网络攻防技术概述与课程_网络探测技术及分析防御方法.ppt

* 4课时 * * * DNS查点执行界面，阻断配置项 * 助教：traceroute的实际执行案例展示 （截图） 穿透防火墙的实际效果（截图） * 演示纯真数据库 * * 房间 ? 门窗 ? 门窗裂缝 转混、框架 铝合金、塑钢 普通、防盗门 Ping扫描，从大楼中找出可下手的房间（有人入住的） 端口扫描：找出房间的门窗位置 漏洞扫描：进一步发现门窗中存在的缝隙或者漏洞 操作系统 服务类型 主机 网络服务 安全漏洞 * TCP连接扫描 图示 SYN扫描图示 * 隐蔽端口扫描图示 * UDP端口扫描图示 * * MatriXay/WebRavor: 小榕？ * * * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 以太网络的工作原理 载波侦听/冲突检测(CSMA/CD: 802.3, carrier sense multiple access with collision detection)技术 载波侦听：是指在网络中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲 如果空闲，就传输自己的数据 如果信道被占用，就等待信道空闲 而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突 以太网采用了CSMA/CD技术，由于使用了广播机制，所以，所有与网络连接的工作站都可以看到网络上传递的数据 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 以太网卡的工作模式 网卡的MAC地址(48位) 通过ARP来解析MAC与IP地址的转换 用ipconfig/ifconfig可以查看MAC地址 正常情况下，网卡应该只接收这样的包 MAC地址与自己相匹配的数据帧 广播包 网卡完成收发数据包的工作，两种接收模式 混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来 非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包(和组播数据包) 为了监听网络上的流量，必须设置为混杂模式 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 共享式网络和交换式网络 共享式网络 通过Hub(集线器)连接 通过网络的所有数据包发往每一个主机 能够监听整个Hub上全部网络流量 交换式网络 通过Switch(交换机)连接 由交换机构造一个“MAC地址-端口”映射表 发送包的时候，只发到特定的端口上 只能监听同一端口上流量 可通过流量映像口监听 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 应用程序抓包的技术 UNIX系统提供了标准的API支持 Packet socket BPF/libpcap/tcpdump… Windows平台通过驱动程序来获取数据包 驱动程序 NPF/WinPcap/Windump… * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * BPF(Berkeley Packet Filter) BSD数据包捕获 BPF是一个核心态的组件，也是一个过滤器 Network Tap接收所有的数据包 Kernel Buffer，保存过滤器送过来的数据包 User buffer，用户态上的数据包缓冲区 Libpcap(一个抓包工具库)支持BPF Libpcap是用户态的一个抓包工具 Libpcap几乎是系统无关的 BPF是一种比较理想的抓包方案 在核心态，所以效率比较高 目前类UNIX系统的标准抓包内核模块 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * BPF和libpcap * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 关于libpcap抓包库 用户态下的抓包库 系统独立的接口，C语言接口 多种其他高级编程语言包装接口: Perl, Python, Ruby, Tcl, Java, … 广泛应用于： 网络统计软件 入侵检测系统 网络调试 支持过滤机制，BPF * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * BPF过滤器 Man tcpdump (/tcpdump_man.html) 善用过滤器规则是网络报文分析的关键 Examples: 达到某主机或从某主机发出的流量: tcpdump host HOST 每个TCP会话的首包和尾包(SYN包/FIN包):tcpdump tcp[tcpflags] (tcp-syn|tcp-fin) != 0‘ 除echo requests/replies之外的所有ICMP包(i.e., 非ping包的I