简单的网络攻击测试毕业设计论文(sniffer网络安全)

简单的网络攻击测试正文

说明：此设计由于本人只能熟练地操作WINDOWS，所以全部操作都有在WINDOWS2000上实现。所有部分软件均以WINDOWS2000为准.目前，网络的使用越来越普及.人们正在发现网络的作用，搞高工作效率、节省开支、消息传播快等等好处.如正实行的无纸办公、网络电话、网络会议、网络教学、网络聊天、网络游戏等等.网络已经延伸到各行各业.可是在使用网络，使用网络带给你的方便的同时，有一个重要的问题你有没有考虑：网络的安全性问题.去年的五.一的中美黑客大战、去年网上的病毒，这些没有使你对你正用的网络有一些安全性的怀疑吗？我们应正视一个问题，一个全世界都面临的问题：网络安全问题.在中国安全问题更加严重，很多人没有网络安全的意识，有很多人对这些知之甚少，而且另一面一些人则为了追求黑客的刺激却没有责任感，用一些黑客软件来破坏网络、破坏网络主机上的资料.所以，有必要了解一些网络安全方面的知识，增加网络安全意识.下面我就介绍一下常见的网络攻击的步骤.第一部分目标探测

踩点攻击者必须收集大量的信息，以便集中火力攻击.因此，攻击者将尽可能多地收集关于一个机构的安全态势的各个方面的信息.通过结合使用工具和技巧，攻击者能够由一个未知量归结出域名、网络块以及直接连到因特网上的系统的IP地址的一个特定的范围.下表列出一些攻击者能标识的技术和相关信息.表格SEQ表格\*ARABIC1技术标识的信息因特网域名网络块经因特网可达到的系统的指定IP地址每个系统上运行的TCP和UDP服务系统体系结构（如SPARC或X86）访问控制机制和相关访问控制列表入侵检测系统系统查点（用户名和用户组名、路由表、SNMP信息局域网连网协议（IP、IPX、APPLETALK）网络块经局域网可达到的系统的指定IP地址每个系统上运行的TCP和UDP服务系统的体系结构（如SPARC或X86）访问控制机制和相关访问控制列表入侵检测系统系统查点（用户名和用户组名、路由表、SNMP信息远程访问模拟/数字电话号码远程系统类型认证机制1．定活动范围首先应解决的问题是确定踩点活动的范围.你打算对整个机构踩点呢？还是把自己的活动限制在特定的位置.首先，如果目标机构有网页.应仔细查看目标机构的网页.不少机构的网页所提供的有助于攻击者的信息量很多.如机构的所在位置与其关系紧密的公司或实体公司兼并或收购新闻报道电话号码联系人姓名和电子邮件地址指示所用安全机制的类型的隐私或安全策略与其相关联的WEB服务器链接此外，尝试查阅HTML源代码中的注释.许多没有公开展示的内容会掩埋在诸如“＜”、“！”和“――”之类的HTML注释标记中.这会使你的踩点活动更有效率.还可以用网络搜索引擎来收集一些与目标相关的资料.█对策：公共数据库安全从你自己的网碰见中去除可能辅助攻击者获取你的网络的访问权的任何非必要的信息.2．WHOIS查询WHOIS是个实用程序，用于收集特定域的信息.这在查询哪个机构使用某个域名时有用.WHOIS是相当强大的查故障工具：可以了解谁负责维护域，与谁联系，哪个系统是主名称服务器.WHOIS查询过程的第一步是标识与某个特定机构相关的域名和网络.域名代表该公司在因特网上的存在，它是公司名称在因特网上的等价物.例如”为查点这些域名，发现依附其上的网络，你必须遍查因特网.可供查询的whois数据库有很多，它们提供了丰富的可用于踩点的信息.亚太IP地址分配可查.().以下查询类型提供的是黑客们用于发动攻击的主要信息：a.注册机构显示特定的注册信息和相关whois服务器b.机构本身显示与某个特定机构相关的所有信息c.域名显示与某个特定域名相关的所有信息d.网络显示与某个特定网络或单个IP地址相关的所有信息e.联系点显示与某位特定个员相关的所有信息下面便是在WHOIS中我校的一些资料：3．DNS查询标识出所有关联的域名后，就可以开始查询DNS了.DNS是一个分布式数据库，用于把主机名映射成IP地址，或者反之.如果DNS配置得不安全，就有可能取得关于其所在机构的泄密性信息.系统管理员可能犯的最严重的误配置之一是：允许不信任的因特网用户执行DNS区域传送（zonetransfer）.区域传送允许一个辅域名服务器从其主服务器更新自己的区域数据.这样给DNS的运行提供了冗佘度，以防主域服务器变得不可用.一般地说，DNS区域传送只有对应的辅域名服务器才需执行.然而许多DNS服务器误配置成任何主机请求就给它提供一个区域数据的拷贝.真正的问题发生在一个机构没有使用公用/私用DNS机制来分割外部公用DNS信息和内部私用DNS信息的时候，这种情况下，内部主机名和IP地址暴露给了攻击者.█对策：DNS安全.DNS给攻击者提供了大量的信息，因此有必要降低可在因特网上获取的信息量.从主机配置角度来看，必须把区域传送限定在只有经授权的服务器才能执行.从网络角度看，可以配置防火墙或分组过滤路由器，由它们拒绝所有未经授权的通往53号TCP端口的外来连接请求.因为名字查找请求使用的是UDP，而区域传送请求使用的是TCP，所以这将有效地挫败区域传送企图.另外，可考虑设置访问控制设备或入侵检测系统，作为潜在的敌意活动来登记这些企图传送区域的信息.4．网络勘察既然已经标识了潜在的网络，我们就可以尝试确定它们的网络拓扑以及进入网络内部的潜在访问通路.Traceroute是一个诊断工具，允许查看一个IP分组从一台主机流动到另一台主机的路径.Traceroute使用IP分组中的存活时间（TTL）字段从途径的每台路由器引发一个ICMP超时信息.处理该分组的每台路由器应该将TTL字段减1.这么一来中，TTL字段实际上变成了一个步跳计数器.我们可利用标识可能过滤我们的分组的访问控制设备（基于应用程序的防火墙或分组过滤路由器）外，也可以用于探索网络采用的网络拓扑.Tracert.exe在让我们看一个例子：这是以清华BBS为例，看一看到清华BBS的网络路径：由于38为事先已知道的清华BBS的IP地址，所以的MX记录指向.于是我们可以假设这是一台活动主机，在它之前的那一跳（这是一个路由的数语，即经过我路由器数.如我校的网关路由器的IP是52所以第一跳就是他.因为是通过它连入网络的）是该机构的边界路由器.可能是一台专用的基于应用程序的防火墙主机，也可能是一台简单的分组过滤设备路由器――这还不能肯定.一般地说，一旦在某个网络上碰到一个活动的系统，它之前的系统通常是一个执行路由功能的设备（例如路由器或防火墙）.值得注意的是.上大多数版本的缺省发送的是用户数据协议（UDP）分组.而WINDOWS中tracert(由于windows中的8.3的限制)缺省行为是使用ICMP回射请求（echorequest）分组.因此使用traceroute工具的结果可能随站点阻塞UDP分组还是阻塞ICMP分组而不同.这里有必要分清分组与路由器的关系：不考虑访问控制等外加因素，当某个设备转发一个分组时，我们说该设备是该分组的路由器，或者说该设备路由了该分组.Traceroute工作时，首批发的探测分组（每批3个）的TTL字段为1.经后逐批增加1，真到探测到目标系统为止.第批探测分组依次探测到目标系统的路径上的一跳.按照分组与路由器的关系，除最后一跳即目的系统外，其余各跳都是探测分组的路由器.作为探测分组的路由器，它们将途径的每个探测分组的TTL字段减1.把TTL字段减为0的那台路由器丢弃相应的探测分组.并返回一个ICMP超时信息.Traceroute据此探测出除后一跳外的其余各跳.如果到达目的的系统的探测分组是UDP分组，那么只要目的系统不在监听该分组的端口，它就返回一个ICMP端口不可达消息.如果探测分组是ICMP回射请求分组，那么目的系统必然返回一个ICMP回射应答分组.Traceroute就是据此探测下一跳的.对于图形界面爱好者来说，可以用Neotrace进行路径跟踪.例如下面，用同一个网址来比较一下：这个工具可以方便、直观地表现网络路径.而且可以看出网络中的主节点，侞图中的便是一个中国教育网沈阳的主节点.B很显然是北京的教育网主节点了.下面还有这个软件一个说明Genericnode：普通节点.NET：互连网中的网关，或主干.EDU：█教育机构.对策：挫败网络勘察有很多程序可以检测这种类型的网络勘察.可以记录外来的traceroute请求，并产生虚假的应答.最后一个措施是把边界路由器配置成限制ICMP和UDP分组到特定的系统，从而最大限度降低暴露程度，这得取决于所在站点的具体安全规范.●小结：要把因为自己在因特网上的存在而泄露的信息类型减少到最小，并实现时时警惕着的监视措施.5．嗅探(sniff)：如果对方主机和自己在同一个局域网内，或你已经控制了对方局域网中的某台机器时，嗅探是一种简单有效的方法.你可以用一个嗅探软件，轻易地得到你想要的一切信息，包括一些重要的，如EMAIL密码、用户名、密码等.SNIFF原理解析：关于在网络上采用SNIFF来获取敏感信息已经不是什么新鲜事.那么，SNIFF究竟是什么呢？SNIFF就是嗅探器，就是窃听器，SNIFF静悄悄的工作在网络的底层，把你的秘密全部记录下来.SNIFF就象里面精巧的窃听器一样，让你防不胜防.

SNIFF可以是软件，也可以是硬件，既然是软件那就要分平台，有WINDOWS下的、UNXI下的等，硬件的SNIFF称为网络分析仪，反正不管硬件软件，目标只有一个，就是获取在网络上传输的各种信息.

当你舒适的坐在家里，惬意的享受网络给你带来的便利，收取你的EMAIL，购买你喜欢的物品的时候，你是否会想到你的朋友给你的信件，你的信用卡帐号变成了一个又一个的信息包在网络上不停的传送着，你是否曾经这些信息包会通过网络流入别人的机器呢？你的担忧不是没有道理的，因为SNIFF可以让你的担忧变成实实在在的危险.就好象一个人躲在你身后偷看一样

必要的网络基础知识

（1）TCP/IP体系结构

开放系统互连（OSI）模型将网络划分为七层模型，分别用以在各层上实现不同的功能，这七层分别为：应用层、表示层、会话层、传输层、网络层、数据链路层及物理层.而TCP/IP体系也同样遵循这七层标准，只不过在某些OSI功能上进行了压缩，将表示层及会话层合并入应用层中，所以实际上我们打交道的TCP/IP仅仅有5层而已，网络上的分层结构决定了在各层上的协议分布及功能实现，从而决定了各层上网络设备的使用.实际上很多成功的系统都是基

于OSI模型的，如：帧中继、ATM、ISDN等.TCP/IP的网络体系结构（部分）|SMTP|DNS|HTTP|FTP|TELNET|应用层|TCP|UDP|传输层|IP|ICMP|ARPRARP|网络层|IEEE802以太网SLIP/PPPPDNetc|数据链路层|网卡电缆双绞线etc|物理层从上面的图中我们可以看出，第一层物理层和第二层数据链路层是TCP/IP的基础，而TCP/IP本身并不十分关心低层，因为处在数据链路层的网络设备驱动程序将上层的协议和实际的物理接口隔离开来.网络设备驱动程序位于介质访问子层(MAC).

（2）网络上的设备中继器：中继器的主要功能是终结一个网段的信号并在另一个网段再生该信号，一句话，就是简单的放大而已，工作在物理层上.网桥：网桥使用MAC物理地址实现中继功能，可以用来分隔网段或连接部分异种网络，工作在数据链路层.路由器：路由器使用网络层地址(IP，IPX等)，主要负责数据包的路由寻径，也能处理物理层和数据链路层上的工作.

网关：主要工作在网络第四层以上，主要实现收敛功能及协议转换，不过很多时候网关都被用来描述任何网络互连设备.

（3）TCP/IP与以太网

以太网和TCP/IP可以说是相互相成的，可以说两者的关系几乎是密不可分，以太网在一二层提供物理上的连线，而TCP/IP工作在上层，使用32位的IP地址，以太网则使用48位的MAC地址，两者间使用ARP和RARP协议进行相互转换.从我们上面TCP/IP的模型图中可以清楚的看到两者的关系.载波监听/冲突检测(CSMA/CD)技术被普遍的使用在以太网中，所谓载波监听是指在以太网中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲，如果空闲，就传输自己的数据，如果信道被占用，就等待信道空闲.而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突.以太网采用广播机制，所有与网络连接的工作站都可以看到网络上传递的数据.我们来看看下面的图，一个典型的在以太网中客户与服务器使用TCP/IP协议的通信.用户进程FTP客户<>FTP服务器应用层||

内核中的协议栈TCP<>TCP传输层||

内核中的协议栈IP<>IP网络层||

以太网驱动程序<>以太网驱动程序数据链路层──────SNIFF的原理要知道在以太网中，所有的通讯都是广播的，也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据，而每一个网络接口都有一个唯一的硬件地址，这个硬件地址也就是网卡的MAC地址，大多数系统使用48比特的地址，这个地址用来表示网络中的每一个设备，一般来说每一块网卡上的MAC地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给其生产的每个网卡一个地址.在硬件地址和IP地址间使用ARP和RARP协议进行相互转换.在正常的情况下，一个网络接口应该只响应这样的两种数据帧：1.自己硬件地址相匹配的数据帧.

2.发向所有机器的广播数据帧.

在一个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，网卡内的程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道.CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理.而对于网卡来说一般有四种接收模式：

广播方式：该模式下的网卡能够接收网络中的广播信息.组播方式：设置在该模式下的网卡能够接收组播数据.直接方式：在这种模式下，只有目的网卡才能接收该数据.混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的.首先，我们知道了在以太网中是基于广播方式传送数据的，也就是说，所有的物理信号都要经过我的机器，再次，网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是他.这实际上就是我们SNIFF工作的基本原理：让网卡接收一切他所能接收的数据.（图一）CBCBAA我们来看一个简单的例子，如图所示，机器A、B、C与集线器HUB相连接，集线器HUB通过路由器Router访问外部网络.这是一个很简单也很常见的情况，比如说在公司大楼里，我所在的网络部办公室里的几台机器通过集线器连接，而网络部、开发部、市场部也是同样如此，几个部门的集线器通过路由器连接.还是回到我们的(图一)上来，值得注意的一点是机器A、B、C使用一个普通的HUB连接的，不是用SWITCH，也不是用ROUTER，使用SWITCH和ROUTER的情况要比这复杂得多.我们假设一下机器A上的管理员为了维护机器C，使用了一个FTP命令向机器C进行远程登陆，那么在这个用HUB连接的网络里数据走向过程是这样的.首先机器A上的管理员输入的登陆机器C的FTP口令经过应用层FTP协议、传输层TCP协议、网络层IP协议、数据链路层上的以太网驱动程序一层一层的包裹，最后送到了物理层，我们的网线上.接下来数据帧送到了HUB上，现在由HUB向每一个接点广播由机器A发出的数据帧，机器B接收到由HUB广播发出的数据帧，并检查在数据帧中的地址是否和自己的地址相匹配，发现不是发向自己的后把这数据帧丢弃，不予理睬.而机器C也接收到了数据帧，并在比较之后发现是发现自己的，接下来他就对这数据帧进行分析处理.在上面这个简单的例子中，机器B上的管理员如果很好奇，他很想知道究竟登陆机器C上FTP口令是什么？那么他要做的很简单，仅仅需要把自己机器上的网卡置于混杂模式，并对接收到的数据帧进行分析，从而找到包含在数据帧中的口令信息.下图为在局域网中抓到的一个发向80端口的一个数据包，目的就是为了得到一个网站的回应：Sniffers对策

显而易见的，保护网络不受sniffer监听的方法就是不要让它们进入.如果一个cracker不能通过你的系统进入的话，那么他们无法安装sniffers.我们是有可能防止这个的.但是从发现空前数目的安全漏洞并且大多数公司并没有足够能力来修复以来，crackers开始利用漏洞并安装sniffers.自从crackers看上一个大多数网络通讯流通的中心区域(防火墙或是代理服务器)时，他们便确定这是他们的攻击目标并将被监视.一些可能的"受害者"在服务器的旁边，这时候个人信息将被截获(webserver，smtpsever)一个好的方式来保护你的网络不受sniffer监视是将网络用以太网交换机代替普通的集线器分成尽可能多的段.交换机可以分割你的网络通讯并防止每一个系统"看到"每个信息包.但是这个解决方法的缺点就是太费钱.这种交换机是普通集线器价钱的几倍，但是它值这么多.交换机可以设置VLAN（虚拟局域网）在同一个VLAN中的计算机可以通信，而不在同一个VLAN中的计算机虽然连在同一个交换机上，并且可能相距很近但却无法通信.这就是因为交换机有控制功能.在交换机中有一个标识VLAN的标致叫TRUCK，交换机就是通过它知道数据该发到哪个端口上的.另外，交换机能够划分冲突域，但注意的是，它的所有端口都在同一个广播域中.另一个方法是，和那种接线器比就是加密术.Sniffer依然可以监视到信息的传送，但是显示的是乱码.一些加密术的缺点是速度问题和使用一个弱加密术比较容易被攻破.几乎所有的加密术将导致网络的延迟.加密术越强，网络沟通速度就越慢.系统管理员和用户需要在某个地方折中一下.有一些加密总是比没有加密要好的多.如果一个crakcer正在你的网络上运行sniffer并发现所有他/她收集的资料都是乱码，那么大多数会转移到其他的没有使用加密术的站点上.但是一份支票或是一个决心，hacker将会破解一个弱加密术标准.所以要变的聪明和提供一个强有力的加密术.二．扫描1）PING扫射映射出一个真实网络的最基本步骤之一是在某个IP地址和网络块范围内执行一轮自动的PING扫射，以此确定某个具体系统是否存活着.传统意义上PING用于向某个目标系统发送ICMP回射请求（echorequest）分组（ICMP类型为8）.并期待由此改发的表明目标系统存活着的回射应答（echoreply）分组（ICMP类型为0）.可能的话尽量避免对广播地址的PING，因为如果有许多系统同时响应的话，这么做可能导致拒绝服务（DoS）条件.无论是UNIX还是WINDOWS下都有很多PING工具.其中也有很多速度快的.如WINDOWS下的PINGSWEEP.PINGSWEEP能够这么快的原因在于允指定分组发送之间的延迟时间.把该值定为0或者说的话，不到7秒钟就能扫描一整个C类网络并解析出主机名.不过使用这些工具时需要小心，它们发出的分组很轻易就能塞满128K的链路.要是目标站点阻塞ICMP分组，情况又怎么样呢？碰上在其边界路由器或防火墙上阻塞ICMP分组流通的有安全意识的站点并不新鲜.尽管ICMP分组可能被阻塞，其它的方法还是很多的，不过与正常的PING扫射相比，它们在准确性和效率上有些不如.而在ICMP分组的流通被阻塞时，端口扫描是用于确定活动主机的首选技巧.下面用一个IPSCAN软件演示一下PING扫射：如图，绿色的显示的IP为网络中的活动主机，用这个软件可以了解在一个C类网段中活动的主机数，但其结果可能由于某些机器有防火墙等原因而使某些活动主机不被发现.█PING扫射对策：A．检测:通过PING扫射执行网络映射是在真正发起攻击前勘测网络的有效方法.因此，检测PING扫射活动对于掌握具体攻击的可能发生时刻及其发动者至关重要.很多软件和防火墙可以检测并记录PING扫射.如果你开始看到来自某个系统或网络的ICMP回射请求分组的确定模式，那么它可能指示有人在对你的站点执行网络勘察.密切留意这种活动，因为一次全规模的攻击可能迫在眉睫.B.预防:尽管PING扫射活动的检测至关紧要，注射一剂预防针的效果却更佳.建议仔细评价允许进入自己的网络的ICMP分组类型.ICMP分组许多种类型，回射请求和回射应答只是其中的两种.大多数站点并不需要所有类型的ICMP分组都能通达直接连到因特网上的所有系统.尽管几乎任何防火墙都能过滤掉ICMP分组，但是机构本身的需要可能要求防火墙放行某些ICMP分组.如果确实存在这种需要，那就仔细考虑放行哪些类型的ICMP分组.一个最简单的做法是只允许ICMP应答，主机不可达（hostunreachable）和超时分组从外部进入网络.有必要介绍一个ICMP协议.ICMP的全称是InternetControlMessageProtocol（网间报文控制协议），它是IP不可分割的一部分，用来提供错误报告.一旦发现各种错误类型就将其返回原主机，我们平时最常见的ping命令就是基于ICMP的.

|

||

|ICMPECHOrequest|

||HOST|>|HOST||

||A|<|B||

|||如果存活或者没有过滤|||

|将返回ICMPRCHOREPLY|

||

这种机制就是我们通常所用的ping命令来检测目标主机是否可以ping到.

ICMP的统计信息包含收发的各种类型的ICMP报文的计数以及收发错误报文的计数.

显示说明

Message消息

Errors错误消息

DestinationUnreachable目标不可到达消息

TimeExceeded超时消息

ParameterProblems参数错误消息

SourceQuenchs源抑制消息

Redirecrs重定向消息

EchosEcho消息

EchoRepliesEcho响应消息

Timestamps时间戳消息

TimestampReplies时间戳响应消息

AddressMasks地址掩码请求消息

AddressMaskReplies地址掩码响应消息路由器询问和通告10或9路由器询问和通告10或9地址掩码请求或回答17或18时间戳请求或回答13或14回送请求或回答8或0查询报文改变路由5参数问题12时间超过11源站抑制4目的站不可达3差所报告报文报文类型种类•源站抑制：源站抑制报文通知源站，由于拥塞在路由器或目的主机中已经丢弃了数据报.源站必须放慢数据报的发送，直到拥塞程度减轻为止.•时间超过： 当路由器收到一个生存时间字段的值为0的数据报时，就丢弃此数据报，并向源站发送时间超过报文. 当一个分组的第一个分片到达时，目的主机就启动计时器.当在规定的时间内没有收到分组的所有分片时，它就丢弃已收到的分片，并向源站发送时间超过报文.•回送请求和回答：主机或路由器可以发送回送请求报文，收到回送请求报文的主机或路由器发送回送回答报文.用回送请求和回送回答报文可测试一个主机的可达性，通常是调用ping命令来这样做的•时间戳请求和回答：两个主机或路由器可使用时间戳请求和回答报文来确定IP数据报在这两个机器之间来往所需的往返时间，也可用作两个机器中时钟的同步.•地址掩码请求和回答•路由器询问和通告ICMP查询向某个系统发送ICMP类型为13的消息即时间戳（timestamp）分组，你就能请求返回该系统的时间（目的是查看该系统所在的时区）.改用ICMP类型为17的消息即地址掩码请求（addressmaskrequest）分组，则能请求返回某个设备的子网掩码.知道网络的子网掩码很重要，因为可以据此确定用到的所有子网.有了关于子网的信息后，你就可以只攻击特定的子网，并避免撞上广播地址.但不是所有路由器/主机系统都允许响应ICMP时间戳或子网掩码请求分组，因此用这两种查询的结果可能得不到任何信息.■ICMP查询的对策最好是预防办法是在自己的边界路由器上阻塞泄漏信息的ICMP分组类型.最小限度应该限制ICMP时间戳（类型为13）和地址掩码请求（类型为17）分组进入自己的网络中.下面是Cisco路由器中的ACL规则：access-list101denyicmpanyany13！timestamprequestaccess-list101denyicmpanyany17!addressmaskrequest

端口扫描一个端口就是一个潜在的通信通道，也就是一个入侵通道.对目标计算机进行端口扫描，能得到许多有用的信息.进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行.

在手工进行扫描时，需要熟悉各种命令.对命令执行后的输出进行分析.用扫描软件进行扫描时，许多扫描器软件都有分析数据的功能.

通过端口扫描，可以得到许多有用的信息，从而发现系统的安全漏洞.

什么是扫描器？

扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器你可一不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本！这就能让我们间接的或直观的了解到远程主机所存在的安全问题.

工作原理

扫描器通过选用远程TCP/IP不同的端口的服务，并记录目标给予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息（比如：是否能用匿名登陆！是否有可写的FTP目录，是否能用TELNET，HTTPD是用ROOT还是nobady在跑！）

扫描器能干什么？

扫描器并不是一个直接的攻击网络漏洞的程序，它仅仅能帮助我们发现目标机的某些内在的弱点.一个好的扫描器能对它得到的数据进行分析，帮助我们查找目标主机的漏洞.但它不会提供进入一个系统的详细步骤.

扫描器应该有三项功能：发现一个主机或网络的能力；一旦发现一台主机，有发现什么服务正运行在这台主机上的能力；通过测试这些服务，发现漏洞的能力.

编写扫描器程序必须要很多TCP/IP程序编写和C，Perl和或SHELL语言的知识.需要一些Socket编程的背景，一种在开发客户/服务应用程序的方法.开发一个扫描器是一个雄心勃勃的项目，通常能使程序员感到很满意.常用的端口扫描技术

TCPconnect扫描

这是最基本的TCP扫描.操作系统提供的connect()系统调用，用来与每一个感兴趣的目标计算机的端口进行连接.如果端口处于侦听状态，那么connect()就能成功.否则，这个端口是不能用的，即没有提供服务.这个技术的一个最大的优点是，你不需要任何权限.系统中的任何用户都有权利使用这个调用.另一个好处就是速度.如果对每个目标端口以线性的方式，使用单独的connect()调用，那么将会花费相当长的时间，你可以通过同时打开多个套接字，从而加速扫描.使用非阻塞I/O允许你设置一个低的时间用尽周期，同时观察多个套接字.但这种方法的缺点是很容易被发觉，并且被过滤掉.目标计算机的logs文件会显示一连串的连接和连接是出错的服务消息，并且能很快的使它关闭.

TCPSYN扫描

这种技术通常认为是“半开放”扫描，这是因为扫描程序不必要打开一个完全的TCP连接.扫描程序发送的是一个SYN数据包，好象准备打开一个实际的连接并等待反应一样（参考TCP的三次握手建立一个TCP连接的过程）.一个SYN|ACK的返回信息表示端口处于侦听状态.一个RST返回，表示端口没有处于侦听态.如果收到一个SYN|ACK，则扫描程序必须再发送一个RST信号，来关闭这个连接过程.这种扫描技术的优点在于一般不会在目标计算机上留下记录.但这种方法的一个缺点是，必须要有root权限才能建立自己的SYN数据包.

TCPFIN扫描

有的时候有可能SYN扫描都不够秘密.一些防火墙和包过滤器会对一些指定的端口进行监视，有的程序能检测到这些扫描.相反，FIN数据包可能会没有任何麻烦的通过.这种扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包.另一方面，打开的端口会忽略对FIN数据包的回复.这种方法和系统的实现有一定的关系.有的系统不管端口是否打开，都回复RST，这样，这种扫描方法就不适用了.并且这种方法在区分Unix和NT时，是十分有用的.

IP段扫描

这种不能算是新方法，只是其它技术的变化.它并不是直接发送TCP探测数据包，是将数据包分成两个较小的IP段.这样就将一个TCP头分成好几个数据包，从而过滤器就很难探测到.

TCP反向ident扫描

ident协议允许(rfc1413)看到通过TCP连接的任何进程的拥有者的用户名，即使这个连接不是由这个进程开始的.因此你能，举个例子，连接到http端口，然后用identd来发现服务器是否正在以root权限运行.这种方法只能在和目标端口建立了一个完整的TCP连接后才能看到.

FTP返回攻击

FTP协议的一个有趣的特点是它支持代理（proxy）FTP连接.即入侵者可以从自己的计算机和目标主机的FTPserver-PI(协议解释器)连接，建立一个控制通信连接.然后，请求这个server-PI激活一个有效的server-DTP(数据传输进程)来给Internet上任何地方发送文件.对于一个User-DTP，这是个推测，尽管RFC明确地定义请求一个服务器发送文件到另一个服务器是可以的.但现在这个方法好象不行了.这个协议的缺点是“能用来发送不能跟踪的邮件和新闻，给许多服务器造成打击，用尽磁盘，企图越过防火墙”.

我们利用这个的目的是从一个代理的FTP服务器来扫描TCP端口.这样，你能在一个防火墙后面连接到一个FTP服务器，然后扫描端口（这些原来有可能被阻塞）.如果FTP服务器允许从一个目录读写数据，你就能发送任意的数据到发现的打开的端口.

对于端口扫描，这个技术是使用PORT命令来表示被动的UserDTP正在目标计算机上的某个端口侦听.然后入侵者试图用LIST命令列出当前目录，结果通过Server-DTP发送出去.如果目标主机正在某个端口侦听，传输就会成功（产生一个150或226的回应）.否则，会出现"425Can'tbuilddataconnection:Connectionrefused.".然后，使用另一个PORT命令，尝试目标计算机上的下一个端口.这种方法的优点很明显，难以跟踪，能穿过防火墙.主要缺点是速度很慢，有的FTP服务器最终能得到一些线索，关闭代理功能.

UDPICMP端口不能到达扫描

这种方法与上面几种方法的不同之处在于使用的是UDP协议.由于这个协议很简单，所以扫描变得相对比较困难.这是由于打开的端口对扫描探测并不发送一个确认，关闭的端口也并不需要发送一个错误数据包.幸运的是，许多主机在你向一个未打开的UDP端口发送一个数据包时，会返回一个ICMP_PORT_UNREACH错误.这样你就能发现哪个端口是关闭的.UDP和ICMP错误都不保证能到达，因此这种扫描器必须还实现在一个包看上去是丢失的时候能重新传输.这种扫描方法是很慢的，因为RFC对ICMP错误消息的产生速率做了规定.如果打算在因特网上执行UDP扫描，那就准备好接受不可靠的结果.

UDPrecvfrom()和write()扫描

当非root用户不能直接读到端口不能到达错误时，Linux能间接地在它们到达时通知用户.比如，对一个关闭的端口的第二个write()调用将失败.在非阻塞的UDP套接字上调用recvfrom()时，如果ICMP出错还没有到达时回返回EAGAIN-重试.如果ICMP到达时，返回ECONNREFUSED-连接被拒绝.这就是用来查看端口是否打开的技术.

ICMPecho扫描

这并不是真正意义上的扫描.但有时通过ping，在判断在一个网络上主机是否开机时非常有用.

下面用一个SuperScan的端口扫描软件来测试一下.下面是扫描的结果：*+ |___21FileTransferProtocol[Control] |___220FTPserver(Versionwu-2.6.0(1)MonFeb2810:30:36EST2000))ready... |___25SimpleMailTransfer |___80WorldWideWebHTTP |___HTTP/1.1200OK..Date:Sun，28Apr200204:48:22GMT..Server:Apache/1.3.12(Unix)(RedHat/Linux)PHP/4.0.2mod_perl/1.21..La |___110PostOfficeProtocol-Version3 |___+OKPOP3v7.64serverready..*-*-[Unknown]*-0[Unknown]*-7[Unknown]*-9*+2[Unknown] |___80WorldWideWebHTTP |___HTTP/1.1404Server:Microsoft-IIS/4.0..Date:Sun，28Apr200204:55:20GMT..Content-Length:385..Content-Type:tex*-3[Unknown]*-4[Unknown]*+4[Unknown] |___21FileTransferProtocol[Control] |___220szjMicrosoftFTPService(Version5.0)... |___25SimpleMailTransfer |___220MicrosoftESMTPMAILService，Version:5.0.2172.1readyatSun，28Apr200212:53:18+0800.. |___80WorldWideWebHTTP |___HTTP/1.1200OK..Server:Microsoft-IIS/5.0..Date:Sun，28Apr200204:53:20GMT..Connection:Keep-Alive..Content-Length:1282.. |___119NetworkNewsTransferProtocol |___200NNTPService5.00.0984Version:5.0.2159.1PostingAllowed..*-5[Unknown]*-4[Unknown]*+8[Unknown] |___21FileTransferProtocol[Control] |___220XSCSERVERMicrosoftFTPService(Version5.0)... |___25SimpleMailTransfer |___220XSCSERVER.xsc.lnccMicrosoftESMTPMAILService，Version:5.0.2172.1readyatSun，28Apr200213:01:11+0800.. |___80WorldWideWebHTTP |___HTTP/1.1200OK..Server:Microsoft-IIS/5.0..Date:Sun，28Apr200205:01:11GMT..Connection:Keep-Alive..Content-Length:1177..*-9[Unknown]*-0[Unknown]*+5 |___21FileTransferProtocol[Control] |___220jsjxMicrosoftFTPService(Version5.0)... |___25SimpleMailTransfer |___220ESMTPonEasyMail[]ready... |___80WorldWideWebHTTP |___HTTP/1.1200OK..Server:Microsoft-IIS/5.0..Date:Sun，28Apr200204:56:28GMT..Connection:Keep-Alive..Content-Length:13162. |___110PostOfficeProtocol-Version3 |___+OKPOP3onEasyMail[]ready... |___119NetworkNewsTransferProtocol |___200NNTPService5.00.0984Version:5.0.2195.1608PostingAllowed..*-8[Unknown]*+20[Unknown] |___21FileTransferProtocol[Control] |___25SimpleMailTransfer |___220ZXFWQ.MicrosoftESMTPMAILService，Version:5.0.2172.1readyatSun，28Apr200212:55:45+0800.. |___80WorldWideWebHTTP |___119NetworkNewsTransferProtocol |___200NNTPService5.00.0984Version:5.0.2159.1PostingAllowed..*-31[Unknown]*+90[Unknown] |___80WorldWideWebHTTP |___HTTP/1.1302Objectmoved..Server:Microsoft-IIS/4.0..Date:Sun，28Apr200205:02:35GMT..Location:/IISSamples/Default/welcom*-98[Unknown]*-00[Unknown]*-12abc*-20[Unknown]*-35[Unknown]*-46[Unknown]*-48[Unknown]*+50 |___80WorldWideWebHTTP |___HTTP/1.0200OK..Pragma:no-cache..Content-type:text/html<HTML><HEAD><TITLE>AccessDenied</TITLE></HEAD>..<BODY><H1>Access*-52其中后有[Unknown]，是安有防火墙的机器，只能确定机器在网络中活动着，但没有更具体的信息.还有一个功能十分强大的工具，它是一个集成的一个综合工具.SolarWinds公司出的Networkmanagementtools.其中的IPBROWSER大家能听说过吧.它以快速的扫射，功能的强大，被广泛地使用着.■端口扫描对策检测：攻击者们通常使用端口扫描来确定远程系统上监听着的TCP和UDP端口.检测端口扫描对于搞清某次攻击可能在何时发生以及何人发起是首要的.有很多用于检测端口扫描的工具，如SNORT（）可以检测端口若悬企图.预防：虽然难以防止别人对你的系统发起端口扫描这样的探测，通过禁止所有不必要的服务却可以把自己的暴露程度降到最低.对于WINDOWS2000应该禁止所有不必要的服务.因为用默认方式安装时有很多无用的服务被默认开启了，当你认为你的主机很安全的同时，可能你的主机中的用户中正多了一个系统管理员.操作系统检测我们执行端口扫描的第一个目的是标识目标系统上监听着的TCP和UDP端口.第二个目的就是确定所扫描系统的操作系统类型.也可以从诸如FTP（文件传输协议）、Telnet（远程登陆）、SMTP（简单邮件传输协议）、HTTP（超文本传输协议）、POP（邮件传输协议）等服务中取得信息.如，WINDOWS2000的WEB服务为IIS5.0、WINDOWSNT的WEB服务为IIS4.0、LINUX的WEB服务为apach.我们能够处置的两个最精确的工具是万能的NMAP，它们都提供了TCP协议栈指纹鉴别能力.协议栈指纹鉴别是一个极其强大的技术，能够以很高的概率迅速确定每台主机的操作系统.从原理上讲，不同厂家的IP协议栈实现之间存在许多细微差别，也就是说各个厂家在编写自己的TCP/IP协议栈时，通常对特定的RFC指南作出不同的解释.因此通过探测这些差异，我们就能对目标系统所用的准确操作系统明智地加以猜测.为达到最大的可靠性，协议栈指纹鉴别通常要求目标系统至少有一个鉴听着的端口.即使没有端口打开着，nmap也能明智地猜测所用的操作系统，不过其准确度会相当低.FIN探测分组往某个打开着的端口发送一个FIN分组.按照RFC793，正确的行为是不作响应；然而许多协议栈的实现（例如在WINDOWS上）会响应一个FIN/ACK分组.假标志探测分在某个SYN分组的TCP头部设置一个未定义过的TCP标志.某些操作系统（例如LINUX）会在其响应分节中也设置该标志.初始序列号采样其基本前提是找出TCP实现中在响应一个连接请求时所选择的初始序列号中存在的模式.“不要分片位”监视某些操作系统会设置IP头部的“不要分片位”以改善性能.监视该位可以判定目标系统是否属于表现出这种行为的操作系统.TCP初始窗口大小跟踪返送分组上设置的初始窗口大小.就某些协议栈实现来说，这个大小是独特的，可极大地增强指纹鉴别机制的准确度.ACK值不同IP协议栈实现在ACK分组序列号值的选择上也存在差异，有些实现发送回所确认TCP分组的序列号，其他实现则发送回所确认TCP分组的序列号加1.ICMP出错消息抑制有些操作系统会遵循RFC1812（/rfc/rfc1812.txt）限制发送ICMP出错消息的速率.通过往某个随机选定的高编号端口发送UDP分组，有可能统计出在某个给定时间段内接收到的不可达出错消息的数目.ICMP消息引用当碰到需发送ICMP出错消息的情况时，不同操作系统在引用网络分组的信息量上存在差异.通过检查所引用的消息，有可能就目标操作系统作出些假设.ICMP出错消息回射完整性 某些协议栈实现在发送回ICMP出错消息时会修改所引用的IP头部.通过检查对IP头部所作的改动类型，有可能就目标操作系统作出些假设.服务类型 就“ICMPportunreachable(ICMP端口不可达)“消息检查其TOS字段.大多数协议栈实现使用0，但也可能有变化.片段处理 不同的协议栈实现在对重叠的片段的处理上存在差异.在重组各个片段时，有些协议栈实现会用后到的新数据覆写先到的旧数据，或者相反.通过检查目标系统如何重组探测分组，有可能就目标操作系统作出些假设.TCP选项 TC选项由RFC793和更新的RFC1323（/rfc/rfc1323.txt）定义.由RFC1323定义的较高级的选项往往在最新的各个协议栈实现中加入.通过发送设置了多个选取项的TCP分组.有可能就目标操作系统作出些假设.TCP选项的例子有：无操作、最大段大小、窗口规模因子、时间戳等.■操作系统检对策检测：通过端口扫描检测工具可用来监视操作系统检测活动.能检测具有特定选项的扫描，譬如说设置了SYN标志.预防：通过修改操作系统源代码或改动某个操作系统参数来达到改变单个独特的协议栈指纹特征的目的是可能是；然而这么做可能对操作系统的功能造成不利的影响.被动协议栈指纹鉴别被动协议栈指纹与主动协议栈指纹很相似，但是，它不是向目标系统发送分组，攻击者只是被动地监测网络通信，以确定所用的操作系统.因此，通监控不同系统之间网络包的情况，，主可以确定网络上的操作系统.被动签名：有各种不同的签名可用于标识一个操作系统，不过，我们只将讨论集中在几个和TCP/IP会话有关的属性上：■TTL操作系统对外出包的TTL（Time–to–Live）设置是什么？■窗口大小操作系统设置的窗口大小是什么？■DF操作系统设置了“Don’tFragment”（不分片）位吗？■TOS操作系统是否设置了服务类型，如果有，是什么？通过被动地分析每种属性，并将结果与已知的属性库进行比较，就可以决定远程操作系统.当然这种方法并不能保证每次有正确的回答，但如果各个属性组起来，结果就相对可靠得多.例：PING命令来检查要到达的目标IP地址并记录结果.ping命令显示目标是否响应以及接收答复所需的时间.如果在传递到目标过程中有错误，ping命令将显示错误消息.ICMPECHO(Type8)和ECHOReply(Type0)我们使用一个ICMPECHO数据包来探测主机地址HOSTB是否存活（当然在主机没有被配置为过滤ICMP形式）通过简单的发送一个ICMPECHO(Type8)数据包到目标主机如果ICMPECHOReply(ICMPtype0)数据包HOSTA可以接受到，说明主机是存活状态.如果没有就可以初步判断主机没有在线或者使用了某些过滤设备过滤了ICMP的REPLY.

++

||

|++++|

|||ICMPEchoRequest|||

||HOST|>|HOST||

||||||

||A||B||

|||<|||

|||ICMPEchoReply|||

|++++|

||

++

这种机制就是我们通常所用的ping命令来检测目标主机是否可以ping到.

典型的例子

C:\>ping

Pingingwith32bytesofdata:

Replyfrom:bytes=32time<10msTTL=128

Replyfrom:bytes=32time<10msTTL=128

Replyfrom:bytes=32time<10msTTL=128

Replyfrom:bytes=32time<10msTTL=128

Pingstatisticsfor:

Packets:Sent=4，Received=4，Lost=0(0%loss)，

Approximateroundtriptimesinmilli-seconds:

Minimum=0ms，Maximum=0ms，Average=0ms

二、注意TTL

TTL：生存时间

指定数据报被路由器丢弃之前允许通过的网段数量.

TTL是由发送主机设置的，以防止数据包不断在IP互联网络上永不终止地循环.转发IP数据包时，要求路由器至少将TTL减小1.

使用PING时涉及到的ICMP报文类型

一个为ICMP请求回显（ICMPEchoRequest）

一个为ICMP回显应答（ICMPEchoReply）

三、TTL字段值可以帮助我们识别操作系统类型.

UNIX及类UNIX操作系统ICMP回显应答的TTL字段值为255

CompaqTru645.0ICMP回显应答的TTL字段值为64

微软WindowsNT/2K操作系统ICMP回显应答的TTL字段值为128

微软Windows95操作系统ICMP回显应答的TTL字段值为32

当然，返回的TTL值是相同的

但有些情况下有所特殊

LINUXKernel2.2.x&2.4.xICMP回显应答的TTL字段值为64

FreeBSD4.1，4.0，3.4;

SunSolaris2.5.1，2.6，2.7，2.8;

OpenBSD2.6，2.7，

NetBSD

HPUX10.20

ICMP回显应答的TTL字段值为255

Windows95/98/98SE

WindowsME

ICMP回显应答的TTL字段值为32

WindowsNT4WRKS

WindowsNT4Server

Windows2000

ICMP回显应答的TTL字段值为128

这样，我们就可以通过这种方法来辨别

操作系统TTL

LINUX64

WIN2K/NT128

WINDOWS系列32

UNIX系列255

经过测试的操作系统如下:

LINUXKernel2.2.x，Kernel2.4t1-6;FreeBSD4.1，4.0，3.4;OpenBSD2.7，2.6;NetBSD

1.4.2;SunSolaris2.5.1，2.6，2.7，2.8;HP-UX10.20，11.0;AIX4.1，3.2;Compaq

Tru645.0;Irix6.5.3，6.5.8;BSDIBSD/OS4.0，3.1;Ultrix4.2-4.5;OpenVMS7.1-2;

Windows95/98/98SE/ME;WindowsNT4WorkstationSP3，SP4，SP6a;WindowsNT4

ServerSP4;Windows2000Professional，Server，AdvancedServer.

ICMP报文的类型包括如下：

ECHO(Request(Type8)，Reply(Type0))--回显应答，

TimeStamp(Request(Type13)，Reply(Type14))--时间戳请求和应答，

Information(Request(Type15)，Reply(Type16))--信息请求和应答，

AddressMask(Request(Type17)，Reply(Type18))--地址掩码请求和应答等

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

附:转到20cn之前，再加点吧，都是copy别人的，侵犯版权的话一定要和MM说哦

首先要提一下TTL到底是什么东西，有的初学者可能不知道TTL是什么，大虾们对不住了.

TTL（生存时间）

TTL是IP协议包中的一个值，它告诉网络路由器包在网络中的时间是否太长而应被丢弃.有很多原因使包在一定时间内不能被传递到目的地.例如，不正确的路由表可能导致包的无限循环.一个解决方法就是在一段时间后丢弃这个包，然后给发送者一个报文，由发送者决定是否要重发.TTL的初值通常是系统缺省值，是包头中的8位的域.TTL的最初设想是确定一个时间范围，超过此时间就把包丢弃.由于每个路由器都至少要把TTL域减一，TTL通常表示包在被丢弃前最多能经过的路由器个数.当记数到0时，路由器决定丢弃该包，并发送一个ICMP报文给最初的发送者.

Windows95/98中TTL的缺省值为32.有人建议当到达一个节点比较困难时，把此值设为128.ping和tracerouter都使用TTL值以尝试到达给定的主机或跟踪到那个主机的路由.traceroute把包的TTL值设得较小，使它在到达目的的路上被各个路由器连续的丢弃.发出包到受到返回的ICMP报文之间的时间用来计算从一个路由器到另一个路由器的时间.

使用多路复用的IP协议，TTL值表示一个包被转发的范围.有以下转换：0，限制在同一主机1，限制在同一子网32，限制在同一节点64，限制在同一区域（region）128，限制在同一大陆（continent）255，

一般ping出来的TTL值不完全都是以上文章所提的数字，对这个还有很多争议，有一种说法就是:

TTL=244的时候就是说你发一个数据到你PING的地址只间要通过11个路游器.如果TTL=126的话就是中间要通过2个路游器

如果接近255的话就是UNIX系统

如果接近128的话就是WINDOWS系统

仅供参考，我觉得从理论上说是正确的，还是请大家自己思考.再加一句，TTL值是可以修改的.

■被动操作系统检测对策与操作系统检测对策同.四、自动发现工具有助于网络发现的可用工具已有不少，而且还在不断涌现.■自动发现工具对策检测这些攻击的同样技巧的同样技巧也适用于检测自动工具的发现活动.三．查点假设一开始的目标探测和非入侵性勘察没有找到任何真接的入侵路途，攻击者就会转向标识有效的用户账号或保护不当的共享资历源.从系统中抽取有效的账号或导出资源名过程称为查点（enumeration）.攻击者查眯的信息类型大体上可归为以下几类：a.网络资源和共享资源b.用户和用户组c.服务器程序及其旗标下面介绍一下win2000的查点：a.空会话：windowsNT/2000有一个致命弱点，即它对CIFS/SMB和NetBIOS的缺省信赖.CIFS/SMB和平共处NetBIOS标准包括了一些API，这些API通过TCP端口139可以返回机器的大量信息，基至把这些信息返回给未认证的用户.假设通过前面的端口扫描已经知道TCP端口139正在监听，那么远程访问这些API的第一步是通过所谓的“空会话”命令在一个未经过认证的用户和一个NT/2000系统之间创建连接.Netuse\\3\ICP$””/u:““这条命令的意思是连接IP地址为3的隐藏的内部处理的通信者”share“(IPC$)，把它作为内置的匿名用户（/u:“”），密码为空.如果连接成功，攻击者就拥有了一条开放通道，通过这条通道，攻击者可以尝试各种技术并尽可能地掠夺信息：网络信息、共享资源、用户、群组、注册表等.空会话的对策：选中网络连接小应用程序的高级TCP/IP设置的WINS标签的DisableNetBIOSOverTCP/IP选项即可.b.NT/2000网络资源查点：1．利用netview查点NT/2000域netview命令是一个很好的内部创建的查点工具，也是一种非常简单的NT/2000命令行实用工具，它列出了网络上可使用的域和域中的所有机器.如图2．使用nbtstat命令转储NetBIOS名字表另一个很好的嵌入工具是nbtstat，它可以提取远程系统的NetBIOS名字表.名字表中包括了很多信息.如图表格SEQ表格\*ARABIC2NetBIOS代码来源<computername>[00]WorkstationService<domainname>[00]DomainName<computername>[03]MessengerService(formessagessenttothiscomputer)<username>[00]MessengerService(formessagessenttothisuser)<computername>[20]ServerService<domainname>[1D]MasterBrowser<domainname>[1E]BrowserServiceElections<domainname>[1B]DomainMasterBrowserNetBIOS查点对策：最好的方法是在路由器，防火墙或其他网络关口进行阻塞.c.NT/2000SMMP查点即使你很严格的限制了对NetBIOS服务的访问，如果你的NT/2000系统上的简单网络管理协议（SNMP）代理可以通过缺省的公共串（例如：public）访问，那么敏感信息仍然可能被泄露.如图第二部分攻击系统一、攻击win98由于win98是为个人用户设计的，它几乎没有提供什么网络服务（除了PWS）.所以这也给想占有win98的人增加了难度，再则，作为一个个人系统，里面的内容当然也不值得黑客们去费力地破解.占有win98有两种方法：一、欺骗该系统的操作员执行他们期望的代码；二、要么物理上接触该系统的控制台.Win98提供三个直接访问远程系统的机制：文件和打印共享、可选的拨号服务以及远程注册表操纵.其中的远程注册表访问要求相当高级的定制和用户级安全，因而在目标公司局域网以外的系统上很少能做到.攻击Windows98文件和打印共享：可能用来扫描网络以发现windows硬盘共享资源的一些工具和技巧，并指出其中一些具有在潜在入口点尝试猜测密码的能力.有一个Legion的工具.该工具能以在某个文本文件中提供的密码试猜，并自动映射猜对的密码.攻击者可能造成的危害取决于当前已共享的目录.这些目录上可能有关键的文件，有些用户甚至可能把整个根分区都共享了，从而给攻击者带来方便.他们能够简单地把目的不正当的可执行文件植入%systemroot%\StartMenu\Programs\Startup中.到下一次重启系统时，这些代码就会自动加载执行.文件共享攻击对策：解决这个问题很容易，把win98机器上的文件共享属性关掉就行.建议使用系统策略编辑器(poledit.exe)跨所有系统禁止文件和打打印共享属性.Win98拒绝服务：拒绝服务型攻击是几近绝望的破坏者的最后一招：有能力发送病态地构造的网络分组，导致win98系统崩溃的程序非常之多.如：WinNuke.这些工具很轻松的让你的win98蓝屏、死机、重启.拒绝服务对策：建议安装一个个人防火墙.内存中的win98密码：加密过的win98密码清单即PWL文件可在系统根目录下找到（通常为C：\Windows）.这些文件按该系统上每个用户的初始定制文件命名，因此驱动器A中的软盘上执行如下命令的一个简单批处理文件（BAT文件）可用于攫取大部分PWL文件：copyc:\Windows\*.pwla:PWL文件实际上只是一个用于访问以下网络资源的一个高速缓存的密码清单：由共享级安全机制保护的资源编写成用到密码高速缓存API（应用程序编程接口）的应用程序.没有加入任何NT域的Windows计算机不是PrimaryNetworkLogon的ＷindowsNT登录密码对策：保护ＰＷＬ文件：对于真正关心这个问题的管理员来说，Win98的系统策略编辑器（SystemPolicyEditor）可用来禁止密码高速缓存，办法是把以下ＤＷＯＲＤ类型注册表键他建/设置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching=1二、攻击Win20001．密码猜测有一些简单的工具，可以读出win2000的用户账号，这就大大方便了黑客们的攻击.因为在这个基础上，很容易有目的地对相应账号进行猜测，由于大多数网络管理员的大意，用一些不键壮的宽密码，使黑客们在猜测时准确率很好.以下是一些常见的用户/密码“高频组合”.表格SEQ表格\*ARABIC3用户名密码AdministratorNULL，password，administratoTestTest，passwordLabLab，passwordUsernameUsername，company_nameBackupbackup下面为userinfo.exe获取的一台2000上的用户名：***Alluseraccounts:***Account:Administrator ()#ofLogins:112UserLevel:Administrator (Flags:66049)Primarygroup:DomainUserPasswordage:79daysLastlogon:TueJun0419:08:272002Comment:Groupmemberof:Administrators，Additionalaccountinformations:-PasswordneverExpireAccount:cw1 (jwc)#ofLogins:1UserLevel:NormalUser (Flags:66113)Primarygroup:DomainUserPasswordage:13daysLastlogon:FriMay2413:36:402002Comment:Groupmemberof:Users，Additionalaccountinformations:-Theusercannotchangethepassword.-PasswordneverExpireAccount:cw2 (cw2)#ofLogins:0UserLevel:NormalUser (Flags:66113)Primarygroup:DomainUserPasswordage:95daysLastlogon:FriApr1221:28:462002Comment:Groupmemberof:Users，Additionalaccountinformations:-Theusercannotchangethepassword.-PasswordneverExpireAccount:gaohan (gaohan)#ofLogins:0UserLevel:Administrator (Flags:66113)Primarygroup:DomainUserPasswordage:78daysLastlogon:TueMar0509:32:422002Comment:gaohanlncceducnGroupmemberof:Administrators，Users，Additionalaccountinformations:-Theusercannotchangethepassword.-Pa