第三章：计算安全-3.1扫描.pptVIP

计算机安全技术 网络攻击与防御 攻击技术 如果不知道如何攻击，再好的防守也是经不住考验的，攻击技术主要包括五个方面： 1、踩点 ：调查被攻击的目标 2、网络扫描和监听：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。 3、网络入侵：当探测发现对方存在漏洞以后，入侵到目标计算机获取信息。 4、网络后门：成功入侵目标计算机后，为了对“战利品”的长期控制，在目标计算机中种植木马等后门。 5、网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。 攻击和安全的关系 黑客攻击和网络安全的是紧密结合在一起的，研究网络安全不研究黑客攻击技术简直是纸上谈兵，研究攻击技术不研究网络安全就是闭门造车。 某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。 网络攻击有善意也有恶意的，善意的攻击可以帮助系统管理员检查系统漏洞，恶意的攻击可以包括：为了私人恩怨而攻击、商业或个人目的获得秘密资料、民族仇恨、利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙以及一些无目的攻击。 主要攻击技术 扫描技术 协议分析（嗅探器） 网络入侵 网络欺骗 网络后门 计算机网络系统的组成 硬件 网络节点 端节点：计算机 中间节点：交换机、集中器、复用器、路由器、中继器 通信链路：信息传输的通道 物理：传输介质 逻辑：信道 类比——CATV的电缆和频道之间的关系 软件 通信软件（网络协议软件） 网络操作系统 网络管理/安全控制软件、网络应用软件 扫描攻击(scan) 网络踩点 踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确）。 常见的踩点方法包括： 在域名及其注册机构的查询（whois） 公司性质的了解 对主页进行分析 邮件地址的搜集 目标IP地址范围查询。 踩点的目的就是探察对方的各方面情况，确定攻击的时机。模清除对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。 网络扫描 第二步执行扫描 一般分成两种策略: 一种是主动式策略 另一种是被动式策略。 扫描 利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。 扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器和数据库应用等。 根据扫描结果向扫描者或管理员提供周密可靠的分析报告 扫描器（scanner） 扫描器是一种自动检测远程或本地主机安全性弱点的软件。主要有端口扫描器和漏洞扫描器两种。扫描器通常集成了多种功能。 扫描攻击的目的 目标主机运行的操作系统 扫描类型 网络(地址)扫描 发现活动主机，获取网络拓扑结构 端口扫描 确定运行在目标系统上的TCP和UDP服务 确定目标系统的操作系统类型 确定特定应用程序或特定服务的版本 漏洞扫描 确定特定服务存在的安全漏洞 网络扫描－了解网络情况 目的 黑客首先希望了解你的网络中的详细情况，比如网络拓扑结构，活动主机IP地址，主要服务器，路由器和防火墙。黑客使用扫描工具一般先扫描你的网关、DMZ系统，各种服务器等Internet周边环境，在控制了你的网络周边环境后，再继续攻击你的内部网络。 发现活跃主机 Ping：发送一个ICMP回显请求(echo request)数据包，如果目标主机响应一个ICMP回显应答响应(echo replay)数据包，则表示这是一个活跃主机。 TTLHop基本概念 当路由器收到一个IP数据包时，它首先将这个IP数据包的TTL字段减1，如果TTL为0则路由器抛弃这个数据包，并向源IP地址发送一个连接超时的ICMP数据包。如果不为0则根据路由表将这个数据包发送到下一个路由器或目的网络。 跟踪路由(tracerouting) 黑客可以利用TTL值来确定网络中数据包的路由路径，通过发送一系列TTL值递增的数据包来发现到达目的主机的路由路径。Unix下的跟踪路由工具是Traceroute，发送有递增的TTL值的UDP数据包，同时寻找返回的ICMP超时消息。windows下的跟踪路由工具是tracert。 如何防御网络扫描 利用防火墙和路由器的数据包过滤功能来阻塞这些消息，还应该阻塞所有流入的ICMP消息，另外，也可以过滤从你的网络流出的ICMP超时信息，从而完全拒绝traceroute的访问。 常见的端口扫描技术 TCP connect扫描 被扫描主机的响应 TCP扫描的响应： 目标主机响应SYN/ACK，则表示这个端口开放。 目标主机发送RST，则表示这个端口没有开放。 目标主机没有响应，则可能是有防火墙或主机未运行。 OS fingerprinting操作系统的指纹识别 根据不同类