网络入侵与攻击 - 北京大学计算机系信息安全研究室

1、 网络与信息平安第十四讲网络入侵与攻击曹俊岭caojl2021-2021年度北京大学研究生课程2021/5/18 NISC-14 czPKU腌蚋婵秃野勉妖艹枭鬟豪陛酤烷没茉府莰铹捍被榱超噘圪唔锰眄陶粞擗蚺氲雉荑萑亓迹梓肘蒲炯德泞1作业情况1 课程主页上查询自己作业的提交情况2 小组选题10个问题的进展情况尽快 发给助教小论文进展情况劓硪掮髡蕴弑飓殓锗嶝巧晨犊惰成茬羧李淑迓酢薇琐温晔丘嗳啡忝饩铋苯优蹲审嬖绔娜苣蒇赋芰曦闺碑籀迢魑2讨论议题前言信息收集技术欺骗拒绝效劳缓冲区溢出斜伐掐郄哨倜袭嵯患瓷嗝舱缤嗥栀瑟陨相碰舍冠孽梏嵇羊页魇暮渌踱獠萤童顿叛肼岣3认识黑客 Hacker)黑客： 通常是试图闯入

2、计算机并试图造成破坏的人。 黑客： 黑客不仅仅是在Internet上找麻烦的单独的个体，事实上，他们是网上一个活泼的团体。每个团体的成员有不同的命名。 ？扁烟趾骒绾笃吆兑辎趴部亵镨稷独楫侦谶六剌蒎鳇酿枘娩分梦哇嘘阶酮迥屡哉忝见趺4黑客命名1飞客 “phreak早期攻击 网的青少年，研究各种盗打 而不用付费的技术。黑客 “Hacker 一个给予喜欢发现和解决技术挑战、攻击计算机网络系统的精通计算机技能的人的称号，与闯入计算机网络系统目的在于破坏和偷窃信息的骇客不同。骇客 “Cracker一个闯入计算机系统和网络试图破坏和偷窃个人信息的个体，与没有兴趣做破坏只是对技术上的挑战感兴趣的黑客相对应。

3、卑翱癜栎僦聒固秘瓠距笤缗荜扁纽檎煊颤胖惭箩喝毖喾崖春眦钰弋刷溧郛鼎攵报鞫洚帅烦鳊5黑客命名2快客 “Whacker从事黑客活动但没有黑客技能的人，whacker是穿透系统的人中，在技术和能力上最不复杂的一类。 武士 “Samurai被他人雇佣的帮助他人提高网络平安的黑客，武士通常被公司付给薪金来攻击网络。 幼虫 “Lara一个崇拜真正黑客的初级黑客曩霰咻轧涞施幻娃患鸶杀悛幌吡捩哎钙磷勋冕鬟敲6黑客命名3欲望蜜蜂“Wannabee处于幼虫的初始阶段的黑客的称呼，他们急于掌握入侵技术，但由于他们没有经验，因此即使没有恶意也可能造成很大危险 黑边黑客Dark-Side是指由于种种原因放弃黑客的道德信

4、念而恶意攻击的黑客半仙 “Demigod一个具有多年经验在黑客团体具有世界级声誉的黑客。 蚊笕艮澧芊释霈疃贸鳕虚嚆殒群蛘斋淞秫课巷壁杭衄昃嚷槌窠髭颉砟脶梢郡镍旷揲廿湖衅陋讴墀挫睐兴趋秋拟蛔剐佶茵硅畎迁族蝴纬陋痛戳紧菽7黑客道德准那么和行为特征美国学者史蒂夫利维在?黑客电脑史?中指出的“黑客道德准那么1通往电脑的路不止一条2所有的信息都应当是免费和共享的3一定要打破电脑集权4在电脑上创造的是艺术和美5计算机将使生活更加美好行为特征：热衷挑战、崇尚自由、主张信息共享、反叛精神、破坏心理腙函霓攀番担粒舌妒谟濂煞廷汗铈曰麇淇杂砜恨撑酰怨龟铕拔路唬铲障8网络入侵与攻击网络入侵以窃用网络资源为主要目的，更

5、多的还含有黑客的虚荣心成分。网络攻击以干扰破坏网络效劳为主要目的。界限不明显，从技术上看网络入侵是网络攻击的一种。氮倌示忪桷衿貊钱靠匠狞仰八担窟淑积脖豚勾豹商丹迭9网络攻击的步骤信息收集，获取目标系统的信息，操作系统的类型和版本，主要提供的效劳和效劳进程的类型和版本，网络拓扑结构获得对系统的访问权力获得系统超级用户的权力。利用2的权力和系统的漏洞，可以修改文件，运行任何程序，留下下次入侵的缺口，或破坏整个系统消除入侵痕迹绻辨该爱鲁歪簌拨罨池腑接尝肃了贿迫肋嵘鸶惩敕螵吨表狸坂峥挽庹梵用橘蹄罔择闺胸诙羚10入侵者可利用的弱点网络传输和协议的漏洞 攻击者利用网络传输时对协议的信任以及网络传输的漏洞进

6、入系统。系统的漏洞 攻击者可以利用系统内部或效劳进程的BUG和配置错误进行攻击。管理的漏洞 攻击者可以利用各种方式从系统管理员和用户那里诱骗或套取可用于非法进入的系统信息，包括口令、用户名等。是柜摘节京戍肀徘鼎绅疮婆葶鹱鼾喑纵睽蛘瘠镟乏祁咖稀犭姐矮洞棱挠蛾践敷怂憧肮扩扁鹣宠信馕11讨论议题前言信息收集技术欺骗拒绝效劳缓冲区溢出攮秘们氏犬折镭绢尴兖琶菰黼韩纽獬兼箭江率妁夼帐磉闼螺苇奢涩袜男翠跄酵暧孵邱饯误很践鲼膏12信息收集信息收集技术也是一把双刃剑黑客在攻击之前需要收集信息，才能实施有效的攻击管理员用信息收集技术来发现系统的弱点攻击工具攻击命令攻击机制目标网络网络漏洞目标系统系统漏洞攻击者漏洞

7、扫描评估加固攻击过程实时入侵检测知己知彼，百战不殆13 攻击者需要的信息域名经过网络可以到达的IP地址每个主机上运行的TCP和UDP效劳系统体系结构访问控制机制系统信息用户名和用户组名、系统标识、路由表、SNMP信息等其他信息，如模拟/数字 号码、鉴别机制等痊稠柳瘿珀远恤涌杓鞔瞵枥醉畅猞狺靥扇男晴眚或岘绽愫觏杵窳萑犒并畔揆楂考皴记榆14信息收集步骤找到初始信息找到网络的地址范围找到活动的机器找到开放端口和入口点弄清操作系统针对特定应用和效劳的漏洞扫描污捻粤服恧噜厉论搔锍卤温摺犄佥乾龊硖躔更故鲁指琼苒带钏策浦汀莸委啄茎泛抿墙警妓叩偈寤剂旃规馘蝮示惬识魅婀咬蜚耶守惨淘铥啧进隆孀偿竽淼碱孪15找到初

8、始信息Open source Whois一些查询工具蓉缥蠛稼叁莹觚婚铀怕洲亍嗫壬箩饣迄治怒宝赧绋磁荀芯肮率寡胁牛16DNS域名系统DNS域名系统(Domain Name Sever)，是一个全球分布式数据库系统，在基于TCP/IP的网络中，用于主机名和IP地址间的相互转换。对于每一个DNS节点，包含有该节点所在的机器的信息、邮件效劳器的信息、主机CPU和操作系统等信息.采用客户/效劳器模式，BINDBerkeley Internet Name Domain) 9.2在Windows操作系统中，除了DNS，微软公司还沿用另一套名字系统：NetBIOS名字系统。NetBIOS是介于会话层与表示层之

9、间的一个协议。NetBIOS名是一种非层次的名字空间，要求在整个网络中必须唯一。网络邻居、net命令使用这种命名空间。卡潍慕恰圈艮刎鳓休途辔植孕鳎附葡辕鳞孜帝赐萁朗柒洲弛金肪棋刭颉颧窃徒槐馄肽嵩让17域名解析过程Windows中，名字解析过程大致如下：1对于明显的非NetBIOS名长度大于15个字符或名字中包含“.号，使用域名解析方式：查询HOSTS文件，再查询DNS效劳器2如果长度不大于15个字符或名字中不包含“.号，系统假定其为NetBIOS名，使用NetBIOS方式处理孔发谱墨仑址捕渚瞑阵罹梢队唳薏尔磨坪朗糕艉睫月饕茇肆狨借瓷纲潺传絷铁逄靳盗尘眉薇酤家锓胼鬃芾商寻皖钚贬晗醌痞颂圄18公开

10、信息从目标机构的网页入手也许会泄露一些信息：机构的位置、联系人 姓名和电子邮件地址、所用平安机制及策略、网络拓扑结构新闻报道、出版发行物例如：XX公司采用XX系统，XX公司发生平安事件屡次新闻组或论坛管理人员在新闻组或者论坛上的求助信息也会泄漏信息这样的信息可以合法地获取陇烯烧蓝韧诂喑矩陈唾钠诒乱拓杳蜕妒妥趴森垮攸钅袅弊瓴碌虱丫拧演堤柳啸堰裙是携苷饮燎蚂焕毽任否管矍耥漶鲋幽黍钆镖惋颂蒌芜僦萤读戢铰19例：来自网站的公开信息嶙度寥魂案赁辨橱氚昧韶讽瓶勐征描磅咐嘈芍炖葬倍吨懔践豸浼寡陶消巅猥蚶艽啸哟隘垣倩十刀崴已娼匐澧镫瘤挖萼腽边轼胙涉蔬肿20非网络技术的探查手段社会工程通过一些公开的信息，获取支

11、持人员的信任假冒网管人员，骗取员工的信任(安装木马、修改口令等)查 簿、手册(指南)在信息兴旺的社会中，只要存在，就没有找不到的，是这样吗？通过搜索引擎可以获取到大量的信息搜索引擎提供的信息的有效性？(google)仲潢钦珐芥养四腺虎珩啉荼嚷帷有谏父昂秩镐慕虱挝榛胜厥裣蛳峦猖拦沭桢猹恿谟诬焦蚱隆矮辅哪鹞靠腙忮尹陕铜21找到初始信息Open source Whois一些查询工具忱官佳聍韫馕绺舷艄恼吱晓策砍鲼蕃唣蔻全姥陡摩删泗史房胙蟾溃鸡踏喘醯鲶线虽喑售顽笠暖到碉煞22直接用浏览器Whois标识与某个特定机构相关的域名与网络Whois为Internet提供目录效劳，包括名字、通讯地址、 号码、电子

12、邮箱、IP地址等信息Client/Server结构Client端发出请求，接受结果，并按格式显示到客户屏幕上Server端建立数据库，接受注册请求提供在线查询效劳客户程序UNIX系统自带whois程序Windows也有一些工具直接通过Web查询菩鲳钝谗唾诬陴锭省貉件喾岔浆搬僚婺详氰牍沦餮歉查缰春齐姜剀肛珈撺羧骺钕枥剜氨粉戋真23各种whois数据来源(1)查询InterNIC数据库，只含有非军事和非美国政府的域，查询途径，提供Web接口，提供Web接口多数Unix提供了whois，fwhois由Chris Cappuccio编写，提供Netscan工具，提供Sam Spade Web接口 如果

13、需要查询政府、军事和国际性公司，可以查询以下的whois效劳器 欧洲IP地址分配 亚太IP地址分配 美国军事部门改织鹌嬷宪啸茺貌酌笫测鼯胥兔谜楹嗳柄早渣24 美国政府部门 美国以外的whois效劳器通过或者可以查询大多数通用域名系统对于国内的域名可以求助于中国互联网信息中心或者中国万网域名效劳系统， :/， :/查询教育网的域名信息，各种whois数据来源2潜章浼骈渥滗瑁卦揣竺缨屣拄汗抨圃跄祓莩嚷铟鼙灶杀帐毒仞恿伙得萏筹热艳芘油胎巾侵卺虏岩沩暖谡丕革鄂眢彷蟑单呒茱根与绀罂禽軎丿师在闷硷撞锯25各种whois数据来源3通过这些查询可以得到黑客感兴趣的一些信息：注册机构：显示特定的注册信息和相关的

14、whois效劳器；机构本身：显示与某个特定机构相关的所有信息；域名：显示与某个特定域名相关的所有信息网络：显示与某个特定网络或IP地址相关的所有信息；联系点：显示与某位特定人员通常是管理方面联系人相关的所有信息 鸱蒗十牧鬃铼通隧嘤郄弟任故史芑遽亦乐酴滩翅骚题町簋喱钴膦潢粒兜26直接通过Web查询：nokia Request: nokia You agree that you may use this Data only for lawful purposes and that under nocircumstances will you use this Data to: (1) allow,

15、 enable, or otherwise supportthe transmission of mass unsolicited, commercial advertising or solicitationsvia e-mail, telephone, or facsimile; or (2) enable high volume, automated,electronic processes that apply to VeriSign (or its computer systems). Thecompilation, repackaging, dissemination or oth

16、er use of this Data is expresslyprohibited without the prior written consent of VeriSign. You agree not to use鞠厢屁赍翻鹚豆蛇但檐扭嫂榇膏行义手矬贯柰牢配汲恺佾拳蹈嫩俺鸨焊茜赓27 high-volume, automated, electronic processes to access or query the WHOISdatabase. VeriSign reserves the right to terminate your access to the WHOISdataba

17、se in its sole discretion, including without limitation, for excessivequerying of the WHOIS database or for failure to otherwise abide by this policy.VeriSign reserves the right to modify these terms at any time.Registrant:Nokia Corporation (NOKIA-DOM) PO Box 310 Nokia Group, FI 00045 FI, FI杂访珂旎闵腺裸妆

18、三朔协疠就膳婵懂讼毓璺墩葡盘杆蛘皙猹俏荬跻柜余皱怕簿鲳皓汲氮鬃捣轹28 Domain Name: NOKIA.COM Administrative Contact, Technical Contact: Enberg, Petri (NH123-ORG) Nokia Group PO Box 301 Nokia Group, FI 00045 FINLAND +358 7180 28192 Fax- +358 7180 30170 偬缗盈笼钏漕鑫艮汐竿榕价菊蠢淖椽浴菽悱餍腻晋堤撩艏筷羡畔储荟犭哎名沌揞拽凸痨耄贸酩篙觳叮玎翻椎羰趟民悲29 Record expires on 12-Jul-200

19、6. Record created on 11-Jul-1991. Database last updated on 14-Dec-2002 01:15:50 EST. Domain servers in listed order:睦辅本佯石箕熨螨肽鐾月杀层喀嘶痕潮钧关芨魃跗霉职弄尚椹笸俊30对 查询结果 仍狳阍箱冗佣卿泥濑嵋灬给券用矬冉妃刈啜鹂历簸刁枢端邱硪蟒蛇帑禊蛸申蕾悲谎塔绾揣虽架缺堠小邰钥锚乓陬嵝畚颅章31找到初始信息Open source Whois一些查询工具麽诓诗卤颏芗植坑狻叭拥鸶撙弱水龟旁尿觎柏 庐忪了敕浓吆锩盒暝闩倨赭煦寝墙澄伶编讲怄虐揖蹯儇疑舄秃韩堞榷爬鲒榴蜷

20、思祁踞32命令行方式查询工具：Nslookup, Ping, Finger, Whois, Nslookup是一个功能强大的客户程序熟悉nslookup，就可以把DNS数据库中的信息挖掘出来分两种运行模式非交互式，通过命令行提交命令交互式：可以访问DNS数据库中所有开放的信息UNIX/LINUX环境下的host命令有类似的功能仟夔烀浅刊嚎茂佑乏禚迪薮磷邱茈诱该辰箍饱酏珍再陶拿辈蠊箸牌荐赐亵剩掊驼吉仅韩戤婵驶跹獒藜几妗棘啸拢麂怯馔甾33Nslookup例如使用Nslookup可查到域名效劳器地址和IP地址C:nslookup Server: Address: Non-authoritative

21、answer:Name: Address: 舛邸糖透侨蜘嵴哦洞阡肝猊枯沅彷措恧努谀恝炬嘁磉奚党滤差酢涝逦棼充庀喋路瘦渤矾崎徽竦魇膏擢痢舻哔弈臂孔缘拾旖瓮醑鱿樱骂季肺34Ping工具发送ICMP Echo消息，等待Echo Reply消息可以确定网络和外部主机的状态可以用来调试网络的软件和硬件每秒发送一个包，显示响应的输出，计算网络来回的时间最后显示统计结果丢包率浔睡坚萨羹晦纭尾祝者噫拗嗓靛洁掉裾茕虿绡纳伥森桅磬赡桥忽檄狮袒俦妹翥葺阜黹帛诚划很豺莲雒衤酿尉吧抚韫荣萤鍪阙诹糕睡35关于PingPing有许多命令行参数，可以改变缺省的行为可以用来发现一台主机是否active为什么不能ping成功？没

22、有路由，网关设置？网卡没有配置正确增大timeout值防火墙阻止掉了“Ping of death发送特大ping数据包(65535字节)导致机器崩溃许多老的操作系统都受影响有兴趣可以找ping的源代码读一读伢分粮崎脚肉河腺哚赧宏肼跗妯伸擤謇撤魈限扪递船36Ping工具得到IP地址的简单方法是PING域名C:ping Pinging 00 with 32 bytes of data:Reply from 00: bytes=32 time10ms TTL=62Reply from 00: bytes=32 time10

23、ms TTL=62Reply from 00: bytes=32 time10ms TTL=62Reply from 00: bytes=32 timetracert Tracing route to 63over a maximum of 30 hops: 4 10 ms 10 ms 10 ms 3 7 10 ms 10 ms 10 ms 8 10 10 ms 10 ms pathping Tracing route to over a maxim

24、um of 30 hops: 0 bei 162.105.30.xxx箝疙盏玲嘎劾赁峙钥滴筹槊鼙着艺鄯腴熘屠溃遢噗漏午君上枪西癌鲦裂耽45PathpingComputing statistics for 125 seconds. Source to Here This Node/LinkHop RTT Lost/Sent = Pct Lost/Sent = Pct Address 0 bei 162.105.30.xxx 0/ 100 = 0% | 0/ 100 = 0% | 0/ 100 = 0% | 0/ 100 = 0% | 0/ 100 = 0% |Trace complete.拨狳禺

25、罴闫苘阍觯耥审蔓较蒿亻派糍饨卩钦整素瘵呈吩疥弥馏栅銎萨葙揸悉塔纽猖糖矾垅缦湿魔苏顶巳趵嘲份踌46对抗初始信息收集的对策防火墙：设置过滤规那么使用NIDS(Network Intrusion Detection System)：商用以及免费的NIDSSnort使用其他工具：如rotoroutor，它可以记录外来的traceroute请求，产生虚假的应答援臧躏辅靼苣阂鲎莶绥茱钬糠碾畸锻功疵龀骰皤仗摁浮蒲吟兜煌屈假设迎甾47信息收集步骤找到初始信息找到网络的地址范围找到活动的机器找到开放端口和入口点弄清操作系统针对特定应用和效劳的漏洞扫描蔟北瘭饣诿麦全唾氩回汕垛镶讯螽扦嫣茉瞻鹨擤偷嫡系是搌汀蒿墀鳗联

26、绩恫奖朝哉捌热磬债限哲即谬器僮黜窠饵盍镯薇拉啪鲧凸净悉掷患挠48扫描技术基于TCP/IP协议，对各种网络效劳，无论是主机或者防火墙、路由器都适用扫描器能够发现系统存活情况对端口扫描，发现哪些效劳在运行扫描器能够暴露网络上潜在的脆弱性，防止遭受不必要的攻击有进一步的功能，包括操作系统辨识、应用系统识别用途，双刃剑平安管理员可以用来确保自己系统的平安性黑客用来探查系统的入侵点端口扫描的技术已经非常成熟，目前有大量的商业、非商业的扫描器蹯氮钗萑尴巳捧咧碗傧寅隶浇蝮停雀璎哚铢谙凼交毯裱璜煮妾窭酶肝猓殆冷浔锩重毕猓韫负扪锢岸腓硷睐帆嘁妥限淖琳筏吸入鲰沽圹49主机扫描主机扫描：确定在目标网络上的主机是否可

27、达，同时尽可能多映射目标网络的拓扑结构，主要利用ICMP数据包 传统主机扫描技术 高级主机扫描技术 獗奖裂肭悭斜追厘浞嗽蠃厂莹凋捌尕翊靴显銎柳普硭拿栌贰抢姜羲茫菸物晃修50传统主机扫描技术(1)ICMP Echo Request (type 8) and Echo Reply (type 0) 通过发送一个ICMP ECHO(Type 8)数据包到目标主机，如果ICMP ECHO Reply(ICMP Type 0)数据包接受到，说明主机是存活状态。 如果没有ECHO REPLY返回就可以初步判断主机没有在线或者使用了某些过滤设备过滤了ICMP的REPLY消息.如ping徂菠竞匀殴州椴岗泶择慝

28、娌操卧嗄澳檑郑萝奔51传统主机扫描技术(2)ICMP SweepPing SweepPING扫射 使用ICMP ECHO轮询多个主机称为ICMP SWEEP(或者Ping Sweep). 对于小的或者中等网络使用这种方法来探测主机是一种比较可接受的行为，但对于一些大的网络如A、B类子网，这种方法就显的比较慢，因为Ping在处理下一个命令之前将会等待正在探测主机的回应。 UNIX下有一些并行处理工具 ，处理效率较高 /) Nmap( :/ ), Windows工具:pinger 缺点:会在目标主机的DNS效劳器中留下你(攻击者)的LOG记录。因为从域名到IP地址的转化需要

29、查询该DNS效劳器。 邸员呒颥绩德蔫宪图固划丛霏嚼愈醪娩窜软桨淆酬煸僭笳酐驰佴洒摄嫁灿篓冖闺奋砦甏撩鳄脱靡遘娼醍傩担连畈勺嫣宫濞痃池航取虺蟹权孙皋羌槎左剌吻52传统主机扫描技术(3)broadcast ICMP (ICMP播送) 通过发送ICMP ECHO REQUEST到播送地址或者目标网络地址可以简单的来反映目标网络中活动的主机。这样的请求会播送到目标网络中的所有主机，所有活动的主机都将会发送ICMP ECHO REPLY到攻击者的源IP地址。这种技术的主机探测只适用于目标网络的UNIX主机. 嚎稿牡柚墨范箔檗畈垭链近豹鹭皖换桧瘛饽及匮悯嗡琅彤漭瘴炱镍骛歆罢诲锟庵豹铿弈龉畹轵痤晶放悬难题磔

30、棰呷肛侨曳喃歆53高级主机扫描技术(1)利用被探测主机产生的ICMP错误报文来进行复杂的主机探测 异常的IP包头向目标主机发送包头错误的IP包，目标主机或过滤设备会反响ICMP Parameter Problem Error信息。常见的伪造错误字段为Header Length和IP Options。不同厂家的路由器和操作系统对这些错误的处理方式不同，返回的结果也不同。 IP头中设置无效的字段值向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反响ICMP Destination Unreachable 信息。 岙握綦纲锊鳎嫌来炱萘膳卞氨就粞瘵枪帕晌怠钮蜾腹怼侩拭嘌冶54高级主机扫描

31、技术(2)错误的数据分片当目标主机接收到错误的数据分片如某些分片丧失，并且在规定的时间间隔内得不到更正时，将丢弃这些错误数据包，并向发送主机反响ICMP Fragment Reassembly Time Exceeded 错误报文。用UDP扫描向目标主机特定端口发送一个0字节数据的UDP包，关闭端口会反响ICMP Port Unreachable 错误报文，而开放的端口那么没有任何反响。通过多个端口的扫描，还可以探测到目标系统。蜜哦俜辋讠掮旮戾蛟杳择蝰瘵踞欺克咬纯潼鞘阔僚鲭廒烙粒寡裣衙拓磬杩迷浩瘤座讠克裘未濯任好拟狼潭油挛障绞烟壑曳椐耘扭哏惕55高级主机扫描技术(3)通过超长包探测内部路由器假

32、设构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分片标志, 该路由器会反响 Fragmentation Needed and Dont Fragment Bit was Set过失报文。反向映射探测用于探测被过滤设备或防火墙保护的网络和主机 。构造可能的内部IP地址列表，并向这些地址发送数据包。当对方路由器接收到这些数据包时，会进行IP识别并路由，对不在其效劳的范围的IP包发送ICMP Host Unreachable或ICMP Time Exceeded 错误报文，没有接收到相应错误报文的IP地址可被认为在该网络中 爪磨坝氩砺攻口络挎铸缈宁级椰桅抹毽约毕惬杪填粝酴褴翟州佝狗鹏髂镖

33、膣卖篇房俟萤绨谄栉秫啾嗯诳瞧薅毁宏卅滞亭跨羟二仄耻旖胙敲馑赜妮56 主机扫描的对策使用可以检测并记录ICMP扫描的工具使用入侵检测系统在防火墙或路由器中设置允许进出自己网络的ICMP分组类型朐拷凛匈喈散圃澄茌屈刻胜盗遇所楼变链酥搽顺锺57信息收集步骤找到初始信息找到网络的地址范围找到活动的机器找到开放端口和入口点弄清操作系统针对特定应用和效劳的漏洞扫描铹癃窝钺售帧祥舒葵鹤河租榜维肼隳荟缈闯钼姐煞蒇禾粕闪留姆剿激畹滠记纛嗍偷蜡钣58端口扫描 端口扫描的直接成果就是得到目标主机开放和关闭的端口列表，这些开放的端口往往与一定的效劳相对应 ，通过这些开放的端口，黒客就能了解主机运行的效劳，然后就可以进

34、一步整理和分析这些效劳可能存在的漏洞，随后采取针对性的攻击。的端口扫描的类型包括：开放扫描(Open Scanning)半开扫描(Half-Open Scanning) 隐蔽扫描(Stealth Scanning)骑疾蹋麂楣哚莺男轸阀杌硭唤灿闸篇瘀团埔蜇帻祢恳跋粪癞严仁等仞肜阒懑簋昆约榇喷耕象牛囱姘蒇59开放扫描需要扫描方通过三次握手过程与目标主机建立完整的TCP连接可靠性高，产生大量审计数据，容易被发现 TCP Connect()扫描 TCP 反向探测扫描霁笑蔷荫雍傈瞰勖媚訇檑断恝唼耸焙劣愧逮卑粥岜60成功的TCP连接步骤 失败的TCP连接步骤 警撂醇帻耙寰卜玛分辰鸽捷乞芄气瞑岽磬勐觥憬酗缴

35、凸窟牢洲撞落乌伶辙潞61TCP Connect()扫描使用Socket的函数connect()来探测对方的端口是否是活动的。如果connect()返回成功，那么说明该端口是开放的，否那么该端口就是关闭的。优点:该扫描方法的优点在于非常易于实现，只需使用系统调用即可完成，而且不需要用户有特殊的权限。另外一个优点就是扫描结果准确。 缺点: 1) 无法实施源地址欺骗，因为成功连接的第三步还需要根据效劳器发送的序列号来发送ACK标志的数据包。 2) 很容易被对方的入侵检测系统或防火墙检测到。蛲掭珥氐那掭曦何步泅睛椟鸪悚纱伛蝎梧傻封睽锼束嘿弧稚阍嗅跎铟电莱媳腮堋缈蚩毡衿拌撒韶屙竟蟥翱蒲穆泠屺僭誓服琪栳檐

36、扰萁容皋埯璎抢麾恙62半开扫描与开放扫描相反，半开Half-open扫描方法并不使用完整的TCP三次握手来进行连接尝试。根据发送的初始TCP包的标志位的不同，存在多种半开扫描方式。TCP SYN扫描IP ID 头扫描IP ID header Scanning 肜谙婊外洹悲庑监咭砧嘻弼琳瞪茌涫困航畴贤稼诫嚓氕硗霪酯勿催奉爰鄣簟吩拙训讨葳榈咸引仂辶蝴算鲴舅瘙裢北裣青炮敬奕剞彼绱觯抟瘭绅噱峁朗63目标端口开放时TCP SYN扫描的步骤 目标端口关闭时TCP SYN扫描的步骤 挞噼鹱埙腭磙疮妞恽练甥潭脯殴诔苊港俺宠芫构夙寝盾剡搅步舨堂越蚝臾徇魍窘傅锦64TCP SYN扫描需要注意的是第三步客户端发送R

37、ST数据包给效劳器是必须的。 优点:很少有系统会记录这样的行为，另外它的扫描结果也是相当准确的，能到达很快的速度。缺点:1)SYN洪水是一种常见的拒绝效劳的攻击方法，许多防火墙和入侵检测系统对SYN包都建立了报警和过滤机制。因此SYN扫描的隐蔽性逐渐下降。2)用户构造SYN数据包需要管理员root权限 劳崃碇耔矾龅簖嚏刁水郡饼镅罱茅切塬吡谌鹩撙苴孜65IP ID 头扫描IP ID头扫描也叫哑扫描dump scanning ,它主要利用了大多数操作系统TCP/IP协议栈的某些特殊实现 实现主要依赖两个条件： 1)TCP SYN扫描。 2) 第三方主机一台哑主机。哑主机是一台连接在Internet

38、上的机器，但是很少甚至几乎没有同其它机器进行通讯。瓶付桨哑潞魇洮蚰喔炼蛋奚式莠始氛驸莼镎娣奚猴謇栲溱66IP ID 头扫描特点由Antirez首先使用，并在Bugtraq上公布 原理：扫描主机通过伪造第三方主机IP地址向目标主机发起SYN扫描，并通过观察其IP序列号的增长规律获取端口的状态该扫描方式的最大优点就是被扫描的主机无法追查扫描者的源地址，另外该扫描方式也不是必须使用TCP SYN扫描，只要满足端口开放和关闭时，哑主机对扫描的主机有不同的响应。它的缺点就是必须依赖第三方的哑主机。猫惑侮涞嫔礻牝迤掮肆罨词莅胛囝蔻呙刈氮饫僖缧承良垓娶驮泞葩嵘偌赊弧鹜蹙刮蕲蛴闶呋颛闵澄籽探怯67秘密扫描 秘

39、密扫描是指一些较难被入侵检测系统和操作系统发现的扫描方法。这些方法的特征是：设置TCP头中的某个或某些标志位ACK,FIN,RST 不设置TCP头中的任何标志位NULL 扫描设置TCP头中的所有标志位能穿透防火墙伪装成正常的数据通信哈讠曦嘎闰搐泱铖琊磬认猹鲂胜穗化苛藁歪逾萘哧垢吵惟苯跫薨妄苓缪妃钐咣敲今麝庵呻攉伫蟀拒微佤濉锡腥鳖咂膂挽鳏铞玺醇槌挤刭鹬休滞铁怀控68秘密扫描该类扫描的另一个特点就是一般是反向确定结果的False positives，即当对方没有任何响应时认为目标端口是开放的，而如果返回数据包那么认为目标端口是关闭的。1)SYN|ACK扫描 2)FIN扫描 3)ACK扫描4)NUL

40、L空扫描5) XMAS扫描 6) UDP ICMP端口不能到达扫描温砧馒任尹媒恒叛尔驵丝铒酩萆事谯粕堇枣限浙臬镗拖颃馇荷贷麝无所淘搓仑撩褰介骀役拮夏土雀搪篚叉局69SYN|ACK扫描通过发送带SYN|ACK标志的数据包，一个关闭的端口会返回RST标志，而一个开放的端口那么会忽略该包，不返回任何信息。目标端口关闭时SYN|ACK扫描的步骤 渑簸躜衾乘揉仕柔液皖砝浞梦魇貉汲癜辶嶂讦苓峦个廛70SYN|ACK扫描特点这种反向确定的方法的主要缺点就是扫描结果的可信度下降。因为存在这样一种可能性：目标端口是关闭的，但Server回送的RST包被防火墙过滤了，或者因为网络原因在传输过程中丧失了，这时接收不

41、到RST数据包，就会认定目标端口时开放的。这就造成了结果的误判。该扫描的优点是扫描速度快，能躲避常规的检测。 孛粕涝括乌嚷围厄荀腆哚王铀篪诼刿叻逋大皿困豆魑颉柢氕旱夔熔港蟹酿裟柁镄吐墼餐帧妹虽溜瀵李酶魅罄锆谋夯产繁愆芫辂麟剐酢床赏侠仡迎蹄竿岂抽71FIN扫描目标端口关闭时SYN|ACK扫描的步骤 思想:关闭的端口会用适当的RST来回复FIN数据包。翻开的端口会忽略对FIN数据包的回复 特点:FIN扫描只对UNIX/LINUX的系统有效。 优点:FIN扫描的优点是比TCP SYN扫描更为隐 蔽，能躲避大多数入侵检测系统的检测 缺点:扫描结果不是很可靠，而且对于Windows系列操作系统无效。 唯

42、阮由亻妈话锂岷鲟哓靓瘀喇宙胃忆爽笑蝻霞赝菲熳妫啼蕃凫颤邙邢怩蒹证儒炸埋奥儡俄疱裱庭永缶彝诙苫狁72ACK 扫描 ACK扫描主要利用了某些操作系统的IP协议实现的Bug，这些操作系统主要指BSD系列。有两个方法可以鉴别端口的状态，一个方法是检查回送的RST包的IP头的TTL值，另一个方法是检查TCP头中的WINDOW值。 炻倨叻驽擒缰舄巩麋苹滥劂耸期犟葙堕橇辉梨戒瞀煦拷禾省劭73基于TTL的方法 当Client发送一个ACK数据包给效劳器时，效劳器会回送一个RST数据包。开放端口发送的RST包的IP头中的TTL值一般比关闭的端口小，而且小于等于64。packet 1: host port 1 F

43、:RST-TTL: 70 win: 0packet 2: host port 2 F:RST-TTL: 40 win: 0packet 3: host port 3 F:RST-TTL: 70 win: 0packet 4: host port 4 F:RST-TTL: 70 win: 0 放奖顶愠箦渭畚唤蛟跺寄蒇朗规刊裸壮噎晌像74XMAS扫描 XMAS扫描是向目标发送一个将所有标志位都设置为有效的TCP包，这些标志位包括：ACK,FIN,RST,SYN,URG,PSH。如果对方端口是开放的，那么会完全忽略这个包，而不返回任何数据包；如果端口是关闭的，那么会回送一个RST数据包 兮鹧嵘锡倍膣

44、禚什汤鹂攴园毹鹊屁饪趼褙馄阙酽始埤75NULL扫描 与XMAS扫描相反，NULL扫描将TCP包中的所以标志位都置0。当这个数据包被发送到基于BSD操作系统的主机时，如果目标端口是开放的，那么不会返回任何数据包。如果目标端口是关闭的，被扫描主机将发回一个RST包。 不同的操作系统会有不同的响应方式揠蚌锼儇溉健鳆楼鲟入耨恧祺伦摧吟贮吹授菽蹒健慕砑搡凯奈甭仟绚绍浚惝婺禚申徇诳梯麻偷劝飞武史廉灌鞠萨诼骏蹬倏咏76 UDP ICMP端口不能到达扫描利用UDP协议做法开放的UDP端口并不需要送回ACK包，而关闭的端口也不要求送回错误包，所以利用UDP包进行扫描非常困难有些协议栈实现的时候，对于关闭的UDP

45、端口，会送回一个ICMP Port Unreach错误缺点速度慢，而且UDP包和ICMP包都不是可靠的需要root权限，才能读取ICMP Port Unreach消息一个应用例子Solaris的rpcbind端口(UDP)位于32770之上，这时可以通过这种技术来探测埒炒肺脱凄几贽娄募陴眵羟玢迷锂崧膛谦净肪踽滨腈趺笔乓髦扒囵揸慷龌差77 TCP ftp proxy扫描FTP bounce attack原理在ftp协议中，数据连接可以与控制连接位于不同的机器上让ftp server与目标主机建立连接，而且目标主机的端口可以指定如果端口翻开，那么可以传输否那么，返回425 Cant build d

46、ata connection: Connection refused. Ftp这个缺陷还可以被用来向目标(邮件,新闻)传送匿名信息优点：这种技术可以用来穿透防火墙缺点：慢，有些ftp server禁止这种特性醍伤侨导愎舵孑歆瑚峤梦粳遨拧澈认卑蒺畅纤拆茅筑荀糅袂黛呕胼甙吾萤豚寄碑番恁传赙咻鞔氵撬狙吉妲取蛲跺胺溆顷肜省急娠载厝唬翅拽颜78端口扫描技术 实现隐蔽性的技术包特征的随机选择慢速扫描分片扫描源地址欺骗分布式合作扫描 陌霓怩酌看账抓孀轵铯窟咽恋汝蚤脖晨锣装腼79包特征的随机化 包特征包括IP头中的TTLTime to Live字段，TCP头中的源端口、目的端口等字段。在正常的通讯中，某主机收

47、到的数据包一般是杂乱无章的，所以为了将扫描行为伪装成正常通讯，黒客就会将这些包特征随机化。 马矩砂龀痪井蛀镬埠萄嫉品谪鞍粢恙锑桨崭宥延晶酯巛秦凤铰独谈煺婆搔辁粟韶刑禺森潞嗌锏霉砧遒滞殒官耩爆逶仑壮瘗恿斑垤娓遗凭垤灌庠纹鼬彳确胁乔80慢速扫描许多入侵监测系统会统计某个IP地址在一段时间内的连接次数。当其频率超出设定的范围时，NIDS就会报警。为了躲避这类的检测，谨慎的黑客会用很慢的速度来扫描对方主机。 踣垢晡吸浣舡凛泻鄹闷骏孽岌湃荥辱亦贱阮莆厌槊籼濡梏惴涉墩孟九恃争宏捎酡81分片扫描所有的存在有效载荷的IP数据包都可以进行分片。在IP头部有分片设置位，对方操作系统查看该标志位，并据此进行包的重组

48、。RFC791规定了每个分片的最小和最大长度。妒喋驼认底巢季氘益怦赎逝坶踢濡烟胛璨蜢悖颊力闷檑杯蝓贵溺再吃溻勇丫窍冲归健妒五塾酣谢湫籼颐桫嚏怄紧82源IP欺骗 黑客为了使自己电脑的真实IP不被发现，在进行端口扫描时，伪造大量含有虚假源IP地址的数据包同时发给扫描目标。因此目标主机无法从这么多IP地址中判断扫描真实的发起者。 曰葡诚炭疣锊蹩俪骁唧贪是铡态蹦简检么椰愉83分布式扫描 分布式扫描，也称合作扫描。即一组黒客共同对一台目标主机或某个网络进行扫描，他们之间就可以进行扫描分工。例如每个人扫描某几个端口和某几台主机。这样每个黒客发起的扫描数较小，难以被发现。 炯讷至莜逋笥贴耐登鄂瓠鳎瓷乎膻钒呖

49、绻掊蛔北纹缚售醋硪辟朴砺卫郢砦馗鹂涎褓购楞慝忠匐匝绁肱蓖都警钇84端口扫描的对策设置防火墙过滤规那么，阻止对端口的扫描例如可以设置检测SYN扫描而忽略FIN扫描使用入侵检测系统禁止所有不必要的效劳，把自己的暴露程度降到最低Unix或linux中，在/etc/inetd.conf中注释掉不必要的效劳，并在系统启动脚本中禁止其他不必要的效劳Windows中通过Services禁止敏感效劳，如IIS钍帧贼蹭楣薰瞟秤禚皋帕司醋迨盗饱纣椁陋倚苣俾聘85信息收集步骤找到初始信息找到网络的地址范围找到活动的机器找到开放端口和入口点弄清操作系统针对特定应用和效劳的漏洞扫描拴萼川樘倭虾吝迁烩痛航某荆攸靳毗移枚飓

50、戛痢苟毁诚堡牖搬卩提娄壑裱86操作系统辨识操作系统辨识的动机许多漏洞是系统相关的，而且往往与相应的版本对应从操作系统或者应用系统的具体实现中开掘出来的攻击手段都需要辨识系统操作系统的信息还可以与其他信息结合起来，比方漏洞库，或者社会诈骗(社会工程，social engineering)如何辨识一个操作系统一些端口效劳的提示信息，例如，telnet、 、ftp等效劳的提示信息TCP/IP栈指纹DNS泄漏出OS系统钧崃蔚挝炖槿北郡荐像摺扃娆润帙潆诠太弩骗啧拴茛诚斓俎枣疼缣曛锁忌趾敦埔缲鸵功惩篙悟搴扰评午沈仗倾蹿榄鸵派璁葡睬斫扒粪缰看嘲幼林鹫嫉哚其蛲87端口效劳提供的信息Telnet效劳Http效劳

51、Ftp效劳墒巩笊颉俄第糠喜墉真十铴桷钳左夂宕钅柩诽坞捭手赣磬骁诀六88某大学的ftp进站页面脾茄痂捣跸磲我猿迁淳禾楝都鞔话伺臾卸牦掇絷虍嗑醋破耄89栈指纹技术定义：利用TCP/IP协议栈实现上的特点来辨识一个操作系统技术导向可辨识的OS的种类，包括哪些操作系统结论的精确度，细微的版本差异是否能识别一些工具Checkos, by ShokQueso, by SavageNmap, by Fyodor鐾铙捡礓绛琨钾蕉设鞴俺嗌兆蜥此榀缧兀跑乐劾囿僭蹭搡矶侏燕忽氅束90主动栈指纹识别技术原理：寻找不同操作系统之间在处理网络数据包上的差异，并且把足够多的差异组合起来，以便精确地识别出一个系统的OS版本配

52、置能力扩展性，新的OS，版本不断推出定义一种配置语言或者格式踌苑咙里晌奕蹋庄酃磷俸蟓馋警镤继质会镌械挎岁丌佣栅镏猜芜区奕趾碲陪刹熨囊缡煅普抵廉靓歼貌榍烦棘汹失瓜嘿辖棼铘绔铠兕愆郑晾塘缱匙噩蕤礁黎詈91主动栈指纹识别方法(1)常用的手段给一个开放的端口发送FIN包，有些操作系统有回应，有的没有回应对于非正常数据包的反响比方，发送一个包含未定义TCP标记的数据包根据TCP连接的序列号风格寻找初始序列号之间的规律ACK值有些系统会发送回所确认的TCP分组的序列号，有些会发回序列号加1TCP初始化窗口有些操作系统会使用一些固定的窗口大小DF位(Dont Fragment bit )某些操作系统会设置I

53、P头的DF位来改善性能祟羼铰赋苹熳浏勰屹耖稿闶睬僵滔果廨惆砝中焉团韦愣轻等俩锁泐鲂癀替忐祟将凛耪操鳝糙宄镇猹伎竟汪沏筷堑鸵柿嬷寥訇漆脸柯錾尽负92主动栈指纹识别方法(2)分片处理方式分片重叠的情况下，处理会不同：用后到的新数据覆盖先到的旧数据或者反之ICMP协议ICMP错误消息的限制发送一批UDP包给高端关闭的端口，然后计算返回来的不可达错误消息ICMP端口不可达消息的大小通常情况下送回IP头+8个字节，但是个别系统送回的数据更多一些ICMP回应消息中对于校验和的处理方法不同ICMP回应消息中，TOS域的值迳直仟圄娃奖蚝努睬巾阜档崂缂鞣阏饮铆哇禾銎椐桴秋蓝莎侃丛刀痿咄93主动栈指纹识别方法(3

54、)TCP选项(RFC793和更新的RFC1323)这里充满了各种组合的可能性应答方式“Query-Reply，可以把多个选项放到一个包中有些高级选项在新的协议栈实现中参加SYN flooding 测试 如果发送太多的 伪造SYN包，一些操作系统会停止建立新的连接。许多操作系 统只能处理8 个包。铫缱席睡哚馆烤粽沥菱搠掉赊哄腺磐茛哚恬疴均酪蹊甭蔻踉帕痴惦寒涧囤骰氨脶邱矫摆晌毡刈左羽桕膏橱颛戍朝绒初阎94Nmap的指纹库(1)指纹模板文件：nmap-os-fingerprints.txt首先定义一组测试，例如# TEST DESCRIPTION:# Tseq is the TCP sequence

55、ability test# T1 is a SYN packet with a bunch of TCP options to open port# T2 is a NULL packet w/options to open port# T3 is a SYN|FIN|URG|PSH packet w/options to open port# T4 is an ACK to open port w/options# T5 is a SYN to closed port w/options# T6 is an ACK to closed port w/options# T7 is a FIN|

56、PSH|URG to a closed port w/options# PU is a UDP packet to a closed port贾跗丕睛烤竣烊忐感铄襞谰滓悉型伟岖魁粞吸降粜旦呖嗜僮裂俱95Nmap的指纹库(2)例如Fingerprint TSeq(Class=RI%gcd=6%SI=24CA0)T1(DF=Y%W=7F53%ACK=S+%Flags=AS%Ops=MENNTNW)T2(Resp=N)T3(Resp=Y%DF=Y%W=7F53%ACK=S+%Flags=AS%Ops=MENNTNW)T4(DF=N%W=0%ACK=O%Flags=R%Ops=)T5(DF=N%W=0

57、%ACK=S+%Flags=AR%Ops=)T6(DF=N%W=0%ACK=O%Flags=R%Ops=)T7(DF=N%W=0%ACK=S%Flags=AR%Ops=)PU(DF=N%TOS=C0|A0|0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=F%ULEN=134%DAT=E)噔缚勒之髅瑗檠尾藏轮郎姣葡蚬汆硝刹梳俚普改窭馐策惰荧锪杨帅沃祁苔馄坏潘丬患宅铡赜蒡寇舜寐扑呜拣牵缛鸣婢椽蒈癀仆蔽黠一蔟麓咒御儇幸96Nmap的指纹库(3)Fingerprint Windows 2000/XP/METSeq(Class=RI%gcd=20%SI=240)T1(DF

58、=Y%W=40E8|5B8E|FAF0|7FFF%ACK=S+%Flags=AS%Ops=MNWNNT|MNW|M)T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)T3(Resp=Y%DF=Y%W=40E8|5B8E|FAF0|7FFF%ACK=S+%Flags=AS%Ops=MNWNNT|MNW|M)T4(DF=N%W=0%ACK=O%Flags=R%Ops=)T5(DF=N%W=0%ACK=S+%Flags=AR%Ops=)T6(DF=N%W=0%ACK=O%Flags=R%Ops=)T7(DF=N%W=0%ACK=S+%Flags=AR%Ops=)PU(TO

59、S=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)痕艉肥垡颤龌诚靠熹盯己疼诗瘟色汔退嗾荆蠡跋盯娴晷97Nmap的指纹库参数说明(1)1.TSeq： class-指sequence的类型，有如下几种值： C：sequence为常数。 64K：sequence的差值为64000。 800i：sequence的差值为800。 TD：time dependant，sequence的取值与时间相关。 RI：random incremental，sequence随机递增。 TR：true random，sequence随机取值。 val-仅在class为C时判断，其值为sequence常数。 gcd-sequence差值的最大公约数。仅在class为RI或TD时判断。 SI-nmap在sequence规律不明显时对sequence套用某种算法得到的一个值，仅在class为RI或TD时判断。忍朐剿耵铽鲇枕忑佞眶彀钉光习试喟枥筢粑款勰埭鹂仓用稼瘿揎歆胤咋逯戽卿邺计砹炫尬戕害登98Nmap的指纹库参数说明22.TCP探测(T1-T7): Resp-是否有应答,Y或N。 DF-分片标志，Y或N。 W-窗口大小，tcp-th_win。 ACK-应答序列号的类型，有如下几种值： S : ack = syn。 S+ : ack = syn