網(wǎng)絡(luò)攻擊與防護(hù)課件

第8章網(wǎng)絡(luò)攻擊與防護(hù)

黑客及攻擊8.1IP欺騙8.2

拒絕服務(wù)攻擊8.3偵察與工具8.4

攻擊與滲透8.5

入侵監(jiān)測系統(tǒng)IDS8.6審計(jì)結(jié)果8.718.1黑客及攻擊1．黑客概述在各種媒體上有許多關(guān)于Hacker這個(gè)名詞的定義，一般是指計(jì)算機(jī)技術(shù)的行家或熱衷于解決問題、克服限制的人。這可以追溯到幾十年前第一臺(tái)微型計(jì)算機(jī)剛剛誕生的時(shí)代。那時(shí)有一個(gè)由程序設(shè)計(jì)專家和網(wǎng)絡(luò)名人所組成的具有分享特質(zhì)的文化族群。這一文化族群的成員創(chuàng)造了Hacker這個(gè)名詞。他們建立了Internet，創(chuàng)造出現(xiàn)在使用的UNIX操作系統(tǒng)，并且讓W(xué)orldWideWeb傳播開來，這就是最早的Hacker。2

也存在另外一個(gè)團(tuán)體，其成員也稱自己為Hacker。這些人專門闖入計(jì)算機(jī)或入侵電話系統(tǒng)，真正的Hacker稱他們?yōu)槿肭终撸–racker），并且不愿意和他們?cè)谝黄鹱鋈魏问?。Hacker們認(rèn)為這些人懶惰，不負(fù)責(zé)任，并且不夠光明正大。他們認(rèn)為，能破解安全系統(tǒng)并不能使你成為一位Hacker?；旧?，Hacker和Cracker之間最主要的不同是，Hacker創(chuàng)造新東西，Cracker破壞東西?，F(xiàn)在，人們所說的黑客是指Cracker。32．黑客常用的攻擊方法

（1）獲取口令通過網(wǎng)絡(luò)監(jiān)聽，非法得到用戶口令知道用戶的賬號(hào)后利用一些專門軟件強(qiáng)行破解用戶口令獲得一個(gè)服務(wù)器上的用戶口令文件后，用暴力破解程序破解用戶口令（2）放置特洛伊木馬程序4（3）WWW的欺騙技術(shù)訪問的網(wǎng)頁被黑客篡改過，當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁的時(shí)候，實(shí)際上是向黑客服務(wù)器發(fā)出請(qǐng)求，那么黑客就可以達(dá)到欺騙的目的了。（4）電子郵件攻擊電子郵件轟炸和電子郵件“滾雪球”電子郵件欺騙（5）通過一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)黑客在突破一臺(tái)主機(jī)后，以此主機(jī)作為根據(jù)地，攻擊其他主機(jī)，從而隱藏其入侵路徑5（6）網(wǎng)絡(luò)監(jiān)聽在網(wǎng)絡(luò)監(jiān)聽這種模式下，主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送發(fā)和接收方是誰。（7）尋找系統(tǒng)漏洞（8）利用賬號(hào)進(jìn)行攻擊利用操作系統(tǒng)提供的缺省賬戶和密碼進(jìn)行攻擊（9）偷取特權(quán)黑客通過非法手段獲得對(duì)用戶機(jī)器的完全控制權(quán)，甚至是整個(gè)網(wǎng)絡(luò)的絕對(duì)控制權(quán)。68.2IP欺騙

IP電子欺騙攻擊是指利用TCP/IP本身的缺陷進(jìn)行的入侵，即用一臺(tái)主機(jī)設(shè)備冒充另外一臺(tái)主機(jī)的IP地址，與其它設(shè)備通信，從而達(dá)到某種目的的過程。它不是進(jìn)攻的結(jié)果而是進(jìn)攻的手段。78.2.1IP欺騙原理所謂IP欺騙，就是偽造某臺(tái)主機(jī)的IP地址的技術(shù)。其實(shí)質(zhì)就是讓一臺(tái)機(jī)器來扮演另一臺(tái)機(jī)器，以達(dá)到蒙混過關(guān)的目的。被偽造的主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任。8在IP欺騙的狀態(tài)下，三次握手的情況如下： 第一步：黑客假冒A主機(jī)IP向服務(wù)方B主機(jī)發(fā)送SYN，告訴B主機(jī)是他所信任的A主機(jī)想發(fā)起一次TCP連接，序列號(hào)為數(shù)值X，這一步實(shí)現(xiàn)比較簡單，黑客將IP包的源地址偽造為A主機(jī)IP地址即可。第二步：服務(wù)方B產(chǎn)生SYNACK響應(yīng)，并向請(qǐng)求方A主機(jī)（注意:是A，不是黑客，因?yàn)锽收到的IP包的源地址是A）發(fā)送ACK，9ACK的值為X+1，表示數(shù)據(jù)成功接收到，且告知下一次希望接收到字節(jié)的SEQ是X+1。同時(shí)，B向請(qǐng)求方A發(fā)送自己的SEQ，注意，這個(gè)數(shù)值對(duì)黑客是不可見的。第三步：黑客再次向服務(wù)方發(fā)送ACK，表示接收到服務(wù)方的回應(yīng)——雖然實(shí)際上他并沒有收到服務(wù)方B的SYNACK響應(yīng)。這次它的SEQ值為X+1，同時(shí)它必須猜出ACK的值，并加1后回饋給B主機(jī)。10IP欺騙技術(shù)有如下三個(gè)特征： （1）只有少數(shù)平臺(tái)能夠被這種技術(shù)攻擊，也就是說很多平臺(tái)都不具有這方面缺陷。 （2）這種技術(shù)出現(xiàn)的可能性比較小，因?yàn)檫@種技術(shù)不好理解，也不好操作，只有一些真正的網(wǎng)絡(luò)高手才能做到這點(diǎn)。 （3）很容易防備這種攻擊方法，如使用防火墻等。11IP欺騙的對(duì)象

IP欺騙只能攻擊那些完全實(shí)現(xiàn)了TCP/IP協(xié)議，包括所有的端口和服務(wù)。IP欺騙的實(shí)施幾乎所有的欺騙都是基于某些機(jī)器之間的相互信任的。黑客可以通過很多命令或端口掃描技術(shù)、監(jiān)聽技術(shù)確定機(jī)器之間的信任關(guān)系，例如一臺(tái)提供服務(wù)的機(jī)器很容易被端口掃描出來，使用端口掃描技術(shù)同樣可以非常方便地確定一個(gè)局部網(wǎng)絡(luò)內(nèi)機(jī)器之間的相互關(guān)系。12假定一個(gè)局域網(wǎng)內(nèi)部存在某些信任關(guān)系。例如，主機(jī)A信任主機(jī)B、主機(jī)B信任主機(jī)C，則為了侵入該網(wǎng)絡(luò)，黑客可以采用下面兩種方式。（1）通過假冒機(jī)器B來欺騙機(jī)器A和C。（2）通過假冒機(jī)器A或C來欺騙機(jī)器B。 為了假冒機(jī)器C去欺騙機(jī)器B，首要的任務(wù)是攻擊原來的C，使得C發(fā)生癱瘓。這是一種拒絕服務(wù)的攻擊方式。138.2.2IP欺騙的防止

1．拋棄基于地址的信任策略2．進(jìn)行包過濾3．使用加密方法4．使用隨機(jī)化的初始序列號(hào)14

對(duì)于來自網(wǎng)絡(luò)外部的欺騙來說，阻止這種攻擊的方法是很簡單的，在局部網(wǎng)絡(luò)的對(duì)外路由器上加一個(gè)限制條件，只要在路由器里面設(shè)置不允許聲稱來自于內(nèi)部網(wǎng)絡(luò)的外來包通過就行了。如果網(wǎng)絡(luò)存在外部的可信任主機(jī)，那么路由器就無法防止別人冒充這些主機(jī)而進(jìn)行的IP欺騙。 當(dāng)實(shí)施欺騙的主機(jī)在同一網(wǎng)絡(luò)內(nèi)時(shí)，攻擊往往容易得手，并且不容易防范。

15

應(yīng)該注意與外部網(wǎng)絡(luò)相連的路由器，看它是否支持內(nèi)部接口。如果路由器有支持內(nèi)部網(wǎng)絡(luò)子網(wǎng)的兩個(gè)接口，則須警惕，因?yàn)楹苋菀资艿絀P欺騙。這也是為什么說將Web服務(wù)器放在防火墻外面有時(shí)會(huì)更安全的原因。檢測和保護(hù)站點(diǎn)免受IP欺騙的最好辦法就是安裝一個(gè)過濾路由器，來限制對(duì)外部接口的訪問，禁止帶有內(nèi)部網(wǎng)資源地址包通過。當(dāng)然也應(yīng)禁止（過濾）帶有不同內(nèi)部資源地址的內(nèi)部包通過路由器到別的網(wǎng)上去，這就防止內(nèi)部的用戶對(duì)別的站點(diǎn)進(jìn)行IP欺騙。168.3拒絕服務(wù)攻擊

8.3.1概述DoS--DenialofService：現(xiàn)在一般指導(dǎo)致服務(wù)器不能正常提供服務(wù)的攻擊。圖8-1拒絕服務(wù)攻擊示意圖17

拒絕服務(wù)是一種簡單的破壞性攻擊，通常攻擊者利用TCP/IP中的某個(gè)漏洞，或者系統(tǒng)存在的某些漏洞，對(duì)目標(biāo)系統(tǒng)發(fā)起大規(guī)模的攻擊，使得攻擊目標(biāo)失去工作能力，使得系統(tǒng)不可訪問，合法用戶不能及時(shí)得到應(yīng)得的服務(wù)或系統(tǒng)資源，它最本質(zhì)的特征是延長正常的應(yīng)用服務(wù)的等待時(shí)間。18DoS攻擊的事件：◎2000年2月份的Yahoo、亞馬遜、CNN被DoS攻擊。◎2002年10月全世界13臺(tái)DNS服務(wù)器同時(shí)受到了DDoS（分布式拒絕服務(wù)）攻擊?！?003年1月25日的“2003蠕蟲王”病毒?！?004年8月，共同社報(bào)道：日本近期共有上百網(wǎng)站遭到黑客襲擊。198.3.2拒絕服務(wù)攻擊的原理1．拒絕服務(wù)的模式按照入侵方式，拒絕服務(wù)可以分為資源消耗型，配置修改型，物理破壞型以及服務(wù)利用型。20（1）資源消耗型：指入侵者試圖消耗目標(biāo)的合法資源，如網(wǎng)絡(luò)帶寬、內(nèi)存和磁盤空間等，從而達(dá)到拒絕服務(wù)的目的。（2）配置修改型：入侵者通過改變或者破壞系統(tǒng)的配置信息，來阻止其他合法用戶使用計(jì)算機(jī)和網(wǎng)絡(luò)提供的服務(wù)。21（3）物理破壞型：它主要針對(duì)物理設(shè)備的安全。入侵者可以通過破壞或者改變網(wǎng)絡(luò)部件以實(shí)現(xiàn)拒絕服務(wù)。（4）服務(wù)利用型：入侵者常用的是TCP/IP以及目標(biāo)系統(tǒng)自身應(yīng)用軟件中的一些漏洞和弱點(diǎn)，來達(dá)到拒絕服務(wù)的目的。222．拒絕服務(wù)常用方法以消耗目標(biāo)主機(jī)的可用資源為目的（例如：死亡之ping、SYN攻擊、Land攻擊、淚珠攻擊（Teardrop）、Smurf攻擊等）以消耗服務(wù)器鏈路的有效帶寬為目的（例如：蠕蟲）23攻擊者

目標(biāo)主機(jī)SYNSYN/ACKACK等待應(yīng)答SYN：同步SYN/ACK:同步/確認(rèn)ACK：確認(rèn)SYN攻擊的原理（1）24....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標(biāo)主機(jī)SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK應(yīng)答.........不應(yīng)答不應(yīng)答重新發(fā)送SYN攻擊的原理（2）251)攻擊者攻擊諸客戶主機(jī)以求分析他們的安全水平和脆弱性。攻擊者各種客戶主機(jī)目標(biāo)系統(tǒng)2)攻擊者進(jìn)入其已經(jīng)發(fā)現(xiàn)的最弱的客戶主機(jī)之內(nèi)(“肉雞”)，并且秘密地安置一個(gè)其可遠(yuǎn)程控制的代理程序(端口監(jiān)督程序demon)。攻擊準(zhǔn)備：安置代理代理程序DDoS(分布式拒絕服務(wù))攻擊（1）26

3)攻擊者使他的全部代理程序同時(shí)發(fā)送由殘缺的數(shù)字包構(gòu)成的連接請(qǐng)求送至目標(biāo)系統(tǒng)。攻擊者目標(biāo)系統(tǒng)發(fā)起攻擊：指令攻擊的代理程序4)包括虛假的連接請(qǐng)求在內(nèi)的大量殘缺的數(shù)字包攻擊目標(biāo)系統(tǒng)，最終將導(dǎo)致它因通信淤塞而崩潰。虛假的連接請(qǐng)求DDoS(分布式拒絕服務(wù))攻擊（2）278.4偵察與工具

8.4.1安全掃描

安全掃描以各種各樣的方式進(jìn)行?？梢岳肞ing和端口掃描程序來偵查網(wǎng)絡(luò)，也可以使用客戶端/服務(wù)器程序，如Telnet和SNMP等來偵查網(wǎng)絡(luò)泄漏的有用信息。應(yīng)當(dāng)利用一些工具來了解網(wǎng)絡(luò)。有些工具很簡單，便于安裝和使用。有時(shí)，審計(jì)人員和黑客會(huì)利用程序語言如Perl,C,C++和Java自己編制一些工具，因?yàn)樗麄冋也坏浆F(xiàn)成的針對(duì)某種漏洞的工具。28

另外一些工具功能更全面，但是在使用前需要認(rèn)真地配置。有專門從事網(wǎng)絡(luò)管理和安全的公司出售這些工具。好的網(wǎng)絡(luò)級(jí)和主機(jī)級(jí)掃描器會(huì)監(jiān)聽和隔離進(jìn)出網(wǎng)絡(luò)和主機(jī)的所有會(huì)話包。在學(xué)習(xí)這些“Hacker-in-a-box”的解決方案前，應(yīng)當(dāng)先接觸一些當(dāng)前黑客常常使用的技巧。291．Whois命令Whois（類似于finger）是一種Internet的目錄服務(wù)，whois提供了在Internet上一臺(tái)主機(jī)或某個(gè)域的所有者的信息，如管理員的姓名、通信地址、電話號(hào)碼和E-mail地址等信息，這些信息是在官方網(wǎng)站whoisserver上注冊(cè)的，如保存在InterNIC的數(shù)據(jù)庫內(nèi)。Whois命令通常是安全審計(jì)人員了解網(wǎng)絡(luò)情況的開始。一旦得到了Whois記錄，從查詢的結(jié)果還可得知primary和secondary域名服務(wù)器的信息。302．nslookup

使用DNS的排錯(cuò)工具nslookup，可以利用從whois查詢到的信息偵查更多的網(wǎng)絡(luò)情況。例如，使用nslookup命令把主機(jī)偽裝成secondaryDNS服務(wù)器，如果成功便可以要求從主DNS服務(wù)器進(jìn)行區(qū)域傳送。要是傳送成功的話，將獲得大量有用信息，包括：

使用此DNS服務(wù)器做域名解析到所有主機(jī)名和IP地址的映射情況；

公司使用的網(wǎng)絡(luò)和子網(wǎng)情況；

主機(jī)在網(wǎng)絡(luò)中的用途，許多公司使用帶有描述性的主機(jī)名。31

使用nslookup實(shí)現(xiàn)區(qū)域傳送的過程有如下幾步。第1步，使用whois命令查詢目標(biāo)網(wǎng)絡(luò)，例如在Linux提示符下輸入whois。第2步，得到目標(biāo)網(wǎng)絡(luò)的primary和slaveDNS服務(wù)器的信息。例如，假設(shè)主DNS服務(wù)器的名字是。第3步，使用交互查詢方式，缺省情況下nslookup會(huì)使用缺省的DNS服務(wù)器作域名解析。鍵入命令server定位目標(biāo)網(wǎng)絡(luò)的DNS服務(wù)器。32

第4步，列出目標(biāo)網(wǎng)絡(luò)DNS服務(wù)器的內(nèi)容，如ls。此時(shí)DNS服務(wù)器會(huì)把數(shù)據(jù)傳送過來。當(dāng)然，管理員可以禁止DNS服務(wù)器進(jìn)行區(qū)域傳送，目前很多公司將DNS服務(wù)器至于防火墻的保護(hù)之下并嚴(yán)格設(shè)定了只能向某些主機(jī)進(jìn)行區(qū)域傳送。一旦從區(qū)域傳送中獲得了有用信息，便可以對(duì)每臺(tái)主機(jī)實(shí)施端口掃描以確定它們提供了哪些服務(wù)。如果不能實(shí)現(xiàn)區(qū)域傳送，用戶還可以借助ping和端口掃描工具，當(dāng)然還有traceroute。333．hostHost命令是UNIX提供的有關(guān)Internet域名查詢的命令，可實(shí)現(xiàn)主機(jī)名到IP地址的映射，反之亦然。用host命令可實(shí)現(xiàn)以下功能：

實(shí)現(xiàn)區(qū)域傳送；

獲得名稱解析信息；

得知域中郵件服務(wù)器的信息。參數(shù)-v可顯示更多的信息，參數(shù)-l實(shí)現(xiàn)區(qū)域傳送，參數(shù)-t允許查詢特定的DNS記錄。34

例如，要查詢域的郵件服務(wù)器的記錄，需要鍵入命令：host－tmx（你可以參考UNIX命令幫助獲得更多信息）Traceroute（tracert）Traceroute用于路由追蹤，如判斷從主機(jī)到目標(biāo)主機(jī)經(jīng)過哪些路由器、跳計(jì)數(shù)、響應(yīng)時(shí)間如何等。大多數(shù)操作系統(tǒng)（包括UNIX、Novell和WindowsNT）若配置了TCP/IP協(xié)議的話，都會(huì)有自己版本的traceroute程序。當(dāng)然也可以使用其他一些第三方的路由追蹤軟件，在后面我們會(huì)接觸到這些工具。使用traceroute，你可以推測出網(wǎng)絡(luò)的物理布局，包括該網(wǎng)絡(luò)連接Internet所使用的路由器。traceroute還可以判斷出響應(yīng)較慢的節(jié)點(diǎn)和數(shù)據(jù)包在路由過程中的跳計(jì)數(shù)。354．Ping掃描作用及工具Ping一個(gè)公司的Web服務(wù)器可幫助獲得該公司所使用的IP地址范圍。一旦得知了HTTP服務(wù)器的IP地址，就可以使用Ping掃描工具Ping該子網(wǎng)的所有IP地址，這可以幫助得到該網(wǎng)絡(luò)的地址圖。

Ping掃描程序?qū)⒆詣?dòng)掃描所指定的IP地址范圍，WS_PingProPack工具包中集成有Ping掃描程序。單獨(dú)的Ping工具有許多，Rhino9Pinger是比較流行的程序。368.4.2端口掃描與其他1．端口掃描端口掃描與ping掃描相似，不同的是端口掃描不僅可以返回IP地址，還可以發(fā)現(xiàn)目標(biāo)系統(tǒng)上活動(dòng)的UDP和TCP端口。例如，地址0正在運(yùn)行SMTP和Telnet服務(wù)，地址2正在運(yùn)行FTP服務(wù)，主機(jī)4未運(yùn)行任何可辨別的服務(wù)，而主機(jī)6運(yùn)行著SMTP服務(wù)。最后一臺(tái)主機(jī)屬于Microsoft網(wǎng)絡(luò)，因?yàn)樵摼W(wǎng)絡(luò)使用UDP137和TCP138、139端口。37（1）端口掃描軟件

端口掃描器是黑客最常使用的工具。一些單獨(dú)使用的端口掃描工具像PortScanner1.1，定義好IP地址范圍和端口后便可開始實(shí)施掃描。還有許多單獨(dú)使用的端口掃描器，如UltraScan等。如同Ping掃描器，許多工具也集成了端口掃描器。NetScan、PingPro和其他一些程序包集成了盡可能多的相關(guān)程序。許多企業(yè)級(jí)的網(wǎng)絡(luò)產(chǎn)品也將ping和端口掃描集成起來。38（2）網(wǎng)絡(luò)偵查和服務(wù)器偵查程序

使用簡單的程序如PingPro，可以偵查出Microsoft的網(wǎng)絡(luò)上開啟的端口。PingPro的工作是通過監(jiān)測遠(yuǎn)程過程調(diào)用服務(wù)所使用的TCP、UDP135端口，和Microsoft網(wǎng)絡(luò)會(huì)話所使用的UDP137，138，和139端口來實(shí)現(xiàn)的。其他的網(wǎng)絡(luò)掃描工具允許你監(jiān)測UNIX、Novell、AppleTalk的網(wǎng)絡(luò)。雖然PingPro只能工作在其安裝的特定子網(wǎng)，但還有更多更復(fù)雜的工具，這些工具的設(shè)計(jì)者把它們?cè)O(shè)計(jì)成為可以識(shí)別更多的網(wǎng)絡(luò)和服務(wù)類型的程序。例如，NMAP是UNIX下的掃描工具，它可以識(shí)別不同操作系統(tǒng)在處理TCP/IP協(xié)議上細(xì)微的差別。其他類似的程序還包括checkos,queso和SATAN。392．堆棧指紋

許多程序都利用堆棧指紋技術(shù)，這種技術(shù)允許利用TCP/IP來識(shí)別不同的操作系統(tǒng)和服務(wù)。因?yàn)榇蠖鄶?shù)的系統(tǒng)管理員注意到信息的泄露而且屏蔽了系統(tǒng)標(biāo)志，所以應(yīng)用堆棧指紋的技術(shù)十分必要。但是，各個(gè)廠商和系統(tǒng)處理TCP/IP的特征是管理員所難以更改的。許多審計(jì)人員和黑客記錄下這些TCP/IP應(yīng)用的細(xì)微差別，并針對(duì)各種系統(tǒng)構(gòu)建了堆棧指紋表。40

要想了解操作系統(tǒng)間處理TCP/IP的差異，需要向這些系統(tǒng)的IP和端口發(fā)送各種特殊的包。根據(jù)這些系統(tǒng)對(duì)包的回應(yīng)的差別，可以推斷出操作系統(tǒng)的種類。例如，可以向主機(jī)發(fā)送FIN包（或任何不含有ACK或SYN標(biāo)志的包），從下列操作系統(tǒng)將獲得回應(yīng)：

MicrosoftWindowsNT,98,95,和3.11

FreeBSD

CISCO

HP/UX41

大多數(shù)其他系統(tǒng)不會(huì)回應(yīng)。雖然只不過縮小了一點(diǎn)范圍，但這至少開始了對(duì)目標(biāo)系統(tǒng)的了解。如果向目標(biāo)系統(tǒng)發(fā)送的報(bào)文頭有未定義標(biāo)志的TCP包的話，2.0.35版本以前的LINUX系統(tǒng)會(huì)在回應(yīng)中加入這個(gè)未定義的標(biāo)志。這種特定的行為可以判斷出目標(biāo)主機(jī)上是否運(yùn)行該種LINUX操作系統(tǒng)。42

下面是堆棧指紋程序利用的部分特征，許多操作系統(tǒng)對(duì)它們的處理方式不同：

ICMP錯(cuò)誤信息抑制

服務(wù)類型值(TOS)

TCP/IP選項(xiàng)

對(duì)SYNFLOOD的抵抗力

TCP初始窗口只要TCP開始進(jìn)行三次握手，總是先發(fā)出一個(gè)SYN包。像NMAP這樣的程序會(huì)發(fā)出一個(gè)SYN包欺騙操作系統(tǒng)作回應(yīng)。堆棧指紋程序可以從回應(yīng)報(bào)文的格式，推論出目標(biāo)操作系統(tǒng)的一些情況。43NMAP由于功能強(qiáng)大、不斷升級(jí)和免費(fèi)的原因，使之十分流行。它對(duì)網(wǎng)絡(luò)的偵查十分有效是基于兩個(gè)原因。首先，它具有非常靈活的TCP/IP堆棧指紋引擎。NMAP的制作人FYODOR不斷升級(jí)該引擎，使它能夠盡可能多的進(jìn)行猜測。NMAP可以準(zhǔn)確地掃描服務(wù)器操作系統(tǒng)（包括Novell、UNIX、Linux、NT），路由器（包括CISCO、3COM和HP），還有一些撥號(hào)設(shè)備。其次，它可以穿透網(wǎng)絡(luò)邊緣的安全設(shè)備，例如防火墻。44NMAP穿透防火墻的一種方法是利用碎片掃描技術(shù)（fragmentscans），可以發(fā)送隱秘的FIN包（-sF）、Xmastree包（-sX）或NULL包（-sN）。這些選項(xiàng)允許將TCP查詢分割成片斷，從而繞過防火墻規(guī)則。這種策略對(duì)很多流行的防火墻產(chǎn)品都很有效。當(dāng)前NMAP只能運(yùn)行在Linux操作系統(tǒng)上，包括FreeBSD2.2.6-30、HP/UX和Solaris等Linux的所有版本。在Linux的X-Windows上還提供圖形界面。最好的掌握NMAP的方法是學(xué)習(xí)使用它。使用nmap－h(huán)命令可以顯示幫助信息，當(dāng)然，也可以用mannmap命令查看它的使用手冊(cè)。453．共享掃描

共享掃描指可以掃描網(wǎng)絡(luò)中絕大多數(shù)的內(nèi)容，包括正在使用的共享。這種掃描過程提供了重要的偵查和利用各種資源和文件的方法。46（1）共享掃描軟件PingPro提供了允許審計(jì)人員掃描Windows網(wǎng)絡(luò)共享的功能。它能偵查出共享名稱，但不會(huì)入侵共享。例如，Microsoft網(wǎng)絡(luò)利用TCP139端口建立共享。更具侵略性的偵查軟件有知名的RedButton，許多Internet站點(diǎn)都免費(fèi)提供下載。RedButton是一個(gè)很古老的程序，大多數(shù)的系統(tǒng)管理員和安全管理員都找到了防范它的方法。這個(gè)程序不僅可以偵查出共享名稱還可以發(fā)現(xiàn)相應(yīng)的密碼。它還可以獲得管理員的賬號(hào)名稱。47（2）缺省配置和補(bǔ)丁級(jí)掃描

黑客和審計(jì)人員對(duì)系統(tǒng)的缺省配置很了解，可以編制工具查找這些弱點(diǎn)。實(shí)際上，許多企業(yè)級(jí)的偵查工具都是針對(duì)這些弱點(diǎn)進(jìn)行工作的。安全專家還知道操作系統(tǒng)工作的細(xì)節(jié)，根據(jù)服務(wù)補(bǔ)丁和hotfix的數(shù)量進(jìn)行升級(jí)。48（3）使用TelnetTelnet是遠(yuǎn)程登錄系統(tǒng)進(jìn)行管理的程序，缺省情況下telnet使用23端口。當(dāng)然，也可以利用Telnet客戶端程序連接到其他端口。例如，可以遠(yuǎn)程連接至HTTP端口。在連接一段時(shí)間內(nèi)若沒有任何動(dòng)作，服務(wù)器會(huì)因?yàn)闊o法識(shí)別這次連接而自動(dòng)切斷。但是通?？梢詮腍TTP服務(wù)器上得到一些信息。例如，可以得知服務(wù)廠商的信息、版本（如ApacheWebServer1.36或IIS4.0）等。雖然信息不是很多，但至少能從報(bào)錯(cuò)信息中推斷出服務(wù)器類型，在Web服務(wù)器報(bào)錯(cuò)信息中可以看出HTTP服務(wù)器版本，還可以用Telnet連接上系統(tǒng)再使用SYST命令，許多TCP/IP堆棧會(huì)泄漏一些重要的信息494．掃描等級(jí)

大多數(shù)的企業(yè)級(jí)掃描器允許選擇安全掃描的等級(jí)。一次輕級(jí)別的掃描通常會(huì)掃描眾所周知的端口（從0到1023）和常見的安全漏洞，包括弱口令，低的補(bǔ)丁等級(jí)和額外的服務(wù)。如果掃描一個(gè)小型的子網(wǎng)大概需要花費(fèi)30分鐘。中級(jí)和嚴(yán)格級(jí)別的掃描根據(jù)網(wǎng)絡(luò)的速度和運(yùn)行掃描程序的主機(jī)CPU的時(shí)鐘速度快慢等因素，通常會(huì)花費(fèi)幾天的時(shí)間。定義嚴(yán)格級(jí)別的掃描策略會(huì)讓掃描器對(duì)目標(biāo)網(wǎng)絡(luò)發(fā)起連續(xù)的攻擊。如果設(shè)置了規(guī)則讓掃描器掃描所有的65,535個(gè)端口，還要檢測口令強(qiáng)度以及細(xì)致地分析從管理賬戶到UNIX子系統(tǒng)的每項(xiàng)服務(wù)的話，工作量是相當(dāng)大的。這種掃描不僅費(fèi)時(shí)，而且會(huì)極大地加重網(wǎng)絡(luò)的負(fù)擔(dān)。個(gè)別主機(jī)將無法承受這種掃描。505．配置文件和策略

在使用任何掃描器前，必須首先定義配置文件，然后再實(shí)施策略。絕大多數(shù)的掃描程序事先都定義了一些配置和策略，但可以根據(jù)實(shí)際需要對(duì)它們進(jìn)行編輯和增加。需要注意的是要將策略和配置文件結(jié)合起來。51（1）報(bào)告功能

企業(yè)級(jí)的掃描程序具有細(xì)致的報(bào)告功能?？梢杂煤芏喾N格式輸出信息，包括：

簡單的ASCII文本

HTML字處理文本格式，如RTF，或一些專利格式，例如MicrosoftWord（DOC）或CorelWordPerfect（WPD）

電子表格形式，例如MicrosoftExcel

圖形格式，包括幻燈片，例如MicrosoftPowerPoint52（2）報(bào)告風(fēng)險(xiǎn)等級(jí)

大多數(shù)的網(wǎng)絡(luò)掃描器將風(fēng)險(xiǎn)分成低、中、高三個(gè)等級(jí)。應(yīng)該了解各種掃描器是如何匯報(bào)它們掃描結(jié)果的。即使得出網(wǎng)絡(luò)只有低的安全問題，也不應(yīng)該沾沾自喜。一名優(yōu)秀的黑客可以從很小的缺陷入手就會(huì)給系統(tǒng)帶來致命的破壞。53（3）AxcetNetRecon

NetRecon是最先為WindowsNT網(wǎng)絡(luò)設(shè)計(jì)的網(wǎng)絡(luò)掃描產(chǎn)品之一。NetRecon象其他掃描器一樣可以發(fā)現(xiàn)網(wǎng)絡(luò)中的各種元素，包括密碼檢查。NetRecon可以比較準(zhǔn)確地模擬各種攻擊。NetRecon的界面由三個(gè)窗格組成，對(duì)象窗口允許查看每個(gè)掃描對(duì)象，通過單擊可以展開目錄結(jié)構(gòu)；通過掃描網(wǎng)絡(luò)，圖形窗口顯示低、中、高的風(fēng)險(xiǎn)等級(jí)；狀態(tài)欄顯示掃描的進(jìn)程?？梢詫?duì)網(wǎng)絡(luò)進(jìn)行深度掃描，當(dāng)然這種掃描會(huì)耗費(fèi)大量的時(shí)間。例如，廣泛的掃描會(huì)花費(fèi)兩天的時(shí)間。548.4.3掃描產(chǎn)品1．NetRecon

在NetRecon中以一些漏洞列表作為偵查數(shù)據(jù)庫，可以將這個(gè)列表理解為攻擊指紋，但是這個(gè)名詞通常被用于入侵檢測系統(tǒng)程序中。如果你持有NetRecon的授權(quán)，便可以從Axent的Web站點(diǎn)升級(jí)這個(gè)漏洞列表。通過Reprots|viewVulnerabilityDescriptions菜單，可以查看相關(guān)漏洞的描述。55下面列出NetRecon可以掃描出的系統(tǒng)漏洞：

Finger服務(wù)漏洞

GameOver（遠(yuǎn)程管理訪問攻擊）

未授權(quán)注銷禁止

服務(wù)漏洞，包括SMTP、DNS、FTP、HTTP、SOCKS代理和低的sendmail補(bǔ)丁等級(jí)大多數(shù)網(wǎng)絡(luò)掃描器，如NetRecon，包含了事先定義好的對(duì)象列表。通過選擇“Reprots”→“ViewObjectiveDescriptions”，可以查看在NetRecon中已經(jīng)配置好的當(dāng)前對(duì)象列表。562．NetworkAssociatesCyberCopScannerCyberCopScanner是NetworkAssociates的產(chǎn)品，該公司的產(chǎn)品還包括SnifferBasic（前身是NetXRay）和其他網(wǎng)絡(luò)管理軟件。象NetRecon一樣，CyberCopScanner是一個(gè)主機(jī)級(jí)別的審計(jì)程序。與Axent的產(chǎn)品一樣，CyberCop把各種漏洞分類為低、中、高三個(gè)等級(jí)。技術(shù)提示：CyberCopMonitor不是網(wǎng)絡(luò)掃描器，它是入侵監(jiān)測系統(tǒng)程序，能夠?qū)诳突顒?dòng)進(jìn)行監(jiān)視，提供報(bào)警功能，還能懲罰黑客。你將在本教程中學(xué)習(xí)一些入侵檢測系統(tǒng)程序。573．WebTrendsSecurityAnalyzer

該軟件以前叫AsmodeusSecurityScanner，WebTrends的產(chǎn)品在UNIX和NT系統(tǒng)下都經(jīng)過很好的測試。SecurityAnalyzer的優(yōu)點(diǎn)之一是與UNIX搭配使用多年，操作界面簡單易用。在主界面上選擇“Policy”，然后“edit”，這時(shí)“SecurityAnalyzer”的選項(xiàng)窗口將出現(xiàn)。你可以選擇掃描的強(qiáng)度，或編輯已有的策略、建立新的策略。如果你單擊HostSelection標(biāo)簽，便可以選擇子網(wǎng)內(nèi)主機(jī)的范圍。584．InternetSecuritySystems的掃描產(chǎn)品InternetSecuritySystems是最早生產(chǎn)掃描程序的公司，提供跨操作平臺(tái)的安全工具包。（1）ISSInternetScanner這款掃描器工作于UNIX和NT平臺(tái)，像AxentNetRecon、WebTrendsSecurityAnalyzer和其他掃描器一樣，可以掃描遠(yuǎn)程主機(jī)。IneternetScanner有三個(gè)模塊：intranet、firewall和Web服務(wù)器，程序的策略是希望將網(wǎng)絡(luò)活動(dòng)分類，并針對(duì)每種活動(dòng)提供一種掃描方案，也可以在三個(gè)模塊中定義自己的掃描參數(shù)。59下面是InternetScanner中的部分掃描項(xiàng)目：

PHP3緩沖區(qū)溢出

Teardrop和Teardrop2攻擊

跨網(wǎng)絡(luò)的協(xié)議分析儀（包括tcpdump和SnifferBasic）

搜索一些FTP服務(wù)類型，包括WarFTP

SNMP和RMON檢測

Whois檢測

SAMBA溢出

增強(qiáng)的SMS支持

增強(qiáng)的NT功能，使它與UNIX一樣有效60（2）ISSSecurityScannerSecurityScanner是基于主機(jī)的掃描程序，它可以深入挖掘系統(tǒng)的情況。由于是基于主機(jī)的，所以能更深入地掃描系統(tǒng)內(nèi)部，在檢查像數(shù)據(jù)庫、FTP和Web服務(wù)等特定的系統(tǒng)時(shí)顯得十分有用。這種程序應(yīng)該運(yùn)行在考慮到有黑客活動(dòng)的高風(fēng)險(xiǎn)的系統(tǒng)上。615．其他掃描程序廠商其他提供掃描和檢測漏洞的產(chǎn)品有：

SecurityDynamicsKaneSecurityAnalyst

NetectHackerShield628.5攻擊與滲透

8.5.1常見攻擊類型和特征一旦黑客定位了要攻擊的網(wǎng)絡(luò)，就會(huì)選定一個(gè)目標(biāo)進(jìn)行滲透。通常這個(gè)目標(biāo)是安全漏洞最多，或是其擁有最多攻擊工具的主機(jī)。631．常見的攻擊滲透網(wǎng)絡(luò)和主機(jī)的方法（1）字典攻擊：黑客利用一些自動(dòng)執(zhí)行的程序來猜測用戶使用的口令和密碼。（2）Man-in-the-middle攻擊：黑客從合法的傳輸過程中嗅探密碼和信息。（3）劫持攻擊：在雙方進(jìn)行會(huì)話時(shí)被黑客入侵，黑客黑掉其中一方，并冒充他繼續(xù)與另一方進(jìn)行會(huì)話。64（4）病毒攻擊：利用病毒來消耗系統(tǒng)資源。（5）非法服務(wù)：是任何未經(jīng)同意便運(yùn)行在操作系統(tǒng)上的進(jìn)程或服務(wù)。（6）拒絕服務(wù)攻擊：利用各種程序使系統(tǒng)崩潰或消耗帶寬。652．容易遭受攻擊的目標(biāo)

（1）路由器（2）數(shù)據(jù)庫（3）服務(wù)器安全（4）Web頁面涂改（5）郵件服務(wù)（6）名稱服務(wù)668.5.2審計(jì)系統(tǒng)漏洞

安全審計(jì)系統(tǒng)的主要作用：對(duì)潛在的攻擊者起到震懾或警告作用。對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追糾證據(jù)。為系統(tǒng)安全管理員提供有何時(shí)何地的系統(tǒng)使用日志，從而幫助系統(tǒng)安全管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。為系統(tǒng)安全管理員提供系統(tǒng)運(yùn)行的統(tǒng)計(jì)日志，使系統(tǒng)安全管理員能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進(jìn)的地方。67審計(jì)系統(tǒng)漏洞：1．審計(jì)TrapDoor和RootKit2．審計(jì)和后門程序3．審計(jì)拒絕服務(wù)攻擊4．緩沖區(qū)溢出5．Telnet的拒絕服務(wù)攻擊6．WindowsNT的TCPport3389存在漏洞7．特洛伊木馬8．蠕蟲688.5.3結(jié)合所有攻擊定制審計(jì)策略

1．設(shè)備和服務(wù)2．物理接觸3．操作系統(tǒng)策略4．較弱的密碼策略5．較弱的系統(tǒng)策略6．審計(jì)文件系統(tǒng)漏洞7．IP欺騙和劫持698.6入侵監(jiān)測系統(tǒng)IDS8.6.1入侵監(jiān)測的功能1．什么是入侵監(jiān)測入侵監(jiān)測系統(tǒng)處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)，它們可以與防火墻和路由器配合工作。70

入侵監(jiān)測就是通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。 入侵監(jiān)測系統(tǒng)（IDS）被認(rèn)為是防火墻之后的第二道安全閘門。IDS掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來過濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時(shí)報(bào)警。712．入侵監(jiān)測的功能

（1）網(wǎng)絡(luò)流量管理（2）系統(tǒng)掃描（3）追蹤：IDS所能做到的不僅僅是記錄事件，它還可以確定事件發(fā)生的位置。728.6.2入侵監(jiān)測系統(tǒng)的構(gòu)架

網(wǎng)絡(luò)級(jí)IDS：網(wǎng)絡(luò)級(jí)IDS程序同時(shí)充當(dāng)管理者和代理的身份，安裝IDS的主機(jī)完成所有的工作，網(wǎng)絡(luò)只是接受被動(dòng)的查詢。這種入侵監(jiān)測系統(tǒng)的優(yōu)點(diǎn)是很容易安裝和實(shí)施，通常只需要將程序在主機(jī)上安裝一次。它尤其適合阻止掃描和拒絕服務(wù)攻擊。73主機(jī)級(jí)IDS：主機(jī)級(jí)IDS結(jié)構(gòu)使用一個(gè)管理者和數(shù)個(gè)代理，管理者向代理發(fā)送查詢請(qǐng)求，代理向管理者回報(bào)網(wǎng)絡(luò)中主機(jī)傳輸信息的情況。代理和管理者之間直接通信，解決了復(fù)雜網(wǎng)絡(luò)中的許多問題。74