网络攻击步骤和常用工具

网络攻击步骤和常用工具第1页，课件共63页，创作于2023年2月典型网络攻击步骤第2页，课件共63页，创作于2023年2月Whois数据库查找第3页，课件共63页，创作于2023年2月通用目标侦察工具ping：这个工具将ICMPEcho请求消息发给目标，看是否它是可达的，并判断应答的时间。(pingIP)Nslookup：这个特性允许查询DNS服务器，以找到与IP地址映射的域。(nslookupip)Traceroute：这个特性返回源计算机与选择的目标之间的路由器跳的一个列表。TracertipFinger：这个特性支持查询一个系统，决定它的用户列表。第4页，课件共63页，创作于2023年2月SMTPVRFY：这个功能用于判断特定邮件地址在一给定电子邮件服务器上是否合法。它基于简单的邮件传输协议（SMTP）鉴别命令，是最广泛使用的电子邮件协议里的选项，用于检查邮件地址的合法性。Web浏览器：一些内建的小型

Web浏览器使用户能查看原始HTTP交互，包括所有的HTTP首部。第5页，课件共63页，创作于2023年2月非技术手段:

社会工程学—使用社会技巧和人际关系,获取与安全相关的信息，内部的一些地址“建筑物里面有些什么”。

偷听---垃圾搜寻，通过公告牌与聊天室交换信息(漏洞、使用的技术、相关目标的信息)利用软件开发商的一些文档了解产品的细节。第6页，课件共63页，创作于2023年2月预防措施审计、监控和记录您用于登录的设备以及其它可能受攻击的设备。安全性策略是一个良好的开端，但缺少了备份和执行就等于浪费时间。遍历您的安装。好的遍历通常能使您找到连接到机器的调制解调器。还有，保存好的文档和平面图，以便您知道该查看哪儿。查看您调制解调器上的自动应答配置。这也可以用来保护您的调制解调器。最后，使用与您的内部PBX(程控交换机

)号码范围完全不同的电话号码。这是阻止战争拨号攻击的比较有效的方法之一。第7页，课件共63页，创作于2023年2月攻击前奏---踩点扫描

踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。第8页，课件共63页，创作于2023年2月网络扫描概述被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。扫描的目的就是利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。第9页，课件共63页，创作于2023年2月扫描方法ICMPping：为了建立一个可访问的目录清单，攻击者将尝试ping你的网络中所有可能的地址，以判断哪个地址有活动的主机。攻击者可以向你网络中的每一个地址发送一个ICMP的回应请求数据包，这些地址是在侦察阶段发现的。发送ping之后，攻击者开始寻找回应的ICMP应答消息。如果返回一个应答消息，则说明那个地址端有一台活动机器。否则的话，我们可以认为那个地址端没有东西。TCP/UDP数据包：许多网络会阻塞ICMP消息，因此攻击者可以有选择的给常开放的端口发送一个TCP或者UDP数据包，如TCP端口80。如果端口是开放的，目标系统将会返回一个SYN-ACK数据包，表明那个地址端有一台机器。如果没有任何消息返回，则说名明地址端可能没有机器。第10页，课件共63页，创作于2023年2月利用TCP实现端口扫描实现端口扫描的程序可以使用TCP协议和UDP协议，原理是利用Socket连接对方的计算机的某端口，试图和该端口建立连接如果建立成功，就说明对方开放了该端口，如果失败了，就说明对方没有开放该端口。第11页，课件共63页，创作于2023年2月漏洞扫描扫描内容包括：远程操作系统类型及版本标准端口状态及端口Banner信息SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用户，NT服务器NETBIOS信息注册表信息等。第12页，课件共63页，创作于2023年2月栈指纹技术定义：利用TCP/IP协议栈实现上的特点来辨识一个操作系统技术导向可辨识的OS的种类，包括哪些操作系统结论的精确度，细微的版本差异是否能识别一些工具Checkos,byShokQueso,bySavageNmap,byFyodor第13页，课件共63页，创作于2023年2月栈指纹识别技术做法：寻找不同操作系统之间在处理网络数据包上的差异，并且把足够多的差异组合起来，以便精确地识别出一个系统的OS版本配置能力扩展性，新的OS，版本不断推出定义一种配置语言或者格式第14页，课件共63页，创作于2023年2月栈指纹识别方法常用的手段给一个开放的端口发送FIN包，有些操作系统有回应，有的没有回应对于非正常数据包的反应比如，发送一个包含未定义TCP标记的数据包根据TCP连接的序列号风格寻找初始序列号之间的规律TCP初始化窗口有些操作系统会使用一些固定的窗口大小DF位(Don'tFragmentbit)分片处理方式分片重叠的情况下，处理会不同。如何确定处理方式？第15页，课件共63页，创作于2023年2月栈指纹识别方法(续)ICMP协议ICMP错误消息的限制发送一批UDP包给高端关闭的端口，然后计算返回来的不可达错误消息ICMP端口不可达消息的大小通常情况下送回IP头+8个字节，但是个别系统送回的数据更多一些ICMP回应消息中对于校验和的处理方法不同ICMP回应消息中，TOS域的值TCP选项这里充满了各种组合的可能性应答方式“Query-Reply”，可以把多个选项放到一个包中SYNFlooding对抗测试先发送8个SYN包，看还能不能建立连接，确认它是否受此攻击第16页，课件共63页，创作于2023年2月Nmap的指纹库指纹模板文件：nmap-os-fingerprints.txt首先定义一组测试，例如#TESTDESCRIPTION:#TseqistheTCPsequenceabilitytest#T1isaSYNpacketwithabunchofTCPoptionstoopenport#T2isaNULLpacketw/optionstoopenport#T3isaSYN|FIN|URG|PSHpacketw/optionstoopenport#T4isanACKtoopenportw/options#T5isaSYNtoclosedportw/options#T6isanACKtoclosedportw/options#T7isaFIN|PSH|URGtoaclosedportw/options#PUisaUDPpackettoaclosedport第17页，课件共63页，创作于2023年2月例如FingerprintWindows2000ProfessionalTSeq(Class=RI)T1(DF=Y%W=2238%ACK=S++%Flags=AS%Ops=M)T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)T3(Resp=Y%DF=Y%W=2238%ACK=S++%Flags=AS%Ops=M)T4(DF=N%W=0%ACK=0%Flags=R%Ops=)T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)T6(DF=N%W=0%ACK=0%Flags=R%Ops=)T7(DF=N%W=0%ACK=S++%Flags=AR%Ops=)PU(DF=N%TOS=0|20%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E|F%ULEN=134%DAT=E)第18页，课件共63页，创作于2023年2月TSeq表示TCP的ISN序列，Class=RI说明它是随机增加的（RandomIncrements）。T1表明是测试1（Test1）。测试1是向开放的端口发送一个SYN＋Options数据包，该系统的应答数据包中标记了DF位（DF=Y），窗口大小为0x2238（W=2238），ACK的值是原来的序列号加1（ACK=S++），标志位是ACK|SYN（Flags=AS），选项中只有MSS有应答（Ops=M）。T2测试是向开放的端口发送一个NULL＋Options的数据包，其中Resp=Y表明系统有应答，“Ops=”表明应答数据包中没有选项值。T3测试是向开放的端口发送一个TH_SYN|TH_FIN|TH_URG|TH_PUSH＋Options数据包。第19页，课件共63页，创作于2023年2月T4测试是向开放的端口发送一个ACK+Options数据包，这里没有设置“Resp=”是因为系统对这种测试都会作出应答，如果没有收到应答数据包则说明由于网络或系统错误导致数据包遗失，而在T2和T3中设置该项是因为有一些系统对这两种探测确实不作应答。T5、T6和T7测试是分别向关闭的端口发送一个SYN、ACK和FIN|PSH|URG＋Options数据包。PU测试表示向关闭的端口发送一个UDP数据包，检测目标返回的“PortUnreachable”ICMP报文。其中IP服务类型（TypeOfService）字段是0或20（TOS=0|20），IP的长度是38字节（IPLen=38），应答数据包中的IP总长度是148字节（RIPTL=148），RID=E表明应答IP的ID复制了发送的UDP数据包中的IPID（否则为RID=F），RIPCK=E表明应答IP的校验和是正确的，UCK=E说明UDP校验和也是正确的，ULEN说明UDP包的长度是0x134，最后DAT=E表明目标正确的应答了UDP数据包。第20页，课件共63页，创作于2023年2月Nmap识别操作系统的例子第21页，课件共63页，创作于2023年2月Nmap的图形界面&探寻数据包示意图第22页，课件共63页，创作于2023年2月常见扫描工具Nmap由Fyodor编写的Nmap提供TCP、UDP端口扫描和操作系统指纹识别的功能。它集成了前面讨论的多种扫描技巧，提供的端口扫描功能比较全面，而且能够对操作系统进行指纹识别，是目前国外最为流行的端口扫描工具之一。Nmap虽然是一个强大的端口扫描工具，但遗憾的是它没有扫描漏洞的功能，无法对目标主机的脆弱性进行深入挖掘，不能符合网络攻击系统中的综合性能强的作战要求。第23页，课件共63页，创作于2023年2月SuperScan前面讨论的都是UNIX下使用的扫描工具，RobinKeir编写的SuperScan是应用在Windows环境下的TCP端口扫描程序。它允许灵活的定义目标IP端口列表，而且图形化的交互界面使得用起来简单方便。X-ScanX-Scan是由国内“安全焦点”编写的一个运行于Windows环境下的能够扫描漏洞的检测工具。它支持插件功能，提供了图形界面和命令行两种操作方式，能够实现扫描远程操作系统类型、标准端口、常见漏洞等功能。但是，它只能提供一种端口扫描方式，在目标网络复杂时无法灵活自主的进行选择配置，从而限制了它的适应性。此外，X-Scan的许多功能还需进一步完善，如扫描的漏洞较少且漏洞信息不详细，能够检测识别的操作系统也只有十几种。第24页，课件共63页，创作于2023年2月跟踪路由跟踪路由的技术来确定组成你的网络基础设施的各种路由器和网关。跟踪路由技术依赖于IP首部中的生存时间（TTL）字段。TTL与时间无关；它与跳有关。TTL字段工作原理：当路由器收到任何传来的IP数据包的时候，它首先将TTL字段的值减去1。然后，在继续往目的地发送这个数据包之前，路由器要检查它的TTL字段并判断其值是否为0。如果TTL值是0，则路由器给数据包的源站回送一个ICMP超时的消息。我们之所以建立TTL字段就是为了使数据包有一个有限的生存时间。第25页，课件共63页，创作于2023年2月攻击者利用这个TTL值来确定网络中数据包的路径：通过发送具有各种TTL值的一系列数据包，能够从已经知道的源站跟踪所有的路由器，一直到所有目的地。攻击者能够再现出你的网络拓扑结构。第26页，课件共63页，创作于2023年2月传输中的威胁—窃听(1)电缆:嗅探器sniffer,对网卡重新编程自感应技术(从电缆线读取辐射信号,要求足够近);搭接电缆;WAN上的信号截取者还必须能将信号从多路复用信号中分离。(2)微波和卫星:很容易截获信号；依靠大容量和复杂的多路复用技术,即使获取了信号也无法将某个特定信号分离。(3光纤:分接易被发现,没有电磁辐射.第27页，课件共63页，创作于2023年2月(4)无线通信：应用广泛：无线计算机连接，车库开门器，本地无线电，部分无绳电话等等。安全问题:无线信号强度：100-200英尺(1英尺=0.3048米)用调谐天线就可接受无线通信的标准：802.11b802.11a802.11g。加密标准WEP：40位或104位经典流式密钥(调查显示,85%无线网络没有使用WEP功能)第28页，课件共63页，创作于2023年2月网络监听第29页，课件共63页，创作于2023年2月第30页，课件共63页，创作于2023年2月监听软件第31页，课件共63页，创作于2023年2月通过集线器进行监听：被动监听典型工具Snort和Sniffit第32页，课件共63页，创作于2023年2月通过交换机进行监听：主动监听攻击者发明了很多工具，这些工具向交换型LAN发送数据，以达到截获原本不会发送到安装了嗅探器的机器的流量的目的。第33页，课件共63页，创作于2023年2月Dsniff由DugSong编写，它是个工具集，可在LAN中以多种灵活的方式截取信息。功能：分析大量应用程序的数据包能分析解释众多的协议类型。基本上每个嗅探器都能截获原始比特位，然而光这些原始比特位是没用的，除非攻击者能精确的分析并解释应用程序所规定的各个域的信息。例如，除非你能将FTP会话的用户ID、密码、单个命令和文本本身分离开来，否则这些原始比特位一点用都没有用。Dsniff能自动的辨认并解释大量的应用层协议（比如FTP，telnet,NNTP,SNMP,LDAP等），这对攻击者和安全人员来说是非常有用的。第34页，课件共63页，创作于2023年2月用洪泛对付交换机向LAN上发送大量的随机MAC地址以造成洪泛。随着网络上明显被使用的MAC地址的增多，交换机忠实的将其上每一链路所使用的MAC地址保存起来。最后，交换机内存耗尽，里面填充的都是假的MAC地址。由于无法再读到流量的地址，无法转发流量，因而会出现流量洪泛现象。此时，一些交换机便开始向所有连在其上的链路发送数据。然后，攻击者就可以使用任意的嗅探器来截获所需的数据了。第35页，课件共63页，创作于2023年2月用ARP欺骗信息对付交换机有一些交换机在所剩余的内存到达一定限度时就停止存储MAC地址，因此MAC地址洪泛对这种交换机没有作用。有一个工具arpspoof被包含在Dsniff中，Dsniff就是利用它来解决此难题。Arpspoof可以让攻击者操纵LAN上的ARP（地址解析协议）流量。ARP就是将第三层地址（IP）映射到第二层地址（MAC）。Arpspoof让攻击者将这种映射关系打乱从而在交换型的网络环境里截取数据。第36页，课件共63页，创作于2023年2月第37页，课件共63页，创作于2023年2月发送假的DNS信息进行流量转向。Dsniff包含一个叫dnsspoof的程序，可让攻击者发送假的DNS回应给受害者，以使攻击者要访问其他机器时却访问攻击者的机器。Dsniff第38页，课件共63页，创作于2023年2月对HTTPS和SSH进行嗅探Dsniff利用SSL和SSH对证书以及公钥的信任。如果Web服务器发给浏览器的证书是由一个浏览器不认识的证书机构签发的，浏览器将问用户是否接受此不信任的证书，信任的决定权留在了用户（通常是没经验的，一般用户不在意此）手里，浏览器会警告用户，但它仍允许用户继续建立连接。Dsniff工具集中用于攻击HTTPS和SSH的工具名是：webmitm和sshmitm。第39页，课件共63页，创作于2023年2月第40页，课件共63页，创作于2023年2月嗅探的防御将通过网络传输的数据进行加密。防止ARP欺骗，对包含了重要系统和数据的网络，在交换机上进行端口级安全设置，用链到端口上的机器的MAC地址来配置此端口，以防止MAC地址洪泛和arpspoof。而且，在极端重要的网络，如DMZ(隔离区，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区)，在每台终端机器上使用静态ARP表，对LAN上的所有系统进行MAC地址的硬编码。第41页，课件共63页，创作于2023年2月所谓口令攻击是指使用某些合法用户的账号和口令登录到目标主机，然后再实施攻击活动。这种方法的前提是必须首先得到目标主机上某个合法用户的账号，然后再进行合法用户口令的破译。

获得普通用户账号的方法很多，如利用目标主机的finger功能查询或从电子邮件地址中收集等。口令攻击第42页，课件共63页，创作于2023年2月口令破解1.字典文件所谓字典文件，就是根据用户的各种信息建立一个用户可能使用的口令的列表文件。字典中的口令是根据人们设置自己账号口令的习惯总结出的常用口令。对攻击者来说，攻击的口令在这字典文件中的可能性很大，而且因为字典条目相对较少，在破解速度上也远快于穷举法口令攻击。这种字典有很多种，适合在不同的情况下使用。使用一部1万个单词的字典一般能猜测出系统中70%的口令。第43页，课件共63页，创作于2023年2月（2）强行攻击没有攻不破的口令，只是个时间问题。如果有速度足够快的计算机能尝试字母、数字、特殊字符的所有组合，将最终能破解所有的口令。（3）组合攻击使用字典单词但是单词尾部串接几个字母和数字，这就是组合攻击。（鉴于很多管理员要求使用字母和数字，用户的对策是在口令后面添加几个数字）第44页，课件共63页，创作于2023年2月口令破解器口令破解器是一个程序，它能将口令解译出来，或者让口令保护失效。口令破解器一般不是真正的去解码，因为事实上很多加密算法是不可逆的。大多数口令破解器是通过尝试一个一个的单词，用已知的加密算法来加密这些单词，直到发现一个单词经过加密后的结果和待解密的数据一样，就认为这个单词是要找的密码。第45页，课件共63页，创作于2023年2月Windows口令破解Windows口令的安全性比UNIX要脆弱得多，这是由其采用的数据库存储和加密机制所直接导致的。第46页，课件共63页，创作于2023年2月Windows口令破解程序主要有：（1）L0phtcrack：是一个NT口令破解工具，它能通过保存在NT操作系统中的cryptographichashes列表来破解用户口令。（2）NTSweep：利用Microsoft允许用户改变口令的机制，NTSweep首先取定一个词，NTSweep使用这个单词作为账号的原始口令并试图把用户的口令改为同一个单词。NTSweep能通过防火墙，也不需要任何特殊权限来允许。（3）NTCrack：是UNIX破解程序的一部分，但是需要在NT环境下破解，它和NTSweep的工作原理类似，但功能上有限。（4）PWDump2：用来从SAM数据库中提取哈希口令。第47页，课件共63页，创作于2023年2月对口令进行破译的方法

(2)登录界面攻击法。黑客可以在被攻击的主机上，利用程序伪造一个登录界面，以骗取用户的账号和密码。当用户在这个伪造四界面个键入登录信息后，程序可将用户的输入信息记录并传送到黑客的主机，然后关闭界面，给出提示信息“系统故障”或“输入错误”，要求用户重新输入。第48页，课件共63页，创作于2023年2月

(3)网络监听。黑客可以通过网络监听非法得到的用户口令，这类方法有一定的局限性，但危害性极大。由于很多网络协议根本就没有彩任何加密或身份认证技术，如在telnet、FTP、HTTP、SMTP等传输协议中，用户账号和密码信息都是以文明格式传输的，此时若黑客利用数据包截取工具便可很容易收集到用户的账号和密码。另外，黑客有时还会利用软件和硬件工具时刻监视系统主机的工作，等待记录用户登录信息，从而取得用户密码。第49页，课件共63页，创作于2023年2月攻击后续实施入侵安装木马或后门清除痕迹第50页，课件共63页，创作于2023年2月一次针对Windows2000的入侵过程(一)1.探测选择攻击对象，了解部分简单的对象信息。这里，针对具体的攻击目标，随便选择了一组IP地址，进行测试，选择处于活动状态的主机，进行攻击尝试；针对探测的安全建议对于网络：安装防火墙，禁止这种探测行为对于主机：安装个人防火墙软件，禁止外部主机的ping包，使对方无法获知主机当前正确的活动状态第51页，课件共63页，创作于2023年2月一次针对Windows2000的入侵过程(二)2.扫描使用的扫描软件这里选择的扫描软件是SSS（ShadowSecurityScanner），SSS是俄罗斯的一套非常专业的安全漏洞扫描软件，能够扫描目标服务器上的各种漏洞，包括很多漏洞扫描、端口扫描、操作系统检测、账号扫描等等，而且漏洞数据可以随时更新。扫描远程主机开放端口扫描操作系统识别SSS本身就提供了强大的操作系统识别能力，也可以使用其他工具进行主机操作系统检测。主机漏洞分析第52页，课件共63页，创作于2023年2月扫描结果：端口扫描可以看出几个比较知名的端口均处于打开状态，如139、80等尝试使用Unicode漏洞攻击，无效。可能主机已经使用了SP进行补丁或未开放远程访问权限第53页，课件共63页，创作于2023年2月扫描结果：操作系统识别

结果显示该主机操作系统为Windows2000，第54页，课件共63页，创作于2023年2月扫描结果：漏洞扫描SSS可对远程主机进行漏洞检测分析，这更方便了解远程主机的状态，选择合适的攻击入口点，进行远程入侵该主机存在的漏洞较多，我们可以确定选择该主机作为攻击对象。另外，主机的帐号密码使用的是“永不过期”方式，我们可以在下面进行帐号密码的强行破解第55页，课件共63页，创作于2023年2月一次针对Windows2000的入侵过程(三)3.查看目标主机的信息在完成对目标主机的扫描后，我们可以利用WindowsNT/2000对NetBIOS的缺省信赖，对目标主机上的用户帐号、共享资源等进行检查。事实上，在利用SSS进行扫描的过程中，SSS已经向我们报告了众多有效的信息。这里，我们再利用Windows2000的IPC空会话查询远程主机使用了Netview命令第56页，课件共63页，创作于2023年2月一次针对Windows2000