《安全检测技术》PPT课件.ppt

第7章 安全检测技术 入侵检测技术、信息获取技 术 陈德伟 西南财经大学信息学院 E-mail: chendw_ 1. 概述 2. 入侵检测的分类 3. 入侵检测系统的设计原理 4. 入侵检测响应机制 5. 入侵检测标准化工作 6. 入侵检测的现状和展望 1 概述 2. 入侵检测的分类 3. 入侵检测系统的设计原理 4. 入侵检测响应机制 5. 入侵检测标准化工作 6. 入侵检测的现状和展望 Intrusion pIntrusion : Attempting to break into or misuse your system. pIntruders may be from outside the network or legitimate users of the network. pIntrusion can be a physical, system or remote intrusion. n传统的信息安全方法采用严格的访问控制和数 据加密策略来防护，但在复杂系统中，这些策 略是不充分的。它们是系统安全不可缺的部分 但不能完全保证系统的安全 n入侵检测（Intrusion Detection）是对入侵行 为的发觉。它通过从计算机网络或计算机系统 的关键点收集信息并进行分析，从中发现网络 或系统中是否有违反安全策略的行为和被攻击 的迹象 Intrusion Detection 入侵检测的定义 p入侵检测就是对系统的运行状态进行监视，发 现各种攻击企图、攻击行为或者攻击结果，以 保证系统资源的机密性、完整性和可用性 入侵检测系统的定义 p进行入侵检测的软件与硬件的组合便是入侵检测 系统 pIDS : Intrusion Detection System 入侵检测系统的特点 一个完善的入侵检测系统的特点： n经济性 n时效性 n安全性 n可扩展性 网络安全工具的特点 优优点局限性 IDS实时监实时监 控网络络安全状态态误报误报 警，缓缓慢攻击击，新的 攻击击模式 Scanner简单简单 可操作，帮助系统统管理 员员和安全服务务人员员解决实际实际 问题问题 并不能真正扫扫描漏洞 VPN保护护公网上的内部通信可视为视为 防火墙墙上的一个漏 洞 防火墙墙可简简化网络络管理，产产品成熟无法处处理网络络内部的攻击击 防病毒针对针对 文件与邮邮件，产产品成熟功能单单一 p与其他网络安全设备的不同之处在于，IDS是 一种积极主动的安全防护技术。 入侵检测的起源（1） p审计技术：产生、记录并检查按时间顺序排列的系统 事件记录的过程 p审计的目标： n确定和保持系统活动中每个人的责任 n重建事件 n评估损失 n监测系统的问题区 n提供有效的灾难恢复 n阻止系统的不正当使用 入侵检测的起源（2） p计算机安全和审计 p美国国防部在70年代支持“可信信息系统”的 研究，最终审计机制纳入可信计算机系统评 估准则（TCSEC）C2级以上系统的要求的 一部分 p“褐皮书”理解可信系统中的审计指南 入侵检测的起源（3） 1980年4月，James P. Anderson :Computer Security Threat Monitoring and Surveillance（计 算机安全威胁监控与监视）的技术报告，第一次详细阐述 了入侵检测的概念 他提出对计算机系统风险和威胁的分类方法，并将威胁分 为外部渗透、内部渗透和不法行为三种 还提出了利用审计跟踪数据监视入侵活动的思想。这份报 告被公认为是入侵检测的开山之作 入侵检测的起源（4） 从1984年到1986年，乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了 一个实时入侵检测系统模型，取名为IDES（入侵检测专 家系统） IDES结构框架 审计数据源 策略规则 模式匹配器轮廓特征引擎 异常检测器 警告/报告产生器 入侵检测的起源（5） 1990，加州大学戴维斯分校的L. T. Heberlein等人开 发出了NSM（Network Security Monitor） 该系统第一次直接将网络流作为审计数据来源，因而可 以在不将审计数据转换成统一格式的情况下监控异种主 机 入侵检测系统发展史翻开了新的一页，两大阵营正式形 成：基于网络的IDS和基于主机的IDS 为什么需要IDS p关于防火墙 n网络边界的设备 n自身可以被攻破 n对某些攻击保护很弱 n不是所有的威胁来自防火墙外部 p入侵很容易 n入侵教程随处可见 n各种工具唾手可得 IDS存在与发展的必然性 一、网络攻击的破坏性、损失的严重性 二、日益增长的网络安全威胁 三、单纯的防火墙无法防范复杂多变的攻击 IDS基本结构 p入侵检测是监测计算机网络和系统,以发现违 反安全策略事件的过程 p简单地说，入侵检测系统包括三个功能部件 ： （1）信息收集 （2）信息分析 （3）结果处理 信息收集 p入侵检测的第一步是信息收集，收集内容包括 系统、网络、数据及用户活动的状态和行为。 p需要在计算机网络系统中的若干不同关键点（ 不同网段和不同主机）收集信息， n尽可能扩大检测范围 n从一个源来的信息有可能看不出疑点 信息收集 p入侵检测很大程度上依赖于收集信息的可靠性 和正确性。 p因此要保证用来检测网络系统的软件的完整性 ，特别是入侵检测系统软件本身应具有相当强 的坚固性，防止被篡改而收集到错误的信息 信息收集的来源 p系统或网络的日志文件 p网络流量 p系统目录和文件的异常变化 p程序执行中的异常行为 系统或网络的日志文件 p黑客经常在系统日志文件中留下他们的踪迹，因此， 充分利用系统和网络日志文件信息是检测入侵的必要 条件 p日志文件中记录了各种行为类型，每种类型又包含不 同的信息，例如记录“用户活动”类型的日志，就包 含登录、用户ID改变、用户对文件的访问、授权和 认证信息等内容 p显然，对用户活动来讲，不正常的或不期望的行为就 是重复登录失败、登录到不期望的位置以及非授权的 企图访问重要文件等等 系统目录和文件的异常变化 p网络环境中的文件系统包含很多软件和数据文件，包 含重要信息的文件和私有数据文件经常是黑客修改或 破坏的目标。目录和文件中的不期望的改变（包括修 改、创建和删除），特别是那些正常情况下限制访问 的，很可能就是一种入侵产生的指示和信号 p入侵者经常替换、修改和破坏他们获得访问权的系统 上的文件，同时为了隐藏系统中他们的表现及活动痕 迹，都会尽力去替换系统程序或修改系统日志文件 信息分析 模式匹配 统计分析 完整性分析，往往用于事后分析 模式匹配 p模式匹配就是将收集到的信息与已知的网络入侵和系统 误用模式数据库进行比较，从而发现违背安全策略的行 为 p一般来讲，一种进攻模式可以用一个过程（如执行一条 指令）或一个输出（如获得权限）来表示。该过程可以 很简单（如通过字符串匹配以寻找一个简单的条目或指 令），也可以很复杂（如利用正规的数学表达式来表示 安全状态的变化） 统计分析 p统计分析方法首先给系统对象（如用户、文件、目录和 设备等）创建一个统计描述，统计正常使用时的一些测 量属性（如访问次数、操作失败次数和延时等） p测量属性的平均值将被用来与网络、系统的行为进行比 较，任何观察值在正常值范围之外时，就认为有入侵发 生 完整性分析 p完整性分析主要关注某个文件或对象是否被 更改，这经常包括文件和目录的内容及属性 ，它在发现被更改的、被安装木马的应用程 序方面特别有效 1. 概述 2. 2 入侵检测的分类 3. 入侵检测系统的设计原理 4. 入侵检测响应机制 5. 入侵检测标准化工作 6. 入侵检测的现状和展望 按检测方法分类 n异常检测模型（Anomaly Detection ):首先总结 正常操作应该具有的特征（用户轮廓），当用户活 动与正常行为有重大偏离时即被认为是入侵 n误用检测模型（Misuse Detection)：收集非正常 操作的行为特征，建立相关的特征库，当监测的用 户或系统行为与库中的记录相匹配时，系统就认为 这种行为是入侵 异常检测 Below Threshold levels Exceed Threshold Levels System Audit Metrics Profiler Intrusion Normal Activity 异常检测模型 1. 前提：入侵是异常活动的子集 2. 用户轮廓(Profile): 通常定义为各种行为参数及其 阀值的集合，用于描述正常行为范围 3. 过程 监控 量化 比较 判定 1. 2. 修正 4. 指标:漏报，错报 异常检测 异常检测 p如果系统错误地将异常活动定义为入侵，称为误报 (false positive) ；如果系统未能检测出真正的入侵 行为则称为漏报(false negative)。 p特点：异常检测系统的效率取决于用户轮廓的完备性 和监控的频率。因为不需要对每种入侵行为进行定义 ，因此能有效检测未知的入侵。同时系统能针对用户 行为的改变进行自我调整和优化，但随着检测模型的 逐步精确，异常检测会消耗更多的系统资源。 Anomaly Detection activity measures probable intrusion System Audit Metrics Pattern Matcher Intrusion Normal Activity No Signature Match Signature Match 误用检测模型 误用检测 1. 前提：所有的入侵行为都有可被检测到的特征 2. 攻击特征库: 当监测的用户或系统行为与库中的记录 相匹配时，系统就认为这种行为是入侵 3. 过程 监控 特征提取 匹配 判定 4. 指标 错报低 漏报高 误用检测 误用检测模型 p如果入侵特征与正常的用户行能匹配，则系统会发生 误报；如果没有特征能与某种新的攻击行为匹配，则 系统会发生漏报 p特点：采用特征匹配，误用模式能明显降低错报率， 但漏报率随之增加。攻击特征的细微变化，会使得误 用检测无能为力 Misuse Detection Intrusion Patterns activities pattern matching intrusion Cant detect new attacks Example: if (src_ip = dst_ip) then “land attack” 按照数据来源分类 n基于主机：系统获取数据的依据是系统运行所 在的主机，保护的目标也是系统运行所在的主 机 n基于网络：系统获取的数据是网络传输的数据 包，保护的是网络的运行 n混合型 n监视与分析主机的审计记录 n可以不运行在监控主机上 n存在问题： n能否及时采集到审计记录？ n如何保护作为攻击目标主机审计子系统？ 基于主机 n在共享网段上对通信数据进行侦听采集数据 n主机资源消耗少 n提供对网络通用的保护 n存在问题： n如何适应高速网络环境？ n非共享网络上如何采集数据？ 基于网络 两类IDS监测软件 p网络IDS n侦测速度快 n隐蔽性好 n视野更宽 n较少的监测器 n占资源少 p主机IDS n视野集中 n易于用户自定义 n保护更加周密 n对网络流量不敏感 入侵检测系统体系结构 交换机 交换机防火墙防火墙路由器 Internet 基于网络的 IDS 基于主机的 IDS 内网 基于网络的IDS WWW服务 器 FTP 服务器 邮件 服务器 入侵检测系统原理示意图 外部网络 DMZ区域内部网络 常用术语 n当一个入侵正在发生或者试图发生时，IDS系统将发 布一个alert信息通知系统管理员 n如果控制台与IDS系统同在一台机器，alert信息将 显示在监视器上，也可能伴随着声音提示 n如果是远程控制台，那么alert将通过IDS系统内置 方法（通常是加密的）、SNMP（简单网络管理协议 ，通常不加密）、email、SMS（短信息）或者以上 几种方法的混合方式传递给管理员 Alert（警报） Anomaly（异常） n当有某个事件与一个已知攻击的信号相匹配时，多数 IDS都会告警 n一个基于anomaly（异常）的IDS会构造一个当时活动 的主机或网络的大致轮廓，当有一个在这个轮廓以外 的事件发生时，IDS就会告警 n有些IDS厂商将此方法看做启发式功能，但一个启发 式的IDS应该在其推理判断方面具有更多的智能 n首先，可以通过重新配置路由器和防火墙，拒绝那些来 自同一地址的信息流;其次，通过在网络上发送reset包 切断连接 n但是这两种方式都有问题，攻击者可以反过来利用重新 配置的设备，其方法是：通过伪装成一个友方的地址来 发动攻击，然后IDS就会配置路由器和防火墙来拒绝这 些地址，这样实际上就是对“自己人”拒绝服务了 n发送reset包的方法要求有一个活动的网络接口，这样它 将置于攻击之下，一个补救的办法是：使活动网络接口 位于防火墙内，或者使用专门的发包程序，从而避开标 准IP栈需求 Automated Response（自动响应） nIDS的核心是攻击特征，它使IDS在事件发生时触发 n特征信息过短会经常触发IDS，导致误报或错报，过长 则会减慢IDS的工作速度 n有人将IDS所支持的特征数视为IDS好坏的标准，但是 有的产商用一个特征涵盖许多攻击，而有些产商则会将 这些特征单独列出，这就会给人一种印象，好像它包含 了更多的特征，是更好的IDS Signatures（特征） Promiscuous（混杂模式） n默认状态下，IDS网络接口只能看到进出主机的信息 ，也就是所谓的non-promiscuous（非混杂模式） n如果网络接口是混杂模式，就可以看到网段中所有的 网络通信量，不管其来源或目的地 n这对于网络IDS是必要的，但同时可能被信息包嗅探 器所利用来监控网络通信量 1. 概述 2. 入侵检测的分类 3 入侵检测系统的设计原理（略） 4. 入侵检测响应机制 5. 入侵检测标准化工作 6. 入侵检测的现状和展望 活动 数据源 感应器 分析器 管理器 操作员 管理员 事件 警报 通 告 应 急 安全策略 安全策略 入侵检测系统原理图 攻击模式库 入侵检测器应急措施 配置系统库 数据采集安全控制 系统 审计记录/协议数据等系统操作 简单的入侵检测示意图 基于主机的入侵检测系统 p系统分析主机产生的数据（应用程序及 操作系统的事件日志） p由于内部人员的威胁正变得更重要 n基于主机的检测威胁 n基于主机的结构 n优点及问题 基于主机的检测威胁 p特权滥用 p关键数据的访问及修改 p安全配置的变化 基于主机的入侵检测系统结构 p基于主机的入侵检测系统通常是基于代 理的，代理是运行在目标系统上的可执 行程序，与中央控制计算机通信 n集中式：原始数据在分析之前要先发送到 中央位置 n分布式：原始数据在目标系统上实时分析 ，只有告警命令被发送给控制台 目标系统 审计记录收集方法 审计记录预处理 异常检测误用检测 安全管理员接口 审计记录数据 归档/查询 审计记录数据库 审计记录 基于审计的入侵检测系统结构示意图 集中式检测的优缺点 p优点： n不会降低目标机的性能 n统计行为信息 n多主机标志、用于支持起诉的原始数据 p缺点： n不能进行实时检测 n不能实时响应 n影响网络通信量 分布式检测的优缺点 p优点： n实时告警 n实时响应 p缺点： n降低目标机的性能 n没有统计行为信息 n没有多主机标志 n没有用于支持起诉的原始数据 n降低了数据的辨析能力 n系统离线时不能分析数据 操作模式 p操作主机入侵检测系统的方式 n警告 n监视 n毁坏情况评估 n遵从性 基于主机的技术面临的问题 p性能：降低是不可避免的 p部署/维护 p损害 p欺骗 基于网络的入侵检测系统 p入侵检测系统分析网络数据包 p基于网络的检测威胁 p基于网络的结构 p优点及问题 基于网络的检测威胁 p非授权访问 p数据/资源的窃取 p拒绝服务 基于网络的入侵检测系统结构 p基于网络的入侵检测系统由遍及网络的传感 器（Sensor)组成，传感器会向中央控制台 报告。传感器通常是独立的检测引擎，能获 得网络分组、找寻误用模式，然后告警。 p传统的基于传感器的结构 p分布式网络节点结构 传统的基于传感器的结构 p传感器（通常设置为混杂模式）用于嗅 探网络上的数据分组，并将分组送往检 测引擎 p检测引擎安装在传感器计算机本身 p网络分接器分布在关键任务网段上，每 个网段一个 管理/配置 入侵分析引擎器 网络安全数据库 嗅探器嗅探器 分析结果 基于网络的入侵检测系统模型 分布式网络节点结构 p为解决高速网络上的丢包问题，1999年6月， 出现的一种新的结构，将传感器分布到网络上的 每台计算机上 p每个传感器检查流经他的网络分组，然后传感器 相互通信，主控制台将所有的告警聚集、关联起 来 数据采集构件 应急处理构件 通信传输构件 检测分析构件 管理构件 安全知识库 分布式入侵检测系统结构示意图 基于网络的入侵检测的好处 p威慑外部人员 p检测 p自动响应及报告 基于网络的技术面临的问题 p分组重组 p高速网络 p加密 基于异常的入侵检测 p思想：任何正常人的行为有一定的规律 p需要考虑的问题： （1）选择哪些数据来表现用户的行为 （2）通过以上数据如何有效地表示用户的行为，主要 在于学习和检测方法的不同 （3）考虑学习过程的时间长短、用户行为的时效性等 问题 数据选取的原则 （1）数据能充分反映用户行为特征的全貌 （2） 应使需要的数据量最小 （3） 数据提取难度不应太大 NIDS抓包 pPF_PACKET n从链路层抓包 plibpcap n提供API函数 pwinpcap nWindows下的抓包库 分析数据包 Ethernet IP TCP 模式匹配 Ethernet IP TCP 协议分析 HTTP Unicode XML 一个攻击检测实例 p老版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell！ 简单的匹配 p检查每个packet是否包含： “WIZ” | “DEBUG” 检查端口号 p缩小匹配范围 Port 25: “WIZ” | “DEBUG” 深入决策树 p只判断客户端发送部分 Port 25: Client-sends: “WIZ” | Client-sends: “DEBUG” 1. 概述 2. 入侵检测的分类 3. 入侵检测系统的设计原理 4. 4. 入侵检测响应机制 5. 入侵检测标准化工作 6. 入侵检测的现状和展望 响应策略 p弹出窗口报警 pE-mail通知 p切断TCP连接 p执行自定义程序 p与其他安全产品交互 nFirewall nSNMP Trap 1. 概述 2. 入侵检测的分类 3. 入侵检测系统的设计原理 4. 入侵检测响应机制 5. 5. 入侵检测标准化工作 6. 入侵检测的现状和展望 IDS标准化工作的组织 pIETF的入侵检测工作组IDWG： /html.charters/OLD/idwg- charter.html p通用入侵检测框架CIDF： /cidf 入侵检测工作组IDWG pIDWG的主要工作是定义相关的数据格式和 共享信息的交换过程，用于入侵检测与响应 （Intrusion Detection and Response， IDR）系统之间或与需要交互的管理系统之 间的信息共享。 入侵检测工作组IDWG p从进展状况来看，目前IDWG基本形成了4个 RFC文档，其中有3个文档实在2007年3月从草 案正式被接受为RFC文档的，历时数年之久，相 当不容易； 通用入侵检测框架CIDF nCIDF所做的工作主要包括四部分： nIDS的体系结构 n通信机制 n描述语言 n应用编程接口API CIDF将一个入侵检测系统分为四个组 件 n事件产生器（Event generators） n事件分析器（Event analyzers） n响应单元（Response units ） n事件数据库（Event databases ） 。 CIDF的体系结构 事件产生器 响应单元 事件数据库 事件分析器 CIDF的体系结构 原始事件 响应事件 通用入侵检测框架CIDF p目前CIDF的进展不尽如人意，该项目组的工 作基本处于停滞状态，其思想和理念也没有得 到很好的贯彻和执行。 1. 概述 2. 入侵检测的分类 3. 入侵检测系统的设计原理 4. 入侵检测响应机制 5. 入侵检测标准化工作 6. 入侵检测的现状和展望 IDS现状 存在问题： u 误报和漏报的矛盾 u 隐私和安全的矛盾 u 被动分析与主动发现的矛盾 u 海量信息与分析代价的矛盾 u 功能性和可管理性的矛盾 u 单一的产品与复杂的网络应用的矛盾 u 网络规模扩大，网络速度提高，需满足高速大规模网 络应用需求 IDS发展方向 p分析技术的改进 n智能化的检测方法 p改进对高速网络数据流的检测 p与防火墙联动 p集成网络分析和管理功能 n入侵检测产品集成网管功能、扫描器 (Scanner)、嗅探器(Sniffer)等功能 是以后发展的方向 IDS与Firewall联动 通过在防火墙中驻留的一个IDS Agent对象，以接收来自 IDS的控制消息，然后再增加防火墙的过滤规则，最终实 现联动 Cisco CIDF(CISL) ISS Checkpoint 产品 p免费 nSnort p nSHADOW p/ISSEC/CID/ 产品 p商业 nCyberCop Monitor, NAI nDragon Sensor, Enterasys neTrust ID, CA nNetProwler, Symantec nNetRanger, Cisco nNID-100/200, NFR Security nRealSecure, ISS nSecureNet Pro, I 资源 pIDS FAQ n/pubs/ pFocus-IDS Mailinglist n/archive/96 pYawl n pOldHand n pSinbad n/doc.html?board=IDS 引语语：在这这一实验实验 中，将在Windows平台上建立入侵检测检测 系统统（snort）。Snort是一个轻轻便的网络络入侵检测检测 系 统统，在运行的时时只占用极少的网络资络资 源，对对原有网络络 性能影响很小。它可以完成实时实时 流量分析和对对网络络上的 IP包登录进录进 行测试测试 等功能，能完成协议协议 分析，内容查查 找匹配，是用来探测测多种攻击击的侵入探测测器（如缓缓冲 区溢出、秘密端口扫扫描、CGI攻击击、SMB嗅探、指纹纹采集 尝试尝试 等）。Snort 可以运行在*nix/Win32 平台上。 目的：本实验在Win2000 Server环境安装与配置入侵检测 系统（snort）。完成这一实验之后，将能够：安装 “snort”服务，使用“snort”服务。 实验实验 入侵检测系统入侵检测系统snortsnort配置配置 实验实验 所需软软件：具备备服务务器运行Windows 2000 Server。snort软软 件。要完整的安装入侵检测检测 系统统必须须先从网上下载载以下软软件 ： q Snort（Win32 MySQL Binary!）（）； q Snort Rules 2.1（）； q WinPcap 3.1（winpcap.polito.it）； q MySQL Shareware 3.23.58（）； q PHP 4.3.5（）； q ADODB 3.5.0（/lens/dl/）； q ACID 0.9.6b6（/kb/acid/）； l MySQL Database l PHP 实验实验 入侵检测系统入侵检测系统snortsnort配置配置 任务1.安装Snort 任务2.安装MySQL Database 任务3.生成Win32 MySQL database 任务4.在MySQL中生成Acid的库表 任务5.测试Snort 任务6.将Snort设置成为windows 2000 / XP的一项服务 任务7.安装PHP 任务8.配置PHP运行在2000 / XP的IIS 4/5环境下 任务9.安装ADODB 一个高性能的数据库 实验实验 入侵检测系统入侵检测系统snortsnort配置配置 第7章 安全检测技术 网络信息获取技术 陈德伟 Chendw_ 西南财经大学信息工程学院 目 录 1.网络信息收集 2.网络扫描技术 3.网络流量侦听技术 网络信息收集 p信息 p攻击者和管理者都需要各种网络信息，如：域名 ，IP地址，主机运行的TCP和UDP服务，系统信 息（用户名、版本等），认证机制。 网络信息收集社会信息 p指通过非网络技术手段获得的信息 p社会工程：获取员工的信任。 p搜索引擎：google,百度 p新闻论坛 p网站： 网络信息收集 WHOIS p WHOIS：是用来查询域名的IP以及所有者等信 息的传输协议 pUNIX系统自带Whois客户端程序，windows可 以直接通过Web查询 p中国域名信息查询： n nW 网易的域名信息 网络信息收集 DNS查询 pDNS是一个全球分布式数据库，对每一个DNS结点，都包 含该结点的机器、邮件服务器、主机CPU和操作系统信息。 pNslookup :客户程序，可以把DNS数据库中的信息挖掘 出来 Nslookup查询的新浪 注：本机所访问到的新浪网页是镜像网站 目 录 1.网络信息收集 2.网络扫描技术 3.网络流量侦听技术 扫描技术 p扫描技术是网络安全领域的重要技术之一，是一 种基于Internet远程检测目标网络或本地主机 安全性脆弱点的技术，是为使系统管理员能够及 时了解系统中存在的安全漏洞，并采取相应防范 措施，从而降低系统的安全风险而发展起来的一 种安全技术。 扫描步骤 一次完整的扫描分为3个阶段： （1）第1阶段：发现目标主机或网络。 （2）第2阶段：发现目标后进一步搜集目标信息，包括 操作系统类型、运行的服务以及服务软件的版本等。如果目 标是一个网络，还可以进一步发现该网络的拓扑结构、路由 设备以及各主机的信息。 （3）第3阶段：根据搜集到的信息判断或者进一步测试 系统是否存在安全漏洞。 扫描技术的分类 扫描技术主要包括 主机扫描 端口扫描 主机扫描技术 p主机扫描的目的是确定在目标网络上的主机是否 可达。这是信息收集的初级阶段，其效果直接影 响到后续的扫描。 p常用的传统扫描手段有： nICMP Echo扫描 nICMP Sweep扫描 nBroadcast ICMP扫描 nNon-Echo ICMP扫描 ICMP echo扫描 p实现原理：Ping的实现机制，在判断在一个网络上主机是否 开机时非常有用。向目标主机发送ICMP Echo Request (type 8)数据包，等待回复的ICMP Echo Reply 包(type 0) 。如果能收到，则表明目标系统可达，否则表明目标系 统已经不可达或发送的包被对方的设备过滤掉。 p优点：简单，系统支持 p缺点：很容易被防火墙限制 p可以通过并行发送，同时探测多个目标主机，以提高探测效 率（ICMP Sweep扫描）。 Broadcast ICMP扫描 p实现原理：将ICMP ECHO request包的目标地 址设为广播地址或网络地址，则可以探测广播域 或整个网络范围内的主机。 p缺点： n只适合于UNIX/Linux系统，Windows 会忽略这种请 求包； n这种扫描方式容易引起广播风暴 ICMP报文类型 n0 Echo Reply n3 Destination Unreachable n4 Source Quench n5 Redirect n8 Echo n11 Time Exceeded n12 Parameter Problem n13 Timestamp n14 Timestamp Reply n15 Information Request n16 Information Reply n17 Address Mask Request n18 Address Mask Reply 端口扫描技术 p当确定了目标主机可达后，就可以使用端口扫描技 术，发现目标主机的开放端口，包括网络协议和各 种应用监听的端口。端口扫描技术主要包括以下三 类： p开放扫描（TCP Connect 扫描） n会产生大量审计数据，易被对方发现，但其可靠性高 p隐蔽扫描（TCP FIN 扫描、分段扫描） n能有效的避免对方入侵检测系统和防火墙的检测，但这种 扫描使用的数据包在通过网络时容易被丢弃从而产生错误 的探测信息； p半开放扫描（ TCP SYN 扫描） n隐蔽性和可靠性介于前两者之间。 开放扫描TCP Connect 扫描 p实现原理：通过调用socket函数connect()连接 到目标计算机上，完成一次完整的三次握手过程 。如果端口处于侦听状态，那么connect()就能 成功返回。否则，这个端口不可用，即没有提供 服务。 p优点：稳定可靠，不需要特殊的权限 p缺点：扫描方式不隐蔽，服务器日志会记录下大 量密集的连接和错误记录 ，并容易被防火墙发 现和屏蔽 半开放扫描TCP SYN 扫描 p实现原理：扫描器向目标主机端口发送SYN包。 如果应答是RST包，那么说明端口是关闭的；如 果应答中包含SYN和ACK包，说明目标端口处于 监听状态，再传送一个RST包给目标机从而停止 建立连接。在SYN扫描时，全连接尚未建立，所 以这种技术通常被称为半连接扫描 p优点：隐蔽性较全连接扫描好，一般系统对这种 半扫描很少记录 p缺点：通常构造SYN数据包需要超级用户或者授 权用户访问专门的系统调用 隐蔽扫描技术TCP FIN 扫 描 p实现原理：扫描器向目标主机端口发送FIN包。当一个FIN 数据包到达一个关闭的端口，数据包会被丢掉，并且返回 一个RST数据包。否则，若是打开的端口，数据包只是简 单的丢掉（不返回RST）。 p优点：由于这种技术不包含标准的TCP三次握手协议的任 何部分，所以无法被记录下来，从而必SYN扫描隐蔽得多 ，FIN数据包能够通过只监测SYN包的包过滤器。 p缺点： l跟SYN扫描类似，需要自己构造数据包，要求由超级用户或者授权 用户访问专门的系统调用； l通常适用于UNIX目标主机。但在Windows环境下，该方法无效， 因为不论目标端口是否打开，操作系统都返回RST包。 利用综合扫描工具收集信息 目 录 1.网络信息收集 2.网络扫描技术 3.网络流量侦听技术 网络监听原理 p网卡工作在数据链路层，数据以帧为单位进行传输，在 帧头部分含有数据的目的MAC地址和源MAC地址。 p普通模式下，网卡只接收与自己MAC地址相同的数据包， 并将其传递给操作系统。 p在“混杂”模式下，网卡将所有经过的数据包都传递给 操作系统。 p被监听的网络类型： n以太网 nFDDI、Token- ring n使用电话线 n通过有线电视信道 n微波和无线电 网络监听原理 p举例：共享式集线器（HUB）连接 将网卡置于混杂模式实现监听 Sniffer软件 pWireshark pNetxRay pSniffer Pro pCuteSniffer(小巧，功能较全) pIris pAce Password Sniffer(自动捕获口令) CuteSniffer 自动捕捉口令 pAce Password Sniffer，能监听 LAN，取得密码。包括：FTP、 POP3、HTTP、SMTP、Telnet 密码。 交换局域网嗅探 p交换机在正常模式下按MAC地址表转发数据包，此时只 能监听广播数据包。 p交换网络嗅探的关键：如何使不应到达的数据包到达本 地 nMAC洪水包 n利用交换机的镜像功能 n利用ARP欺骗 MAC洪水包 p向交换机发送大量含有虚构MAC地址和IP地址的IP包， 使交换机无法处理如此多的信息，致使交换机就进入了 所谓的“打开失效“模式，也就是开始了类似于集线器的 工作方式，向网络上所有的机器广播数据包 利用交换机的镜像功能 利用交换机的镜像功能 利用ARP欺骗 p首先介绍以太数据包格式 目的MAC地址源MAC地址类型数据 662461500 类型0800 ：IP数据包 类型0806 ：ARP数据包 目的端 MAC 地址 源 M A C 地址 0 8 0 6 硬 件 类 型 协 议 类 型 硬 件 地 址 长 度 协 议 地 址 长 度 A R P 包 类 型 发 送 端 M A C 地 址 发 送 端 I P 地 址 目 的 端 M A C 地 址 目 的 端 I P 地 址 6622 2 1126464 ARP数据包格式 交换局域网嗅探 在VICTIM运行ARP A，有如下输出： Interface: on Interface 0x3000006 Internet Address Physical Address Type 00-00-00-00-00-01 dynamic 00-00-00-00-00-03 dynamic 交换局域网嗅探 在ATTACKER上构建并发送表一所示的包，其中 目的 mac 为00-00-00-00-00-02， 目的 IP address为， 发送者MAC为00-00-00-00-00-01， 发送者IP为（假冒IP）。 在VICTIM上运行ARP A，有如下的输出： Interface: on Interface 0x3000006 Internet Address Physical Address Type 00-00-00-