《网络安全（第三章）》.ppt

第三章 网络扫描与网络监听 内容提要 了解：黑客以及黑客技术的相关概念、黑客攻击的步骤及黑客攻击和网络安全的关系。 理解：攻击技术中的网络踩点、网络扫描和网络监听技术。 掌握：网络扫描策略（被动和主动），对于每一种攻击技术，至少掌握一种主流工具的使用。 章节安排 第一节 黑客与攻击过程 第二节 网络踩点与网络扫描 第三节 网络监听 第一节 黑客与攻击过程 什么是黑客？ 黑客是“Hacker”的音译，源于动词Hack，对于计算机而言，黑客就是指精通网络、系统、外设以及软硬件技术的人。 什么是骇客？ 有些黑客逾越尺度，运用自己的知识去做出有损他人权益的事情，就称这种人为骇客。（Cracker） 黑客分类 目前将黑客分成三类： 第一类：破坏者； 第二类：红客； 第三类：间谍 黑客的行为发展趋势 网站被频繁攻击已是不可阻挡！据统计世界范围内一般美国和日本的网站比较难入侵，韩国、澳大利亚等国家的网站比较容易入侵。综合分析，黑客的行为有以下三方面发展趋势： 手段高明化：利用网络进行交流和团体攻击。 活动频繁化：黑客工具的大众化。 动机复杂化：与政治、经济变化紧密结合。 黑客精神和黑客守则 黑客需具备四种基本素质： “Free”精神、探索与创新精神、反传统精神和合作精神。 黑客十二守则（P110） 攻击五部曲 一次成功的网络攻击，基本可以归纳成 (1)、隐藏IP (2)、踩点扫描 (3)、获得系统或管理员权限 补充：隐藏攻击行为并实施攻击 (4)、种植后门 (5)、在网络中隐身 （1）隐藏IP 目的：为了让自己的入侵痕迹不被目标机（软件或管理员）发现，首先要采取隐藏IP的工作。 常用方法有： （1）利用被入侵的主机作跳板 （2）盗用他人的账号上网 （3）使用免费代理网关 （4）伪造IP地址和假冒用户账号等 （2）踩点扫描 踩点就是通过各种途径对所要攻击的目标进行多方面的了解，确定攻击的时间和地点。 扫描是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞（弱点挖掘）。 （3）获得系统或管理员权限 得到管理员权限的目的是连接到远程计算机，对其进行控制，实现自己的目的。 获得系统及管理员权限的方法有： 通过系统漏洞获得系统权限 通过管理漏洞获得管理员权限 通过软件漏洞得到系统权限 通过监听获得敏感信息进一步获得相应权限 获得系统或管理员权限（续） 通过弱口令获得远程管理员的用户密码 通过穷举法获得远程管理员的用户密码 通过攻破与目标机有信任关系的另一台机 器进而得到目标机的控制权 通过欺骗获得权限 补充：隐藏攻击行为 作为有经验的入侵者在进入系统的第一件事就是隐藏自己的行踪。 隐藏行踪常用技术如下： （1）连接隐藏，如修改LogName环境变量，修改日志文件，使用IP地址欺骗技术等； （2）文件隐藏，如利用字符串相似麻痹系统管理员，或修改文件属性使得普通显示方法无法看到； （3）利用操作系统可加载模块特性，隐瞒攻击时所产生的信息。 实施攻击 通常有以下几类： （1）攻击其他被信任的主机和网络 （2）窃取或删改敏感数据 （3）窃取或删改系统配置数据 （4）删除系统审计数据 （5）停止系统或网络服务 （4）种植后门 为了保持长期对自己胜利果实的访问权，在已经攻破的计算机上种植一些供自己访问的后门。 常用方法： （1）放宽文件许可权 （2）重新开放不安全的服务 （3）修改系统配置，如系统启动文件、网络服务配置等 （4）替换系统本身的共享库文件 （5）修改系统的源代码，安装各种特洛伊木马 （6）建立隐蔽信道 （5）在网络中隐身 攻击者为了避免系统安全管理员追踪，在退出系统前会设法尽量消除攻击痕迹，避免其或IDS发现。 常用方法： （1）篡改日志文件中的审计信息 （2）改变系统时间造成日志文件数据紊乱以迷惑系统管理员 （3）删除或停止审计服务进程 （4）干扰入侵检测系统正常运行 （5）修改完整性检测标签 章节安排 第一节 黑客与攻击过程 第二节 网络踩点与网络扫描 第三节 网络监听 网络踩点 摸清对方最薄弱的环节和守卫最松散的时刻，为下一步入侵提供良好策略。 常见的踩点方法包括： 在域名及其注册机构的查询 公司性质的了解 对主页进行分析 邮件地址的搜集 目标IP地址范围查询 网络扫描 扫描的目的就是利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。 网络扫描策略，一般分成两种: 主动式策略 被动式策略 网络扫描策略 被动式策略是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象