網(wǎng)絡(luò)安全-CH03-信息收集與防御

網(wǎng)絡(luò)安全CH03—信息收集與防御1網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第1頁。2目錄（Contents）掃描技術(shù)查點(diǎn)技術(shù)掃描與查點(diǎn)的防御網(wǎng)絡(luò)嗅探與防御網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第2頁。掃描的基本步驟：3掃描技術(shù)概述確定目標(biāo)系統(tǒng)是否真實(shí)存在確定目標(biāo)系統(tǒng)上哪些服務(wù)正在運(yùn)行或監(jiān)聽探查操作系統(tǒng)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第3頁?；痉椒ǎ簆ing掃描（傳統(tǒng)意義上）ping：向目標(biāo)發(fā)ICMPECHO（類型8）數(shù)據(jù)包，如返回ICMPECHO_REPLY數(shù)據(jù)包（類型0），說明目標(biāo)系統(tǒng)真實(shí)存在pingnmap–sP：Linux+windows，GUI版本為Zenmap（現(xiàn)在的）ping：可利用ICMP，TCP，UDP4掃描技術(shù)確定目標(biāo)系統(tǒng)是否真實(shí)存在網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第4頁。5掃描技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第5頁。Q：目標(biāo)站點(diǎn)阻斷了ICMP數(shù)據(jù)包，怎么辦？A：使用TCP，UDP進(jìn)行ping掃描nmap–PT：對“-PT”選項(xiàng)指定的端口（通常是80端口）進(jìn)行TCPping掃描；

該選項(xiàng)向目標(biāo)網(wǎng)絡(luò)發(fā)出TCPACK數(shù)據(jù)包并根據(jù)返回的RST數(shù)據(jù)包判斷活躍主機(jī)problem：為什么選用發(fā)出ACK數(shù)據(jù)包？answer：絕大多數(shù)無狀態(tài)（non-stateful）防火墻產(chǎn)品（如CiscoIOS系列）通常都會(huì)放行這種數(shù)據(jù)包6掃描技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第6頁。端口掃描：主動(dòng)連接目標(biāo)系統(tǒng)的TCP和UDP端口以確定哪些服務(wù)正在運(yùn)行或處于LISTENING（監(jiān)聽）狀態(tài)主要目的：確定運(yùn)行的TCP/UDP服務(wù)確定操作系統(tǒng)的具體類型確定提供服務(wù)的應(yīng)用程序名稱和版本7掃描技術(shù)確定目標(biāo)系統(tǒng)上哪些服務(wù)正在運(yùn)行或監(jiān)聽網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第7頁。8掃描技術(shù)TCP首部20字節(jié)的固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號緊急指針窗口確認(rèn)號保留(6)FIN32bitSYNRSTPSHACKURG比特08162431填充TCP數(shù)據(jù)部分TCP首部TCP報(bào)文段IP數(shù)據(jù)部分IP首部發(fā)送在前網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第8頁。9掃描技術(shù)TCP的6個(gè)標(biāo)志位URG:緊急數(shù)據(jù)包ACK:確認(rèn)PSH:請求急迫操作；接收方應(yīng)盡快將數(shù)據(jù)包交給應(yīng)用層RST:連接復(fù)位；重建連接SYN:連接請求FIN:結(jié)束TCP/IP的一些實(shí)現(xiàn)原則SYN或FIN數(shù)據(jù)包到達(dá)一關(guān)閉的端口，丟棄數(shù)據(jù)包同時(shí)發(fā)送一個(gè)RST數(shù)據(jù)包RST數(shù)據(jù)包到達(dá)一監(jiān)聽端口/關(guān)閉端口，RST被丟棄包含ACK的數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽端口時(shí)，數(shù)據(jù)包被丟棄，同時(shí)發(fā)送一個(gè)RST數(shù)據(jù)包不包含SYN位的數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽端口時(shí)，數(shù)據(jù)包被丟棄SYN數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽端口時(shí)，正常的三階段握手繼續(xù)，回答一個(gè)SYN|ACK數(shù)據(jù)包FIN數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽端口時(shí)，數(shù)據(jù)包被丟棄網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第9頁。掃描類型：TCP連接掃描（TCPConnect()掃描;nmap-sT）:連接目標(biāo)端口并完成一次完整的三次握手過程；很容易被目標(biāo)系統(tǒng)覺察10掃描技術(shù)建立連接成功（目標(biāo)端口開放）ACKSYN/ACKSYN客戶端服務(wù)器端未建立連接成功(目標(biāo)端口關(guān)閉)RSTRST/ACKSYN客戶端服務(wù)器端網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第10頁。TCPSYN掃描(半開掃描;nmap-sS)：向目標(biāo)端口送SYN數(shù)據(jù)包返回SYN/ACK數(shù)據(jù)包，可以斷定該端口處于監(jiān)聽狀態(tài)返回RST/ACK數(shù)據(jù)包，通常表明該端口不在監(jiān)聽狀態(tài)然后，掃描者送出一個(gè)RST/ACK數(shù)據(jù)包（使通信雙方永遠(yuǎn)不會(huì)建立一條完整連接）優(yōu)點(diǎn)：更隱秘，目標(biāo)系統(tǒng)一般不會(huì)將其記入日志缺點(diǎn)：半開連接過多時(shí)，會(huì)形成一種“拒絕服務(wù)”條件而引起對方的警覺11掃描技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第11頁。TCP

FIN掃描(秘密掃描;nmap-sF):向目標(biāo)端口發(fā)送FIN數(shù)據(jù)包如果目標(biāo)端口關(guān)閉，目標(biāo)系統(tǒng)應(yīng)該返回一個(gè)RST數(shù)據(jù)包，否則丟棄該包。通常只對UNIX系統(tǒng)的TCP/IP棧有效（Window平臺(tái)總是返回RST包）由于不包含TCP三次握手協(xié)議的任何部分，所以無法被記錄下來，從而比SYN掃描隱蔽FIN數(shù)據(jù)包能通過監(jiān)測SYN包的包過濾器(秘密掃描)12掃描技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第12頁。秘密掃描的兩個(gè)變體：3.1TCPXmas掃描（圣誕樹掃描;nmap-sX）:TCP包包頭設(shè)置所有標(biāo)志位

目標(biāo)端口關(guān)閉，目標(biāo)系統(tǒng)應(yīng)該返回一個(gè)RST數(shù)據(jù)包3.2TCPNull掃描（空掃描;nmap-sN）:關(guān)掉所有的標(biāo)志目標(biāo)端口關(guān)閉，目標(biāo)系統(tǒng)應(yīng)該返回一個(gè)RST數(shù)據(jù)包Remark：使用這些組合的目的是通過FIN標(biāo)記監(jiān)測器的過濾Remark：主要用于UNIX/Linux/BSD的TCP/IP的協(xié)議棧；不適用于Windows系統(tǒng)13掃描技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第13頁。TCPACK掃描(nmap-sA)：測試防火墻的規(guī)則集。判斷防火墻是簡單的包過濾防火墻；還是高級的、具備數(shù)據(jù)包過濾功能的狀態(tài)（stateful）防火墻不能用來確定端口是否開放或者關(guān)閉TCP窗口掃描(nmap-sW):測試特定目標(biāo)系統(tǒng)（如AIX和FreeBSD系統(tǒng)）上的端口是否開放、被過濾——會(huì)導(dǎo)致目標(biāo)系統(tǒng)返回不同的TCP窗口長度值14掃描技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第14頁。TCPMaimon掃描(nmap-sM)：探測報(bào)文改為FIN/ACK外，其原理與TCPFIN掃描一樣；無論端口是否開放，都應(yīng)響應(yīng)RST報(bào)文。Uriel注意到如果端口開放，許多基于BSD的系統(tǒng)只是丟棄該報(bào)文UDP掃描(nmap-sU)：向目標(biāo)端口發(fā)出UDP數(shù)據(jù)包如果返回“ICMPportunreachable”出錯(cuò)消息，表明端口關(guān)閉如果沒有收到該消息，端口可能開放remark：UDP不要求必須建立一條連接，所以掃描的準(zhǔn)確性取決于與目標(biāo)網(wǎng)絡(luò)的使用情況和過濾機(jī)制有關(guān)的許多因素（掃描結(jié)果不可靠）15掃描技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第15頁。NMAP（掃描之王）:主機(jī)掃描技術(shù)端口掃描技術(shù)遠(yuǎn)程主機(jī)OS指紋識(shí)別防火墻/IDS規(guī)避腳本引擎NSE16掃描工具-NMAP（NetworkMapper）Ping掃描：nmap–sP缺省時(shí)同時(shí)發(fā)送icmp和對80端口發(fā)送ack來探測可以用nmap–sP–P0

不發(fā)送icmp消息TCPconnect掃描：nmap–sTTCPSYN掃描：nmap–sSTCPFIN,XMAS,NULL掃描： nmap–sF nmap–sX nmap–sNUDP掃描：nmap–sU激進(jìn)掃描：

nmap–A控制時(shí)間：nmap–T(0-5)#數(shù)字代表激進(jìn)程度網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第16頁。17TheMatrix-《黑客帝國》網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第17頁。nmap：//mannmap查看如何使用nmap–sS：TCPSYN端口掃描18TheMatrix-《黑客帝國》DNMAP(KALI)：基于Nmap的分布式框架，使用客戶端/服務(wù)端架構(gòu)，服務(wù)器接收命令并發(fā)送至客戶端進(jìn)行Nmap安全掃描，掃描完畢后，客戶端返回掃描結(jié)果網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第18頁。其他掃描工具：natcat（nc）[unix，windows]*：能夠完成的任務(wù)非常之多，業(yè)界稱之為信息安防人員的“瑞士軍刀”SuperScan[windows]：不再更新X-Scan[windows]：更新至2010年19掃描技術(shù)-v：生成詳盡的輸出報(bào)告；-vv：生成非常詳盡的輸出報(bào)告；-z：零模式I/O，即端口掃描；-w2：設(shè)定各條連接的倒計(jì)數(shù)超時(shí)值網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第19頁。主要技術(shù)：旗標(biāo)抓取技術(shù)（查點(diǎn)部分）協(xié)議棧指紋分析技術(shù)（更準(zhǔn)確），可分為：主動(dòng)式協(xié)議棧指紋分析技術(shù)被動(dòng)式協(xié)議棧指紋分析技術(shù)協(xié)議棧指紋分析技術(shù)的工作原理：不同廠家的IP協(xié)議棧實(shí)現(xiàn)存在著許多細(xì)微的差別探查這些差異，就能對目標(biāo)系統(tǒng)做出有依據(jù)的判斷20掃描技術(shù)探查操作系統(tǒng)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第20頁?？捎玫奶讲榧夹g(shù)：FIN探查：向某個(gè)打開端口發(fā)出FIN數(shù)據(jù)包。根據(jù)RFC793的規(guī)定，目標(biāo)系統(tǒng)應(yīng)該不做任何響應(yīng)。但許多實(shí)現(xiàn)如Windows會(huì)返回FIN/ACK數(shù)據(jù)包無效標(biāo)志探查:在SYN數(shù)據(jù)包的TCP報(bào)頭置位一個(gè)未定義的TCP標(biāo)志。某些操作系統(tǒng)（如Linux）會(huì)在響應(yīng)數(shù)據(jù)包里置位這個(gè)標(biāo)志ISN（InitialSequenceNumber，初始序列號）采樣：

TCP協(xié)議在響應(yīng)一個(gè)連接請求時(shí)，返回的ISN呈現(xiàn)不同的模式DF標(biāo)志位監(jiān)控：某些操作系統(tǒng)會(huì)置位DF位（Don’tFragment）以改善性能21掃描技術(shù)—操作系統(tǒng)探測網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第21頁?？捎玫奶讲榧夹g(shù)（續(xù)）：TCP初始數(shù)據(jù)窗長度：目標(biāo)系統(tǒng)返回?cái)?shù)據(jù)包的初始窗口大小不同ACK值

：不同的IP協(xié)議棧在往ACK字段里填寫序列號時(shí)會(huì)采用不同的做法，有的原封不動(dòng)地送回，有的則會(huì)先加1、再送回來ICMP出錯(cuò)消息抑制（有些OS會(huì)對送出ICMP出錯(cuò)消息的頻率做出限制）/ICMP消息內(nèi)容（不同OS在ICMP返回消息里給出的文字內(nèi)容不一樣）/ICMP出錯(cuò)消息——請求/響應(yīng)是否匹配（某些實(shí)現(xiàn)在返回ICMP出錯(cuò)消息時(shí)會(huì)改變請求數(shù)據(jù)包的IP報(bào)頭）數(shù)據(jù)包拆分處理：協(xié)議棧在處理數(shù)據(jù)包分片時(shí)采取不同的做法。在重新組合數(shù)據(jù)包時(shí)，協(xié)議棧會(huì)用后收到的新數(shù)據(jù)覆寫先收到的老數(shù)據(jù)（或者相反）22掃描技術(shù)—操作系統(tǒng)探測網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第22頁。23掃描技術(shù)—操作系統(tǒng)探測windowsXPubuntu

linux、Win7網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第23頁。主動(dòng)協(xié)議棧指紋分析技術(shù)：向目標(biāo)系統(tǒng)發(fā)送數(shù)據(jù)包去探查網(wǎng)絡(luò)協(xié)議棧的獨(dú)有特點(diǎn)，推測操作系統(tǒng)nmap–O：同時(shí)使用以上技術(shù)（“數(shù)據(jù)包拆分處理”和“ICMP出錯(cuò)消息隊(duì)列”除外）進(jìn)行探查24掃描技術(shù)—操作系統(tǒng)探測網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第24頁。被動(dòng)協(xié)議棧指紋分析技術(shù)：通過被動(dòng)地監(jiān)控網(wǎng)絡(luò)通信推測目標(biāo)的操作系統(tǒng)成功取決于攻擊者必須位于網(wǎng)絡(luò)的通信樞紐，以及必須有一個(gè)可用來捕獲數(shù)據(jù)包的端口

(部分)被動(dòng)式特征:TTL/窗口大小/DF位siphon的指紋數(shù)據(jù)庫文件osprints.conf25掃描技術(shù)—操作系統(tǒng)探測網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第25頁。查點(diǎn)技術(shù)——旗標(biāo)抓取telnet

26查點(diǎn)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第26頁。HTTP:27查點(diǎn)FirefoxFirebug網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第27頁。Web頁面盜竊：通過對網(wǎng)頁源碼的分析，找出可能的缺陷和脆弱點(diǎn)；方式包括：手工掃描：（具有諷刺意義的是）往往規(guī)范化的編程風(fēng)格會(huì)提供給攻擊者更多的信息：規(guī)范的代碼往往會(huì)有很多幫助性的注釋，以幫助用戶或者測試人員在代碼運(yùn)行錯(cuò)誤時(shí)進(jìn)行處理自動(dòng)掃描：逐頁讀取目標(biāo)站點(diǎn)的網(wǎng)頁，通過搜索特定關(guān)鍵字，來找出可能的漏洞出于運(yùn)行效率考慮，往往采取將目標(biāo)站點(diǎn)鏡像到本地、指定掃描條件、指定掃描細(xì)度等方法自動(dòng)掃描腳本或工具往往由資深攻擊者開發(fā)后在網(wǎng)絡(luò)上共享，攻擊者不需要太多的攻擊知識(shí)就可以使用自動(dòng)掃描具有很高的頁面處理速度，因此對Web站點(diǎn)的安全性構(gòu)成極大的威脅Web盜竊通過正常的Web訪問來試圖尋找漏洞，因此無法完全屏蔽28查點(diǎn)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第28頁。一個(gè)“規(guī)范”的HTML代碼29查點(diǎn)

<!--Thewelcomehomepage note:besurethedirectorydependency.

/opt/html;/opt/test;/opt/cgi-bin--> <html> <head> <title>Welcometoourhomepage</title> </head> <bodybgcolor=”#0011FF”text=”#00FFFF”> <h1>Welcometoourwold.<h1> <imgsrc=file:///c%7c/temp/welcome.gif> <h2>justatest.</h2> <!--notice:intialpasswordis“justatest”.--> </body> </html> <!--Anyproblemsorquestionsduringdevelopmentcontactme.tel:xxxxx,email:xxx@-->Web服務(wù)器的部分目錄結(jié)構(gòu)文件地址初始口令開發(fā)者電話和郵箱逐頁掃描的不足：效率太低網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第29頁。綜合智能信息收集：maltego(BT5、KALI）能收集涉及的域名，dns名，whois信息，網(wǎng)段，還能收集與個(gè)人相關(guān)的信息:公司或組織關(guān)聯(lián)的人，電子郵件，網(wǎng)站關(guān)聯(lián)的人、論壇信息及電話號碼等針對社會(huì)工程學(xué)的檢測很重要30查點(diǎn)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第30頁。漏洞掃描：分析確認(rèn)目標(biāo)主機(jī)中可以被利用的漏洞手動(dòng)分析：過程復(fù)雜、技術(shù)含量高、效率較低自動(dòng)分析：人為干預(yù)過程少，效率高。如Nessus、OpenVAS、X-Scan等綜合型漏洞檢測工具及專用掃描工具31查點(diǎn)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第31頁。Nessus：功能強(qiáng)大、簡單易用的網(wǎng)絡(luò)安全掃描工具，不可多得的審核堵漏工具2000/03/06年，Nmap發(fā)起“Top50SecurityTools”、“Top75SecurityTools”、“Top100SecurityTools”評選活動(dòng)，Nessus“戰(zhàn)勝”眾多的商業(yè)化漏洞掃描工具而三次奪魁黑客的血滴子，網(wǎng)管的百寶箱工作原理:通過插件模擬黑客攻擊，對目標(biāo)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測試弱口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞可完成多項(xiàng)安全工作，如掃描選定范圍內(nèi)的主機(jī)的端口開放情況、提供的服務(wù)、是否存在安全漏洞等32查點(diǎn)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第32頁。Nessus：免費(fèi)(對個(gè)人用戶)基于多種安全漏洞的掃描，避免掃描不完整的情況插件體制：擴(kuò)展性強(qiáng)，支持及時(shí)的在線升級，可以掃描自定義漏洞或者最新安全漏洞客戶端/服務(wù)端機(jī)制：容易使用、功能強(qiáng)大主機(jī)掃描技術(shù)端口掃描技術(shù)遠(yuǎn)程主機(jī)OS識(shí)別漏洞掃描技術(shù)自帶上萬個(gè)掃描插件33查點(diǎn)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第33頁。Nessus的結(jié)構(gòu)：34查點(diǎn)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第34頁。Nessus使用：C/S模式，安裝完成后在URL中輸入：https://[serverIP]:8834/進(jìn)入Nessus的GUI界面35查點(diǎn)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第35頁。登錄成功后，進(jìn)入Policies：掃描規(guī)則，可以自己添加36查點(diǎn)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第36頁。掃描：37查點(diǎn)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第37頁。查看掃描報(bào)告：38查點(diǎn)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第38頁。OpenVAS:

開放式漏洞評估系統(tǒng)，網(wǎng)絡(luò)掃描器。核心是一個(gè)服務(wù)器，包括一套網(wǎng)絡(luò)漏洞測試程序，可以檢測遠(yuǎn)程系統(tǒng)、應(yīng)用程序的安全問題39查點(diǎn)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第39頁。40查點(diǎn)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第40頁。41常用掃描工具比較主機(jī)掃描端口掃描OS識(shí)別漏洞掃描NmapNessus/OpenVAS/NeXpose掃描工具掃描技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第41頁。42小結(jié)：一個(gè)典型的掃描案例網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第42頁。端口掃描監(jiān)測：（最簡單）在某個(gè)不常用的端口進(jìn)行監(jiān)聽：如發(fā)現(xiàn)對該端口的連接請求，就認(rèn)為有端口掃描。一般這些工具都會(huì)對連接請求的來源進(jìn)行反探測，同時(shí)彈出提示窗口混雜模式下抓包（wireshark）并進(jìn)一步分析判斷蜜罐系統(tǒng)（Honeypot）43掃描的防御網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第43頁。審計(jì)技術(shù)（Auditing）：使用系統(tǒng)記錄下的使用時(shí)間、敏感操作和違紀(jì)操作等，為系統(tǒng)進(jìn)行事故原因查詢、事故發(fā)生后的實(shí)時(shí)處理提供詳細(xì)可靠的依據(jù)或支持記錄網(wǎng)絡(luò)連接的請求、返回等信息，從中識(shí)別出掃描行為如：Web服務(wù)器的日志記錄能幫助跟蹤客戶端IP地址，確定其地理位置信息，檢測訪問者所請求的路徑和文件，了解訪問狀態(tài)，檢查訪問者使用的瀏覽器版本和操作系統(tǒng)類型等44掃描的防御網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第44頁。審計(jì)技術(shù)例—IIS服務(wù)器的日志記錄：“%SystemRoot%/System32/LogFiles”目錄存放關(guān)于WWW、FTP、SMTP等服務(wù)的日志目錄WWW服務(wù)的日志目錄：W3SVCn，“n”表示第n個(gè)WWW網(wǎng)站（虛擬主機(jī)）FTP服務(wù)的日志目錄：MSFTPSVCn45掃描的防御網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第45頁。IIS服務(wù)器的日志格式：MicrosoftIISLogFileFormat（IIS日志文件格式，一個(gè)固定的ASCII格式）NCSACommonLogFileFormat（NCSA通用日志文件格式）W3CExtendedLogFileFormat（W3C擴(kuò)展日志文件格式，可讓用戶設(shè)置的ASCII格式，默認(rèn)格式）ODBCLogging日志文件一般記錄對方IP地址、使用的HTTP方法、URI資源及其傳遞的CGI參數(shù)字符串等信息。通常設(shè)置使用W3CExtendedLogFileFormat，可以記錄更多更細(xì)致的信息，有助于更好的審計(jì)入侵行為46掃描的防御網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第46頁。審計(jì)技術(shù)舉例—Apache服務(wù)器的日志記錄：默認(rèn)情況下，Apache會(huì)使用兩個(gè)標(biāo)準(zhǔn)的日志文件：

access_log：所有對ApacheWeb服務(wù)器訪問的活動(dòng)記錄error_log：運(yùn)行期間所有的狀態(tài)診斷信息，包括對Web服務(wù)器的錯(cuò)誤訪問記錄一般在/usr/local/apache/logs目錄下47掃描的防御網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第47頁。掃描：目標(biāo)系統(tǒng)是否存活、端口掃描、OS探測ping、nmap端口掃描原理/OS探測技術(shù)查點(diǎn)：旗標(biāo)抓取/漏洞掃描等telnet、natcat、maltego、Nessus、OpenVAS、NeXpose48Summary網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第48頁。網(wǎng)絡(luò)監(jiān)聽(網(wǎng)絡(luò)嗅探、NetworkSniffing)：在他方未察覺的情況下捕獲其通信報(bào)文、通信內(nèi)容的技術(shù)對網(wǎng)絡(luò)攻擊與防范雙方都有重要意義，是一把雙刃劍網(wǎng)絡(luò)管理員：了解網(wǎng)絡(luò)運(yùn)行狀況的有力助手黑客：有效收集信息的手段

網(wǎng)絡(luò)監(jiān)聽技術(shù)的能力范圍只限于局域網(wǎng)49網(wǎng)絡(luò)嗅探技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第49頁。網(wǎng)卡的工作模式：廣播模式(BroadcastMode)：網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣播信息組播模式(MulticastMode)：網(wǎng)卡能夠接收組播數(shù)據(jù)單播模式(UnicastMode)：只接收目的地址匹配本機(jī)MAC地址的數(shù)據(jù)幀混雜模式(PromiscuousMode，監(jiān)聽模式)：網(wǎng)卡接收一切數(shù)據(jù)幀，無論其目的MAC地址是什么50網(wǎng)絡(luò)監(jiān)聽及防御技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第50頁。例：用Wireshark嗅探163郵箱密碼51網(wǎng)絡(luò)監(jiān)聽及防御技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第51頁。嗅探的工作機(jī)制：驅(qū)動(dòng)程序支持：直接與網(wǎng)卡驅(qū)動(dòng)程序接口的驅(qū)動(dòng)模塊，作為網(wǎng)卡驅(qū)動(dòng)與上層應(yīng)用的“中間人”，將網(wǎng)卡設(shè)置成混雜模式，捕獲數(shù)據(jù)包并從上層接收各種抓包請求分組捕獲過濾機(jī)制：對來自網(wǎng)卡的數(shù)據(jù)幀進(jìn)行過濾，將符合要求的數(shù)據(jù)交給上層網(wǎng)卡上傳的數(shù)據(jù)幀有兩個(gè)去處：正常的協(xié)議棧或分組捕獲過濾模塊，對于非本地的數(shù)據(jù)包，前者會(huì)丟棄，后者則根據(jù)上層應(yīng)用要求來決定是否丟棄許多操作系統(tǒng)都提供分組捕獲機(jī)制：UNIX類型的OS中主要有3種：BSD系統(tǒng)中的BPF(BerkeleyPacketFilter)SVR4中的DLPI(DataLinkInterface)Linux中的SOCK_PACKET類型套接字Windows平臺(tái)上主要有NPF過濾機(jī)制52網(wǎng)絡(luò)監(jiān)聽及防御技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第52頁。共享式局域網(wǎng)的監(jiān)聽實(shí)現(xiàn)方法：53網(wǎng)絡(luò)監(jiān)聽及防御技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第53頁。相關(guān)開發(fā)庫：54網(wǎng)絡(luò)監(jiān)聽及防御技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第54頁。開發(fā)庫libpcap：對開發(fā)者而言，網(wǎng)卡驅(qū)動(dòng)程序和BPF捕獲機(jī)制是透明的，需要掌握的是libpcap庫的使用libpcap隱藏了用戶程序和操作系統(tǒng)內(nèi)核交互的細(xì)節(jié)，完成如下工作：向用戶程序提供一套功能強(qiáng)大的抽象接口根據(jù)用戶要求生成過濾指令管理用戶緩沖區(qū)負(fù)責(zé)用戶程序和內(nèi)核的交互55網(wǎng)絡(luò)監(jiān)聽及防御技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第55頁?；赪indows系統(tǒng)的WinPcap比libpcap多一些功能，如WinPcap可以發(fā)送數(shù)據(jù)，但libpcap不行WinPcap的架構(gòu)：內(nèi)核級的數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動(dòng)程序NPF：把設(shè)備驅(qū)動(dòng)增加在Windows，直接從數(shù)據(jù)鏈路層取得網(wǎng)絡(luò)數(shù)據(jù)包不加修改地傳遞給應(yīng)用程序，也允許用戶發(fā)送原始數(shù)據(jù)包低級動(dòng)態(tài)連接庫packet.dll：運(yùn)行在用戶層，把應(yīng)用程序和數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動(dòng)程序隔離開，使得應(yīng)用程序可以不加修改地在不同Windows系統(tǒng)上運(yùn)行高級系統(tǒng)無關(guān)庫Wpcap.dll：和應(yīng)用程序編譯在一起，它使用低級動(dòng)態(tài)鏈接庫提供的服務(wù)，向應(yīng)用程序提供完善的監(jiān)聽接口，不同Windows平臺(tái)上的高級系統(tǒng)無關(guān)庫是相同的56網(wǎng)絡(luò)監(jiān)聽及防御技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第56頁。交換式局域網(wǎng)的監(jiān)聽技術(shù)：溢出攻擊交換機(jī)要維護(hù)一張MAC地址與端口的映射表（CAM）維護(hù)該表的內(nèi)存有限。如用大量的錯(cuò)誤MAC地址的數(shù)據(jù)幀對交換機(jī)進(jìn)行攻擊，交換機(jī)就可能出現(xiàn)溢出交換機(jī)就回到廣播方式——向所有的端口發(fā)送數(shù)據(jù)包（ARP過載,MAC泛洪）ARP欺騙（欺騙章節(jié)詳細(xì)介紹）計(jì)算機(jī)維護(hù)一個(gè)IP-MAC地址對應(yīng)表，該表隨ARP請求/響應(yīng)不斷更新ARP欺騙：改變表里的對應(yīng)關(guān)系，攻擊者成為被攻擊者與交換機(jī)之間的“中間人”，使交換式局域網(wǎng)中的所有數(shù)據(jù)包都流經(jīng)攻擊者的網(wǎng)卡57網(wǎng)絡(luò)監(jiān)聽及防御技術(shù)網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第57頁。58MAC泛洪一個(gè)被攻陷的主機(jī)連接端口4.來源于G、H、E和F的假M(fèi)AC地址的幀和真MAC地址D的幀在端口4發(fā)送交換機(jī)的CAM表被填滿，并且不能再學(xué)習(xí)任何MAC地址和端口映像A向B主機(jī)發(fā)送幀。但因?yàn)镃AM已經(jīng)填滿，交換機(jī)不能學(xué)習(xí)端口1連接的A的MACC給A發(fā)送一個(gè)幀，但是交換機(jī)的CAM表中沒有A的地址，所以交換機(jī)泛洪到所有端口網(wǎng)絡(luò)安全CH03-信息收集與防御全文共67頁，當(dāng)前為第58頁。常用的網(wǎng)絡(luò)監(jiān)聽工具Wireshark免費(fèi)開源的網(wǎng)絡(luò)數(shù)據(jù)包分析工具，可在Linux、Solaris、Windows等多平臺(tái)運(yùn)行允許從網(wǎng)絡(luò)中捕捉數(shù)據(jù)包并進(jìn)行分析，詳細(xì)探究數(shù)據(jù)包的協(xié)議字段信息和會(huì)話過程很好的可擴(kuò)展性，能自由地增加插件以