网络安全第三讲

第三章网络侦察技术3第一页，共四十三页。第三章网络侦察技术

3.1网络监听3.2

口令破解3.3

网络扫描3第二页，共四十三页。网络扫描网络扫描重点介绍三种扫描类型地址扫描端口扫描漏洞扫描常用的扫描器NmapNessusX-Scan3.1第三页，共四十三页。扫描扫描器的定义扫描的类型常用的扫描器对抗方法第四页，共四十三页。

扫描器的定义扫描器是一种收集系统信息，自动检测远程或本地主机安全性弱点的程序。扫描器的作用：可以发现远程服务器是否存活;它对外开放的各种TCP端口的分配及提供的服务;它所使用的软件版本(如操作系统或其他应用软件的版本);所存在可能被利用的系统漏洞.第五页，共四十三页。

扫描的类型（按照目标分类）地址扫描：发现计算机网络上存活的计算机；第六页，共四十三页。端口扫描：发现计算机网络的服务；端口号和网络服务相关联；第七页，共四十三页。漏洞扫描：发现计算机系统上的漏洞。第八页，共四十三页。端口扫描入侵者在进行攻击前，首先要了解目标系统的一些信息：如目标主机运行的是什么操作系统；是否有保护措施；运行什么服务；运行的服务的版本等等。判断运行服务的方法就是通过端口扫描，因为常用的服务是使用标准的端口，只要扫描到相应的端口，就能知道目标主机上运行着什么服务，然后入侵者才能针对这些服务进行相应的攻击。第九页，共四十三页。端口扫描端口的类型由IANA（InternetAssignedNumbersAuthority）分配熟知端口(0～1023)：分配给常用的网络服务注册端口(1024～49151)：分配给其他网络服务私有（动态）端口(49152～65535)：客户端临时端口操作系统对TCP/IP协议的实现满足RFC（RequestForComments）文档。RFC793-TransmissionControlProtocolRFC768-UserDatagramProtocol第十页，共四十三页。TCPConnectCONNECTSCANACK/ACK第十一页，共四十三页。TCPSYN/ACK某些扫描器不发送该数据包/ACK第十二页，共四十三页。TCPFIN第十三页，共四十三页。TCPXMAS树第十四页，共四十三页。TCP空扫描第十五页，共四十三页。其他端口扫描方式的实现方法：构造特定的数据包使用原始套接字编程（RawSocket）第十六页，共四十三页。

漏洞扫描漏洞扫描是指使用漏洞扫描程序对目标系统进行信息查询漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序外部扫描与内部扫描是否通过Internet来进行第十七页，共四十三页。

常用的扫描器第十八页，共四十三页。

常用的扫描器Nmap(端口扫描器)UDP、TCPconnect、TCPSYN（半开）、ftpproxy（跳跃攻击）、Reverse-ident、ICMP(ping)、FIN、ACKsweep、XmasTree、SYNsweep和NULL扫描。通过TCP/IP来鉴别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的Ping侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活目标选择以及端口的描述。第十九页，共四十三页。第二十页，共四十三页。Nessus(漏洞扫描器)Nessus是图形化的界面，使得它使用起来相当简便，它还对扫描出的漏洞给出详细的利用方法和补救方法。所以，Nessus是攻击者和网管都应该学会使用的漏洞检查利器。第二十一页，共四十三页。X-scan

提供了图形界面和命令行两种操作方式远程操作系统类型及版本、标准端口状态及端口banner信息、CGI漏洞、RPC漏洞、SQL-SERVER默认帐户、弱口令，NT主机共享信息、用户信息、组信息、NT主机弱口令用户。第二十二页，共四十三页。RetinaSAINTHPING2FirewalkNIKTOGFILANGUARDISSSecurityScannerNetcraft……参考：Top100NetworkSecurityTools./第二十三页，共四十三页。对抗扫描的方法防火墙：阻止扫描数据。网络入侵检测系统：检测扫描数据。仅仅允许必须的端口开放，过滤或关闭其他端口。管理员适当配置系统的TCP/IP协议栈的性质，以对抗操作系统的指纹识别。使用者的安全教育。第二十四页，共四十三页。3、3.2网络监听网络嗅探的目的是截获通信的内容。嗅探（监听）的方法是对协议进行分析。当黑客成功地登录进一台网络上的主机，并取得了root权限之后，而且还想利用这台主机去攻击同一网段上的其它主机时，这时网络监听是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。

第二十五页，共四十三页。以太网的监听共享以太网上的嗅探器以太网逻辑上是总线拓扑结构，采用广播的通信方式。数据的传输是依靠帧中的MAC地址来寻找目的主机。只有与数据帧中目标地址一致的那台主机才能接收收据（广播帧除外，它永远都是发送到所有的主机）。但是，当网卡工作在混杂模式（Promiscuous）下时，无论帧中的目标物理地址是什么，主机都将接收。如果在这台主机上安装嗅探器，就可以达到监听的目的。第二十六页，共四十三页。交换式网络上的嗅探器（EthernetSwitch）交换以太网中，交换机能根据数据帧中的目的MAC地址将数据帧准确地送到目的主机的端口，而不是所有的端口。所以交换式网络环境在一定程度上能抵御Sniffer攻击。在交换环境中，Sniffer的简单的做法就是伪装成为网关（欺骗交换机）常用工具ARP欺骗（ARPpoisoning/spoofing）/“中间人”攻击参考资料：Wikipedia:ARPspoofing./wiki/ARP_spoofing第二十七页，共四十三页。什么是ARP？ARP(AddressResolutionProtocol)提供IP地址到相应的硬件地址（物理地址或MAC地址）之间的映射应用在局域网中（广播ARP请求）IP地址称为逻辑地址，数据在物理网络上传输使用的是硬件地址（数据链路层协议帧封装的需要）。如果一台主机需要知道路由器或另外一台主机的物理地址，就需要使用ARP协议。控制信息有：ARP请求（广播）和ARP应答（单播）ARP请求和响应是内核处理的。参考资料：W.RichardStevens.TCP/IP详解卷I：协议.机械工业出版社.2000第二十八页，共四十三页。ARP基本原理以太网ARP请求：

3的硬件地址是多少？12300:50:56:C0:00:0800:55:16:B0:01:0301:53:36:CC:00:FEABC例如：主机A与主机C进行通信第一步：主机A广播一个ARP请求第二十九页，共四十三页。ARP基本原理第二步：单播响应，保存映射以太网123ARP响应：

3的硬件地址是：00:50:56:C0:00:0800:50:56:C0:00:0800:55:16:B0:01:0301:53:36:CC:00:FE300:50:56:C0:00:081的映射表（ARP高速缓存）：ABC第三十页，共四十三页。网络交换机的工作过程交换机地址映射表PortMAC101:53:36:CC:00:FE200:50:56:C0:00:08300:55:16:B0:01:0312101:53:36:CC:00:FE300:50:56:C0:00:083200:55:16:B0:01:03ACB源端目的端第三十一页，共四十三页。Router1AttackerVictim5Victim’sARPCacheIPMACStep1AttackersaysthathisIPis1andhisMACaddressis(say)ATTACKERS_MACARP欺骗过程ACB第三十二页，共四十三页。Router1AttackerVictim5Victim’sARPCacheIPMAC1ATTACKER_MACStep1AttackersaysthathisIPis1andhisMACaddressis(say)ATTACKERS_MACBCA第三十三页，共四十三页。Router1AttackerVictim5Victim’sARPCacheIPMAC1ATTACKER_MACStep2Victim’sInternettrafficforwardedtoattacker’ssystemasitsMACaddressisassociatedwiththeRouterBCA第三十四页，共四十三页。Router1AttackerVictim5Victim’sARPCacheIPMAC1ATTACKER_MACStep3AttackerforwardsthetraffictotheRouterBCA第三十五页，共四十三页。网络监听的防范方法确保以太网的整体安全性采用加密技术第三十六页，共四十三页。

口令破解黑客攻击目标时常常把破译普通用户的口令作为攻击的开始。字典文件用户的名字、生日、电话号码、身份证号码、所居住街道的名字等。3.3第三十七页，共四十三页。

口令破解口令攻击类型字典攻击强行攻击组合攻击口令破解器工作原理第三十八页，共四十三页。

口令破解Windows口令破解Windows2000的口令存放SAM(SecurityAccountManager)LM(LanManager)NTLM(Windows2000LANManager)Windows2000口令破解程序

CainandAbel（http://www.oxid.it/cain.html）JohntheRipper（/john/）Ophcrack（/）L0phtcrack(）NTSweep()PWDump2()第三十九页，共四十三页。Ophcrack第四十页，共四十三页。

口令破解Unix口令破解

/etc/passwdLOGNAME：PASSWORD：UID：GID：USERINFO：HOME：SHELL/etc/shadowJohntheRIPper1.6增强口令安全性CrackLib禁用root远程登录

第四十一页，共四十三页。本章小结内容网络扫描网络监听口令破解讨论扫描有几种类型？简述它们的功能