第3章 网络扫描与网络监听

第3章网络扫描与网络监听概述本章主要介绍黑客的相关知识、网络踩点的方法、网络扫描和网络监听技术。其中，网络扫描是黑客实施攻击前获得目标及其漏洞信息的重要手段，而网络监听则是黑客向内部网进行渗透的常用手法。目录一.黑客概述二.网络踩点三.网络扫描四.网络监听3.1黑客概述•3.1.1黑客的概念•“黑客”一词是由英文单词“Hacker”音译过来的。最初起源于20世纪50年代，是指那些精力充沛、热衷于解决计算机难题的程序员。当时计算机非常昂贵，只存在于各大院校与科研机构，技术人员使用一次计算机，需要很复杂的手续，而且计算机的效率也不高，为了绕过一些限制，最大限度地利用这些昂贵的计算机，一些程序员们就写出了一些简洁高效的捷径程序，这些程序往往较原有的程序系统更完善，这种行为被称为“Hack”,而“Hacker”就是从事这种行为的人。3.1黑客概述•3.1.1黑客的概念•20世纪60、70年代，黑客一词仍是褒义词，用于指代那些独立思考、奉公守法的计算机迷，他们智力超群，对计算机全身心投入，从事黑客活动意味着对计算机的最大潜能进行智力上的自由探索。随着互联网的日益扩大，逐渐形成了黑客群体。正是这些黑客，倡导了一场个人计算机革命，倡导了现代计算机的开放体系结构，打破了以往计算机技术只掌握在少数人手里的局面，是计算机发展史上的英雄。3.1黑客概述3.1黑客概述3.1黑客概述3.1黑客概述•3.1.1黑客的概念从黑客的起源来看，称计算机犯罪的人为黑客是对Hacker本质的误解，只会使用一些软件入侵系统的人根本没有任何资格和黑客这个词相提并论。黑客：首先应该在某项安全技术上有出众的能力，即技术上的行家，另外，还应具有自由、共享的精神和正义的行为，即热衷于解决问题，并能无偿帮助他人。3.1黑客概述•3.1.1黑客的概念•黑客们为了与其他黑客相区别自封了三顶帽子，即“黑帽子”、“白帽子”和“灰帽子”。•黑帽子：以入侵他人计算机系统为乐趣并进行破坏的人。•白帽子：入侵系统进行安全研究并主动帮助别人修补漏洞的网络安全人员。•灰帽子：指那些发现系统漏洞，并在公开场合探讨这些漏洞和安全防范措施的计算机技术爱好者。3.1黑客概述•3.1.2攻击的概念•攻击是对系统全策略的一种侵犯，是指任何企图破坏计算机资源的完整性（未授权的数据修改）、机密性（未授权的数据泄露或未授权的服务的使用）以及可用性（拒绝服务）的活动。通常，“攻击”和“入侵”同指这样一种活动。3.1黑客概述•3.1.3攻击的分类•互联计算机的威胁来自很多形式。1980年，Anderson在其著名的报告中，对不同类型的计算机系统安全威胁进行了划分，他将入侵分为外部闯入、内部授权拥护的越权使用和滥用三种类型，并以此为基础提出了不同安全渗透的检测方法。•目前，攻击分类的主要依据有：威胁来源、攻击方式、安全属性、攻击目的和攻击使用的技术手段等。这里给出几种攻击分类方式。3.1黑客概述1.按照威胁的来源，潜在入侵者的攻击可以被粗略地分成两类。外来人员攻击和内部人员攻击2.按照安全属性，Stalling将攻击分为四类，如图3.1所示。3.按照攻击方式，攻击可分为主动攻击和被动攻击。(a)正常情况发送方接收方(b)中断(c)拦截侦听(d)篡改(e)伪造被动攻击包括窃听和监听。常用保护方法：加密。此攻击检测困难。主动攻击包括伪装、应答、修改文件、拒绝服务。此攻击难阻止、但可以检测、并修复。3.1黑客概述•4.按照入侵者的攻击目的，可将攻击分为下面四类。(1)拒绝服务攻击：是最容易实施的攻击行为，它企图通过使目标计算机崩溃或把它压跨来阻止其提供服务。主要包括：Land，Synflooding(UDPflooding)，Pingofdeath，Smurf(Fraggle)，Teardrop，TCPRST攻击，Jot2，电子邮件炸弹，畸形消息攻击。•(2)利用型攻击：是一类试图直接对你的机器进行控制的攻击。主要包括：口令猜测，特洛伊木马，缓冲区溢出。•(3)信息收集型攻击：这类攻击并不对目标本身造成危害，而是被用来为进一步入侵提供有用的信息。主要包括：扫描（包括：端口扫描、地址扫描、反向映射、慢速扫描），体系结构刺探，利用信息服务（包括：DNS域转换、Finger服务，LDAP服务）。•(4)假消息攻击：用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。匿名电子邮件转发漏洞名称：ExchangeServer5.5匿名转发漏洞原理匿名电子邮件转发案例–深圳市二十多个邮件服务器–番禺东城小学Internet东城小学台湾日本匿名电子邮件转发造成危害网络堵塞给利用于反动宣传解决方法打补丁关闭该服务或端口25,110张三是一个大型软件公司的程序员，其工作是编写和测试一些工具软件。他所在的公司采用两班轮换制：白天进行程序开发和联机操作，晚上完成产品的批处理工作。张三通过访问工作负荷数据了解到，晚上的批处理工作是白天编程工作的补充。也就是说，再晚班时增加程序设计工作，不会太多的影响他人计算机的操作性能。张三利用晚班时间，花费几个小时的编程，开发了一个管理自己股票清单的程序，之后又回到公司产品批处理工作上，他的程序对系统消耗很小，耗材很少，几乎觉察不到。请问张三的行为违反法律吗？行为道德吗？信息安全案例问题讨论1资产拥有权问题。计算机资产与时间人员资产。只为公司的工作需要提供资源。2一人行为对他人的影响问题。尽管程序对系统消耗很小，程序也简单，一般情况也可能无影响。但不能保证程序中没有漏洞。如有就会对系统造成严重影响和故障。3普遍性问题。如果张三的行为可以接受，许多人都这样，就会影响系统和效率。4检测的可能性与处罚问题。不容易发觉不是不能检测到，如果公司确定他的行为不当，就会受到处罚。3.1黑客概述•5.按照入侵者使用的技术手段，攻击技术主要分为以下四类。•网络信息收集技术：包括目标网络中主机的拓扑结构分析技术、目标网络服务分布分析技术和目标网络漏洞扫描技术。•目标网络权限提升技术：包括本地权限提升和远程权限提升。•目标网络渗透技术：包括后门技术、Sniffer技术、欺骗技术、tunnel及代理技术。•目标网络摧毁技术：包括目标服务终止、目标系统瘫痪和目标网络瘫痪。3.2网络踩点•踩点，也就是信息收集。黑客实施攻击前要做的第一步就是“踩点”。与劫匪抢银行类似，攻击者在实施攻击前会使用公开的和可利用的信息来调查攻击目标。通过信息收集，攻击者可获得目标系统的外围资料，如机构的注册资料、网络管理员的个人爱好、网络拓扑图等。攻击者将收集来的信息进行整理、综合和分析后，就能够初步了解一个机构网络的安全态势和存在的问题，并据此拟定出一个攻击方案。3.2网络踩点•肉鸡就是被黑客攻破，种植了木马病毒的电脑，黑客可以随意操纵它并利用它做任何事情，就象傀儡。肉鸡可以是各种系统，如windows、linux、unix等，更可以是一家公司、企业、学校甚至是政府军队的服务器。•如何检测呢？3.2网络踩点•注意以下几种基本的情况：1：QQ、MSN的异常登录提醒（系统提示上一次的登录IP不符）2：网络游戏登录时发现装备丢失或与上次下线时的位置不符，甚至用正确的密码无法登录。3：有时会突然发现你的鼠标不听使唤，在你不动鼠标的时候，鼠标也会移动，并且还会点击有关按钮进行操作。4：正常上网时，突然感觉很慢，硬盘灯在闪烁，就像你平时在COPY文件。3.2网络踩点•5：当你准备使用摄像头时，系统提示，该设备正在使用中。•6：在你没有使用网络资源时，你发现网卡灯在不停闪烁。如果你设定为连接后显示状态，你还会发现屏幕右下角的网卡图标在闪。•7：服务列队中出可疑程服务。•8：宽带连接的用户在硬件打开后未连接时收到不正常数据包。（可能有程序后台连接）3.2网络踩点•9：防火墙失去对一些端口的控制。•10：上网过程中计算机重启。•11：有些程序如杀毒软件防火墙卸载时出现闪屏（卸载界面一闪而过，然后报告完成。）•12：一些用户信任并经常使用的程序（QQ`杀毒）卸载后。目录文仍然存在，删除后自动生成。•13：电脑运行过程中或者开机的时候弹出莫名其妙的对话框3.2网络踩点•我们可以借助一些软件来观察网络活动情况，以检查系统是否被入侵。•1．注意检查防火墙软件的工作状态比如金山网镖、360安全卫士等。在网络状态页，会显示当前正在活动的网络连接，仔细查看相关连接。如果发现自己根本没有使用的软件在连接到远程计算机，就要小心了。3.2网络踩点•2．推荐使用tcpview，可以非常清晰的查看当前网络的活动状态。一般的木马连接，是可以通过这个工具查看到结果的。这里说一般的木马连接，是区别于某些精心构造的rootkit木马采用更高明的隐藏技术，不易被发现的情况。3.2网络踩点•3．使用360、金山清理专家等进行在线诊断，特别注意全面诊断的进程项清理专家会对每一项进行安全评估，当遇到未知项时，需要特别小心。•4．清理专家百宝箱的进程管理器可以查找可疑文件，帮你简单的检查危险程序所在。如何避免呢？3.2网络踩点•1.关闭高危端口•2.及时打补丁即升级杀毒软件•3.经常检查系统•4.盗版WindowsXP存在巨大风险•5.小心使用移动存储设备•6.安全上网3.2网络踩点•踩点3.2网络踩点Intranet又称为企业内部网，是Internet技术在企业内部的应用。它实际上是采用Internet技术建立的企业内部网络，它的核心技术是基于Web的计算。Intranet的基本思想是:在内部网络上采用TCP/IP作为通信协议，利用Internet的Web模型作为标准信息平台，同时建立防火墙把内部网和Internet分开。当然Intranet并非一定要和Internet连接在一起，它完全可以自成一体作为一个独立的网络。3.2网络踩点whois（读作“Whois”，而非缩写）是用来查询域名的IP以及所有者等信息的传输协议。whois就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商、域名注册日期和过期日期等）。通过whois来实现对域名信息的查询。3.2网络踩点•1．利用搜索引擎•搜索引擎是一个非常有利的踩点工具，如Google具有很强搜索能力，能够帮助攻击者准确地找到目标，包括网站的弱点和不完善配置。比如，多数网站只要设置了目录列举功能，Google就能搜索出Indexof页面，如图3.2。3.2网络踩点•打开Indexof页面就能够浏览一些隐藏在互联网背后的开放了目录浏览的网站服务器的目录，并下载本无法看到的密码账户等有用文件，如图3.3。3.2网络踩点•2．利用whois数据库•除了搜索引擎外，Internet上的各种whois数据库也是非常有用的信息来源。这些数据库包含各种关于Internet地址分配、域名和个人联系方式等数据元素。攻击者可以从Whois数据库了解目标的一些注册信息。提供whois服务的机构很多，其中和中国最相关的机构及其对应网址如表3.2。3.2网络踩点•下面给出一个例子，利用信息，如图3.4、图3.5所示。3.2网络踩点•下面给出一个例子，利用信息，如图3.4、图3.5所示。3.2网络踩点•3．利用DNS服务器•DNS服务中维护的信息除了域名和IP地址的对应关系外，还有主机类型、一个域中的邮件服务器地址、邮件转发信息、从IP地址到域名的反向解析信息等。用nslookup程序可以从DNS服务器上查询一些网站的相关信息，如图3.6是查询sina.com和163.com得到的结果。3.3网络扫描•扫描是进行信息收集的一种必要工具，它可以完成大量的重复性工作，为使用者收集与系统相关的必要信息。对于黑客来讲，扫描是攻击系统时的有力助手；而对于管理员，扫描同样具备检查漏洞，提高安全性的重要作用。3.3网络扫描•3.3.1安全漏洞概述•通常，网络或