网络安全ch优秀PPT.ppt

《网络安全ch优秀PPT.ppt》由会员分享，可在线阅读，更多相关《网络安全ch优秀PPT.ppt（61页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络扫描网络扫描DoS攻击与防范攻击与防范木马与防护木马与防护概述概述第5章 网络攻击技术账号口令平安账号口令平安网络扫描技术l信息收集技术中的一个重要部分l网络扫描技术是利用特殊软件，针对特殊对象，进行搜寻、侦察、检测、记录、收集、分析、报告的技术。l自动检测远端或本地主机的工作状态、网络结构、平安弱点、系统漏洞和用户信息。扫描内容l区域扫描:域中哪些计算机在运行域中有多少服务器可访问Hups环境如何l端口扫描:计算机上正在运行什么网络服务远程还是本地任务扫描内容（续）l拓扑发觉拓扑发觉l了解网络拓扑结构与互连状况了解网络拓扑结构与互连状况l发觉、找出并确定组成网络的全部元素发觉、找出并确定

2、组成网络的全部元素l进行网络信息搜集，如系统进行网络信息搜集，如系统ID等等l供应网络运行视图（布局、活动图等）供应网络运行视图（布局、活动图等）l获得网络管理中的配置结构获得网络管理中的配置结构l实施网络故障管理实施网络故障管理扫描内容（续）l连接测试连接测试lPing吩咐运用吩咐运用l测试远端主机是否在运行测试远端主机是否在运行l是否简洁接近系统是否简洁接近系统l测试到远端主机所花的时间测试到远端主机所花的时间l跟踪路由跟踪路由:lTracert、Netcat、Netstat等吩咐等吩咐l显示从本机到远端主机显示从本机到远端主机TCP包路径包路径l显示在本机上有效连接显示在本机上有效连接l

3、跟踪网络数据流向跟踪网络数据流向一、扫描器的基本概念l什么是网络扫描器l为什么须要网络扫描器l网络扫描器的主要功能什么是网络扫描器l平安评估工具l系统管理员保障系统平安的有效工具l网络漏洞扫描器l 网络入侵者收集信息的重要手段为什么须要网络扫描器l由于网络技术的飞速发展，网络规模迅猛增长和计算机系统日益困难，导致新的系统漏洞层出不穷l由于系统管理员的疏忽或缺乏阅历，导致旧有的漏洞照旧存在l很多人出于新颖或别有专心，不停的窥视网上资源网络扫描器的主要功能l扫描目标主机识别其工作状态（开/关机）l识别目标主机端口的状态（监听/关闭）l识别目标主机系统及服务程序的类型和版本l依据已知漏洞信息，分析系

4、统脆弱点l生成扫描结果报告二、扫描器的工作原理lTCP协议lICMP协议l扫描器的基本工作原理TCP协议（一）lTCP是一种面对连接的，牢靠的传输层协议。l一次正常的TCP传输须要通过在客户端和服务器之间建立特定的虚电路连接来完成，该过程通常被称为“三次握手”。lTCP通过数据分段中的序列号保证全部传输的数据可以在远端依据正常的次序进行重组，而且通过确认保证数据传输的完整性。TCP协议（二）TCP数据包格式TCP协议（三）lTCP标记位lACK：确认标记lRST：复位标记lURG：紧急标记lSYN：建立连接标记lPSH：推标记lFIN：结束标记TCP协议（四）TCP连接建立示意图ICMP协议（

5、一）lInternet Control Message Protocol，是IP的一部分，在IP协议栈中必需实现。l用途：l网关或者目标机器利用ICMP与源通讯l当出现问题时，供应反馈信息用于报告错误l特点：l其限制实力并不用于保证传输的牢靠性l它本身也不是牢靠传输的l并不用来反映ICMP报文的传输状况ICMP协议（二）lICMP报文类型0 Echo Reply3 Destination Unreachable4 Source Quench 5 Redirect 8 Echo 11 Time Exceeded12 Parameter Problem13 Timestamp 14 Timesta

6、mp Reply 15 Information Request 16 Information Reply 17 Address Mask Request 18 Address Mask Reply 扫描器的基本工作原理三、网络扫描的主要技术l主机扫描技术l端口扫描技术l栈指纹OS识别技术主机扫描技术传统技术（一）l主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果干脆影响到后续的扫描。l常用的传统扫描手段有：lICMP Echo扫描lICMP Sweep扫描lBroadcast ICMP扫描lNon-Echo ICMP扫描ICMP echo扫描l实现原理：Ping的

7、实现机制，在推断在一个网络上主机是否开机时特别有用。l向目标主机发送ICMP Echo Request(type 8)数据包，等待回复的ICMP Echo Reply 包(type 0)。假如能收到，则表明目标系统可达，否则表明目标系统已经不行达或发送的包被对方的设备过滤掉。l优点：简洁，系统支持l缺点：很简洁被防火墙限制l可以通过并行发送，同时探测多个目标主机，以提高探测效率（ICMP Sweep扫描）。Broadcast ICMP扫描l实现原理：将ICMP恳求包的目标地址设为广播地址或网络地址，则可以探测广播域或整个网络范围内的主机。l缺点：l只适合于UNIX/Linux系统，Window

8、s 会忽视这种恳求包；l这种扫描方式简洁引起广播风暴Non-Echo ICMP扫描l一些其它ICMP类型包也可以用于对主机或网络设备的探测，如：Stamp Request(Type 13)Reply(Type 14)Information Request(Type 15)Reply(Type 16)Address Mask Request(Type 17)Reply(Type 18)主机扫描技术高级技术l防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，必需接受一些特别规的手段，利用ICMP协议供应网络间传送错误信息的手段，往往可以更有效的达到目的：l异样的IP包头l在IP

9、头中设置无效的字段值l错误的数据分片l通过超长包探测内部路由器l反向映射探测异样的IP包头l向目标主机发送包头错误的IP包，目标主机或过滤设备会反馈ICMP Parameter Problem Error信息。l常见的伪造错误字段为Header Length Field 和IP Options Field。l依据RFC1122的规定，主机应当检测IP包的Version Number、Checksum字段,路由器应当检测IP包的Checksum字段。l不同厂家的路由器和操作系统对这些错误的处理方式不同，返回的结果也各异。假如结合其它手段，可以初步推断目标系统所在网络过滤设备的ACL。在IP头中设

10、置无效的字段值l向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反馈ICMP Destination Unreachable信息。l这种方法同样可以探测目标主机和网络设备以及其ACL。错误的数据分片l当目标主机接收到错误的数据分片（如某些分片丢失），并且在规定的时间间隔内得不到更正时，将丢弃这些错误数据包，并向发送主机反馈ICMP Fragment Reassembly Time Exceeded 错误报文。l利用这种方法同样可以检测到目标主机和网络过滤设备及其ACL。通过超长包探测内部路由器l若构造的数据包长度超过目标系统所在路由器的PMTU（路径的最大传输单元）且设置禁止分片

11、标记,该路由器会反馈 Fragmentation Needed and Dont Fragment Bit was Set差错报文，从而获得目标系统的网络拓扑结构。反向映射探测l该技术用于探测被过滤设备或防火墙爱护的网络和主机。l通常这些系统无法从外部干脆到达，但是我们可以接受反向映射技术，通过目标系统的路由设备进行有效的探测。l当我们想探测某个未知网络内部的结构时，可以构造可能的内部IP地址列表，并向这些地址发送数据包。l当对方路由器接收到这些数据包时，会进行IP识别并路由，对不在其服务的范围的IP包发送ICMP Host Unreachable或ICMP Time Exceeded 错误报

12、文，没有接收到相应错误报文的IP地址会可被认为在该网络中。当然，这种方法也会受到过滤设备的影响。端口扫描技术（二）l当确定了目标主机可达后，就可以运用端口扫描技术，发觉目标主机的开放端口，包括网络协议和各种应用监听的端口。端口扫描技术主要包括以下三类：l开放扫描l会产生大量的审计数据，简洁被对方发觉，但其牢靠性高；l隐藏扫描l能有效的避开对方入侵检测系统和防火墙的检测，但这种扫描运用的数据包在通过网络时简洁被丢弃从而产生错误的探测信息；l半开放扫描l隐藏性和牢靠性介于前两者之间。开放扫描技术lTCP Connect 扫描lTCP反向ident扫描TCP Connect 扫描l实现原理：通过调用

13、socket函数connect()连接到目标计算机上，完成一次完整的三次握手过程。假如端口处于侦听状态，那么connect()就能成功返回。否则，这个端口不行用，即没有供应服务。l优点：稳定牢靠，不须要特殊的权限l缺点：扫描方式不隐藏，服务器日志会记录下大量密集的连接和错误记录，并简洁被防火墙发觉和屏蔽TCP反向ident扫描l实现原理：ident 协议允许看到通过TCP连接的任何进程的拥有者的用户名，即使这个连接不是由这个进程起先的。比如，连接到 端口，然后用identd来发觉服务器是否正在以root权限运行。l缺点：这种方法只能在和目标端口建立了一个完整的TCP连接后才能看到。半开放扫描技

14、术lTCP SYN 扫描lTCP间接扫描TCP SYN 扫描l实现原理：扫描器向目标主机端口发送SYN包。假如应答是RST包，那么说明端口是关闭的；假如应答中包含SYN和ACK包，说明目标端口处于监听状态，再传送一个RST包给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半连接扫描l优点：隐藏性较全连接扫描好，一般系统对这种半扫描很少记录l缺点：通常构造SYN数据包须要超级用户或者授权用户访问特地的系统调用TCP间接扫描l实现原理：利用第三方的IP（欺瞒主机）来隐藏真正扫描者的IP。由于扫描主机会对欺瞒主机发送回应信息，所以必需监控欺瞒主机的IP行为，从而获

15、得原始扫描的结果。扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描，并通过视察其IP序列号的增长规律获得端口的状态 l优点：隐藏性好l缺点：对第三方主机的要求较高 隐藏扫描技术lTCP FIN 扫描lTCP Xmas扫描lTCP Null 扫描lTCP ftp proxy扫描l分段扫描TCP FIN 扫描l实现原理：扫描器向目标主机端口发送FIN包。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简洁的丢掉（不返回RST）。l优点：由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而必SYN扫描

16、隐藏得多，FIN数据包能够通过只监测SYN包的包过滤器。l缺点：l跟SYN扫描类似，须要自己构造数据包，要求由超级用户或者授权用户访问特地的系统调用；l通常适用于UNIX目标主机，除过少量的应当丢弃数据包却发送RST包的操作系统（包括CISCO，HP/UX，MVS和IRIX）。但在Windows95/NT环境下，该方法无效，因为不论目标端口是否打开，操作系统都返回RST包。TCP Xmas 和TCP Null 扫描l实现原理：TCP Xmas和Null扫描是FIN扫描的两个变种。Xmas扫描打开FIN，URG和PUSH标记，而Null扫描关闭全部标记。这些组合的目的是为了通过对FIN标记数据包

17、的过滤。当一个这种数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简洁的丢掉（不返回RST）。l优点：隐藏性好；l缺点：l须要自己构造数据包，要求由超级用户或者授权用户权限；l通常适用于UNIX目标主机，而Windows系统不支持。TCP ftp proxy扫描l实现原理：FTP代理连接选项，其目的是允许一个客户端同时跟两个FTP服务器建立连接，然后在服务器之间干脆传输数据。然而，在大部分实现中，事实上能够使得FTP服务器发送文件到Internet的任何地方。该方法正是利用了这个缺陷，其扫描步骤如下：l1：假定S是扫描机，T是扫描目标，F是一

18、个ftp服务器，这个服务器支持代理选项，能够跟S和T建立连接。l2：S与F建立一个ftp会话，运用PORT吩咐声明一个选择的端口（称之为pT）作为代理传输所须要的被动端口。l3：然后S运用一个LIST吩咐尝试启动一个到pT的数据传输。l4：假如端口pT的确在监听，传输就会成功（返回码150和226被发送回给S），否则S回收到425无法打开数据连接的应答。l5：S持续运用PORT和LIST吩咐，直到T上全部的选择端口扫描完毕。l优点：FTP代理扫描不但难以跟踪，而且可以穿越防火墙l缺点：一些ftp server禁止这种特性分段扫描l实现原理：并不干脆发送TCP探测数据包，是将数据包分成两个较小的

19、IP段。这样就将一个TCP头分成好几个数据包，从而包过滤器就很难探测到。l优点：隐藏性好，可穿越防火墙l缺点：l可能被丢弃；l某些程序在处理这些小数据包时会出现异样。栈指纹OS识别技术（三）l原理：依据各个OS在TCP/IP协议栈实现上的不同特点，接受黑盒测试方法，通过探讨其对各种探测的响应形成识别指纹，进而识别目标主机运行的操作系统。l依据采集指纹信息的方式，又可以分为l主动扫描l被动扫描被动扫描l通过Sniff收集数据包，再对数据包的不同特征（TCP Window-size、IP TTL、IP TOS、DF位等参数）进行分析，来识别操作系统。l被动扫描基本不具备攻击特征，具有很好的隐藏性l

20、但其实现严格依靠扫描主机所处的网络拓扑结构l和主动探测相比较，具有速度慢、牢靠性不高等缺点。主动扫描l接受向目标系统发送构造的特殊包并监控其应答的方式来识别操作系统类型。l主动扫描具有速度快、牢靠性高等优点，但同样严峻依靠于目标系统网络拓扑结构和过滤规则。主动扫描识别技术（一）FIN探测：发送一个FIN包给一个打开的端口，一般的行为是不响应，但某些实现例如 MS Windows,BSDI,CISCO,HP/UX,MVS,和IRIX 发回一个RESET。BOGUS标记探测：设置一个未定义的TCP 标记（64或128）在SYN包的TCP头里。Linux机器到2.0.35之前在回应中保持这个标记。T

21、CP ISN 取样：找出当响应一个连接恳求时由TCP 实现所选择的初始化序列数式样。这可分为很多组例如传统的64K（很多老UNIX机器），随机增量（新版本的Solaris，IRIX，FreeBSD，Digital UNIX，Cray，等），真“随机”（Linux 2.0.*，OpenVMS,新的AIX,等），Windows 机器（和一些其他的）用一个“时间相关”模型，每过一段时间ISN就被加上一个小的固定数。主动扫描识别技术（二）不分段位：很多操作系统起先在送出的一些包中设置IP的Dont Fragment位。TCP初始化窗口：检查返回包的窗口大小。如queso和nmap保持对窗口的精确跟踪因

22、为它对于特定OS基本是常数。ACK值：不同实现中一些状况下ACK域的值是不同的。例如，假如你送了一个FIN|PSH|URG 到一个关闭的TCP 端口。大多数实现会设置ACK 为你的初始序列数，而Windows 会送给你序列数加1。ICMP错误信息终结：一些操作系统跟从限制各种错误信息的发送率。例如，Linux 内核限制目的不行达消息的生成每4 秒钟80个。测试的一种方法是发一串包到一些随机的高UDP端口并计数收到的不行达消息。主动扫描识别技术（三）ICMP消息引用：ICMP错误消息可以引用一部分引起错误的源消息。对一个端口不行达消息，几乎全部实现只送回IP恳求头外加8个字节。然而，Solari

23、s 送回的稍多，而Linux 更多。SYN洪水限度：假如收到过多的伪造SYN数据包，一些操作系统会停止新的连接尝试。很多操作系统只能处理8 个包。四、现有扫描器介绍及选择l评价扫描器的原则l现有扫描器产品的不足评价扫描器的原则（一）l漏洞检测的完整性l是否能扫描各类重要的系统漏洞，漏洞库信息的完备程度如何？l漏洞检测的精确性l是否能精确报告系统漏洞，很少误报或漏报l漏洞检测的范围l是否能进行本地主机或远端主机的扫描l刚好更新l是否能刚好更新漏洞库，加入新发觉的漏洞信息评价扫描器的原则（二）l报告功能是否有完善的报告功能，是客户便于理解和维护l价格产品价格是否合理常用扫描软件与工具lNmap：网

24、络探测和平安审核工具 lNSS：网络系统扫描程序lSATAN：网络诊断程序，超强功能lBallista：网络测试工具lJakal：网络测试工具lIdentTCPscan：网络扫描程序lOgre：网络测试工具lXScan:网络扫描程序lFSPScan：网络扫描程序常用扫描软件与工具（续）l chronicle:领域扫描，NT域服务l GCF scanner:端口扫描与攻击l Uwol：C类网址扫描，确定在线IPl Malice:漏洞扫描，230种漏洞l Strobe:邮件扫描，得到邮件地址l Superscan:端口扫描l Ostronet:系统扫描 案例：开放端口扫描 l得到对方开放了哪些端口

25、也是扫描的重要一步。运用工具软件PortScan可以到得到对方计算机都开放了哪些端口，主界面如图所示。端口扫描l对172.18.25.109的计算机进行端口扫描，在Scan文本框中输入IP地址，点击按钮“START”，起先扫描如图所示。现有扫描器产品的不足l检测的完整性l没有一种产品可以发觉全部漏洞l检测的精确性l常有漏报、误报现象l更新的刚好性l对新漏洞的更新不够刚好网络监听 l网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。lSniffer pro就是一个完善的网络监听工具。l监听器Sniffer的原理：l在局域网中与其他计算机进行数据交换的时候，发送的数据包发往全部的连在一起

26、的主机，也就是广播，在报头中包含目标机的正确地址。因此只有与数据包中目标地址一样的那台主机才会接收数据包，其他的机器都会将包丢弃。l但是，当主机工作在监听模式下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段全部的数据包，不能监听不同网段的计算机传输的信息。监听软件l防止监听的手段是：运用加密技术和运用一次性口令技术。l除了特别著名的监听软件Sniffer Pro以外，还有一些常用的监听软件：l嗅探经典Irisl密码监听工具Win Snifferl密码监听工具pswmonitor和非交换环境局域网的fssn

27、iffer等等lSniffer Pro是一款特别著名监听的工具，但是Sniffer Pro不能有效的提取有效的信息。监听工具-Win Sniffer lWin Sniffer特地用来截取局域网内的密码，比如登录FTP，登录Email等的密码。设置l只要做简洁的设置就可以进行密码抓取了，点击工具栏图标“Adapter”，设置网卡，这里设置为本机的物理网卡就可以。抓取密码l这样就可以抓取密码了，运用DOS吩咐行连接远程的FTP服务。会话过程l打开Win Sniffer，看到刚才的会话过程已经被记录下来了，显示了会话的一些基本信息。作业：l1、什么是口令重用，如何阻挡？l2、简述木马与传统病毒的区分。l3、简述扫描器的基本工作原理。