[理学]网络攻击与防范.pptVIP

网络安全技术 第9章 网络攻击与防范(续1) 第9章 网络攻击与防范 9.0 了解黑客（补充） 9.1 网络攻防概述 9.2 端口扫描 踩点扫描 9.3 网络嗅探原理 9.4 密码攻防 9.5 特洛伊木马攻防 9.6 缓冲区溢出攻防 9.7 拒绝服务攻击与防范 9.2 踩点扫描 9.2.1 踩点扫描的原理 9.2.2 踩点扫描的常用工具及方法 9.2.3 踩点扫描的防范对策 9.2.4 Windows网络漏洞分析（补充） 9.2.1 踩点扫描的原理 踩点扫描主要包括端口扫描和漏洞扫描。 踩点扫描技术主要利用工具软件（扫描器）去探查目标主机的情况，例如端口开放情况，或者寻找目标主机上存在的各种已知的漏洞。 扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过扫描TCP端口，并记录反馈信息，可以不留痕迹地发现远程服务器中各种TCP端口的分配、提供的服务和它们的软件版本。这就能直观地或间接地了解到远程主机存在的安全问题。 9.2.1 踩点扫描的原理 简单的端口扫描程序非常容易编写。最简单的扫描程序，如PortScan， 就仅仅检查目标主机在哪些端口可以建立TCP连接。 显然，扫描器软件是一把“双刃剑”，对于入侵者而言，使用它可以获得主机的开放端口和存在漏洞的信息。另一方面，对系统管理员而言，使用它能够及时发现主机系统的弱点，有助于进一步加强系统的安全性。 9.2.1 踩点扫描的原理 端口扫描通常有TCP连接扫描、UDP扫描、FTP 反弹扫描、源端口扫描等。 (1) TCP连接扫描： 这是完整的TCP全开放扫描。TCP连接扫描通常是在渗透到内网后进行内网主机端口开放情况的扫描，与直接在外网扫描时得到的结果差别很大。其缺点是很容易被对方的防火墙、入侵检测设备截杀，得不到真实的端口开放情况。 9.2.1 踩点扫描的原理 TCP连接扫描又分为以下几种： TCP SYN扫描：它发出单个的SYN包，以建立到目标主机的TCP半开放连接。如果目标主机上的端口是开放的，则返回SYN/ack包；如果端口关闭，目标主机返回 rst/ack包。（rst= reset） TCP FIN扫描：向目标主机端口发出单个的FIN包，如果端口关闭，目标系统将返回rst包。 TCP Xmas树扫描：向目标主机的端口发送具有fin、urg和push 等TCP标志的包，若目标系统的所有端口关闭，则返回rst包。 9.2.1 踩点扫描的原理 TCP 空扫描：关掉所有的标志，如果目标系统所有端口关闭，则返回rst包。 TCP ACK 扫描：这种扫描发送一些畸形的ack包，以确定防火墙的规则集。策略完善的防火墙将拒绝那些与防火墙状态表中的会话不相符合的ack包；而简单的包过滤防火墙则直接放行，允许ack连接请求。 TCP RPC扫描 ：主要用于识别RPC（远程过程调用）的端口及相关程序和版本号。 9.2.1 踩点扫描的原理 (2) UDP扫描：主要扫描目标主机的UDP端口情况。 利用TCP连接扫描和UDP扫描均可获得目标主机运行的系统软件的版本信息。 9.2.1 踩点扫描的原理 (3) FTP反弹扫描 主要是利用了FTP协议中有关代理FTP的特性，对FTP服务器进行欺骗扫描。FTP服务器作为反弹代理，黑客能够进行掩饰源扫描地址的端口扫描（通俗的理解就是让FTP服务器做“代理”将一组字符发到特定服务器的IP地址和端口）。需要注意的是，如果要执行FTP反弹扫描，FTP服务器必须提供一个可读写的目录。 9.2.1 踩点扫描的原理 (4) 源端口扫描 主要是通过扫描dns、smtp、http这些默认端口，来判断其打开情况。 9.2.1 踩点扫描的原理 2、漏洞扫描 漏洞扫描主要是利用漏洞扫描工具对目标主机进行扫描，通过扫描能得到大量相关的IP、服务、操作系统和应用程序的漏洞信息。 漏洞扫描主要扫描操作系统和应用程序的漏洞，如： ◆操作系统或应用程序代码漏洞 ◆旧的或作废的软件版本 ◆特洛伊木马或后门程序 ◆致命的特权相关的漏洞 ◆拒绝服务漏洞 ◆Web和CGI漏洞 9.2 踩点扫描 9.2.1 踩点扫描的原理 9.2.2 踩点扫描的常用工具及方法 9.2.3 踩点扫描的防范对策 9.2.4 Windows网络漏洞分析（补充） 9.2.2 踩点扫描的常用工具及方法 1．NSS(Network Security Services) 3.11.2 运行环境：Linux, FreeBSD, UNIX 2．SATAN 1.50 这是一个传统C/S木马程序，功能简单， VB写的。 功能包括：文件管理，查看对方计算机信息，查看AIM信息（密码），鼠标控制，打开或者关闭光驱，隐藏显示任务栏，显示警告消息也很特别，记录键