网络与系统攻击技术概要.ppt

7、历史上著名的黑客事件 2006年10月16日，中国骇客李俊发布熊猫烧香木马。并在短时间内，致使中国数百万用户受到感染，并波及日本等周边国家。李俊于2007年2月12日被捕。 7、历史上著名的黑客事件 2001年5月，中美黑客网络大战，撞机事件发生后，两国黑客之间发生的网络大战愈演愈烈。从4月4日以来，美国黑客组织PoizonBOx不断袭击中国网站。对此，我国的网络安全人员积极防备美方黑客的攻击。中国一些黑客组织则在“五一”期间打响了“黑客反击战”！ 主要内容 二、网络信息探测 1、目标系统确定 2、系统存活探测 3、高级端口服务扫描 TCP SYN扫描 Client 端 Server 端 Client 端 Server 端 SYN SYN RST SYN/ACK RST/ACK TCP SYN扫描建立成功 TCP SYN扫描建立未成功 秘密扫描 Client 端 Server 端 Client 端 Server 端 FIN FIN RST 端口开放 端口关闭 1、TCP FIN扫描 秘密扫描 Client 端 Server 端 Client 端 Server 端 NULL NULL RST 端口开放 端口关闭 2、NULL扫描 秘密扫描 Client 端 Server 端 Client 端 Server 端 XMAS XMAS RST 端口开放 端口关闭 3、XMAS扫描 秘密扫描 Client 端 Server 端 Client 端 Server 端 ACK ACK RST 目标主机安装防火墙 目标主机未安装防火墙 4、ACK扫描 扫描扫射 1、分段扫描 IP数据报头内有3位Flags字段表示此次发送或接收的报文是否是分段报文，以及是否是最后一个分段报文；如果是分段报文，则有一个13位的Fragment Offset字段表示其在原报文的位置，另外有Identification字段用以识别各个分段。 分段扫描就是将原来封装在一个报文的探测信息拆分至多个报文中，以防止被过滤。 扫描扫射 2、代理扫描 文件传输协议FTP选项：代理FTP连接。 其目的是允许一个客户端同时跟两个FTP服务器建立连接，然后在服务器之间直接传输数据。 FTP端口扫描主要利用FTP代理服务器来扫描TCP端口。 扫描扫射 3、认证扫描 每个类UNIX操作系统都带有一个默认是侦听113端口的身份服务器。 作用：“是什么用户从你的端口X初始化连到我的Y上来了”。 例如：在自己机器上开放113端口，引发目标主机向本机发送认证请求，通过修改回应的用户信息，可能造成缓冲区溢出攻击。 端口扫描策略 随机端口扫描(Random Port Scan) 慢扫描(Slow Scan) 通过分析某段时间内的网络通信来确定某个特定的IP正在扫描被保护的网络 分片扫描(Fragmentation Scanning) 根据携带的数据的IP分组进行分片 诱骗(Decoy) 某些网络扫描器用于诱骗或者伪造假地址 分布式协调扫描(Coordinated Scan) 利用多个IP同时对目标系统进行扫描 常用扫描工具 SATAN分析网络的安全管理、测试和报告工具 Jakal秘密扫描器 NSS网络安全扫描器 Strobe是一个TCP端口扫描器 Xscan扫描具有X服务器弱点的子网或主机 Nmap由Fyodor制作的端口扫描工具 4、SNMP协议探测 Windows系列都支持简单网络管理协议(SNMP) 通过SNMP可以对网络设备进行远程管理 例如，当一个Windows2000设备具有SNMP变量读取权限时，可以获取如下信息： 接口表、路由器表、ARP表、TCP表、UDP表、设备表、存储表、进程表和软件表、用户表、共享表 主要内容 三、系统信息探测 1、服务版本类型探测 远程登录标识（Telnet服务banner） 文件传输协议标识（FTP服务banner） HTTP头部（Web服务器） 其他方法（RPC服务查询工具、netcat） 2、操作系统指纹探测 （1）TCP/IP栈指纹扫描技术 TCP/IP栈指纹识别主要是依赖不同操作系统对特定数据报的不同反应来区分的。基于各版本操作系统TCP/IP协议体系实现上的不同，通过提交不同的IP数据报并分析目标主机返回的相应数据报，比较其中各标记参数的不同就可以将不同的操作系统区分开。 2、操作系统指纹探测 （2）ICMP栈指纹扫描技术 ICMP栈指纹识别主要是通过发送UDP或ICMP的请求报文，然后分析各种ICMP应答，根据应答数据报的差异来区分不同的系统。 技术的实现主要体现在ICMP报文的IP头、CMP报文、ICMP报文所引用的数据项三个方面。 2、操作系统指纹探测 （3）被动指纹扫描技术 通过被动监测网络通信，分析正常数据流