網絡攻防實戰(zhàn)演練

計算機網絡1整理ppt網絡攻防技術

or

網絡偵查與審計技術

2整理ppt網絡偵查審計的三個階段偵查滲透控制定位出網絡資源的具體情況

檢查各種系統(tǒng)的漏洞

控制網絡資源、創(chuàng)建賬號、修改日志、行使管理員的權限

3整理ppt第一節(jié)：偵查階段4整理ppt第一節(jié)：偵查階段本節(jié)要點：描述偵查過程識別特殊的偵查方法安裝和配置基于網絡和基于主機的偵查軟件實施網絡級和主機級的平安掃描配置和實施企業(yè)級的網絡漏洞掃描器5整理ppt平安掃描的概念理解平安掃描就是對計算機系統(tǒng)或者其它網絡設備進行平安相關的檢測，以找出平安隱患和可被黑客利用的漏洞。平安掃描軟件是把雙刃劍，黑客利用它入侵系統(tǒng)，而系統(tǒng)管理員掌握它以后又可以有效的防范黑客入侵。平安掃描是保證系統(tǒng)和網絡平安必不可少的手段，必須仔細研究利用。6整理ppt平安掃描的檢測技術基于應用的檢測技術，它采用被動的，非破壞性的方法檢查應用軟件包的設置，發(fā)現(xiàn)平安漏洞。基于主機的檢測技術，它采用被動的，非破壞性的方法對系統(tǒng)進行檢測?；谀繕说穆┒礄z測技術，它采用被動的，非破壞性的方法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫，注冊號等。基于網絡的檢測技術，它采用積極的，非破壞性的方法來檢驗系統(tǒng)是否有可能被攻擊崩潰。7整理ppt平安掃描系統(tǒng)具有的功能說明協(xié)調了其它的平安設備使枯燥的系統(tǒng)平安信息易于理解，告訴了你系統(tǒng)發(fā)生的事情跟蹤用戶進入，在系統(tǒng)中的行為和離開的信息可以報告和識別文件的改動糾正系統(tǒng)的錯誤設置8整理ppt平安掃描whoisnslookuphostTraceroutePing掃描工具平安掃描常用命令9整理pptTraceroute命令用于路由跟蹤，判斷從你的主機到目標主機經過哪些路由器、跳計數(shù)、響應時間等等可以推測出網絡物理布局判斷出響應較慢的節(jié)點和數(shù)據(jù)包在路由過程中的跳數(shù)Traceroute或者使用極少被其它程序使用的高端UDP端口，或者使用PING數(shù)據(jù)包10整理pptTraceroute路由跟蹤原理TTL=1數(shù)據(jù)???TTL-1>0小于等于0ICMPtimeexceeded發(fā)IP包的源地址IP包的所有內容路由器的IP地址AB11整理pptTraceroute路由跟蹤原理TTL=1數(shù)據(jù)小于等于0ICMPtimeexceeded發(fā)IP包的源地址IP包的所有內容路由器的IP地址AB我知道路由器A存在于這個路徑上路由器A的IP地址12整理pptTraceroute路由跟蹤原理BA我知道路由器A存在于這個路徑上路由器A的IP地址TTL=2數(shù)據(jù)???TTL-1>02-1=1>0TTL=1數(shù)據(jù)小于等于0ICMPtimeexceeded發(fā)IP包的源地址IP包的所有內容路由器的IP地址???TTL-1>0我知道路由器B存在于這個路徑上路由器B的IP地址13整理pptTraceroute路由跟蹤原理BA我知道路由器A存在于這個路徑上路由器A的IP地址TTL=3數(shù)據(jù)???TTL-1>03-1=2>0TTL=2數(shù)據(jù)我知道路由器B存在于這個路徑上路由器B的IP地址???TTL-1>02-1=1>0TTL=1數(shù)據(jù)portnumber是一個一般應用程序都不會用的號碼（30000以上），所以當此數(shù)據(jù)包到達目的地后該主機會送回一個「ICMPportunreachable」的消息，而當源主機收到這個消息時，便知道目的地已經到達了。ICMPportunreachable我到達了目的地14整理ppt普通Traceroute到防火墻后的主機假定防火墻的規(guī)那么阻止除PING和PING響應〔ICMP類型8和0〕uniwis>traceroutetracerouteto(05),30hopsmax,40bytepackets1 () 0.540ms 0.394ms 0.397ms2 () 2.455ms 2.479ms 2.512ms3 4(4) 4.812ms 4.780ms 4.747ms4 () 5.010ms 4.903ms 4.980ms5 15(15)5.520ms 5.809ms 6.061ms6 6(15) 9.584ms21.754ms 20.530ms7 () 94.127ms 81.764ms 96.476ms8 6(6) 96.012ms98.224ms 99.312ms

15整理ppt使用ICMP數(shù)據(jù)包后Traceroute結果xuyi>traceroute-Itest.webmastertraceroutetotest.webmaster(05),30hopsmax,40bytepackets1 () 0.540ms 0.394ms 0.397ms2 () 2.455ms 2.479ms 2.512ms3 4(4) 4.812ms 4.780ms 4.747ms4 () 5.010ms 4.903ms 4.980ms5 15(15)5.520ms 5.809ms 6.061ms6 6(15) 9.584ms21.754ms 20.530ms7 () 94.127ms81.764ms 96.476ms8 6(6) 96.012ms98.224ms 99.312ms16整理ppt使用ICMP的Traceroute原理由于防火墻一般不進行內容檢查，我們可以將探測數(shù)據(jù)包到達防火墻時端口為其接受的端口，就可以繞過防火墻到達目標主機。起始端口號計算公式起始端口號=(目標端口-兩機間的跳數(shù)*探測數(shù)據(jù)包數(shù))-1例：防火墻允許FTP數(shù)據(jù)包通過，即開放了21號端口,兩機間跳數(shù)為2起始端口號＝〔ftp端口－兩機間的跳數(shù)*默認的每輪跳數(shù))－1＝〔21－2*3〕-1＝15－1＝1417整理ppt掃描類型按照獲得結果分類存活性掃描端口掃描系統(tǒng)堆棧掃描按照攻擊者角色分類主動掃描被動掃描18整理ppt一、存活性掃描發(fā)送掃描數(shù)據(jù)包，等待對方的回應數(shù)據(jù)包其最終結果并不一定準確，依賴于網絡邊界設備的過濾策略最常用的探測包是ICMP數(shù)據(jù)包例如發(fā)送方發(fā)送ICMPEchoRequest，期待對方返回ICMPEchoReply19整理pptPing掃描作用及工具子網68024結果02468Ping掃描Ping掃描程序能自動掃描你所指定的IP地址范圍

20整理ppt二、端口掃描端口掃描不僅可以返回IP地址，還可以發(fā)現(xiàn)目標系統(tǒng)上活動的UDP和TCP端口

Netscantools掃描結果

21整理ppt端口掃描技術一覽探測分段，指向某一端口回應分段對回應分段進行分析對SYN分段的回應對FIN分段的回應對ACK分段的回應對Xmas分段的回應對Null分段的回應對RST分段的回應對UDP數(shù)據(jù)報的回應22整理ppt端口掃描原理

一個端口就是一個潛在的通信通道，即入侵通道對目標計算機進行端口掃描，得到有用的信息掃描的方法：手工進行掃描端口掃描軟件23整理pptOSI參考模型ApplicationPresentationSessionTransportNetworkDataLinkPhysicalDataLinkNetworkTransportSessionPresentationApplicationPhysical比特流幀（Frame）包（Packet）分段（Segment）會話流代碼流數(shù)據(jù)24整理pptTCP/IP協(xié)議簇傳輸層數(shù)據(jù)連路層網絡層物理層應用層會話層表示層應用層傳輸層網絡層物理層HTTP、FTP、SMTP、SNMP、POP、TELNET、RIP、NNTP等TCP和UDPIP、ICMP、IGMP、ARP、RARP等25整理pptIP協(xié)議包頭VERHDR.LTHSERVICEDATADRAMLENGTHDATAGRAMIDENTIFICATIONFLAGSFRAGMENTOFFSETTTLPROTOCOLHEADERCHECKSUMSOURCEADDRESSDESTINATIONADDRESSOPTIONS015163126整理pptICMP協(xié)議包頭Type(類型)Code〔代碼〕Checksum〔校驗和〕ICMPContent07815163127整理pptTCP協(xié)議包頭Sourceport(16)Destinationport(16)Sequencenumber(32)Header

length(4)Acknowledgementnumber(32)Reserved(6)Codebits(6)Window(16)Checksum(16)Urgent(16)Options(0or32ifany)Data(varies)Bit0Bit15Bit16Bit3120bytes28整理pptUDP協(xié)議包頭SourcePortLength0151631DataDestinationPortChecksum29整理pptTCP三次握制SYNreceived主機A：客戶端主機B：效勞端發(fā)送TCPSYN分段(seq=100ctl=SYN)1發(fā)送TCPSYN&ACK分段(seq=300ack=101ctl=syn,ack)SYNreceived2Established(seq=101ack=301ctl=ack)330整理pptTCP連接的終止主機A：客戶端主機B：效勞端1發(fā)送TCPFIN分段2發(fā)送TCPACK分段3發(fā)送TCPFIN分段4發(fā)送TCPACK分段關閉A到B的連接關閉B到A的連接31整理pptTCP/IP相關問題一個TCP頭包含6個標志位。它們的意義如下所述：SYN：標志位用來建立連接，讓連接雙方同步序列號。如果SYN＝1而ACK=0，那么表示該數(shù)據(jù)包為連接請求，如果SYN=1而ACK=1那么表示接受連接；FIN：表示發(fā)送端已經沒有數(shù)據(jù)要求傳輸了，希望釋放連接；RST：用來復位一個連接。RST標志置位的數(shù)據(jù)包稱為復位包。一般情況下，如果TCP收到的一個分段明顯不是屬于該主機上的任何一個連接，那么向遠端發(fā)送一個復位包；URG：為緊急數(shù)據(jù)標志。如果它為1，表示本數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時緊急數(shù)據(jù)指針有效；ACK：為確認標志位。如果為1，表示包中確實認號時有效的。否那么，包中確實認號無效；PSH：如果置位，接收端應盡快把數(shù)據(jù)傳送給應用層。32整理ppt大局部TCP/IP遵循的原那么(1)SYN數(shù)據(jù)包

監(jiān)聽的端口SYN|ACK正常的三次握手開始33整理ppt大局部TCP/IP遵循的原那么(2)SYN或者FIN數(shù)據(jù)包

關閉的端口RST數(shù)據(jù)包

丟

棄

數(shù)

據(jù)

包34整理ppt大局部TCP/IP遵循的原那么(3)RST數(shù)據(jù)包

監(jiān)聽的端口丟

棄

R

S

T

數(shù)

據(jù)

包35整理ppt大局部TCP/IP遵循的原那么(4)包含ACK的數(shù)據(jù)包

監(jiān)聽的端口RST數(shù)據(jù)包

丟

棄

數(shù)

據(jù)

包36整理ppt大局部TCP/IP遵循的原那么(5)SYN位關閉的數(shù)據(jù)包

監(jiān)聽的端口丟

棄

數(shù)

據(jù)

包37整理ppt大局部TCP/IP遵循的原那么(6)FIN數(shù)據(jù)包

監(jiān)聽的端口丟

棄

數(shù)

據(jù)

包38整理ppt

端口掃描方式全TCP連接TCPSYN掃描TCPFIN掃描其它TCP掃描方式UDP掃描UDPrecvfrom〔〕和write〔〕掃描秘密掃描技術間接掃描39整理ppt全TCP連接長期以來TCP端口掃描的根底掃描主機嘗試〔使用三次握手〕與目的機指定端口建立建立正規(guī)的連接連接由系統(tǒng)調用connect()開始對于每一個監(jiān)聽端口，connect()會獲得成功，否那么返回－1，表示端口不可訪問很容易被檢測出來Courtney,Gabriel和TCP

Wrapper監(jiān)測程序通常用來進行監(jiān)測。另外，TCP

Wrapper可以對連接請求進行控制，所以它可以用來阻止來自不明主機的全連接掃描。40整理pptTCP

SYN掃描TCPSYN分段，指向某端口？該端口開放么？開放TCPSYN&ACK分段不開放TCPRST分段收到什么分段？？TCPRSTTCPSYN&ACK41整理pptTCP

FIN

掃描TCPFIN分段，指向某端口？該端口開放么？開放不開放TCPRST分段收到什么分段？？TCPRST沒有收到分段42整理ppt其他TCP掃描方式NULL掃描發(fā)送一個沒有任何標志位的TCP包，根據(jù)RFC793，如果目標主機的相應端口是關閉的話，應該發(fā)送回一個RST數(shù)據(jù)包向目標主機發(fā)送一個FIN、URG和PUSH分組，根據(jù)RFC793，如果目標主機的相應端口是關閉的，那么應該返回一個RST標志當一個包含ACK的數(shù)據(jù)包到達目標主機的監(jiān)聽端口時，數(shù)據(jù)包被丟棄，同時發(fā)送一個RST數(shù)據(jù)包ACK掃描FIN+URG+PUSH〔Xmas掃描〕43整理pptUDP掃描使用的是UDP協(xié)議，掃描變得相比照較困難翻開的端口對掃描探測并不發(fā)送一個確認，關閉的端口也并不需要發(fā)送一個錯誤數(shù)據(jù)包。然而，許多主機在向未翻開的UDP端口發(fā)送數(shù)據(jù)包時，會返回一個ICMP_PORT_UNREACHABLE錯誤，即類型為3、代碼為13的ICMP消息UDP和ICMP錯誤都不保證能到達，因此這種掃描器必須還實現(xiàn)在一個包看上去是喪失的時候能重新傳輸這種掃描方法是很慢的，因為RFC對ICMP錯誤消息的產生速率做了規(guī)定這種掃描方法需要具有root權限44整理pptUDP

recvfrom()和write()

掃描

當非root用戶不能直接讀到端口不能到達錯誤時，某些系統(tǒng)如Linux能間接地在它們到達時通知用戶。

在非阻塞的UDP套接字上調用recvfrom()時，如果ICMP出錯還沒有到達時回返回AGAIN重試。如果ICMP到達時，返回CONNECTREFUSED連接被拒絕。這就是用來查看端口是否翻開的技術。

對一個關閉的端口的第二個write()調用將失敗。45整理ppt秘密掃描技術不含標準TCP三次握手協(xié)議的任何局部，比SYN掃描隱蔽得多FIN數(shù)據(jù)包能夠通過只監(jiān)測SYN包的包過濾器秘密掃描技術使用FIN數(shù)據(jù)包來探聽端口Xmas和Null掃描－－秘密掃描的兩個變種Xmas掃描翻開FIN，URG和PUSH標記而Null掃描關閉所有標記。這些組合的目的是為了通過所謂的FIN標記監(jiān)測器的過濾秘密掃描通常適用于UNIX目標主機跟SYN掃描類似，秘密掃描也需要自己構造IP

包46整理ppt間接掃描利用第三方的IP〔欺騙主機〕來隱藏真正掃描者的IP假定參與掃描過程的主機為掃描機，隱藏機，目標機。掃描機和目標機的角色非常明顯。隱藏機是一個非常特殊的角色，在掃描機掃描目的機的時候，它不能發(fā)送任何數(shù)據(jù)包〔除了與掃描有關的包〕47整理ppt端口掃描軟件端口掃描器是黑客最常使用的工具

單獨使用的端口掃描工具集成的掃描工具48整理ppt三、系統(tǒng)堆棧指紋掃描利用TCP/IP來識別不同的操作系統(tǒng)和效勞向系統(tǒng)發(fā)送各種特殊的包，根據(jù)系統(tǒng)對包回應的差異，推斷出操作系統(tǒng)的種類堆棧指紋程序利用的局部特征ICMP錯誤信息抑制效勞類型值(TOS)TCP/IP選項對SYNFLOOD的抵抗力TCP初始窗口49整理ppt堆棧指紋的應用利用FIN探測利用TCPISN采樣使用TCP的初始化窗口ICMP消息抑制機制ICMP錯誤引用機制ToS字段的設置DF位的設置ICMP錯誤信息回顯完整性TCP選項ACK值50整理ppt利用FIN標記探測FIN的包（或者是任何沒有ACK或SYN標記的包）開放端口是否是MS-WINDOWS，BSDI，CISCO，HP/UX，MVS和IRIX系統(tǒng)RESET是否51整理ppt利用BOGUS標記探測SYN包（含有沒有定義的TCP標記的TCP頭）開放端口是否是LINUX系統(tǒng)包含這個沒有定義的標記的數(shù)據(jù)包是否關閉連接52整理ppt使用TCP的初始化窗口

簡單地檢查返回包里包含的窗口長度。根據(jù)各個操作系統(tǒng)的不同的初始化窗口大小來唯一確定操作系統(tǒng)類型：注：TCP使用滑動窗口為兩臺主機間傳送緩沖數(shù)據(jù)。每臺TCP/IP主機支持兩個滑動窗口，一個用于接收數(shù)據(jù)，另一個用于發(fā)送數(shù)據(jù)。窗口尺寸表示計算機可以緩沖的數(shù)據(jù)量大小。53整理pptNMAP工具功能強大、不斷升級并且免費對網絡的偵查十分有效它具有非常靈活的TCP/IP堆棧指紋引擎它可以穿透網絡邊緣的平安設備注：NMAP穿透防火墻的一種方法是利用碎片掃描技術〔fragmentscans〕，你可以發(fā)送隱秘的FIN包〔-sF〕，Xmastree包〔-sX〕或NULL包〔-sN〕。這些選項允許你將TCP查詢分割成片斷從而繞過防火墻規(guī)那么。這種策略對很多流行的防火墻產品都很有效。54整理ppt四、其它掃描共享掃描軟件使用Telnet

使用SNMP認證掃描代理掃描社會工程55整理ppt共享掃描軟件提供了允許審計人員掃描Windows網絡共享的功能

只能偵查出共享名稱，但不會入侵共享

PingProRedButton

56整理ppt共享掃描軟件子網60結果0：home，data6：files，apps共享掃描共享目錄Filesapps共享目錄homedata57整理ppt使用Telnet是遠程登錄系統(tǒng)進行管理的程序

可以利用Telnet客戶端程序連接到其它端口，從返回的報錯中獲得需要的系統(tǒng)信息58整理ppt使用SNMPSNMPv1最普通但也最不平安它使用弱的校驗機制用明文發(fā)送communitynameSNMP信息暴露59整理ppt企業(yè)級的掃描工具掃描等級配置文件和策略報告功能報告風險等級AxcentBetReconFinger效勞漏洞；GameOver〔遠程管理訪問攻擊〕未授權注銷禁止效勞漏洞，包括SMTP、DNS、FTP、HTTP、SOCKS代理和低的sendmail補丁等級60整理ppt企業(yè)級的掃描工具NetworkAssociatesCyberCopScanner是NetworkAssociates的產品，象NetRecon一樣，CyberCopScanner是一個主機級別的審計程序。也把各種漏洞分類為低、中、高三個等級提示：CyberCopMonitor不是網絡掃描器，它是入侵監(jiān)測系統(tǒng)程序，

能夠對黑客活動進行監(jiān)視，提供報警功能，還能懲罰黑客。61整理ppt企業(yè)級的掃描工具WebTrendsSecurityAnalyzer與UNIX搭配使用多年操作界面也簡單易用InternetSecuritySystems的掃描產品ISSInternetScanner有三個模塊：intranet，firewall和Web效勞器程序的策略是希望將網絡活動分類，并針對每種活動提供一種掃描方案ISSSecurityScanner基于主機的掃描程序62整理ppt社會工程訪問欺騙信任欺騙教育63整理ppt訪問一位新的職員尋求幫助，試圖找到在計算機上完成某個特定任務的方法一位憤怒的經理打給下級，因為他的口令突然失效一位系統(tǒng)管理員打給一名職員，需要修補它的賬號，而這需要使用它的口令一位新雇傭的遠程管理員打給公司，詢問平安系統(tǒng)的配置資料一位客戶打給供給商，詢問公司的新方案，開展方向和公司主要負責人64整理ppt信任欺騙當社交工程失敗的時候，攻擊者可能展開長達數(shù)月的信任欺騙典型情況通過熟人介紹，來一次四人晚餐可以隱藏自己的身份，通過網絡聊天或者是電子郵件與之結識偽裝成工程技術人員騙取別人回復信件，泄漏有價值的信息一般說來，有魅力的異性通常是最可怕的信任欺騙者，不過不管對于男性還是女性，女性總是更容易令人信任65整理ppt防范措施——教育網絡平安中人是薄弱的一環(huán)作為平安管理人員，防止員工成為偵查工具的最好方法是對他們進行教育。提高本網絡現(xiàn)有用戶、特別是網絡管理員的平安意識對提高網絡平安性能具有非同尋常的意義。66整理ppt掃描目標——網絡級別的信息信息描述網絡拓撲安全審計人員首先應當搞清楚網絡的類型（以太網，令牌環(huán)等等），IP地址范圍，子網和其它網絡信息。配線架的位置也很重要。作為安全管理人員，你的目標是利用防火墻、代理服務器等設備保護這些信息。路由器和交換機掌握路由器和交換機的種類對分析網絡安全十分重要，你可以是路由器泄漏信息。防火墻種類大多數(shù)的網絡都有防火墻。如果你能夠訪問防火墻，便可以偵查它并尋找相應的漏洞。IP服務最基本的服務包括DHCP，BOOTP，WINS，SAMBA，和DNS。DNS服務特別容易遭受緩沖區(qū)溢出的攻擊。Modem池也許最流行的繞過防火墻是做法是通過modem連接再附以Man-in-the-middle攻擊和包捕獲。Wardialer是在Internet上尋找網絡連接的重要的審計工具。67整理ppt掃描目標——主機級別的信息信息描述活動端口你應該了解服務器上有那些端口是活動的。HTTP和FTP服務是最容易遭受端口掃描的服務，而且黑客會進一步實施緩沖區(qū)溢出攻擊。數(shù)據(jù)庫數(shù)據(jù)庫類型（例如Oracle,MicrosoftSQLServer和IBMDB2），物理位置和應用協(xié)議都很有價值。服務器服務器類型是非常有價值的信息。一旦你確定了服務器的種類是Microsoft或UNIX，便可以有針對性的利用系統(tǒng)的缺省設置和補丁偵查登錄賬戶名稱，弱口令和低的補丁等級。68整理ppt平安掃描技術的開展趨勢使用插件〔plugin〕或者叫功能模塊技術使用專用腳本語言由平安掃描程序到平安評估專家系統(tǒng)69整理ppt對網絡進行平安評估DMZ

E-Mail

FileTransferHTTPIntranet生產部工程部市場部人事部路由Internet中繼安全弱點掃描通訊&應用效勞層70整理ppt可適應性平安弱點監(jiān)測和響應DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網絡生產部工程部市場部人事部路由Internet中繼安全弱點掃描操作系統(tǒng)層71整理ppt對于DMZ區(qū)域的檢測DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網絡生產部工程部市場部人事部路由Internet中繼應用程序層安全弱點掃描72整理ppt第二節(jié)：滲透階段73整理ppt重點內容：效勞器滲透與攻擊技術本節(jié)要點：討論滲透策略和手法列舉潛在的物理、操作系統(tǒng)和TCP/IP堆棧攻擊識別和分析暴力攻擊、社會工程和拒絕效勞攻擊實施反滲透和攻擊的方法74整理ppt入侵和攻擊的范疇

在Internet上

在局域網上

本地

離線75在Internet上協(xié)作攻擊：Internet允許全世界范圍的連接，這很容易使來自全世界的人們在一個攻擊中進行合作參與。會話劫持：在合法的用戶得到鑒別可以訪問后，攻擊者接管一個現(xiàn)存動態(tài)會話的過程。欺騙：欺騙是一種模仿或采取不是自己身份的行為。轉播：是攻擊者通過第三方的機器轉播或反射他的通信，這樣攻擊就好象來自第三方的機器而不是他。特洛伊木馬或病毒：特洛伊木馬的常見用途是安裝后門。76整理ppt在局域網上嗅探流量：觀察網絡上所有流量的被動攻擊。播送：攻擊者發(fā)送一個信息包到播送地址，以到達產生大量流量的目的。文件訪問：通過找到用戶標識和口令，可以對文件進行訪問。遠程控制：通過安裝木馬實現(xiàn)對機器的遠程控制。應用搶劫：接收應用并且到達非授權訪問。77整理ppt在本地旁側偷看未上鎖的終端被寫下的口令拔掉機器本地登錄78整理ppt離線下載口令文件下載加密的文本復制大量的數(shù)據(jù)79整理ppt常見的攻擊方法1.欺騙攻擊(Spoofing)

3.拒絕效勞(DenialofService)攻擊2.中間人攻擊(Man-in-the-MiddleAttacks)

4.緩沖區(qū)溢出〔BufferOverflow〕攻擊5.后門和漏洞攻擊6.暴力破解攻擊80整理ppt容易遭受攻擊的目標路由器數(shù)據(jù)庫郵件效勞名稱效勞Web和FTP效勞器和與協(xié)議相關的效勞81整理ppt一、欺騙技術82整理ppt83整理ppt84整理ppt85整理ppt86整理ppt87整理ppt88整理ppt89整理ppt90整理ppt91整理ppt92整理ppt電子郵件欺騙93整理ppt修改郵件客戶軟件的帳戶配置94整理ppt95整理ppt96整理ppt97整理ppt98整理ppt99整理ppt100整理ppt101整理ppt102整理ppt二、中間人攻擊(Man-in-the-MiddleAttacks)通過使用網絡報文竊聽以及路由和傳輸協(xié)議進行這種攻擊。主要目的是竊取信息、截獲正在傳輸中的會話以便訪問專用網絡資源、進行流量分析以獲取關于一個網絡及其用途的信息、拒絕效勞、破壞傳輸數(shù)據(jù)以及在網絡會話中插入新的信息。Man-in-the-MiddleAttacks原理103整理ppt中間人攻擊的類型報文竊聽(PacketSniffers)數(shù)據(jù)包篡改(Packetalteration)重放攻擊〔Replayattack〕會話劫持(Sessionhijacking)104整理ppt

報文竊聽(PacketSniffers)報文竊聽是一種軟件應用，該應用利用一種處于無區(qū)別模式的網絡適配卡捕獲通過某個沖突域的所有網絡分組。可以輕易通過解碼工具〔sniffers/netxray等〕獲得敏感信息〔用戶密碼等〕。105整理ppt報文竊聽(PacketSniffers)實例分析

106整理pptPacketSniffers竊聽防范用交換機來替代HUB，可以減少危害。防竊聽工具：使用專門檢測網絡上竊聽使用情況的軟件與硬件。加密：采用IPSecurity(IPSec)、SecureShell(SSH)、SecureSocketsLayer(SSL)等技術。

驗證(Authentication)：采用一次性密碼技術(one-time-passwordsOTPs)107整理ppt數(shù)據(jù)包篡改(Packetalteration)對捕獲的數(shù)據(jù)包內容進行篡改，以到達攻擊者的目的

更改數(shù)據(jù)包的校驗和及頭部信息，為進一步攻擊做準備108整理ppt重放攻擊〔Replayattack〕

攻擊者截獲了一次遠程主機登錄過程后，選擇適當?shù)臅r機對該登錄過程進行重放，以進入遠程主機。109整理ppt會話劫持(sessionhijacking)110整理ppt111整理ppt112整理ppt113整理ppt關于TCP協(xié)議的序列號114整理ppt115整理ppt阻斷正常會話116整理ppt117整理ppt118整理ppt119整理ppt120整理ppt三、DOS攻擊DoS〔DenyOfService〕就是攻擊者通過使你的網絡設備崩潰或把它壓跨〔網絡資源耗盡〕來阻止合法用戶獲得網絡效勞，DOS是最容易實施的攻擊行為。

DoS攻擊主要是利用了TCP/IP協(xié)議中存在的設計缺陷和操作系統(tǒng)及網絡設備的網絡協(xié)議棧存在的實現(xiàn)缺陷。121整理pptDoS的技術分類122整理ppt典型DOS攻擊123整理pptPingofDeath124整理pptPingofDeath范例125整理ppt淚滴(teardrop)攻擊一IP數(shù)據(jù)包在網絡傳遞時，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過發(fā)送兩段〔或者更多〕數(shù)據(jù)包來實現(xiàn)TearDrop攻擊。第一個包的偏移量為0，長度為N，第二個包的偏移量小于N。為了合并這些數(shù)據(jù)段，TCP/IP堆棧會分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機器的重新啟動。Teardrop攻擊原理：126整理ppt淚滴(teardrop)攻擊二受影響的系統(tǒng)：Linux/WindowsNT/95攻擊特征：攻擊過程簡單，發(fā)送一些IP分片異常的數(shù)據(jù)包。防范措施：效勞器升級最新的效勞包設置防火墻時對分片進行重組，而不是轉發(fā)它們。127整理pptUDP洪水(UDPflood)128整理pptFraggle攻擊發(fā)送畸形UDP碎片，使得被攻擊者在重組過程中發(fā)生未加預料的錯誤典型的Fraggle攻擊碎片偏移位的錯亂強制發(fā)送超大數(shù)據(jù)包純粹的資源消耗129整理ppt阻止IP碎片攻擊Windows系統(tǒng)請打上最新的ServicePack，目前的Linux內核已經不受影響。如果可能，在網絡邊界上禁止碎片包通過，或者用iptables限制每秒通過碎片包的數(shù)目。如果防火墻有重組碎片的功能，請確保自身的算法沒有問題，否那么DoS就會影響整個網絡Windows2000系統(tǒng)中，自定義IP平安策略，設置“碎片檢查〞130整理pptTCPSYNflood131整理ppt剖析SYNFlood攻擊TCPSYN分段偽造SourceIPxTCPSYN/ACK分段IPx不斷發(fā)送大量偽造的TCPSYN分段最多可翻開的半開連接數(shù)量超時等待時間等待期內的重試次數(shù)X半開連接緩沖區(qū)溢出132整理pptTCPSYNFlood攻擊過程例如133整理ppt對SYNFlood攻擊的防御對SYNFlood攻擊的幾種簡單解決方法縮短SYNTimeout時間SYNFlood攻擊的效果取決于效勞器上保持的SYN半連接數(shù)，這個值等于SYN攻擊的頻度xSYNTimeout，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄改連接的時間設置SYNCookie給每一個請求連接的IP地址分配一個Cookie，如果短時間內連續(xù)受到某個IP的重復SYN報文，就認定是受到了攻擊，以后從這個IP地址來的包會被一概丟棄134整理ppt增強Windows2000對SYNFlood的防御翻開regedit，找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

增加一個SynAttackProtect的鍵值，類型為REG_DWORD，取值范圍是0-2，這個值決定了系統(tǒng)受到SYN攻擊時采取的保護措施，包括減少系統(tǒng)SYN+ACK的重試的次數(shù)等，默認值是0〔沒有任何保護措施〕，推薦設置是2。135整理ppt增強Windows2000對SYNFlood的防御增加一個TcpMaxHalfOpen的鍵值，類型為REG_DWORD，取值范圍是100-0xFFFF，這個值是系統(tǒng)允許同時翻開的半連接，默認情況下WIN2KPRO和SERVER是100，ADVANCEDSERVER是500，這個值取決于效勞器TCP負荷的狀況和可能受到的攻擊強度。增加一個TcpMaxHalfOpenRetried的鍵值，類型為REG_DWORD，取值范圍是80-0xFFFF，默認情況下WIN2KPRO和SERVER是80，ADVANCEDSERVER是400，這個值決定了在什么情況下系統(tǒng)會翻開SYN攻擊保護。136整理pptSmurf攻擊137整理pptSmurf攻擊示意圖138整理pptSmurf攻擊139整理pptSmurf攻擊的防止措施140整理pptLand攻擊141整理ppt電子郵件炸彈142整理ppt分布式拒絕效勞(DistributedDenialofService)

DDoS攻擊原理黑客侵入并控制了很多臺電腦，并使它們一起向主機發(fā)動DoS攻擊，主機很快陷于癱瘓，這就是分布式拒絕效勞攻擊——DDoS〔DistributedDenialOfService〕。143整理ppt分布式拒絕效勞攻擊網絡結構圖144整理ppt三層模型145整理pptDDoS攻擊過程146整理pptDDoS攻擊使用的常用工具TFN(TribeFloodNetwork)TrinooStacheldrahtTFN2K147整理pptTFN(TribeFloodNetwork)TFN是由著名黑客Mixter編寫的，是第一個公開的UnixDDoS工具。由主控端程序和客戶端程序兩局部組成。它主要采取的攻擊方法為：SYN風暴、Ping風暴、UDP炸彈和SMURF，具有偽造數(shù)據(jù)包的能力。148整理pptTFN2KTFN2K是由TFN開展而來的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的網絡通訊是經過加密的，中間還可能混雜了許多虛假數(shù)據(jù)包，而TFN對ICMP的通訊沒有加密。攻擊方法增加了Mix和Targa3。并且TFN2K可配置的代理端進程端口。149整理pptStacheldrahtStacheldraht也是從TFN派生出來的，因此它具有TFN的特性。此外它增加了主控端與代理端的加密通訊能力，它對命令源作假，可以防范一些路由器的RFC2267過濾。

Stacheldrah中有一個內嵌的代理升級模塊，可以自動下載并安裝最新的代理程序。150整理pptTrinoo151整理pptDDoS攻擊的防御策略152整理ppt四、緩沖區(qū)溢出BufferOverflow攻擊153整理ppt緩沖區(qū)溢出的攻擊方式154整理ppt緩沖區(qū)溢出攻擊的根本思想根本思想：通過修改某些內存區(qū)域，把一段惡意代碼存儲到一個buffer中，并且使這個buffer被溢出，以便當前進程被非法利用(執(zhí)行這段惡意的代碼)危害性在UNIX平臺上，通過開掘BufferOverflow,可以獲得一個交互式的shell在Windows平臺上，可以上載并執(zhí)行任何的代碼溢出漏洞開掘起來需要較高的技巧和知識背景，但是，一旦有人編寫出溢出代碼，那么用起來非常簡單155整理ppt為什么會緩沖區(qū)溢出？156整理ppt典型的bufferoverflows漏洞157整理ppt怎樣防范緩沖區(qū)溢出158整理ppt五、后門和漏洞攻擊后門(backdoor)：通常指軟件開發(fā)人員為了便于測試或調試而在操作系統(tǒng)和程序中成心放置的未公布接口，與bug不同，后門使開發(fā)人員成心留下的。Eg.萬能密碼、超級用戶接口等漏洞(Bug):操作系統(tǒng)或軟件存在的問題和錯誤。IPC$漏洞輸入法漏洞IIS.idaISAPI擴展遠程溢出漏洞159整理ppt六、暴力破解攻擊1.字典程序攻擊2.暴力攻擊

160整理ppt暴力破解暴力或字典破解是獲得root訪問權限的最有效、最直接的方式方法。三種破解工具L0phtcrack工具Johntheripper工具Crack工具161整理pptL0phtcrack界面賬號LanMan哈希值字典破解進程暴力破解進程162整理ppt驗證算法暴力破解所要對付的對象就是各種各樣的口令加密與驗證算法冷靜地分析各種常見的驗證算法，找出其中的缺乏Windows2000系統(tǒng)默認的驗證算法Unix/Linux系統(tǒng)默認的驗證算法163整理pptLanMan驗證和NTLM驗證

WindowsNT/2000支持多種驗證機制，每一種驗證機制之間的平安級別不同，下表列出了WindowsNT/2000所支持的各種驗證機制。微軟系統(tǒng)所采用的驗證加密算法。身份驗證類型受支持的客戶機備注LANMan全部WFW和Win9x必須使用這種方法，但這種方法容易受到竊聽NTLMNT4、2000比LANMan更加安全NTLMv2NT4+SP4、2000比NTLM更安全，建議用于異機種NT4/2000環(huán)境Kerberos只適用于2000比NTLM更復雜，但在安全方面具有更長的跟蹤記錄164額外的審計工具L0phtCrackpwdump2pwdump2密碼散列提取工具在很長時間內由管理員和黑客同時使用，以從SAM中轉儲LANMan和NTLM密碼散列。在Windows2000域控制器上工作，域控制器不再將散列存儲在SAM中，而是存儲在AD中l(wèi)sadump2使用DLL注射繞過本地平安授權(LSA)以名為LSASecrets形式存儲的平安信息上的正常的訪問控制165整理ppt構造一個Crack工具根本步驟生成字典文件取出條目應用規(guī)則打開口令文件比較不匹配標示為已破解匹配常見的規(guī)那么包括：1.計算hash值〔MD5、SHA等〕2.應用crypt〔〕函數(shù)166整理ppt

一旦攻擊者成功地滲透進系統(tǒng)，會立即試圖控制它。第三節(jié)：控制階段167整理ppt一、攻擊者的控制目標獲得root的權限獲得信息作為跳板攻擊其它系統(tǒng)168整理ppt1.獲得root的權限

攻擊者最終目的是獲得root的權限攻擊者會采用許多不同的策略來獲得這一權限非法效勞和trapdoor允許攻擊者使用合法的賬號來升級訪問權限169整理ppt2.獲得信息

獲得root的權限后，攻擊者會將立即進行信息掃描,獲得有用數(shù)據(jù)。掃描方法操縱遠程用戶的Web瀏覽器運行腳本程序利用文件的缺省存放位置170整理ppt3.信息重定向攻擊者控制了系統(tǒng)，便可以進行程序和端口重定向端口轉向成功后，他們可以操控連接并獲得有價值的信息相似的攻擊目標還包括重定向SMTP端口，它也允許攻擊者獲得重要的信息171整理ppt4.應用程序重定向將某一端口與某一應用程序相綁定允許將某一程序的運行指定到特定的端口，從而可以遠程使用Telnet進行控制172整理ppt5.擦除滲透的痕跡

通常，攻擊者通過破壞日志文件，可以騙過系統(tǒng)管理員和平安審計人員。這就是所謂的痕跡擦除日志文件包括：Web效勞器防火墻HTTP效勞器FTP效勞器數(shù)據(jù)庫操作系統(tǒng)的日志IDS日志日志文件類型包括事件日志應用程序日志平安日志173整理ppt6.作為跳板攻擊其它系統(tǒng)通常，攻擊者滲透操作系統(tǒng)的目的是通過它來滲透到網絡上其它的操作系統(tǒng)。NASA效勞器是攻擊者通常的攻擊目標，不僅因為他們想要獲取該效勞器上的信息，更主要的是許多組織都和該效勞器有信任的連接關系。系統(tǒng)是攻擊者的終端還是攻擊鏈條中的一個環(huán)節(jié)——跳板攻擊者為了偽裝自己的真實來源，可能通過很屢次跳板才到達攻擊目的174整理ppt二、控制手段新的控制方法層出不窮系統(tǒng)的升級不可防止的會開啟新的平安漏洞少數(shù)的極有天賦的黑客不斷開發(fā)出新的工具作為平安審計人員，需要時刻注意各種跡象，同時留意自己的系統(tǒng)是否存在著問題175整理ppt1.后門的安放Rhosts++后門Login后門效勞進程后門portbindsuidShell后門suidshell修改密碼文件176整理ppt2.創(chuàng)立新的訪問點通過安裝額外的軟件和更改系統(tǒng)參數(shù)，攻擊者還可以開啟后門優(yōu)秀的系統(tǒng)管理員，黑客通常習慣于某種攻擊策略，所以必須注意攻擊者的控制手段安裝后門的另一個通常方法是在操作系統(tǒng)中安置木馬。177整理ppt3.創(chuàng)立額外賬號為了減小從系統(tǒng)中被去除的幾率，攻擊者通常會在獲得root權限后創(chuàng)立額外的賬號使用批處理文件是創(chuàng)立額外賬號的一種手段也可以增加沒有密碼的管理員賬號在UNIX和Novell操作系統(tǒng)中同樣存在類似的問題178整理ppt自動添加賬號一個負責任的系統(tǒng)管理員會定期掃描用戶的賬號數(shù)據(jù)庫，查看是否有權限的變更，新添加的賬號和任何有關系統(tǒng)策略更改的可疑行為。然而，攻擊者會利用老的賬號登錄系統(tǒng)攻擊者還可以利用定時效勞等自動執(zhí)行的程序來添加賬號通過定時效勞來添加新的賬號和重新設置權限，攻擊者可以騙過最挑剔的管理員。179整理ppt4.Trojan木馬控制TrojanhorseRootKitsRootkit是用非法程序替代合法程序所謂的“rootkit〞是入侵者在入侵了主機后，用來做創(chuàng)立后門并加以偽裝用的程序包通常包括了日志清理器，后門等程序rootkit通常出現(xiàn)在UNIX系統(tǒng)中木馬是一個程序，駐留在目標計算機里，可以隨計算機自動啟動并在某一端口進行偵聽，在對接收的數(shù)據(jù)識別后，對目標計算機執(zhí)行特定的操作。其實質只是一個通過端口進行通信的網絡客戶/效勞程序。180整理ppt木馬程序的利用與監(jiān)測“木馬〞指一些程序設計人員在其可從網絡上下載的應用程序或游戲中，包含了可以控制用戶的計算機系統(tǒng)的程序，可能造成用戶的系統(tǒng)被破壞甚至癱瘓。木馬原那么上和Laplink、PCanywhere等程序一樣，只是一種遠程管理工具木馬本身不帶傷害性，也沒有感染力，所以不能稱之為病毒(也有人稱之為第二代病毒)181整理ppt木馬原理根本概念：對于特洛伊木馬，被控制端就成為一臺效勞器，控制端那么是一臺客戶機

控制功能：以管理員用戶權限運行的木馬程序幾乎可以控制一切。程序實現(xiàn)：可以使用VB或VC、JAVA以及其它任何編程工具的Winsock控件來編寫網絡客戶/效勞程序。182整理ppt特洛伊木馬隱身方法主要途徑有在任務欄中隱藏自己“化裝〞為驅動程序使用動態(tài)鏈接庫技術183整理ppt木馬的開展典型的C/S結構，隱蔽性差隱藏、自啟動和操縱服務器等技術上有長足進步

隱藏、自啟動和數(shù)據(jù)傳遞技術上有根本性進步，出現(xiàn)了以ICMP進行數(shù)據(jù)傳輸?shù)哪抉R

采用改寫和替換系統(tǒng)文件的做法

184整理ppt流行木馬及其技術特征木馬進程注冊為系統(tǒng)效勞反彈端口型木馬出現(xiàn)替換系統(tǒng)文件中做法應用到Windows使用多線程技術185整理pptNetbus木馬NetBus1.53版本可以以捆綁方式裝到目標電腦上，可以捆綁到啟動程序上，也可以捆綁到一般程序的常用程序上。186Netbus木馬NetBus2.0版的功能更強，已用做遠程管理的工作NetBus的功能運行程序強迫重啟系統(tǒng)注銷用戶控制Web瀏覽器捕捉擊鍵記錄重定向端口和程序獲得關于當前版本的信息上傳、下載和刪除文件控制、升級和定制效勞器管理密碼保護顯示、終止遠程系統(tǒng)程序187整理pptNetBus傳輸

NetBus使用TCP建立會話，缺省情況下用12345端口。跟蹤NetBus的活動比較困難，可以通過檢查12346端口數(shù)據(jù)來確定許多類似的程序使用固定的端口，你可以掃描整個的網絡監(jiān)測可疑的活動。188整理pptNetbus2.0主要文件文件描述大小（Byte）NetBus.exe客戶端1，241，600Patch.exe服務器624，640NBHelp.dll

程序擴展

71，680189檢測NetBusNetBus1.x版的程序使用以下的注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\可以用包嗅探器，檢查缺省的12345或12346端口使用netstat，你可以鍵入以下命令：Netstat–an或Netstat–pudp190整理pptNetbus連接

TCP:12345/12346191去除NetBus高質量的反病毒程序另一種去除NetBus的方法是使用其客戶端,點擊去除效勞器按鈕如果攻擊者采用了密碼保護的話可能會要求你輸入密碼，也可以搜尋前面討論的文件192整理pptBackOrifice2000BackOrifice2000允許攻擊者進行如下操作獲取系統(tǒng)信息收集用戶名和密碼和用戶緩存的密碼獲得文件的完全訪問權限實施端口和程序的重定向通過HTTP從瀏覽器上傳和下載文件193整理ppt缺省設置默認的BackOrifice2000一共由5個文件組成，他們分別是：Bo2k.exe--136kb，BO2K效勞器端程序Bo2kcfg.exe--216kb，BO2K設置程序Bo2kgui.exe--568kb，BO2K客戶端程序Bo3des.dll--24kb，plugin--tripleDESmoduleBo_peep.dll--52kb，plugin--remoteconsolemanager194整理ppt精選命令命令描述Dir,md,rd列出，建立和刪除目錄Shareadd/sharelist/sharedel建立，列出和刪除共享Copy/delete/find拷貝，刪除和搜索文件View列出文本文件內容Httpon/httpoff啟動和停止HTTP服務，必須指定端口號Keylogstart/end開始和終止鍵盤記錄Netconnectnetlist/Netdisconnect將服務器系統(tǒng)連接到網絡資源；列出網絡接口，域和服務器；斷開連接Rediradd/redirlist將TCP連接和UDP包重定向到其它的IPRegmakekey/regdelkey建立和刪除注冊表中的鍵值Passes列出系統(tǒng)的所有密碼，包括所有適配器（如撥號適配器）和網絡連接，以及屏幕鎖定Reboot重新啟動系統(tǒng)Tcpsend從TCP連接發(fā)送和接受文件；同標準的TFTP服務器一樣，客戶端連接服務器機器，發(fā)送文件然后立即斷開。Quit退出程序195BO的運作

BO木馬包含三個程序：BOSERVE.EXE，BOCLIENT.EXE和BOCONFIG.EXE。其中第一個程序需安裝在受感染的用戶計算機中，也就是BO效勞端BO主要運行于Windows95/98系統(tǒng)，對于WindowsNT影響較小效勞器端程序為BOSERVE.EXE，它會自動安裝在受攻擊的計算機中，但是它同時需要另外一個文件名為BOCONFIG的程序來進行配置196整理pptBO的檢測和去除手工殺除BO2K運行REGEDIT.EXE，修改注冊表，在以下鍵值處刪除UMGR32.EXE的key值Hkey_local_machine/Software/Microsoft/Windows/CurrentVersion/RunServices重啟系統(tǒng)在\WINDOWS\SYSTEM下刪除UMGR32~1.EXE需要注意的是，bo2k安裝后的名字是可以自定義的197整理ppt木馬防御方法總結端口掃描掃描程序嘗試連接某個端口，如果成功，那么說明端口開放；否那么關閉。但對于驅動程序/動態(tài)鏈接木馬，掃描端口不起作用查看連接在本地機上通過netstat-a查看所有的TCP/UDP連接檢查注冊表