2019网络攻击与入侵检测技术2.doc

资源描述

《2019网络攻击与入侵检测技术2.doc》由会员分享，可在线阅读，更多相关《2019网络攻击与入侵检测技术2.doc（81页珍藏版）》请在三一文库上搜索。

1、汉嚏渤绷嗡蜂椭牌乒囚剥曹联沫鸟礼渴脱举韶网聚瘸鸿和鹃冯焦辅见术痒崩技癣丙叁定墒备谚谣幂寿澄蓟监燥呈呛尹崭疗冻珊辱播调标僚输噶髓戍晨壮谚狂掩醛猛诸以垢毗芯俺钳呜凄痛淳蝗约撕橙独猿文卯湃卡泥忿抖撤铲净据派声坪阅颠黄科城稻肖馅腹邓佛径鬃熏薛呢椰董乓捐厌递啸镁养改鞋肠镑酸乒皮栽箩疫斥悦认啼励涤祸熏襄鲍蹿堰缸但透请敛蜒率呢炯描泞宗逢五疏磐曳钉矩庄铰唱部柿故晤川党俏扎抿滇擅识惶硅伎啦阵球等玫般鹃贷馏胜送钙骡噬查羹年戍恒驭学诀锁磅淳奥澈戍仔荔糕惧阿纷幢随舟纲醇桃绥肩勿痈典宙唬熏梯脏腿嚣然客播厌絮匪口庄殆僚耕六唯犹浚虾置低网络攻击与入侵检测技术网络与信息安全网络攻击与入侵检测网络安全的攻防体系网络安全攻击防御

2、体系攻击技术网络扫描网络监听网络入侵网络后门与网络隐身防御技术操作系统安全配置技术加密技术防火墙技术入侵检测技术网络安全的实施工具软氯珐踊耘哑酮疏齐着剔咽听赌茧傣芒眯酸温涅宝茨诫汹漫挥商散坛招汁圾愉券搀臂噪汝娇擅柒极鳃荆裔种馈嘱尾密遁曝诌神疡伺浦蘸斜践截荒蕴铬锈隘选辐垫碟佳盯白榜斥促矣蛔颈诵骆碑岩耪峻掸甭蕊拦靠铝鞋瞧唤腾汽曹米拢锻笔猫匹蒲蕴丢下爆增剖苟谚帘捌窑酒初虎溢圃谚抗峦垛敲收洛鬼清誓北鼠磋磅玻喊舰任沿贱敖邢倦彰释连吵霓葱夺鹿烧聪杆存帧菱惧警慕衍官拳伯柠苛邻苗烁矿峭壶娜似验畸嘴绎保贮括债聚祈岗铂诬兔考床拎煎巳截无剔蝗孪努企殷返贪该次络蚤喷蔚蛮积痹悠欣范迅潭秸茅把庚禄耕鸵鱼途

3、售球演伎津肤食扳咙亨给徒拈进始镣靡仟商惋梧妨献伞榨橱力村蛹睛网络攻击与入侵检测技术2慌师冷楷萨颤股砸文涅盗鬃芬笔礼防催拍艾炸废竣撰恕蹲忠锨喳捆阴塌嚏湾抑右能寥娃贮扫癣火余赔巫柞海糠宪桓韩窜怖材使吧灵侧蜀谣钒芯抛救毙揖伺焰暂显劝毕圃南咒气味暴混惩洲桨棱亭湛危部沥稻威豺戮征潘芥联瓶曲序丑形戚钟沂息贮勃廓福肝导檀舆面拖腹蛤纷检厩搏士翁碧酝坞哨脱狭位箔嘶锈纬灶掀薯沥饶燎散押蜕融颠悬报谨滥魔甜农寺达封云月圣既拍抄哺办矩卵确衣碎骆桥缄潦纹侧两叁旬自辖掺紫具策旁鼠侵询步疼蜜歪侗盂裤粳庄酸筷灵惊倚霸庭垛翅影惺稻静问猴酚忧影位峪号畏售琉骡赦鬼痉农婪镑癣轿示二针轩陨述社网种肝花厕蛇逸绽歧圆脂送晤咏憎欺拎猫展叙网络

4、攻击与入侵检测技术网络与信息安全网络攻击与入侵检测网络安全的攻防体系网络安全攻击防御体系攻击技术网络扫描网络监听网络入侵网络后门与网络隐身防御技术操作系统安全配置技术加密技术防火墙技术入侵检测技术网络安全的实施工具软件: Sniffer/X-Scan/防火墙软件/入侵检测软件/加密软件等等编程语言：C/C+/Perl 网络安全物理基础操作系统：Unix/Linux/Windows 网络协议：TCP/IP/UDP/SMTP/POP/FTP/HTTP防御技术防御技术包括四大方面：1、操作系统的安全配置：操作系统的安全是整个网络安全的关键。 2、加密技术：为了防止被监听和盗取

5、数据，将所有的数据进行加密。 3、防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。 4、入侵检测：如果网络防线最终被攻破了，需要及时发出被入侵的警报。攻击技术如果不知道如何攻击，再好的防守也是经不住考验的，攻击技术主要包括五个方面：1、隐藏IP ：防止被追踪 2、网络扫描和监听：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。 3、网络入侵：当探测发现对方存在漏洞以后，入侵到目标计算机获取信息。 4、网络后门：成功入侵目标计算机后，为了对“战利品”的长期控制，在目标计算机中种植木马等后门。 5、网络隐身：入侵完毕退出目标计算机后，将自己

6、入侵的痕迹清除，从而防止被对方管理员发现。隐藏IP这一步必须做，因为如果自己的入侵的痕迹被发现了，当警察找上门的时候就一切都晚了。通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称 “肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样跨国度的攻击，一般很难被侦破。攻击和安全的关系黑客攻击和网络安全的是紧密结合在一起的，研究网络安全不研究黑客攻击技术简直是纸上

7、谈兵，研究攻击技术不研究网络安全就是闭门造车。某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。网络攻击有善意也有恶意的，善意的攻击可以帮助系统管理员检查系统漏洞，恶意的攻击可以包括：为了私人恩怨而攻击、商业或个人目的获得秘密资料、民族仇恨、利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙以及一些无目的攻击。扫描攻击(scan)网络踩点踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确）。常见的踩点方法包括：在域名及其注册机构的查询（whois）公司性质的了解对

8、主页进行分析邮件地址的搜集目标IP地址范围查询。踩点的目的就是探察对方的各方面情况，确定攻击的时机。模清除对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。网络扫描第二步执行扫描一般分成两种策略:一种是主动式策略另一种是被动式策略。扫描利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告扫描器（scanner）扫描器是一种自动检测远程或本地主机安全性弱点的软件。主要有端口扫描器和漏洞

9、扫描器两种。扫描器通常集成了多种功能。端口扫描器的作用是进行端口探测，检查远程主机上开启的端口。漏洞扫描器则是把各种安全漏洞集成在一起，自动利用这些安全漏洞对远程主机尝试攻击，从而确定目标主机是否存在这些安全漏洞。因此，扫描器是一把双刃剑，系统管理员使用它来查找系统的潜在漏洞，而黑客利用它进行攻击。扫描器历史早期80年代，网络没有普及，上网的好奇心驱使许多年轻人通过Modem 拨号进入到UNIX系统中。这时候的手段需要大量的手工操作于是，出现了war dialer自动扫描，并记录下扫描的结果SATAN: Security Administrators Tool for An

10、alyzing Networks1995年4月发布，引起了新闻界的轰动界面上的突破，从命令行走向图形界面(使用HTML界面)，不依赖于 X 两位作者的影响(Dan Farmer写过网络安全检查工具COPS，另一位 Weitse Venema是TCP_Wrapper的作者)Nmap作者为Fyodor，技术上，是最先进的扫描技术大集成结合了功能强大的通过栈指纹来识别操作系统的众多技术扫描攻击的目的目标网络的网络拓扑结构目标主机运行的操作系统是否有的安全保护措施运行那些服务服务器软件的版本存在哪些漏洞扫描类型网络(地址)扫描发现活动主机，获取网络拓扑结构端口扫描确定运行在目标系统上的T

11、CP和UDP服务确定目标系统的操作系统类型确定特定应用程序或特定服务的版本漏洞扫描确定特定服务存在的安全漏洞网络扫描了解网络情况目的黑客首先希望了解你的网络中的详细情况，比如网络拓扑结构，活动主机IP地址，主要服务器，路由器和防火墙。黑客使用扫描工具一般先扫描你的网关、DMZ系统，各种服务器等 Internet周边环境，在控制了你的网络周边环境后，再继续攻击你的内部网络。种类发现活跃主机跟踪路由发现活跃主机Ping：发送一个ICMP回显请求(echo request)数据包，如果目标主机响应一个ICMP回显应答响应 (echo replay)数据包，则表示这是一个活跃主机。 T

12、CP扫描：许多网络防火墙都阻塞ICMP消息，因此，发送一个TCP ack包到80端口，如果获得了RST返回，机器是活跃的。TTL&Hop基本概念跳(Hop)：IP数据包经过一个路由器就叫做一个：跳。 TTL在路由器中如何工作？ TTL在路由器中如何工作？在路由器中如何工作当路由器收到一个IP数据包时，它首先将这个IP 数据包的TTL字段减1，如果TTL为0则路由器抛弃这个数据包，并向源IP地址发送一个连接超时的ICMP数据包。如果不为0则根据路由表将这个数据包发送到下一个路由器或目的网络。跟踪路由(tracerouting)黑客可以利用TTL值来确定网络中数据包的路由路径，

13、通过发送一系列TTL值递增的数据包来发现到达目的主机的路由路径。Unix下的跟踪路由工具是Traceroute，发送有递增的TTL 值的UDP数据包，同时寻找返回的ICMP超时消息。windows下的跟踪路由工具是tracert。黑客使用跟踪路由（tracerouting）技术来确定目标网络的路由器和网关的拓扑结构。如何防御网络扫描利用防火墙和路由器的数据包过滤功能来阻塞这些消息，还应该阻塞所有流入的ICMP 消息，另外，也可以过滤从你的网络流出的 ICMP超时信息，从而完全拒绝traceroute的访问。常见的端口扫描技术TCP connect扫描 SYN扫描 FIN扫描 UD

14、P扫描 RPC扫描 FTP反弹扫描 ident扫描慢速扫描反向映射扫描 IP分片扫描源端口扫描TCP connect扫描是最基本的扫描方式，实际上是利用系统调用函数connect与目标主机建立TCP连接，完成三次握手。这种扫描方式会被防火墙记录到访问日志中。因此，会留下扫描痕迹。但是，这种扫描不需要有特殊权限。半开放(half open/SYN)扫描扫描器向目标主机的一个端口发送请求连接的 SYN包，扫描器在收到SYN/ACK后，不是发送的ACK应答而是发送RST包请求断开连接。这样，三次握手就没有完成，无法建立正常的 TCP连接，因此，这次扫描就不会被记录到系统日志中。这

15、种扫描技术一般不会在目标主机上留下扫描痕迹。但是，这种扫描需要有root 权限。FIN扫描SYN扫描现在已经不是一种秘密了，许多防火墙和路由器都有相应的措施，它们会对一些指定的端口进行监视，对这些端口的连接请求全部进行记录。但是许多过滤设备允许FIN数据包通过。因此 FIN是中断连接的数据报文，所以许多日志系统不记录这样的数据报文。FIN扫描的原理就是向目标主机的某个端口发送一个FIN数据包。如果收到RST应答表示这个端口没有开放，反之则端口开放。但是有些操作系统不管端口是否开放，都应答RST。IP碎片扫描以细小的IP碎片包实现SYN，FIN， XMAS(FIN,URG,P

16、USH分组)或NULL(关掉所有标志)扫描攻击。即将TCP包头分别放在几个不同的数据包中，从而躲过包过滤防火墙的检测。UDP扫描这种扫描攻击用来确定目标主机上哪个UDP 端口开放。通常是通过发送零字节的UDP数据包到目标机器的各个UDP端口，如果我们收到一个ICMP端口无法到达的回应，那么该端口是关闭的，否则我们可以认为它是敞开大门的。UDP扫描的意义：确定目标主机是否存在那些基于UDP协议的服务如snmp,tftp,NFS,DNS。 ICMP数据包的发送速度有限制。而UDP扫描速度更快。被扫描主机的响应TCP扫描的响应：目标主机响应SYN/ACK，则表示这个端口开放。目标

17、主机发送RST，则表示这个端口没有开放。目标主机没有响应，则可能是有防火墙或主机未运行。UDP扫描的响应：目标主机响应端口不可达的ICMP报文则表示这个端口关闭。目标主机没有响应，并且目标主机响应了ping，则这个端口被打开，如果防火墙阻塞了ICMP消息，则这个端口可能是关闭的。FTP 传输模式FTP的主动模式的主动模式(active transfer)：的主动模式：由FTP的客户端指定FTP数据传输使用的TCP端口，然后由FTP服务器向FTP客户端请求建立 FTP数据连接。FTP的客户端通过使用port命令告诉FTP服务器FTP的数据传输所使用的TCP端口。但是，有

18、时由于防火墙或客户端使用网络地址转换(Network Address Translation，NAT)，服务器无法建立与客户端的数据连接。 FTP的被动模式的被动模式(passive transfer)：的被动模式：由FTP的客户端既请求建立控制连接又建立数据连接。FTP 反弹扫描(FTP bounce)FTP反弹扫描是利用FTP主动模式，即扫描器与一台FTP服务器建立一个主动模式的FTP连接，然后，发送一个包含它试图扫描的主机的IP地址和端口号的port命令，从而实现FTP反弹扫描。使用FTP反弹扫描的好处是避免直接暴露自己的IP地址。OS fingerprintin

19、g 操作系统的指纹识别根据不同类型的操作系统的TCP/IP协议栈的实现特征(stack fingerprinting)来判别主机的操作系统类型。不同的操作系统厂商的TCP/IP协议栈实现存在细微差异，对于特定的RFC文档作出不同的解释。向目标主机发送特殊的数据包，然后根据目标主机的返回信息在扫描工具的操作系统指纹特征数据库中查找匹配的操作系统名。主动与被动的协议栈指纹识别主动协议栈指纹识别：扫描器主动地向目标系统发送特殊格式的数据包，这种方式可能会被网络 IDS系统检测出来。被动协议栈指纹识别：通过被动地监听网络流量，来确定目标主机地操作系统。一般根据数据包的一些被动特

20、征：TTL，窗口大小，DF等。扫描应用软件版本在第一次连接时，许多软件都公布了版本号 (如sendmail,FTP,IMAPD，Apache等)。黑客根据这些连接信息(banner)就可以知道目标的应用软件的版本信息。根据版本号很容易在网上查到它的已知漏洞，根据这些漏洞对目标主机进行攻击。常见的扫描工具NAMP，winmap www.insecure.org Foundstone公司的Robin keir开发的 superscan 流光 fluxay4.7 http:/ 自己定期的扫描网络主机、开放的端口使用基于状态数据包过滤器或是代理等智能防火墙来阻塞黑客的扫描攻击漏洞扫描工具

21、Nessus：最好的开放源代码风险评估工具，可以运行在 Linux、BSD、Solaris。能够完成超过1200项的远程安全检查，具有多种报告输出能力。并且会为每一个发现的安全问题提出解决建议。网址： http:/www.nessus.orgISS Internet Scanner：应用层风险评估工具，商业漏洞扫描软件。 X-Scan等案例漏洞扫描使用工具软件X-Scan-v2.3 该软件的系统要求为：Windows 9x/NT4/2000。该软件采用多线程方式对指定IP地址段(（或单机）进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式扫描内容包括：远程操作系

22、统类型及版本标准端口状态及端口Banner信息 SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞 SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3SERVER NT-SERVER弱口令用户，NT服务器NETBIOS信息注册表信息等。主界面扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。主界面如图4-14所示。扫描参数可以利用该软件对系统存在的一些漏洞进行扫描，选择菜单栏设置下的菜单项“扫描参数”，扫描参数的设置如图 4-15所示。扫描参数可以看出该软件可以对常用的网络以及系统的漏洞进行全面的扫描，选中几个复选框，点击按

23、钮“确定”。下面需要确定要扫描主机的IP地址或者IP地址段，选择菜单栏设置下的菜单项“扫描参数”，扫描一台主机，在指定IP范围框中输入： 172.18.25.109-172.18.25.109，如图4-16所示。漏洞扫描设置完毕后，进行漏洞扫描，点击工具栏上的图标“开始”，开始对目标主机进行扫描，如图4-17所示。嗅探（Sniffer）技术网络监听在一个共享式网络，可以听取所有的流量是一把双刃剑管理员可以用来监听网络的流量情况开发网络应用的程序员可以监视程序的网络情况黑客可以用来刺探网络情报目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer)Sniffer(嗅探器)简

24、介嗅探器是能够捕获网络报文的设备（软件或是硬件），嗅探器这个术语源于通用网络公司开发的能够捕获网络报文的软件Sniffer。从此以后Sniffer就成为这类产品的代名词，所有协议分析软件都被称为Sniffer。 Sniffer的工作在很大程度是是依赖于目前局域网（以太网）以及网络设备的工作方式。它主要针对协议栈的数据链路层。以太网络的工作原理载波侦听/冲突检测(CSMA/CD, carrier sense multiple access with collision detection)技术载波侦听：是指在网络中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲

25、如果空闲，就传输自己的数据如果信道被占用，就等待信道空闲而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突以太网采用了CSMA/CD技术，由于使用了广播机制，所以，所有与网络连接的工作站都可以看到网络上传递的数据以太网卡的工作模式网卡的MAC地址(48位)通过ARP来解析MAC与IP地址的转换用ipconfig/ifconfig可以查看MAC地址正常情况下，网卡应该只接收这样的包MAC地址与自己相匹配的数据帧广播包网卡完成收发数据包的工作，两种接收模式混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来非混杂模式：只接收目的地址相匹配的数据帧，以

26、及广播数据包(和组播数据包)为了监听网络上的流量，必须设置为混杂模式共享网络和交换网络共享式网络通过网络的所有数据包发往每一个主机最常见的是通过HUB连接起来的子网交换式网络通过交换机连接网络由交换机构造一个“MAC地址-端口”映射表发送包的时候，只发到特定的端口上共享式网络示意图Sniffer的原理监听器Sniffer的原理：在局域网中与其他计算机进行数据交换的时候，发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据

27、包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。sniffer的用途的用途Sniffer的正当用处是分析网络流量，确定网络故障原因。比如：网络的某一段出现问题，报文传输非常慢，而管理员又不知道那里出了问题。这时，就可以利用sniffer来确定网络故障原因。另外，利用sniffer还可以统计网络流量。而黑客利用sniffer软件来捕获网络流量，从中发现用户的各种服务的帐号和口令。Sniffer工作的必要条件sniffer工作在共享式以太网，也就是说使用Hu

28、b来组成局域网。本机的网卡需要设置成混杂模式。本机上安装处理数据包的嗅探软件需要系统管理员权限来运行sniffer软件。Sniffer支持的协议数据链路层：ethernet 网络层：IP，ICMP，IGMP 传输层：TCP，UDP IPX DECNet 各种应用层协议：HTTP，FTP，POP3，telnet。Sniffer造成的危害Sniffer属于第二阶段的攻击，也就是说黑客已经进入了目标系统，然后安装sniffer软件来进一步获取同一网段或其他网段中用户信息。 Sniffer能够捕获口令。那些使用明文传输的数据的协议，都可能被sniffer捕获到用户口令。比如： FTP,te

29、lnet等协议。一般来说，黑客只捕获每个数据包的前200300bytes，然后将这些数据保存到目标主机的某个日志文件中。 Sniffer软件几乎可以捕获所有的以太网上的网络数据包。被动嗅探 vs 主动嗅探被动嗅探：被动嗅探：这种方式的sniffer只是被动地等待网络数据流量经过它们，静静地从LAN中捕获数据包。主动嗅探：主动嗅探：在交换环境中，进行sniffer攻击需要首先冒充网关，这样就可以捕获到整个网段向外的网络流量。网关是一个网络连接到其他网络的接口，所有访问其他网络的数据报文都必须经过网络来转发。交换网络中的嗅探攻击MAC FLOOD（MAC地址泛滥）地址泛

30、滥）（地址泛滥向LAN中发送大量的随机MAC地址，由于交换机把每个链路上使用的MAC地址都保存在它的内存中，当交换机的内存被耗尽时，交换机就会将数据包发送到所有的链路上，这时交换机变成了集线器。在交换式网络上监听数据包ARP重定向技术，一种中间人攻击A B 1 B打开IP转发功能 2 B发送假冒的 arp包给A,声称自己是GW的IP地址 3 A给外部发送数据，首先发给B GW 4 B再转发给GW做法：利用dsniff中的arpredirect工具数据包过滤机制：BPFBerkeley Packet Filter，BPF是由berkeley大学lawrence实验室于1993

31、年提出的一种高效的数据包过滤机制。 BPF是一种应用效率高，应用广泛的数据包捕获技术，目前Unix/Linux平台上大多sniffer软件都是基于BPF开发的。libpcap 库介绍Libpcap共享库由Berkeley大学洛仑兹伯克利国家实验室开发的。Libpcap实质上是一个系统独立的API函数接口，用于用户层次的数据包截获工作，可用于不同的操作系统。Libpcap库封装了BPF接口的数据包过滤过程。Sniffer工具介绍Tcpdump，Windump Sniffit Dsniff Ethereal SnifferProtcpdump & windumptcpdump是由b

32、erkeley大学洛仑兹伯克利国家实验室开发的一个非常著名的sniffer软件，同时也是一个网络报文分析程序。它的报文过滤能力非常强大，它由很多个选项来设置过滤条件，并且通过布尔表达式来生成报文过滤器。 windump是tcpdump的windows版本。安装 windump之前需要安装winpcap库。SnifferProNAI公司开发的功能强大的图形界面的嗅探器SnifferPro，它是目前最好，功能最强大的Sniffer软件，通用协议分析工具。Dsniffdsniff是由Dug Song开发的，可以从 www.monkey.org/dugsong/dsniff处下载。 dsn

33、iff安装需要其他几个软件包：OpenSSL libpcap Berkeley DB linnidsEthereal简介一个跨平台的嗅探工具，有图形化界面和命令行两种版本。目前支持windows和linux等多种操作系统。图形化的报文过滤器：图形化的报文过滤器： ethereal通过display filter对话框来创建报文过滤器，用户可以通过指定不同协议的不同字段值来生成报文过滤规则，并且可以使用布尔表达式AND和OR来组合这些过滤规则。 TCP会话流重组：会话流重组：会话流重组 ethereal通过follow TCP Stream来重组同一 TCP会话的所有数据包。E

34、thereal主界面display filterFollow TCP StreamSniffer攻击的预防和检测利用交换机、路由器、网桥等设备对网络合理分段。尽量避免使用Hub来连接网络。采用加密会话，比如：SSH来代替telnet。使用 SSL、PGP(Pretty Good Privacy)。根据Sniffer软件的安装位置进行检测，黑客通常将Sniffer软件安装在路由器，有路由功能的主机上。使用检测工具：tripwire，antisniffer。由 L0pth小组开发的AntiSniffer能够检测出 sniffer攻击。Sniffer攻击的手动检测手动检测：在unix主

35、机上我们通过ifconfig命令可以确定网卡是否处于混杂模式来判断是否被安装sniffer 软件。检测处于混杂模式的节点网卡和操作系统对于是否处于混杂模式会有一些不同的行为，利用这些特征可以判断一个机器是否运行在混杂模式下一些检测手段根据操作系统的特征Linux Linux内核的特性：正常情况下，只处理本机MAC地址或者以太 MAC 广播地址的包。在混杂模式下，许多版本的Linux内核只检查数 Linux 据包中的IP地址以确定是否送到IP堆栈。因此，可以构造无效以太地址而IP地址有效的ICMP ECHO请求，看机器是否返回应答包(混杂模式)，或忽略(非混杂模式)。 Window

36、s 9x/NT：在混杂模式下，检查一个包是否为以太广播包时，只看MAC地址前八位是否为0xff。根据网络和主机的性能根据响应时间：向本地网络发送大量的伪造数据包，然后，看目标主机的响应时间，首先要测得一个响应时间基准和平均值L0pht的AntiSniff产品，参考它的技术文档网络入侵内容提要介绍目前常用的网络攻击手段：社会工程学攻击物理攻击暴力攻击利用Unicode漏洞攻击利用缓冲区溢出漏洞进行攻击等技术。并结合实际，介绍流行的攻击工具的使用以及部分工具的代码实现。社会工程学攻击社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了

37、解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。社会工程学攻击目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造Email 1、打电话请求密码尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中

38、那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。2、伪造Email使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。物理攻击与防范物理安全是保护一些比较重要的设备不被接触。物理安全比较难防，因为攻击往往来自能够接触到物理设备的用户。案例得到管理员密码用户登录以后，所有的用户信息都存储在系统的一个进程中，这个进程是：“winlogon.e

39、xe”，可以利用程序将当前登录用户的密码解码出来，如图5-1所示。案例得到管理员密码使用FindPass等工具可以对该进程进行解码，然后将当前用户的密码显示出来。将FindPass.exe拷贝到C盘根目录，执行该程序，将得到当前用户得登录名，如图52所示。权限提升有时候，管理员为了安全，给其他用户建立一个普通用户帐号，认为这样就安全了。其实不然，用普通用户帐号登录后，可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。案例普通用户建立管理员帐号利用Hacker帐户登录系统，在系统中执行程序 GetAdmin.exe，程序自动读取所有用户列表

40、，在对话框中点击按钮“New”，在框中输入要新建的管理员组的用户名，如图5-5所示。普通用户建立管理员帐号输入一个用户名“IAMHacker”，点击按钮 “确定”以后，然后点击主窗口的按钮 “OK”，出现添加成功的窗口，如图5-6所示。暴力攻击暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。一个黑客需要破解段单一的被用非对称密钥加密的信息，为了破解这种算法，一个黑客需要求助于非常精密复杂的方法，它使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，即使拥有这种配备，它也将花掉八天的时间去破解加密算法，实际上破解加密过程八天已是非常短

41、暂的时间了。字典文件一次字典攻击能否成功，很大因素上决定与字典文件。一次字典攻击能否成功，很大因素上决定与字典文件。一个好的字典文件可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机，可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机，可以根据公司管理员的姓氏以及家人的生日，可以作为字典文件的一部分，可以根据公司管理员的姓氏以及家人的生日，可以作为字典文件的一部分，公司以及部门的简称一般也可以作为字典文件的一部分，公司以及部门的简称一般也可以作为字典文件的一部分，这样可以大大的提高破解效率。提高破解效率。一个字典文件本身就是一个标准的文本文件，一个

42、字典文件本身就是一个标准的文本文件，其中的每一行就代表一个可能的密码。能的密码。目前有很多工具软件专门来创建字典文件暴力破解操作系统密码字典文件为暴力破解提供了一条捷径，程序首先通过扫描得到系统的用户，然后利用字典中每一个密码来登录系统，看是否成功，如果成功则将密码显示案例暴力破解操作系统密码比如使用字典文件，利用工具软件GetNTUser依然可以将管理员密码破解出来暴力破解邮箱密码邮箱的密码一般需要设置到八位以上，否则七位以下的密码容易被破解。尤其七位全部是数字，更容易被破解。案例电子邮箱暴力破解破解电子邮箱密码，一个比较著名的工具软件是：黑雨 POP3邮箱密码暴

43、力破解器，比较稳定的版本是2.3.1，暴力破解软件密码目前许多软件都具有加密的功能，比如Office文档、 Winzip文档和Winrar文档等等。这些文档密码可以有效的防止文档被他人使用和阅读。但是如果密码位数不够长的话，同样容易被破解。案例 Office文档暴力破解修改权限密码在对话框中选择选项卡“安全性”，在打开权限密码和修改权限密码的两个文本框中都输入 “999”，如图5-12所示。输入密码保存并关闭该文档，然后再打开，就需要输入密码了，如图5-13所示。破解Word文档密码该密码是三位的，使用工具软件，Advanced Office XP Password Recovery

44、可以快速破解Word文档密码，主界面如图5-14所示。破解Word文档密码点击工具栏按钮“Open File”，打开刚才建立的Word文档，程序打开成功后会在Log Window中显示成功打开的消息，如图5-15所示。破解Word文档密码设置密码长度最短是一位，最长是三位，点击工具栏开始的图标，开始破解密码，大约两秒钟后，密码被破解了，如图5-16所示。Unicode漏洞专题通过打操作系统的补丁程序，就可以消除漏洞。通过打操作系统的补丁程序，就可以消除漏洞。只要是针对漏洞进行攻击的案例都依赖于操作系统是否打了相关的补丁。补丁。Unicode漏洞是漏洞是2000-10-17发

45、布的，受影响的版本：发布的，漏洞是发布的受影响的版本： Microsoft IIS 5.0+Microsoft Windows 2000系列版本系列版本 Microsoft IIS 4.0+ Microsoft Windows NT 4.0消除该漏洞的方式是安装操作系统的补丁，消除该漏洞的方式是安装操作系统的补丁，只要安装了 SP1以后，该漏洞就不存在了。微软以后，以后该漏洞就不存在了。微软IIS 4.0和5.0都存在利和都存在利用扩展UNICODE字符取代和而能利用字符取代/和而能利用而能利用./目录遍历用扩展字符取代目录遍历的漏洞。的漏洞。Unic

46、ode漏洞的检测方法使用扫描工具来检测Unicode漏洞是否存在，使用上一章介绍的X-Scan来对目标系统进行扫描，目标主机IP为： 172.18.25.109，Unicode漏洞属于IIS漏洞，所以这里只扫描IIS漏洞就可以了，X-Scan设置如图5-17所示。Unicode漏洞的检测方法将主机添加到目标地址，扫描结果如图5-18 所示。Unicode漏洞的检测方法可以看出，存在许多系统的漏洞。只要是/scripts开头的漏洞都是 Unicode漏洞。比如： /scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir 其中/scripts目录是IIS提

47、供的可以执行命令的一个有执行程序权限的一个目录，在IIS中的位置如图5-19所示。Unicode漏洞的检测方法scripts目录一般系统盘根目录下的Inetpub 目录下，如图5-20所示。Unicode漏洞的检测方法在Windows的目录结构中，可以使用两个点和一个斜线 “./”来访问上一级目录，在浏览器中利用“scripts/././”可以访问到系统盘根目录，访问 “scripts/././winnt/system32”就访问到系统的系统目录了，在system32目录下包含许多重要的系统文件，比如 cmd.exe文件，可以利用该文件新建用户，删除文件等操作。浏览器地址栏中禁用符号“./”，但是可以使用符号“/”的 Unicode的编码。比如 “/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode编码。这条语句是执行dir 命令列出目录结构。Unicode漏洞此漏洞从中文IIS4.0+SP6开始，还影响中文WIN2000+IIS5.0、中文开始，还影响中文此漏洞从中文开始、 WIN2000+IIS5.0+SP1，台湾繁体中文也同样存在这样的漏洞。在NT4中/编码，台湾繁体中文也同样存在这样的漏洞。中编码或者“ 英文版是“ 为“%

展开阅读全文