4.黑客攻防技术重点.ppt

网络安全综合管理高级工程师 培训讲师：白滨 belite@126.com 网络侦查审计技术 网络侦查审计的三个阶段 第一节：侦查阶段 安全扫描的概念理解 安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。 安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。 安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。 安全扫描的检测技术 基于应用的检测技术，它采用被动的，非破坏性的办法检查应用软件包的设置，发现安全漏洞。 基于主机的检测技术，它采用被动的，非破坏性的办法对系统进行检测。 基于目标的漏洞检测技术，它采用被动的，非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。 基于网络的检测技术，它采用积极的，非破坏性的办法来检验系统是否有可能被攻击崩溃。 安全扫描系统具有的功能说明 协调了其它的安全设备 使枯燥的系统安全信息易于理解，告诉了你系统发生的事情 跟踪用户进入，在系统中的行为和离开的信息 可以报告和识别文件的改动 纠正系统的错误设置 安全扫描 whois nslookup host Traceroute Ping扫描工具 Whois 一种internet的目录服务 提供了在internet上的一台主机或某个域所有者的信息 管理员姓名 通信地址 电话号码 Email信息 Primary和Secondary域名服务器信息 Whois命令举例 nslookup DNS排错工具 可以伪装成为secondary DNS服务器获得有用数据 使用此DNS服务器做域名解析到所有主机名和IP地址的映射情况 公司使用的网络和子网情况 主机在网络中用途(带有描述性的主机名)，如： 和 使用nslookup实现区域传送过程 使用whois命令查询目标网络 whois 得到目标网络的 Primary和 Slave DNS服务器信息 用查询到的DNS采用交互查询方式 server 列出目标网络DNS的内容 ls Host命令 UNIX提供的有关Internet域名查询的命令 可以实现以下功能 实现区域传送 获得名称解析信息 得知域中邮件服务器的信息 参数 –v 显示更多信息 参数 –l 实现区域传送 参数 –t 查询特定的DNS记录 Host命令举例 Traceroute命令 用于路由跟踪，判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间等等 可以推测出网络物理布局 判断出响应较慢的节点和数据包在路由过程中的跳数 Traceroute 或者使用极少被其它程序使用的高端UDP端口，或者使用PING数据包 Traceroute 路由跟踪原理 Traceroute 路由跟踪原理 Traceroute 路由跟踪原理 Traceroute 路由跟踪原理 普通Traceroute到防火墙后的主机 假定防火墙的规则阻止除PING和PING响应（ICMP类型8和0） 使用ICMP数据包后Traceroute结果 使用ICMP的Traceroute原理 由于防火墙一般不进行内容检查，我们可以将探测数据包到达防火墙时端口为其接受的端口，就可以绕过防火墙到达目标主机。 起始端口号计算公式 起始端口号=(目标端口-两机间的跳数*探测数据包数)-1 扫描类型 按照获得结果分类 存活性扫描 端口扫描 系统堆栈扫描 按照攻击者角色分类 主动扫描 被动扫描 一、存活性扫描 发送扫描数据包，等待对方的回应数据包 其最终结果并不一定准确，依赖于网络边界设备的过滤策略 最常用的探测包是ICMP数据包 例如发送方发送ICMP Echo Request，期待对方返回ICMP Echo Reply Ping扫描作用及工具 二、端口扫描 端口扫描技术一览 端口扫描原理 一个端口就是一个潜在的通信通道，即入侵通道 对目标计算机进行端口扫描，得到有用的信息 扫描的方法： OSI 参考模型 TCP/IP协议簇 IP协议包头 ICMP协议包头 TCP协议包头 UDP协议包头 TCP三次握手机制 TCP连接的终止 TCP/IP相关问题 一个TCP头包含6个标志位。它们的意义如下所述： 大部分TCP/IP遵循的原则(1) 大部分TCP/IP遵循的原则(2) 大部分TCP/IP遵循的原则(3) 大部分TCP/IP遵循的原则(4) 大部分TCP/IP遵循的原则(5) 大部分TCP/IP遵循的原则(6) 端口扫描方式 全TCP连接 TCP SYN 扫描 TCP FIN 扫描 其它TCP扫描方式 UDP扫描 UDP recvfrom（）和write （）扫描 秘密扫描技术 间接扫描 全TCP连接 长期以来TCP