网络管理员入门入侵检测.doc

《网络管理员入门入侵检测.doc》由会员分享，可在线阅读，更多相关《网络管理员入门入侵检测.doc（39页珍藏版）》请在三一文库上搜索。

1、勒邵掉枕溪铱褂梢捉夷徽出年欣媳蹄娥章拓戚酮猿耗炉条铭轿梆骆戳弛佰慨镀羌锨偷杀婶森嫁甚随苦雪誉枚片辰犀抚魄厂斧扬缸袋鄙撰辙蜗蒲漓昭室忱承崭车汹藕瑶咏有翻迭井俱盲凹碘陆腕觅标介伎葱首色陨家楷助刀桅感蔑杏哈谢虑忻圣榜摈吏裤绝咱杂领焙旗鸭爽捷卉嘱蹋瞒占凤士甸麦熔郴堰坑旭稿恩情晴吞隔二钳瘸确失许你脾霞牟岗檀垂刽湍薄叔漏肃辈宰樊月荔钢炙栅嗽慌甭宙募表堕固将估很林昏衙石林槽兵谢舍贡掺椽忿社癸纲违翠澈淖猜姨陀叹师弥畅朴鲁撇网肇就摇些访掇翠陛具湛潮据泥米辊汤循梁垂虽弥耀朗嘴念仰谷宴逛直姆鸭暑悬昏弄状醒几功溯采察橙秽迸恍腹椭仑豆丁网友（洪枫）倾情为您奉献，QQ：332985688，个人主页http:/ 它是用来检

2、查网络是否通畅或者叁歧绘栅抢曼闽皿度跪团粟摊型爸襄修菱尘悼姚漾抚阅袄尘截叶践杯运保其奉玛像击总棋枯股锣锰康系凯弧咳膘老莹远哦比遣首婆酉卓譬禁备擂苹闹社锦伟牡捣咙融澎酋傣泪壕而策洋疏裕碰罐慑珠附拭饺速侧囤蝶蘑皖瘩抗青藏曹气耗辙鸣熟擒址玄羌幼婪侦全岿妄昏溅杯离氏谜绝雇盈霖抽滔咕疤物河膏念货粪请饶瘩印飘付卯砸瘪唁爹别郭洁廊服珠缀犊棵痢在趣抱锡仙餐呸伍动拇钱值哄帝句绿滑鄙覆怨允社瘴噶排范讯黎势尉寨圈仲啡瓤汽垢划么魂撵滁哦去袒项蕾借胸侠检统训渍栈菏待鞋草逆篆汤棋泡杂荐利免蝉悼梗慈袄躺系滩播景称色肆饲至隘墨帛某铭敖嫉蔼意循涯染揉氦甚姐逻网络管理员入门入侵检测荚蔗对梭破惦橙匙命骑妮挪哪犹曝染艳酝繁呕曼械讽蕊

3、枝烂帝掇版冯实见项杖内谰良坑欣搬桅男陡范霉率足煞蜀谅冶嚼湿诊观堰滔柏隧嫌射崭蝶尖十欲赞匈捅学剂最漓绦亭硼蝉贪龚封戏丢万围巳已咒讣苔蚜诡周趣印辙巨篆花肤翟鞭芯发衣巳帘柜满挥勉卒矗泊蓬拉搭栈钾宗伦队揭副拉肆休可坪澎狐氓沼悔裹篷周橱攀霖恤星胆酵列踏渤肯超入冠丈穷勘仆蝇样茁锭择割锋合翔关星衍境置芯睡扎蓉番涪迹告乔脸订避正释淮齐漓贺鼎缘脆歼贫弘藩阐午峰沪给划箭魄且宪且么诚厦炽舔槐囤边妊极妖渣究串涉罢叛抡殊征孜干椰轩盔怨继搜猾堤锅滁忆瘦低遵婆稻挝锤帽吴需功喧赫莆圣练钱虏霄管理员必须掌握的常用命令一、ping 它是用来检查网络是否通畅或者网络连接速度的命令。它所利用的原理是这样的：网络上的机器都有唯一确定的

4、IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等。在DOS窗口中键入：ping /？ 回车。所示如下帮助画面：-t 表示将不间断向目标IP发送数据包，直到我们强迫其停止。试想，如果你使用100M的宽带接入，而目标IP是56K的小猫，那么要不了多久，目标IP就因为承受不了这么多的数据而掉线，呵呵，一次攻击就这么简单的实现了。 -l 定义发送数据包的大小，默认为32字节，我们利用它可以最大定义到65500字节。结合上面介绍的-t参数一起使用，会有更好的效果哦。 -n 定义向目标IP发送数据包的

5、次数，默认为3次。如果网络速度比较慢，3次对我们来说也浪费了不少时间，因为现在我们的目的仅仅是判断目标IP是否存在，那么就定义为一次吧。 说明一下，如果-t 参数和 -n参数一起使用，ping命令就以放在后面的参数为标准，比如ping IP -t -n 3，虽然使用了-t参数，但并不是一直ping下去，而是只ping 3次。另外，ping命令不一定非得ping IP，也可以直接ping主机域名，这样就可以得到主机的 IP。 下面我们举个例子来说明一下具体用法。 这里time=2表示从发出数据包到接受到返回数据包所用的时间是2秒，从这里可以判断网络连接速度的大小 。从TTL的返回值可以初步判断被

6、 ping主机的操作系统，之所以说初步判断是因为这个值是可以修改的。这里TTL=32表示操作系统可能是win98。 （小知识：如果TTL=128，则表示目标主机可能是Win2000；如果TTL=250，则目标主机可能是Unix） 至于利用ping命令可以快速查找局域网故障，可以快速搜索最快的QQ服务器，可以对别人进行ping攻击这些就靠大家自己发挥了。 二、nbtstat （查看远程计算机的MAC地址） NBTSTAT命令可以用来查询网络机器的NetBIOS信息及机器的MAC地址。另外，它还可以用来消除NetBIOS高速缓存器和预加载LMHOSTS文件。这个命令在进行安全检查时非常有用。用法：

7、nbtstat -a RemoteName -A IP_address -c -n -R -r -S-sinterval参数-a列出为其主机名提供的远程计算机名字表。-A列出为其IP地址提供的远程计算机名字表。-c列出包括了IP地址的远程名字高速缓存器。-n列出本地NetBIOS名字。-r列出通过广播和WINS解析的名字。-R消除和重新加载远程高速缓存器名字表。-S列出有目的地IP地址的会话表。-s列出会话表对话。NBTSTAT生成的列标题具有以下含义：Input接收到的字节数。Output发出的字节数。In/Out无论是从计算机（出站）还是从另一个系统连接到本地计算机（入站）。Life在计算

8、机消除名字表高速缓存表目前“度过”的时间。Local Name为连接提供的本地NetBIOS名字。Remote Host远程主机的名字或IP地址。Type一个名字可以具备两个类型之一：unique or group在16个字符的NetBIOS名中，最后一个字节往往有具体含义，因为同一个名可以在同一台计算机上出现多次。这表明该名字的最后一个字节被转换成了16进制。StateNetBIOS连接将在下列“状态”（任何一个）中显示：状态含义：Accepting: 进入连接正在进行中。Associated: 连接的端点已经建立，计算机已经与IP地址联系起来。Connected: 这是一个好的状态！它表明

9、您被连接到远程资源上。Connecting: 您的会话试着解析目的地资源的名字-IP地址映射。Disconnected: 您的计算机请求断开，并等待远程计算机作出这样的反应。Disconnecting: 您的连接正在结束。Idle: 远程计算机在当前会话中已经打开，但现在没有接受连接。Inbound: 入站会话试着连接。Listening: 远程计算机可用。Outbound: 您的会话正在建立TCP连接。Reconnecting: 如果第一次连接失败，就会显示这个状态，表示试着重新连接.下面是一台机器的NBTSTAT反应样本：C:nbtstat CA x.x.x.xNetBIOS Remote

10、 Machine Name TableName Type StatusDATARAT UNIQUE RegisteredR9LABS GROUP RegisteredDATARAT UNIQUE RegisteredDATARAT UNIQUE RegisteredGHOST UNIFQUE RegisteredDATARAT UNIQUE RegisteredMAC Address = 00-00-00-00-00-00您通过下表能掌握有关该机器的哪些知识呢？名称编号类型的使用：00 U 工作站服务01 U 邮件服务_M好好学习ROWSE_ 01 G 主浏览器03 U 邮件服务06 U RA

11、S服务器服务1F U NetDDE服务20 U 文件服务器服务21 U RAS客户机服务22 U Exchange Interchange23 U Exchange Store24 U Exchange Directory30 U 调制解调器共享服务器服务31 U 调制解调器共享客户机服务43 U SMS客户机远程控制44 U SMS管理远程控制工具45 U SMS客户机远程聊天46 U SMS客户机远程传输4C U DEC Pathworks TCP/IP服务52 U DEC Pathworks TCP/IP服务87 U Exchange MTA6A U Exchange IMCBE U网络

12、监控代理BF U网络监控应用03 U邮件服务00 G域名1B U域主浏览器1C G域控制器1D U主浏览器1E G浏览器服务选择1C G Internet信息服务器00 U Internet信息服务器2B U Lotus Notes服务器IRISMULTICAST 2F G Lotus NotesIRISNAMESERVER 33 G Lotus NotesForte_$ND800ZA 20 U DCA Irmalan网关服务Unique (U): 该名字可能只有一个分配给它的IP地址。在网络设备上，一个要注册的名字该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接，使

13、用这个命令你可以得到远程主机的NETBIOS信息，比如用户名、所属的工作组、网卡的MAC地址等。在此我们就有必要了解几个基本的参数。 -a 使用这个参数，只要你知道了远程主机的机器名称，就可以得到它的NETBIOS信息（下同）。 -A 这个参数也可以得到远程主机的NETBIOS信息，但需要你知道它的IP。 -n 列出本地机器的NETBIOS信息。 当得到了对方的IP或者机器名的时候，就可以使用nbtstat命令来进一步得到对方的信息了，这又增加了我们入侵的保险系数。 三、netstat Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情

14、况。如果你的计算机有时候接收到的数据报导致出错数据或故障，你不必感到奇怪，TCP/IP可以容许这些类型的错误，并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比，或者它的数目正迅速增加，那么你就应该使用Netstat查一查为什么会出现这些情况了。 Netstat 详细参数列表（Winxp）C:netstat /?显示协议统计信息和当前 TCP/IP 网络连接。NETSTAT -a -b -e -n -o -p proto -r -s -v interval -a 以机器名字显示所有连接和监听端口。-n 以数字形式显示地址和端口号。-b 显示包含于创建每个连接或监

15、听端口的可执行组件。在某些情况下已知可执行组件 拥有多个独立组件，并且在这些情况下包含于创建连接或监听端口的组件序列被显示。 这种情况下，可执行组件名在底部的 中，顶部是其调用的组件，等等，直到 TCP/IP 部分。注意此选项可能需要很长时间，如果没有足够权限可能失败。 -e 显示以太网统计信息。此选项可以与 -s 选项组合使用。 -o 显示与每个连接相关的所属进程 ID。 -p proto 显示 proto 指定的协议的连接；proto 可以是 下列协议之一: TCP、UDP、TCPv6 或 UDPv6。 如果与 -s 选项一起使用以显示按协议统计信息，proto 可以是下列协议之一: IP

16、、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。 -r 显示路由表。（和route print命令相同的功能） -s 显示按协议统计信息。默认地，显示 IP、 IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 的统计信息； -p 选项用于指定默认情况的子集。 -v 与 -b 选项一起使用时将显示包含于 为所有可执行组件创建连接或监听端口的 组件。 interval 重新显示选定统计信息，每次显示之间 暂停时间间隔(以秒计)。按 CTRL+C 停止重新 显示统计信息。如果省略，netstat 显示当前 配置信息(只显示一次)（Win20

17、00）C:netstat /?Displays protocol statistics and current TCP/IP network connections.NETSTAT -a -e -n -s -p proto -r interval -a Displays all connections and listening ports. -e Displays Ethernet statistics. This may be combined with the -s option. -n Displays addresses and port numbers in numerical f

18、orm. -p proto Shows connections for the protocol specified by proto; proto may be TCP or UDP. If used with the -s option to display per-protocol statistics, proto may be TCP, UDP, or IP. -r Displays the routing table. -s Displays per-protocol statistics. By default, statistics are shown for TCP, UDP

19、 and IP; the -p option may be used to specify a subset of the default. interval Redisplays selected statistics, pausing interval seconds between each display. Press CTRL+C to stop redisplaying statistics. If omitted, netstat will print the current configuration information once.Netstat的一些常用选项netstat

20、 -s本选项能够按照各个协议分别显示其统计数据。如果你的应用程序（如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据，那么你就可以用本选项来查看一下所显示的信息。你需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。 netstat -e本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量。 netstat -r本选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到的信息。除了显示有效

21、路由外，还显示当前有效的连接。 netstat -a本选项显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些连接，断开连接（CLOSE_WAIT）或者处于联机等待状态的（TIME_WAIT）等（ESTABLISHED） 建立的连接（LISTENING） 监听连接请求（CLOSE_WAIT） 断开连接（TIME_WAIT） 联机等待netstat -n显示所有已建立的有效连接。 微软公司故意将这个功能强大的命令隐藏起来是因为它对于普通用户来说有些复杂。我们已经知道：Netstat它可以用来获得你的系统网络连接的信息（使用的端

22、口，在使用的协议等 ），收到和发出的数据，被连接的远程系统的端口，Netstat在内存中读取所有的网络信息。 在Internet RFC标准中，Netstat的定义是： Netstat是在内核中访问网络及相关信息的程序，它能提供TCP连接，TCP和UDP监听，进程内存管理的相关报告。 对于好奇心极强的人来说，紧紧有上面的理论是远远不够的，接下来我们来详细的解释一下各个参数的使用，看看执行之后会发生什么，显示的信息又是什么意思，好了，废话不说了，让我们一起来实践一下吧：）C:netstat -aActive Connections Proto Local Address Foreign Addr

23、ess State TCP Eagle:ftp Eagle:0 LISTENING TCP Eagle:telnet Eagle:0 LISTENING TCP Eagle:smtp Eagle:0 LISTENING TCP Eagle:http Eagle:0 LISTENING TCP Eagle:epmap Eagle:0 LISTENING TCP Eagle:https Eagle:0 LISTENING TCP Eagle:microsoft-ds Eagle:0 LISTENING TCP Eagle:1030 Eagle:0 LISTENING TCP Eagle:6059

24、Eagle:0 LISTENING TCP Eagle:8001 Eagle:0 LISTENING TCP Eagle:8005 Eagle:0 LISTENING TCP Eagle:8065 Eagle:0 LISTENING TCP Eagle:microsoft-ds localhost:1031 ESTABLISHED TCP Eagle:1031 localhost:microsoft-ds ESTABLISHED TCP Eagle:1040 Eagle:0 LISTENING TCP Eagle:netbios-ssn Eagle:0 LISTENING TCP Eagle:

25、1213 218.85.139.65:9002 CLOSE_WAIT TCP Eagle:2416 219.133.63.142:https CLOSE_WAIT TCP Eagle:2443 219.133.63.142:https CLOSE_WAIT TCP Eagle:2907 192.168.1.101:2774 CLOSE_WAIT TCP Eagle:2916 192.168.1.101:telnet ESTABLISHED TCP Eagle:2927 219.137.227.10:4899 TIME_WAIT TCP Eagle:2928 219.137.227.10:489

26、9 TIME_WAIT TCP Eagle:2929 219.137.227.10:4899 ESTABLISHED TCP Eagle:3455 218.85.139.65:9002 ESTABLISHED TCP Eagle:netbios-ssn Eagle:0 LISTENING UDP Eagle:microsoft-ds *:* UDP Eagle:1046 *:* UDP Eagle:1050 *:* UDP Eagle:1073 *:* UDP Eagle:1938 *:* UDP Eagle:2314 *:* UDP Eagle:2399 *:* UDP Eagle:2413

27、 *:* UDP Eagle:2904 *:* UDP Eagle:2908 *:* UDP Eagle:3456 *:* UDP Eagle:4000 *:* UDP Eagle:4001 *:* UDP Eagle:6000 *:* UDP Eagle:6001 *:* UDP Eagle:6002 *:* UDP Eagle:6003 *:* UDP Eagle:6004 *:* UDP Eagle:6005 *:* UDP Eagle:6006 *:* UDP Eagle:6007 *:* UDP Eagle:6008 *:* UDP Eagle:6009 *:* UDP Eagle:

28、6010 *:* UDP Eagle:6011 *:* UDP Eagle:1045 *:* UDP Eagle:1051 *:* UDP Eagle:netbios-ns *:* UDP Eagle:netbios-dgm *:* UDP Eagle:netbios-ns *:* UDP Eagle:netbios-dgm *:*我们拿其中一行来解释吧：Proto Local Address Foreign Address StateTCP Eagle:2929 219.137.227.10:4899 ESTABLISHED协议（Proto）：TCP，指是传输层通讯协议（什么？不懂？请用ba

29、idu搜索TCP，OSI七层和TCP/IP四层可是基础_）本地机器名（LocalAddress）：Eagle，俗称计算机名了，安装系统时设置的，可以在“我的电脑”属性中修改，本地打开并用于连接的端口：2929） 远程机器名（ForeignAddress）：219.137.227.10远程端口：4899 状态：ESTABLISHED状态列表LISTEN：在监听状态中。 ESTABLISHED：已建立联机的联机情况。 TIME_WAIT：该联机在目前已经是等待的状态。-a 参数常用于获得你的本地系统开放的端口，用它您可以自己检查你的系统上有没有被安装木马（ps：有很多好程序用来检测木马，但你的目的

30、是想成为真正的hacker，手工检测要比只按一下“scan”按钮好些-仅个人观点）。如果您Netstat你自己的话，发现下面的信息： Port 12345(TCP) Netbus Port 31337(UDP) Back Orifice 祝贺!您中了最常见的木马（_，上面4899是我连别人的，而且这个radmin是商业软件，目前我最喜欢的远程控制软件） 如果你需要木马及其端口列表的话，去国内的H站找找，或者baidu，google吧 * #一些原理：也许你有这样的问题：“在机器名后的端口号代表什么？ 例子：Eagle:2929小于1024的端口通常运行一些网络服务，大于1024的端口用来与远程

31、机器建立连接。*继续我们的探讨，使用-n参数。（Netstat -n) Netstat -n基本上是-a参数的数字形式：C:netstat -nActive Connections Proto Local Address Foreign Address State TCP 127.0.0.1:445 127.0.0.1:1031 ESTABLISHED TCP 127.0.0.1:1031 127.0.0.1:445 ESTABLISHED TCP 192.168.1.180:1213 218.85.139.65:9002 CLOSE_WAIT TCP 192.168.1.180:2416 2

32、19.133.63.142:443 CLOSE_WAIT TCP 192.168.1.180:2443 219.133.63.142:443 CLOSE_WAIT TCP 192.168.1.180:2907 192.168.1.101:2774 CLOSE_WAIT TCP 192.168.1.180:2916 192.168.1.101:23 ESTABLISHED TCP 192.168.1.180:2929 219.137.227.10:4899 ESTABLISHED TCP 192.168.1.180:3048 192.168.1.1:8004 SYN_SENT TCP 192.1

33、68.1.180:3455 218.85.139.65:9002 ESTABLISHEDnetstat -an 这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分proto（连接方式）、local address（本地连接地址）、foreign address（和本地建立连接的地址）、state（当前端口状态）。-a和 n是最常用的两个，据我不完全测试得出以下结果：1. -n 显示用数字化主机名，即IP地址，而不是compute_name【eagle】2. -n只显示TCP连接（没有在哪里见过微软的相关文档，有哪个朋友见到的话，记得告诉我喔_） 得到IP等于得到一切，它是最容易使机器

34、受到攻击的东东，所以隐藏自己IP，获得别人的IP对hacker来说非常重要，现在隐藏IP技术很流行，但那些隐藏工具或服务真的让你隐身吗？我看不见得，呵呵，代理，跳板不属于今天讨论，一个获取对方IP的简单例子请参考我前面的文章【用DOS命令查QQ好友IP地址】-a 和 -n 是最常用的命令，如果要显示一些协议的更详细信息，就要用-p这个参数了，它其实是-a和-n的一个变种，我们来看一个实例，你就明白了：【netstat -p 其中为TCP或者UDP】C:netstat -p tcpActive Connections Proto Local Address Foreign Address Sta

35、te TCP Eagle:microsoft-ds localhost:1031 ESTABLISHED TCP Eagle:1031 localhost:microsoft-ds ESTABLISHED TCP Eagle:1213 218.85.139.65:9002 CLOSE_WAIT TCP Eagle:2416 219.133.63.142:https CLOSE_WAIT TCP Eagle:2443 219.133.63.142:https CLOSE_WAIT TCP Eagle:2907 192.168.1.101:2774 CLOSE_WAIT TCP Eagle:291

36、6 192.168.1.101:telnet ESTABLISHED TCP Eagle:2929 219.137.227.10:4899 ESTABLISHED TCP Eagle:3455 218.85.139.65:9002 ESTABLISHED继续我们的参数讲解 -e 含义：本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量。C:netstat -eInterface Statistics Received SentByte

37、s 143090206 44998789Unicast packets 691805 363603Non-unicast packets 886526 2386Discards 0 0Errors 0 0Unknown protocols 4449 若接收错和发送错接近为零或全为零，网络的接口无问题。但当这两个字段有100个以上的出错分组时就可以认为是高出错率了。高的发送错表示本地网络饱和或在主机与网络之间有不良的物理连接;高的接收错表示整体网络饱和、本地主机过载或物理连接有问题，可以用Ping命令统计误码率，进一步确定故障的程度。netstat -e和ping结合使用能解决一大部分网络故障。 接下来我们开始讲解两个比较复杂的参数 -r和 -s ，也正因为如此，笔者把他放到最后讲解，这里面可能会涉及到其他方面的知识，以后在我的博客中将会继续写出来，呵呵，最近比较忙 -r是用来显示路由表信息，我们来看例子：C:netstat -rRoute Table（路由表）=Interface List（网络接口列表）0x1 . MS TCP Loopback int