网络安全Chapter09.pptVIP

第九章 黑客技术和漏洞扫描 本章内容 黑客技术 黑客的动机 黑客攻的流程 黑客技术概述 针对网络的攻击 漏洞扫描 计算机漏洞 实施网络扫描 常用扫描攻击 不同的扫描策略 黑客的动机 黑客命名 飞客 “phreak” 早期攻击电话网的青少年，研究各种盗打电话而不用付费的技术。 黑客 “Hacker” 一个给予喜欢发现和解决技术挑战、攻击计算机网络系统的精通计算机技能的人的称号，与闯入计算机网络系统目的在于破坏和偷窃信息的骇客不同。 骇客 “Cracker” 一个闯入计算机系统和网络试图破坏和偷窃个人信息的个体，与没有兴趣做破坏只是对技术上的挑战感兴趣的黑客相对应。 快客 “Whacker” 从事黑客活动但没有黑客技能的人，whacker是穿透系统的人中，在技术和能力上最不复杂的一类。 黑客的动机 黑客命名 武士 “Samurai” 被他人雇佣的帮助他人提高网络安全的黑客，武士通常被公司付给薪金来攻击网络。 幼虫 “Lara” 一个崇拜真正黑客的初级黑客 欲望蜜蜂“Wannabee” 处于幼虫的初始阶段的黑客的称呼，他们急于掌握入侵技术，但由于他们没有经验，因此即使没有恶意也可能造成很大危险 黑边黑客（Dark-Side） 是指由于种种原因放弃黑客的道德信念而恶意攻击的黑客 半仙 “Demigod” 一个具有多年经验在黑客团体具有世界级声誉的黑客。 黑客的动机 从行为上划分，黑客分为两种 白帽：长期致力于改善计算机社会及其资源，为了改善服务质量及产品，他们不断寻找弱点及脆弱性并公布于众 黑帽：主要从事一些破坏活动，是一种犯罪行为，他们的动机是：好奇心、个人声望、智力挑战、窃取情报、报复、获取非法利益、政治目的 本章内容 黑客技术 黑客的动机 黑客攻的流程 黑客技术概述 针对网络的攻击 漏洞扫描 计算机漏洞 实施网络扫描 常用扫描攻击 不同的扫描策略 黑客攻击的流程 黑客攻击的流程 1.踩点 踩点的目的是为了获取目标的如下信息： 网络域名、网络地址分配、DNS服务器、邮件服务器和网关等关键系统的位置及软硬件信息 内部网络独立地地址空间和名称空间 远程访问模拟/数字电话号码和VPN访问点 Internet与合作伙伴及子公司的网络的连接地址、连接类型及访问控制机制 其他信息 黑客攻击的流程 1.踩点 信息搜集技术 1）开放信息搜索：从开放的信息中提取关心的内容 2）whois查询：whois 是Internet域名注册数据库，通过查询该数据库获得以下重要信息： 注册机构，得到特定的注册信息和相关的whois服务器 机构本身，得到与特定目标相关的特定信息 域名，得到与某个域名相关的全部信息 网络，得到与某个网络或IP相关的全部信息 联系点，得到某个联系人相关信息 3）DNS区域传送 DNS区域传送是DNS服务器的冗余机制，通过该机制，DNS辅服务器能从主服务器更新自己的数据。正常情况下DNS区域传送机制只对辅DNS服务器开放，但当管理员配置错误时，将导致任何主机均可请求主DNS服务器提供一个区域数据备份，以致目标区域所有主机信息泄露 黑客攻击的流程 2.扫描 扫描用来确定目标网络范围内哪些系统时“活动”的，主要目的是使攻击者对目标系统所提供的各种服务进行评估，以便集中精力在最有希望的途径上发起攻击 扫描技术： 1）Ping扫射：判断主机是否“活动”的有效方式。Ping、fping和WS_ping 2）端口扫描：连接到目标主机的TCP和UDP端口上，确定哪些服务正在运行及服务版本号，以便发现相应服务程序的漏洞，工具：Unix上的Netcat及Nmap，Windows上的superscan及NetScan Tool Pro2003 黑客攻击的流程 2.扫描 扫描技术： 3）操作系统检测：利用系统旗标信息和TCP/IP堆栈指纹识别目标主机的操作系统，以便找出漏洞。工具：Nmap、Queso、Siphon 协议栈指纹识别：一类是主动识别，另一类则是被动识别 主动协议栈指纹识别原理：由于TCP/IP协议栈技术只是在RFC 文档中描叙，并没有一个统一的行业标准，于是各个公司在编写应用于自己的OS的TCP/IP协议栈时，对RFC文档做出了不尽相同的诠释，于是造成了各个OS在TCP/IP协议的实现上不同。 黑客攻击的流程 主动协议栈指纹识别 关于主动协议栈指纹识别这个领域最权威的论文是Fyodor发表在Phrack杂志上的《Remote OS detection via TCP/IP Stack FingerPrinting 》各种主动发送的探测数据包类型： FIN 探测：根据RFC 793文档，往目标主机上一个打开的端口发送一个FIN分组，正确的响应应该是无任何响应；但是，许多OS的TCP/IP协议栈实现上将返回一个FIN