目标系统信息收集技术.ppt

第二章 目标系统信息收集技术,1）信息采集及其内容 2）信息采集的基本原理和技术 3）信息采集常用的工具 4）交换式网络上的嗅探 5）嗅探器的检测与防范,2.1 信息采集的定义与内容,1、黑客攻击的基本原则： 从不进入自己不了解的系统 2、什么是信息采集？ 对目标主机、目标网络、相关的系统管理人员进行非公开的检测，全面收集目标系统的信息。,2.1 信息采集的定义与内容,3、信息采集的内容 1）目标主机信息 主机的物理位置、IP地址、主机名； 操作系统类型、版本号； 主机开放的端口和服务； 主机上的用户列表及用户账号的安全性，例如是否存在弱口令、默认用户的口令等； 系统的配置情况。例如系统是否禁止root远程登录,SMTP服务器是否支持decode别名等； 系统安全漏洞检测信息,2.1 信息采集的定义与内容,3、信息采集的内容 2）目标网络信息 目标网络的拓扑结构； 网络中网关、防火墙、入侵检测系统等设备的部署情况； 网络中的路由器、交换机的配置情况，例如路由器的路由算法，交换机是否支持“转发表”的动态更新等,2.1 信息采集的定义与内容,3、信息采集的内容 3）目标系统的其他信息 系统运行的作息制度（例如：何时开机、何时关机）； 系统管理员素质（教育背景、家庭背景）、习惯等。,2.2 信息采集的基本原理和技术,1、IP地址扫描 1）主机IP地址的获取,网站名称搜索引擎Ping主机,2.2 信息采集的基本原理和技术,1、IP地址扫描 1）主机IP地址的获取,利用nslookup，查询DNS服务器,2.2 信息采集的基本原理和技术,1、IP地址扫描 2）查询在线主机,PING扫射,Internet,集线器,黑客主机,Ping扫射,2.2 信息采集的基本原理和技术,1、IP地址扫描 2）查询在线主机,向目标主机 发送错误的IP包,2.2 信息采集的基本原理和技术,1、IP地址扫描 2）查询在线主机,透过防火墙查询在线主机,2.2 信息采集的基本原理和技术,2、端口扫描 1）端口的基本概念,端口是传输层协议为了识别同一主机上不同应用程序进程而引入的一个概念。,2.2 信息采集的基本原理和技术,2、端口扫描 1）端口的基本概念,一个端口占16个比特位,一台主机可供分配的端口数为216-1 = 65535个。,2.2 信息采集的基本原理和技术,2、端口扫描 2）端口的管理和分配,端口由应用程序申请，操作系统同一管理和分配； 一个应用程序会占用1个或多个端口。,）公认端口（Well Known Ports） 01023的端口是公认的、知名的端口（Well Known Ports）； 0255之间的端口由因特网名称与数字地址分配机构（ICANN）管理。,2.2 信息采集的基本原理和技术,2、端口扫描 2）端口的管理和分配,）注册端口（Registered Ports） 注册端口主要用于服务器对外提供服务。端口范围：102449151。 ）动态、私有端口 用于分配给用户编写的客户端应用程序。端口范围：4915265535。,2.2 信息采集的基本原理和技术,2、端口扫描 2）端口的管理和分配,常见的UDP知名端口,2.2 信息采集的基本原理和技术,2、端口扫描 2）端口的管理和分配,常见的TCP知名端口,2.2 信息采集的基本原理和技术,2、端口扫描 3）端口扫描的原理和技术,端口扫描是向目标主机的TCP或UDP端口发送探测数据包，随后记录目标主机的响应。通过分析目标主机的响应来判断服务端口是打开还是关闭，据此推测目标主机端口提供的服务或信息。,发现一个主机或一个网络； 发现主机上运行的服务和应用程序； 检测和发现系统漏洞。,2.2 信息采集的基本原理和技术,3）端口扫描的原理和技术,TCP连接扫描 TCP全连接扫描主要用于TCP端口的扫描，包括： TCP connect（）扫描（TCP连接扫描） TCP反向ident扫描两种方式,TCP connect（）扫描（TCP连接扫描）,1201,时间,时间,4801,TCP connect（）扫描（TCP连接扫描）,s将要建立的会话套接口描述字； name 一个通用地址结构指针，指向一个缓冲区，用来存储服务器IP地址； namelen地址结构name的长度；,int connect( SOCKET s, struct sockaddr * name, int namelen);,TCP connect（）扫描（TCP连接扫描）,s传入参数，一个套接口的描述字； cmd 传入参数，对套接口s的操作控制命令。例如FIONBIO命令用于在套接口上允许或禁止非阻塞模式； argp传入参数，指向一个无符号整型常量。设置阻塞模式时，整型常量的值=0，设置非阻塞模式时，该值为一个非0的整型数。,int ioctlsocket（SOCKET s，long cmd，u_long FAR* argp）,创建多个套接口 设置非阻塞工作模式,2.2 信息采集的基本原理和技术,3）端口扫描的原理和技术,TCP连接扫描 TCP全连接扫描主要用于TCP端口的扫描，包括： TCP connect（）扫描（TCP连接扫描）,TCP connect扫描的优点：稳定可靠，不需要特殊的权限； 缺点：扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录 ，并容易被防火墙发现和屏蔽。,2.2 信息采集的基本原理和技术,3）端口扫描的原理和技术,TCP连接扫描 TCP反向ident扫描 Ident（Identification Protocol，标识协议）提供了一种方法，可以对建立TCP连接的用户身份进行标识； 该协议使用113端口，一旦建立连接，该服务就会读取指定TCP连接的查询数据，将拥有指定TCP连接的用户信息反馈给对方； Ident 协议（RFC1413）允许通过TCP连接查询对方的任何进程的用户名，即使这个连接不是由该进程开始的,2.2 信息采集的基本原理和技术,3）端口扫描的原理和技术,TCP SYN 扫描（半连接扫描、间接扫描 ）,优点：隐蔽性较全连接扫描好，一般系统对这种半扫描很少记录; 缺点：通常构造SYN数据包需要超级用户或者授权用户权限，才能调用系统的这项功能。,2.2 信息采集的基本原理和技术,3）端口扫描的原理和技术,TCP FIN 扫描,优点：由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而比SYN扫描隐蔽得多。,端口关闭：返回RST包 端口打开：丢弃、不响应,2.2 信息采集的基本原理和技术,3）端口扫描的原理和技术,间接扫描,间接扫描原理,2.2 信息采集的基本原理和技术,3）端口扫描的原理和技术,间接扫描,2.2 信息采集的基本原理和技术,3）端口扫描的原理和技术,间接扫描,套接口选项设置函数 int setsockopt ( SOCKET s, int level, int optname, const char FAR * optval, int optlen );,s需要改变选项设置的套接字； level指定控制套接字的层次。 SOL_SOCKET：通用套接字选项； IPPROTO_IP：IP选项； IPPROTO_TCP：TCP选项。 optname套接字选项的名称 optval一个指针。,2.2 信息采集的基本原理和技术,3）端口扫描的原理和技术,间接扫描,发送同步响应：返回RST 发送RST：不回应,2.2 信息采集的基本原理和技术,3）端口扫描的原理和技术,间接扫描,伪装主机响应的检测是利用了某些操作系统存在的IP标识（IPID）漏洞实现的。,Windows系统每发送一个数据包，其IPID字段的值会简单增加一个固定的数值; Linus、Solaris、OpenBSD等，它们通过随机数设置IPID。,2.2 信息采集的基本原理和技术,3）端口扫描的原理和技术,间接扫描,获取伪装主机的当前IPID,2.2 信息采集的基本原理和技术,3）端口扫描的原理和技术,间接扫描,获取伪装主机的当前IPID,2.2 信息采集的基本原理和技术,3）端口扫描的原理和技术,ICMP 端口不可达扫描,3,2.2 信息采集的基本原理和技术,3）端口扫描的原理和技术,ICMP 端口不可达扫描,扫描速度慢 很多操作系统采用了RFC1812的建议：限制了ICMP差错报文的速率。 例如： Linux系统每4秒最多只允许发送80个目标不可达消息； Solaris每秒只允许发送2个目标不可达消息； Windows系统忽略了RFC1812的建议 可靠度差 需要root权限,2.2 信息采集的基本原理和技术,3）端口扫描的原理和技术,recvfrom()和write() 扫描,sendto()数据报套接口数据发送 recvfrom()数据报套接口数据接受,2.2 信息采集的基本原理和技术,3、操作系统扫描,操作系统扫描大部分都是基于TCP/IP协议栈的指纹检测技术的。 主动探测 被动监听,2.2 信息采集的基本原理和技术,3、操作系统扫描,1）主动探测 根据端口扫描的结果判断 Windows系统：137、139、445等端口； Linux系统：512、513、514端口。,2.2 信息采集的基本原理和技术,3、操作系统扫描,1）主动探测 根据Banner信息判断,2.2 信息采集的基本原理和技术,3、操作系统扫描,1）主动探测 根据TCP/IP协议栈的指纹判断 不同操作系统在实现TCP/IP协议时，会有细微的差别。通常，我们把这种独特的差别称为“TCP/IP协议栈的指纹”。,2.2 信息采集的基本原理和技术,3、操作系统扫描,根据TCP/IP协议栈的指纹判断 ）初始化序列号,许多老的UNIX机器，其TCP初始化序列号采用“随机增量”的方式生成； Linux 2.0、新的AIX采用“真随机”生成TCP初始化序列号； Windows会采用一个“时间相关”的模型，每过一段时间ISN（初始化序列号）就被加上一个小的固定数。,2.2 信息采集的基本原理和技术,3、操作系统扫描,根据TCP/IP协议栈的指纹判断 ）TCP头部保留位的处理,TCP数据报的头部有6个保留位,一般置为0 ; 当客户端发送SYN报文时，如果保留位中第7、8两位被置为1，则低于2.0.35的Linux版本内核会在响应数据报中保持这个标记。,2.2 信息采集的基本原理和技术,3、操作系统扫描,根据TCP/IP协议栈的指纹判断 ）对ICMP差错报文的响应,A,R,To Z,Destination unreachable,Send data to Z.,I do not know how to get to Z! Send ICMP.,网络不可达； 目标不可达； 超时错误； 数据报参数错,2.2 信息采集的基本原理和技术,3、操作系统扫描,根据TCP/IP协议栈的指纹判断 ）对ICMP差错报文的响应,RFC 792标准规定：所有ICMP差错报文回复时都要包含引起差错的源报文的IP头部及64个字节的数据； RFC 1122标准允许数据达到576个字节。,2.2 信息采集的基本原理和技术,3、操作系统扫描,根据TCP/IP协议栈的指纹判断 ）对ICMP差错报文的响应,有些操作系统根据RFC 1812的建议对某些类型的差错报告频率作了限制。,协议不可达 端口不可达,2.2 信息采集的基本原理和技术,3、操作系统扫描,根据TCP/IP协议栈的指纹判断 ）对ICMP回显报文的响应,8,0,2.2 信息采集的基本原理和技术,3、操作系统扫描,2）被动监听检测 根据TTL值判断,2.2 信息采集的基本原理和技术,3、操作系统扫描,2）被动监听检测 根据TTL值判断,根据TTL值判断 向一台主机发送Ping命令,C:ping Pinging with 32 bytes of data: Reply from : bytes=32 time10ms TTL=128 Reply from : bytes=32 time10ms TTL=128 Reply from : bytes=32 time10ms TTL=128 Reply from : bytes=32 time10ms TTL=128 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms Windows 2000,根据TTL值判断 向一台主机发送Ping命令,C:ping Pinging with 32 bytes of data: Request timed out. Reply from : bytes=32 time=250ms TTL=237 Reply from : bytes=32 time=234ms TTL=237 Reply from : bytes=32 time=234ms TTL=237 Ping statistics for : Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds: Minimum = 234ms, Maximum = 250ms, Average = 179ms Unix（Sun OS 5.8）,2.2 信息采集的基本原理和技术,3、操作系统扫描,2）被动监听检测 根据滑动窗口的大小判定,2.2 信息采集的基本原理和技术,3、操作系统扫描,2）被动监听检测,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,网络拓扑结构探测是网络攻防研究的重点内容之一。 很多高校、企业、国际化组织都在致力于互联网拓扑结构发现技术的研究，例如： 国际性的组织CAIDA 美国Cornell大学 IBM、HP、Cisco（思科）等。 HP的网管软件Open View就具有一定的网络拓扑结构发现功能。,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,网络拓扑结构发现的主要任务 ： 自动发现互联网的自治域； 探测一个自治域内局域网之间的连接关系；,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,探测局域网内服务器、交换机、网络安全设备的部署,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,ICMP响应分析 基于SNMP的拓扑发现 基于路由协议分析,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,1）ICMP响应分析,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,1）ICMP响应分析 利用ICMP回显请求广播,55 (所有网络号为172.16的子网广播),,,,,55 (直接广播),55 (本地网络广播),X,本地广播IP地址： 55 55,外部网络广播 55 55,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,1）ICMP响应分析 利用子网掩码查询请求与应答报文，获取子网掩码,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,1）ICMP响应分析 利用TTL值分析从源主机到目标主机的路径信息,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,2）基于SNMP的拓扑发现 SNMP（Simple Network Management Protocol，简单网络管理协议）,2.2 信息采集的基本原理和技术,2）基于SNMP的拓扑发现,管理工作站 被管理设备 管理代理 管理信息库 网络管理协议,2.2 信息采集的基本原理和技术,2）基于SNMP的拓扑发现,Get Request,Get Next Request,Set Request,Get Response,Trap,从代理进程处提取一个或多个参数值,代理进程处提取紧跟当前参数值的下一个参数值,设置代理进程的一个或多个参数值,返回的一个或多个参数值,代理进程主动发出的报文，通知管理进程有某些事情发生,网络管理工作站,2.2 信息采集的基本原理和技术,2）基于SNMP的拓扑发现,2.2 信息采集的基本原理和技术,2）基于SNMP的拓扑发现,2.2 信息采集的基本原理和技术,3）基于路由协议分析,内部网关协议IGP（Interior Gateway Protocol） 外部网关协议EGP（External Gateway Protocol）,RIP、OSPF BGP,2.2 信息采集的基本原理和技术,5、漏洞扫描,1）什么是漏洞（vulnerability，脆弱性）？,定义一：指计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。 定义二：漏洞是指操作系统或应用软件在逻辑设计上的缺陷或在编写时产生的错误，这个缺陷或错误可以被不法者或者电脑黑客利用，通过植入木马、病毒等方式来攻击或控制整个电脑，从而窃取电脑中的重要资料和信息，甚至破坏计算机系统。,2.2 信息采集的基本原理和技术,5、漏洞扫描,1）什么是漏洞？,定义三：从广义上讲，漏洞是指所有威胁到计算机信息安全的事物。包括人员、硬件、软件、程序、数据。 2）漏洞的特性 时间性利用漏洞进行攻击的过程，称为exploit； 隐蔽性； 必然被发现性,2.2 信息采集的基本原理和技术,5、漏洞扫描,3）漏洞的分类,缓冲区溢出 内存泄露和空指针 注入攻击 跨站漏洞 权限漏洞等,2.2 信息采集的基本原理和技术,5、漏洞扫描,3）漏洞的分类,LSASS相关漏洞 RPC接口相关漏洞 IE浏览器漏洞 URL处理漏洞 URL规范漏洞 FTP溢出系列漏洞 GDI+漏洞,2.2 信息采集的基本原理和技术,5、漏洞扫描,4）漏洞扫描的基本原理,漏洞库匹配法 端口扫描，收集信息漏洞库匹配漏洞发现,2.2 信息采集的基本原理和技术,5、漏洞扫描,4）漏洞扫描的基本原理,漏洞库匹配法 目前，基于漏洞库的扫描主要包括： CGI漏洞； POP3漏洞； FTP漏洞； SSH漏洞； HTTP漏洞等。,2.2 信息采集的基本原理和技术,5、漏洞扫描,4）漏洞扫描的基本原理,模拟攻击法,2.2 信息采集的基本原理和技术,5、漏洞扫描,4）漏洞扫描的基本原理,模拟攻击法 目前，基于模拟攻击的漏洞扫描主要包括： Unicode遍历目录漏洞探测； FTP弱口令探测； Open Relay邮件转发漏洞探测等,2.2 信息采集的基本原理和技术,5、漏洞扫描,5）漏洞库简介,漏洞库就是把所有的系统安全漏洞及其相关信息存储到数据库中，方便计算机用户更详细地了解系统安全漏洞，方便用户检索自己的系统会存在哪些漏洞，可能对系统安全造成什么危害以及如何补救等。 根据对系统造成的潜在威胁以及被利用的可能性，漏洞在漏洞库中一般分为：高、中、低3个等级。,2.2 信息采集的基本原理和技术,5、漏洞扫描,5）漏洞库简介,CVE漏洞库 为了规范漏洞的描述，MITER公司建立了一个通用的漏洞列表（Common Vulnerabilities & Exposures，简称CVE）。 网址：/,2.2 信息采集的基本原理和技术,5、漏洞扫描,5）漏洞库简介,BugTraq漏洞库 BugTraq漏洞数据库是SecurityFocus公司维护的一个关于计算机安全漏洞详细信息讨论的邮件列表，内容包括： 漏洞的描述； 漏洞的渗透方法漏洞的利用； 漏洞的修补方法等,2.2 信息采集的基本原理和技术,5、漏洞扫描,5）漏洞库简介,BugTraq漏洞库 SecurityFocus公司还创建了一个与CVE相兼容的数据库。通过互联网，该数据库向用户提供5种漏洞检索方式： 软件供应商； 标题； 关键字； BugTraq ID CVE ID,/bid,2.2 信息采集的基本原理和技术,5、漏洞扫描,5）漏洞库简介, ICAT漏洞库 美国标准技术研究所维护的一个与CVE相兼容的一个漏洞数据库； 可以通过Web网页访问，可以以Microsoft Access数据库的格式下载到本地。,2.2 信息采集的基本原理和技术,5、漏洞扫描,5）漏洞库简介, ICAT漏洞库 每条漏洞记录包括： 漏洞的CVE名称； 发布时间； 描述； 危险等级； 漏洞类型； 实施范围； 受影响系统； 参考链接等。,2.2 信息采集的基本原理和技术,5、漏洞扫描,5）漏洞库简介,CERT/CC漏洞信息数据库 计算机安全应急响应组（Computer Emergency Response Team，CERT）与 CC （Common Criteria standard，通用评估准则 ）发布的数据库 ，每条漏洞记录包括： 漏洞描述、影响； 解决方案； 受影响的系统； 参考链接等。,2.2 信息采集的基本原理和技术,5、漏洞扫描,5）漏洞库简介,X-Force漏洞库 ISS公司维护的一个漏洞数据库 ，每条漏洞记录包括： 漏洞描述； 受影响的平台； 补救措施； 风险等级； 影响结果； 报告时间； 参考链接等。,2.2 信息采集的基本原理和技术,5、漏洞扫描,5）漏洞库简介,国内漏洞库 国家计算机网络入侵防范中心（） 绿盟科技（） 安全焦点（） 中国信息安全论坛（） 安络科技（） 20CN网络安全小组（） 中国计算机网络应急处理协调中心（/index.html）等。,2.3 信息采集常用的工具,分类上，黑客进行信息收集使用的工具包括： Windows命令 端口扫描器 嗅探器 漏洞扫描器 1、Windows命令 黑客进行信息收集使用的最基本、最常用的命令。,2.3 信息采集常用的工具,1、Windows命令 黑客进行信息收集使用的最基本、最常用的命令，包括： 1）Ping命令； 2）Ipconfig 3）ARP 4）Tracert 5）Netstat 6）Net,2.3 信息采集常用的工具,2、端口扫描器 1）端口扫描器简介 端口扫描器本身不是一个直接的攻击程序，它的目的是能够帮助我们发现网络中目标主机的内在弱点和漏洞。 它的目标用户主要有三类： 网络管理员； 黑客； 普通用户。,2.3 信息采集常用的工具,2、端口扫描器 2）端口扫描器的功能 一个端口扫描器一般具有： IP主机发现功能； 目标主机端口、服务开放检测功能； 操作系统类别检测功能等。 有的端口扫描器还包含了漏洞扫描功能。,2.3 信息采集常用的工具,2、端口扫描器 3）模块组成,端口扫描器,数据发送,数据接收与解析,输入/输出,参数配置,数据发送模块 调用Winsock API提供的函数，将各种配置好的扫描探测数据包发送到目标主机。,2.3 信息采集常用的工具,2、端口扫描器 3）模块组成,数据发送模块,2.3 信息采集常用的工具,2、端口扫描器 3）模块组成,数据接受与解析模块 捕获目标主机的响应； 解析响应的数据包，； 判断目标主机的端口、服务、操作系统,2.3 信息采集常用的工具,2、端口扫描器 3）模块组成,输入/输出模块 可视化的图形用户界面，负责解析输入的控制命令，进行参数配置，比如：,目标IP地址范围； 起始端口 扫描时延等,2.3 信息采集常用的工具,2、端口扫描器 3）模块组成,参数配置模块 负责把用户的配置信息保存到配置文件中，以便下次启动时使用用户默认的配置。,2.3 信息采集常用的工具,2、端口扫描器 4）常用的端口扫描工具 PortScan PortScan是一款由Tommy Kammerer开发的，小巧、轻便、无需安装的绿色版端口扫描软件。 它可以用于扫描目的主机的开放端口，并猜测目的主机的操作系统，支持Wi-Fi和3G网络。,2.3 信息采集常用的工具,2、端口扫描器 4）常用的端口扫描工具 PortScan,快速扫描，速度可调节; 可以保存扫描结果； 可以设定扫描起始地址,2.3 信息采集常用的工具,2、端口扫描器 4）常用的端口扫描工具 Superscan,通过Ping来检验IP是否在线； IP和域名相互转换； 可以尝试发送TCP连接到目标主机，检测主机运行的服务； 可以设定扫描的主机IP地址范围和端口；,2.3 信息采集常用的工具,2、端口扫描器 4）常用的端口扫描工具 X-Scan X-Scan是安全焦点的产品，功能包括： 远程操作系统类型及版本； 标准端口状态及端口BANNER信息； 漏洞扫描，例如CGI漏洞，IIS漏洞，RPC漏洞； SQL-SERVER、FTP、NT-SERVER等弱口令用户； NETBIOS信息等。,2.3 信息采集常用的工具,2、端口扫描器 4）常用的端口扫描工具 X-Scan,扫描结果保存在/log/目录中。 对于一些已知漏洞，给出了相应的漏洞描述、利用程序及解决方案。,2.3 信息采集常用的工具,3、漏洞扫描器 1）软件结构,2.3 信息采集常用的工具,3、漏洞扫描器 2）常用的漏洞扫描工具,X-Scan Nmap Nessus 流光Fluxay,2.3 信息采集常用的工具,2）常用的漏洞扫描工具 Nmap（Network Mapper）简介,一款开放源代码的网络探测和安全审核的工具， 目前使用最为广泛的端口扫描和漏洞扫描工具之一。 Nmap可以在Windows、Unix/Linux、MAC OS平台下运行。,官方网站：/nmap/,2.3 信息采集常用的工具,2）常用的漏洞扫描工具 Nmap目标与功能,Nmap通常用于安全审核，许多系统管理员和网络管理员也用它来做一些日常的工作 Nmap还是黑客用作端口和漏洞扫描的利器。,发现网络上有哪些主机； 那些主机提供什么服务（应用程序名和版本）； 各种服务运行在什么操作系统（包括版本信息）； 以及服务器使用了什么类型的报文过滤器/防火墙,2.3 信息采集常用的工具,2）常用的漏洞扫描工具 Nmap下载和使用,Nmap命令行 Zenmap,Zenmap支持 Windows Unix/Linux MAC OS,2.3 信息采集常用的工具,2）常用的漏洞扫描工具 Nessus,客户机：执行漏洞扫描的设置及显示报告； 服务器：执行漏洞扫描。,2.3 信息采集常用的工具,2）常用的漏洞扫描工具 Nessus,Nessus支持两种漏洞扫描技术： 基于漏洞的匹配方法 基于插件(Plug-in)方法,利用Nessus提供的攻击脚本语言NASL(Nessus Attack Script Language)可以编写插件； 扫描结果可以使用HTML、纯文本、XML、LaTeX等格式保存。,2.3 信息采集常用的工具,2）常用的漏洞扫描工具 Nessus,Nessus支持多种操作系统平台，包括： Linux、FreeBSD、Solaris、Mac OSX和Windows； 具有检测漏洞多、准确、快速、免费等众多优势； 官方网站/下载。,2.3 信息采集常用的工具,2）常用的漏洞扫描工具 流光Fluxay,流光主要针对Windows系统的安全漏洞，包括Pop3、FTP、HTTP、Proxy、Form、SQL、SMTP及IPC$等各种漏洞； 流光Fluxay不仅能扫描Windows系统的安全漏洞，而且可以实施漏洞攻击，破解用户登录密码；,2.3 信息采集常用的工具,2）常用的漏洞扫描工具 流光Fluxay,流光网络安全管理人员的安全审计攻击，它可以模拟攻击者对目标网络和系统进行攻击测试，以评估目标网络和主机的抗攻击能力。因此，它是一款功能强大的渗透测试工具。 流光的主要功能：,漏洞扫描 暴力破解 网络嗅探 渗透工具 字典工具,2.3 信息采集常用的工具,4、嗅探器 1）定义 嗅探器（Sniffer）是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。 大部分的网络通信协议，例如FTP、Telent、SMTP、POP、HTTP协议等都采用明文来传输数据,Hub连接形成LAN,2.3 信息采集常用的工具,4、嗅探器 在一个共享的局域网内，嗅探器不仅能捕获用户的账号、密码等敏感信息，还能用来 监测网络的流量 目标主机的活动状态，例如：目标主机与谁通信过，目标主机使用了哪些通信协议等。,Hub连接形成LAN,2.3 信息采集常用的工具,4、嗅探器 2）嗅探器的工作原理 共享局域网与交换局域网的基本概念,Hub连接的 共享局域网,Switch连接的 交换局域网,2.3 信息采集常用的工具,4、嗅探器 2）嗅探器的工作原理 共享局域网与交换局域网的基本概念,利用集线器构建的共享局域网,利用集线器搭建的局域网本质上是一种基于广播的共享网络； 优点：设备简单，成本低廉 缺点：主机通信相互干扰、安全性差,2.3 信息采集常用的工具,4、嗅探器 2）嗅探器的工作原理 共享局域网与交换局域网的基本概念,利用交换机构建的交换局域网,2.3 信息采集常用的工具,4、嗅探器 2）嗅探器的工作原理 共享局域网与交换局域网的基本概念,利用交换机构建的交换局域网,2.3 信息采集常用的工具,4、嗅探器 2）嗅探器的工作原理 网卡的工作原理,在以太网环境下，每个网卡都有一个48比特的物理地址MAC地址； 每个网卡的MAC地址都是全球唯一的； 在一个以太网中，一个网卡，正常的情况下，只响应这样的两种数据帧：,与自己硬件地址（MAC）相匹配的数据帧。 发向所有机器的广播数据帧。,2.3 信息采集常用的工具,4、嗅探器 2）嗅探器的工作原理 网卡的工作原理,1、网卡接收到传输来的数据，网卡内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收； 2、如果认为该接收就接收，随后产生中断信号通知CPU； 3、如果认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道；,2.3 信息采集常用的工具,4、嗅探器 2）嗅探器的工作原理 网卡的工作原理,4、CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据； 5、驱动程序接收数据后放入信号堆栈让操作系统处理。,网卡的四种工作模式,1、广播方式：该模式下的网卡能够接收网络中的广播信息。 2、组播方式：设置在该模式下的网卡能够接收组播数据。 3、直接方式：在这种模式下，只有目的网卡才能接收该数据。 4、混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。,2.3 信息采集常用的工具,4、嗅探器 2）嗅探器的工作原理,2.3 信息采集常用的工具,3）嗅探器的实现 WinPcap简介 WinPcap是一款在Windows操作环境下的免费、公开的用于直接访问网络接口的开发工具包（编程API）。,2.3 信息采集常用的工具,3）嗅探器的实现 WinPcap功能 WinPcap支持：,网卡混杂模式的设置； 数据过滤。在将数据包发送给应用程序之前按照用户的规定对捕获的数据包进行过滤。 原始数据报的构造。数据包伪造。 数据包统计。对网络通信进行统计等。,2.3 信息采集常用的工具,3）嗅探器的实现 WinPcap功能 基于WinPcap可以开发：,网络协议分析仪 网络流量分析仪 端口扫描器 漏洞扫描器 嗅探器 简单的路由器 入侵检测系统等。,2.3 信息采集常用的工具,3）嗅探器的实现 WinPcap的软件结构,1、NPF Device Driver 一个数据包监听的设备驱动程序 ，其任务是独立于操作系统实现数据的收发； NPF依赖于系统软硬件平台的实现。,Windows95/98/ME：VXD WindowsNT/2000：SYS,2.3 信息采集常用的工具,3）嗅探器的实现 WinPcap的软件结构,2、packet.dll 基于该接口开发的应用程序只能在Windows特定的平台下运行。,2.3 信息采集常用的工具,3）嗅探器的实现 WinPcap的软件结构,3、packet.dll 跨平台的编程接口，可以在Windows2000/XP/Windows7等多个平台下运行； 与Unix平台下的Libpcap体系架构类似，可以跨Unix、Linux平台运行。,2.3 信息采集常用的工具,4）常用的嗅探器工具 Sniffer Pro简介,Sniffer是NAI公司推出的功能强大的协议分析软件。它可以解析大约550种协议。 网络管理员、系统管理员利用它主要可以进行：,协议分析 网络故障诊断 评估业务、网络运行状态 发现潜在的威胁 流量分析与性能预测,2.3 信息采集常用的工具,4）常用的嗅探器工具 Sniffer Pro简介,Sniffer Pro是一款商业化的运行在Java虚拟机上的嗅探器； Sniffer Pro需要JDK的支持；,Sniffer Pro功能与操作,网络的使用率,网络的每秒错误率,每秒钟通过的包数量,Sniffer Pro功能与操作,Sniffer Pro功能与操作,“Detail”显示整个网络中的协议分布情况，可清楚地看出哪台机器运行了哪些协议,Sniffer Pro功能与操作,Bar（流量列表）显示的是整个网络中的机器所用带宽前10名的情况。显示方式是柱状图,Sniffer Pro功能与操作,绿线表示正在发生的网络连接，蓝线表示过去发生的连接。,Sniffer Pro功能与操作,特定主机的连接,我的主机,Sniffer Pro数据包捕获,）第一步，选择网卡,Sniffer Pro数据包捕获,）第二步，选择主机,Sniffer Pro数据包捕获,Sniffer Pro数据包捕获,）案例分析,Sniffer Pro数据包捕获,）案例分析,Sniffer Pro数据包捕获,）案例分析,Sniffer Pro数据包捕获,）案例分析,2.3 信息采集常用的工具,4）常用的嗅探器工具 wireshark,Wireshark是一款基于WinPCap的开源数据包捕获和协议分析软件； 它可以跨平台运行在Unix，Windows等多个系统中； 它是目前最广泛的网络封包分析软件之一。,2.3 信息采集常用的工具,wireshark,2.3 信息采集常用的工具,wireshark,2.3 信息采集常用的工具,wireshark,2.3 信息采集常用的工具,wireshark捕获案例,1）打开登录网页 2）启动数据包捕获,2.3 信息采集常用的工具,wireshark捕获案例,2.3 信息采集常用的工具,wireshark捕获案例,4）停止包捕获 5）查找数据包,2.3 信息采集常用的工具,wireshark捕获案例,用户名,密码,2.4 交换式网络上的嗅探,Sniffer Pro、wireshark只能工作在共享式局域网内。它们不能实现远程监听，也不能用于交换式的网络； 交换式局域网的监听需要专门的技术,2.4 交换式网络上的嗅探,1、ARP欺骗,ARP（Address Resolution Protocol，地址解析协议）是网络层上的一个协议，它的作用是将IP地址解析成MAC地址； 每一台主机的内存都有一张ARP的缓存表。,2.4 交换式网络上的嗅探,1、ARP欺骗,1. 检查ARP缓存 2. 发出ARP广播请求 3. 将A的MAC加入ARP缓存中 4. 回应ARP消息 5. 将C的MAC加入ARP缓存中 6. 使用IP发送数据,2.4 交换式网络上的嗅探,1、ARP欺骗,55,2.4 交换式网络上的嗅探,1、ARP欺骗,1. 检查ARP缓存 2. 发出ARP广播请求 3. 将A的MAC加入ARP缓存中 4. 回应ARP消息 5. 将C的MAC加入ARP缓存中 6. 使用IP发送数据,2.4 交换式网络上的嗅探,1、ARP欺骗,为了确保通信的可靠性，ARP的缓存表都是动态更新的。比如： Router，4小时 服务器，10分钟或更多 Windows95，120秒,2.4 交换式网络上的嗅探,1、ARP欺骗,2.4 交换式网络上的嗅探,1、ARP欺骗,目的IP：主机A的IP,2.4 交换式网络上的嗅探,1、ARP欺骗,2.4 交换式网络上的嗅探,2、交换机MAC地址表溢出,当交换机被错误的转发表填满后，它就不能进行正常的数据包的端到端转发了，为了不漏掉数据包，交换机一般会采取广播（泛洪）的方式将所有的数据包转发出去。,2.4 交换式网络上的嗅探,3、MAC地址伪造,2.4 交换式网络上的嗅探,4、ICMP重定向攻击,11.3 各种ICMP数据报,7） 重定向,路由器和主机都必须使用路由表来引导数据报的发送和转发。路由器的路由表是动态更新的，而主机的路由表通常是静态的（因为主机数量很多，动态更新可能会严重占用带宽），且其路由条数很有限。重定向报文由路由器发给主机，帮助主机更新路由表,2.4 交换式网络上的嗅探,4、ICMP重定向攻击 2）基于ICMP重定向的数据监听,2.5 嗅探器的检测与防范,1）ARP广播地址探测,正常的情况下，一个网卡只接收两种类型的数据帧：,发向所有机器的广播数据帧。 与自己硬件地址（MAC）相匹配的数据帧。,工作在混杂模式下的网卡接收局域网内所有的数据帧。 正常网卡检测广播地址：FF-FF-FF-FF-FF-FF 混杂模式的网卡检测广播地址：以太网址的第一个八位组是0xFF 构造一个ARP的请求包，设置它的目标MAC地址为：FF-00-00-00-00-00,2.5 嗅探器的检测与防范,2）PING方法,嗅探器一般运行在安装了TCP/IP协议栈的主机上，它们都会响应Ping命令； PING方法检测嗅探器的原理：向一台可疑主机发送包含正确IP地址和错误MAC地址的Ping数据报，观察可以主机的响应。,2.5 嗅探器的检测与防范,2）PING方法,假设，检测者和可疑主机位于同一网段，可疑主机的 IP 地址为 0，MAC地址是AA-BB-CC-DD-EE-EE。,2.5 嗅探器的检测与防范,3）DNS方法,大部分嗅探器都会发送DNS反向数据查询数据报。 DNS正向查询：域名主机的IP地址 DNS反向查询:IP地址主机名。,DNS方法的原理：在局域网内Ping一个不存在的主机，检测DNS服务器接收的反向查询请求,2.5 嗅探器的检测与防范,4）源路径方法,嗅探器一般运行在安装了TCP/IP协议栈,2.5 嗅探器的检测与防范,5）等待时间方法,安装了嗅探器的主机，在你发送大量垃圾数据报后，它的CPU利用率一定会升高，对Ping命令的响应肯定会变得迟钝。,2.5 嗅探器的检测与防范,6）其他的方法,检测嗅探器还有很多其他的方法，例如 诱骗的方法。 检测网络带宽利用率。,2.5 嗅探器的检测与防范,6）其他的方法,检测嗅探器还有很多其他的方法，例如 诱骗的方法。 检测网络带宽利用率。 观察网络通讯的丢包率。,目标系统信息收集技术 小结,1）信息收集是黑客入侵的第一步。黑客在入侵一个目标主机前，必须收集哪些信息？ 2）黑客是如何完成信息收集的？ 怎么检测主机开放的端口、服务，主机的操作系统、主机存在的安全漏洞？ 3）了解常见的信息采集工具 端口扫描器、漏洞扫描器、嗅探器等 4）交换式网络上的嗅探技术 5）嗅探器的检测与防范,附录 Windows常用网络命令 ipconfig 命令介绍,ipconfig 命令获得主机配置信息，包括 IP 地址、子网掩码和默认网关。,ipconfig参数使用,1 ipconfig 当使用IPConfig时不带任何参数选项，那么它为每个已经配置了的接口显 示IP地址、子网掩码和缺省网关值。,2 ipconfig /all 当使用all选项时，IPConfig能为DNS和WINS服务器显示它已配置且所要 使用的附加信息（如IP地址等），并且显示内置于本地网卡中的物理地址 （MAC）。如果IP地址是从DHCP服务器租用的，IPConfig将显示DHCP 服务器的IP地址和 租用地址预计失效的日期。,3 ipconfig /release和ipconfig /renew 这是两个附加选项，只能在向DHCP服务器租用其IP地址的计算机上起作用。 如果我们输入ipconfig /release，那么所有接口的租用IP地址便重新交付给 DHCP服务器（归还IP地址）。如果我们输入ipconfig /renew，那么本地 计算机便设法与DHCP服务器取得联系，并租用一个IP地址。请注意， 大多数情况下网卡将被重新赋予和以前所赋予的相同的IP地址。,ipconfig参数使用,4 ipconfig/displaydns 显示本机上的DNS域名解析表 5、ipconfig/flushdns 删除本机上DNS域名解析列表 6、ipconfig/registerdn