第3章 网络扫描与网络监听.pptVIP

第3章 网络扫描与网络监听 概 述 本章主要介绍黑客的相关知识、网络踩点的方法、网络扫描和网络监听技术。其中，网络扫描是黑客实施攻击前获得目标及其漏洞信息的重要手段，而网络监听则是黑客向内部网进行渗透的常用手法。 目 录 一. 黑客概述 二. 网络踩点 三. 网络扫描 四. 网络监听 3.1 黑客概述 3.1.1 黑客的概念 “黑客”一词是由英文单词“Hacker”音译过来的。最初起源于20世纪50年代，是指那些精力充沛、热衷于解决计算机难题的程序员。当时计算机非常昂贵，只存在于各大院校与科研机构，技术人员使用一次计算机，需要很复杂的手续，而且计算机的效率也不高，为了绕过一些限制，最大限度地利用这些昂贵的计算机，一些程序员们就写出了一些简洁高效的捷径程序，这些程序往往较原有的程序系统更完善。 3.1 黑客概述 3.1.2 攻击的概念 攻击是对系统安全策略的一种侵犯，是指任何企图破坏计算机资源的完整性（未授权的数据修改）、机密性（未授权的数据泄露或未授权的服务的使用）以及可用性（拒绝服务）的活动。通常，“攻击”和“入侵”同指这样一种活动。 3.1 黑客概述 3.1.3 攻击的分类 互联计算机的威胁来自很多形式。1980年，Anderson在其著名的报告中，对不同类型的计算机系统安全威胁进行了划分，他将入侵分为外部闯入、内部授权用户的越权使用和滥用三种类型，并以此为基础提出了不同安全渗透的检测方法。 目前，攻击分类的主要依据有：威胁来源、攻击方式、安全属性、攻击目的和攻击使用的技术手段等。这里给出几种攻击分类方式。 3.1 黑客概述 1. 按照威胁的来源，潜在入侵者的攻击可以被粗略地分成两类（外来人员攻击，内部人员攻击）。 2. 按照安全属性，Stalling将攻击分为四类，如图3.1所示。 3. 按照攻击方式，攻击可分为主动攻击和被动攻击。被动攻击包括窃听和监听，不对数据进行任何形式的修改；主动攻击则涉及对数据流的某些修改，如伪装、应答、修改报文、拒绝服务。 3.1 黑客概述 4. 按照入侵者的攻击目的，可将攻击分为下面四类。 　(1) 拒绝服务攻击：是最容易实施的攻击行为，它企图通过使目标计算机崩溃或把它压跨来阻止其提供服务。主要包括：Land，Syn flooding (UDP flooding)，Ping of death，Smurf (Fraggle)，Teardrop，TCP RST攻击，Jot2，电子邮件炸弹，畸形消息攻击。 (2) 利用型攻击：是一类试图直接对你的机器进行控制的攻击。主要包括：口令猜测，特洛伊木马，缓冲区溢出。 (3) 信息收集型攻击：这类攻击并不对目标本身造成危害，而是被用来为进一步入侵提供有用的信息。主要包括：扫描（包括：端口扫描、地址扫描、反向映射、慢速扫描），体系结构刺探，利用信息服务（包括：DNS域转换、Finger服务，LDAP服务）。 (4) 假消息攻击：用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。 3.1 黑客概述 5. 按照入侵者使用的技术手段，攻击技术主要分为以下四类。 网络信息收集技术：包括目标网络中主机的拓扑结构分析技术、目标网络服务分布分析技术和目标网络漏洞扫描技术。 目标网络权限提升技术：包括本地权限提升和远程权限提升。 目标网络渗透技术：包括后门技术、嗅探器（Sniffer）技术、欺骗技术、tunnel及代理技术。 目标网络摧毁技术：包括目标服务终止、目标系统瘫痪和目标网络瘫痪。 3.2 网络踩点 踩点，也就是信息收集。黑客实施攻击前要做的第一步就是“踩点”。与劫匪抢银行类似，攻击者在实施攻击前会使用公开的和可利用的信息来调查攻击目标。通过信息收集，攻击者可获得目标系统的外围资料，如机构的注册资料、网络管理员的个人爱好、网络拓扑图等。攻击者将收集来的信息进行整理、综合和分析后，就能够初步了解一个机构网络的安全态势和存在的问题，并据此拟定出一个攻击方案。 3.2 网络踩点 踩点， 3.2 网络踩点 1．利用搜索引擎 搜索引擎是一个非常有利的踩点工具，如Google具有很强搜索能力，能够帮助攻击者准确地找到目标，包括网站的弱点和不完善配置。比如，多数网站只要设置了目录列举功能，Google就能搜索出Index of页面，如图3.2。 3.2 网络踩点 打开Index of页面就能够浏览一些隐藏在互联网背后的开放了目录浏览的网站服务器的目录，并下载本无法看到的密码账户等有用文件，如图3.3。 3.2 网络踩点 2．利用whois数据库 除了搜索引擎外，Internet上的各种whois数据库也是非常有用的信息来源。这些数据库包含各种关于Internet地址分配、域名和个人联系方式等数据元素