网络攻防实战演练PPT

1、计算机网络,傅德谦 2010.9,网络攻防技术or网络侦查与审计技术,3,2020/9/6,网络侦查审计的三个阶段,4,2020/9/6,第一节：侦查阶段,5,2020/9/6,第一节：侦查阶段,本节要点：,描述侦查过程 识别特殊的侦查方法 安装和配置基于网络和基于主机的侦查软件 实施网络级和主机级的安全扫描 配置和实施企业级的网络漏洞扫描器,6,2020/9/6,安全扫描的概念理解,安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。 安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。 安全扫描是保证系统和

2、网络安全必不可少的手段，必须仔细研究利用。,7,2020/9/6,安全扫描的检测技术,基于应用的检测技术，它采用被动的，非破坏性的办法检查应用软件包的设置，发现安全漏洞。 基于主机的检测技术，它采用被动的，非破坏性的办法对系统进行检测。 基于目标的漏洞检测技术，它采用被动的，非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。 基于网络的检测技术，它采用积极的，非破坏性的办法来检验系统是否有可能被攻击崩溃。,8,2020/9/6,安全扫描系统具有的功能说明,协调了其它的安全设备 使枯燥的系统安全信息易于理解，告诉了你系统发生的事情 跟踪用户进入，在系统中的行为和离开的信息 可以报告和识别

3、文件的改动 纠正系统的错误设置,9,2020/9/6,安全扫描,whois nslookup host Traceroute Ping扫描工具,安全扫描常用命令,10,2020/9/6,Traceroute命令,用于路由跟踪，判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间等等 可以推测出网络物理布局 判断出响应较慢的节点和数据包在路由过程中的跳数 Traceroute 或者使用极少被其它程序使用的高端UDP端口，或者使用PING数据包,11,2020/9/6,Traceroute 路由跟踪原理,?TTL-10,A,B,12,2020/9/6,Traceroute 路由跟踪原理,A,B

4、,13,2020/9/6,B,Traceroute 路由跟踪原理,A,?TTL-10,我知道路由器B存在于这个路径上,路由器B的IP地址,14,2020/9/6,B,Traceroute 路由跟踪原理,A,我知道路由器B存在于这个路径上,路由器B的IP地址,我到达了目的地,15,2020/9/6,普通Traceroute到防火墙后的主机,假定防火墙的规则阻止除PING和PING响应（ICMP类型8和0）,uniwistraceroute traceroute to (05), 30 hops max, 40 byte packets 1 (10.0.0.

5、1) 0.540 ms 0.394 ms 0.397 ms 2 () 2.455 ms 2.479 ms 2.512 ms 3 4 (4) 4.812 ms 4.780 ms 4.747 ms 4 () 5.010 ms 4.903 ms 4.980 ms 5 15 (15) 5.520 ms 5.809 ms 6.061 ms 6 6 (15) 9.584 ms

6、 21.754 ms 20.530 ms 7 () 94.127 ms 81.764 ms 96.476 ms 8 6 (6)96.012 ms 98.224 ms 99.312 ms,16,2020/9/6,使用ICMP数据包后Traceroute结果,xuyitraceroute -I traceroute to (05), 30 hops max, 40 byte packets 1 () 0.540 ms 0.394 ms 0.397 ms

7、2 () 2.455 ms 2.479 ms 2.512 ms 3 4 (4) 4.812 ms 4.780 ms 4.747 ms 4 () 5.010 ms 4.903 ms 4.980 ms 5 15 (15) 5.520 ms 5.809 ms 6.061 ms 6 6 (15) 9.584 ms 21.754 ms 20.530 ms 7 202.99.

8、46.7 () 94.127 ms 81.764 ms 96.476 ms 8 6 (6) 96.012 ms 98.224 ms 99.312 ms,17,2020/9/6,使用ICMP的Traceroute原理,由于防火墙一般不进行内容检查，我们可以将探测数据包到达防火墙时端口为其接受的端口，就可以绕过防火墙到达目标主机。 起始端口号计算公式 起始端口号=(目标端口-两机间的跳数*探测数据包数)-1,例：防火墙允许FTP数据包通过，即开放了21号端口,两机间跳数为2 起始端口号（ftp端口两机间的跳数*默认的每轮跳数)1 （

9、212*3）-1 151 14,18,2020/9/6,扫描类型,按照获得结果分类 存活性扫描 端口扫描 系统堆栈扫描 按照攻击者角色分类 主动扫描 被动扫描,19,2020/9/6,一、存活性扫描,发送扫描数据包，等待对方的回应数据包 其最终结果并不一定准确，依赖于网络边界设备的过滤策略 最常用的探测包是ICMP数据包 例如发送方发送ICMP Echo Request，期待对方返回ICMP Echo Reply,20,2020/9/6,Ping扫描作用及工具,子网,6,8,0,2,4

10、,Ping扫描,Ping扫描程序能自动扫描你所指定的IP地址范围,21,2020/9/6,二、端口扫描,端口扫描不仅可以返回IP地址，还可以发现目标系统上活动的UDP和TCP端口,Netscan tools扫描结果,22,2020/9/6,端口扫描技术一览,对SYN分段的回应,对FIN分段的回应,对ACK分段的回应,对Xmas分段的回应,对Null分段的回应,对RST分段的回应,对UDP数据报的回应,23,2020/9/6,端口扫描原理,一个端口就是一个潜在的通信通道，即入侵通道 对目标计算机进行端口扫描，得到有用的信息 扫描的方法：,手工进行扫描 端口扫描软件,24,2020/9/6,OSI

11、 参考模型,Application,25,TCP/IP协议簇,传输层,数据连路层,网络层,物理层,会话层,表示层,应用层,26,2020/9/6,IP协议包头,0,15,16,31,27,2020/9/6,ICMP协议包头,Type(类型),Code（代码）,Checksum（校验和）,ICMP Content,0,7,8,15,16,31,28,2020/9/6,TCP协议包头,Source port (16),Destination port (16),Sequence number (32),Headerlength (4),Acknowledgement number (32),Res

12、erved (6),Code bits (6),Window (16),Checksum (16),Urgent (16),Options (0 or 32 if any),Data (varies),Bit 0,Bit 15,Bit 16,Bit 31,20 bytes,29,2020/9/6,UDP协议包头,Source Port,Length,0,15,16,31,Data,Destination Port,Checksum,30,2020/9/6,TCP三次握手机制,SYN received,主机A：客户端,主机 B：服务端,发送TCP SYN分段 (seq=100 ctl=SYN),

13、31,2020/9/6,TCP连接的终止,主机A：客户端,主机 B：服务端,关闭A到B的连接,关闭B到A的连接,32,2020/9/6,TCP/IP相关问题,一个TCP头包含6个标志位。它们的意义如下所述：,SYN：标志位用来建立连接，让连接双方同步序列号。如果SYN1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接； FIN：表示发送端已经没有数据要求传输了，希望释放连接； RST：用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包； URG：为紧急数据标志。如果它

14、为1，表示本数据包中包含紧急数据。此时紧急数据指针有效； ACK：为确认标志位。如果为1，表示包中的确认号时有效的。否则，包中的确认号无效； PSH：如果置位，接收端应尽快把数据传送给应用层。,33,2020/9/6,大部分TCP/IP遵循的原则(1),34,2020/9/6,大部分TCP/IP遵循的原则(2),35,2020/9/6,大部分TCP/IP遵循的原则(3),36,2020/9/6,大部分TCP/IP遵循的原则(4),37,2020/9/6,大部分TCP/IP遵循的原则(5),38,2020/9/6,大部分TCP/IP遵循的原则(6),39,2020/9/6,端口扫描方式,全TCP

15、连接 TCP SYN 扫描 TCP FIN 扫描 其它TCP扫描方式 UDP扫描 UDP recvfrom（）和write （）扫描 秘密扫描技术 间接扫描,40,2020/9/6,全TCP连接,长期以来TCP端口扫描的基础 扫描主机尝试（使用三次握手）与目的机指定端口建立建立正规的连接 连接由系统调用connect()开始 对于每一个监听端口，connect()会获得成功，否则返回1，表示端口不可访问 很容易被检测出来 Courtney,Gabriel和TCPWrapper监测程序通常用来进行监测。另外，TCPWrapper可以对连接请求进行控制，所以它可以用来阻止来自不明主机的全连接扫描。

16、,41,2020/9/6,TCPSYN扫描,42,2020/9/6,TCPFIN扫描,43,2020/9/6,其他TCP扫描方式,NULL扫描,发送一个没有任何标志位的TCP包，根据RFC 793，如果目标主机的相应端口是关闭的话，应该发送回一个RST数据包,向目标主机发送一个FIN、URG和PUSH分组，根据RFC 793，如果目标主机的相应端口是关闭的，那么应该返回一个RST标志,当一个包含ACK的数据包到达目标主机的监听端口时，数据包被丢弃，同时发送一个RST数据包,ACK扫描,FIN+URG+PUSH（Xmas扫描）,44,2020/9/6,UDP扫描,使用的是UDP协议，扫描变得相对

17、比较困难 打开的端口对扫描探测并不发送一个确认，关闭的端口也并不需要发送一个错误数据包。然而，许多主机在向未打开的UDP端口发送数据包时，会返回一个ICMP_PORT_UNREACHABLE错误，即类型为3、代码为13的ICMP消息 UDP和ICMP错误都不保证能到达，因此这种扫描器必须还实现在一个包看上去是丢失的时候能重新传输 这种扫描方法是很慢的，因为RFC对ICMP错误消息的产生速率做了规定 这种扫描方法需要具有root权限,45,2020/9/6,UDPrecvfrom()和write()扫描,当非root用户不能直接读到端口不能到达错误时，某些系统如Linux能间接地在它们到达时通知

18、用户。,在非阻塞的UDP套接字上调用recvfrom()时，如果ICMP出错还没有到达时回返回AGAIN重试。如果ICMP到达时，返回CONNECT REFUSED连接被拒绝。这就是用来查看端口是否打开的技术。,对一个关闭的端口的第二个write()调用将失败。,46,2020/9/6,秘密扫描技术,不含标准TCP三次握手协议的任何部分，比SYN扫描隐蔽得多 FIN数据包能够通过只监测SYN包的包过滤器 秘密扫描技术使用FIN数据包来探听端口 Xmas和Null扫描秘密扫描的两个变种 Xmas扫描打开FIN，URG和PUSH标记 而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤 秘密扫描通常适用于UNIX目标主机 跟SYN扫描类似，秘密扫描也需要自己构造IP包,47,2020/9/6,间接扫描,利用第三方的IP（欺骗主机）来隐藏真正扫描者的IP 假定参与扫描过程的主机为扫描机，隐藏机，目标机。 扫描机和目标机的角色非常明显。隐藏机是一个非常特殊的角色，在扫描机扫描目的机的时候，它不能发送任何数据包（除了与扫描有关的包）,48,2020/9/6,端口扫描软件,端口扫描器是黑客最常使用的