信息安全课件-08-09-攻击与应急响应

1第8讲攻击与应急响应2主要内容一、攻击概述二、缓冲区溢出攻击三、扫描器四、恶意代码五、网络侦听六、拒绝服务攻击七、欺骗技术八、网络应急响应3网络用户最反感：网络病毒弹出式广告/窗口网络入侵/攻击网上收费陷阱网上虚假信息垃圾邮件诱骗/欺诈/网络钓鱼4一、攻击概述

（1）远程攻击：从该子网以外的地方向该子网或者该子网内的系统发动攻击。（2）本地攻击：通过所在的局域网，向本单位的其他系统发动攻击，在本机上进行非法越权访问也是本地攻击。（3）伪远程攻击：指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息后，攻击过程从外部远程发起，造成外部入侵的现象。1、攻击的位置52、攻击的层次①简单拒绝服务（如邮件炸弹攻击）.②本地用户获得非授权读访问③本地用户获得他们本不应拥有的文件写权限④远程用户获得了非授权的帐号⑤远程用户获得了特权文件的读权限⑥远程用户获得了特权文件的写权限⑦远程用户拥有了根（root）权限63、攻击的人员黑客：闯入计算机主要是为了挑战和获取访问权限间谍：闯入计算机主要是为了政治情报信息恐怖主义者：闯入计算机主要是为了政治目的而制造恐怖公司雇佣者：闯入计算机主要是为了竞争经济利益职业犯罪：闯入计算机主要是为了个人的经济利益破坏者：闯入计算机主要是为了实现破坏74、系统的漏洞

漏洞是指硬件、软件或策略上的缺陷，从而可使攻击者能够在未经授权的情况下访问系统。

漏洞涉及的范围很广，涉及到网络的各个环节、各个方面，包括：路由器、防火墙、操作系统、客户和服务器软件。比如一台提供网上产品搜索的Web服务器，就需要注意操作系统、数据库系统、Web服务软件及防火墙。

85、软件错误

所有的软件都是有错的。造成软件出现错误的原因是多方面的，比如软件复杂性、程序设计的缺陷、开发时间紧迫、软件开发工具本身的错误等。并且无论经过怎样的测试，软件产品中仍然会遗留下许多错误和缺陷。因为软件是由人来完成的，所有由人做的工作都不会是完美无缺的。管理人员的惰性。一个简单的例子就是缺省口令。

96、系统配置不当默认配置的不足：许多系统为了易用，安装后都有默认的安全配置信息。易用意味着易于闯入。管理员的疏忽：系统安装后保持管理员口令的空值，而且随后不进行修改。临时端口：有时候为了测试之用，管理员会在机器上打开一个临时端口，但测试完后却忘记了禁止它。信任关系：网络间的系统经常建立信任关系以方便资源共享，但这也给入侵者带来间接攻击的可能，例如，只要攻破信任群中的一个机器，就有可能进一步攻击其他的机器。107、时间性漏洞的时间性系统发布——漏洞暴露——发布补丁——新漏洞出现安全漏洞与系统攻击之间的关系漏洞暴露—可能的攻击—发布补丁118、攻击实例SMBDieV1.0，该软件对打了SP3、SP4的计算机依然有效，必须打专门的SMB补丁12SMBdie.exe是一款使用简单的WinNT/2000/XP/.NETRC1NETBIOS（139）攻击工具...局域网中效果很好，远程站内测试的时候，可以被防火墙拦截，据说对打过WIN2000SP3补丁测试有效，后果是蓝屏或者重启。13需要两个参数：对方的IP地址和对方的机器名,然后再点按钮“Kill”，对方计算机立刻重启或蓝屏149、远程攻击的步骤收集信息获取普通用户的权限获取超级用户的权限擦除入侵痕迹安装后门攻击其它主机获取或修改信息其它非法活动15寻找目标主机收集目标信息

锁定目标

利用域名和IP地址可以找到目标主机。Tracert/TraceRoute能够得出到达目标主机所要经过的网络数和路由器数。Ping确定一个指定的主机的位置并确定其是否可达。Finger和Rusers命令收集用户信息Host或者Nslookup命令，结合Whois和Finger命令获取主机、操作系统和用户等信息攻击者也可向主机发送虚假消息，然后根据返回"hostunreachable"这一消息特征判断出哪些主机是存在的。

16寻找目标主机收集目标信息

服务分析一是使用不同应用程序测试。例如：使用Telnet、FTP等用户软件向目标主机申请服务，如果主机有应答就说明主机提供了这个服务，开放了这个端口的服务二是使用一些端口扫描工具软件，对目标主机一定范围的端口进行扫描。这样可以全部掌握目标主机的端口情况。

17寻找目标主机收集目标信息

系统分析使用具有已知响应类型的数据库的自动工具，对来自目标主机作出的响应进行检查，确定目标主机的操作系统。如打开WIN95的RUN窗口，然后输入命令：Telnetxx.xx.xx.xx(目标主机)然后按“确定”，可以发现如下响应：DigitalUNIX(xx.xx.xx)(ttyp1)login:18可以从公开渠道获得的信息公司的Web网页（或许有网络或系统安防配置）相关组织地理位置细节（google地图）电话号码、联系人名单、电子邮件地址、详细的个人资料近期重大事件（合并、收购、裁员、快速增长等等）可以表明现有信息安防机制的隐私/安防策略和技术细节已归档的信息（历史网页，搜索引擎快照）心怀不满的员工搜索引擎、Usenet和个人简历让人感兴趣的其他信息19由域名得到IP地址ping命令试探

pingNslookup命令在提示符“>”后键入20由IP地址得到地理位置在线IP地址查询//21个人资料在得到电话号码之后，可以通过、或之类的网站查出地理地址。可以根据电话号码为他们的“密集拨号”攻击设定一个攻击范围或是开展“社交工程”攻击以获得更多的信息和/或访问权限。22网站基本信息查询商业网站中都会有红盾标志，它一般会在主页的最下角，是国家工商局用来管理经营性网站的红盾标志，里面记录了网站的备案登记信息23网站注册信息查询域名注册信息的方法被称为“WHOIS”。Linux系统中自带WHOIS命令，而Windows系统可以通过网站查询中国互联网络信息中心（）中国万网（）24搜索引擎Google：百度：25资源搜索共享资源建立共享的条件：安装“Microsoft网络的文件和打印机共享”组件，安装NetBEUI协议。如果没有安装NetBEUI协议，那么只能使用IP地址来互相访问共享资源，如果安装了NetBEUI协议，便可以在同一局域网内使用主机名来互相访问共享资源。使用工具Legion（共享资源扫描器）使用Shed扫描哪些目录共享Shed是基于NetBIOS的攻击Windows的软件。NetBIOS(NetworkBasicInputOutputSystem，网络基本输入输出系统)，是一种应用程序接口(API)，作用是为局域网(LAN)添加特殊功能，几乎所有的局域网电脑都是在NetBIOS基础上工作的。在我们的Windows95、99、或Me中，NetBIOS是和TCP/IP捆绑在一起的,这是十分危险的!但当我们安装TCP/IP协议时，默认情况下NetBIOS和它的文件与打印共享功能也一起被装进了系统。当NetBIOS运行时，你的后门打开了:因为NetBIOS不光允许局域网内的用户访问你的硬盘资源，Internet上的黑客也能!Shed正是利用了这一点。27使用Lansee局域网查看工具（LanSee）是一款主要用于对局域网(Internet上也适用)上的各种信息进行查看的工具。采用多线程技术，搜索速度很快。它将局域网上比较实用的功能完美地融合在一起,比如搜索计算机（包括计算机名，IP地址，MAC地址，所在工作组，用户），搜索共享资源(包括HTTP,FTP服务)，搜索共享文件(包括FTP站点中的文件)，多线程复制文件（支持断点传输），发短消息，高速端口扫描，数据包捕获,查看本地计算机上活动的端口,远程重启/关闭计算机等,功能十分强大。该软件是一款绿色软件,解压后直接打开运行，无需安装。28资源搜索FTP资源扫描使用工具：SFtp来扫描FTP站点信息29端口扫描扫描端口目的判断目标主机上开放了哪些服务判断目标主机的操作系统工具Nmapsuperscan30漏洞扫描X-Scan流光Fluxay

31结构探测若要对一个网站发起入侵，入侵者必须首先了解目标网络的基本结构图形化的路由跟踪工具VisualRoute。可以使用专门的VisualRoute软件，也可以到/vr/使用该网站提供的VisualRoute功能路由跟踪命令tracert32确定操作系统类型getos33DNS信息查询Nslookup

在提示符下输入nslookup命令，然后回车，将显示本机所使用的DNS服务器的域名和IP地址，并进入查询状态。343536Whois（他是谁）程序

Internic（InternetInformationCenter）是一个机构，提供关于Internet上的用户和主机的信息。Whois是一个客户程序，它与Internic（/whois.html）联系，根据用户的查询返回相应的信息。

37Whois（他是谁）程序

38Whois（他是谁）程序

39图形界面的网络工具ShadowScan40图形界面的网络工具IP-Tools41获取目标主机的一般权限对于陌生的目标主机只知道它有一个ROOT用户，要想登录目标主机至少要知道一个普通用户。先设法盗窃帐户文件，进行破解，从中获取某用户的帐户和口令，再寻觅合适时机以此身份进入主机。当然，也可利用某些工具或系统漏洞登录主机。42获取目标主机的管理权限获得管理员权限的方法有以下几种：（1）获得管理员用户的口令；（2）利用系统管理上的安全漏洞；如错误的文件访问权、错误的系统配置、某些缓冲区溢出漏洞；（3）使用特洛伊木马窃取管理员口令。

43隐藏自己的行踪一般是通过清除日志、删除拷贝的文件等手段来隐藏自己的踪迹。也可以使用进程隐藏、连接隐藏以及改变系统时间造成日志文件紊乱等方法。44破坏目标主机或以此为跳板攻击其他主机不同的黑客有不同的攻击目的，可能是仅仅只是为了自己的成就感。也有的是为了实施窃取帐号密码、信用卡号等经济偷窃。除了破坏系统之外，黑客还可以以目标系统为跳板向其他系统发起攻击，这样既可以嫁祸他人，也可以隐藏自己的行踪。45开辟后门，方便以后入侵一次成功的入侵会耗费黑客大量的时间和精力，所以一般黑客在退出系统之前会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序，以便日后可以不被觉察地再次进入系统。46二、缓冲区溢出攻击主要内容概要缓冲区溢出攻击分析检测与防御47讨厌的Windows又出错了！0x41414141?到底表示什么意思呢？

不知道...常见的情形点确定，关掉算了！48如何能够进行系统调用？刻意调整这个地址，使它能指向一段系统调用程序，如CMD.EXE49概念缓冲区溢出指的是一种系统攻击的手段，通过向程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。50原因造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。缓冲区溢出就是将一个超过缓冲区长度的字符串置入缓冲区的结果．51后果向一个有限空间的缓冲区中置入过长的字符串可能会带来两种后果一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；另一种后果是利用这种漏洞可以执行任意指令，甚至可以取得系统特权，由此而引发了许多种攻击方法。52堆栈从物理上讲，堆栈是就是一段连续分配的内存空间静态全局变量是位于数据段并且在程序开始运行的时候被加载动态的局部变量则分配在堆栈里面从操作上来讲，堆栈是一个先入后出的队列，其生长方向与内存的生长方向正好相反53规定内存的生长方向为向上，则栈的生长方向为向下，压栈的操作push＝ESP-4，出栈的操作是pop=ESP+4在Win32系统中，ESP是堆栈指针寄存器，它指向当前堆栈储存区域的顶部。EBP是基址寄存器，它指向当前堆栈储存区的底部。当要在堆栈中进行搜索时，常常需要它作用一个静态参考点。除此之外，EIP是指令指针，它指向下一条将要被执行的指令。54在一次函数调用中，堆栈中将被依次压入：参数，返回地址，EBP如果函数有局部变量，接下来，就在堆栈中开辟相应的空间以构造变量函数执行结束，这些局部变量的内容将被丢失。但是不被清除在函数返回的时候，弹出EBP，恢复堆栈到函数调用的地址，弹出返回地址到EIP以继续执行程序

/*function_call.c考察堆栈在函数调用中的变化*/voidfun(int);intmain(void){……

fun(1);……return0;}voidfun(intpara){charbuffer_a[8];charbuffer_b[8];……}动作堆栈第一步：main函数压入参数１第二步：main函数调用fun函数，系统压入返回到main的地址第三步：fun函数将main函数的基址指针值压入堆栈，同时将ＥＢＰ指向ＥＳＰ第四步：fun函数压入它的局部变量para=1

para=1返回地址

para=1返回地址老的基址指针值

para=1返回地址老的基址指针值buffer_abuffer_b56在C语言程序中，参数的压栈顺序是反向的：比如func（a,b,c)。在参数入栈的时候，是先压c，再压b，最后压a在取参数的时候，由于栈的先入后出，先取栈顶的a，再取b，最后取c57看一段小程序#include<stdio.h>

intmain()

{

charname[8];

printf("Pleasetypeyourname:");

gets(name);

printf("Hello,s!",name);

return0;

}

编译并且执行，我们输入ipxodi,就会输出Hello,ipxodi!。我们用gcc-S来获得汇编语言输出，可以看到main函数的开头部分对应如下语句：

pushl%ebpmovl%esp,%ebpsubl$8,%esp首先把EBP保存下来，然后EBP等于现在的ESP，这样EBP就可以用来访问本函数的局部变量之后ESP减8，就是堆栈向上增长8个字节，用来存放name[]数组。现在堆栈的布局如下：59运行时的堆栈分配

内存底部

内存顶部

name

EBP

ret

<

[

][

][

]

^;name

堆栈顶部

堆栈底部

60执行完gets(name)之后

内存底部

内存顶部

name

EBP

ret

<[ipxodi\0][

][

]

^;name

堆栈顶部

堆栈底部

61堆栈溢出

再执行一次，输入ipxodiAAAAAAAAAAAAAAA,执行完

gets（name）之后内存底部

内存顶部

name

EBP

ret

<[ipxodiAA][AAAA][AAAA]

^;name

堆栈顶部

堆栈底部

由于我们输入的name字符串太长，name数组容纳不下，只好向内存顶部继续写‘A’

由于堆栈的生长方向与内存的生长方向相反，这些‘A’覆盖了堆栈的老的元素EBP，ret都已经被‘A’覆盖了在main返回的时候，就会把‘

AAAA’

的ASCII码：0x41414141作为返回地址，CPU会试图执行0x41414141处的指令，结果出现错误，这就是一次堆栈溢出63攻击成功发生必须同时满足三个条件将攻击代码注入内存将函数返回地址指针指向已注入攻击代码的内存地址执行攻击代码64阻止缓冲区溢出这种方法的关键是要能禁止恶意代码的注入。最根本的办法是采用安全的C语言库函数的最新版本，或者由程序员编程时手工加入用以检查数组与指针等的上界的代码，对下列经常使用又容易被攻击者利用的函数更需特别重视。strcpy(),strcat(),sprintf(),vsprintf(),gets().scanf(),以及在循环内的getc(),fgetc(),getchar()等65允许缓冲区溢出但不允许改变控制流这种方法允许注入外部代码，但禁止未经授权控制流的改变，因而攻击者可以将其攻击代码注入内存并能改变部分地址段内容，但控制流不会被指向攻击代码，从而攻击代码不会被执行。66允许改变控制流但禁止敏感代码的执行这种方法中，可以注入攻击代码、并能改变返回地址，但攻击代码不能完全执行。比如可以禁止诸如exec()等系统调用函数的非法使用，在Unix中，当程序使用系统调用函数时，其返回地址将被保存在系统内核堆栈中，而不是普通堆栈中。这样，通过检查系统调用的地址是否来自系统内核堆栈就可知道它是否合法。67安装安全补丁及时发现系统漏洞并及时升级、打补丁68主要内容一、攻击概述二、缓冲区溢出攻击三、扫描器四、恶意代码五、网络侦听六、拒绝服务攻击七、欺骗技术八、网络应急响应69什么是网络扫描器扫描器是一种自动检测远程或本地系统安全性弱点（漏洞）的程序。安全评估工具

系统管理员保障系统安全的有效工具，目标可以是工作站、服务器、交换机、数据库应用等各种对象。网络漏洞扫描器网络入侵者收集信息的重要手段70为什么需要网络扫描器由于网络技术的飞速发展，网络规模迅猛增长和计算机系统日益复杂，导致新的系统漏洞层出不穷由于系统管理员的疏忽或缺乏经验，导致旧有的漏洞依然存在许多人出于好奇或别有用心，不停的窥视网上资源71网络扫描器的主要功能扫描目标主机识别其工作状态（开/关机）识别目标主机端口的状态（监听/关闭）识别目标主机系统及服务程序的类型和版本根据已知漏洞信息，分析系统脆弱点生成扫描结果报告72扫描器的工作原理TCP协议ICMP协议扫描器的基本工作原理73TCP协议（一）TCP是一种面向连接的，可靠的传输层协议。一次正常的TCP传输需要通过在客户端和服务器之间建立特定的虚电路连接来完成，该过程通常被称为“三次握手”。TCP通过数据分段中的序列号保证所有传输的数据可以在远端按照正常的次序进行重组，而且通过确认保证数据传输的完整性。74来源端口（2字节）目的端口（2字节）窗口大小（2字节）确认序号（4字节）序号（4字节）保留（6位）TCP协议（二）75TCP协议（三）TCP控制位CTLACK： 确认标志RST： 复位标志URG：紧急标志SYN： 建立连接标志PSH： 推标志FIN： 结束标志76TCP协议（四）TCP连接建立示意图77ICMP协议（一）InternetControlMessageProtocol，是IP的一部分，在IP协议栈中必须实现。用途：网关或者目标机器利用ICMP与源通讯当出现问题时，提供反馈信息用于报告错误特点：其控制能力并不用于保证传输的可靠性它本身也不是可靠传输的并不用来反映ICMP报文的传输情况78ICMP协议（二）ICMP报文类型0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply17AddressMaskRequest18AddressMaskReply79扫描器的基本工作原理80安全扫描工具

基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围（IP地址或路由器跳数）。

81网络扫描的主要技术主机扫描技术端口扫描技术82主机扫描技术－传统技术主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。常用的传统扫描手段有：ICMPEcho扫描ICMPSweep扫描BroadcastICMP扫描Non-EchoICMP扫描83ICMPecho扫描实现原理：Ping的实现机制，在判断在一个网络上主机是否开机时非常有用。向目标主机发送ICMPEchoRequest(type8)数据包，等待回复的ICMPEchoReply包(type0)。如果能收到，则表明目标系统可达，否则表明目标系统已经不可达或发送的包被对方的设备过滤掉。优点：简单，系统支持缺点：很容易被防火墙限制可以通过并行发送，同时探测多个目标主机，以提高探测效率（ICMPSweep扫描）。84BroadcastICMP扫描实现原理：将ICMPECHOrequest包的目标地址设为广播地址或网络地址，则可以探测广播域或整个网络范围内的主机。缺点：只适合于UNIX/Linux系统，Windows会忽略这种请求包；这种扫描方式容易引起广播风暴85Non-EchoICMP扫描一些其它ICMP类型包也可以用于对主机或网络设备的探测，如：StampRequest(Type13)Reply(Type14)InformationRequest(Type15)Reply(Type16)AddressMaskRequest(Type17)Reply(Type18)86主机扫描技术－高级技术防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制，必须采用一些非常规的手段，利用ICMP协议提供网络间传送错误信息的手段，往往可以更有效的达到目的：异常的IP包头在IP头中设置无效的字段值错误的数据分片通过超长包探测内部路由器反向映射探测87异常的IP包头向目标主机发送包头错误的IP包，目标主机或过滤设备会反馈ICMPParameterProblemError信息。常见的伪造错误字段为HeaderLengthField和IPOptionsField。根据RFC1122的规定，主机应该检测IP包的VersionNumber、Checksum字段,路由器应该检测IP包的Checksum字段。不同厂家的路由器和操作系统对这些错误的处理方式不同，返回的结果也各异。如果结合其它手段，可以初步判断目标系统所在网络过滤设备的访问列表ACL。88在IP头中设置无效的字段值向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反馈ICMPDestinationUnreachable信息。这种方法同样可以探测目标主机和网络设备以及其ACL。89错误的数据分片当目标主机接收到错误的数据分片（如某些分片丢失），并且在规定的时间间隔内得不到更正时，将丢弃这些错误数据包，并向发送主机反馈ICMPFragmentReassemblyTimeExceeded错误报文。利用这种方法同样可以检测到目标主机和网络过滤设备及其ACL。90通过超长包探测内部路由器若构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分片标志,该路由器会反馈FragmentationNeededandDon’tFragmentBitwasSet差错报文，从而获取目标系统的网络拓扑结构。91反向映射探测该技术用于探测被过滤设备或防火墙保护的网络和主机。通常这些系统无法从外部直接到达。当我们想探测某个未知网络内部的结构时，可以构造可能的内部IP地址列表，并向这些地址发送数据包。当对方路由器接收到这些数据包时，会进行IP识别并路由，对不在其服务的范围的IP包发送ICMPHostUnreachable或ICMPTimeExceeded错误报文，没有接收到相应错误报文的IP地址会可被认为在该网络中。当然，这种方法也会受到过滤设备的影响。92端口扫描技术当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的端口。端口扫描技术主要包括以下三类：开放扫描（TCPConnect扫描）会产生大量审计数据，易被对方发现，但其可靠性高隐蔽扫描（TCPFIN扫描、分段扫描）能有效的避免对方入侵检测系统和防火墙的检测，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息；半开放扫描（TCPSYN扫描）隐蔽性和可靠性介于前两者之间。93开放扫描TCPConnect扫描实现原理：通过调用socket函数connect()连接到目标计算机上，完成一次完整的三次握手过程。如果端口处于侦听状态，那么connect()就能成功返回。否则，这个端口不可用，即没有提供服务。优点：稳定可靠，不需要特殊的权限缺点：扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录，并容易被防火墙发现和屏蔽94开放扫描TCPConnect扫描SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方95半开放扫描TCPSYN扫描实现原理：扫描器向目标主机端口发送SYN包。如果应答是RST包，那么说明端口是关闭的；如果应答中包含SYN和ACK包，说明目标端口处于监听状态，再传送一个RST包给目标机从而停止建立连接。在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半连接扫描优点：隐蔽性较全连接扫描好，一般系统对这种半扫描很少记录缺点：通常构造SYN数据包需要超级用户或者授权用户访问专门的系统调用96隐蔽扫描技术TCPFIN扫描分段扫描97TCPFIN扫描实现原理：扫描器向目标主机端口发送FIN包。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简单的丢掉（不返回RST）。优点：由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而必SYN扫描隐蔽得多，FIN数据包能够通过只监测SYN包的包过滤器。缺点：跟SYN扫描类似，需要自己构造数据包，要求由超级用户或者授权用户访问专门的系统调用；通常适用于UNIX目标主机。但在Windows95/NT环境下，该方法无效，因为不论目标端口是否打开，操作系统都返回RST包。98分段扫描实现原理：并不直接发送TCP探测数据包，是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包，从而包过滤器就很难探测到。优点：隐蔽性好，可穿越防火墙缺点：可能被丢弃；某些程序在处理这些小数据包时会出现异常。99UDP端口扫描UDP是无连接的向某个端口发送UDP数据如果该端口关闭，会触发ICMPportunreachable缺点有的系统限制了ICMP的发送速率100nmap扫描器NMap，也就是NetworkMapper探测一组主机是否在线扫描主机端口，嗅探所提供的网络服务推断主机所用的操作系统获取Nmap帮助，命令行下运行不带参数的nmap101Nmap用法nmap[ScanType(s)][Options]{targetspecification}目标主机Ex:,/24,;10.0.0-255.1-254目标端口Ex:-p22;-p1-65535;-pU:53,111,137,T:21-25,80,139,8080扫描技术-sS/sT/sA/sW/sM:TCPSYN/Connect()/ACK/Window/Maimonscans-sN/sF/sX:TCPNull,FIN,andXmasscans102开放扫描TCPConnect扫描nmap

-sT

28在使用nmap的同时，在另一个terminal中用tcpdump察看nmap发送和接收的数据包windump-D列出当前系统中所有的网络设备接口WinDump.exe-i3监听第三个网络接口设备103ICMPSweep扫描nmap-sP/24104半开放扫描TCPSYN扫描nmap

-sS

28105UDP端口扫描UDP扫描发送空的(没有数据)UDP报头到每个目标端口nmap

-sU

28106确定目标机支持哪些IP协议(TCP，ICMP，IGMP等)nmap

-sO

28107探测目标主机的操作系统nmap

-O

28nmap

-A

28108主要内容一、攻击概述二、缓冲区溢出攻击三、扫描器四、恶意代码五、网络侦听六、拒绝服务攻击七、欺骗技术八、网络应急响应109恶意代码从广义上定义，恶意代码指具有在信息系统上执行非授权进程能力的代码。通常恶意代码具有各种各样的形态，能够引起计算机不同程度的故障，破坏计算机正常运行。早期的恶意代码主要是指计算机病毒（Virus），但目前，蠕虫(Worm)、恶意网页（maliciouswebpage）、特洛伊木马（TrojanHorse）、逻辑炸弹（Logicbombs）以及后门（backdoor）等其他形式的恶意代码日益兴盛。

110恶意代码危害的例子用于DDoS攻击破坏用户数据泄漏用户秘密更改手机设置即时通信中插入恶意的图片和声音文件弹出广告更改IE设置……

111恶意代码的简单比较Internet蠕虫病毒邮件文件系统病毒网页脚本木马传播速度极快快一般慢慢传播方式自动半自动半自动人工人工影响对象网络网络主机主机主机防治难度难难易易一般经济损失严重较大较大一般一般112各种恶意代码的融合趋势病毒、蠕虫、木马之间的界限已经不再明显；综合使用多种攻击手段：传播：计算机系统的漏洞、电子邮件、文件共享、Web浏览、即时通讯工具等社会工程（socialengineering)113恶意代码的分类计算机病毒：一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose…网络蠕虫:一组能够进行自我传播、不需要用户干预即可触发执行的破坏性程序或代码。其通过不断搜索和侵入具有漏洞的主机来自动传播。如红色代码、SQL蠕虫王、冲击波、震荡波、极速波…特洛伊木马：是指一类看起来具有正常功能，但实际上隐藏着很多用户不希望功能的程序。通常由控制端和被控制端两端组成。如冰河、网络神偷、灰鸽子……114恶意代码的分类（续）后门：使得攻击者可以对系统进行非授权访问的一类程序。如Bits、WinEggDrop、Tini…RootKit：通过修改现有的操作系统软件，使攻击者获得访问权并隐藏在计算机中的程序。如RootKit、Hkdef、ByShell…拒绝服务程序，黑客工具，广告软件，间谍软件，恶意网页……115病毒发展史（续1）引导区病毒台式电脑第1代第2代第3代第4代台式电脑台式电脑台式电脑台式电脑LAN服务器基于文件的病毒邮件群发病毒互联网防毒墙电子邮件

服务器墙台式电脑笔记本电脑网络病毒互联网防毒墙服务器服务器服务器服务器台式电脑台式电脑台式电脑笔记本电脑已打补丁的机器网络拥堵116什么是计算机蠕虫计算机蠕虫是指通过计算机网络传播的病毒，泛滥时可以导致网络阻塞甚至瘫痪。第一个Internet蠕虫是出现于1988年的Morris病毒MORRIS的作者是一名康奈尔大学的研究生，而他的父亲当时是美国政府顶级计算机安全专家。MORRIS共感染了连接到互联网上的6000台大学和军用计算机，尽管在此之前已经出现了互联网病毒，但传播范围却没有如此广泛。MORRIS作者最初的目的并不是瘫痪其它计算机，而是写出可以自我复制的软件。但是，由于程序的循环没有处理好，计算机会不停地执行、复制MORRIS，最终导致死机。

117蠕虫病毒的特点传播途径是网络传播速度快传播面积广可能造成的危害程度高118蠕虫特点——传播快红色代码病毒（CodeRed）爆发15分钟内，受害计算机遍布全球爆发9小时内感染了超过250,000台计算机没有文件实体可以传播复制的电子信号网络幽灵119蠕虫特点——传播广120蠕虫特点——危害高网络拥挤

2004年初，I-Worm/Netsky、I-Worm/BBEagle、I-Worm/MyDoom三大蠕虫病毒一齐爆发，蚕食25%网络带宽。DoS（DenialofService）攻击

I-Worm/MyDoom.a蠕虫定于爆发后1星期对发动DoS攻击。sco网站虽积极备战，但由于感染点过多，在遭受攻击当天即陷入瘫痪。经济损失巨大

I-Worm/CodeRed:20亿美元 I-Worm/Sobig:26亿美元……121计算机蠕虫的类型系统漏洞型群发邮件型共享型寄生型混合型…………122系统漏洞型病毒红色代码(IIS-Worm/CodeRed)尼姆达(I-Worm/Nimda)求职信(I-Worm/Klez)冲击波(I-Worm/Blaster)震荡波(I-Worm/Sasser)安哥(Backdoor/Agobot)……123系统漏洞型病毒特点：利用系统设计漏洞主动感染传播软件系统漏洞曝光数量逐年增加，漏洞型病毒滋生环境越来越好软件系统漏洞曝光表124Internet攻击模式WORM_SASSER.A染毒电脑未修补漏洞的系统已修补漏洞的系统随机攻击随机攻击随机攻击被感染不被感染不被感染被感染被感染不被感染不被感染125群发邮件型蠕虫特点：种类、变种众多，是最常见的一类蠕虫病毒求职信(I-Worm/Klez)大无极(I-Worm/Sobig)网络天空(I-Worm/Netsky)雏鹰(I-Worm/BBEagle)挪威客(I-Worm/MyDoom)126共享型蠕虫利用局域网共享或P2P共享软件传播的蠕虫通常将自身复制到局域网共享文件夹或P2P软件的共享目录复本文件名通常很有诱惑力，引诱其他用户下载执行127寄生型蠕虫利用已泛滥病毒做平台传播，达到迅速传播的目的震荡波(I-Worm/Sasser)利用Windows系统漏洞传播但震荡波病毒本身的设计也有漏洞匕首病毒(I-Worm/Dabber)利用震荡波病毒程序的漏洞传播128混合型蠕虫同时具有漏洞型、邮件型、共享型和寄生型的某些或全部特征传播能力和危害最大求职信(I-Worm/Klez)超级密码杀手(爱情后门，I-Worm/Supkp)网络天空(I-Worm/Netsky)雏鹰(I-Worm/BBEagle)……129蠕虫的爆发周期越来越短…漏洞发现攻击代码蠕虫爆发控制清除越来越短越来越长，越来越难漏洞公布和蠕虫爆发的间隔越来越短最佳时机及时太晚了130

冲击波2003年8月11日补丁：MS03-0262003年7月16日补丁：

MS02-0392002年7月24日蠕虫王2003年1月25日时间间隔26天185天336天尼姆达补丁：

MS00-0782000年10月17日2001年9月18日震荡波2004年5月1日补丁：MS04-011

2004年4月13日18

天131蠕虫功能结构模型132脚本病毒更甚于宏病毒－脚本病毒脚本语言的广泛应用“爱虫”（LoveLetter）新的“欢乐时光”（VBS.KJ）“中文求职信”（donghe）133网页病毒利用IE的ActiveX漏洞的病毒修改用户的IE设置、注册表选项下载木马、恶意程序或病毒格式化用户硬盘或删除用户的文件不具有传染性，更重主动攻击性恶意网站（“爱情森林”）134特点和趋势以网络环境传播为主，带有主动传播的特征网络蠕虫将成为最主要和破坏性最大的病毒

“网页病毒”将成为重要的破坏手段技术上具有混合型特征（A、综合多种已有技术，B、蠕虫、木马、黑客程序相互结合）对自身进行不断完善，形成家族病毒依赖于系统，利用系统漏洞和内核高级语言编写，更易于制造135特洛伊木马一个特洛伊程序是：一种未经授权的程序，它包含在一段正常的程序当中。这个未经授权的程序提供了一些用户不知道的（也可能是不希望实现的）功能。136特洛伊木马启动方式自动启动：木马一般会存在三个地方:注册表、win.ini、system.ini,因为电脑启动的时候,需要装载这三个文件,大部分木马是使用这三种方式启动的。捆绑方式启动：可以捆绑到一般的常用程序上。非捆绑方式的木马因为会在注册表等位置留下痕迹,所以,很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马有很强的隐蔽性。137加载方式开始菜单的启动项，基本上没有木马会用这种方式。在Winstart.bat中启动。在Autoexec.bat和Config.sys中加载运行。win.ini/system.ini：有部分木马采用，不太隐蔽。注册表：隐蔽性强，多数木马采用。服务：隐蔽性强，多数木马采用。修改文件关联。138加载方式－启动文件

Win.ini:[Windows]

run=c:\windows\file.exe

load=c:\windows\file.exeSystem.ini：

[boot]shell=explorer.exefile.exe139加载方式－注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run140加载方式－服务141加载方式－修改文件关联正常情况下TXT文件的打开方式是启动Notepad.EXE来打开TXT文件。关联木马通过修改关联方式来加载木马，则TXT文件打开方式就会被修改为用木马程序打开：

HKEY_CLASSES_ROOT\txtfile\shell\open\command

%SystemRoot%\system32\NOTEPAD.EXE%1

%path%这样，当双击一个TXT文件，原本应用Notepad.EXE打开的TXT文件，现在却变成启动木马程序。142存放位置及文件名木马的服务器程序文件一般位置是在c:\windows和c:\windows\system中,因为windows的一些系统文件在这两个位置。木马的文件名总是尽量和windows的系统文件接近,比如木马SubSeven1.7版本的服务器文件名是c:\windows\KERNEL16.DL,而windows由一个系统文件是c:\windows\KERNEL32.DLL,删除KERNEL32.DLL会让机器瘫痪。木马SubSeven1.5版本服务器文件名是c:\windows\window.exe,少一个s143特洛伊木马隐蔽性隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段来隐藏木马，这样服务端即使发现感染了木马，由于不能确定木马的具体位置，也就没有办法删掉。首先应该明确的是受害者的机器上运行的木马程序我们称之为服务端，控制者机器上运行的我们称之为客户端144特洛伊木马隐蔽性使用TCP协议，服务端侦听，客户端连接。这是最简单，最早，最广泛使用的一种通讯方案。使用工具可以很容易的发现在某一端口上侦听的进程，以及进程对应的可执行文件。如果服务端装有防火墙，那么客户端发起的连接就会被防火墙拦截。如果局域网内通过代理上网的电脑，因为本机没有独立的IP地址(只有局域网的IP地址)，所以也不能正常使用。145特洛伊木马隐蔽性使用TCP协议，客户端侦听，服务端连接。这就是所谓的反向连接技术了。防火墙对于连入的连接往往会进行非常严格的过滤，但是对于连出的连接却疏于防范。于是，出现了反弹式（主动式）木马，即：服务端(被控制端)主动连接客户端(控制端)，而不是被动的等待客户端发送命令。为了隐蔽起见，客户端的监听端口一般开在80(提供HTTP服务的端口)，这样，即使用户使用端口扫描软件检查自己的端口，会以为是自己在浏览网页(防火墙也会这么认为的)。146特洛伊木马隐蔽性连接请求连接请求80147特洛伊木马隐蔽性这种反向连接技术要解决的一个问题是，服务端如何找到客户端。方法是客户端通过一个有固定IP或者固定域名的第三方发布自己的IP，比如通过一个公共的邮箱，通过一个个人主页。当客户端想与服务端建立连接时，它首先登录某个WEB服务器，把信息写到主页上面的一个文件，并打开端口监听，等待服务端的连接；服务端则定期的用HTTP协议读取这个文件的内容，当发现是客户端让自己开始连接时，就主动连接，如此就可完成连接工作。如网络神偷。

148网络神偷

“网络神偷（Trojan.Nethief.46）”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统:WIN9X/NT/2000/XP。

病毒会将自己拷贝到系统目录下命名为：Iexplorer.exe，然后在注册表的自启动项中添加“InternetExplorer”的病毒键值。运行时会每隔一分钟就连接一次病毒网站，并与病毒作者进行沟通，企图控制用户的电脑，给用户带来损失。

反病毒专家建议：建立良好的安全习惯，不打开可疑邮件和可疑网站；关闭或删除系统中不需要的服务；很多病毒利用漏洞传播，一定要及时给系统打补丁；安装专业的防毒软件进行实时监控，平时上网的时候一定要打开防病毒软件的实时监控功能。149特洛伊木马隐蔽性使用UDP协议，服务端侦听，客户端连接；客户端侦听，服务端连接。方法和安全性与使用TCP协议差不多。需要注意的是UDP不是一个可靠的协议，所以，必须在UDP协议的基础上设计一个自己的可靠的报文传递协议。

150特洛伊木马隐蔽性解决防火墙问题，无论是服务端被动侦听，还是服务端主动连接，在服务端和客户端试图建立连接时都会引起防火墙得报警。一种方法是代码注入，服务端将自己注入到一个可以合法的与外界进行网络通讯的进程(比如IE，ICQ，IIS等）的地址空间中，然后或者可以以一个新线程的形式运行，或者只是修改宿主进程，截获宿主进程的网络系统调用(WinSock)。如果是以新线程的形式运行，那么然后或者可以被动侦听，或者可以主动连接。151特洛伊木马隐蔽性用ICMP来通讯。使用TCP/IP协议族中的ICMP协议而非TCP/UDP来进行通讯，从而瞒过Netstat和端口扫描软件。ICMP是IP协议的附属协议，它是由内核或进程直接处理而不需要通过端口。一般的ICMP木马会监听ICMP报文，当出现特殊的报文时（比如特殊大小的包、特殊的报文结构等）它就会打开TCP端口等待控制端的连接.一个真正意义上的ICMP木马则会严格地使用ICMP协议来进行数据和控制命令的传递（数据放在ICMP的报文中）。152特洛伊木马隐蔽性进程隐藏就是指把木马写入到驱动和内核的级别，通过拦截系统调用的服务，用替代系统功能（改写驱动程序或动态链接库）或者说是嵌入式的方法，例如，如果系统运行windows.exe，实际上同时运行了木马和windows.exe。而木马则嵌入在windows.exe中，能看到，但没法删除，因为windows.exe是系统进程，不允许删除。这样，就相当于隐藏了木马进程。153特洛伊木马潜伏性木马还具有很强的潜伏能力,表面上的木马被发现并删除以后,后备的木马在一定的条件下会跳出来。Glacier有两个服务器程序,C:\Windows\System\Kernel32.exe挂在注册表的启动组中,当电脑启动的时候,会装入内存,这是表面上的木马;另一个是C:\Windows\System\Sysexplr.exe,也在注册表中,它修改了文本文件的关联,当点击文本文件的时候,它就启动了。154如何对付木马1.必须提高防范意识,不要打开陌生人信中的附件。

2.多读readme.txt。许多人出于研究目的下载了一些特洛伊木马程序的软件包,往往错误地执行了服务器端程序3.使用杀毒软件。4.立即挂断。155如何对付木马5.观察目录。普通用户应当经常观察位于c：\、c：\windows、c：\windows\system这三个目录下的文件。用“记事本”逐一打开c：\下的非执行类文件（除exe、bat、com以外的文件）,查看是否发现特洛伊木马、击键程序的记录文件,在c：\Windows或c：\Windows\system下如果有光有文件名没有图标的可执行程序,你应该把它们删除,然后再用杀毒软件进行认真的清理。6.在删除木马之前,最最重要的一项工作是备份,需要备份注册表,备份你认为是木马的文件。

156木马检测工具-Prcview157木马查杀演示－灰鸽子手工查杀步骤：使用prcview工具查看可疑的进程。查看服务，查找可疑的服务。使用netstat、sport工具查看端口和程序的关联，寻找可疑的程序。查看注册表中的启动项。确认木马文件，在资源管理器中定位木马文件。158木马查杀演示－灰鸽子使用prcview工具终止木马进程。删除木马文件，如果在Windows下删除不了，在DOS环境下删除木马文件。删除注册表中的木马启动项。对系统进行安全加固。159冰河冰河是一款用户远程监控的木马工具，可以运行在Windows98/NT之下。相对而言，它的最大优点就是它完全是国产软件，全中文的界面让国内的用户倍感方便。160冰河的主要功能

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)；2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自行扩充，2.0以上版本还同时提供了击键记录功能；161冰河的主要功能

3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件等多项文件操作功能；162冰河的主要功能6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；7．发送信息：向被控端发送简短信息；8．点对点通讯：以聊天室形式同被控端进行在线交谈。

163冰河的客户端界面164冰河的主要组成文件冰河2.2正式版共有4个文件，它们是：G-client.exe 冰河客户端程序G-server.exe 服务器端程序Readme.txt 自述文件Operate.ini 配置文件165冰河的主要功能:连接服务器首先当然是连接目标服务器，从菜单中选择文件->添加主机。需要填写：显示名称：显示在程序中的名称，只用于方便区别、记忆。主机地址：可以填入IP地址或域名。访问口令：配置服务器程序时输入的口令。监听端口：配置服务器程序时确定的端口号

166冰河的主要功能:文件操作我们可以看到，在主程序左边有两个选项卡：文件管理器命令控制台文件管理器用来做有关文件的操作，而命令控制台顾名思义是用来向目标计算机发送命令的。

167冰河的主要功能:远程控制通过命令控制台我们可以向目标计算机发送各种命令,这也是冰河最强的功能。

168冰河的主要功能:包含的命令冰河2.2版包含的命令有：口令类命令1）系统信息及口令：可以获得包括系统信息（计算机名、用户名等），开机口令，缓存口令及其它口令在内的资料。2）历史口令：从启动开始的历史口令。3）击键记录：记录目标机器上的击键。169冰河的主要功能:包含的命令控制类命令1）捕获屏幕得到目标机器当前的屏幕图象。屏幕控制。冰河除了把目标机器的屏幕图象显示到你的屏幕上之外，你还可以把它看作一个真正的屏幕。这么说吧：如果屏幕上显示对方开着一个IE窗口，你就可以点击它的关闭按钮，那么它在目标机器上就真被关闭了。

170冰河的主要功能:包含的命令2）发送消息向目标计算机发送消息。目标计算机会弹出一个消息框，这个消息框的类型和内容都可以由你来设置171冰河的主要功能:包含的命令3）

进程管理在这里，可以对目标主机的进程加以控制。有两个命令可以使用：查看进程、结束进程。点击查看进程按钮,就可以在按钮上方的列表框中看到目标机器上的所有进程。如果想终止某个进程，只要先选中某进程，再执行结束进程命令即可。

172冰河的主要功能:包含的命令4）窗口控制对目标计算机上的程序窗口进行远程控制。

173冰河的主要功能:包含的命令5）系统控制系统控制包括下列功能：远程关机计算机、重起计算机，重新加载冰河，卸载（uninstall）冰河。6)鼠标控制这里可以随意锁定目标计算机上的鼠标，使其动弹不得。在你玩够之后，你也可以再解除锁定。174冰河的主要功能:包含的命令7)其它控制175冰河的主要功能:包含的命令网络类命令1)创建共享2)删除共享3)网络信息网络信息包括共享信息和连接信息。共享信息用来查看目标计算机上的共享资源。连接信息用来显示目标计算机的网络连接状况：包括与其连接的计算机名、用户名、通讯协议、当前状态等。176冰河的主要功能:包含的命令文件类命令这里的命令其实与文件管理器中的功能类似。这里不再解释它们的用法。这些命令有：1)

文本浏览2)

文件查找3)

文件压缩4)

文件复制5)

文件删除6)

文件打开7)

目录增删8)

目录复制、注册表读写177主要内容一、攻击概述二、缓冲区溢出攻击三、扫描器四、恶意代码五、网络侦听六、拒绝服务攻击七、欺骗技术八、网络应急响应178主要内容Sniffer概述共享局域网的嗅探CuteSniffer嗅探实例交换局域网的嗅探交换局域网嗅探实例179什么是Sniffer

网络监听的作用：监视网络的流量、状态、数据等信息，分析数据包，获得有价值的信息。网络监听工具：Sniffer(嗅探器)，有硬件和软件两种类型。一把双刃剑管理员的管理工具，主要是进行数据包分析，通过网络监听软件，观测分析实时经由的数据包，从而进行网络故障定位攻击者们常用的收集信息的工具

180Sniffer的网络环境共享式网络通过网络的所有数据包发往每一个主机最常见的是通过HUB连接起来的子网交换式网络通过交换机连接网络由交换机构造一个“MAC地址-端口”映射表发送包的时候，只发到特定的端口上181被监听的网络以太网FDDI、Token-ring使用电话线通过有线电视信道微波和无线电182截获的信息

口令金融帐号偷窥机密或敏感的信息数据（如e-mail内容）窥探低级的协议信息（如用于IP欺骗）

183网络监听原理网卡工作在数据链路层，数据以帧为单位进行传输，在帧头部分含有数据的目的MAC地址和源MAC地址。普通模式下，网卡只接收与自己MAC地址相同的数据包，并将其传递给操作系统。在“混杂”模式下，网卡将所有经过的数据包都传递给操作系统。184网络监听原理共享式集线器（HUB）连接将网卡置于混杂模式实现监听185Sniffer软件WiresharkNetxRaySnifferProCuteSniffer(小巧，功能较全)186CuteSniffer187设置过滤器过滤器。Options->Programoptions...

[not]primitive[and|or[not]primitive...]

类型（Type）-host,netandport.如,`hostfoo',`net128.3',`port20'.方向（dir）-src,dst,srcordst,srcanddst.如,`srcfoo',`dstnet128.3',`srcordstportftp-data'.协议（proto）-ether,fddi,tr,ip,ip6,arp,rarp,decnet,tcpandudp.如,,`ethersrcfoo',`arpnet128.3',`tcpport21'.188设置过滤器1.捕捉特定主机的ftp流:tcpport21andhost2.捕捉特定主机流出的包:srchost3.捕捉80端口发出的包:srcport80189设置过滤器190设置规则从文本文件rules.ini

读规则header(option1;option2;...)

规则头包括协议、源IP地址、源端口、方向、目的IP地址、目的端口规则选项191设置规则192设置规则例子rules.initcpanyany->anyany(flags:S+;msg:"SYNpacket";symbol:"SYN";)tcpanyany->anyany(flags:F+;msg:"FINpacket";symbol:"FIN";)tcpanyany->any143(content:"|90C8C0FFFFFF|/bin/sh";msg:"IMAPbufferoverflow!";)tcpanyany->any80(content:"cgi-bin/phf";offset:3;depth:22;msg:"CGI-PHFaccess";)tcpanyany->any21(msg:"FTPPassword";content:"PASS";nocase;symbol:"PASS";)tcpanyany->any110(msg:"E-mailPassword";content:"PASS";nocase;symbol:"PASS";)193捕捉矿大邮箱口令194捕捉矿大邮箱口令查看源文件，输入的口令名字为Password195捕捉矿大邮箱口令设置过滤器为Dsthost7或者Dsthost196捕捉矿大邮箱口令查找捕捉的包197捕捉矿大邮箱口令帧头198捕捉矿大邮箱口令包头199捕捉矿大邮箱口令TCP头200捕捉SINA邮箱口令201捕捉SINA邮箱口令202捕捉POP3邮箱口令设置过滤器（矿大POP3邮件服务器地址）203捕捉POP3邮箱口令在登录前启动捕捉204捕捉POP3邮箱口令捕捉结果205捕捉POP3邮箱口令206捕捉POP3邮箱口令207捕捉FTP口令这是一个FTP站点208捕捉FTP口令准备登录209捕捉FTP口令启动捕捉，输入用户名与密码210捕捉FTP口令捕捉的内容211捕捉FTP口令212捕捉FTP口令213捕捉BBS口令这个是北大BBS站点214捕捉BBS口令搜索pw215捕捉Telnet口令可以通过Telnet登录BBS开始－运行－cmd－telnet216捕捉Telnet口令217捕捉Telnet口令设置过滤器的两种方式218捕捉Telnet口令219捕捉Telnet口令口令的第一个字母是1220捕捉Telnet口令口令的第二个字母是2221捕捉Telnet口令口令的第三个字母是3222捕捉毕业设计管理系统的口令223自动捕捉口令AcePasswordSniffer，能监听LAN，取得密码。包括：FTP、POP3、HTTP、SMTP、Telnet密码。224自动捕捉口令密码监听器。225交换局域网嗅探交换机在正常模式下按MAC地址表转发数据包，此时只能监听广播数据包。交换网络嗅探的关键：如何使不应到达的数据包到达本地MAC洪水包利用交换机的镜像功能利用ARP欺骗226MAC洪水包向交换机发送大量含有虚构MAC地址和IP地址的IP包，使交换机无法处理如此多的信息，致使交换机就进入了所谓的"打开失效"模式，也就是开始了类似于集线器的工作方式，向网络上所有的机器广播数据包227利用交换机的镜像功能利用交换机的镜像功能228利用ARP欺骗首先介绍以太数据包格式

目的MAC地址源MAC地址类型数据66246~1500类型0800：IP数据包

类型0806：ARP数据包229然后介绍ARP数据包格式

目的端MAC地址源MAC地址0806硬件类型协议类型硬件地址长度协议地址长度ARP包类型发送端MAC地址发送端IP地址目的端MAC地址目的端IP地址662221126464

<以太网首部>

<26字节ARP请求/应答>230交换局域网嗅探在VICTIM运行ARP–A，有如下输出：Interface:onInterface0x3000006InternetAddressPhysicalAddressType00-00-00-00-00-01dynamic00-00-00-00-00-03dynamic231交换局域网嗅探在ATTACKER上构建并发送表一所示的包，其中目的mac为00-00-00-00-00-02，目的IPaddress为，发送者MAC为00-00-00-00-00-01，发送者IP为（假冒IP）。在VICTIM上运行ARP–A，有如下的输出：Int