第四章 网络安全攻击技术-1-高显嵩.pptVIP

扫描的目的 扫描的目的就是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。 扫描的原理 扫描是采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器、数据库应用等对象。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。 扫描的策略 第一种是被动式策略 所谓被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查； 第二种是主动式策略 主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。 利用被动式策略扫描称为系统安全扫描 利用主动式策略扫描称为网络安全扫描。 扫描的8个基本步骤 找到初始信息 找到网络的地址范围 找到活动的机器 找到开放端口和入口点 弄清操作系统 弄清每个端口运行的是哪种服务 综合漏洞扫描 画出网络图 目前流行的扫描类型是 TCP conntect扫描 直接发送TCP请求，根据返回信息，确定扫描目标是否存在，缺点会在目标机器上被记录。 TCP SYN扫描 这种扫描又称为半开放扫描，是针对TCP的三次握手弱点的扫描方式，目前已经可以被防火墙等软件记录。 ACK扫描 向扫面目标发送连接确认信息。 FIN扫描 向端口发送终止连接请求，如果对方端口开放则没有回应，如果没有开放会有RST回复。缺点：有些系统无论端口开放与否都会对中断请求发送RST回复。 目前流行的扫描类型是 反向映射 向所有目标地址发送RST请求，这种请求通常不会被过滤，如果目标地址不可到达，路由器会返回错误信息，否则说明目标活动。 慢速扫描 对非连续端口进行扫描，并且源地址不一致、时间间隔长没有规律的扫描。 乱序扫描 扫描实现 CGI扫描实现 连接目标Web服务器 发送HTTP请求（如“GET/xxx.cgi HTTP/1.0”） 接收目标服务器返回数据 根基返回数据判断漏洞是否存在 缓存溢出检测实现 扫描目标服务器版本，报告该版本产品存在的缓存溢出漏洞，但是消息不完全可靠。 安全扫描系统具有以下功能 协调了其它的安全设备； 使枯燥的系统安全信息易于理解，告诉了你系统发生的事情； 跟踪用户进入，在系统中的行为和离开的信息； 可以报告和识别文件的改动； 纠正系统的错误设置； 识别正在受到的攻击； 减轻系统管理员搜索最近黑客行为的负担； 使得安全管理可由普通用户来负责； 为制定安全规则提供依据。 网络安全和系统安全主要薄弱环节 软件自身安全性差。 安全策略不当。 人员缺乏安全意识。 选择安全扫描产品应注意的问题 升级问题 可扩充性 全面的解决方案 人员培训 被动式的侦查（嗅探监听） 背景 网络嗅探监听原本是网络管理员使用一类管理工具，监视网络的状态、数据的流动、以及网络上传输的信息。但这类工具也常被黑客所使用，以此获得网络上传输的敏感信息。 监听效果最好的地方是网关、路由器、防火墙之类信息聚集的设备处。 嗅探监听的原理 以太网协议的工作方式： 为将要发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。 嗅探监听的原理 一个合法的网络接口应响应的数据帧： 帧的目标区域具有和本地网络接口相匹配的硬件地址。 帧的目标区域具有“广播地址”。 网络接口在接收到上面这两种数据包时，NC（Numerical Control, 数字计算机控制）通过CPU产生一个硬件中断，该中断使操作系统将帧中所包含的数据传送给系统进一步处理。监听软件就是能使本地NC处于混杂状态，这时NC具备“广播地址”所以对所有接收的帧都产生一个硬件中断。 非交换网络----集线器网络(Hub-Based) 很多网络都是用Hub进行连接的。数据包经过Hub传输到其他计算机的时候，Hub只是简单地把这个数据包广播到Hub的所有端口上。 交换网络（Switched Lan） 交换机用来代替HUB，正是为了能够解决HUB的几个安全问题，其中就是能够来解决嗅探问题。Switch不是把数据包进行端口广播，它将通过自己的ARP缓存来决定数据包传输到那个端口上。 网络嗅探监听的检测 检测的难度 运行网络监听的主机只是被动的接收数据，并没有主动的行动，既不会与其他主机交换信息，也不能修改网上传输的信息包。这决定了网络监听