网络安全技术课件网络安全7.pptVIP

进阶知识 --网络安全部分 一、踩点 对于一个机构的系统性踩点将允许攻击者就该机构的安全态势构建一个完整的剖析图。通过结合使用工具和技巧，攻击者能够由一个未知量归结出域名、网络块以及直接连接到因特网上的系统IP地址的一个特定范围。 探查 1、使用WHOIS数据库 DNS、注册人、域名、管理方向联系人、主DNS 和辅助DNS 2、网络查点 3、DNS查询 利用Zone transfer(区域查询) 原理：由于DNS区域传送允许给辅助域名服务器更新区域数据 Nslookup server set type=any ls –d . c:\zone.txt （取得DNS详细列表） 注：com.后的点强调这是一个完全限定域名，大多数情况下不添加也行 查询到的信息中A记录为一台主机系统，HINFO记录为标记主机类型 4、确定防火墙网络 一般邮件往往是在防火墙主机所在的系统上处理 的，所以邮件处理是定位主机机构防火墙网络的 重要突破口。 对策： 1、DNS 使用防火墙拒绝all 53port tcp 注：DNS的域名解析使用UDP，而其区域传送使用TCP，因此拒绝后将不影响DNS工作 2、另一种方法是在DNS查询中指定传送主机（一般为辅助DNS主机地址） 网络勘察 Unix中使用traceroute Win中使用tracert 原理：ICMP每过一个路由TTL值减1 例：tracerouter -s -p53 注：-s表示阻止探测时端口号的自增；-p53表示使用UDP起始分组端口为53port,以防止acl列表的过滤。 使用这种方法能有效的通过防火墙的过滤，因为53端口一般为DNS的查询端口，在acl控制中一般不加以过滤。 对策： 1、使用NIDS(入侵检测系统)或rotorouter(反击程序) 2、将边界路由器配置为限制ICMP和UDP分组到指定的系统 二、扫描 网络ping 1、规范的私有网络IP范围 —55（前缀为10/8，也称为24位私用网络块） —55（前缀为172.16/12，也成为20位私用网络块） —55（前缀为192.168/16,也称为16位私用网络块） 注： ①、私用网络在企业内部使用，其路由信息不在企业间的链路上传播 ②、源宿地址之一位私用网络地址的分组不能在这样的链路上转发 ③、非私用网络中的路由器应配置为拒绝（即过滤）关于私用网络的所有路由信息 ④、对于私用网络地址的非直接引用（由通过DNS资源记录，应局限在企业范围内） 2、攻击ping 扫射 对策： 1、NIDS检测 BLACKICE TCP扫射检测 2、预防 评估ICMP分组类型： ①、回射请求 （类型为8） ②、回射应答 （类型为0） 只允许回射应答 允许主机不可达、超时分组从外部进入DMZ子网 端口扫描 对策： ①、检测（NIDS) ②、预防 WIN禁用服务或IPSEC 三、查点 需查的信息： 1、网络资源和共享资源 2、用户和用户组 3、服务器程序及其旗标 ⑴、空会话 NET USE \\3\IPC$ “” /USER:”” 对策： ①、过滤TCP协议的135到139及445端口 ②、注册表 HKLM\SYSTEM\CurrentcontrolSet\Control\LSA 添加RestrictAnonymous 数据类型：DWORD 数值为：1 注：设置这个参数实际上不会阻塞匿名连接。它主要通过查点用户账户和共享信息防止大多数信息泄漏给空会话 有一个例外：SID2USER仍会起作用 ⑵、net view /domain ⑶、SNMP 对策： ①、关闭SNMP服务 (services control panel) ②、封闭对161 TCP和UDP端口的访问 ⑷、DNS查点 Nslookup ⑸、sid2user和user2sid admin 500 guest 501 ⑹、活动目录查点对策 ①、LDP的使用、ADSIEDIT的使用 边界上过滤TCP协议的389、3218端口的访问 ②、查询用户信息（只要139、445端口开放） Cmd shell C:/for /l %i in (1000,1,1050) do sid2user \\ 5 21 1915163094 1258472701648912389 %2 user.txt ⑺、DC中常用端口 ⑻、运行services.msc关闭不必要服务 对于DC的部署一定要谨慎，一般不要过多部署 大多数应用程序、文件和打印服务均要使用非域控制 ⑼、账户查询: Whoami 用户 whoami /groups sam账户的窃取：sam用syskey方式加