网络攻防技术概述与课程-课程3-网络探测技术及分析解疑防御方法

2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟1北京大学网络攻防技术与实践课程3.网络探测技术及分析防御方法提醒作业1deadline10.12发布在BBS上，然后通知助教作业2deadline10.142022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟2GoogleSummerofCode20092022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟3GSoC2009统计数字汇总学生3,496(93countries)，申请5,900，录用1,000(65countries):28.6%完成：85%申请Top5countriesUnitedStates(744),India(610),China(202),Canada(138)andBrazil(135)录用Top5countriesUnitedStates(212),India(101),Germany(55),Canada(44)andBrazil(43).录用/申请UnitedStates(28.5%),India(16.55%),China(<20.8%),German(>41%),Canada(31.9%),Brazil(31.9%)2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟4GSoC2009TopUniversities录用SriLanka-UniversityofMoratuwa-22Brazil-UniversityofCampinas/UNICAMP-12China-GraduateUniversityofChineseAcademyofSciences-11Romania-PolytechnicUniversityOfBucharest-11Poland-GdanskUniversityofTechnology-10Austria-ViennaUniversityofTechnology-9India-BirlaInstituteofTechnologyandSciencePilani,Goacampus-9Sweden-RoyalInstituteofTechnology-9India-InstituteofTechnology,BanarasHinduUniversity-8Singapore-NationalUniversityofSingapore–8申请SriLanka-UniversityofMoratuwa-79Brazil-UniversityofCampinas/UNICAMP-37Canada-UniversityofToronto-34Austria-ViennaUniversityofTechnology-31China-GraduateUniversityofChineseAcademyofSciences-30UnitedStates-UniversityofIllinoisatUrbana-Champaign-28Poland-WroclawUniversityofTechnology-27Hungary-BudapestUniversityofTechnologyandEconomics-21Canada-CarletonUniversity-21Romania-AlexandruIoanCuzaUniversityofIasi-202022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟52022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟6内容网络基础知识网络踩点技术网络扫描技术网络监听和分析技术作业3－网络扫描实验/解码一次简单的网络扫描2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟7网络基础知识OSI网络七层结构TCP/IP协议栈链路层(2):以太网/PPP网络层(3):IP/ICMP/IGMPIP<->MAC:ARP/RARP传输层(4):TCP/UDP应用层(7):用户进程/网络服务2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟8TCP/IP协议栈各层数据包结构数据包结构用户数据－payload应用层包头部TCP/UDP传输层头部IP网络层头部以太网头部/尾部以太网包长度64字节-

1518字节2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟9IP数据包格式2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟10IP网络互连的原理广播子网内部ARP地址解析从IP地址到MAC地址的解析子网间寻路－路由器路由协议BGP2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟11IP地址保留私用的网络地址：-55-55.255-55还有一些具有特殊意义的网络地址，如广播地址和地址等。CIDRIP地址表示:/162022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟12TCP数据包格式2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟13TCP协议连接交互过程TCP-有状态的网络连接协议可靠传输拥塞控制流模式TCP三次握手C->S:SYNS->C:SYN|ACKC->S:ACK协商SEQ2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟14UDP协议UDP－无状态的传输层协议无连接不保证传输可靠性:无重传机制数据报模式:不保证报文传输顺序2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟15常用应用层网络协议DNS:53/udpFTP:20,21/tcpSSH:22/tcptelnet:23/tcpHTTP:80/tcpSMTP:25/tcpPOP3:110/tcp参考IANA提供的port-numbers.txt/etc/services2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟16内容网络基础知识网络踩点技术网络扫描技术网络监听和分析技术作业3－网络扫描实验/解码一次简单的网络扫描2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟17网络踩点－概要踩点(footprinting)收集攻击目标信息，为进一步的攻击做准备孙子兵法：知己知彼，百战不殆踩点目标得到目标系统的剖析图(profile)寻找其中可能的薄弱点踩点方法结构化方法学网络踩点：公开渠道信息网络搜索、WHOIS查询、网络侦察物理踩点：地理位置的确定、垃圾分析踩点能够标识的信息2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟18因特网

域名网络地址块162.105.*.*/16,..55,202.112.?.0/24直接访问系统的具体IP:04

DNS:7/3

:50

…(/index.htm)已被发现的各系统上TCP/UDP服务系统体系架构百度百科:北大未名BBS架设在64位x86服务器上，软件则采用自行改造的FirebirdBBS系统.访问控制机制和相关访问控制表构筑校园网安全保障体系.张蓓,zhp@.北京大学计算中心.CERNET2005入侵检测系统同上各相关主机的细节信息DNS主机名内联网N/A组网协议内部域名网络地址块…远程访问

远程系统的类型拨号入网，VPN模拟/数字电话号码拨号系统提供用户使用的电话号码是：62751340、62751341、62751040，

拨号成功后，可直接访问校内网络身份验证机制拨号入网采用教工工资号/密码进行身份验证

VPN采用北大校园网帐户/密码进行身份验证VPN和相关协议配置登陆地址：/remote/login

采用协议配置：FortinetSSLVPN2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟19网络搜索公开渠道信息收集目标Web网页、地理位置、相关组织组织结构和人员、个人资料、电话、电子邮件网络配置、安全防护机制的策略和技术细节GoogleHackingGoogleHacking:通过网络搜索引擎

查找特定安全漏洞或私密信息的方法allinurl:tsweb/default.htm:查找远程桌面Web连接JohnnyLong:GoogleHackingDatabaseGoogleHacking软件:Athena,Wikto,SiteDigger防御策略定期搜索公开渠道发布信息中是否有敏感信息在Web上发布信息时严格检查GoogleHacking示例2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟202022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟21WHOIS查询IP地址和域名管理ICANN(IANA):InternetCorporationforAssignedNamesandNumbersIP地址管理:ASOAPNICCNNIC互联网服务商顶级域名管理:GNSO域名官方注册机构域名服务商国家域名管理:CNNSOCNNIC域名服务商WHOIS查询域名注册信息查询:ICANN(IANA)域名官方注册机构域名服务商IP区段注册信息查询:任一RIR分配IP区段的RIRIP区段注册者(或需进一步查询)集成工具:whois客户程序,NetScan,…WHOIS查询防范措施公共数据库安全性:确保准确，慎重考虑列出电话/地址(避免被社会工程师利用)Whois客户程序示例whois162022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟222022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟23WHOIS查询示例2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟24DNS区域传送DNS区域传送nslookup:defaultserverls-dDOMAIN_DNS_NAME阻断DNS区域传送MMC控制台配置DNS服务去掉AllowZoneTransfers，禁止区域传送C:\DocumentsandSettings\zhugejw>nslookupDefaultServer:Address:0>ls-dls:connect:Noerror***Can'tlistdomain:Unspecifiederror2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟25网络侦察Traceroute探测网络路由路径，可用于确定网络拓扑主机发送TTL从1开始逐步增1的IP包，网络路径上路由器返回ICMPTIME_EXECEEDEDUNIX/Linux:tracerouteWindows:tracert穿透防火墙:traceroute-S-p53TARGET_IP图形化界面工具:VisualRoute,NeoTrace,Trout网络侦察防范措施路由器配置:只允许特定系统响应ICMP/UDP数据包网络入侵检测系统/网络入侵防御系统:Snort虚假响应信息:RotoRouterTraceroute网络侦察示例2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟262022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟27IP2Location－地理信息查询IP2Location查询IP地址(因特网上的虚拟地址)现实世界中的具体地理位置IP2Location数据库:WHOIS数据库,GeoIP,IP2Location,纯真数据库（QQIP查询使用）地理信息查询GoogleMap,Sougou地图GoogleEarth北大地图:0/gmap/pkumap.phpIP2Location示例GeoIP纯真库2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟28GoogleMap&GoogleEarth截图方正大厦2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟29北大IP和地图查询作者:

狩猎女神组

柳亚鑫基于

GoogleMap

API2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟302022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟31内容网络基础知识网络踩点技术网络扫描技术网络监听和分析技术作业3－网络扫描实验/解码一次简单的网络扫描2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟32网络扫描V.S.盗窃目标窥探Ping扫描找出网段内活跃的主机端口扫描找出主机上所开放的网络服务漏洞扫描找出主机/网络服务上所存在的安全漏洞操作系统/网络服务辨识识别主机安装的操作系统类型识别主机上开放的网络服务类型确定目标找出大楼中有人住的房间寻找门窗找出可进入房间的门窗位置缝隙/漏洞搜索进一步发现门窗中可撬开的缝隙、锁眼、…材质辨识识别房间、门窗等的材质结构针对不同材质结构选择不同破解工具2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟33Ping扫描Ping目的：检查目标主机是否活跃(active).Ping扫描方式传统ICMPPing扫描：发送ICMPecho,活跃主机ICMPechoreply应答，非活跃主机无应答ACKPing扫描：绕过防火墙，往80等常用端口发送ACK包，活跃主机SYN|ACK或RST应答，非活跃主机无应答nmap-sP-PT80[HOST]|[NET]SYNPing扫描UDPPing扫描：UDP响应包或ICMP端口不可答报文Nmap:-sP选项,缺省执行,并行使用ICMP和ACK扫描方式Ping扫描程序Ping,Nmap2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟34Ping扫射Ping扫射同时扫描大量的IP地址段，以发现某个IP地址是否绑定活跃主机的扫描Ping扫射工具软件UNIX:Nmap,fping,hping2Win32:SuperscanPing扫描和Ping扫射防范措施单一主机Ping扫描很常见，危害性也不大，更关注Ping扫射监测：网络入侵检测系统Snort；主机扫描监测工具Scanlogd防御：仔细考虑对ICMP通信的过滤策略利用Ping构建后门:loki(Phrackv51#06),pingd2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟35端口扫描技术什么是端口扫描连接目标主机的TCP和UDP端口，确定哪些服务正在运行即处于监听状态的过程。端口扫描目的确定一个目标主机上所开放的网络端口和监听的网络服务防御者－更加了解所管理的网络状况，找出没有必要开放的端口并关闭，这是保证业务网络安全的第一步。攻击者－找出可供进一步攻击的网络服务，同时结合操作系统探测技术也可以确定目标主机所安装的操作系统版本。开放网络服务和操作系统版本信息为攻击者提供了破解攻击的目标，使其更容易找出进入目标主机的漏洞路径。2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟36TCP连接扫描,SYN扫描TCP连接扫描调用connect()socket函数连接目标端口开放端口：完成完整的TCP三次握手(SYN,SYN|ACK,ACK)，timeout/RST关闭端口：SYN,RST优势&弱势：无需特权用户权限可发起，目标主机记录大量连接和错误信息，容易检测SYN扫描半开扫描(half-openscanning)开放端口：攻击者SYN,目标主机SYN|ACK,攻击者立即反馈RST包关闭连接关闭端口：攻击者SYN,目标主机RST优势&弱势：目标主机不会记录未建立连接，较为隐蔽，需根用户权限构建定制SYN包CS开放SYNSYN|ACKACKCSYNRSTRSTS关闭CS开放SYNSYN|ACKCSYNRSTRSTS关闭2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟37隐蔽端口扫描隐蔽端口扫描方式TCP连接扫描和SYN扫描并不隐蔽：防火墙会监控发往受限端口的SYN包隐蔽端口扫描通过构造特殊的TCP标志位，以躲避检测，同时达成端口扫描目的。FIN扫描(只带FIN位),Null扫描(全为0),XMAS扫描(FIN/URG/PUSH)如何达成扫描目的开放端口：标准TCP协议规范，接受这些伪造TCP包，丢弃，无任何反馈关闭端口：反馈RST包Windows/Cisco等系统没有遵从规范，开放端口对于伪造TCP包也反馈RST，这三种方法不适用2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟38UDP端口扫描UDP端口扫描对目标端口发送一个UDP数据包开放端口:UDP反馈关闭端口:ICMPportunreachable报文UDP端口扫描工具UNIX:udp_scan,nmap-sU,

nc-u-v-z-w2HOSTPORT_LISTWin32:WUPS,ScanLineCS开放UDPACKCICMP端口不可达S关闭UDPREPUDPREP2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟39扫描软件-nmap*nmap(NetworkMapper)作者:Fyodor()Ping扫描:nmap-sPTCP扫描:nmap-sT,-sS,-sF,-sX,-sNUDP扫描:nmap-sUIdent扫描-I:确定绑定端口网络服务进程属主FTP弹射扫描-b:滥用”proxy”FTP连接尝试穿透防火墙,隐藏扫描源IP欺骗-D…nmap图形化支持:nmapFE*需重点掌握的工具Nmap进行Ping扫射示例2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟40Nmap进行端口扫描示例2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟41NmapGSoC2009Nmap团队参与GSoC2006-2009/soc/NmapGSoC2009ProjectIdeasNmapScriptingEngine—InfrastructuremanagerNmapScriptingEngine—ScriptDeveloperZenmap(andsomeNdiff)developerNcatSpecialistCreateaBetterHpingFeatureCreepersandBugWranglersYourOwnCreativeIdea!2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟422022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟43IP地址欺骗技术IP地址欺骗技术(IPspoofing)IP地址欺骗技术根源IP和路由协议设计：按目的地址路由，并不验证源IP地址的合法性IP地址欺骗技术伪造源IP地址，以达到混淆并隐藏攻击源、中间人攻击等目的网络扫描中可隐藏扫描源信息2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟44端口扫描防范措施任何攻击技术都是双刃剑网络管理员也可利用端口扫描确定开放必要服务端口扫描的监测网络入侵检测系统:Snort中的portscan检测插件系统扫描检测工具:scanlogd,PortSentry,Genius端口扫描的预防开启防火墙类UNIX:netfilter/IPTables,Win32:个人防火墙禁用所有不必要的服务,尽可能减少暴露面(进一步的受攻击面)类UNIX:/etc/inetd.conf，Win32:控制面板/服务2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟45操作系统辨识操作系统辨识(OSIdentification)通过各种不同操作系统类型和版本实现机制上的差异通过特定方法以确定目标主机所安装的操作系统类型和版本的技术手段明确操作系统类型和版本是进一步进行安全漏洞发现和渗透攻击的必要前提不同操作系统类型和版本的差异性协议栈实现差异－协议栈指纹鉴别开放端口的差异－端口扫描应用服务的差异－旗标攫取辨识方式主动－操作系统主动探测技术被动－被动操作系统识别技术2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟46操作系统主动探测操作系统主动探测技术端口扫描应用服务旗标攫取主动协议栈指纹鉴别主动协议栈指纹鉴别Fyodor,Phrack,RemoteOSdetectionviaTCP/IPStackFinger-Printing,1998.鉴别项：FIN,BOGUSflag,ISN采样,DF位,TCP初始窗口大小,ACK值,ICMP出错消息抑制,ICMP消息引用,ICMP出错消息回射完整性,TOS,重叠分片处理,TCP选项nmap-O选项,qeuso,XprobeNmap进行操作系统探测示例2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟472022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟48被动操作系统识别被动操作系统识别技术流量监听(开放端口):tcpdump,…被动应用服务识别:PADS被动协议栈指纹鉴别:siphon,p0f被动协议栈指纹鉴别LanceSpitzner,Passivefingerprinting四个常用特征:TTL,WindowSize,DF,TOSP0fv2:p0f.fp,wwww:ttt:D:ss:OOO...:QQ:OS:DetailsWWS:TTL:DF:Synpktsize:option,order,…quirksOSgenre,OSdescription

P0f进行被动操作系统识别示例2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟492022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟50网络服务辨识网络服务辨识确定目标网络中开放端口上绑定的网络应用服务类型和版本了解目标系统更丰富信息,可支持进一步的操作系统辨识和漏洞识别网络服务主动探测网络服务旗标抓取和探测:nmap-sV网络服务被动识别网络服务特征匹配和识别:PADSNmap进行网络服务辨识示例2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟51PADS进行网络服务被动辨识示例2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟522022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟53漏洞扫描漏洞扫描技术检查系统是否存在已公布安全漏洞，从而易于遭受网络攻击的技术。双刃剑网络管理员用来检查系统安全性，渗透测试团队(RedTeam)用于安全评估。攻击者用来列出最可能成功的攻击方法，提高攻击效率。已发布安全漏洞数据库业界标准漏洞命名库CVE 微软安全漏洞公告MSxx-xxx/china/technet/security/current.mspxSecurityFocusBID /bidNationalVulnerabilityDatabase:NVD

/2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟54漏洞扫描软件ISS(InternetSecurityScanner)1993年:第一个漏洞扫描软件，商业SATAN/SAINT1995年:DanFarmer第一个开源漏洞扫描软件Nessus*目前最优秀的开源漏洞扫描软件1998-:RenaudDeraison,Nessusv2.x开源2005-:TenableNetworkSecurity,Nessusv3.xfreeware,pluginlicense2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟55Nessus客户端/服务器模式服务器端:nessesd(Tcp1241)客户端:nessus-q(命令行客户端),nessus(UNIX图形客户端),NessusClient(Win32客户端)框架/插件模式NASL语言(NessusAttackScriptingLanguage)安全漏洞扫描插件:使用NASL语言容易编写并集成至Nessus框架中插件间可互相依赖和协同工作(端口探测－漏洞扫描插件)多种报告方式:文本/LaTeX/HTML/DHTML/XML/SQL等2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟56Nessus2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟57国内的商业漏洞扫描软件开源软件Xscan*:“冰河”黄鑫2001年开始开发2005年v3.3之后无更新兼容Nessus的NASL语言开发插件国内厂商绿盟:“极光”启明星辰:“天镜”方正、中软、东软…2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟58XScan2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟59漏洞扫描防范措施最简单对策：假设黑客会使用漏洞扫描来发现目标网络弱点，那你必须在黑客之前扫描漏洞补丁自动更新和分发:修补漏洞检测和防御漏洞扫描行为网络入侵检测系统:Snort仔细审查防火墙配置规则2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟60完整解决方案-自动化侦察工具自动化侦察工具CheopstkinedN-Eye：业务网络环境感知工具HOST-OSPort-ServicesVulnerability主动探测Nmap,nessus被动识别P0f,PADSOut-of-dated,callformaintainerOldDevelopers:诸葛建伟/李成项目实践建议选题2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟61内容网络基础知识网络踩点技术网络扫描技术网络监听和分析技术作业3－网络扫描实验/解码一次简单的网络扫描2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟62网络监听技术网络监听:利用数据包捕获库和工具监听网络，捕获原始数据包监听位置:混杂模式网络接口，共享式网络(hub)，TAP分路器，路由器或交换机的SPAN镜像端口是一把双刃剑管理员可以用来监听网络的流量情况开发网络应用的程序员可以监视程序的网络情况黑客可以用来刺探网络情报目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer)2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟63以太网络的工作原理载波侦听/冲突检测(CSMA/CD:802.3,carriersensemultipleaccesswithcollisiondetection)技术载波侦听：是指在网络中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲如果空闲，就传输自己的数据如果信道被占用，就等待信道空闲而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突以太网采用了CSMA/CD技术，由于使用了广播机制，所以，所有与网络连接的工作站都可以看到网络上传递的数据2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟64以太网卡的工作模式网卡的MAC地址(48位)通过ARP来解析MAC与IP地址的转换用ipconfig/ifconfig可以查看MAC地址正常情况下，网卡应该只接收这样的包MAC地址与自己相匹配的数据帧广播包网卡完成收发数据包的工作，两种接收模式混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包(和组播数据包)为了监听网络上的流量，必须设置为混杂模式2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟65共享式网络和交换式网络共享式网络通过Hub(集线器)连接通过网络的所有数据包发往每一个主机能够监听整个Hub上全部网络流量交换式网络通过Switch(交换机)连接由交换机构造一个“MAC地址-端口”映射表发送包的时候，只发到特定的端口上只能监听同一端口上流量可通过流量映像口监听2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟66应用程序抓包的技术UNIX系统提供了标准的API支持PacketsocketBPF/libpcap/tcpdump…Windows平台通过驱动程序来获取数据包驱动程序NPF/WinPcap/Windump…2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟67BPF(BerkeleyPacketFilter)BSD数据包捕获BPF是一个核心态的组件，也是一个过滤器NetworkTap接收所有的数据包KernelBuffer，保存过滤器送过来的数据包Userbuffer，用户态上的数据包缓冲区Libpcap(一个抓包工具库)支持BPFLibpcap是用户态的一个抓包工具Libpcap几乎是系统无关的BPF是一种比较理想的抓包方案在核心态，所以效率比较高目前类UNIX系统的标准抓包内核模块2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟68BPF和libpcap2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟69关于libpcap抓包库用户态下的抓包库系统独立的接口，C语言接口多种其他高级编程语言包装接口:Perl,Python,Ruby,Tcl,Java,…广泛应用于：网络统计软件入侵检测系统网络调试支持过滤机制，BPF2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟70BPF过滤器Mantcpdump(/tcpdump_man.html)善用过滤器规则是网络报文分析的关键Examples:达到某主机或从某主机发出的流量:

tcpdumphostHOST每个TCP会话的首包和尾包(SYN包/FIN包):

tcpdump'tcp[tcpflags]&(tcp-syn|tcp-fin)!=0‘除echorequests/replies之外的所有ICMP包(i.e.,非ping包的ICMP报文):

tcpdump'icmp[icmptype]!=icmp-echoandicmp[icmptype]!=icmp-echoreply'2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟71Libpcap：dump文件格式文件头：structpcap_file_header{ bpf_u_int32magic; //0xa1b2c3d4 u_shortversion_major; u_shortversion_minor; bpf_int32thiszone; bpf_u_int32sigfigs; bpf_u_int32snaplen; bpf_u_int32linktype; };然后是每一个包的包头和数据structpcap_pkthdr{ structtimevalts; bpf_u_int32caplen; bpf_u_int32len;};其中数据部分的长度为caplen标准格式:tcpdump/libpcap的pcap文件格式2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟72类UNIX平台下的一些sniffer工具tcpdumpSnortwireshark/etherealdsnifflinux_sniffersniffit……tcpdump命令示例2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟732022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟74Windows平台下的抓包技术内核本身没有提供标准的接口通过增加一个驱动程序或者网络组件来访问内核网卡驱动提供的数据包在Windows不同操作系统平台下有所不同不同sniffer采用的技术不同WinPcap是一个重要的抓包工具，它是libpcap的Windows版本2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟75WinPcapWinPcap包括三个部分第一个模块NPF(NetgroupPacketFilter)，是一个虚拟设备驱动程序文件。它的功能是过滤数据包，并把这些数据包原封不动地传给用户态模块，这个过程中包括了一些操作系统特有的代码第二个模块packet.dll为win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同。调用Packet.dll的程序可以运行在不同版本的Windows平台上，而无需重新编译第三个模块Wpcap.dll是不依赖于操作系统的。它提供了更加高层、抽象的函数。packet.dll和Wpcap.dllpacket.dll直接映射了内核的调用Wpcap.dll提供了更加友好、功能更加强大的函数调用2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟76WinPcap和NPF2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟77NPF在Windows网络结构中位置NDIS(NetworkDriverInterfaceSpecification，网络驱动接口规范)描述了网络驱动与底层网卡之间的接口规范，以及它与上层协议之间的规范NPF作为一个核心驱动程序而提供的2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟78WinPcap的优势提供了一套标准的抓包接口与libpcap兼容，可使得原来许多类UNIX平台下的网络分析工具快速移植过来便于开发各种网络分析工具除了与libpcap兼容的功能之外，还有充分考虑了各种性能和效率的优化，包括对于NPF内核层次上的过滤器支持支持内核态的统计模式提供了发送数据包的能力2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟79Windows平台下一些sniffer工具Buttsniffer简单，不需要安装，可以在WindowsNT下运行，适合于后台运作NetMonWindows2000自带友好的图形界面，分析功能强SnifferPro界面友好，统计分析功能强，过滤器功能基于WinPcap的工具WinDumpAnalyzer2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟80网络监听技术的防范措施共享式以太网交换式以太网拓扑性能提升:广播冲突域每台主机单独冲突域安全性提升:较难被网络监听交换式网络提供安全性仍可能被挫败:ARP欺骗避免使用明文传输口令/敏感信息的网络协议,使用加密telnetsshIPSEC/TLS检测网络监听程序基于主机:检查网卡是否运行在混杂模式基于网络:基于混杂模式下操作系统和协议栈的特性2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟81检测处于混杂模式的节点网卡和操作系统对于是否处于混杂模式会有一些不同的行为，利用这些特征可以判断一个机器是否运行在混杂模式下一些检测手段根据操作系统的特征Linux内核的特性：正常情况下，只处理本机MAC地址或者以太广播地址的包。在混杂模式下，许多版本的Linux内核只检查数据包中的IP地址以确定是否送到IP堆栈。因此，可以构造无效以太地址而IP地址有效的ICMPECHO请求，看机器是否返回应答包(混杂模式)，或忽略(非混杂模式)。Windows9x/NT：在混杂模式下，检查一个包是否为以太广播包时，只看MAC地址前八位是否为0xff。根据网络和主机的性能根据响应时间：向本地网络发送大量的伪造数据包，然后，看目标主机的响应时间，首先要测得一个响应时间基准和平均值L0pht的AntiSniff产品2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟822022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟83网络报文分析网络报文的粒度和层次原始数据包:最细粒度、最低层次网络流(/会话):通过5元组进行流(/会话)重组5元组:sip,sport,dip,dport,ipproto网络流高层统计IP会话列表<sip,sport>目标端口流统计<dport>网络报文分析工具集成工具:Wireshark网络流重组:nstreams,snort高层统计和摘要分析:Netflow,RRDTools,Honeysnap2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟84Wireshark*(ethereal)Wireshark(ethereal)1998-2006:EtherealGeraldCombs,UniversityofMissouri-KansasCity2006-now:wiresharkRenamedfromEtherealduetotrademarkissueseWEEKLabsnamedWiresharkoneof"TheMostImportantOpen-SourceAppsofAllTime“Wireshark特性图形化界面/命令行(tshark)在线/离线抓包(支持标准pcap二进制日志文件)支持BPF过滤器支持分析几百种常见网络协议跨平台：类UNIX、Win32(依赖libpcap/WinPcap)2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟85Wireshark界面2022年12月28日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟86Wireshark基本功能抓包(Capture)CaptureFilter:BPF过滤器分析(Analyze)自动协议解码:支持数百种协议,显示各层包头和内容字段灵活选择协议对网络流进行解码DecodeAs…统计(Statistics)协议分类(ProtocolHierarchy)会话列表(Conversations)2层(以太网)/3层(