课程网络探测技术及分析防御方法

1、2022年8月12日网络攻防技术与实践课程Copyright (c) 20082009 诸葛建伟1诸葛建伟 北京大学计算机研究所信安中心北京大学网络攻防技术与实践课程作业3.2解码一次网络扫描讲解2022年8月12日网络攻防技术与实践课程Copyright (c) 20082009 诸葛建伟2作业3.1网络扫描实验(3分)难度等级：入门级以作业2中构建的网络攻防实验环境或课程统一的CTF对抗环境为目标，对主机系统进行完整的扫描（ping扫描、端口扫描、操作系统和网络服务辨识、漏洞扫描）给出扫描实验过程报告和实验结果分析2022年8月12日网络攻防技术与实践课程Copyright (c) 200

2、82009 诸葛建伟3作业3.2解码一次网络扫描(7分)难度等级：入门级这次案例分析挑战作业是完全为刚入门的安全分析师准备的，目标是分析人为构造的从因特网到一台蜜罐主机的5次不同类型端口扫描。需要指出的是，这次案例分析中的端口扫描流量并不是从“野外”捕获的，这次入门级的分析挑战的目的完全是为了提供学习和训练的机会。作业分析数据下载地址：0/exercises/exercise3.tar.gzDeadline: 10月21日下午17:002022年8月12日网络攻防技术与实践课程Copyright (c) 20082009 诸葛建伟4作业3.2解码一次网络扫描(问题)1.什么是二进制网络日志文件

3、？这种文件是如何生成的？2攻击主机的IP地址是什么？网络扫描的目标IP地址是什么？3本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？4本次案例中使用了5种不同类型的扫描方式，请将这5种方法标识出来，并描述其工作原理。5在蜜罐主机上哪些端口被发现是开放的？6攻击主机的操作系统是什么？作业3.2提示使用工具wireshark(ethereal)为主snort可为辅检测扫描工具的特征结合使用命令行与图形界面：高手倾向于使用命令行，但不意味着完全排斥GUI分析关键点确认发起扫描使用的工具，然后对照它的使用说明和你看到的数据包特征快速区分出各次扫描的范围边界（如何区分？注意观察每次扫描开

4、始时刻具有什么特征）不要累坏你的眼睛善用tcpdump filter选择性的关注数据包2022年8月12日网络攻防技术与实践课程Copyright (c) 20082009 诸葛建伟52022年8月12日网络攻防技术与实践课程Copyright (c) 20082009 诸葛建伟6作业3.2解答准备工作获取文件验证完整性：md5sum exercise3.tar.gz解压缩：tar zxf exercise3.tar.gz验证完整性、文件类型md5sum 082619-snort.logcat 082619-snort.log.md5file 082619-snort.log2022年8月12

5、日网络攻防技术与实践课程Copyright (c) 20082009 诸葛建伟7问题1二进制网络日志文件082619-snort.log: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 1514)什么是二进制网络日志文件?二进制网络日志文件是对0和1组成的网络二进制数据进行捕获和记录的文件格式标准格式:tcpdump/libpcap的pcap文件格式通常被称为原始流量捕获如何生成这类文件?利用数据包捕获库和工具监听网络，并捕获原始流量捕获位置：混杂模式网络接口，共享式集线器(hub)，T

6、AP分路器，路由器或交换机的SPAN镜像端口捕获库/工具类Unix平台：libpcap+tcpdump/snort/wiresharkWin32平台：winpcap+snort/wireshark for win322022年8月12日网络攻防技术与实践课程Copyright (c) 20082009 诸葛建伟8生成和读取二进制网络日志文件Snort生成：snort -l /var/log/snort -b读取：snort -vde -r snort.logtcpdump生成：tcpdump -w log读取：tcpdump -r logwireshark(ethereal)生成：tshark

7、(tethereal) -w log读取：tshark(tethereal) -r logwireshark(ethereal)图形界面善用更多的命令行参数和tcpdump filter学会看Manual Page: man xxxx2022年8月12日网络攻防技术与实践课程Copyright (c) 20082009 诸葛建伟9用wireshark分析日志文件#wireshark 082619-snort.log2022年8月12日网络攻防技术与实践课程Copyright (c) 20082009 诸葛建伟10问题2攻击主机和目标主机IP猜想攻击主机IP：目标主机IP：9验证还有别的攻击主机

8、和目标主机吗？Statistics(统计)菜单项Conversation List(会话列表) 功能IPv4会话列表三个其他IP只有请求,没有响应1/199/2542022年8月12日网络攻防技术与实践课程Copyright (c) 20082009 诸葛建伟11问题3确定扫描工具从网络流中识别入侵和攻击类型网络入侵检测Snort开源网络入侵检测系统最知名的入侵检测系统网络入侵检测/入侵防御系统事实标准Snort规则描述入侵特征的标准格式Snort发展史The Story of Snort: Past, Present and FutureMartin Roesch, 1998年底开始发布轻量

9、级NIDS-snort2001年成立Sourcefire公司, Vulnerability Research Team2004年snort v2.0: 应用新的检测引擎和多模匹配算法2005年Check Point试图以$225 million收购Sourcefire, 因美国政府介入而未成功2007年Sourcefire收购ClamAV2022年8月12日网络攻防技术与实践课程Copyright (c) 20082009 诸葛建伟12Snort的安装和使用安装# tar -zxf snort-.tar.gz# cd snort-# ./configure# make# cp ./ snort

10、rules-snapshot-CURRENT.tar.gz .# tar -zxf snortrules-snapshot-CURRENT.tar.gz使用配置snort.conf文件# snort -r ./082619-snort.log -c ./etc/snort.conf* 1:469:4 ICMP PING NMAP *问题解答：本案例中使用了由Fyodor所开发的著名开源网络扫描器nmap ( ) 2022年8月12日网络攻防技术与实践课程Copyright (c) 20082009 诸葛建伟13分析扫描数据包确定各次扫描边界关注前四个数据包#1, #2: ICMP echo,

11、echo-reply#3, #4: HTTP ACK, RST or SYN/ACKPing Scan: 确定主机是否活跃查看nmap工具的manual page-sP: Ping scanningBy default, nmap uses both the ICMP and ACK techniques in parallel.Note that pinging is done by default anyway利用每次nmap扫描开始缺省的ICMP echo获HTTP ACK扫描确定每次扫描边界tshark -r 082619-snort.log icmp.type = 82022年8月1

12、2日网络攻防技术与实践课程Copyright (c) 20082009 诸葛建伟14确定各次扫描边界扫描事件起始序号结束序号包数量开始时间结束时间持续时间(秒)第一次扫描114800614800601245.351245.35第二次扫描14800715075227461274.61406.67132.07第三次扫描15075315325024981407.261491.4784.21第四次扫描15323715598627491489.561597.67108.11第五次扫描15598716383278461602.081661.9859.9rootcentos scanofthemonth#

13、tshark -r 082619-snort.log icmp.type = 8 1 0.000000 - 9 ICMP Echo (ping) request148007 1274.602300 - 9 ICMP Echo (ping) request150753 1407.256096 - 9 ICMP Echo (ping) request155987 1602.084879 - 9 ICMP Echo (ping) request155988 1602.084912 54 - 9 ICMP Echo (ping) request155989 1602.084941 99 - 9 ICM

14、P Echo (ping) request155990 1602.084976 99 - 9 ICMP Echo (ping) requestrootcentos scanofthemonth# tshark -r 082619-snort.log tcp.dstport = 80 and tcp.flags = 0 x0010 3 0.000044 - 9 TCP 52218 http ACK Seq=0 Ack=0 Win=2048 Len=0148009 1274.602344 - 9 TCP 42314 http ACK Seq=0 Ack=0 Win=4096 Len=0150755

15、 1407.256141 - 9 TCP 58183 http ACK Seq=0 Ack=0 Win=1024 Len=0153237 1489.554550 - 9 TCP 40551 http ACK Seq=0 Ack=0 Win=1024 Len=0153999 1500.786504 - 9 TCP 34398 http ACK Seq=1 Ack=1 Win=5840 Len=0 155991 1602.085026 - 9 TCP 35984 http ACK Seq=0 Ack=0 Win=3072 Len=0155992 1602.085031 54 - 9 TCP 359

16、84 http ACK Seq=0 Ack=0 Win=3072 Len=0155993 1602.085081 - 9 TCP 35984 http ACK Seq=0 Ack=0 Win=3072 Len=0155995 1602.085111 99 - 9 TCP 35984 http ACK Seq=0 Ack=0 Win=3072 Len=02022年8月12日网络攻防技术与实践课程Copyright (c) 20082009 诸葛建伟15问题4之一解码第一次扫描#5, #6: SYN包到非开放端口, 非开放端口响应RST/ACK包可能为TCP connect()扫描或TCP SYN

17、扫描过滤掉扫描的SYN包和非开放端口响应的RST/ACK包filter: frame.number 148006 and frame.number 150753 and tcp and ip.src != 9“目标端口列表为常用服务监听端口列表/etc/servicesnmap manual page: -F (fast scan) 第二次扫描的最后阶段出现一系列网络探测#150639至#150752 如何解释?2022年8月12日网络攻防技术与实践课程Copyright (c) 20082009 诸葛建伟17解码第二次扫描-最后阶段的探测nmap-os-fingerprints# Tseq

18、is the TCP sequenceability test# T1 is a SYN packet with a bunch of TCP options to open port# T2 is a NULL packet w/options to open port# T3 is a SYN|FIN|URG|PSH packet w/options to open port# T4 is an ACK to open port w/options# T5 is a SYN to closed port w/options# T6 is an ACK to closed port w/op

19、tions# T7 is a FIN|PSH|URG to a closed port w/options# PU is a UDP packet to a closed portFingerprint Linux 2.4.6 - 2.4.21Class Linux | Linux | 2.4.X | general purposeTSeq(Class=RI%gcd=6%SI=4DF5C%IPID=Z%TS=100HZ)T1(DF=Y%W=16A0|4000|7FFF%ACK=S+%Flags=AS%Ops=MNNTNW)T2(Resp=N)T3(Resp=N)T4(DF=Y%W=0%ACK=O%Flags=R%Ops=)T5(DF=Y%W=0%ACK=S+%Flags=AR%Ops=)T6(DF=Y%W=0%ACK=O%Flags=R%Ops=)T7(DF=Y%W=0%ACK=S+%Flags=AR%Ops=)PU(DF=N%TOS=C0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)nmap操作系统辨识-O推