风险评估与网络嗅探.ppt

网络扫描与嗅探 TSM-301 网络攻击的完整过程 信息收集 信息收集技术是一把双刃剑 黑客在攻击之前需要收集信息，才能实施有效的攻击 安全管理员用信息收集技术来发现系统的弱点并进行修补 信息收集过程 信息收集（踩点，footprint）是一个综合过程 从一些社会信息入手 找到网络地址范围 找到关键的机器地址 找到开放端口和入口点 找到系统的制造商和版本 …… 网络勘察 最常用的工具： Ping和Traceroute Ping: Packet InterNet Groper 用来判断远程设备可访问性最常用的方法 原理：发送ICMP Echo消息，然后等待ICMP Reply消息 Traceroute 用来发现实际的路由路径 原理：给目标的一个无效端口发送一系列UDP，其TTL依次增一，中间路由器返回一个ICMP Time Exceeded消息 Windows中为tracert Ping工具 发送ICMP Echo消息，等待Echo Reply消息 可以确定网络和外部主机的状态 可以用来调试网络的软件和硬件 每秒发送一个包，显示响应的输出，计算网络来回的时间 最后显示统计结果——丢包率 关于Ping Ping有许多命令行参数，可以改变缺省的行为 可以用来发现一台主机是否active 为什么不能ping成功？ 没有路由，网关设置？ 网卡没有配置正确 增大timeout值 被防火墙阻止 …… “Ping of death” 发送特大ping数据包(65535字节)导致机器崩溃 许多老的操作系统都受影响 Traceroute 发送一系列UDP包(缺省大小为38字节)，其TTL字段从1开始递增，然后监听来自路径上网关发回来的ICMP Time Exceeded应答消息 UDP包的端口设置为一个不太可能用到的值(缺省为33434)，因此，目标会送回一个ICMP Destination Unreachable消息，指示端口不可达 关于Traceroute traceroute有一些命令行参数，可以改变缺省的行为 可以用来发现到一台主机的路径，为勾画出网络拓扑图提供最基本的依据 Traceroute允许指定宽松的源路由选项。 许多防火墙是禁止带源路由的包的 网络勘查的对策 防火墙：设置过滤规则 使用NIDS(Network Intrusion Detection System) 使用其他工具：如rotoroutor，它可以记录外来的traceroute请求，产生虚假的应答 扫描技术 基于TCP/IP协议，对各种网络服务，无论是主机或者防火墙、路由器都适用 扫描可以确认各种配置的正确性，避免遭受不必要的攻击 用途，双刃剑 安全管理员可以用来确保自己系统的安全性 黑客用来探查系统的入侵点 端口扫描的技术已经非常成熟，目前有大量的商业、非商业的扫描器 扫描器的重要性 扫描器能够暴露网络上潜在的脆弱性 无论扫描器被管理员利用，或者被黑客利用，都有助于加强系统的安全性 它能使得漏洞被及早发现，而漏洞迟早会被发现的 扫描器可以满足很多人的好奇心 扫描器除了能扫描端口，往往还能够 发现系统存活情况，以及哪些服务在运行 用已知的漏洞测试这些系统 对一批机器进行测试，简单的迭代过程 有进一步的功能，包括操作系统辨识、应用系统识别 扫描器的历史 早期 80年代，网络没有普及，上网的好奇心驱使许多年轻人通过Modem拨号进入到UNIX系统中。这时候的手段需要大量的手工操作 于是，出现了war dialer——自动扫描，并记录下扫描的结果 现代的扫描器要先进得多 SATAN: Security Administrators Tool for Analyzing Networks 1995年4月发布，引起了新闻界的轰动 界面上的突破，从命令行走向图形界面(使用HTML界面)，不依赖于X 两位作者的影响(Dan Farmer写过网络安全检查工具COPS，另一位Weitse Venema是TCP_Wrapper的作者) Nmap 作者为Fyodor，技术上，是最先进的扫描技术大集成 结合了功能强大的通过栈指纹来识别操作系统的众多技术 扫描技术 主机扫描：确定在目标网络上的主机是否可达，同时尽可能多映射目标网络的拓扑结构，主要利用ICMP数据包 端口扫描：发现远程主机开放的端口以及服务 操作系统指纹扫描：根据协议栈判别操作系统 传统主机扫描技术 ICMP Echo Request (type 8) 和 Echo Reply (type 0) 通过简单地向目标主机发送ICMP Echo Request 数据包，并等待回复的ICMP Echo Reply 包，如Ping ICMP Sweep（Ping Sweep） 使用ICMP Echo Req