網(wǎng)絡(luò)通信安全管理員認證－中級第四章網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽

網(wǎng)絡(luò)通信安全管理員認證

網(wǎng)絡(luò)掃描與網(wǎng)絡(luò)監(jiān)聽

Copyright?2010Mazhao漏洞定義：任何會引起系統(tǒng)的安全性受到破壞的事物，是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷。特點：1、長久性2、多樣性3、隱蔽性安全級別越高，漏洞越少？（七個安全等級）漏洞的表現(xiàn)及產(chǎn)生的原因網(wǎng)絡(luò)安全漏洞主要表現(xiàn)在以下幾個方面

a.系統(tǒng)存在安全方面的脆弱性：現(xiàn)在的操作系統(tǒng)都存在種種安全隱患，從Unix到Windows，五一例外。每一種操作系統(tǒng)都存在已被發(fā)現(xiàn)的和潛在的各種安全漏洞。

b.非法用戶得以獲得訪問權(quán)。

c.合法用戶未經(jīng)授權(quán)提高訪問權(quán)限。

d.系統(tǒng)易受來自各方面的攻擊。產(chǎn)生的原因：1、Internet的設(shè)計缺陷2、網(wǎng)絡(luò)的開放性及開源性3、軟件的缺陷漏洞的分類常見的漏洞主要有以下幾類：

a.網(wǎng)絡(luò)協(xié)議的安全漏洞。

b.操作系統(tǒng)的安全漏洞。

c.應(yīng)用程序的安全漏洞。軟件或協(xié)議設(shè)計存在缺陷軟件或協(xié)議實現(xiàn)存在漏洞系統(tǒng)或網(wǎng)絡(luò)配置不當(dāng)

漏洞的等級低級：拒絕服務(wù)，基于操作系統(tǒng)的，打補丁中級：本地用戶非法或越權(quán)訪問，應(yīng)用程序的缺陷引起高級：遠程用戶未經(jīng)授權(quán)訪問，設(shè)置不當(dāng)引起。Windows常見系統(tǒng)漏洞及修復(fù)每個月第2個星期二：微軟IIS漏洞、微軟數(shù)據(jù)訪問部件MDAC漏洞、NETBIOS網(wǎng)絡(luò)共享漏洞、匿名登錄漏洞、LANManager身份認證漏洞、windows弱口令、IE瀏覽器漏洞、遠程注冊表訪問漏洞黑客攻擊網(wǎng)絡(luò)攻擊：所有試圖破壞網(wǎng)絡(luò)系統(tǒng)的安全性的非授權(quán)行為都叫做網(wǎng)絡(luò)攻擊。入侵：成功的攻擊。有哪些攻擊事件？破壞型攻擊：以破壞對方系統(tǒng)為主要目標(biāo)。利用型攻擊：以控制對方系統(tǒng)為我所用為主要目標(biāo)。信息收集型攻擊：以竊取對方信息為主要目標(biāo)。網(wǎng)絡(luò)欺騙攻擊：以用假消息欺騙對方為主要目標(biāo)。垃圾信息攻擊：以傳播大量預(yù)先設(shè)置的信息（可能是垃圾信息）為主要目標(biāo)。攻擊分類在最高層次，攻擊可被分為兩類：

主動攻擊

主動攻擊包含攻擊者訪問他所需信息的故意行為。比如遠程登錄到指定機器的端口25找出公司運行的郵件服務(wù)器的信息，攻擊者是在主動地做一些不利于你或你的公司系統(tǒng)的事情。正因為如此，如果要尋找他們是很容易發(fā)現(xiàn)的。主動攻擊包括拒絕服務(wù)攻擊、信息篡改、資源使用、欺騙等攻擊方法。被動攻擊

被動攻擊主要是收集信息而不是進行訪問，數(shù)據(jù)的合法用戶對這種活動一點也不會覺察到。被動攻擊包括嗅探、信息收集等攻擊方法。入侵者進入系統(tǒng)的主要途徑有：l

物理侵入：指一個入侵者對主機有物理進入權(quán)限，比如他們能使用鍵盤，有權(quán)移走硬盤等。

l

本地侵入:這類侵入表現(xiàn)為入侵者已經(jīng)擁有在系統(tǒng)用戶的較低權(quán)限。如果系統(tǒng)沒有打最新的漏洞補丁，就會給侵入者提供一個利用知名漏洞獲得系統(tǒng)管理員權(quán)限的機會。

l

遠程侵入:這類入侵指入侵者通過網(wǎng)絡(luò)遠程進入系統(tǒng)。比如通過植入木馬實現(xiàn)對目標(biāo)主機的控制，從遠程發(fā)起對目標(biāo)主機的攻擊等。攻擊的步步驟確定攻擊目的收集目標(biāo)信息隱藏自己位置利用各種手段登陸對方主機檢查漏洞、后門，獲取控制權(quán)，…..消除痕跡，植入后門，退出攻擊的準(zhǔn)備階段攻擊的實施階段攻擊的善后階段攻擊過程準(zhǔn)備供給工具黑客攻擊擊一般過過程1端口掃描描httpftptelnetsmtp黑客攻擊擊一般過過程2口令暴力力攻擊用戶名:john口令:john1234黑客攻擊擊一般過過程3用john登錄服務(wù)器利用漏洞洞獲得超級用戶戶權(quán)限留后門隱藏用戶戶更改主頁頁信息典型的網(wǎng)網(wǎng)絡(luò)攻擊擊示意圖圖選中攻擊目標(biāo)獲取普通用戶權(quán)限擦除入侵痕跡安裝后門新建帳號獲取超級用戶權(quán)限攻擊其它主機獲取或修改信息從事其它非法活動掃描網(wǎng)絡(luò)利用系統(tǒng)已知的漏洞、通過輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測已知用戶的口令，從而發(fā)現(xiàn)突破口。總結(jié)一下下：攻擊擊五部曲曲一次成功功的攻擊擊，都可可以歸納納成基本本的五步步驟，但但是根據(jù)據(jù)實際情情況可以以隨時調(diào)調(diào)整。歸歸納起來來就是““黑客攻攻擊五部部曲”1、隱藏IP或IP欺騙2、踩點掃掃描3、獲得系系統(tǒng)或管管理員權(quán)權(quán)限4、種植后后門5、在網(wǎng)絡(luò)絡(luò)中隱身身1、隱藏IP這一步必必須做，，如果自自己的入入侵的痕痕跡被發(fā)發(fā)現(xiàn)了，，一切都都晚了。。通常有兩兩種方法法實現(xiàn)自自己IP的隱藏：：第一種方方法是首首先入侵侵互聯(lián)網(wǎng)網(wǎng)上的一一臺電腦腦（俗稱稱“肉雞雞”），，利用這這臺電腦腦進行攻攻擊，這這樣即使使被發(fā)現(xiàn)現(xiàn)了，也也是“肉肉雞”的的IP地址。第二種方方式是做做多極跳跳板“Sock代理”，，這樣在在入侵的的電腦上上留下的的是代理理計算機機的IP地址。比如攻擊擊A國的站點點，一般般選擇離離A國很遠的的B國計算機機作為““肉雞””或者““代理””，這樣樣跨國度度的攻擊擊，一般般很難被被偵破。。2、踩點掃掃描踩點就是是通過各各種途徑徑對所要要攻擊的的目標(biāo)進進行多方方面的了了解（包包括任何何可得到到的蛛絲絲馬跡，，但要確確保信息息的準(zhǔn)確確），確確定攻擊擊的時間間和地點點。掃描描的的目目的的是是利利用用各各種種工工具具在在攻攻擊擊目目標(biāo)標(biāo)的的IP地址址或或地地址址段段的的主主機機上上尋尋找找漏漏洞洞。。掃掃描描分分成成兩兩種種策策略略：：被被動動式式策策略略和和主主動動式式策策略略。。3、獲獲得得系系統(tǒng)統(tǒng)或或管管理理員員權(quán)權(quán)限限得到到管管理理員員權(quán)權(quán)限限的的目目的的是是連連接接到到遠遠程程計計算算機機，，對對其其進進行行控控制制，，達達到到自自己己攻攻擊擊目目的的。。獲獲得得系系統(tǒng)統(tǒng)及及管管理理員員權(quán)權(quán)限限的的方方法法有有：：通過過系系統(tǒng)統(tǒng)漏漏洞洞獲獲得得系系統(tǒng)統(tǒng)權(quán)權(quán)限限通過過管管理理漏漏洞洞獲獲得得管管理理員員權(quán)權(quán)限限通過過軟軟件件漏漏洞洞得得到到系系統(tǒng)統(tǒng)權(quán)權(quán)限限通過過監(jiān)監(jiān)聽聽獲獲得得敏敏感感信信息息進進一一步步獲獲得得相相應(yīng)應(yīng)權(quán)權(quán)限限通過弱弱口令令獲得得遠程程管理理員的的用戶戶密碼碼通過窮窮舉法法獲得得遠程程管理理員的的用戶戶密碼碼通過攻攻破與與目標(biāo)標(biāo)機有有信任任關(guān)系系另一一臺機機器進進而得得到目目標(biāo)機機的控控制權(quán)權(quán)通過欺欺騙獲獲得權(quán)權(quán)限以以及其其他有有效的的方法法。4、種植植后門門為了保保持長長期對對自己己勝利利果實實的訪訪問權(quán)權(quán),在已經(jīng)經(jīng)攻破破的計計算機機上種種植一一些供供自己己訪問問的后后門。。5、在網(wǎng)網(wǎng)絡(luò)中中隱身身一次成成功入入侵之之后，，一般般在對對方的的計算算機上上已經(jīng)經(jīng)存儲儲了相相關(guān)的的登錄錄日志志，這這樣就就容易易被管管理員員發(fā)現(xiàn)現(xiàn)。在入侵侵完畢畢后需需要清清除登登錄日日志已已經(jīng)其其他相相關(guān)的的日志志。網(wǎng)絡(luò)踩踩點踩點就就是通通過各各種途途徑對對所要要攻擊擊的目目標(biāo)進進行多多方面面的了了解（（包括括任何何可得得到的的蛛絲絲馬跡跡，但但要確確保信信息的的準(zhǔn)確確）。。常見的的踩點點方法法包括括：在域名及其其注冊機構(gòu)構(gòu)的查詢公司性質(zhì)的的了解對主頁進行行分析郵件地址的的搜集目標(biāo)IP地址范圍查查詢。踩點的目的的就是探察察對方的各各方面情況況，確定攻攻擊的時機機。模清除除對方最薄薄弱的環(huán)節(jié)節(jié)和守衛(wèi)最最松散的時時刻，為下下一步的入入侵提供良良好的策略略。更多的牽涉涉到社會工工程學(xué)的內(nèi)內(nèi)容網(wǎng)絡(luò)掃描——主動防御技技術(shù)分類：安全掃描技技術(shù)主要分分為兩類：：主機（被被動、系統(tǒng)統(tǒng)）安全掃掃描技術(shù)和和網(wǎng)絡(luò)（主主動）安全全掃描技術(shù)術(shù)。主機安安全掃描技技術(shù)主要針針對系統(tǒng)中中不合適的的設(shè)置脆弱弱的口令，，以及針對對其它同安安全規(guī)則抵抵觸的對象象進行檢查查等；而網(wǎng)網(wǎng)絡(luò)安全掃掃描技術(shù)則則是通過執(zhí)執(zhí)行一些腳腳本文件模模擬對系統(tǒng)統(tǒng)進行攻擊擊的行為并并記錄系統(tǒng)統(tǒng)的反應(yīng)，，從而發(fā)現(xiàn)現(xiàn)其中的漏漏洞。技術(shù)：1、基于應(yīng)用用的：被動動、應(yīng)用程程序2、基于主機機的：被動動、主機系系統(tǒng)3、基于目標(biāo)標(biāo)的：被動動、系統(tǒng)屬屬性和文件件屬性4、基于網(wǎng)絡(luò)絡(luò)的：主動動、網(wǎng)絡(luò)漏漏洞常用的掃描描器X-Scan流光fluxaySuperScan網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽：：網(wǎng)絡(luò)嗅探探sniffing常用監(jiān)聽工工具：Ethereal