扫描工具介绍概要1.ppt

各式掃描工具探討 目錄 簡介 「掃描」在攻擊行為中扮演的角色 掃描所能獲得的資訊 掃描的沿革及發展 掃描的標準及分類 主動掃描的工具 被動掃描的工具 簡介 「掃描」在攻擊行為中扮演的角色 掃描所能獲得的資訊 掃描的沿革及發展 掃描的標準及分類 主動掃描的工具 被動掃描的工具 簡介 網路結構掃描與對映技術，是稽核整體資訊基礎設施和保護措施的首要工作是建構「安全容錯網路」之前置作業與「反存活」的運用策略因此在最近引起廣泛的注意，對於有效率的掃描工具有極大需求，並有眾多公開領域及業界相繼投入開發相關技術與系統 簡介（續） 介紹現存方法，首先定義評估網路掃瞄與對映能力的效能準則 對每項技術作簡要的介紹，再根據所設定的準則進行評估與比較 討論未來掃描工具的發展趨勢 簡介 「掃描」在攻擊行為中扮演的角色 掃描所能獲得的資訊 掃描的沿革及發展 掃描的標準及分類 主動掃描的工具 被動掃描的工具 網路攻擊行為的三階段 準備階段： 主要是在獲取目標主機上各種資訊之行為，對於主機一般還未造成任何損害 攻擊及攻佔後之階段： 主要是在設法取得、提升、利用目標主機之存取權，這個部份對目標主機所造成之損害需視駭客取得之權限大小而定 網路攻擊行為的三階段（續） 毀滅階段： 主要是阻絕服務，讓合法使用者不能使用目標主機之服務。這種行為可能是駭客無法完成在上一階段之攻擊時所作的行為 網路攻擊行為的三階段（續） 網路勘察 此階段主要是駭客不熟悉攻擊目標的網路架構，因此利用whois查詢、nslookup查詢等等以發掘一些潛在的IP位址範圍、員工姓名、電話號碼、網域名稱伺服器、郵件伺服器等等的資訊 網路勘察（續） 這個階段通常僅是利用一些網路之資源（如搜尋引擎、InterNIC資料庫等）再加上一般作業系統已附之查詢或指令（如whois、nslookup等）即可完成。因此，駭客一般上只需要一台可連上網路之電腦，不需安裝任何額外的程式即可以達到網路勘查 網路勘察（續） 藉由所搜集到之初始資訊，雖可知道潛在的IP位址範圍或伺服器位址，但並不能確定這些主機是否alive、有什麼漏洞等，因此仍需經過掃描的動作才能具體確定這些事實 偽裝／欺騙 攻擊者為了隱藏自己的身分，往往會利用某些技術(如傳送假造位址或利用主機架構)，造成目標主機的誤以為其為受信任的主機，因而達到其攻擊行為 一般而言，欺騙的技巧可分為：IP欺騙、以及DNS欺騙 掃描 當駭客確定目標位址後，便會利用掃描軟體（Scanners），從遠端掃描偵測目標主機的各類資訊。 這些資訊包括主機之作業系統類型及版本、開啟的網路服務、系統弱點、主機間信任關係等。 掃描（續） 由於這些掃描結果是駭客用以入侵目標網路系統的重要資訊，因此，此種攻擊行為極具威脅性 簡介 「掃描」在攻擊行為中扮演的角色 掃描所能獲得的資訊 掃描的沿革及發展 掃描的標準及分類 主動掃描的工具 被動掃描的工具 名詞定義：網路掃描 網路掃瞄 (Internet Scanning)廣泛的定義為盡量取得目標的相關訊息，這個目標可能是server、PC、router、一個群組的電腦、或是一整個網路 掃描是實際送出封包探測一些訊息， 　例如：主機是否在線上、開啟了哪些　ports等，以取得一些有用的訊息 獲得目標的資訊 目標探測 　在掃描程序開始之前，我們通常沒有特定的目標。除了獲取一些特定機器的相關訊息以外，我們還可能想知道一些例如整個C級網路192.19.20. 底下所有Windows 機器的IP位址 探測網路裡所有在線上並可連線的機器，最常用的方法是用ping來掃整個子網路 獲得目標的資訊（續） 收集一般資訊 　一般主機的資訊可以使用標準正常的協定去取得，例如使用DNS、WHOIS、NetBIOS解析名稱。例如我們可以用DNS來取得目標主機的網域名稱 獲得目標的資訊（續） 探測資源和帳號 　目標有怎樣的資源是一項重要的訊息，像是主機擁有的CPU、記憶體、實體儲存媒體和網路頻寬等等，這些訊息代表著這台機器值得入侵的價值高低 獲得目標的資訊（續） 探測帳號也很重要，許多入侵技術的第一步是得知系統上的帳號，我們可以藉由很多方法來得知一個系統上的帳號 在Windows上可以使用NULL sessions來取得帳號名稱，unix機器上可以使用finger得知現在在線上的帳號 探測服務 找出可入侵的弱點最重要的步驟是得知有目標上跑著哪些服務，通常能用 port-scan 來達成 port-scan掃描目標上所有開啟的TCP/UDP port，由於網路服務通常跑在固定的port上，找出開啟的port通常就能得知目標上有哪些服務 探測服務（續） 這些網路服務是目標的進入點，而且大部分的遠端攻擊藉由這些開啟的服務來取得存取目標的能力 辨別OS 由