网络扫描与网络监听

2020/1/2914网络扫描与网络监听本章要点攻击五步骤网络扫描的策略和工具网络监听的原理和工具2020/1/292攻击五部曲攻击基本可归纳为五步骤（根据实际情况可以随时调整）1、隐藏IP2、踩点扫描3、获得系统或管理员权限4、种植后门5、在网络中隐身2020/1/293黑客攻击的流程踩点扫描获取访问权拒绝服务攻击权限提升具体活动掩盖踪迹创建后门使用whois等收集目标系统、帐户等信息发起攻击获取失败获取成功试图成为超级用户破坏系统或窃取数据修改/删除系统日志留下后门或木马为以后再次入侵做准备隐藏IP2020/1/2941、隐藏IP两种方法第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样跨国度的攻击，一般很难被侦破。2020/1/2952、踩点扫描踩点就是通过各种途径对所要攻击的目标进行多方面的了解，以便实施有效的攻击扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。2020/1/2963、获得系统或管理员权限得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限通过管理漏洞获得管理员权限通过软件漏洞得到系统权限通过监听获得敏感信息进一步获得相应权限通过弱口令获得远程管理员的用户密码通过穷举法获得远程管理员的用户密码通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权通过欺骗获得权限以及其他有效的方法。2020/1/2974、种植后门为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。2020/1/2985、在网络中隐身一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现。在入侵完毕后需要清除登录日志已经其他相关的日志。2020/1/299网络踩点踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确）。常见的踩点方法包括：在域名及其注册机构的查询公司性质的了解对主页进行分析邮件地址的搜集目标IP地址范围查询。踩点的目的就是探察对方的各方面情况，确定攻击的时机。摸清楚对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。2020/1/2910黑客需要的信息域名可以访问到的IP地址每个主机上运行的TCP/UDP服务系统体系结构访问控制机制系统信息（用户名和用户组名、系统标识、路由表、SNMP信息等）其它信息。。。2020/1/2911信息收集步骤找到初始信息找到网络地址范围找到活动的机器找到开放的端口弄清操作系统弄清服务软件类型及型号针对特定的应用和服务漏洞扫描2020/1/2912找到初始信息OpenSource开放信息源Whois一些查询工具2020/1/2913OpenSouce公开信息目标机构的网页：也许会泄漏一些信息（机构的位置、联系人邮箱地址、所用的安全产品、网络拓扑结构等）；新闻报道：例如xx公司采用xx系统、xx公司发生xx安全事件…新闻组或论坛：管理人员在其上发布的某些求助信息非网络技术的探查手段社会工程：假冒管理人员，骗取员工的口令、地址等；通过搜索引擎查到大量信息：google、yahoo、baidu…2020/1/2914网站公布的网络拓扑图2020/1/2915WhoisWhois标识与某个特定机构相关的域名与网络；可以直接通过web查询；可以查询到的信息：注册机构：特定的注册信息和相关的whois服务器；机构本身：与某个特定机构相关的所有信息；域名：与某个特定域名相关的所有信息；网络：与某个特定网络或IP地址相关的所有信息；联系点：与某位特定人员相关的所有信息。2020/1/2916Whois数据来源……2020/1/29172020/1/2918其它查询工具（1）Nslookup：挖掘DNS数据库中的信息2020/1/2919其它查询工具（2）Host：可以用来查询域名、邮件服务器等信息2020/1/2920其它查询工具（3）dig(domaininformationgroper)2020/1/2921信息收集步骤找到初始信息找到网络地址范围找到活动的机器找到开放的端口弄清操作系统弄清服务软件类型及型号针对特定的应用和服务漏洞扫描2020/1/2922traceroute发现到达一台主机的路径，为勾画出网络拓扑图提供最基本的依据。2020/1/2923Pathping结合ping和tracert的特点2020/1/29242020/1/2925信息收集步骤找到初始信息找到网络地址范围找到活动的机器找到开放的端口弄清操作系统弄清服务软件类型及型号针对特定的应用和服务漏洞扫描2020/1/2926扫描技术（scanning）目标确定目标网络内哪些主机是活动的主机的操作系统类型开放了哪些端口、提供哪些服务运行的应用程序的版本号系统及服务的漏洞策略主动式策略被动式策略方法主机扫描TCP/UDP端口扫描操作系统检测系统标识获取扫描工具SATAN(SecurityAdministrator’sToolsforAnalyzingNetworks)NmapISS（安氏）流光Nessus2020/1/2927扫描策略被动式策略基于主机，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。被动式扫描不会对系统造成破坏。也称为系统安全扫描主动式策略基于网络，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。对系统进行模拟攻击，可能会对系统造成破坏。也称为网络安全扫描2020/1/2928扫描方式扫描方式可以分成两大类：1、隐蔽扫描：对非连续端口进行扫描，并且源地址不一致、时间间隔长没有规律的扫描。2、主动扫描：对连续的端口进行扫描，源地址一致，时间间隔短的扫描。2020/1/2929主机扫描主机扫描的目的是确定在目标网络上的主机是否可达，同时尽可能多映射目标网络的拓扑结构。传统主机扫描技术PingPingsweepICMPbroadcast非ECHO的ICMP高级主机扫描技术利用被探测主机产生的ICMP错误报文来进行探测2020/1/2930传统主机扫描技术(1)Ping探测2020/1/2931传统主机扫描技术(2)Pingsweep使用ICMPECHO轮询多个主机；对于中小型网络比较可以接收，对于大型网络速度比较慢Unix下有一些并行处理工具，效率较高FpingNmapWindows下工具：pinger2020/1/2932传统主机扫描技术(3)ICMPBroadcast通过向广播地址发送ICMPECHO报文来发现目标网络中活动的主机；只适用于目标网络的Unix主机。非ECHO的ICMP类型为13和14，15和16，17和18的ICMP报文可以用于对主机或网络设备的探测。2020/1/2933高级主机扫描技术(1)（利用反馈的ICMP错误报文发现反馈主机IP地址）异常的IP包头目标主机或路由设备会返回ICMPParameterProblemError报文；IP头部设置无效字段目标主机或路由设备会返回ICMPDestinationUnreachable报文；错误的数据分片目标主机反馈ICMPFragmentReassemblyTimeExceeded报文2020/1/2934用UDP扫描向目标主机特定端口发送UDP报文，如果该端口关闭则会反馈ICMPPortUnreachable报文，而开放的端口则没有任何反馈。超长包探测内部路由器构造长度超过MTU的数据包，且设置DF标志，路由器会反馈FragmentationNeededandDon’tFragmentBitwasSet报文。2020/1/2935主机扫描的对策使用可以检测并记录ICMP扫描的工具在防火墙中设置ICMP过滤规则使用IDS2020/1/2936信息收集步骤找到初始信息找到网络地址范围找到活动的机器找到开放的端口弄清操作系统弄清服务软件类型及型号针对特定的应用和服务漏洞扫描2020/1/2937端口扫描连接到目标机的TCP和UDP端口上，确定哪些服务正在运行以及服务的版本号，以便发现相应服务程序的漏洞。端口扫描工具NetcatNmapSuperscan。。。。。。端口扫描的类型开放扫描（openscanning）半开扫描（half-openscanning）隐蔽扫描（stealthscanning）2020/1/2938端口扫描的技术依据TCP扫描的一些实现原理当一个SYN|ACK或FIN报文到达一个关闭的端口，会返回一个RST报文；当一个SYN|ACK或FIN报文到达一个开放的端口时，报文被丢弃；当一个包含ACK的报文到达一个开放端口时，报文被丢弃，同时返回一个RST报文；当一个不包含SYN位的报文到达一个开放端口时，报文被丢弃；当一个SYN报文到达一个开放端口时，正常三次握手，回答一个SYN/ACK报文。2020/1/2939nmapByFyodor：作者研究了诸多扫描器，每种都有自己的特点，将这些技术集成起来，写成nmap。源码开放，C语言除了扫描功能，更重要的是可以识别操作系统，甚至是内核的版本。2020/1/2940Nmap常用四种扫描TCPconnect()端口扫描（-sT参数）TCPSYN扫描（-sS参数）UDP端口扫描（-sU参数）Ping扫描（-sP参数）2020/1/2941几种TCP扫描技术的说明TCPconnect扫描使用socket的函数connect()来探测对方的端口是否开放。如果connect()返回成功，则说明端口开放，否则说明端口关闭。TCPSYN扫描发送TCPSYN报文，目标端口开放时返回SYN|ACK报文，关闭时返回RST|ACK报文。隐蔽扫描设置TCP头某个或某些标志位(ACK/FIN/RST)；不设置TCP头的任何标志位（NULL扫描）；设置TCP头中的所有标志位（XMAS扫描）2020/1/29422020/1/29432020/1/2944案例4-2端口扫描可以使用工具软件：Portscan，查看目标主机开放了哪些端口2020/1/2945端口扫描的对策使用状态检测防火墙在主机上禁止所有不必要的服务2020/1/2946信息收集步骤找到初始信息找到网络地址范围找到活动的机器找到开放的端口弄清操作系统弄清服务软件类型及型号针对特定的应用和服务漏洞扫描2020/1/2947操作系统探测确定操作系统类型，从而专门针对某些漏洞方法一：利用系统旗标信息2020/1/2948操作系统探测方法二：利用TCP/IP堆栈指纹不同操作系统TCP/IP协议栈不同的原因：WhilemanyOperatingSystemsouttherebasetheirTCPstackontheoldBSDrelease,therehavebeensomanychangesmadethattherearenowprettysignificantdifferencesbetweenallofthemai