第二十一章-网络信息获取优秀PPT.ppt

《第二十一章-网络信息获取优秀PPT.ppt》由会员分享，可在线阅读，更多相关《第二十一章-网络信息获取优秀PPT.ppt（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1软软件件学学院院网络信息获得网络信息获得 扫描器扫描器扫描器基本概念扫描原理监听监听网络监听的概念和工作原理网络监听在Windows2000下的基本实现方法NETVIEW监听器示例Linux下的BBS监听程序例子侦听检测侦听检测 2软软件件学学院院扫描器基本概念扫描器基本概念 扫描器是一种自动检测远程或本地主机平安扫描器是一种自动检测远程或本地主机平安性弱点的程序，通过运用扫描器你可一不留痕迹性弱点的程序，通过运用扫描器你可一不留痕迹的发觉远程服务器的各种的发觉远程服务器的各种TCP端口的安排及供应端口的安排及供应的服务和它们的软件版本。的服务和它们的软件版本。扫描器通过选用远程扫描器通过选

2、用远程TCP/IP不同的端口的服不同的端口的服务，并记录目标赐予的回答，通过这种方法，可务，并记录目标赐予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息以搜集到很多关于目标主机的各种有用的信息 扫描器并不是一个干脆的攻击网络漏洞的程扫描器并不是一个干脆的攻击网络漏洞的程序，它仅仅能帮助我们发觉目标机的某些内在的序，它仅仅能帮助我们发觉目标机的某些内在的弱点弱点 3软软件件学学院院扫描器种类主要有扫描器种类主要有 NNS(网络平安扫描器网络平安扫描器)STROBE(超级优化超级优化TCP端口检测程序端口检测程序)SATAN(平安管理员的网络分析工具平安管理员的网络分析工具)Ja

3、kal（隐私扫描器）（隐私扫描器）IdenTCPscan ESPScan XSCAN 4软软件件学学院院扫描器应当有三项功能：扫描器应当有三项功能：发觉一个主机或网络的实力；发觉一个主机或网络的实力；一旦发觉一台主机，有发觉什么服务正运行在这台一旦发觉一台主机，有发觉什么服务正运行在这台主机上的实力；主机上的实力；通过测试这些服务，发觉漏洞的实力。通过测试这些服务，发觉漏洞的实力。5软软件件学学院院扫描原理扫描原理TCPconnect()扫描基本原理TCPconnect是最基本的TCP扫描。操作系统供应的connect()系统调用，用来与每一个感爱好的目标计算机的端口进行连接。假如端口处于侦听

4、状态，那么connect()就能成功。否则，这个端口是不能用的，即没有供应服务。TCPSYN扫描扫描程序发送的是一个SYN数据包，好象准备打开一个实际的连接并等待反应一样（参考TCP的三次 握 手 建 立 一 个 TCP连 接 的 过 程）。一 个SYN|ACK的返回信息表示端口处于侦听状态。一个RST返回，表示端口没有处于侦听态。假如收到一个SYN|ACK，则扫描程序必需再发送一个RST信号，来关闭这个连接过程。6软软件件学学院院TCPFIN扫描TCPFIN扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包。另一方面，打开的端口会忽视对FIN数据包的回复。IP段扫描IP段扫描不能算

5、是新方法，只是其它技术的变更。它并不是干脆发送TCP探测数据包，是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包，从而过滤器就很难探测到。7软软件件学学院院TCP反向反向ident扫描扫描 ident协议允许协议允许(rfc1413)看到通过看到通过TCP连接的任何进程的拥有者的用连接的任何进程的拥有者的用户名，即使这个连接不是由这个进程起先的。因此你能，举个例子，户名，即使这个连接不是由这个进程起先的。因此你能，举个例子，连接到连接到 端口，然后用端口，然后用identd来发觉服务器是否正在以来发觉服务器是否正在以root权限运权限运行。这种方法只能在和目标端口建立了一个

6、完整的行。这种方法只能在和目标端口建立了一个完整的TCP连接后才能连接后才能看到。看到。FTP返回攻击返回攻击 FTP协议的一个好玩的特点是它支持代理（协议的一个好玩的特点是它支持代理（proxy）FTP连接。即入侵连接。即入侵者可以从自己的计算机者可以从自己的计算机a 和目标主机和目标主机target 的的FTPserver-PI(协协议说明器议说明器)连接，建立一个限制通信连接。然后，恳求这个连接，建立一个限制通信连接。然后，恳求这个server-PI激活一个有效的激活一个有效的server-DTP(数据传输进程数据传输进程)来给来给Internet上任何上任何地方发送文件。地方发送文件。

7、8软软件件学学院院UDPICMP端口不能到达扫描端口不能到达扫描 这种方法与上面几种方法的不同之处在于运用的是这种方法与上面几种方法的不同之处在于运用的是UDP协议。协议。很多主机在你向一个未打开的很多主机在你向一个未打开的UDP端口发送一个数端口发送一个数据包时，会返回一个据包时，会返回一个ICMP_PORT_UNREACH错错误。这样你就能发觉哪个端口是关闭的。误。这样你就能发觉哪个端口是关闭的。UDP和和ICMP错误都不保证能到达，因此这种扫描器必需错误都不保证能到达，因此这种扫描器必需还实现在一个包看上去是丢失的时候能重新传输。还实现在一个包看上去是丢失的时候能重新传输。9软软件件学学

8、院院UDPrecvfrom()和和write()扫描扫描 当非当非root用户不能干脆读到端口不能到达错误时，用户不能干脆读到端口不能到达错误时，Linux能间接地在它们到达时通知用户。比如，对能间接地在它们到达时通知用户。比如，对一个关闭的端口的其次个一个关闭的端口的其次个write()调用将失败。在调用将失败。在非堵塞的非堵塞的UDP套接字上调用套接字上调用recvfrom()时，假如时，假如ICMP出错还没有到达时回返回出错还没有到达时回返回EAGAIN-重试。重试。假如假如ICMP到达时，返回到达时，返回ECONNREFUSED-连接连接被拒绝。这就是用来查看端口是否打开的技术。被拒绝

9、。这就是用来查看端口是否打开的技术。10软软件件学学院院ICMPecho扫描这并不是真正意义上的扫描。但有时通过ping，在推断在一个网络上主机是否开机时特别有用。11软软件件学学院院网络信息获得网络信息获得 扫描器扫描器扫描器基本概念扫描原理监听监听网络监听的概念和工作原理网络监听在Windows2000下的基本实现方法NETVIEW监听器示例Linux下的BBS监听程序例子侦听检测侦听检测 12软软件件学学院院网络监听的概念和工作原理网络监听的概念和工作原理监听器（监听器（Sniffer）本是供应应网络管理员的一类工）本是供应应网络管理员的一类工具，利用这类工具，可以监视网络的状态，数据具

10、，利用这类工具，可以监视网络的状态，数据流淌状况以及网络上传输的信息以便找出网络中流淌状况以及网络上传输的信息以便找出网络中潜在的问题。潜在的问题。包监听和网络监测最初是为了监测以太网的流量而包监听和网络监测最初是为了监测以太网的流量而设计的，最初的代表性产品就是设计的，最初的代表性产品就是NOVEL的的LANALYSER和和MS的的NETWORKMONITOR。13软软件件学学院院网络监听的概念和工作原理网络监听的概念和工作原理在正常状况下，一个合法的网络接口应只响应下面在正常状况下，一个合法的网络接口应只响应下面两种数据报：报文的目的地址与本地网络接口地两种数据报：报文的目的地址与本地网络

11、接口地硬件地址相匹配，报文的目的地址是广播地址。硬件地址相匹配，报文的目的地址是广播地址。全部包监听都须要网卡被设置为杂乱模式，因为仅全部包监听都须要网卡被设置为杂乱模式，因为仅在此模式下，全部通过网卡的数据可以被传送到在此模式下，全部通过网卡的数据可以被传送到监听器，包监听的运用前提是安装他的机器上运监听器，包监听的运用前提是安装他的机器上运用者具有管理员权限。用者具有管理员权限。14软软件件学学院院网络监听在网络监听在Windows2000下的基本实现方法下的基本实现方法为了实现为了实现Sniffer，须要将，须要将NIC设置为设置为promicuous模式。模式。为了提高编写网络驱动程序

12、的效率，也为了使各种为了提高编写网络驱动程序的效率，也为了使各种协议驱动程序在各种网卡之间独立，协议驱动程序在各种网卡之间独立，Microsoft创创建了一个网络驱动程序界面规范，即建了一个网络驱动程序界面规范，即Network Device Interface Specification（NDIS），这个规，这个规范是为原本困难的网络驱动程序编写框架供应一范是为原本困难的网络驱动程序编写框架供应一个并不严格的封装。个并不严格的封装。在在Windows2000下，集成了新版本的下，集成了新版本的Winsock，即，即Winsock2.2。在。在Winsock2.2中，中，Microsoft增加

13、了增加了三个三个socker选项，使得一个选项，使得一个socket可以接收到更多可以接收到更多原来接收不到的原来接收不到的IP数据包，使得实现一个数据包，使得实现一个Sniffer简洁了很多。简洁了很多。15软软件件学学院院NETVIEW监听器示例监听器示例此程序是一个以太网数据包捕获程序，在此程序是一个以太网数据包捕获程序，在WINDOWS2000下运行，可以稍加改动就移植到下运行，可以稍加改动就移植到WINDOWS98平台下（运用平台下（运用Vpacket.vxd）。）。主要实现功能：主要实现功能：以太网数据包的捕获以太网数据包的捕获数据包简洁过滤与解码。数据包简洁过滤与解码。16软软件

14、件学学院院Linux下的下的BBS监听程序例子监听程序例子BBS是较为常见的网络沟通手段。但是在是较为常见的网络沟通手段。但是在bbs的客户的客户端与服务端都没有平安机制来爱护端与服务端都没有平安机制来爱护，可以通过监，可以通过监听程序截获明文数据。听程序截获明文数据。17软软件件学学院院网络信息获得网络信息获得 扫描器扫描器扫描器基本概念扫描原理监听监听网络监听的概念和工作原理网络监听在Windows2000下的基本实现方法NETVIEW监听器示例Linux下的BBS监听程序例子侦听检测侦听检测 18软软件件学学院院侦听检测侦听检测侦听检测系统能够主动地检测到不同系统下可能存侦听检测系统能够

15、主动地检测到不同系统下可能存在的监听在的监听可以确定可疑机器的可以确定可疑机器的IP地址，记录下来并加以防范。地址，记录下来并加以防范。同时可以完成数据包检测的功能，也就是扮演另同时可以完成数据包检测的功能，也就是扮演另一个角色的监听，以防止敏感数据的外漏。一个角色的监听，以防止敏感数据的外漏。19软软件件学学院院侦听检测侦听检测对发生在局域网的其他主机上的监听，始终以来，都缺乏很好对发生在局域网的其他主机上的监听，始终以来，都缺乏很好的检测方法。这是由于产生网络监听行为的主机在工作时总的检测方法。这是由于产生网络监听行为的主机在工作时总是不做声的收集数据包，几乎不会主动发出任何信息。但目是不

16、做声的收集数据包，几乎不会主动发出任何信息。但目前已经有了一些解决这个问题的思路：前已经有了一些解决这个问题的思路：我们可以通过侦听网卡接收全部数据包而忽视我们可以通过侦听网卡接收全部数据包而忽视Mac地址的这个地址的这个特性，可以给它发送一些伪造的特殊的的包，让侦听所在的特性，可以给它发送一些伪造的特殊的的包，让侦听所在的机器产生回应包，这样我们就可以推断被检测的网卡是否处机器产生回应包，这样我们就可以推断被检测的网卡是否处于混杂模式下，然后推断其是否在侦听就有很大可能了。于混杂模式下，然后推断其是否在侦听就有很大可能了。20软软件件学学院院侦听检测侦听检测系统主要运用的技术：反应时间 观测DNS利用ping模式进行监测 利用arp数据包进行监测