第8章-网络攻击与防护课件

2024/7/12Page 1第第8 8章章 网络攻击与防护网络攻击与防护 黑客及攻击黑客及攻击8.1 IP IP欺骗欺骗8.2 拒绝服务攻击拒绝服务攻击8.3侦察与工具侦察与工具8.4 攻击与渗攻击与渗透透8.5 入侵监测系统入侵监测系统IDSIDS8.6审审 计计 结结 果果8.72024/7/12Page 28.1 黑客及攻击1 1黑客概述黑客概述 在各种媒体上有许多关于在各种媒体上有许多关于HackerHacker这个名这个名词的定义，一般是指计算机技术的行家或热衷于词的定义，一般是指计算机技术的行家或热衷于解决问题、克服限制的人。这可以追溯到几十年解决问题、克服限制的人。这可以追溯到几十年前第一台微型计算机刚刚诞生的时代。那时有一前第一台微型计算机刚刚诞生的时代。那时有一个由程序设计专家和网络名人所组成的具有分享个由程序设计专家和网络名人所组成的具有分享特质的文化族群。这一文化族群的成员创造了特质的文化族群。这一文化族群的成员创造了HackerHacker这个名词。他们建立了这个名词。他们建立了InternetInternet，创造出，创造出现在使用的现在使用的UNIXUNIX操作系统，并且让操作系统，并且让World Wide World Wide WebWeb传播开来，这就是最早的传播开来，这就是最早的HackerHacker。2024/7/12Page 3 也存在另外一个团体，其成员也称也存在另外一个团体，其成员也称自己为自己为HackerHacker。这些人专门闯入计算机或。这些人专门闯入计算机或入侵电话系统，真正的入侵电话系统，真正的HackerHacker称他们为入称他们为入侵者（侵者（CrackerCracker），并且不愿意和他们在一），并且不愿意和他们在一起做任何事。起做任何事。HackerHacker们认为这些人懒惰，们认为这些人懒惰，不负责任，并且不够光明正大。他们认为，不负责任，并且不够光明正大。他们认为，能破解安全系统并不能使你成为一位能破解安全系统并不能使你成为一位HackerHacker。基本上，。基本上，HackerHacker和和CrackerCracker之间最之间最主要的不同是，主要的不同是，HackerHacker创造新东西，创造新东西，CrackerCracker破坏东西。破坏东西。现在，人们所说的黑客是指现在，人们所说的黑客是指CrackerCracker。2024/7/12Page 42 2黑客常用的攻击方法黑客常用的攻击方法（1 1）获取口令）获取口令通过网络监听，非法得到用户口令通过网络监听，非法得到用户口令知道用户的账号后利用一些专门软件强知道用户的账号后利用一些专门软件强行破解用户口令行破解用户口令获得一个服务器上的用户口令文件后，获得一个服务器上的用户口令文件后，用暴力破解程序破解用户口令用暴力破解程序破解用户口令（2 2）放置特洛伊木马程序）放置特洛伊木马程序2024/7/12Page 5（3 3）WWWWWW的欺骗技术的欺骗技术访问的网页被黑客篡改过，当用户浏览目标网页访问的网页被黑客篡改过，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。黑客就可以达到欺骗的目的了。（4 4）电子邮件攻击）电子邮件攻击 电子邮件轰炸和电子邮件电子邮件轰炸和电子邮件“滚雪球滚雪球”电子邮件欺骗电子邮件欺骗（5 5）通过一个节点来攻击其他节点）通过一个节点来攻击其他节点黑客在突破一台主机后，以此主机作为根据地，黑客在突破一台主机后，以此主机作为根据地，攻击其他主机，从而隐藏其入侵路径攻击其他主机，从而隐藏其入侵路径2024/7/12Page 6（6 6）网络监听）网络监听在网络监听这种模式下，主机可以接收到本网段在网络监听这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这在同一条物理通道上传输的所有信息，而不管这些信息的发送发和接收方是谁。些信息的发送发和接收方是谁。（7 7）寻找系统漏洞）寻找系统漏洞（8 8）利用账号进行攻击）利用账号进行攻击利用操作系统提供的缺省账户和密码进行攻击利用操作系统提供的缺省账户和密码进行攻击（9 9）偷取特权）偷取特权黑客通过非法手段获得对用户机器的完全控制权，黑客通过非法手段获得对用户机器的完全控制权，甚至是整个网络的绝对控制权。甚至是整个网络的绝对控制权。2024/7/12Page 78.2 IP欺骗 IPIP电电子子欺欺骗骗攻攻击击是是指指利利用用TCP/IPTCP/IP本本身身的的缺缺陷陷进进行行的的入入侵侵，即即用用一一台台主主机机设设备备冒冒充充另另外外一一台台主主机机的的IPIP地地址址，与与其其它它设设备备通通信信，从从而而达达到到某某种种目目的的的的过过程程。它它不不是是进进攻攻的的结结果果而而是进攻的手段。是进攻的手段。2024/7/12Page 88.2.1 IP8.2.1 IP欺骗原理欺骗原理所谓所谓IPIP欺骗，就是伪造某台主机的欺骗，就是伪造某台主机的IPIP地址地址的技术。其实质就是让一台机器来扮演另的技术。其实质就是让一台机器来扮演另一台机器，以达到蒙混过关的目的。被伪一台机器，以达到蒙混过关的目的。被伪造的主机往往具有某种特权或者被另外的造的主机往往具有某种特权或者被另外的主机所信任。主机所信任。2024/7/12Page 9在在IPIP欺骗的状态下，三次握手的情况如下：欺骗的状态下，三次握手的情况如下：第第一一步步：黑黑客客假假冒冒A A主主机机IPIP向向服服务务方方B B主主机机发发送送SYNSYN，告告诉诉B B主主机机是是他他所所信信任任的的A A主主机机想想发发起起一一次次TCPTCP连连接接，序序列列号号为为数数值值X X，这这一一步步实实现现比比较较简简单单，黑黑客客将将IPIP包包的的源源地地址址伪伪造为造为A A主机主机IPIP地址即可。地址即可。第第二二步步：服服务务方方B B产产生生SYN SYN ACKACK响响应应，并并向向请请求求方方A A主主机机（注注意意:是是A A，不不是是黑黑客客，因为因为B B收到的收到的IPIP包的源地址是包的源地址是A A）发送）发送ACKACK，2024/7/12Page 10ACKACK的值为的值为X+1X+1，表示数据成功接收到，且告，表示数据成功接收到，且告知下一次希望接收到字节的知下一次希望接收到字节的SEQSEQ是是X+1X+1。同时，。同时，B B向请求方向请求方A A发送自己的发送自己的SEQSEQ，注意，这个数值，注意，这个数值对黑客是不可见的。对黑客是不可见的。第三步：黑客再次向服务方发送第三步：黑客再次向服务方发送ACKACK，表示接收到服务方的回应，表示接收到服务方的回应虽然实际上虽然实际上他并没有收到服务方他并没有收到服务方B B的的SYN ACKSYN ACK响应。这次响应。这次它的它的SEQSEQ值为值为X+1X+1，同时它必须猜出，同时它必须猜出ACKACK的值，的值，并加并加1 1后回馈给后回馈给B B主机。主机。2024/7/12Page 11IPIP欺骗技术有如下三个特征：欺骗技术有如下三个特征：（1 1）只只有有少少数数平平台台能能够够被被这这种种技技术术攻攻击击，也也就就是是说说很很多多平平台台都都不不具具有有这这方方面面缺陷。缺陷。（2 2）这这种种技技术术出出现现的的可可能能性性比比较较小小，因因为为这这种种技技术术不不好好理理解解，也也不不好好操操作作，只只有一些真正的网络高手才能做到这点。有一些真正的网络高手才能做到这点。（3 3）很很容容易易防防备备这这种种攻攻击击方方法法，如如使用防火墙等。使用防火墙等。2024/7/12Page 12IPIP欺骗的对象欺骗的对象 IPIP欺欺骗骗只只能能攻攻击击那那些些完完全全实实现现了了TCP/IPTCP/IP协议，包括所有的端口和服务。协议，包括所有的端口和服务。IPIP欺骗的实施欺骗的实施 几几乎乎所所有有的的欺欺骗骗都都是是基基于于某某些些机机器器之间的相互信任的。之间的相互信任的。黑黑客客可可以以通通过过很很多多命命令令或或端端口口扫扫描描技技术术、监监听听技技术术确确定定机机器器之之间间的的信信任任关关系系，例例如如一一台台提提供供服服务务的的机机器器很很容容易易被被端端口口扫扫描描出出来来，使使用用端端口口扫扫描描技技术术同同样样可可以以非非常常方方便便地确定一个局部网络内机器之间的相互关系。地确定一个局部网络内机器之间的相互关系。2024/7/12Page 13假假定定一一个个局局域域网网内内部部存存在在某某些些信信任任关关系系。例例如如，主主机机A A信信任任主主机机B B、主主机机B B信信任任主主机机C C，则则为为了了侵侵入入该该网网络络，黑黑客客可可以以采采用用下下面面两两种种方方式。式。（1 1）通过假冒机器）通过假冒机器B B来欺骗机器来欺骗机器A A和和C C。（2 2）通过假冒机器）通过假冒机器A A或或C C来欺骗机器来欺骗机器B B。为为了了假假冒冒机机器器C C去去欺欺骗骗机机器器B B，首首要要的的任任务务是是攻攻击击原原来来的的C C，使使得得C C发发生生瘫瘫痪痪。这这是是一一种拒绝服务的攻击方式。种拒绝服务的攻击方式。2024/7/12Page 148.2.2 IP8.2.2 IP欺骗的防止欺骗的防止1 1抛弃基于地址的信任策略抛弃基于地址的信任策略2 2进行包过滤进行包过滤3 3使用加密方法使用加密方法4 4使用随机化的初始序列号使用随机化的初始序列号2024/7/12Page 15 对于来自网络外部的欺骗来说，阻止对于来自网络外部的欺骗来说，阻止这种攻击的方法是很简单的，在局部网络的这种攻击的方法是很简单的，在局部网络的对外路由器上加一个限制条件，只要在路由对外路由器上加一个限制条件，只要在路由器里面设置不允许声称来自于内部网络的外器里面设置不允许声称来自于内部网络的外来包通过就行了。如果网络存在外部的可信来包通过就行了。如果网络存在外部的可信任主机，那么路由器就无法防止别人冒充这任主机，那么路由器就无法防止别人冒充这些主机而进行的些主机而进行的IPIP欺骗。欺骗。当实施欺骗的主机在同一网络内时，攻当实施欺骗的主机在同一网络内时，攻击往往容易得手，并且不容易防范。击往往容易得手，并且不容易防范。2024/7/12Page 16 应应该该注注意意与与外外部部网网络络相相连连的的路路由由器器，看看它它是是否否支支持持内内部部接接口口。如如果果路路由由器器有有支支持持内内部部网网络络子子网网的的两两个个接接口口，则则须须警警惕惕，因因为为很很容容易易受受到到IPIP欺欺骗骗。这这也也是是为为什什么么说说将将WebWeb服服务务器器放放在在防防火火墙墙外面有时会更安全的原因。外面有时会更安全的原因。检测和保护站点免受检测和保护站点免受IPIP欺骗的最好办法欺骗的最好办法就是安装一个过滤路由器，来限制对外部接口的就是安装一个过滤路由器，来限制对外部接口的访问，禁止带有内部网资源地址包通过。当然也访问，禁止带有内部网资源地址包通过。当然也应禁止（过滤）带有不同内部资源地址的内部包应禁止（过滤）带有不同内部资源地址的内部包通过路由器到别的网上去，这就防止内部的用户通过路由器到别的网上去，这就防止内部的用户对别的站点进行对别的站点进行IPIP欺骗。欺骗。2024/7/12Page 178.3 拒绝服务攻击8.3.1 8.3.1 概述概述DoS-Denial of ServiceDoS-Denial of Service：现在一般指导：现在一般指导致服务器不能正常提供服务的攻击。致服务器不能正常提供服务的攻击。图8-1 拒绝服务攻击示意图2024/7/12Page 18 拒绝服务是一种简单的破坏性拒绝服务是一种简单的破坏性攻击，通常攻击者利用攻击，通常攻击者利用TCP/IPTCP/IP中的某个漏中的某个漏洞，或者系统存在的某些漏洞，对目标系洞，或者系统存在的某些漏洞，对目标系统发起大规模的攻击，使得攻击目标失去统发起大规模的攻击，使得攻击目标失去工作能力，使得系统不可访问，合法用户工作能力，使得系统不可访问，合法用户不能及时得到应得的服务或系统资源，它不能及时得到应得的服务或系统资源，它最本质的特征是延长正常的应用服务的等最本质的特征是延长正常的应用服务的等待时间。待时间。2024/7/12Page 19DoSDoS攻击的事件攻击的事件 ：20002000年年2 2月份的月份的YahooYahoo、亚马逊、亚马逊、CNNCNN被被DoSDoS攻击。攻击。20022002年年1010月全世界月全世界1313台台DNSDNS服务器同时服务器同时受到了受到了DDoSDDoS（分布式拒绝服务）攻击。（分布式拒绝服务）攻击。20032003年年1 1月月2525日的日的“20032003蠕虫王蠕虫王”病毒。病毒。20042004年年8 8月月，共共同同社社报报道道：日日本本近近期期共共有上百网站遭到黑客袭击。有上百网站遭到黑客袭击。2024/7/12Page 208.3.2 8.3.2 拒绝服务攻击的原理拒绝服务攻击的原理1 1拒绝服务的模式拒绝服务的模式 按按照照入入侵侵方方式式，拒拒绝绝服服务务可可以以分分为为资资源源消消耗耗型型，配配置置修修改改型型，物物理理破破坏坏型型以及服务利用型。以及服务利用型。2024/7/12Page 21（1 1）资源消耗型：指入侵者试图消耗目标）资源消耗型：指入侵者试图消耗目标的合法资源，如网络带宽、内存和磁盘空的合法资源，如网络带宽、内存和磁盘空间等，从而达到拒绝服务的目的。间等，从而达到拒绝服务的目的。（2 2）配置修改型：入侵者通过改变或者破）配置修改型：入侵者通过改变或者破坏系统的配置信息，来阻止其他合法用户坏系统的配置信息，来阻止其他合法用户使用计算机和网络提供的服务。使用计算机和网络提供的服务。2024/7/12Page 22（3 3）物理破坏型：它主要针对物理设备的）物理破坏型：它主要针对物理设备的安全。入侵者可以通过破坏或者改变网络安全。入侵者可以通过破坏或者改变网络部件以实现拒绝服务。部件以实现拒绝服务。（4 4）服务利用型：入侵者常用的是）服务利用型：入侵者常用的是TCP/IPTCP/IP以及目标系统自身应用软件中的一些漏洞以及目标系统自身应用软件中的一些漏洞和弱点，来达到拒绝服务的目的。和弱点，来达到拒绝服务的目的。2024/7/12Page 232拒绝服务常用方法以消耗目标主机的可用资源为目的（例如：以消耗目标主机的可用资源为目的（例如：死亡之死亡之pingping、SYNSYN攻击、攻击、LandLand攻击、泪攻击、泪珠攻击（珠攻击（TeardropTeardrop）、）、SmurfSmurf攻击等）攻击等）以消耗服务器链路的有效带宽为目的（例以消耗服务器链路的有效带宽为目的（例如：蠕虫）如：蠕虫）2024/7/12Page 24攻击者 目标主机目标主机SYNSYN/ACKACK等待应答等待应答SYN：同步SYN/ACK:同步/确认ACK：确认SYN攻击的原理（1）2024/7/12Page 25.SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK.等待等待ACKACK应答应答.不应答不应答不应答不应答重新发送重新发送SYN攻击的原理（2）2024/7/12Page 261)1)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者攻击者各种客户主机各种客户主机目标系统目标系统2)攻击者进入其已经发现的最弱的客户主机之内攻击者进入其已经发现的最弱的客户主机之内(“肉鸡肉鸡”)，并且秘密地，并且秘密地安置一个其可远程控制的代理程序安置一个其可远程控制的代理程序(端口监督程序端口监督程序demon)demon)。攻击准备：攻击准备：安置代理代理程序代理程序DDoS(分布式拒绝服务)攻击（1）2024/7/12Page 27 3)3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。求送至目标系统。攻击者目标系统目标系统发起攻击：发起攻击：指令指令攻击的代理程序4)4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。导致它因通信淤塞而崩溃。虚假的连接请求虚假的连接请求DDoS(分布式拒绝服务)攻击（2）2024/7/12Page 288.4 侦察与工具8.4.1 8.4.1 安全扫描安全扫描 安全扫描以各种各样的方式进行。安全扫描以各种各样的方式进行。可以利用可以利用PingPing和端口扫描程序来侦查网络，和端口扫描程序来侦查网络，也可以使用客户端也可以使用客户端/服务器程序，如服务器程序，如TelnetTelnet和和SNMPSNMP等来侦查网络泄漏的有用信息。应等来侦查网络泄漏的有用信息。应当利用一些工具来了解网络。有些工具很当利用一些工具来了解网络。有些工具很简单，便于安装和使用。有时，审计人员简单，便于安装和使用。有时，审计人员和黑客会利用程序语言如和黑客会利用程序语言如Perl,C,C+Perl,C,C+和和JavaJava自己编制一些工具，因为他们找不到自己编制一些工具，因为他们找不到现成的针对某种漏洞的工具。现成的针对某种漏洞的工具。2024/7/12Page 29 另外一些工具功能更全面，但是另外一些工具功能更全面，但是在使用前需要认真地配置。有专门从事网在使用前需要认真地配置。有专门从事网络管理和安全的公司出售这些工具。好的络管理和安全的公司出售这些工具。好的网络级和主机级扫描器会监听和隔离进出网络级和主机级扫描器会监听和隔离进出网络和主机的所有会话包。在学习这些网络和主机的所有会话包。在学习这些“Hacker-in-a-boxHacker-in-a-box”的解决方案前，应当的解决方案前，应当先接触一些当前黑客常常使用的技巧。先接触一些当前黑客常常使用的技巧。2024/7/12Page 301 1WhoisWhois命令命令 Whois Whois（类似于（类似于fingerfinger）是一种）是一种InternetInternet的目录服务，的目录服务，whoiswhois提供了在提供了在InternetInternet上一台主机或某个域的所有者的信息，如管理员上一台主机或某个域的所有者的信息，如管理员的姓名、通信地址、电话号码和的姓名、通信地址、电话号码和E-mailE-mail地址等信地址等信息，这些信息是在官方网站息，这些信息是在官方网站whois serverwhois server上注册上注册的，如保存在的，如保存在InterNICInterNIC的数据库内。的数据库内。WhoisWhois命令命令通常是安全审计人员了解网络情况的开始。一旦通常是安全审计人员了解网络情况的开始。一旦得到了得到了WhoisWhois记录，从查询的结果还可得知记录，从查询的结果还可得知primaryprimary和和secondarysecondary域名服务器的信息。域名服务器的信息。2024/7/12Page 312 2nslookupnslookup 使用使用DNSDNS的排错工具的排错工具nslookupnslookup，可以利用，可以利用从从whoiswhois查询到的信息侦查更多的网络情况。例查询到的信息侦查更多的网络情况。例如，使用如，使用nslookupnslookup命令把主机伪装成命令把主机伪装成secondary secondary DNSDNS服务器，如果成功便可以要求从主服务器，如果成功便可以要求从主DNSDNS服务器服务器进行区域传送。要是传送成功的话，将获得大量进行区域传送。要是传送成功的话，将获得大量有用信息，包括：有用信息，包括：使用此使用此DNSDNS服务器做域名解析到所有主机名和服务器做域名解析到所有主机名和IPIP地址的映射情况；地址的映射情况；公司使用的网络和子网情况；公司使用的网络和子网情况；主机在网络中的用途，许多公司使用带有描主机在网络中的用途，许多公司使用带有描述性的主机名。述性的主机名。2024/7/12Page 32 使用使用nslookupnslookup实现区域传送的过程有实现区域传送的过程有如下几步。如下几步。第第1 1步，使用步，使用whoiswhois命令查询目标网络，命令查询目标网络，例如在例如在LinuxLinux提示符下输入提示符下输入whois whois 。第第2 2步，得到目标网络的步，得到目标网络的primaryprimary和和slave DNSslave DNS服务器的信息。例如，假设主服务器的信息。例如，假设主DNSDNS服务服务器的名字是器的名字是。第第3 3步，使用交互查询方式，缺省情况步，使用交互查询方式，缺省情况下下nslookupnslookup会使用缺省的会使用缺省的DNSDNS服务器作域名解析。服务器作域名解析。键入命令键入命令server server 定位目定位目标网络的标网络的DNSDNS服务器。服务器。2024/7/12Page 33 第第4 4步，列出目标网络步，列出目标网络DNSDNS服务器的内容，服务器的内容，如如ls ls 。此时。此时DNSDNS服务器会把数服务器会把数据传送过来。当然，管理员可以禁止据传送过来。当然，管理员可以禁止DNSDNS服务器服务器进行区域传送，目前很多公司将进行区域传送，目前很多公司将DNSDNS服务器至于服务器至于防火墙的保护之下并严格设定了只能向某些主机防火墙的保护之下并严格设定了只能向某些主机进行区域传送。进行区域传送。一旦从区域传送中获得了有用信息，便一旦从区域传送中获得了有用信息，便可以对每台主机实施端口扫描以确定它们提供了可以对每台主机实施端口扫描以确定它们提供了哪些服务。如果不能实现区域传送，用户还可以哪些服务。如果不能实现区域传送，用户还可以借助借助pingping和端口扫描工具，当然还有和端口扫描工具，当然还有traceroutetraceroute。2024/7/12Page 343 3hosthost Host Host命令是命令是UNIXUNIX提供的有关提供的有关InternetInternet域域名查询的命令，可实现主机名到名查询的命令，可实现主机名到IPIP地址的映射，地址的映射，反之亦然。用反之亦然。用hosthost命令可实现以下功能：命令可实现以下功能：实现区域传送；实现区域传送；获得名称解析信息；获得名称解析信息；得知域中邮件服务器的信息。得知域中邮件服务器的信息。参数参数-v-v可显示更多的信息，参数可显示更多的信息，参数-l-l实现区域传送，实现区域传送，参数参数-t-t允许查询特定的允许查询特定的DNSDNS记录。记录。2024/7/12Page 35 例如，要查询例如，要查询域的邮件服务器的域的邮件服务器的记录，需要键入命令：记录，需要键入命令：host host t mx t mx （你可以参考（你可以参考UNIXUNIX命令帮命令帮助获得更多信息）助获得更多信息）TracerouteTraceroute（tracerttracert）Traceroute Traceroute 用于路由追踪，如判断从主机到目标主机经过用于路由追踪，如判断从主机到目标主机经过哪些路由器、跳计数、响应时间如何等。大多数操作系统哪些路由器、跳计数、响应时间如何等。大多数操作系统（包括（包括UNIXUNIX、NovellNovell和和Windows NTWindows NT）若配置了）若配置了TCP/IPTCP/IP协议协议的话，都会有自己版本的的话，都会有自己版本的traceroutetraceroute程序。当然也可以使程序。当然也可以使用其他一些第三方的路由追踪软件，在后面我们会接触到用其他一些第三方的路由追踪软件，在后面我们会接触到这些工具。这些工具。使用使用traceroutetraceroute，你可以推测出网络的物理布局，你可以推测出网络的物理布局，包括该网络连接包括该网络连接InternetInternet所使用的路由器。所使用的路由器。traceroutetraceroute还还可以判断出响应较慢的节点和数据包在路由过程中的跳计可以判断出响应较慢的节点和数据包在路由过程中的跳计数。数。2024/7/12Page 364 4PingPing扫描作用及工具扫描作用及工具 Ping Ping一个公司的一个公司的WebWeb服务器可帮助获得服务器可帮助获得该公司所使用的该公司所使用的IPIP地址范围。一旦得知了地址范围。一旦得知了HTTPHTTP服服务器的务器的IPIP地址，就可以使用地址，就可以使用PingPing扫描工具扫描工具PingPing该该子网的所有子网的所有IPIP地址，这可以帮助得到该网络的地地址，这可以帮助得到该网络的地址图。址图。PingPing扫描程序将自动扫描所指定的扫描程序将自动扫描所指定的IPIP地址范围，地址范围，WS_Ping ProPackWS_Ping ProPack工具包中集成有工具包中集成有PingPing扫描程序。单独的扫描程序。单独的PingPing工具有许多，工具有许多，Rhino9 Rhino9 PingerPinger是比较流行的程序。是比较流行的程序。2024/7/12Page 378.4.2 8.4.2 端口扫描与其他端口扫描与其他1 1端口扫描端口扫描 端口扫描与端口扫描与pingping扫描相似，不同的是端扫描相似，不同的是端口扫描不仅可以返回口扫描不仅可以返回IPIP地址，还可以发现目标系地址，还可以发现目标系统上活动的统上活动的UDPUDP和和TCPTCP端口。端口。例如，地址例如，地址192.168.1.10192.168.1.10正在运行正在运行SMTPSMTP和和TelnetTelnet服务，地址服务，地址192.168.1.12192.168.1.12正在运行正在运行FTPFTP服务，主机服务，主机192.168.1.14192.168.1.14未运行任何可辨别的服未运行任何可辨别的服务，而主机务，而主机192.168.1.16192.168.1.16运行着运行着SMTPSMTP服务。最后服务。最后一台主机属于一台主机属于MicrosoftMicrosoft网络，因为该网络使用网络，因为该网络使用UDP137UDP137和和TCP138TCP138、139139端口。端口。2024/7/12Page 38（1 1）端口扫描软件）端口扫描软件 端口扫描器是黑客最常使用的工端口扫描器是黑客最常使用的工具。一些单独使用的端口扫描工具像具。一些单独使用的端口扫描工具像Port Port Scanner1.1Scanner1.1，定义好，定义好IPIP地址范围和端口后地址范围和端口后便可开始实施扫描。还有许多单独使用的便可开始实施扫描。还有许多单独使用的端口扫描器，如端口扫描器，如UltraScanUltraScan等。如同等。如同PingPing扫扫描器，许多工具也集成了端口扫描器。描器，许多工具也集成了端口扫描器。NetScanNetScan、Ping ProPing Pro和其他一些程序包集成和其他一些程序包集成了尽可能多的相关程序。许多企业级的网了尽可能多的相关程序。许多企业级的网络产品也将络产品也将pingping和端口扫描集成起来。和端口扫描集成起来。2024/7/12Page 39（2 2）网络侦查和服务器侦查程序）网络侦查和服务器侦查程序 使用简单的程序如使用简单的程序如Ping ProPing Pro，可以侦查出，可以侦查出MicrosoftMicrosoft的网络上开启的端口。的网络上开启的端口。Ping ProPing Pro的工作是通过的工作是通过监测远程过程调用服务所使用的监测远程过程调用服务所使用的TCPTCP、UDP135UDP135端口，和端口，和Microsoft Microsoft 网络会话所使用的网络会话所使用的UDP137UDP137，138138，和，和139139端口端口来实现的。其他的网络扫描工具允许你监测来实现的。其他的网络扫描工具允许你监测UNIXUNIX、NovellNovell、AppleTalkAppleTalk的网络。虽然的网络。虽然Ping ProPing Pro只能工作在其只能工作在其安装的特定子网，但还有更多更复杂的工具，这些工具安装的特定子网，但还有更多更复杂的工具，这些工具的设计者把它们设计成为可以识别更多的网络和服务类的设计者把它们设计成为可以识别更多的网络和服务类型的程序。型的程序。例如，例如，NMAPNMAP是是UNIXUNIX下的扫描工具，它可以识别不同操作下的扫描工具，它可以识别不同操作系统在处理系统在处理TCP/IPTCP/IP协议上细微的差别。其他类似的程序协议上细微的差别。其他类似的程序还包括还包括checkos,quesocheckos,queso和和SATANSATAN。2024/7/12Page 402 2堆栈指纹堆栈指纹 许多程序都利用堆栈指纹技术，许多程序都利用堆栈指纹技术，这种技术允许利用这种技术允许利用TCP/IPTCP/IP来识别不同的操来识别不同的操作系统和服务。因为大多数的系统管理员作系统和服务。因为大多数的系统管理员注意到信息的泄露而且屏蔽了系统标志，注意到信息的泄露而且屏蔽了系统标志，所以应用堆栈指纹的技术十分必要。但是，所以应用堆栈指纹的技术十分必要。但是，各个厂商和系统处理各个厂商和系统处理TCP/IPTCP/IP的特征是管理的特征是管理员所难以更改的。许多审计人员和黑客记员所难以更改的。许多审计人员和黑客记录下这些录下这些TCP/IPTCP/IP应用的细微差别，并针对应用的细微差别，并针对各种系统构建了堆栈指纹表。各种系统构建了堆栈指纹表。2024/7/12Page 41 要想了解操作系统间处理要想了解操作系统间处理TCP/IPTCP/IP的差异，的差异，需要向这些系统的需要向这些系统的IPIP和端口发送各种特殊的包。和端口发送各种特殊的包。根据这些系统对包的回应的差别，可以推断出操根据这些系统对包的回应的差别，可以推断出操作系统的种类。例如，可以向主机发送作系统的种类。例如，可以向主机发送FINFIN包包（或任何不含有（或任何不含有ACKACK或或SYNSYN标志的包），从下列操标志的包），从下列操作系统将获得回应：作系统将获得回应：Microsoft Windows NT,98,95,Microsoft Windows NT,98,95,和和3.11 3.11 FreeBSD FreeBSD CISCO CISCO HP/UX HP/UX 2024/7/12Page 42 大多数其他系统不会回应。虽然大多数其他系统不会回应。虽然只不过缩小了一点范围，但这至少开始了只不过缩小了一点范围，但这至少开始了对目标系统的了解。如果向目标系统发送对目标系统的了解。如果向目标系统发送的报文头有未定义标志的的报文头有未定义标志的TCPTCP包的话，包的话，2.0.352.0.35版本以前的版本以前的LINUXLINUX系统会在回应中加系统会在回应中加入这个未定义的标志。这种特定的行为可入这个未定义的标志。这种特定的行为可以判断出目标主机上是否运行该种以判断出目标主机上是否运行该种LINUXLINUX操操作系统。作系统。2024/7/12Page 43 下面是堆栈指纹程序利用的部分特征，下面是堆栈指纹程序利用的部分特征，许多操作系统对它们的处理方式不同：许多操作系统对它们的处理方式不同：ICMPICMP错误信息抑制错误信息抑制 服务类型值服务类型值(TOS)(TOS)TCP/IP TCP/IP选项选项 对对SYN FLOODSYN FLOOD的抵抗力的抵抗力 TCPTCP初始窗口初始窗口 只要只要TCPTCP开始进行三次握手，总是先发开始进行三次握手，总是先发出一个出一个SYNSYN包。像包。像NMAPNMAP这样的程序会发出一个这样的程序会发出一个SYNSYN包欺骗操作系统作回应。堆栈指纹程序可以从回包欺骗操作系统作回应。堆栈指纹程序可以从回应报文的格式，推论出目标操作系统的一些情况。应报文的格式，推论出目标操作系统的一些情况。2024/7/12Page 44 NMAP NMAP由于功能强大、不断升级和由于功能强大、不断升级和免费的原因，使之十分流行。它对网络的免费的原因，使之十分流行。它对网络的侦查十分有效是基于两个原因。首先，它侦查十分有效是基于两个原因。首先，它具有非常灵活的具有非常灵活的TCP/IPTCP/IP堆栈指纹引擎。堆栈指纹引擎。NMAPNMAP的制作人的制作人FYODORFYODOR不断升级该引擎，使不断升级该引擎，使它能够尽可能多的进行猜测。它能够尽可能多的进行猜测。NMAPNMAP可以准可以准确地扫描服务器操作系统（包括确地扫描服务器操作系统（包括NovellNovell、UNIXUNIX、LinuxLinux、NTNT），路由器（包括），路由器（包括CISCOCISCO、3COM3COM和和HPHP），还有一些拨号设备。其次，），还有一些拨号设备。其次，它可以穿透网络边缘的安全设备，例如防它可以穿透网络边缘的安全设备，例如防火墙。火墙。45可编辑2024/7/12Page 46 NMAP NMAP穿透防火墙的一种方法是利用碎穿透防火墙的一种方法是利用碎片扫描技术（片扫描技术（fragment scansfragment scans），可以发送隐秘），可以发送隐秘的的FINFIN包（包（-sF-sF）、）、Xmas treeXmas tree包（包（-sX-sX）或）或NULLNULL包包（-sN-sN）。这些选项允许将）。这些选项允许将TCPTCP查询分割成片断，查询分割成片断，从而绕过防火墙规则。这种策略对很多流行的防从而绕过防火墙规则。这种策略对很多流行的防火墙产品都很有效。火墙产品都很有效。当前当前NMAPNMAP只能运行在只能运行在LinuxLinux操作系统上，操作系统上，包括包括Free BSD 2.2.6-30Free BSD 2.2.6-30、HP/UXHP/UX和和SolarisSolaris等等LinuxLinux的所有版本。在的所有版本。在LinuxLinux的的X-WindowsX-Windows上还提上还提供图形界面。最好的掌握供图形界面。最好的掌握NMAPNMAP的方法是学习使用的方法是学习使用它。使用它。使用nmapnmaph h命令可以显示帮助信息，当然，命令可以显示帮助信息，当然，也可以用也可以用man nmapman nmap命令查看它的使用手册。命令查看它的使用手册。2024/7/12Page 473 3共享扫描共享扫描 共享扫描指可以扫描网络中绝大共享扫描指可以扫描网络中绝大多数的内容，包括正在使用的共享。这种多数的内容，包括正在使用的共享。这种扫描过程提供了重要的侦查和利用各种资扫描过程提供了重要的侦查和利用各种资源和文件的方法。源和文件的方法。2024/7/12Page 48（1 1）共享扫描软件）共享扫描软件 Ping Pro Ping Pro提供了允许审计人员扫描提供了允许审计人员扫描WindowsWindows网络共享的功能。它能侦查出共享名称，网络共享的功能。它能侦查出共享名称，但不会入侵共享。例如，但不会入侵共享。例如，MicrosoftMicrosoft网络利用网络利用TCP139TCP139端口建立共享。更具侵略性的侦查软件有端口建立共享。更具侵略性的侦查软件有知名的知名的RedButtonRedButton，许多，许多InternetInternet站点都免费提站点都免费提供下载。供下载。RedButtonRedButton是一个很古老的程序，大多数的系统是一个很古老的程序，大多数的系统管理员和安全管理员都找到了防范它的方法。这管理员和安全管理员都找到了防范它的方法。这个程序不仅可以侦查出共享名称还可以发现相应个程序不仅可以侦查出共享名称还可以发现相应的密码。它还可以获得管理员的账号名称。的密码。它还可以获得管理员的账号名称。2024/7/12Page 49（2 2）缺省配置和补丁级扫描）缺省配置和补丁级扫描 黑客和审计人员对系统的缺省配置黑客和审计人员对系统的缺省配置很了解，可以编制工具查找这些弱点。实很了解，可以编制工具查找这些弱点。实际上，许多企业级的侦查工具都是针对这际上，许多企业级的侦查工具都是针对这些弱点进行工作的。安全专家还知道操作些弱点进行工作的。安全专家还知道操作系统工作的细节，根据服务补丁和系统工作的细节，根据服务补丁和hot fixhot fix的数量进行升级。的数量进行升级。2024/7/12Page 50（3 3）使用）使用TelnetTelnet Telnet Telnet是远程登录系统进行管理的程序，缺省是远程登录系统进行管理的程序，缺省情况下情况下telnettelnet使用使用2323端口。当然，也可以利用端口。当然，也可以利用TelnetTelnet客客户端程序连接到其他端口。户端程序连接到其他端口。例如，可以远程连接至例如，可以远程连接至HTTPHTTP端口。在连接一段端口。在连接一段时间内若没有任何动作，服务器会因为无法识别这次连时间内若没有任何动作，服务器会因为无法识别这次连接而自动切断。但是通常可以从接而自动切断。但是通常可以从HTTPHTTP服务器上得到一些服务器上得到一些信息。例如，可以得知服务厂商的信息、版本（如信息。例如，可以得知服务厂商的信息、版本（如Apache Web Server 1.36Apache Web Server 1.36或或IIS 4.0IIS 4.0）等。）等。虽然信息不是很多，但至少能从报错信息中推虽然信息不是很多，但至少能从报错信息中推断出服务器类型，在断出服务器类型，在WebWeb服务器报错信息中可以看出服务器报错信息中可以看出HTTPHTTP服务器版本，还可以用服务器版本，还可以用TelnetTelnet连接上系统再使用连接上系统再使用SYSTSYST命命令，许多令，许多TCP/IPTCP/IP堆栈会泄漏一些重要的信息堆栈会泄漏一些重要的信息2024/7/12Page 514 4扫描等级扫描等级 大多数的企业级扫描器允许选择安全扫描的等大多数的企业级扫描器允许选择安全扫描的等级。一次轻级别的扫描通常会扫描众所周知的端口（从级。一次轻级别的扫描通常会扫描众所周知的端口（从0 0到到10231023）和常见的安全漏洞，包括弱口令，低的补丁等）和常见的安全漏洞，包括弱口令，低的补丁等级和额外的服务。如果扫描一个小型的子网大概需要花级和额外的服务。如果扫描一个小型的子网大概需要花费费3030分钟。中级和严格级别的扫描根据网络的速度和运分钟。中级和严格级别的扫描根据网络的速度和运行扫描程序的主机行扫描程序的主机CPUCPU的时钟速度快慢等因素，通常会花的时钟速度快慢等因素，通常会花费几天的时间。费几天的时间。定义严格级别的扫描策略会让扫描器对目标网定义严格级别的扫描策略会让扫描器对目标网络发起连续的攻击。如果设置了规则让扫描器扫描所有络发起连续的攻击。如果设置了规则让扫描器扫描所有的的65,53565,535个端口，还要检测口令强度以及细致地分析从个端口，还要检测口令强度以及细致地分析从管理账户到管理账户到UNIXUNIX子系统的每项服务的话，工作量是相当子系统的每项服务的话，工作量是相当大的。这种扫描不仅费时，而且会极大地加重网络的负大的。这种扫描不仅费时，而且会极大地加重网络的负担。个别主机将无法承受这种扫描。担。个别主机将无法承受这种扫描。2024/7/12Page 525 5配置文件和策略配置文件和策略 在使用任何扫描器前，必须首先定在使用任何扫描器前，必须首先定义配置文件，然后再实施策略。绝大多数义配置文件，然后再实施策略。绝大多数的扫描程序事先都定义了一些配置和策略，的扫描程序事先都定义了一些配置和策略，但可以根据实际需要对它们进行编辑和增但可以根据实际需要对它们进行编辑和增加。需要注意的是要将策略和配置文件结加。需要注意的是要将策略和配置文件结合起来。合起来。2024/7/12Page 53（1 1）报告功能）报告功能 企业级的扫描程序具有细致的报告功能。企业级的扫描程序具有细致的报告功能。可以用很多种格式输出信息，包括：可以用很多种格式输出信息，包括：简单的简单的ASCIIASCII文本文本 HTMLHTML字处理文本格式，如字处理文本格式，如RTFRTF，或一些专利格，或一些专利格式，例如式，例如Microsoft WordMicrosoft Word（DOCDOC）或）或Corel Word Corel Word PerfectPerfect（WPDWPD）电子表格形式，例如电子表格形式，例如Microsoft Excel Microsoft Excel 图形格式，包括幻灯片，例如图形格式，包括幻灯片，例如Microsoft Microsoft PowerPoint PowerPoint 2024/7/12Page 54（2 2）报告风险等级）报告风险等级 大多数的网络扫描器将风险分成大多数的网络扫描器将风险分成低、中、高三个等级。应该了解各种扫描低、中、高三个等级。应该了解各种扫描器是如何汇报它们扫描结果的。即使得出器是如何汇报它们扫描结果的。即使得出网络只有低的安全问题，也不应该沾沾自网络只有低的安全问题，也不应该沾沾自喜。一名优秀的黑客可以从很小的缺陷入喜。一名优秀的黑客可以从很小的缺陷入手就会给系统带来致命的破坏。手就会给系统带来致命的破坏。2024/7/12Page 55（3 3）Axcet NetReconAxcet NetRecon NetRecon NetRecon是最先为是最先为Windows NTWindows NT网络设网络设计的网络扫描产品之一。计的网络扫描产品之一。NetReconNetRecon象其他扫描器象其他扫描器一样可以发现网络中的各种元素，包括密码检查。一样可以发现网络中的各种元素，包括密码检查。NetReconNetRecon可以比较准确地模拟各种攻击。可以比较准确地模拟各种攻击。NetReconNetRecon的界面由三个窗格组成，对象窗口允许的界面由三个窗格组成，对象窗口允许查看每个扫描对象，通过单击可以展开目录结构；查看每个扫描对象，通过单击可以展开目录结构；通过扫描网络，图形窗口显示低、中、高的风险通过扫描网络，图形窗口显示低、中、高的风险等级；状态栏显示扫描的进程。可以对网络进行等级；状态栏显示扫描的进程。可以对网络进行深度扫描，当然这种扫描会耗费大量的时间。例深度扫描，当然这种扫描会耗费大量的时间。例如，广泛的扫描会花费两天的时间。如，广泛的扫描会花费两天的时间。2024/7/12Page 568.4.3 8.4.3 扫描产品扫描产品1 1NetReconNetRecon 在在NetReconNetRecon中以一些漏洞列表作为侦查中以一些漏洞列表作为侦查数据库，可以将这个列表理解为攻击指纹，但是数据库，可以将这个列表理解为攻击指纹，但是这个名词通常被用于入侵检测系统程序中。如果这个名词通常被用于入侵检测系统程序中。如果你持有你持有NetReconNetRecon的授权，便可以从的授权，便可以从AxentAxent的的WebWeb站站点升级这个漏洞列表。通过点升级这个漏洞列表。通过Reprots|view Reprots|view Vulnerability DescriptionsVulnerability Descriptions菜单，可以查看相菜单，可以查看相关漏洞的描述。关漏洞的描述。2024/7/12Page 57下面列出下面列出NetReconNetRecon可以扫描出的系统漏洞：可以扫描出的系统漏洞：FingerFinger服务漏洞服务漏洞 GameOverGameOver（远程管理访问攻击）（远程管理访问攻击）未授权注销禁止未授权注销禁止 服务漏洞，包括服务漏洞，包括SMTPSMTP、DNSDNS、FTPFTP、HTTPHTTP、SOCKSSOCKS代理和低的代理和低的sendmailsendmail补丁等级补丁等级大多数网络扫描器，如大多数网络扫描器，如NetReconNetRecon，包含了事先定，包含了事先定义好的对象列表。通过选择义好的对象列表。通过选择“ReprotsReprots”“View Objective View Objective DescriptionsDescriptions”，可以查看在，可以查看在NetReconNetRecon中已经配中已经配置好的当前对象列表。置好的当前对象列表。2024/7/12Page 582 2Network Associates CyberCop Network Associates CyberCop ScannerScanner CyberCop Scanner CyberCop Scanner是是Network Network AssociatesAssociates的产品，该公司的产品还包括的产品，该公司的产品还包括Sniffer BasicSniffer Basic（前身是（前身是NetXRayNetXRay）和其他网络管）和其他网络管理软件。象理软件。象NetReconNetRecon一样，一样，CyberCop ScannerCyberCop Scanner是是一个主机级别的审计程序。与一个主机级别的审计程序。与AxentAxent的产品一样，的产品一样，CyberCopCyberCop把各种漏洞分类为低、中、高三个等级。把各种漏洞分类为低、中、高三个等级。技术提示：技术提示：CyberCop MonitorCyberCop Monitor不是网络扫描器，不是网络扫描器，它是入侵监测系统程序，能够对黑客活动进行监它是入侵监测系统程序，能够对黑客活动进行监视，提供报警功能，还能惩罚黑客。你将在本教视，提供报警功能，还能惩罚黑客。你将在本教程中学习一些入侵检测系统程序。程中学习一些入侵检测系统程序。2024/7/12Page 593 3WebTrends Security AnalyzerWebTrends Security Analyzer 该软件以前叫该软件以前叫Asmodeus Security Asmodeus Security ScannerScanner，WebTrendsWebTrends的产品在的产品在UNIXUNIX和和NTNT系统下都系统下都经过很好的测试。经过很好的测试。Security AnalyzerSecurity Analyzer的优点之的优点之一是与一是与UNIXUNIX搭配使用多年，操作界面简单易用。搭配使用多年，操作界面简单易用。在主界面上选择在主界面上选择“PolicyPolicy”，然后，然后“editedit”，这时，这时“Security AnalyzerSecurity Analyzer”的选项的选项窗口将出现。你可以选择扫描的强度，或编辑已窗口将出现。你可以选择扫描的强度，或编辑已有的策略、建立新的策略。如果你单击有的策略、建立新的策略。如果你单击Host Host SelectionSelection标签，便可以选择子网内主机的范围。标签，便可以选择子网内主机的范围。2024/7/12Page 604 4Internet Security SystemsInternet Security Systems的扫的扫描产品描产品 Inter