网络攻防实战演练课件

计算机网络傅德谦2010.9计算机网络傅德谦2010.9网络攻防技术

or

网络侦查与审计技术

网络攻防技术

or

网络侦查与审计技术

32023/10/6网络侦查审计的三个阶段侦查渗透控制定位出网络资源的具体情况

检查各种系统的漏洞

控制网络资源、创建账号、修改日志、行使管理员的权限

32023/8/2网络侦查审计的三个阶段侦查渗透控制定42023/10/6第一节：侦查阶段42023/8/2第一节：侦查阶段52023/10/6第一节：侦查阶段本节要点：描述侦查过程识别特殊的侦查方法安装和配置基于网络和基于主机的侦查软件实施网络级和主机级的安全扫描配置和实施企业级的网络漏洞扫描器52023/8/2第一节：侦查阶段本节要点：描述侦查过程62023/10/6安全扫描的概念理解

安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。62023/8/2安全扫描的概念理解安全扫描就是72023/10/6安全扫描的检测技术基于应用的检测技术，它采用被动的，非破坏性的办法检查应用软件包的设置，发现安全漏洞。基于主机的检测技术，它采用被动的，非破坏性的办法对系统进行检测。基于目标的漏洞检测技术，它采用被动的，非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。基于网络的检测技术，它采用积极的，非破坏性的办法来检验系统是否有可能被攻击崩溃。72023/8/2安全扫描的检测技术基于应用的检测技术，它采82023/10/6安全扫描系统具有的功能说明

协调了其它的安全设备使枯燥的系统安全信息易于理解，告诉了你系统发生的事情跟踪用户进入，在系统中的行为和离开的信息可以报告和识别文件的改动纠正系统的错误设置82023/8/2安全扫描系统具有的功能说明协调了其它的安92023/10/6安全扫描whoisnslookuphostTraceroutePing扫描工具安全扫描常用命令92023/8/2安全扫描whois安全扫描常用命令102023/10/6Traceroute命令用于路由跟踪，判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间等等可以推测出网络物理布局判断出响应较慢的节点和数据包在路由过程中的跳数Traceroute或者使用极少被其它程序使用的高端UDP端口，或者使用PING数据包102023/8/2Traceroute命令用于路由跟踪，判112023/10/6Traceroute路由跟踪原理TTL=1数据???TTL-1>0小于等于0ICMPtimeexceeded发IP包的源地址IP包的所有内容路由器的IP地址AB112023/8/2Traceroute路由跟踪原理TTL122023/10/6Traceroute路由跟踪原理TTL=1数据小于等于0ICMPtimeexceeded发IP包的源地址IP包的所有内容路由器的IP地址AB我知道路由器A存在于这个路径上路由器A的IP地址122023/8/2Traceroute路由跟踪原理TTL132023/10/6BTraceroute路由跟踪原理A我知道路由器A存在于这个路径上路由器A的IP地址TTL=2数据???TTL-1>02-1=1>0TTL=1数据小于等于0ICMPtimeexceeded发IP包的源地址IP包的所有内容路由器的IP地址???TTL-1>0我知道路由器B存在于这个路径上路由器B的IP地址132023/8/2BTraceroute路由跟踪原理A我142023/10/6BTraceroute路由跟踪原理A我知道路由器A存在于这个路径上路由器A的IP地址TTL=3数据???TTL-1>03-1=2>0TTL=2数据我知道路由器B存在于这个路径上路由器B的IP地址???TTL-1>02-1=1>0TTL=1数据portnumber是一个一般应用程序都不会用的号码（30000以上），所以当此数据包到达目的地后该主机会送回一个「ICMPportunreachable」的消息，而当源主机收到这个消息时，便知道目的地已经到达了。ICMPportunreachable我到达了目的地142023/8/2BTraceroute路由跟踪原理A我152023/10/6普通Traceroute到防火墙后的主机假定防火墙的规则阻止除PING和PING响应（ICMP类型8和0）uniwis>traceroutetracerouteto(05),30hopsmax,40bytepackets1 () 0.540ms 0.394ms 0.397ms2 () 2.455ms 2.479ms 2.512ms3 4(4) 4.812ms 4.780ms 4.747ms4 () 5.010ms 4.903ms 4.980ms5 15(15)5.520ms 5.809ms 6.061ms6 6(15) 9.584ms21.754ms 20.530ms7 () 94.127ms 81.764ms 96.476ms8 6(6) 96.012ms98.224ms 99.312ms

152023/8/2普通Traceroute到防火墙后的主机162023/10/6使用ICMP数据包后Traceroute结果xuyi>traceroute-Itracerouteto(05),30hopsmax,40bytepackets1 () 0.540ms 0.394ms 0.397ms2 () 2.455ms 2.479ms 2.512ms3 4(4) 4.812ms 4.780ms 4.747ms4 () 5.010ms 4.903ms 4.980ms5 15(15)5.520ms 5.809ms 6.061ms6 6(15) 9.584ms21.754ms 20.530ms7 () 94.127ms81.764ms 96.476ms8 6(6) 96.012ms98.224ms 99.312ms162023/8/2使用ICMP数据包后Traceroute172023/10/6使用ICMP的Traceroute原理由于防火墙一般不进行内容检查，我们可以将探测数据包到达防火墙时端口为其接受的端口，就可以绕过防火墙到达目标主机。起始端口号计算公式起始端口号=(目标端口-两机间的跳数*探测数据包数)-1例：防火墙允许FTP数据包通过，即开放了21号端口,两机间跳数为2

起始端口号＝（ftp端口－两机间的跳数*默认的每轮跳数)－1

＝（21－2*3）-1

＝15－1

＝14172023/8/2使用ICMP的Traceroute原理由182023/10/6扫描类型按照获得结果分类存活性扫描端口扫描系统堆栈扫描按照攻击者角色分类主动扫描被动扫描182023/8/2扫描类型按照获得结果分类192023/10/6一、存活性扫描发送扫描数据包，等待对方的回应数据包其最终结果并不一定准确，依赖于网络边界设备的过滤策略最常用的探测包是ICMP数据包例如发送方发送ICMPEchoRequest，期待对方返回ICMPEchoReply192023/8/2一、存活性扫描发送扫描数据包，等待对方的202023/10/6Ping扫描作用及工具子网68024结果02468Ping扫描Ping扫描程序能自动扫描你所指定的IP地址范围

202023/8/2Ping扫描作用及工具子网192.168212023/10/6二、端口扫描端口扫描不仅可以返回IP地址，还可以发现目标系统上活动的UDP和TCP端口

Netscantools扫描结果

212023/8/2二、端口扫描端口扫描不仅可以返回IP地址222023/10/6端口扫描技术一览探测分段，指向某一端口回应分段对回应分段进行分析对SYN分段的回应对FIN分段的回应对ACK分段的回应对Xmas分段的回应对Null分段的回应对RST分段的回应对UDP数据报的回应222023/8/2端口扫描技术一览探测分段，指向某一端口回232023/10/6端口扫描原理

一个端口就是一个潜在的通信通道，即入侵通道对目标计算机进行端口扫描，得到有用的信息扫描的方法：手工进行扫描端口扫描软件232023/8/2端口扫描原理一个端口就是一个潜在242023/10/6OSI参考模型ApplicationPresentationSessionTransportNetworkDataLinkPhysicalDataLinkNetworkTransportSessionPresentationApplicationPhysical比特流帧（Frame）包（Packet）分段（Segment）会话流代码流数据242023/8/2OSI参考模型ApplicationP25TCP/IP协议簇传输层数据连路层

网络层物理层应用层会话层表示层应用层传输层网络层物理层HTTP、FTP、SMTP、SNMP、POP、TELNET、RIP、NNTP等TCP和UDPIP、ICMP、IGMP、ARP、RARP等25TCP/IP协议簇传输层数据连路层网络层物理层应用层会262023/10/6IP协议包头VERHDR.LTHSERVICEDATADRAMLENGTHDATAGRAMIDENTIFICATIONFLAGSFRAGMENTOFFSETTTLPROTOCOLHEADERCHECKSUMSOURCEADDRESSDESTINATIONADDRESSOPTIONS0151631262023/8/2IP协议包头VERHDR.LTHSERV272023/10/6ICMP协议包头Type(类型)Code（代码）Checksum（校验和）ICMPContent078151631272023/8/2ICMP协议包头Type(类型)Code282023/10/6TCP协议包头Sourceport(16)Destinationport(16)Sequencenumber(32)Header

length(4)Acknowledgementnumber(32)Reserved(6)Codebits(6)Window(16)Checksum(16)Urgent(16)Options(0or32ifany)Data(varies)Bit0Bit15Bit16Bit3120bytes282023/8/2TCP协议包头Sourceport(292023/10/6UDP协议包头SourcePortLength0151631DataDestinationPortChecksum292023/8/2UDP协议包头SourcePortLe302023/10/6TCP三次握手机制SYNreceived主机A：客户端主机B：服务端发送TCPSYN分段(seq=100ctl=SYN)1发送TCPSYN&ACK分段(seq=300ack=101ctl=syn,ack)SYNreceived2Established(seq=101ack=301ctl=ack)3302023/8/2TCP三次握手机制SYNreceive312023/10/6TCP连接的终止主机A：客户端主机B：服务端1发送TCPFIN分段2发送TCPACK分段3发送TCPFIN分段4发送TCPACK分段关闭A到B的连接关闭B到A的连接312023/8/2TCP连接的终止主机A：客户端主机B：322023/10/6TCP/IP相关问题一个TCP头包含6个标志位。它们的意义如下所述：SYN：标志位用来建立连接，让连接双方同步序列号。如果SYN＝1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接；FIN：表示发送端已经没有数据要求传输了，希望释放连接；RST：用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包；URG：为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时紧急数据指针有效；ACK：为确认标志位。如果为1，表示包中的确认号时有效的。否则，包中的确认号无效；PSH：如果置位，接收端应尽快把数据传送给应用层。322023/8/2TCP/IP相关问题一个TCP头包含6332023/10/6大部分TCP/IP遵循的原则(1)SYN数据包

监听的端口SYN|ACK正常的三次握手开始332023/8/2大部分TCP/IP遵循的原则(1)SYN342023/10/6大部分TCP/IP遵循的原则(2)SYN或者FIN数据包

关闭的端口RST数据包

丢

弃

数

据

包342023/8/2大部分TCP/IP遵循的原则(2)SYN352023/10/6大部分TCP/IP遵循的原则(3)RST数据包

监听的端口丢

弃

R

S

T

数

据

包352023/8/2大部分TCP/IP遵循的原则(3)RST362023/10/6大部分TCP/IP遵循的原则(4)包含ACK的数据包

监听的端口RST数据包

丢

弃

数

据

包362023/8/2大部分TCP/IP遵循的原则(4)包含A372023/10/6大部分TCP/IP遵循的原则(5)SYN位关闭的数据包

监听的端口丢

弃

数

据

包372023/8/2大部分TCP/IP遵循的原则(5)SYN382023/10/6大部分TCP/IP遵循的原则(6)FIN数据包

监听的端口丢

弃

数

据

包382023/8/2大部分TCP/IP遵循的原则(6)FIN392023/10/6

端口扫描方式全TCP连接TCPSYN扫描TCPFIN扫描其它TCP扫描方式UDP扫描UDPrecvfrom（）和write（）扫描秘密扫描技术间接扫描392023/8/2端口扫描方式全TCP连接402023/10/6全TCP连接长期以来TCP端口扫描的基础扫描主机尝试（使用三次握手）与目的机指定端口建立建立正规的连接连接由系统调用connect()开始对于每一个监听端口，connect()会获得成功，否则返回－1，表示端口不可访问很容易被检测出来Courtney,Gabriel和TCP

Wrapper监测程序通常用来进行监测。另外，TCP

Wrapper可以对连接请求进行控制，所以它可以用来阻止来自不明主机的全连接扫描。402023/8/2全TCP连接长期以来TCP端口扫描的基础412023/10/6TCP

SYN扫描TCPSYN分段，指向某端口？该端口开放么？开放TCPSYN&ACK分段不开放TCPRST分段收到什么分段？？TCPRSTTCPSYN&ACK412023/8/2TCP

SYN扫描TCPSYN分段，指422023/10/6TCP

FIN

扫描TCPFIN分段，指向某端口？该端口开放么？开放不开放TCPRST分段收到什么分段？？TCPRST没有收到分段422023/8/2TCP

FIN

扫描TCPFIN分段432023/10/6其他TCP扫描方式NULL扫描发送一个没有任何标志位的TCP包，根据RFC793，如果目标主机的相应端口是关闭的话，应该发送回一个RST数据包向目标主机发送一个FIN、URG和PUSH分组，根据RFC793，如果目标主机的相应端口是关闭的，那么应该返回一个RST标志当一个包含ACK的数据包到达目标主机的监听端口时，数据包被丢弃，同时发送一个RST数据包ACK扫描FIN+URG+PUSH（Xmas扫描）432023/8/2其他TCP扫描方式NULL扫描发送一个442023/10/6UDP扫描使用的是UDP协议，扫描变得相对比较困难打开的端口对扫描探测并不发送一个确认，关闭的端口也并不需要发送一个错误数据包。然而，许多主机在向未打开的UDP端口发送数据包时，会返回一个ICMP_PORT_UNREACHABLE错误，即类型为3、代码为13的ICMP消息UDP和ICMP错误都不保证能到达，因此这种扫描器必须还实现在一个包看上去是丢失的时候能重新传输这种扫描方法是很慢的，因为RFC对ICMP错误消息的产生速率做了规定这种扫描方法需要具有root权限442023/8/2UDP扫描使用的是UDP协议，扫描变得452023/10/6UDP

recvfrom()和write()

扫描

当非root用户不能直接读到端口不能到达错误时，某些系统如Linux能间接地在它们到达时通知用户。

在非阻塞的UDP套接字上调用recvfrom()时，如果ICMP出错还没有到达时回返回AGAIN重试。如果ICMP到达时，返回CONNECTREFUSED连接被拒绝。这就是用来查看端口是否打开的技术。

对一个关闭的端口的第二个write()调用将失败。452023/8/2UDP

recvfrom()和write462023/10/6秘密扫描技术不含标准TCP三次握手协议的任何部分，比SYN扫描隐蔽得多FIN数据包能够通过只监测SYN包的包过滤器秘密扫描技术使用FIN数据包来探听端口Xmas和Null扫描－－秘密扫描的两个变种Xmas扫描打开FIN，URG和PUSH标记而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤秘密扫描通常适用于UNIX目标主机跟SYN扫描类似，秘密扫描也需要自己构造IP

包462023/8/2秘密扫描技术不含标准TCP三次握手协议472023/10/6间接扫描利用第三方的IP（欺骗主机）来隐藏真正扫描者的IP假定参与扫描过程的主机为扫描机，隐藏机，目标机。扫描机和目标机的角色非常明显。隐藏机是一个非常特殊的角色，在扫描机扫描目的机的时候，它不能发送任何数据包（除了与扫描有关的包）472023/8/2间接扫描利用第三方的IP（欺骗主机）来隐482023/10/6端口扫描软件端口扫描器是黑客最常使用的工具

单独使用的端口扫描工具集成的扫描工具482023/8/2端口扫描软件端口扫描器是黑客最常使用的492023/10/6三、系统堆栈指纹扫描利用TCP/IP来识别不同的操作系统和服务向系统发送各种特殊的包，根据系统对包回应的差别，推断出操作系统的种类堆栈指纹程序利用的部分特征ICMP错误信息抑制服务类型值(TOS)TCP/IP选项对SYNFLOOD的抵抗力TCP初始窗口492023/8/2三、系统堆栈指纹扫描利用TCP/IP来识502023/10/6堆栈指纹的应用利用FIN探测利用TCPISN采样使用TCP的初始化窗口ICMP消息抑制机制ICMP错误引用机制ToS字段的设置DF位的设置ICMP错误信息回显完整性TCP选项ACK值502023/8/2堆栈指纹的应用利用FIN探测512023/10/6利用FIN标记探测FIN的包（或者是任何没有ACK或SYN标记的包）开放端口是否是MS-WINDOWS，BSDI，CISCO，HP/UX，MVS和IRIX系统RESET是否512023/8/2利用FIN标记探测FIN的包（或者是522023/10/6利用BOGUS标记探测SYN包（含有没有定义的TCP标记的TCP头）开放端口是否是LINUX系统包含这个没有定义的标记的数据包是否关闭连接522023/8/2利用BOGUS标记探测SYN包（含有没有532023/10/6使用TCP的初始化窗口

简单地检查返回包里包含的窗口长度。根据各个操作系统的不同的初始化窗口大小来唯一确定操作系统类型：注：TCP使用滑动窗口为两台主机间传送缓冲数据。每台TCP/IP主机支持两个滑动窗口，一个用于接收数据，另一个用于发送数据。窗口尺寸表示计算机可以缓冲的数据量大小。532023/8/2使用TCP的初始化窗口542023/10/6NMAP工具功能强大、不断升级并且免费对网络的侦查十分有效它具有非常灵活的TCP/IP堆栈指纹引擎它可以穿透网络边缘的安全设备注：

NMAP穿透防火墙的一种方法是利用碎片扫描技术（fragmentscans），你可以发送隐秘的FIN包（-sF），Xmastree包（-sX）或NULL包（-sN）。这些选项允许你将TCP查询分割成片断从而绕过防火墙规则。这种策略对很多流行的防火墙产品都很有效。542023/8/2NMAP工具功能强大、不断升级并且免费552023/10/6四、其它扫描共享扫描软件使用Telnet

使用SNMP认证扫描代理扫描社会工程552023/8/2四、其它扫描共享扫描软件562023/10/6共享扫描软件提供了允许审计人员扫描Windows网络共享的功能

只能侦查出共享名称，但不会入侵共享

PingProRedButton

562023/8/2共享扫描软件提供了允许审计人员扫描Win572023/10/6共享扫描软件子网60结果0：home，data6：files，apps共享扫描共享目录Filesapps共享目录homedata572023/8/2共享扫描软件子网6582023/10/6使用Telnet是远程登录系统进行管理的程序

可以利用Telnet客户端程序连接到其它端口，从返回的报错中获得需要的系统信息582023/8/2使用Telnet是远程登录系统进行管理的592023/10/6使用SNMPSNMPv1最普通但也最不安全它使用弱的校验机制用明文发送communitynameSNMP信息暴露592023/8/2使用SNMPSNMPv1最普通但也最不602023/10/6企业级的扫描工具扫描等级配置文件和策略报告功能报告风险等级AxcentBetReconFinger服务漏洞；GameOver（远程管理访问攻击）未授权注销禁止服务漏洞，包括SMTP、DNS、FTP、HTTP、SOCKS代理和低的sendmail补丁等级

602023/8/2企业级的扫描工具扫描等级612023/10/6企业级的扫描工具NetworkAssociatesCyberCopScanner是NetworkAssociates的产品，象NetRecon一样，CyberCopScanner是一个主机级别的审计程序。也把各种漏洞分类为低、中、高三个等级提示：CyberCopMonitor不是网络扫描器，它是入侵监测系统程序，

能够对黑客活动进行监视，提供报警功能，还能惩罚黑客。612023/8/2企业级的扫描工具NetworkAsso622023/10/6企业级的扫描工具WebTrendsSecurityAnalyzer与UNIX搭配使用多年操作界面也简单易用InternetSecuritySystems的扫描产品ISSInternetScanner有三个模块：intranet，firewall和Web服务器

程序的策略是希望将网络活动分类，并针对每种活动提供一种扫描方案ISSSecurityScanner基于主机的扫描程序

622023/8/2企业级的扫描工具WebTrendsSe632023/10/6社会工程电话访问欺骗信任欺骗教育632023/8/2社会工程电话访问欺骗642023/10/6电话访问一位新的职员寻求帮助，试图找到在计算机上完成某个特定任务的方法一位愤怒的经理打电话给下级，因为他的口令突然失效一位系统管理员打电话给一名职员，需要修补它的账号，而这需要使用它的口令一位新雇佣的远程管理员打电话给公司，询问安全系统的配置资料一位客户打电话给供应商，询问公司的新计划，发展方向和公司主要负责人642023/8/2电话访问一位新的职员寻求帮助，试图找到在652023/10/6信任欺骗当电话社交工程失败的时候，攻击者可能展开长达数月的信任欺骗典型情况通过熟人介绍，来一次四人晚餐可以隐藏自己的身份，通过网络聊天或者是电子邮件与之结识伪装成工程技术人员骗取别人回复信件，泄漏有价值的信息一般说来，有魅力的异性通常是最可怕的信任欺骗者，不过不论对于男性还是女性，女性总是更容易令人信任652023/8/2信任欺骗当电话社交工程失败的时候，攻击者662023/10/6防范措施——教育网络安全中人是薄弱的一环作为安全管理人员，避免员工成为侦查工具的最好方法是对他们进行教育。提高本网络现有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。662023/8/2防范措施——教育网络安全中人是薄弱的一672023/10/6扫描目标——网络级别的信息信息描述网络拓扑安全审计人员首先应当搞清楚网络的类型（以太网，令牌环等等），IP地址范围，子网和其它网络信息。配线架的位置也很重要。作为安全管理人员，你的目标是利用防火墙、代理服务器等设备保护这些信息。路由器和交换机掌握路由器和交换机的种类对分析网络安全十分重要，你可以是路由器泄漏信息。防火墙种类大多数的网络都有防火墙。如果你能够访问防火墙，便可以侦查它并寻找相应的漏洞。IP服务最基本的服务包括DHCP，BOOTP，WINS，SAMBA，和DNS。DNS服务特别容易遭受缓冲区溢出的攻击。Modem池也许最流行的绕过防火墙是做法是通过modem连接再附以Man-in-the-middle攻击和包捕获。Wardialer是在Internet上寻找网络连接的重要的审计工具。672023/8/2扫描目标——网络级别的信息信息描682023/10/6扫描目标——主机级别的信息信息描述活动端口你应该了解服务器上有那些端口是活动的。HTTP和FTP服务是最容易遭受端口扫描的服务，而且黑客会进一步实施缓冲区溢出攻击。数据库数据库类型（例如Oracle,MicrosoftSQLServer和IBMDB2），物理位置和应用协议都很有价值。服务器服务器类型是非常有价值的信息。一旦你确定了服务器的种类是Microsoft或UNIX，便可以有针对性的利用系统的缺省设置和补丁侦查登录账户名称，弱口令和低的补丁等级。682023/8/2扫描目标——主机级别的信息活动端口你应该692023/10/6安全扫描技术的发展趋势使用插件（plugin）或者叫功能模块技术使用专用脚本语言由安全扫描程序到安全评估专家系统692023/8/2安全扫描技术的发展趋势使用插件（plug702023/10/6对网络进行安全评估DMZ

E-Mail

FileTransferHTTPIntranet生产部工程部市场部人事部路由Internet中继安全弱点扫描通讯&应用服务层702023/8/2对网络进行安全评估DMZIntranet712023/10/6可适应性安全弱点监测和响应DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继安全弱点扫描操作系统层712023/8/2可适应性安全弱点监测和响应DMZIntr722023/10/6对于DMZ区域的检测DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继应用程序层安全弱点扫描722023/8/2对于DMZ区域的检测DMZIntrane732023/10/6第二节：渗透阶段732023/8/2第二节：渗透阶段742023/10/6重点内容：服务器渗透与攻击技术本节要点：讨论渗透策略和手法列举潜在的物理、操作系统和TCP/IP堆栈攻击识别和分析暴力攻击、社会工程和拒绝服务攻击实施反渗透和攻击的方法742023/8/2重点内容：服务器渗透与攻击技术本节要点：752023/10/6入侵和攻击的范畴

在Internet上

在局域网上

本地

离线752023/8/2入侵和攻击的范畴在Internet上762023/10/6在Internet上协作攻击：Internet允许全世界范围的连接，这很容易使来自全世界的人们在一个攻击中进行合作参与。会话劫持：在合法的用户得到鉴别可以访问后，攻击者接管一个现存动态会话的过程。欺骗：欺骗是一种模仿或采取不是自己身份的行为。转播：是攻击者通过第三方的机器转播或反射他的通信，这样攻击就好象来自第三方的机器而不是他。特洛伊木马或病毒：特洛伊木马的常见用途是安装后门。762023/8/2在Internet上协作攻击：Inter772023/10/6在局域网上嗅探流量：观察网络上所有流量的被动攻击。广播：攻击者发送一个信息包到广播地址，以达到产生大量流量的目的。文件访问：通过找到用户标识和口令，可以对文件进行访问。远程控制：通过安装木马实现对机器的远程控制。应用抢劫：接收应用并且达到非授权访问。772023/8/2在局域网上嗅探流量：观察网络上所有流量的782023/10/6在本地旁侧偷看未上锁的终端被写下的口令拔掉机器本地登录782023/8/2在本地旁侧偷看未上锁的终端被写下的口令拔792023/10/6离线下载口令文件下载加密的文本复制大量的数据792023/8/2离线下载口令文件下载加密的文本复制大量的802023/10/6常见的攻击方法1.欺骗攻击(Spoofing)

3.拒绝服务(DenialofService)攻击2.中间人攻击(Man-in-the-MiddleAttacks)

4.缓冲区溢出（BufferOverflow）攻击5.后门和漏洞攻击6.暴力破解攻击802023/8/2常见的攻击方法1.欺骗攻击(Spoofi812023/10/6容易遭受攻击的目标路由器数据库邮件服务名称服务Web和FTP服务器和与协议相关的服务812023/8/2容易遭受攻击的目标路由器822023/10/6一、欺骗技术822023/8/2一、欺骗技术832023/10/6832023/8/2842023/10/6842023/8/2852023/10/6852023/8/2862023/10/6862023/8/2872023/10/6872023/8/2882023/10/6882023/8/2892023/10/6892023/8/2902023/10/6902023/8/2912023/10/6912023/8/2922023/10/6922023/8/2932023/10/6电子邮件欺骗932023/8/2电子邮件欺骗942023/10/6修改邮件客户软件的帐户配置942023/8/2修改邮件客户软件的帐户配置952023/10/6952023/8/2962023/10/6962023/8/2972023/10/6972023/8/2982023/10/6982023/8/2992023/10/6992023/8/21002023/10/61002023/8/21012023/10/61012023/8/21022023/10/61022023/8/21032023/10/6

通过使用网络报文窃听以及路由和传输协议进行这种攻击。主要目的是窃取信息、截获正在传输中的会话以便访问专用网络资源、进行流量分析以获取关于一个网络及其用途的信息、拒绝服务、破坏传输数据以及在网络会话中插入新的信息。Man-in-the-MiddleAttacks原理二、中间人攻击(Man-in-the-MiddleAttacks)1032023/8/2通过使用网络报文窃听以及路1042023/10/6报文窃听(PacketSniffers)数据包篡改(Packetalteration)重放攻击（Replayattack

）会话劫持(Sessionhijacking)中间人攻击的类型1042023/8/2报文窃听(PacketSniff1052023/10/6报文窃听是一种软件应用，该应用利用一种处于无区别模式的网络适配卡捕获通过某个冲突域的所有网络分组。可以轻易通过解码工具（sniffers/netxray等）获得敏感信息（用户密码等）。

报文窃听(PacketSniffers)1052023/8/2报文窃听是一种软件应用，该应用利用一种1062023/10/6报文窃听(PacketSniffers)实例分析

1062023/8/2报文窃听(PacketSniffer1072023/10/6用交换机来替代HUB，可以减少危害。防窃听工具：使用专门检测网络上窃听使用情况的软件与硬件。加密：采用IPSecurity(IPSec)、SecureShell(SSH)、SecureSocketsLayer(SSL)等技术。

验证(Authentication)：采用一次性密码技术(one-time-passwordsOTPs)PacketSniffers窃听防范1072023/8/2用交换机来替代HUB，可以减少危害。1082023/10/6数据包篡改(Packetalteration)

对捕获的数据包内容进行篡改，以达到攻击者的目的

更改数据包的校验和及头部信息，为进一步攻击做准备1082023/8/2数据包篡改(Packetalter1092023/10/6

攻击者截获了一次远程主机登录过程后，选择适当的时机对该登录过程进行重放，以进入远程主机。重放攻击（Replayattack）1092023/8/2重放攻击（Replayattack1102023/10/6会话劫持(sessionhijacking)1102023/8/2会话劫持(sessionhijack1112023/10/61112023/8/21122023/10/61122023/8/21132023/10/61132023/8/21142023/10/6关于TCP协议的序列号1142023/8/2关于TCP协议的序列号1152023/10/61152023/8/21162023/10/6阻断正常会话1162023/8/2阻断正常会话1172023/10/61172023/8/21182023/10/61182023/8/21192023/10/61192023/8/21202023/10/61202023/8/21212023/10/6三、DOS攻击DoS（DenyOfService）就是攻击者通过使你的网络设备崩溃或把它压跨（网络资源耗尽）来阻止合法用户获得网络服务，DOS是最容易实施的攻击行为。

DoS攻击主要是利用了TCP/IP协议中存在的设计缺陷和操作系统及网络设备的网络协议栈存在的实现缺陷。1212023/8/2三、DOS攻击DoS（DenyOf1222023/10/6DoS的技术分类1222023/8/2DoS的技术分类1232023/10/6典型DOS攻击1232023/8/2典型DOS攻击1242023/10/6PingofDeath1242023/8/2PingofDeath1252023/10/6PingofDeath范例1252023/8/2PingofDeath范例1262023/10/6IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。泪滴(teardrop)攻击一Teardrop攻击原理：1262023/8/2IP数据包在网络传递时，数1272023/10/6受影响的系统：Linux/WindowsNT/95攻击特征：攻击过程简单，发送一些IP分片异常的数据包。防范措施：泪滴(teardrop)攻击二服务器升级最新的服务包设置防火墙时对分片进行重组，而不是转发它们。1272023/8/2受影响的系统：Linux/Window1282023/10/6UDP洪水(UDPflood)1282023/8/2UDP洪水(UDPflood)1292023/10/6Fraggle攻击发送畸形UDP碎片，使得被攻击者在重组过程中发生未加预料的错误典型的Fraggle攻击碎片偏移位的错乱强制发送超大数据包纯粹的资源消耗1292023/8/2Fraggle攻击发送畸形UDP碎片，1302023/10/6阻止IP碎片攻击Windows系统请打上最新的ServicePack，目前的Linux内核已经不受影响。如果可能，在网络边界上禁止碎片包通过，或者用iptables限制每秒通过碎片包的数目。如果防火墙有重组碎片的功能，请确保自身的算法没有问题，否则DoS就会影响整个网络Windows2000系统中，自定义IP安全策略，设置“碎片检查”

1302023/8/2阻止IP碎片攻击Windows系统请打1312023/10/6TCPSYNflood1312023/8/2TCPSYNflood1322023/10/6剖析SYNFlood攻击TCPSYN分段伪造SourceIPxTCPSYN/ACK分段IPx不断发送大量伪造的TCPSYN分段最多可打开的半开连接数量超时等待时间等待期内的重试次数X半开连接缓冲区溢出1322023/8/2剖析SYNFlood攻击TCPSY1332023/10/6TCPSYNFlood攻击过程示例1332023/8/2TCPSYNFlood攻击过程示1342023/10/6对SYNFlood攻击的防御对SYNFlood攻击的几种简单解决方法缩短SYNTimeout时间

SYNFlood攻击的效果取决于服务器上保持的SYN半连接数，这个值等于SYN攻击的频度xSYNTimeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间设置SYNCookie

给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃1342023/8/2对SYNFlood攻击的防御对SYN1352023/10/6增强Windows2000对SYNFlood的防御

打开regedit，找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

增加一个SynAttackProtect的键值，类型为REG_DWORD，取值范围是0-2，这个值决定了系统受到SYN攻击时采取的保护措施，包括减少系统SYN+ACK的重试的次数等，默认值是0（没有任何保护措施），推荐设置是2。1352023/8/2增强Windows2000对SYN1362023/10/6增强Windows2000对SYNFlood的防御

增加一个TcpMaxHalfOpen的键值，类型为REG_DWORD，取值范围是100-0xFFFF，这个值是系统允许同时打开的半连接，默认情况下WIN2KPRO和SERVER是100，ADVANCEDSERVER是500，这个值取决于服务器TCP负荷的状况和可能受到的攻击强度。增加一个TcpMaxHalfOpenRetried的键值，类型为REG_DWORD，取值范围是80-0xFFFF，默认情况下WIN2KPRO和SERVER是80，ADVANCEDSERVER是400，这个值决定了在什么情况下系统会打开SYN攻击保护。1362023/8/2增强Windows2000对SYN1372023/10/6Smurf攻击1372023/8/2Smurf攻击1382023/10/6Smurf攻击示意图1382023/8/2Smurf攻击示意图1392023/10/6Smurf攻击1392023/8/2Smurf攻击1402023/10/6Smurf攻击的防止措施1402023/8/2Smurf攻击的防止措施1412023/10/6Land攻击1412023/8/2Land攻击1422023/10/6电子邮件炸弹1422023/8/2电子邮件炸弹1432023/10/6分布式拒绝服务(DistributedDenialofService)

DDoS攻击原理黑客侵入并控制了很多台电脑，并使它们一起向主机发动DoS攻击，主机很快陷于瘫痪，这就是分布式拒绝服务攻击——DDoS（DistributedDenialOfService）。1432023/8/2分布式拒绝服务(Distributed1442023/10/6分布式拒绝服务攻击网络结构图1442023/8/2分布式拒绝服务攻击网络结构图1452023/10/6三层模型1452023/8/2三层模型1462023/10/6DDoS攻击过程1462023/8/2DDoS攻击过程1472023/10/6DDoS攻击使用的常用工具TFN(TribeFloodNetwork)TrinooStacheldrahtTFN2K1472023/8/2DDoS攻击使用的常用工具TFN(T1482023/10/6TFN是由著名黑客Mixter编写的，是第一个公开的UnixDDoS工具。由主控端程序和客户端程序两部分组成。它主要采取的攻击方法为：SYN风暴、Ping风暴、UDP炸弹和SMURF，具有伪造数据包的能力。TFN(TribeFloodNetwork)1482023/8/2TFN是由著名黑客Mixter1492023/10/6TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。攻击方法增加了Mix和Targa3。并且TFN2K可配置的代理端进程端口。TFN2K1492023/8/2TFN2K是由TFN发展而来的1502023/10/6Stacheldraht也是从TFN派生出来的，因此它具有TFN的特性。此外它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。

Stacheldrah中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。Stacheldraht1502023/8/2Stacheldraht1512023/10/6Trinoo1512023/8/2Trinoo1522023/10/6DDoS攻击的防御策略1522023/8/2DDoS攻击的防御策略1532023/10/6四、缓冲区溢出BufferOverflow攻击1532023/8/2四、缓冲区溢出BufferOverf1542023/10/6缓冲区溢出的攻击方式1542023/8/2缓冲区溢出的攻击方式1552023/10/6缓冲区溢出攻击的基本思想基本思想：通过修改某些内存区域，把一段恶意代码存储到一个buffer中，并且使这个buffer被溢出，以便当前进程被非法利用(执行这段恶意的代码)危害性在UNIX平台上，通过发掘BufferOverflow,可以获得一个交互式的shell在Windows平台上，可以上载并执行任何的代码溢出漏洞发掘起来需要较高的技巧和知识背景，但是，一旦有人编写出溢出代码，则用起来非常简单1552023/8/2缓冲区溢出攻击的基本思想基本思想：通过1562023/10/6为什么会缓冲区溢出？1562023/8/2为什么会缓冲区溢出？1572023/10/6典型的bufferoverflows漏洞1572023/8/2典型的bufferoverflows1582023/10/6怎样防范缓冲区溢出1582023/8/2怎样防范缓冲区溢出1592023/10/6五、后门和漏洞攻击后门(backdoor)：通常指软件开发人员为了便于测试或调试而在操作系统和程序中故意放置的未公布接口，与bug不同，后门使开发人员故意留下的。Eg.万能密码、超级用户接口等漏洞(Bug):操作系统或软件存在的问题和错误。IPC$漏洞输入法漏洞IIS.idaISAPI扩展远程溢出漏洞1592023/8/2五、后门和漏洞攻击后门(backdo1602023/10/6六、暴力破解攻击1.字典程序攻击2.暴力攻击

1602023/8/2六、暴力破解攻击1.字典程序攻击2.暴1612023/10/6暴力破解暴力或字典破解是获得root访问权限的最有效、最直接的方式方法。三种破解工具L0phtcrack工具Johntheripper工具Crack工具1612023/8/2暴力破解暴力或字典破解是获得root访1622023/10/6L0phtcrack界面账号LanMan哈希值字典破解进程暴力破解进程1622023/8/2L0phtcrack界面账号LanM1632023/10/6验证算法暴力破解所要对付的对象就是各种各样的口令加密与验证算法冷静地分析各种常见的验证算法，找出其中的不足Windows2000系统默认的验证算法Unix/Linux系统默认的验证算法1632023/8/2验证算法暴力破解所要对付的对象就是各1642023/10/6LanMan验证和NTLM验证

WindowsNT/2000支持多种验证机制，每一种验证机制之间的安全级别不同，下表列出了WindowsNT/2000所支持的各种验证机制。微软系统所采用的验证加密算法。身份验证类型受支持的客户机备注LANMan全

部WFW和Win9x必须使用这种方法，但这种方法容易受到窃听NTLMNT4、2000比

LANMan更加安全NTLMv2NT4+SP4、2000比

NTLM更安全，建议用于异机种NT4/2000环境Kerberos只适用于2000比

NTLM更复杂，但在安全方面具有更长的跟踪记录1642023/8/2LanMan验证和NTLM验证1652023/10/6额外的审计工具L0phtCrackpwdump2pwdump2密码散列提取工具在很长时间内由管理员和黑客同时使用，以从SAM中转储LANMan和NTLM密码散列。在Windows2000域控制器上工作，域控制器不再将散列存储在SAM中，而是存储在AD中lsadump2使用DLL注射绕过本地安全授权(LSA)以名为LSASecrets形式存储的安全信息上的正常的访问控制1652023/8/2额外的审计工具L0phtCrack1662023/10/6构造一个Crack工具基本步骤生成字典文件取出条目应用规则打开口令文件比较不匹配标示为已破解匹配常见的规则包括：1.计算hash值（MD5、SHA等）2.应用crypt（）函数1662023/8/2构造一个Crack工具基本步骤生成字典1672023/10/6

一旦攻击者成功地渗透进系统，会立即试图控制它。第三节：控制阶段1672023/8/2一旦攻击者成功地渗透进系统，会立即试1682023/10/6一、攻击者的控制目标获得root的权限获得信息作为跳板攻击其它系统1682023/8/2一、攻击者的控制目标获得root的权限1692023/10/61.获得root的权限

攻击者最终目的是获得root的权限攻击者会采用许多不同的策略来获得这一权限非法服务和trapdoor允许攻击者使用合法的账号来升级访问权限1692023/8/21.获得root的权限攻击者最终目的1702023/10/62.获得信息

获得root的权限后，攻击者会将立即进行信息扫描,获得有用数据。扫描方法操纵远程用户的Web浏览器运行脚本程序利用文件的缺省存放位置1702023/8/22.获得信息获得root的权限后，攻1712023/10/63.信息重定向攻击者控制了系统，便可以进行程序和端口重定向端口转向成功后，他们可以操控连接并获得有价值的信息相似的攻击目标还包括重定向SMTP端口，它也允许攻击者获得重要的信息1712023/8/23.信息重定向攻击者控制了系统，便可1722023/10/64.应用程序重定向将某一端口与某一应用程序相绑定允许将某一程序的运行指定到特定的端口，从而可以远程使用Telnet进行控制1722023/8/24.应用程序重定向将某一端口与某一应用1732023/10/65.擦除渗透的痕迹

通常，攻击者通过破坏日志文件，可以骗过系统管理员和安全审计人员。这就是所谓的痕迹擦除日志文件包括：Web服务器防火墙HTTP服务器FTP服务器数据库操作系统的日志IDS日志日志文件类型包括事件日志应用程序日志安全日志1732023/8/25.擦除渗透的痕迹通常，攻击者通过破1742023/10/66.作为跳板攻击其它系统通常，攻击者渗透操作系统的目的是通过它来渗透到网络上其它的操作系统。NASA服务器是攻击者通常的攻击目标，不仅因为他们想要获取该服务器上的信息，更主要的是许多组织都和该服务器有信任的连接关系。系统是攻击者的终端还是攻击链条中的一个环节——跳板攻击者为了伪装自己的真实来源，可能通过很多次跳板才达到攻击目的1742023/8/26.作为跳板攻击其它系统通常，攻击者1752023/10/6二、控制手段新的控制方法层出不穷系统的升级不可避免的会开启新的安全漏洞少数的极有天赋的黑客不断开发出新的工具作为安全审计人员，需要时刻注意各种迹象，同时留意自己的系统是否存在着问题1752023/8/2二、控制手段新的控制方法层出不穷1762023/10/61.后门的安放Rhosts++后门Login后门服务进程后门portbindsuidShell后门suidshell修改密码文件1762023/8/21.后门的安放Rhosts++1772023/10/62.创建新的访问点通过安装额外的软件和更改系统参数，攻击者还可以开启后门优秀的系统管理员，黑客通常习惯于某种攻击策略，所以必须注意攻击者的控制手段安装后门的另一个通常方法是在操作系统中安置木马。1772023/8/22.创建新的访问点通过安装额外的软件1782023/10/63.创建额外账号

为了减小从系统中被清除的几率，攻击者通常会在获得root权限后创建额外的账号使用批处理文件是创建额外账号的一种手段也可以增加没有密码的管理员账号在UNIX和Novell操作系统中同样存在类似的问题1782023/8/23.创建额外账号为了减小从系统中被清1792023/10/6自动添加账号一个负责任的系统管理员会定期扫描用户的账号数据库，查看是否有权限的变更，新添加的账号和任何有关系统策略更改的可疑行为。然而，攻击者会利用老的账号登录系统攻击者还可以利用定时服务等自动执行的程序来添加账号通过定时服务来添加新的账号和重新设置权限，攻击者可以骗过最挑剔的管理员。1792023/8/2自动添加账号一个负责任的系统管理员会定1802023/10/64.Trojan木马控制TrojanhorseRootKitsRootkit是用非法程序替代合法程序所谓的“rootkit”

是入侵者在入侵了主机后，用来做创建后门并加以伪装用的程序包通常包括了日志清理器，后门等程序rootkit通常出现在UNIX系统中

木马是一个程序，驻留在目标计算机里，可以随计算机自动启动并在某一端口进行侦听，在对接收的数据识别后，对目标计算机执行特定的操作。其实质只是一个通过端口进行通信的网络客户/服务程序。1802023/8/24.Trojan木马控制Troja1812023/10/6木马程序的利用与监测“木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。木马原则上和Laplink、PCanywhere等程序一样，只是一种远程管理工具木马本身不带伤害性，也没有感染力，所以不能称之为病毒(也有人称之为第二代病毒)1812023/8/2木马程序的利用与监测“木马”指一些程1822023/10/6木马原理基本概念：对于特洛伊木马，被控制端就成为一台服务器，控制端则是一台客户机

控制功能：以管理员用户权限运行的木马程序几乎可以控制一切。

程序实现：可以使用VB或VC、JAVA以及其它任何编程工具的Winsock控件来编写网络客户/服务程序。1822023/8/2木马原理基本概念：对于特洛伊木马，被控1832023/10/6特洛伊木马隐身方法主要途径有在任务栏中隐藏自己“化妆”为驱动程序使用动态链接库技术1832023/8/2特洛伊木马隐身方法主要途径有1842023/10/6木马的发展典型的C/S结构，隐蔽性差隐藏、自启动和操纵服务器等技术上有长足进步

隐藏、自启动和数据传递技术上有根本性进步，出现了以ICMP进行数据传输的木马

采用改写和替换系统文件的做法

1842023/8/2木马的发展典型的C/S结构，隐藏、自启1852023/10/6流行木马及其技术特征木马进程注册为系统服务反弹端口型木马出现替换系统文件中做法应用到Windows使用多线程技术1852023/8/2流行木马及其技术特征木马进程注册为系统1862023/10/6Netbus木马NetBus1.53版本可以以捆绑方式装到目标电脑上，可以捆绑到启动程序上，也可以捆绑到一般程序的常用程序上。1862023/8/2Netbus木马NetBu1872023/10/6Netbus木马NetBus2.0版的功能更强，已用做远程管理的工作NetBus的功能运行程序强迫重启系统注销用户控制Web浏览器捕捉击键记录重定向端口和程序获得关于当前版本的信息上传、下载和删除文件控制、升级和定制服务器管理密码保护显示、终止远程系统程序1872023/8/2Netbus木马NetBus2.0版的1882023/10/6NetBus传输

NetBus使用TCP建立会话，缺省情况下用12345端口。跟踪NetBus的活动比较困难，可以通过检查12346端口数据来确定许多类似的程序使用固定的端口，你可以扫描整个的网络监测可疑的活动。1882023/8/2NetBus传输NetBus使用TC1892023/10/6Netbus2.0主要文件文件描述大小（Byte）NetBus.exe客户端1，241，600Patch.exe服务器624，640NBHelp.dll

程序扩展

71，6801892023/8/2Netbus2.0主要文件文件描1902023/10/6检测NetBusNetBus1.x版的程序使用下列的注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\可以用包嗅探器，检查缺省的12345或12346端口使用netstat，你可以键入下列命令：

Netstat–an或Netstat–pudp1902023/8/2检测NetBusNetBus1.x版的1912023/10/6Netbus连接

TCP:12345/123461912023/8/2Netbus连接TCP:123451922023/10/6清除NetBus高质量的反病毒程序另一种清除NetBus的方法是使用其客户端,点击清除服务器按钮如果攻击者采用了密码保护的话可能会要求你输入密码，也可以搜寻前面讨论的文件1922023/8/2清除NetBus高质量的反病毒程序1932023/10/6BackOrifice2000BackOrifice2000允许攻击者进行如下操作获取系统信息收集用户名和密码和用户缓存的密码获得文件的完全访问权限实施端口和程序的重定向通过HTTP从浏览器上传和下载文件1932023/8/2BackOrifice2000Bac1942023/10/6缺省设置默认的BackOrifice2000一共由5个文件组成，他们分别是：Bo2k.exe--136kb，BO2K服务器端程序Bo2kcfg.exe--216kb，BO2K设置程序Bo2kgui.exe--568kb，BO2K客户端程序Bo3des.dll--24kb，plugin--tripleDESmoduleBo_peep.dll--52kb，plugin--remoteconsolemanager1942023/8/2缺省设置默认的BackOrifice1952023