网络攻防实战演练

fdq©2010信息学院LinYiNormalUniversity网络连着你我他计算机网络傅德谦2010.9fdq©2010信息学院LinYiNormalUniversity网络连着你我他网络攻防技术or网络侦查与审计技术进入我们新的空间fdq©2010信息学院32020/9/15网络侦查审计的三个阶段侦查渗透控制定位出网络资源的具体情况检查各种系统的漏洞控制网络资源、创建账号、修改日志、行使管理员的权限进入我们新的空间fdq©2010信息学院42020/9/15第一节：侦查阶段进入我们新的空间fdq©2010信息学院52020/9/15第一节：侦查阶段本节要点：描述侦查过程识别特殊的侦查方法安装和配置基于网络和基于主机的侦查软件实施网络级和主机级的安全扫描配置和实施企业级的网络漏洞扫描器进入我们新的空间fdq©2010信息学院62020/9/15安全扫描的概念理解安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。进入我们新的空间fdq©2010信息学院72020/9/15安全扫描的检测技术基于应用的检测技术，它采用被动的，非破坏性的办法检查应用软件包的设置，发现安全漏洞。基于主机的检测技术，它采用被动的，非破坏性的办法对系统进行检测。基于目标的漏洞检测技术，它采用被动的，非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。基于网络的检测技术，它采用积极的，非破坏性的办法来检验系统是否有可能被攻击崩溃。进入我们新的空间fdq©2010信息学院82020/9/15安全扫描系统具有的功能说明协调了其它的安全设备使枯燥的系统安全信息易于理解，告诉了你系统发生的事情跟踪用户进入，在系统中的行为和离开的信息可以报告和识别文件的改动纠正系统的错误设置进入我们新的空间fdq©2010信息学院92020/9/15安全扫描whoisnslookuphostTraceroutePing扫描工具安全扫描常用命令进入我们新的空间fdq©2010信息学院102020/9/15Traceroute命令用于路由跟踪，判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间等等可以推测出网络物理布局判断出响应较慢的节点和数据包在路由过程中的跳数Traceroute或者使用极少被其它程序使用的高端UDP端口，或者使用PING数据包进入我们新的空间fdq©2010信息学院112020/9/15Traceroute路由跟踪原理TTL=1数据???TTL-10小于等于0ICMPtimeexceeded发IP包的源地址IP包的所有内容路由器的IP地址AB进入我们新的空间fdq©2010信息学院122020/9/15Traceroute路由跟踪原理TTL=1数据小于等于0ICMPtimeexceeded发IP包的源地址IP包的所有内容路由器的IP地址AB我知道路由器A存在于这个路径上路由器A的IP地址进入我们新的空间fdq©2010信息学院132020/9/15BTraceroute路由跟踪原理A我知道路由器A存在于这个路径上路由器A的IP地址TTL=2数据???TTL-102-1=10TTL=1数据小于等于0ICMPtimeexceeded发IP包的源地址IP包的所有内容路由器的IP地址???TTL-10我知道路由器B存在于这个路径上路由器B的IP地址进入我们新的空间fdq©2010信息学院142020/9/15BTraceroute路由跟踪原理A我知道路由器A存在于这个路径上路由器A的IP地址TTL=3数据???TTL-103-1=20TTL=2数据我知道路由器B存在于这个路径上路由器B的IP地址???TTL-102-1=10TTL=1数据portnumber是一个一般应用程序都不会用的号码（30000以上），所以当此数据包到达目的地后该主机会送回一个「ICMPportunreachable」的消息，而当源主机收到这个消息时，便知道目的地已经到达了。ICMPportunreachable我到达了目的地进入我们新的空间fdq©2010信息学院152020/9/15普通Traceroute到防火墙后的主机假定防火墙的规则阻止除PING和PING响应（ICMP类型8和0）uniwistraceroutetest.uniwis.nettraceroutetotest.uniwis.net(210.106.0.105),30hopsmax,40bytepackets110.0.0.1(10.0.0.1)0.540ms0.394ms0.397ms2202.106.0.2(202.106.0.2)2.455ms2.479ms2.512ms361.109.101.34(61.109.101.34)4.812ms4.780ms4.747ms4130.10.52.4(130.10.52.4)5.010ms4.903ms4.980ms5134.202.31.115(134.202.31.115)5.520ms5.809ms6.061ms6212.36.70.16(134.202.31.115)9.584ms21.754ms20.530ms7202.99.46.7(202.99.46.7)94.127ms81.764ms96.476ms8202.99.44.76(202.99.44.76)96.012ms98.224ms99.312ms进入我们新的空间fdq©2010信息学院162020/9/15使用ICMP数据包后Traceroute结果xuyitraceroute-Itest.webmaster.com.cntraceroutetotest.webmaster.com.cn(210.106.0.105),30hopsmax,40bytepackets110.0.0.1(10.0.0.1)0.540ms0.394ms0.397ms2202.106.0.2(202.106.0.2)2.455ms2.479ms2.512ms361.109.101.34(61.109.101.34)4.812ms4.780ms4.747ms4130.10.52.4(130.10.52.4)5.010ms4.903ms4.980ms5134.202.31.115(134.202.31.115)5.520ms5.809ms6.061ms6212.36.70.16(134.202.31.115)9.584ms21.754ms20.530ms7202.99.46.7(202.99.46.7)94.127ms81.764ms96.476ms8202.99.44.76(202.99.44.76)96.012ms98.224ms99.312ms进入我们新的空间fdq©2010信息学院172020/9/15使用ICMP的Traceroute原理由于防火墙一般不进行内容检查，我们可以将探测数据包到达防火墙时端口为其接受的端口，就可以绕过防火墙到达目标主机。起始端口号计算公式起始端口号=(目标端口-两机间的跳数*探测数据包数)-1例：防火墙允许FTP数据包通过，即开放了21号端口,两机间跳数为2起始端口号＝（ftp端口－两机间的跳数*默认的每轮跳数)－1＝（21－2*3）-1＝15－1＝14进入我们新的空间fdq©2010信息学院182020/9/15扫描类型按照获得结果分类存活性扫描端口扫描系统堆栈扫描按照攻击者角色分类主动扫描被动扫描进入我们新的空间fdq©2010信息学院192020/9/15一、存活性扫描发送扫描数据包，等待对方的回应数据包其最终结果并不一定准确，依赖于网络边界设备的过滤策略最常用的探测包是ICMP数据包例如发送方发送ICMPEchoRequest，期待对方返回ICMPEchoReply进入我们新的空间fdq©2010信息学院202020/9/15Ping扫描作用及工具子网192.168.1.16192.168.1.18192.168.1.10192.168.1.12192.168.1.14结果192.168.1.10192.168.1.12192.168.1.14192.168.1.16192.168.1.18Ping扫描Ping扫描程序能自动扫描你所指定的IP地址范围进入我们新的空间fdq©2010信息学院212020/9/15二、端口扫描端口扫描不仅可以返回IP地址，还可以发现目标系统上活动的UDP和TCP端口Netscantools扫描结果进入我们新的空间fdq©2010信息学院222020/9/15端口扫描技术一览对回应分段进行分析对SYN分段的回应对FIN分段的回应对ACK分段的回应对Xmas分段的回应对Null分段的回应对RST分段的回应对UDP数据报的回应进入我们新的空间fdq©2010信息学院232020/9/15端口扫描原理一个端口就是一个潜在的通信通道，即入侵通道对目标计算机进行端口扫描，得到有用的信息扫描的方法：–手工进行扫描–端口扫描软件进入我们新的空间fdq©2010信息学院242020/9/15OSI参考模型ApplicationPresentationSessionTransportNetworkDataLinkPhysicalDataLinkNetworkTransportSessionPresentationApplicationPhysical比特流帧（Frame）包（Packet）分段（Segment）会话流代码流数据进入我们新的空间fdq©2010信息学院25TCP/IP协议簇传输层数据连路层网络层物理层应用层会话层表示层应用层传输层网络层物理层HTTP、FTP、SMTP、SNMP、POP、TELNET、RIP、NNTP等TCP和UDPIP、ICMP、IGMP、ARP、RARP等进入我们新的空间fdq©2010信息学院262020/9/15IP协议包头VERHDR.LTHSERVICEDATADRAMLENGTHDATAGRAMIDENTIFICATIONFLAGSFRAGMENTOFFSETTTLPROTOCOLHEADERCHECKSUMSOURCEADDRESSDESTINATIONADDRESSOPTIONS0151631进入我们新的空间fdq©2010信息学院272020/9/15ICMP协议包头Type(类型)Code（代码）Checksum（校验和）ICMPContent078151631进入我们新的空间fdq©2010信息学院282020/9/15TCP协议包头Sourceport(16)Destinationport(16)Sequencenumber(32)Headerlength(4)Acknowledgementnumber(32)Reserved(6)Codebits(6)Window(16)Checksum(16)Urgent(16)Options(0or32ifany)Data(varies)Bit0Bit15Bit16Bit3120bytes进入我们新的空间fdq©2010信息学院292020/9/15UDP协议包头SourcePortLength0151631DataDestinationPortChecksum进入我们新的空间fdq©2010信息学院302020/9/15TCP三次握手机制SYNreceived主机A：客户端主机B：服务端发送TCPSYN分段(seq=100ctl=SYN)1发送TCPSYN&ACK分段(seq=300ack=101ctl=syn,ack)SYNreceived2Established(seq=101ack=301ctl=ack)3进入我们新的空间fdq©2010信