《網絡安全技術與實踐》第一篇+網絡安全分析課件

《網絡安全技術與實踐》課件制作人：蔣亞軍網絡安全技術與實踐（課件）

人民郵電出版社2012

年

蔣亞軍編著《網絡安全技術與實踐》課件制作人：蔣亞軍網絡安全技術

知識4流氓軟件“流氓軟件”通俗的講是指那些在人們使用電腦上網時，產生不受人控制，不斷跳出的與用戶打開的網頁不相干的奇怪畫面，或者是做各種廣告的軟件。知識4流氓軟件“流氓軟件”通俗的講是指那

知識4流氓軟件流氓軟件與正常軟件的區(qū)別“流氓軟件”是指介于病毒和正規(guī)軟件之間的一類軟件。計算機病毒是指那些自身具有或使其它程序具有破壞功能，能夠危害用戶數(shù)據(jù)，或具有其它惡意行為，而且能夠自我復制的程序。正規(guī)軟件指的是那些為方便用戶使用計算機工作、娛樂而開發(fā)的，面向社會公開發(fā)布的軟件?！傲髅ボ浖苯橛趦烧咧g，同時具備正常功能和惡意行為，給用戶帶來實質危害。知識4流氓軟件流氓軟件與正常軟件的區(qū)別一、流氓軟件概述流氓軟件的起源

在國外最早稱為“Badware”，在著名的StopB網站上，對“Badware”的定義是：是一種跟蹤你上網行為并將你的個人信息反饋給“躲在陰暗處的”市場利益集團的軟件，并且，他們可以通過該軟件能夠向你彈出廣告?！癇adware”可分為“間諜軟件（spyware）、惡意軟件（malware）和欺騙性廣告軟件（deceptiveadware）。一、流氓軟件概述流氓軟件的起源一、流氓軟件概述2.流氓軟件的特征強制性。流氓軟件一般總是強行或秘密侵入用戶電腦，不需要用戶容許其下載；強行彈出廣告。這是這種軟件存在的價值，借此獲取商業(yè)利益；偷偷監(jiān)視電腦用戶上網行為。記錄用戶上網行為習慣，或竊取用戶賬號密碼；強行劫持用戶瀏覽器或搜索引擎，妨害用戶瀏覽正常的網頁。一、流氓軟件概述2.流氓軟件的特征流氓軟件特點強制安裝指在未明確提示用戶或未經用戶許可的情況下，在用戶計算機或其他終端上安裝軟件的行為。難卸載指不提供卸載方式，或不受其他卸載軟件的影響，人為破壞比較困難，卸載后仍活動。瀏覽器劫持指未經許可，自動修改用戶瀏覽器或其他相關設置，迫使用戶訪問特定網站或導致用戶無法正常上網。廣告彈出指未明確提示或未經用戶許可的情況下，利用安裝在用戶計算機或其他終端上的軟件彈出廣告的行為。惡意收集用戶信息：指未明確提示用戶或未經用戶許可，惡意收集用戶信息的行為。惡意卸載指未明確提示用戶、未經用戶許可，或誤導、欺騙用戶卸載非惡意軟件的行為。惡意捆綁指在軟件中捆綁已被認定為惡意軟件的行為。流氓軟件特點強制安裝指在未明確提示用戶或未經用戶許可的情二、“流氓軟件”的類型廣告軟件（Adware）

廣告軟件是指未經用戶允許，下載并安裝在用戶電腦上；或與其他軟件捆綁，通過彈出式廣告等形式牟取商業(yè)利益的程序。此類軟件往往會強制安裝并無法卸載，在后臺收集用戶信息牟利，危及用戶隱私；頻繁彈出廣告，消耗系統(tǒng)資源，使其運行變慢等。例如：用戶安裝了某下載軟件后，會一直彈出帶有廣告內容的窗口，干擾正常使用。還有一些軟件安裝后，會在IE瀏覽器的工具欄位置添加與其功能不相干的廣告圖標，普通用戶很難清除。二、“流氓軟件”的類型廣告軟件（Adware）二、“流氓軟件”的類型間諜軟件(Spyware)間諜軟件是一種能夠在用戶不知情的情況下，在其電腦上安裝后門、收集用戶信息的軟件。

間諜軟件透過“后門程序”捕獲用戶的隱私數(shù)據(jù)和重要信息，并發(fā)送給黑客、商業(yè)公司。甚至能使用戶的電腦被遠程操縱，組成龐大的“僵尸網絡”，這是目前網絡安全的重要隱患之一。

例如：某些軟件會獲取用戶的軟硬件配置，并發(fā)送出去用于商業(yè)目的。二、“流氓軟件”的類型間諜軟件(Spyware)二、“流氓軟件”的類型瀏覽器劫持軟件

瀏覽器劫持是一種惡意程序，通過瀏覽器插件、BHO（瀏覽器輔助對象）、WinsockLSP等形式對用戶的瀏覽器進行篡改，使用戶的瀏覽器配置不正常，被強行引導到商業(yè)網站。

用戶在瀏覽網站時會被強行安裝此類插件，普通用戶根本無法將其卸載，被劫持后，用戶只要上網就會被強行引導到其指定的網站，嚴重影響正常上網瀏覽。二、“流氓軟件”的類型瀏覽器劫持軟件二、“流氓軟件”的類型行為記錄軟件（TrackWare）

行為記錄軟件指未經用戶許可，竊取并分析用戶隱私數(shù)據(jù)，記錄用戶電腦使用習慣、網絡瀏覽習慣等個人行為的軟件。行為記錄軟件會危及用戶隱私，可能被黑客利用來進行網絡詐騙。

如：一些軟件會在后臺記錄用戶訪問過的網站并加以分析，有的甚至會發(fā)送給專門的商業(yè)公司或機構，此類機構會據(jù)此窺測用戶的愛好，并進行相應的廣告推廣或商業(yè)活動。二、“流氓軟件”的類型行為記錄軟件（TrackWare）二、“流氓軟件”的類型

惡意共享軟件(maliciousshareware)

惡意共享軟件指某些為了獲取利益，采用誘騙手段、試用陷阱等方式強迫用戶注冊，或在軟件體內捆綁各類惡意插件，未經允許即將其安裝到用戶機器里。惡意共享軟件通過使用“試用陷阱”強迫用戶進行注冊，否則可能會丟失個人資料等數(shù)據(jù)。軟件集成的插件可能會造成用戶瀏覽器被劫持、隱私被竊取等。二、“流氓軟件”的類型惡意共享軟件(maliciou三、“流氓軟件”卸載方法卸載3721上網助手問題：強制安裝，瀏覽器劫持（添加用戶不需要的按鈕、ie地址菜單項中添加非法內容），干擾其他軟件運行，無法徹底卸載。卸載方法：用附件程序卸載，附件已用卡巴斯基掃描過。三、“流氓軟件”卸載方法卸載3721上網助手三、“流氓軟件”卸載方法卸載淘寶網問題：強行彈出過多廣告。卸載方法：卸載方法有四，最簡單的如在MyIE或者Maxthon里面的“彈出窗口過濾”和“網頁內容過濾”里面同時添加“unionsky、allyes、taobao”等過濾條目！更直接的方法是使用用世界之窗瀏覽器，不用任何設置，默認即可屏蔽！對于沒有過濾功能的IE，如果系統(tǒng)是XP/2003，請在“開始，運行”中輸入：%SystemRoot\\system32\\notepad.exeC:\\WINDOWS\\system32\\drivers\\etc\\hosts。三、“流氓軟件”卸載方法卸載淘寶網三、“流氓軟件”卸載方法卸載ebay易趣問題：強制安裝，瀏覽器劫持（自動在ie中添加按鈕和菜單），無法卸載。卸載方法：對易趣廣告的屏蔽可以參考上面對淘寶網廣告的方法。但刪除易趣插件就比較繁瑣了。首先，易趣插件沒有提供卸載工具。第二，易趣插件不能通過如windows優(yōu)化大師這樣的軟件下載，因為系統(tǒng)文件已經被替換到了不能識別的版本而失敗。

易趣清除程序UebayFOR暴風和酷狗.rar，可以清除易趣廣告和幾個廣告鏈接。三、“流氓軟件”卸載方法卸載ebay易趣三、“流氓軟件”卸載方法中文上網問題：強制安裝，無法徹底卸載。卸載方法：進入“控制面板”的“添加/刪除程序”選項，找到“中文上網官方版軟件”，卸載。還需要以下步驟：1、刪除C:\\ProgramFiles\\下的CNNIC整個目錄。2、“開始菜單”>>“運行”>>輸入“regedit”確定回車，查找路徑：HKEY_CURRENT_USER\\Software\\CNNIC和HKEY_LOCAL_MACHINE\\SOFTWARE\\CNNIC，將其全部刪除才算了結。三、“流氓軟件”卸載方法中文上網三、“流氓軟件”卸載方法青娛樂聊天軟件（qyule）問題：強制安裝。卸載方法：青娛樂的關鍵可能是收費和部分名過其實的內容，有些網友指出，在花費開通后得到的內容可能會和名稱不符，而青娛樂也會和其它軟件捆綁而不請自來。清除青娛樂的方法并不復雜，但對已經交費的會員可能會涉及到申請停止服務的問題。退訂前最好看清規(guī)則再操作，尤其是短信退訂需要避免字母O還是數(shù)字0這樣的誤會。至于卸載，你可以使用首先在Windows任務管理器中關掉該進程，之后在本機中查找文件名為qyule.exe的青娛樂原程序,找到以后直接刪除就可以了。三、“流氓軟件”卸載方法青娛樂聊天軟件（qyule）三、“流氓軟件”卸載方法很棒小秘書問題：強制安裝，無法徹底卸載。卸載方法：按照軟件中的說明刪除軟件（點擊C:\\Widnows\\System32\\目錄下的uninstall.exe）；刪除掉注冊表中相關的自啟動內容；然后進入C:\\Widnows\\System32\\目錄，刪除winup.exe、hap.dll、winhtp.dll和hda.ini文件（如果有henbangtemp這個文件夾的話，也刪掉）；檢查一次，把與之相關的文件夾也刪掉；打開IE瀏覽器，依次點擊：“工具，加載管理項”，然后將涉及到winhtp.dll的加載項禁用。三、“流氓軟件”卸載方法很棒小秘書三、“流氓軟件”卸載方法百度搜霸問題：強制安裝。卸載方法：刪除百度搜霸的方法是，在IE瀏覽器的菜單中，依次進入“工具，Internet選項，常規(guī)，Internet臨時文件，設置，查看對象”，然后找到對應的插件名稱，用鼠標選中后刪除即可。三、“流氓軟件”卸載方法百度搜霸三、“流氓軟件”卸載方法一搜工具條問題：強制安裝卸載方法。刪除方法：單擊一搜徽標打開下拉菜單。選擇“幫助，卸載選項”。如果無法訪問工具條上的一搜徽標，也可以使用Windows控制面板中的添加/刪除程序卸載工具條：單擊Windows“開始”按鈕，然后選擇設置。打開控制面板文件夾，然后雙擊添加/刪除程序條目。瀏覽程序列表，選取“一搜工具條”。單擊添加/刪除按鈕。三、“流氓軟件”卸載方法一搜工具條三、“流氓軟件”卸載方法網絡豬問題：強制安裝，無法徹底卸載。卸載方法：刪除網絡豬目前有兩種方法，在系統(tǒng)進程中結束movesearch.exe，然后在C:\\ProgramFiles中進入wsearch文件夾，然后執(zhí)行其中的卸載程序。最后返回上層文件夾，把wsearch文件夾刪除。手動清除，就是直接在中止movesearch程序后，直接刪除ProgramFiles下的wsearch文件夾及其下文件，然后在注冊表中清除與movesearch有關的信息。(打開注冊表，搜索“movesearch”(可按F3)統(tǒng)統(tǒng)刪除即可)刪除劃詞搜索比較麻煩，因為即便先卸載劃詞搜索再刪除wsearch文件夾也不能徹底將其清除，目前比較管用的方法是使用新版的超級兔子專業(yè)卸載功能。

三、“流氓軟件”卸載方法網絡豬

項目二

網絡安全掃描網絡的安全掃描是指使用網絡安全掃描工具對于本地或者遠程的計算機系統(tǒng)進行掃描，掃描的范圍包括工作站、服務器、操作系統(tǒng)、數(shù)據(jù)庫與路由交換設備等，目的是發(fā)現(xiàn)安全漏洞。根據(jù)發(fā)現(xiàn)系統(tǒng)缺少的補丁或異常開放的端口與服務，撰寫網絡安全風險報告，提出網絡安全整改方案，為網絡安全的后續(xù)課程，如網絡邊界安全，內網安全以及網絡安全是設計打下良好的基礎。項目二網絡安全掃描網絡的安全掃描是指使用網絡安全項目二網絡安全掃描項目二網絡安全掃描【項目背景】隨著網絡安全問題越來越多，人們更加重視網絡安全。有一家企業(yè)邀請網絡安全專家，對于公司的網絡進行安全性檢查，希望能夠發(fā)現(xiàn)公司內部網絡存在的問題。公司現(xiàn)有上千臺計算機主機與幾十臺服務器，有公司自己網頁和OA辦公系統(tǒng)，公司除了有財務部、人事部、銷售部，還有安全要求比較高的技術研發(fā)中心?！卷椖勘尘啊侩S著網絡安全問題越來越多，人們更加重視網絡安全?！拘枨蠓治觥烤W絡安全檢測是網絡安全技術人員的基本職責。一般的安全檢測主要包括計算機主機與服務器的系統(tǒng)的安全檢測。檢測的內容除了常規(guī)的網絡病毒檢測外，重點是檢測主機的安全漏洞、系統(tǒng)風險、數(shù)據(jù)庫的安全威脅與網絡的安全漏洞。當然，網絡是否受到攻擊，網絡的流量也是檢測的內容。

一般的檢測需要使用常規(guī)的安全檢測、掃描與探測工具，對于要求較高的環(huán)境則需要用到專業(yè)的安全檢查系統(tǒng)一定時間的實時監(jiān)控，才能發(fā)現(xiàn)和分析網絡存在的安全問題?！拘枨蠓治觥烤W絡安全檢測是網絡安全技術人員的基本職責。一般的知識1網絡端口掃描端口掃描端口掃描是指用端口掃描軟件對需要掃描目標主機的端口發(fā)送探測數(shù)據(jù)包，根據(jù)返回的端口狀態(tài)信息，分析主機的端口是否打開，是否可用的過程。端口掃描是通過與目標主機的TCP/IP端口建立連接，并請求某些服務，記錄目標主機的應答，收集目標主機相關信息，確定端口的什么服務正在進行，獲取該服務的信息，發(fā)現(xiàn)目標主機某些內在的安全弱點。端口掃描的主要作用就是檢測電腦開了什么端口，比如電腦開了80端口說明該可以瀏覽器上網，開了1433端口說明安裝了sql，開了3389端口說明此電腦可以被遠程控制。不同端口有不同用處，黑客利用端口入侵的電腦，網絡統(tǒng)管理員和網絡安全顧問則通過掃描找出系統(tǒng)的缺陷或漏洞，進行網絡系統(tǒng)的加固。知識1網絡端口掃描端口掃描知識1網絡端口掃描端口掃描技術

端口掃描的方法有很多，可以是手工掃描也可以用端口掃描軟件。典型的掃描技術有TCPconnect()掃描、TCPSYN掃描、TCPFIN掃描、IP段掃描、TCP反向ident掃描、UDPICMP端口不能到達掃描與UDPrecvfrom()和write()掃描等，下面將作簡單介紹。知識1網絡端口掃描端口掃描技術端口掃描技術1．TCPconnect()掃描TCPconnect()掃描是最基本的TCP掃描。connect()是操作系統(tǒng)提供的系統(tǒng)調用，可以用connect()向感興趣的目標計算機的端口發(fā)送請求數(shù)據(jù)包（SYN）建立連接。如果端口處于偵聽狀態(tài)，那么connect()就能成功返回應答數(shù)據(jù)包（ACK+SYN）。否則，返回（ACK＋RST），表示這個端口是不可用的，即沒有提供服務。這個技術的一個最大的優(yōu)點是，掃描不需要任何權限。這種掃描的另一個好處就是速度比較快，使用者可以通過同時打開多個套接字來加速掃描，使用非阻塞I/O允許你設置一個低的時間用盡周期，同時觀察多個套接字。這種方法的缺點是很容易被察覺，被防火墻將掃描信息包過濾掉，致使目標主機的logs文件顯示一連串連接出錯消息，導致其很快關閉。端口掃描技術1．TCPconnect()掃描端口掃描技術2．TCPSYN掃描TCPSYN掃描因為不必全部打開一個TCP連接，因此稱為半開掃描。這種掃描程序發(fā)送一個SYN數(shù)據(jù)包，如果獲得一個SYN＋ACK的返回信息，表示端口處于偵聽狀態(tài)；如果返回ACK＋RST則表示端口沒有處于偵聽態(tài)。如果收到一個SYN＋ACK，掃描程序會發(fā)送一個RST信號，來關閉這個連接過程。這種掃描技術的優(yōu)點是不會在目標計算機上留下記錄，這種方法的缺點是必須要有root權限才能建立自己的SYN數(shù)據(jù)包。端口掃描技術2．TCPSYN掃描端口掃描技術3.TCPFIN掃描SYN掃描雖然是“半開放”方式掃描，隱蔽性比TCPconnect()掃描好，但在某些時候也不能完全隱藏其動作，被一些防火墻和包過濾器檢測到。FIN掃描利用暴露的FIN數(shù)據(jù)包進行探測，這種數(shù)據(jù)包在掃描過程中通常不會遇到過多問題，這種掃描方法的思路是關閉的端口會用適當?shù)腞ST來回FIN數(shù)據(jù)包，而打開的端口會忽略對FIN數(shù)據(jù)包的回復。這種方法和系統(tǒng)的實現(xiàn)有一定的關系，有的系統(tǒng)不管端口是否打開都會回復RST，在這種情況下此種掃描就不適用了。另外，這種掃描方法可以非常容易的區(qū)分服務器是運行Unix系統(tǒng)還是NT系統(tǒng)。端口掃描技術3.TCPFIN掃描端口掃描技術4．IP段掃描這種掃描方式并不是新技術，它并不是直接發(fā)送TCP探測數(shù)據(jù)包，而是將數(shù)據(jù)包分成兩個較小的IP段。這樣就將一個TCP頭分成好幾個數(shù)據(jù)包，從而過濾器就很難探測到。但必須小心：一些程序在處理這些小數(shù)據(jù)包時會有些麻煩。端口掃描技術4．IP段掃描端口掃描技術5．TCP反向ident掃描ident協(xié)議允許(rfc1413)看到通過TCP連接的任何進程的擁有者的用戶名，即使這個連接不是由這個進程開始的。例如掃描者可以連接到http端口，然后用ident來發(fā)現(xiàn)服務器是否正在以root權限運行。這種方法只能在和目標端口建立了一個完整的TCP連接后才能看到。端口掃描技術5．TCP反向ident掃描端口掃描技術6．FTP返回攻擊FTP協(xié)議的一個有趣的特點是它支持代理（proxy）FTP連接，即入侵者可以從自己的計算機和目標主機的FTPserver-PI(協(xié)議解釋器)連接，建立一個控制通信連接。然后請求這個server-PI激活一個有效的server-DTP(數(shù)據(jù)傳輸進程)來給Internet上任何地方發(fā)送文件。對于一個User-DTP，盡管RFC明確地定義請求一個服務器發(fā)送文件到另一個服務器是可以的，但現(xiàn)在這個方法并不是非常有效。這個協(xié)議的缺點是“能用來發(fā)送不能跟蹤的郵件和新聞，給許多服務器造成打擊，用盡磁盤，企圖越過防火墻”。端口掃描技術6．FTP返回攻擊端口掃描技術7．UDPICMP端口不能到達掃描這種方法與上面幾種方法的不同之處在于使用的是UDP協(xié)議，而非TCP/IP協(xié)議。由于UDP協(xié)議很簡單，所以掃描變得相對比較困難。這是由于打開的端口對掃描探測并不發(fā)送確認信息，關閉的端口也并不需要發(fā)送一個錯誤數(shù)據(jù)包。幸運的是許多主機在向一個未打開的UDP端口發(fā)送數(shù)據(jù)包時，會返回一個ICMP_PORT_UNREACH錯誤，這樣掃描者就能知道哪個端口是關閉的。UDP和ICMP錯誤都不保證能到達，因此這種掃描器必須還實現(xiàn)在一個包看上去是丟失的時候能重新傳輸。這種掃描方法是很慢的，因為RFC對ICMP錯誤消息的產生速率做了規(guī)定。同樣這種掃描方法也需要具有root權限。端口掃描技術7．UDPICMP端口不能到達掃描端口掃描技術8．UDPrecvfrom()和write()掃描當非root用戶不能直接讀到端口不能到達錯誤時，Linux能間接地在它們到達時通知用戶。比如，對一個關閉的端口的第二個write()調用將失敗。在非阻塞的UDP套接字上調用recvfrom()時，如果ICMP出錯還沒有到達時回返回EAGAIN-重試。如果ICMP到達時，返回ECONNREFUSED-連接被拒絕。這就是用來查看端口是否打開的技術。端口掃描技術8．UDPrecvfrom()和write()典型的端口掃描工具SuperscanSuperscan是由大名鼎鼎的foundstone開發(fā)的基于Windows的閉源TCP/UDP端口功能強大掃描工具，它包括許多的網絡探測功能，如通過Ping來檢驗IP是否在線，使用traceroute檢驗一定范圍目標計算機的是否在線和端口開放情況，通過IP查找主機名，通過ICMP實現(xiàn)路由跟蹤，可使用httphead，whois命令請求等。它包含三個版本：SlackwarePackage-Unicornscan0.4.2、FedoraRPM-Unicornscan0.4.2、FreeBSDPort-Unicornscan0.4.2，這款工具非常適合入門者使用。典型的端口掃描工具典型的端口掃描工具典型的端口掃描工具典型的端口掃描工具典型的端口掃描工具典型的端口掃描工具典型的端口掃描工具典型的端口掃描工具HostScan網絡主機掃描[HostScan]是一款比較最強大的網絡掃描軟件，包括IP掃描，端口掃描和網絡服務掃描。IP掃描可以掃描任意范圍的IP地址(到55)，找到正在使用中的網絡主機；端口掃描可以掃描已發(fā)現(xiàn)網上主機的端口，范圍可以從1到65535，獲得已經打開的端口的信息，對端口分析可以知道是否有人在你的電腦上留下了后門；網絡服務掃描可以掃描打開的端口，返回端口后臺運行的網絡服務信息，例如,通常情況下，端口80運行的是HTTP服務。典型的端口掃描工具HostScan典型的端口掃描工具NmapNmap是一款針對大型網絡的端口掃描工具，在不同情況下，你可能需要隱藏掃描、越過防火墻掃描或者使用不同的協(xié)議進行掃描，比如：UDP、TCP、ICMP等。它支持：VanillaTCPconnect掃描、TCPSYN（半開式）掃描、TCPFIN、Xmas、或NULL（隱藏）掃描、TCPftp代理（跳板）掃描、SYN/FINIP碎片掃描（穿越部分數(shù)據(jù)包過濾器）、TCPACK和窗口掃描、UDP監(jiān)聽ICMP端口無法送達掃描、ICMP掃描（狂ping）、TCPPing掃描、直接RPC掃描（無端口映射）、TCP/IP指紋識別遠程操作系統(tǒng)，以及相反身份認證掃描等。Namp同時支持性能和可靠性統(tǒng)計，例如：動態(tài)延時計算，數(shù)據(jù)包超時和轉發(fā)，并行端口掃描，通過并行ping偵測下層主機。典型的端口掃描工具Nmap典型的端口掃描工具X-Scanner采用多線程方式對指定IP地址段或單機進行安全漏洞掃描，掃描內容包括：標準端口狀態(tài)及端口banner信息、CGI漏洞、RPC漏洞、FTP弱口令，NT主機共享信息、用戶信息、組信息、NT主機弱口令用戶等。掃描結果保存在/log/目錄中，index.htm為掃描結果索引文件。對于一些已知的CGI和RPC漏洞，該工具可以給出相應的漏洞描述。X-Scanner掃描的內容是絕大多數(shù)的服務器容易出現(xiàn)的漏洞和安全設置問題。最常用的還是其中的SQL默認帳戶、FTP弱口令和共享掃描，他們能揭示出許多麻痹大意的網管犯的一些低級錯誤?！?/p>

典型的端口掃描工具X-Scanner典型的端口掃描工具StrobeStrobe是一個TCP端口掃描器，它可以記錄指定機器的所有開放端口。strobe運行速度快（其作者聲稱在很短時間內，便可掃描一個國家的全部機器。strobe的主要特點是，它能快速識別指定機器上正在運行什么服務。strobe的主要不足是這類獲得的信息很有限，strobe攻擊充其量只能提供給“入侵者”一個粗略的指南，告訴什么服務可以被攻擊。但strobe用擴展的行命令選項彌補了這個不足。比如，在用大量指定端口掃描主機時，可以禁止所有重復的端口描述。其他特殊選項包括：可定義使用的socket號碼，定義strobe要捕捉的目標主機的文件。典型的端口掃描工具Strobe典型的端口掃描工具NetcatNetcat在網絡工具中有“瑞士軍刀”的美譽。這個簡單的小工具可以讀和寫經過TCP或UDP網絡連接的數(shù)據(jù)。它被設計成一個可靠的可以被其它程序或腳本直接和簡單調用的后臺工具。同時，它也是一個功能多樣的網絡調試和檢查工具，因為它可以生成幾乎所有想要的網絡連接，包括通過端口綁定來接受輸入連接。典型的端口掃描工具四、端口掃描器的應用端口掃描器被用來檢測目標系統(tǒng)上哪些TCP和UDP端口正在監(jiān)聽。網絡安全管理人員要做的第一件事是在客戶端和服務器端定期或者不定期的進行端口掃描，找出那些不必打開的通訊端口。端口掃描工具非常容易在Internet上找到，選擇是不困難的。四、端口掃描器的應用端口掃描器被用來檢測目標系統(tǒng)上哪些TCP端口掃描器的應用端口掃描器通常主要做如下幾件事：掃描共享資源掃描端口獲取主機的系統(tǒng)信息發(fā)現(xiàn)目標主機的弱點端口掃描器的應用端口掃描器通常主要做如下幾件事：五、端口掃描的防護

人工防護

一般的操作系統(tǒng)，默認情況下有許多端口是開放的，這個容易驗證。假如是Windows-XP系統(tǒng)，進入“開始—運行”，輸入cmd回車，在DOS顯示界面上輸入命令netstat-an–o，從顯示系統(tǒng)端口的狀態(tài)，可發(fā)現(xiàn)Windows-XP有很多端口是開放的，見右圖。五、端口掃描的防護人工防護人工防護人工防護第一步，點擊“開始”菜單/設置/控制面板/管理工具，雙擊打開“本地安全策略”，選中“IP安全策略，在本地計算機”，在右邊窗格的空白位置右擊鼠標，彈出快捷菜單，選擇“創(chuàng)建IP安全策略”，于是彈出一個向導。在向導中點擊“下一步”按鈕，為新的安全策略命名；再按“下一步”，則顯示“安全通信請求”畫面，在畫面上把“激活默認相應規(guī)則”左邊的鉤去掉，點擊“完成”按鈕就創(chuàng)建了一個新的IP安全策略。

人工防護第一步，點擊“開始”菜單/設置/控制面板/管理工具，人工防護第二步，右擊該IP安全策略，在“屬性”對話框中，把“使用添加向導”左邊的鉤去掉，然后單擊“添加”按鈕添加新的規(guī)則，隨后彈出“新規(guī)則屬性”對話框，在畫面上點擊“添加”按鈕，彈出IP篩選器列表窗口；在列表中，首先把“使用添加向導”左邊的鉤去掉，然后再點擊右邊的“添加”按鈕添加新的篩選器。

人工防護第二步，右擊該IP安全策略，在“屬性”對話框中，把“第三步，進入“篩選器屬性”對話框，首先看到的是尋址，源地址選“任何IP地址”，目標地址選“我的IP地址”；點擊“協(xié)議”選項卡，在“選擇協(xié)議類型”的下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，點擊“確定”按鈕，這樣就添加了一個屏蔽TCP135（RPC）端口的篩選器，它可以防止外界通過135端口連上你的電腦。點擊“確定”后回到篩選器列表的對話框，可以看到已經添加了一條策略，重復以上步驟繼續(xù)添加TCP137、139、445、593端口和UDP135、139、445端口，為它們建立相應的篩選器。重復以上步驟添加TCP1025、2745、3127、6129、3389端口的屏蔽策略，建立好上述端口的篩選器，最后點擊“確定”按鈕。

第三步，進入“篩選器屬性”對話框，首先看到的是尋址，源地址選人工防護第四步，在“新規(guī)則屬性”對話框中，選擇“新IP篩選器列表”，然后點擊其左邊的圓圈上加一個點，表示已經激活，最后點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中，把“使用添加向導”左邊的鉤去掉，點擊“添加”按鈕，添加“阻止”操作：在“新篩選器操作屬性”的“安全措施”選項卡中，選擇“阻止”，然后點擊“確定”按鈕。人工防護第四步，在“新規(guī)則屬性”對話框中，選擇“新IP篩人工防護第五步、進入“新規(guī)則屬性”對話框，點擊“新篩選器操作”，其左邊的圓圈會加了一個點，表示已經激活，點擊“關閉”按鈕，關閉對話框；最后回到“新IP安全策略屬性”對話框，在“新的IP篩選器列表”左邊打鉤，按“確定”按鈕關閉對話框。在“本地安全策略”窗口，用鼠標右擊新添加的IP安全策略，然后選擇“指派”。于是重新啟動后，電腦中上述網絡端口就被關閉了。人工防護第五步、進入“新規(guī)則屬性”對話框，點擊“新篩選器操作2.工具防護手工的端口關閉方法雖然可行，但是還是比較麻煩。不過不用擔心，一般的殺毒軟件可以擋住90%以上的端口攻擊，如果用360安全衛(wèi)士的話，可以嘗試開啟局域網防護模式。當然，也可利用專業(yè)的軟件關閉端口，如：WINROUTE、優(yōu)化大師等，建議先了解各個端口的用途（優(yōu)化大師在的系統(tǒng)安全優(yōu)化--附加工具--端口說明），以免導致一些軟件或程序不能用。每種病毒都有不同的端口，有的甚至有好幾個。正常使用的軟件也一樣，如QQ可通過UDP8000、TCP8000、TCP80、TCP443四個端口上線，而TCP80對于局域網各種服務的應用很重要的，關掉它可謂得不償失！2.工具防護手工的端口關閉方法雖然可行，但是還是比較麻煩。不知識2網絡嗅探嗅探（Sniffer）技術是網絡安全檢測技術中很重要的一種，它是一種可以捕獲網絡報文的軟件工具或者設備，網絡安全管理人員會經常借助此類工具對網絡的各種活動進行實時監(jiān)測，發(fā)現(xiàn)網絡中的攻擊行為。與主動掃描相比，嗅探的行為更難察覺，因此，黑客也會利用具有很強非常隱蔽性的嗅探技術攫取網絡中的敏感信息。知識2網絡嗅探嗅探（Sniffer）技術是網絡安全檢測技一、嗅探原理嗅探器（Sniffer）最初是作為網絡管理員檢測網絡通信的一種工具，它既可以是軟件，也可以是一個硬件。軟件工具使用方便，而且價格便宜，有些甚至是免費的，因此人們常常選用。目前，針對不同的操作系統(tǒng)平臺都有各自的嗅探軟件。硬件嗅探器習慣被稱作協(xié)議分析儀，其價格一般都很貴，一些知名行業(yè)企業(yè)如fluk公司就有這類產品。一、嗅探原理嗅探器（Sniffer）最初是作為網絡管理員檢測一、嗅探原理在局域網中，嗅探之所以能夠成功是由于以太網的共享式特性決定的。因為以太網是基于廣播方式傳送數(shù)據(jù)的，這就意味著每個節(jié)點都能夠接收到網段內所有的物理信號，而網卡可以被設置成混雜接收模式(Promiscuous)，在這種模式下，網卡完全能接收監(jiān)聽到與自己地址無關的的所有數(shù)據(jù)，而TCP/IP協(xié)議棧中的應用協(xié)議中大多數(shù)數(shù)據(jù)信息在網絡上是明文傳輸?shù)?，問題是這些明文包含一些敏感的信息（如個人密碼和賬號信息等）。因此，使用Sniffer意味著可以監(jiān)聽得到這些敏感信息。一、嗅探原理在局域網中，嗅探之所以能夠成功是由于以太網的共享一、嗅探原理在交換網絡中，雖然避免了利用網卡混雜模式進行的嗅探，但交換機并不能解決所有的問題。在一個完全由交換機連接的局域網內，同樣可以進行網絡嗅探，下面介紹三種嗅探方法，包括：MAC洪水（MACFlooding）、MAC復制（MACDuplicating）和ARP欺騙，其中最常用的是ARP欺騙。一、嗅探原理在交換網絡中，雖然避免了利用網卡混雜模式進行的嗅一、嗅探原理1.MAC洪水

交換機要負責建立兩個節(jié)點間的“虛電路”，就必須維護一個交換機端口與MAC地址的映射表，這個映射表是放在交換機內存中的，但由于內存數(shù)量的有限，地址映射表可以存儲的映射表項也有限。如果惡意攻擊者向交換機發(fā)送大量的虛假MAC地址數(shù)據(jù),有些交換機在應接不暇的情況下，就會像一臺普通的Hub那樣只是簡單地向所有端口廣播數(shù)據(jù)，嗅探者就可以借機達到竊聽的目的。當然，并不是所有交換機都采用這樣的處理方式，況且，如果交換機使用靜態(tài)地址映射表，這種方法就失靈了。一、嗅探原理1.MAC洪水一、嗅探原理2.MAC復制

MAC復制實際上就是修改本地的MAC地址，使其與欲嗅探主機的MAC地址相同，這樣，交換機將會發(fā)現(xiàn)，有兩個端口對應相同的MAC地址，于是到該MAC地址的數(shù)據(jù)包將同時從這兩個交換機端口發(fā)送出去。這種方法與后面將要提到ARP欺騙有本質的不同，前者是欺騙交換機，后者是毒害主機的ARP緩存而與交換機沒有關系。但是，只要簡單設置交換機使用靜態(tài)地址映射表，這種欺騙方式也就失效了。一、嗅探原理2.MAC復制如果黑客想探聽同一網絡中兩臺主機之間的通信，他會分別給這兩臺主機發(fā)送一個ARP應答包，讓兩臺主機都“誤”認為對方的MAC地址是第三方的黑客所在的主機，這樣，雙方看似“直接”的通信連接，實際上都是通過黑客所在的主機間接進行。黑客一方面得到了想要的通信內容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉發(fā)工作即可。在這種嗅探方式中，黑客所在主機是不需要設置網卡的混雜模式的，因為通信雙方的數(shù)據(jù)包在物理上都是發(fā)給黑客所在的中轉主機的。3.ARP欺騙如果黑客想探聽同一網絡中兩臺主機之間的通信，他會分別給這兩臺二、嗅探造成的危害

網絡嗅探器嗅探的是網絡結構的底層。通常情況下，用戶并不直接和該層打交道，有些甚至不知道有這一層存在。所以，應該說Sniffer的危害是相當之大的。通常，使用Sniffer是在網絡中進行欺騙的開始，它可能造成的危害有下面幾個方面。二、嗅探造成的危害網絡嗅探器嗅探的是網絡結構的底層。通常情二、嗅探造成的危害

1.捕獲口令Sniffer可以記錄到明文傳送的userid和passwd，即使網絡傳送過程中使用了加密的數(shù)據(jù)，Sniffer記錄的數(shù)據(jù)一樣有可能使入侵者想辦法算出你的算法。一般Sniffer只嗅探每個報文的前200到300個字節(jié)，而用戶名和口令都包含在這一部分中。二、嗅探造成的危害1.捕獲口令二、嗅探造成的危害

能夠捕獲專用的或者機密的信息。比如金融帳號，許多用戶很放心在網上使用自己的信用卡或現(xiàn)金帳號，然而Sniffer可以很輕松截獲在網上傳送的用戶姓名、口令、信用卡號碼、截止日期、帳號和pin，比如偷窺機密或敏感的信息數(shù)據(jù)，通過攔截數(shù)據(jù)包，入侵者可以很方便記錄別人之間敏感的信息傳送,或者干脆攔截整個的email會話過程。

二、嗅探造成的危害能夠捕獲專用的或者機密的信息。二、嗅探造成的危害

可以用來危害網絡鄰居的安全Sniffer還可用來獲取更高級別的訪問權限。一旦入侵者得到用戶名和口令，必然可以通過信任關系危害網絡鄰居的安全,既而獲取更高級別的訪問權限。二、嗅探造成的危害可以用來危害網絡鄰居的安全二、嗅探造成的危害

窺探低級的協(xié)議信息

通過對底層的信息協(xié)議記錄，比如記錄兩臺主機之間的網絡接口地址，遠程網絡接口IP地址，IP路由信息和TCP連接的字節(jié)順序號碼等。這些信息由入侵者掌握后將對網絡安全構成極大的危害，例如通常的IP地址欺騙就是要求準確插入TCP連接的字節(jié)順序號。二、嗅探造成的危害窺探低級的協(xié)議信息

當然，簡單的放置一個嗅探器并將其隨便放置將不會起到什么作用。如果將嗅探器放置于被攻擊機器，網關或網絡附近,可以捕獲到很多口令。如果將Sniffer運行在路由器,或有路由器功能的主機上，可以對大量的數(shù)據(jù)進行監(jiān)控。Sniffer屬第二層次的攻擊，通常是攻擊者已經進入了目標系統(tǒng)，然后使用Sniffer這種攻擊手段，以便得到更多的信息，并捕獲網絡和其他網絡進行身份鑒別的過程。當然，簡單的放置一個嗅探器并將其隨便放置將不會起到什三、常見的嗅探器Tcpdump/WindumpTcpdump是一個非常經典的網絡包監(jiān)聽分析工具，它最初是由美國加州大學伯克利分校勞倫斯伯克利國家實驗室的網絡研究小組開發(fā)的，現(xiàn)在由“TheTcpdumpGroup”來更新和維護()。

三、常見的嗅探器Tcpdump/Windump三、常見的嗅探器EttercapEttercap是一個很著名的交換網絡嗅探器，作者是AlbertoOrnaghi和MarcoValleri。除了包含常規(guī)的混雜模式嗅探外，Ettercap還包含ARP欺騙方式的嗅探功能,可以對交換環(huán)境中的網絡通信進行監(jiān)聽。此外，Ettercap的最新版還包括許多更強大的功能，例如：數(shù)據(jù)包生成器，SSL和SSH會話劫持，會話內容注射,被動探測操作系統(tǒng)類型，端口掃描以及各種口令的采集等。Ettercap有基于IP，基于MAC地址，ARP模式和PubilcARP模式四種嗅探。三、常見的嗅探器Etter三、常見的嗅探器SnarpSnarp是一個運行在WindowsNT上的交換網絡嗅探器。其實，嚴格說，它并不具備嗅探功能，因為它只是對目標主機ARP欺騙，并以中間人的身份對收到的數(shù)據(jù)進行轉發(fā)，真正的抓包分析工作，還要借助于其他工具,例如Windump,Ngrep等。Snarp的運行需要LibnetNT(Windows系統(tǒng)中的Libnet庫)和Winpcap的支持。三、常見的嗅探器Snarp三、常見的嗅探器SniffitSniffit是由lawrenceBerkeleyLaboratory開發(fā)的一個非常優(yōu)秀的嗅探器，它可以運行在Solaris，Iris，F(xiàn)reeBSD和Linux等眾多系統(tǒng)平臺。不同于Tcpdump的是,它可以提供完全的數(shù)據(jù)包內容輸出，使用者可以選擇源地址和目的地址或地址集合，選擇監(jiān)聽的端口,協(xié)議和網絡接口等，由此方便地捕獲網絡數(shù)據(jù)包。Sniffit也是基于Libpcap開發(fā)的，除了適用于UNIX類型操作系統(tǒng)的版本外，也有可運行于Windows平臺的相同版本，當然，后者需要Winpcap的支持。

三、常見的嗅探器Sniffit四、嗅探對策網絡嗅探的檢測方法

嗅探程序是一種被動的接收和觸發(fā)程序，它只會收集數(shù)據(jù)包，而不發(fā)送出任何數(shù)據(jù)，因此，嗅探器在理論上是不可能被檢測出來的。但由于當它安裝在一臺正常局域網內的計算機上，工作時會產生一些數(shù)據(jù)流量，網絡也會出現(xiàn)一些典型的特征，還是可以發(fā)現(xiàn)網絡中存Sniffer的行跡的。四、嗅探對策網絡嗅探的檢測方法網絡嗅探的檢測方法

網絡通訊掉包率反常的高

通過一些網絡軟件，你可以看到你的信息包傳送情況（不是Sniffer），向ping這樣的命令會告訴你掉了百分幾的包。如果網絡中有人在聽，由于Sniffer攔截每個包，你的信息包傳送將無法每次都順暢的流到你的目的地。

網絡嗅探的檢測方法網絡通訊掉包率反常的高網絡嗅探的檢測方法

網絡帶寬出現(xiàn)反常

通過某些