网络安全第三讲.ppt

第三章网络侦察技术 3 第三章网络侦察技术 3 1 网络监听 3 2 口令破解 3 3 网络扫描 3 网络扫描 网络扫描重点介绍三种扫描类型地址扫描端口扫描漏洞扫描常用的扫描器NmapNessusX Scan 3 1 扫描 扫描器的定义扫描的类型常用的扫描器对抗方法 扫描器的定义 扫描器是一种收集系统信息 自动检测远程或本地主机安全性弱点的程序 扫描器的作用 可以发现远程服务器是否存活 它对外开放的各种TCP端口的分配及提供的服务 它所使用的软件版本 如操作系统或其他应用软件的版本 所存在可能被利用的系统漏洞 扫描的类型 按照目标分类 地址扫描 发现计算机网络上存活的计算机 端口扫描 发现计算机网络的服务 端口号和网络服务相关联 漏洞扫描 发现计算机系统上的漏洞 端口扫描 入侵者在进行攻击前 首先要了解目标系统的一些信息 如目标主机运行的是什么操作系统 是否有保护措施 运行什么服务 运行的服务的版本等等 判断运行服务的方法就是通过端口扫描 因为常用的服务是使用标准的端口 只要扫描到相应的端口 就能知道目标主机上运行着什么服务 然后入侵者才能针对这些服务进行相应的攻击 端口扫描 端口的类型由IANA InternetAssignedNumbersAuthority 分配熟知端口 0 1023 分配给常用的网络服务注册端口 1024 49151 分配给其他网络服务私有 动态 端口 49152 65535 客户端临时端口操作系统对TCP IP协议的实现满足RFC RequestForComments 文档 RFC793 TransmissionControlProtocolRFC768 UserDatagramProtocol TCPConnect CONNECTSCAN ACK ACK TCPSYN ACK ACK TCPFIN TCPXMAS树 TCP空扫描 其他端口扫描方式的实现方法 构造特定的数据包使用原始套接字编程 RawSocket 漏洞扫描 漏洞扫描是指使用漏洞扫描程序对目标系统进行信息查询漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序外部扫描与内部扫描是否通过Internet来进行 常用的扫描器 常用的扫描器 Nmap 端口扫描器 UDP TCPconnect TCPSYN 半开 ftpproxy 跳跃攻击 Reverse ident ICMP ping FIN ACKsweep XmasTree SYNsweep和NULL扫描 通过TCP IP来鉴别操作系统类型 秘密扫描 动态延迟和重发 平行扫描 通过并行的Ping侦测下属的主机 欺骗扫描 端口过滤探测 直接的RPC扫描 分布扫描 灵活目标选择以及端口的描述 Nessus 漏洞扫描器 www nessus orgNessus是图形化的界面 使得它使用起来相当简便 它还对扫描出的漏洞给出详细的利用方法和补救方法 所以 Nessus是攻击者和网管都应该学会使用的漏洞检查利器 X scanhttp xfocus org提供了图形界面和命令行两种操作方式远程操作系统类型及版本 标准端口状态及端口banner信息 CGI漏洞 RPC漏洞 SQL SERVER默认帐户 弱口令 NT主机共享信息 用户信息 组信息 NT主机弱口令用户 RetinaSAINTHPING2FirewalkNIKTOGFILANGUARDISSSecurityScannerNetcraft 参考 Top100NetworkSecurityTools http sectools org 对抗扫描的方法 防火墙 阻止扫描数据 网络入侵检测系统 检测扫描数据 仅仅允许必须的端口开放 过滤或关闭其他端口 管理员适当配置系统的TCP IP协议栈的性质 以对抗操作系统的指纹识别 使用者的安全教育 3 3 2 网络监听 网络嗅探的目的是截获通信的内容 嗅探 监听 的方法是对协议进行分析 当黑客成功地登录进一台网络上的主机 并取得了root权限之后 而且还想利用这台主机去攻击同一网段上的其它主机时 这时网络监听是一种最简单而且最有效的方法 它常常能轻易地获得用其他方法很难获得的信息 以太网的监听共享以太网上的嗅探器以太网逻辑上是总线拓扑结构 采用广播的通信方式 数据的传输是依靠帧中的MAC地址来寻找目的主机 只有与数据帧中目标地址一致的那台主机才能接收收据 广播帧除外 它永远都是发送到所有的主机 但是 当网卡工作在混杂模式 Promiscuous 下时 无论帧中的目标物理地址是什么 主机都将接收 如果在这台主机上安装嗅探器 就可以达到监听的目的 交换式网络上的嗅探器 EthernetSwitch 交换以太网中 交换机能根据数据帧中的目的MAC地址将数据帧准确地送到目的主机的端口 而不是所有的端口 所以交换式网络环境在一定程度上能抵御Sniffer攻击 在交换环境中 Sniffer的简单的做法就是伪装成为网关 欺骗交换机 常用工具ARP欺骗 ARPpoisoning spoofing 中间人 攻击 参考资料 Wikipedia ARPspoofing http en wikipedia org wiki ARP spoofing 什么是ARP ARP AddressResolutionProtocol 提供IP地址到相应的硬件地址 物理地址或MAC地址 之间的映射应用在局域网中 广播ARP请求 IP地址称为逻辑地址 数据在物理网络上传输使用的是硬件地址 数据链路层协议帧封装的需要 如果一台主机需要知道路由器或另外一台主机的物理地址 就需要使用ARP协议 控制信息有 ARP请求 广播 和ARP应答 单播 ARP请求和响应是内核处理的 参考资料 W RichardStevens TCP IP详解卷I 协议 机械工业出版社 2000 ARP基本原理 以太网 ARP请求 141 23 56 23的硬件地址是多少 141 23 56 21 141 23 56 22 141 23 56 23 00 50 56 C0 00 08 00 55 16 B0 01 03 01 53 36 CC 00 FE A B C 例如 主机A与主机C进行通信 第一步 主机A广播一个ARP请求 ARP基本原理 第二步 单播响应 保存映射 以太网 141 23 56 21 141 23 56 22 141 23 56 23 ARP响应 141 23 56 23的硬件地址是 00 50 56 C0 00 08 00 50 56 C0 00 08 00 55 16 B0 01 03 01 53 36 CC 00 FE 141 23 56 23 00 50 56 C0 00 08 141 23 56 21的映射表 ARP高速缓存 A B C 网络交换机的工作过程 交换机地址映射表 1 2 141 23 56 21 01 53 36 CC 00 FE 141 23 56 23 00 50 56 C0 00 08 3 141 23 56 22 00 55 16 B0 01 03 A C B 源端 目的端 Router192 168 1 21 Attacker Victim192 168 1 25 Victim sARPCache Step1AttackersaysthathisIPis192 168 1 21andhisMACaddressis say ATTACKERS MAC ARP欺骗过程 A C B Router192 168 1 21 Attacker Victim192 168 1 25 Victim sARPCache Step1AttackersaysthathisIPis192 168 1 21andhisMACaddressis say ATTACKERS MAC B C A Router192 168 1 21 Attacker Victim192 168 1 25 Victim sARPCache Step2Victim sInternettrafficforwardedtoattacker ssystemasitsMACaddressisassociatedwiththeRouter B C A Router192 168 1 21 Attacker Victim192 168 1 25 Victim sARPCache Step3AttackerforwardsthetraffictotheRouter B C A 网络监听的防范方法确保以太网的整体安全性采用加密技术 口令破解 黑客攻击目标时常常把破译普通用户的口令作为攻击的开始 字典文件用户的名字 生日 电话号码 身份证号码 所居住街道的名字等 3 3 口令破解 口令攻击类型字典攻击强行攻击组合攻击口令破解器工作原理 口令破解 Windows口令破解Windows2000的口令存放SAM SecurityAccountManager LM LanManager NTLM Windows2000LANManager Windows2000口令破解程序CainandAbel http www oxid it cain html JohntheRipper Ophcrack 口令破解 U