字段值，目標主機或過濾設備會反饋ICMPDestinationUnreachable信息。這種方法同樣可以探測目標主機和網(wǎng)絡設備

第十六頁，共六十五頁，2022年，8月28日高級主機掃描技術通過超長包探測內(nèi)部路由器若構造的數(shù)據(jù)包長度超過目標系統(tǒng)所在路由器的PMTU且設置禁止分片標志,該路由器會反饋FragmentationNeededandDon’tFragmentBitwasSet差錯報文。反向映射探測用于探測被過濾設備或防火墻保護的網(wǎng)絡和主機。構造可能的內(nèi)部IP地址列表，并向這些地址發(fā)送數(shù)據(jù)包。當對方路由器接收到這些數(shù)據(jù)包時，會進行IP識別并路由，對不在其服務的范圍的IP包發(fā)送ICMPHostUnreachable或ICMPTimeExceeded錯誤報文，沒有接收到相應錯誤報文的IP地址可被認為在該網(wǎng)絡中第十七頁，共六十五頁，2022年，8月28日主機掃描策略的對策使用可以檢測并記錄ICMP掃描的工具使用入侵檢測系統(tǒng)在防火墻或路由器中設置允許進出自己網(wǎng)絡的ICMP分組類型第十八頁，共六十五頁，2022年，8月28日端口掃描技術開放掃描(OpenScanning)需要掃描方通過三次握手過程與目標主機建立完整的TCP連接可靠性高，產(chǎn)生大量審計數(shù)據(jù)，容易被發(fā)現(xiàn)半開放掃描(Half-OpenScanning)掃描方不需要打開一個完全的TCP連接秘密掃描(StealthScanning)不包含標準的TCP三次握手協(xié)議的任何部分隱蔽性好，但這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡時容易被丟棄從而產(chǎn)生錯誤的探測信息第十九頁，共六十五頁，2022年，8月28日端口掃描技術基本的TCPconnect()掃描（開放）Reverse-ident掃描（開放）TCPSYN掃描(半開放)IPIDheaderaka“dump”掃描(半開放)TCPFin掃描(秘密)TCPXMAS掃描(秘密)TCPftpproxy掃描(bounceattack)用IP分片進行SYN/FIN掃描(躲開包過濾防火墻)UDPICMP端口不可達掃描UDPrecvfrom掃描第二十頁，共六十五頁，2022年，8月28日TCPconnect()掃描原理掃描器調(diào)用socket的connect()函數(shù)發(fā)起一個正常的連接如果端口是打開的，則連接成功否則，連接失敗優(yōu)點簡單，不需要特殊的權限缺點服務器可以記錄下客戶的連接行為，如果同一個客戶輪流對每一個端口發(fā)起連接，則一定是在掃描第二十一頁，共六十五頁，2022年，8月28日Reverse-ident掃描Ident協(xié)議(RFC1413)使得可以發(fā)現(xiàn)任何一個通過TCP連接的進程的所有者的用戶名，即使該進程并沒有發(fā)起該連接只有在TCP全連接之后才有效TCP端口113例如可以先連接到80端口，然后通過identd來發(fā)現(xiàn)服務器是否在root下運行建議關閉ident服務，或者在防火墻上禁止，除非是為了審計的目的第二十二頁，共六十五頁，2022年，8月28日

TCPSYN掃描原理向目標主機的特定端口發(fā)送一個SYN包如果應答包為RST包，則說明該端口是關閉的否則，會收到一個SYN|ACK包。于是，發(fā)送一個RST，停止建立連接由于連接沒有完全建立，所以稱為“半開連接掃描”優(yōu)點很少有系統(tǒng)會記錄這樣的行為缺點在UNIX平臺上，需要root權限才可以建立這樣的SYN數(shù)據(jù)包第二十三頁，共六十五頁，2022年，8月28日IPIDheaderaka“dump”掃描由Antirez首先使用，并在Bugtraq上公布

原理：掃描主機通過偽造第三方主機IP地址向目標主機發(fā)起SYN掃描，并通過觀察其IP序列號的增長規(guī)律獲取端口的狀態(tài)優(yōu)點不直接掃描目標主機也不直接和它進行連接，隱蔽性較好缺點對第三方主機的要求較高第二十四頁，共六十五頁，2022年，8月28日TCPFin掃描原理掃描器發(fā)送一個FIN數(shù)據(jù)包如果端口關閉的，則遠程主機丟棄該包，并送回一個RST包否則的話，遠程主機丟棄該包，不回送變種，組合其他的標記優(yōu)點不是TCP建立連接的過程，所以比較隱蔽缺點與SYN掃描類似，也需要構造專門的數(shù)據(jù)包在Windows平臺無效，總是發(fā)送RST包第二十五頁，共六十五頁，2022年，8月28日TCPXMAS掃描原理掃描器發(fā)送的TCP包包頭設置所有標志位關閉的端口會響應一個同樣設置所有標志位的包開放的端口則會忽略該包而不作任何響應優(yōu)點比較隱蔽缺點主要用于UNIX/Linux/BSD的TCP/IP的協(xié)議棧不適用于Windows系統(tǒng)第二十六頁，共六十五頁，2022年，8月28日分片掃描它本身并不是一種新的掃描方法，而是其他掃描技術的變種，特別是SYN掃描和FIN掃描思想是，把TCP包分成很小的分片，從而讓它們能夠通過包過濾防火墻注意，有些防火墻會丟棄太小的包而有些服務程序在處理這樣的包的時候會出現(xiàn)異常，或者性能下降，或者出現(xiàn)錯誤第二十七頁，共六十五頁，2022年，8月28日TCPftpproxy掃描FTPbounceattack原理用PORT命令讓ftpserver與目標主機建立連接，而且目標主機的端口可以指定如果端口打開，則可以傳輸否則，返回"425Can'tbuilddataconnection:Connectionrefused."Ftp這個缺陷還可以被用來向目標(郵件,新聞)傳送匿名信息優(yōu)點：這種技術可以用來穿透防火墻缺點：慢，有些ftpserver禁止這種特性第二十八頁，共六十五頁，2022年，8月28日UDPICMP端口不可達掃描利用UDP協(xié)議原理開放的UDP端口并不需要送回ACK包，而關閉的端口也不要求送回錯誤包，所以利用UDP包進行掃描非常困難有些協(xié)議棧實現(xiàn)的時候，對于關閉的UDP端口，會送回一個ICMPPortUnreach錯誤缺點速度慢，而且UDP包和ICMP包都不是可靠的需要root權限，才能讀取ICMPPortUnreach消息一個應用例子Solaris的rpcbind端口(UDP)位于32770之上，這時可以通過這種技術來探測第二十九頁，共六十五頁，2022年，8月28日UDPrecvfrom()&write()掃描非root用戶不能直接讀取ICMPPortUnreach消息，但是Linux提供了一種方法可以間接通知到原理第二次對一個關閉的UDP端口調(diào)用write()總是會失敗經(jīng)驗：在ICMP錯誤到達之前，在UDP端口上調(diào)用recvfrom()會返回EAGAIN(重試)，否則會返回ECONNREFUSED(連接拒絕…)第三十頁，共六十五頁，2022年，8月28日端口掃描的對策設置防火墻過濾規(guī)則，阻止對端口的掃描例如可以設置檢測SYN掃描而忽略FIN掃描使用入侵檢測系統(tǒng)禁止所有不必要的服務，把自己的暴露程度降到最低Unix或linux中，在/etc/inetd.conf中注釋掉不必要的服務，并在系統(tǒng)啟動腳本中禁止其他不必要的服務Windows中通過Services禁止敏感服務，如IIS第三十一頁，共六十五頁，2022年，8月28日操作系統(tǒng)辨識操作系統(tǒng)辨識的動機許多漏洞是系統(tǒng)相關的，而且往往與相應的版本對應從操作系統(tǒng)或者應用系統(tǒng)的具體實現(xiàn)中發(fā)掘出來的攻擊手段都需要辨識系統(tǒng)操作系統(tǒng)的信息還可以與其他信息結合起來，比如漏洞庫，或者社會詐騙(社會工程，socialengineering)如何辨識一個操作系統(tǒng)一些端口服務的提示信息，例如，telnet、http、ftp等服務的提示信息TCP/IP棧指紋DNS泄漏出OS系統(tǒng)第三十二頁，共六十五頁，2022年，8月28日端口服務提供的信息Telnet服務Http服務Ftp服務第三十三頁，共六十五頁，2022年，8月28日棧指紋技術定義：利用TCP/IP協(xié)議棧實現(xiàn)上的特點來辨識一個操作系統(tǒng)技術導向可辨識的OS的種類，包括哪些操作系統(tǒng)結論的精確度，細微的版本差異是否能識別一些工具Checkos,byShokQueso,bySavageNmap,byFyodor第三十四頁，共六十五頁，2022年，8月28日主動棧指紋識別技術原理：尋找不同操作系統(tǒng)之間在處理網(wǎng)絡數(shù)據(jù)包上的差異，并且把足夠多的差異組合起來，以便精確地識別出一個系統(tǒng)的OS版本配置能力擴展性，新的OS，版本不斷推出定義一種配置語言或者格式第三十五頁，共六十五頁，2022年，8月28日主動棧指紋識別方法常用的手段給一個開放的端口發(fā)送FIN包，有些操作系統(tǒng)有回應，有的沒有回應對于非正常數(shù)據(jù)包的反應比如，發(fā)送一個包含未定義TCP標記的數(shù)據(jù)包根據(jù)TCP連接的序列號風格尋找初始序列號之間的規(guī)律ACK值有些系統(tǒng)會發(fā)送回所確認的TCP分組的序列號，有些會發(fā)回序列號加1TCP初始化窗口有些操作系統(tǒng)會使用一些固定的窗口大小DF位(Don'tFragmentbit)某些操作系統(tǒng)會設置IP頭的DF位來改善性能第三十六頁，共六十五頁，2022年，8月28日主動棧指紋識別方法分片處理方式分片重疊的情況下，處理會不同：用后到的新數(shù)據(jù)覆蓋先到的舊數(shù)據(jù)或者反之ICMP協(xié)議ICMP錯誤消息的限制發(fā)送一批UDP包給高端關閉的端口，然后計算返回來的不可達錯誤消息ICMP端口不可達消息的大小通常情況下送回IP頭+8個字節(jié)，但是個別系統(tǒng)送回的數(shù)據(jù)更多一些ICMP回應消息中對于校驗和的處理方法不同ICMP回應消息中，TOS域的值TCP選項(RFC793和更新的RFC1323)這里充滿了各種組合的可能性應答方式“Query-Reply”，可以把多個選項放到一個包中有些高級選項在新的協(xié)議棧實現(xiàn)中加入SYNflooding測試如果發(fā)送太多的偽造SYN包，一些操作系統(tǒng)會停止建立新的連接。許多操作系統(tǒng)只能處理8個包。第三十七頁，共六十五頁，2022年，8月28日被動棧指紋識別方法它和主動棧指紋識別方法類似不是向目標系統(tǒng)發(fā)送分組，而是被動監(jiān)測網(wǎng)絡通信，以確定所用的操作系統(tǒng)如根據(jù)TCP/IP會話中的幾個屬性：TTL窗口大小DFTOSSiphon工具，第三十八頁，共六十五頁，2022年，8月28日例：被動棧指紋識別方法（發(fā)起方為55）利用snort監(jiān)聽到的數(shù)據(jù)包：45:23->55:2300TCPTTL:255TOS:0x0ID:58955DF**S***A*Seq:0xD3B709A4Ack:0xBE09B2B7Win:0x2798TCPOptions=>NOPNOPTS:96887759682347NOPWS:0MSS:1460和osprints.conf比較，可猜測的操作系統(tǒng)為第三十九頁，共六十五頁，2022年，8月28日操作系統(tǒng)識別的對策端口掃描監(jiān)測工具監(jiān)視操作系統(tǒng)檢測活動讓操作系統(tǒng)識別失效的補丁修改OS的源代碼或改動某個OS參數(shù)以達到改變單個獨特的協(xié)議棧特征的目的防火墻和路由器的規(guī)則配置使用入侵檢測系統(tǒng)第四十頁，共六十五頁，2022年，8月28日其他掃描方法延時掃描和分布式掃描原因：各IDS常采用的檢測方法－在某個時間段內(nèi)特定主機對本地端口的訪問頻度是否大于事先預定的閾值來判斷入侵。延時掃描是加大各連接之間的時間間隔，逃避檢測。比較有效但是延緩了掃描速度。分布式掃描解決連接數(shù)問題的同時也解決了掃描進度的問題。把掃描任務分配到地理位置和網(wǎng)絡拓撲分布的掃描主機上。同時也解決了大量信息收集時單機掃描面臨的主機負載和網(wǎng)絡負載過重的問題。第四十一頁，共六十五頁，2022年，8月28日查點如果黑客從一開始的目標探測中沒有找到任何可以直接利用的入侵途徑，他就會轉向收集目標有效的用戶賬號或保護不當?shù)墓蚕碣Y源，這就是查點(enumeration)。查點要對目標系統(tǒng)進行連接和查詢，查點活動有可能會被目標系統(tǒng)記錄。查點通常是針對特定操作系統(tǒng)進行。第四十二頁，共六十五頁，2022年，8月28日查點的信息攻擊者查點時感興趣的信息類型：網(wǎng)絡資源和共享資源用戶和用戶組服務器程序及其標記(banner)第四十三頁，共六十五頁，2022年，8月28日WindowsNT/2000的查點WindowsNT的網(wǎng)絡服務依賴于CIFS/SMB(CommonInternetFileSystem/ServerMessageBlock)和NetBIOS數(shù)據(jù)傳輸協(xié)議，很容易泄漏共享信息。Windows2000也同樣具有NT的不安全特性。Windows提供了很多工具用于管理網(wǎng)絡，同時也具有副作用。NTRK(NTResourceKit)2000Server安裝盤的Support\Tools目錄第四十四頁，共六十五頁，2022年，8月28日WindowsNT/2000空會話原理利用WindowsNT/2000對NetBIOS的缺省信賴通過TCP端口139返回主機的大量信息實例如果通過端口掃描獲知TCP端口139已經(jīng)打開netuse\\30\IPC$""/USER:""

在攻擊者和目標主機間建立連接Windows2000還有另一個SMB端口445NTforall工具第四十五頁，共六十五頁，2022年，8月28日NT/2000NetBIOS網(wǎng)絡資源查點NT/2000中有很多工具可用于提供對網(wǎng)絡資源的查詢nbtstat，可以獲取NetBIOS遠程主機名字表第四十六頁，共六十五頁，2022年，8月28日NT/2000NetBIOS網(wǎng)絡資源查點netview查看域、計算機或計算機共享資源的列表如果建立了空會話連接，可用netview查看目標共享資源Nc工具第四十七頁，共六十五頁，2022年，8月28日NT/2000NetBIOS網(wǎng)絡資源查點工具兩個常用的網(wǎng)絡資源查點工具：legion和NAT第四十八頁，共六十五頁，2022年，8月28日NT/2000NetBIOS網(wǎng)絡資源查點工具NTRK中的網(wǎng)絡資源查點工具nltest、rmtshare、srvcheck、srvinfo、netdom等其他網(wǎng)絡資源查點工具epdump、getmac、netviewx、enum、dumpsec等第四十九頁，共六十五頁，2022年，8月28日NT/2000NetBIOS用戶查點攻擊者對目標主機的用戶名和密碼更感興趣一旦獲取用戶名，50%的努力花在竊取賬號上用戶通常使用弱密碼在查詢資源的同時可以查詢用戶前面介紹的一些工具，如NAT、enum、dumpsec等Rudnyi的sid2user和user2sid，從用戶名查找SID(SecurityIdentifier)或從SID查找用戶名參看文章“第五十頁，共六十五頁，2022年，8月28日NT/2000服務器程序及標記查點連接目標主機的應用程序并根據(jù)輸出來獲取標記可以確認服務器上運行的軟件和版本常用的方法telnet和nc(瑞士軍刀)c:\telnet5580第五十一頁，共六十五頁，2022年，8月28日NT/2000服務器程序及標記查點注冊表查點通常情況下正常安裝在系統(tǒng)上的應用程序都會在注冊表中留下信息注冊表中有大量和用戶有關的信息從目的地得到Windows注冊表的內(nèi)容NT/2000的缺省配置是只允許Administrator訪問注冊表HKEY_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg注冊表訪問工具：regdump、dumpsec等第五十二頁，共六十五頁，2022年，8月28日NT/2000查點的對策在路由器、防火墻或其他網(wǎng)絡關口設置，不允許對TCP和UDP的135～139端口的訪問2000中，還要禁止445端口。第五十三頁，共六十五頁，2022年，8月28日NT/2000查點的對策Hkey_Local_Machine\SYSTEM\CurrentControlSet\Control\LSA，增加一個數(shù)據(jù)項RestrictAnonymous，數(shù)據(jù)類型為REG_DWORD，NT下數(shù)值為1，2000下為22000下，“管理工具”中的“本地安全設置”|“本地策略”|“安全選項”中對匿名連接的額外限制(相當于設置RestrictAnonymous為2)第五十四頁，共六十五頁，2022年，8月28日NT/2000查點的對策對服務程序標記查點的對策：對具有風險的應用程序，盡可能隱藏其標記中的廠商和版本信息；定期使用端口掃描和netcat工具連接活動端口進行網(wǎng)絡系統(tǒng)檢查，確保沒有泄露信息鎖定注冊表，不能對它進行遠程訪問IISLogo：www3c.dll第五十五頁，共六十五頁，2022年，8月28日網(wǎng)絡嗅探在一個共享式網(wǎng)絡，可以聽取所有的流量是一把雙刃劍管理員可以用來監(jiān)聽網(wǎng)絡的流量情況開發(fā)網(wǎng)絡應用的程序員可以監(jiān)視程序的網(wǎng)絡情況黑客可以用來刺探網(wǎng)絡情報目前有大量商業(yè)的、免費的監(jiān)聽工具，俗稱嗅探器(sniffer)LC4第五十六頁，共六十五頁，2022年，8月28日以太網(wǎng)絡的工作原理載波偵聽/沖突檢測(CSMA/CD,carriersensemultipleaccesswithcollisiondetection)技術載波偵聽：是指在網(wǎng)絡中的每個站點都具有同等的權利，在傳輸自己的數(shù)據(jù)時，首先監(jiān)聽信道是否空閑如果空閑，就傳輸自己的數(shù)據(jù)如果信道被占用，就等待信道空閑而沖突檢測則是為了防止發(fā)生兩個站點同時監(jiān)測到網(wǎng)絡沒有被使用時而產(chǎn)生沖突以太網(wǎng)采用了CSMA/CD技術，由于使用了廣播機制，所以，所有與網(wǎng)絡連接的工作站都可以看到網(wǎng)絡上傳遞的數(shù)據(jù)第五十七頁，共六十五頁，2022年，8月28日以太網(wǎng)卡的工作模式網(wǎng)卡的MAC地址(48位)通過ARP來解析MAC與IP地址的轉換用ipconfig/ifconfig可以查看MAC地址正常情況下，網(wǎng)卡應該只接收這樣的包M