第三章：计算机安全-3.1扫描

1,计算机安全技术,网络攻击与防御,2,攻击技术,如果不知道如何攻击，再好的防守也是经不住考验的，攻击技术主要包括五个方面：1、踩点：调查被攻击的目标2、网络扫描和监听：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。3、网络入侵：当探测发现对方存在漏洞以后，入侵到目标计算机获取信息。4、网络后门：成功入侵目标计算机后，为了对“战利品”的长期控制，在目标计算机中种植木马等后门。5、网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。,3,攻击和安全的关系,黑客攻击和网络安全的是紧密结合在一起的，研究网络安全不研究黑客攻击技术简直是纸上谈兵，研究攻击技术不研究网络安全就是闭门造车。某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。网络攻击有善意也有恶意的，善意的攻击可以帮助系统管理员检查系统漏洞，恶意的攻击可以包括：为了私人恩怨而攻击、商业或个人目的获得秘密资料、民族仇恨、利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙以及一些无目的攻击。,4,主要攻击技术,扫描技术协议分析（嗅探器）网络入侵网络欺骗网络后门,5,计算机网络系统的组成,硬件网络节点端节点：计算机中间节点：交换机、集中器、复用器、路由器、中继器通信链路：信息传输的通道物理：传输介质逻辑：信道类比CATV的电缆和频道之间的关系软件通信软件（网络协议软件）网络操作系统网络管理/安全控制软件、网络应用软件,6,扫描攻击(scan),7,网络踩点,踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确）。常见的踩点方法包括：在域名及其注册机构的查询（whois）公司性质的了解对主页进行分析邮件地址的搜集目标IP地址范围查询。踩点的目的就是探察对方的各方面情况，确定攻击的时机。模清除对方最薄弱的环节和守卫最松散的时刻，为下一步的入侵提供良好的策略。,8,网络扫描,第二步执行扫描一般分成两种策略:一种是主动式策略另一种是被动式策略。扫描利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告,9,扫描器（scanner）,扫描器是一种自动检测远程或本地主机安全性弱点的软件。主要有端口扫描器和漏洞扫描器两种。扫描器通常集成了多种功能。,端口扫描器的作用是进行端口探测，检查远程主机上开启的端口。,漏洞扫描器则是把各种安全漏洞集成在一起，自动利用这些安全漏洞对远程主机尝试攻击，从而确定目标主机是否存在这些安全漏洞。,因此，扫描器是一把双刃剑，系统管理员使用它来查找系统的潜在漏洞，而黑客利用它进行攻击。,10,扫描攻击的目的,目标主机运行的操作系统,是否有的安全保护措施,运行那些服务,服务器软件的版本,存在哪些漏洞,目标网络的网络拓扑结构,11,扫描类型,网络(地址)扫描发现活动主机，获取网络拓扑结构端口扫描确定运行在目标系统上的TCP和UDP服务确定目标系统的操作系统类型确定特定应用程序或特定服务的版本漏洞扫描确定特定服务存在的安全漏洞,12,网络扫描了解网络情况,目的黑客首先希望了解你的网络中的详细情况，比如网络拓扑结构，活动主机IP地址，主要服务器，路由器和防火墙。黑客使用扫描工具一般先扫描你的网关、DMZ系统，各种服务器等Internet周边环境，在控制了你的网络周边环境后，再继续攻击你的内部网络。,种类,发现活跃主机,跟踪路由,13,发现活跃主机,Ping：发送一个ICMP回显请求(echorequest)数据包，如果目标主机响应一个ICMP回显应答响应(echoreplay)数据包，则表示这是一个活跃主机。,TCP扫描：许多网络防火墙都阻塞ICMP消息，因此，发送一个TCPack包到80端口，如果获得了RST返回，机器是活跃的。,14,TTL&Hop基本概念,跳(Hop)：IP数据包经过一个路由器就叫做一个跳。,TTL在路由器中如何工作？,当路由器收到一个IP数据包时，它首先将这个IP数据包的TTL字段减1，如果TTL为0则路由器抛弃这个数据包，并向源IP地址发送一个连接超时的ICMP数据包。如果不为0则根据路由表将这个数据包发送到下一个路由器或目的网络。,15,跟踪路由(tracerouting),黑客可以利用TTL值来确定网络中数据包的路由路径，通过发送一系列TTL值递增的数据包来发现到达目的主机的路由路径。Unix下的跟踪路由工具是Traceroute，发送有递增的TTL值的UDP数据包，同时寻找返回的ICMP超时消息。windows下的跟踪路由工具是tracert。,黑客使用跟踪路由（tracerouting）技术来确定目标网络的路由器和网关的拓扑结构。,16,如何防御网络扫描,利用防火墙和路由器的数据包过滤功能来阻塞这些消息，还应该阻塞所有流入的ICMP消息，另外，也可以过滤从你的网络流出的ICMP超时信息，从而完全拒绝traceroute的访问。,17,常见的端口扫描技术,TCPconnect扫描,SYN扫描,FIN扫描,反向映射扫描,慢速扫描,UDP扫描,IP分片扫描,FTP反弹扫描,ident扫描,RPC扫描,源端口扫描,18,被扫描主机的响应,TCP扫描的响应：目标主机响应SYN/ACK，则表示这个端口开放。目标主机发送RST，则表示这个端口没有开放。目标主机没有响应，则可能是有防火墙或主机未运行。,UDP扫描的响应：目标主机响应端口不可达的ICMP报文则表示这个端口关闭。目标主机没有响应，并且目标主机响应了ping，则这个端口被打开，如果防火墙阻塞了ICMP消息，则这个端口可能是关闭的。,19,OSfingerprinting操作系统的指纹识别,根据不同类型的操作系统的TCP/IP协议栈的实现特征(stackfingerprinting)来判别主机的操作系统类型。,不同的操作系统厂商的TCP/IP协议栈实现存在细微差异，对于特定的RFC文档作出不同的解释。,向目标主机发送特殊的数据包，然后根据目标主机的返回信息在扫描工具的操作系统指纹特征数据库中查找匹配的操作系统名。,20,主动与被动的协议栈指纹识别,主动协议栈指纹识别：扫描器主动地向目标系统发送特殊格式的数据包，这种方式可能会被网络IDS系统检测出来。,被动协议栈指纹识别：通过被动地监听网络流量，来确定目标主机地操作系统。一般根据数据包的一些被动特征：TTL，窗口大小，DF等。,21,扫描应用软件版本,在第一次连接时，许多软件都公布了版本号(如sendmail,FTP,IMAPD，Apache等)。黑客根据这些连接信息(banner)就可以知道目标的应用软件的版本信息。根据版本号很容易在网上查到它的已知漏洞，根据这些漏洞对目标主机进行攻击。,22,常见的扫描工具,NAMP，,Foundstone公司的Robinkeir开发的,流光fluxay4.7,23,如何防御端口扫描,关闭所有不必要的端口,自己定期的扫描网络主机、开放的端口,使用基于状态数据包过滤器或是代理等智能防火墙来阻塞黑客的扫描攻击,24,漏洞扫描工具,Nessus：最好的开放源代码风险评估工具，可以运行在Linux、BSD、Solaris。能够完成超过1200项的远程安全检查，具有多种报告输出能力。并且会为每一个发现的安全问题提出解决建议。网址：ISSInternetScanner：应用层风险评估工具，商业漏洞扫描软件。X-Scan等,25,案例漏洞扫描,使用工具软件X-Scan-v3.3该软件的系统要求为：Windows9x/NT4/2000。该软件采用多线程方式对指定IP地址段(（或单机）进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式扫描内容包括：远程操作系统类型及版本标准端口状态及端口Banner信息SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用户，NT服务器NETBIOS信息注册表信息等。,26,主界面,扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。主界面如图4-14所示。,27,扫描参数,可以利用该软件对系统存在的一些漏洞进行扫描，选择菜单栏设置下的菜单项“扫描参数”，扫描参数的设置如图4-15所示。,28,扫描参数,可以看出该软件可以对常用的网络以及系统的漏洞进行全面的扫描，选中几个复选框，点击按钮“确定”。下面需要确定要扫描主机的IP地址或者IP地址段，选择菜单栏设置下的菜单项“扫描参数”，扫描一台主机，在指定IP范围框中输入：09-09，如图4-16所示。,29,漏洞扫描,设置完毕后，进行漏洞扫描，点击工具栏上的图标“开始”，开始对目标主机进行扫描，如图4-17所示。,30,嗅探（Sniffer）技术,31,网络监听,在一个共享式网络，可以听取所有的流量是一把双刃剑管理员可以用来监听网络的流量情况开发网络应用的程序员可以监视程序的网络情况黑客可以用来刺探网络情报目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer),32,Sniffer(嗅探器)简介,嗅探器是能够捕获网络报文的设备（软件或是硬件），嗅探器这个术语源于通用网络公司开发的能够捕获网络报文的软件Sniffer。从此以后Sniffer就成为这类产品的代名词，所有协议分析软件都被称为Sniffer。,Sniffer的工作在很大程度是是依赖于目前局域网（以太网）以及网络设备的工作方式。它主要针对协议栈的数据链路层。,33,以太网络的工作原理,载波侦听/冲突检测(CSMA/CD,carriersensemultipleaccesswithcollisiondetection)技术载波侦听：是指在网络中的每个站点都具有同等的权利，在传输自己的数据时，首先监听信道是否空闲如果空闲，就传输自己的数据如果信道被占用，就等待信道空闲而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突以太网采用了CSMA/CD技术，由于使用了广播机制，所以，所有与网络连接的工作站都可以看到网络上传递的数据,34,以太网卡的工作模式,网卡的MAC地址(48位)通过ARP来解析MAC与IP地址的转换用ipconfig/ifconfig可以查看MAC地址正常情况下，网卡应该只接收这样的包MAC地址与自己相匹配的数据帧广播包网卡完成收发数据包的工作，两种接收模式混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据包(和组播数据包)为了监听网络上的流量，必须设置为混杂模式,35,共享网络和交换网络,共享式网络通过网络的所有数据包发往每一个主机最常见的是通过HUB连接起来的子网交换式网络通过交换机连接网络由交换机构造一个“MAC地址-端口”映射表发送包的时候，只发到特定的端口上,36,共享式网络示意图,37,Sniffer的原理,监听器Sniffer的原理：在局域网中与其他计算机进行数据交换的时候，发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。,38,sniffer的用途,Sniffer的正当用处是分析网络流量，确定网络故障原因。比如：网络的某一段出现问题，报文传输非常慢，而管理员又不知道那里出了问题。这时，就可以利用sniffer来确定网络故障原因。另外，利用sniffer还可以统计网络流量。,黑客利用sniffer软件来捕获网络流量，从中发现用户的各种服务的帐号和口令。,39,Sniffer工作的必要条件,sniffer工作在共享式以太网，也就是说使用Hub来组成局域网。,本机的网卡需要设置成混杂模式。,本机上安装处理数据包的嗅探软件,需要系统管理员权限来运行sniffer软件。,40,Sniffer支持的协议,数据链路层：ethernet,网络层：IP，ICMP，IGMP,传输层：TCP，UDP,IPX,DECNet,各种应用层协议：HTTP，FTP，POP3，telnet。,41,Sniffer造成的危害,Sniffer属于第二阶段的攻击，也就是说黑客已经进入了目标系统，然后安装sniffer软件来进一步获取同一网段或其他网段中用户信息。Sniffer能够捕获口令。那些使用明文传输的数据的协议，都可能被sniffer捕获到用户口令。比如：FTP,telnet等协议。一般来说，黑客只捕获每个数据包的前200300bytes，然后将这些数据保存到目标主机的某个日志文件中。Sniffer软件几乎可以捕获所有的以太网上的网络数据包。,42,被动嗅探vs主动嗅探,被动嗅探：这种方式的sniffer只是被动地等待网络数据流量经过它们，静静地从LAN中捕获数据包。,主动嗅探：在交换环境中，进行sniffer攻击需要首先冒充网关，这样就可以捕获到整个网段向外的网络流量。网关是一个网络连接到其他网络的接口，所有访问其他网络的数据报文都必须经过网络来转发。,43,交换网络中的嗅探攻击,MACFLOOD（MAC地址泛滥）向LAN中发送大量的随机MAC地址，由于交换机把每个链路上使用的MAC地址都保存在它的内存中，当交换机的内存被耗尽时，交换机就会将数据包发送到所有的链路上，这时交换机变成了集线器。,44,在交换式网络上监听数据包,ARP重定向技术，一种中间人攻击,A,B,GW,1B打开IP转发功能,2B发送假冒的arp包给A,声称自己是GW的IP地址,3A给外部发送数据，首先发给B,4B再转发给GW,做法：利用dsniff中的arpredirect工具,45,ARP病毒应对,46,ARP病毒工作原理,正常的局域网络运作方式,校园网,网关,个人计算机,个人计算机,个人计算机,个人计算机,47,ARP病毒工作原理,有计算机感染ARP病毒后的局域网,校园网,网关,个人计算机,个人计算机,个人计算机,感染病毒的个人计算机,病毒在局域网中向正常的计算机发送伪造的网关ARP信息,使得其它计算机将它当成网关进行数据通信,从而窃取其它用户个人信息,账号密码等数据资料,或者在用户浏览的网页中插入恶意代码.由于部分ARP病毒编写人员的水平有限,病毒工作不正常时就导致其它计算机不能正常使用或完全无法使用网络.,48,49,ARP病毒检测,局域网内有ARP病毒的现象上网时断时续,网速变慢,可能连内网主页也无法打开浏览网页时出现与网页内容无关的弹出窗口ARP检查使用nbtscan工具,配合arpa命令,50,ARP病毒自我防护,编辑批处理文件myarp.bat,建立快键方式放到启动组中或安装ARP病毒防火墙360安全卫士金山ARP防火墙,echooff:FindLocalMacifexistipconfig.txtdelipconfig.txtipconfig/allipconfig.txtifexistLocalMac.txtdelLocalMac.txtfindPhysicalAddressipconfig.txtLocalMac.txtfor/fskip=2tokens=12%Min(LocalMac.txt)dosetLocalMac=%M:FindLocalIPifexistLocalIP.txtdelLocalIP.txtfindIPAddressipconfig.txtLocalIP.txtfor/fskip=2tokens=15%Iin(LocalIP.txt)dosetLocalIP=%I:FindGatewayIPifexistGatewayIP.txtdelGatewayIP.txtfindDefaultGatewayipconfig.txtGatewayIP.txtfor/fskip=2tokens=13%Gin(GatewayIP.txt)dosetGatewayIP=%G:FindGatewayMacifexistGatewayMac.txtdelGatewayMac.txtarp-dping-n1%GatewayIP%arp-a%GatewayIP%GatewayMac.txtfor/fskip=3tokens=2%Hin(GatewayMac.txt)dosetGatewayMac=%H:BindGatewayIP&Macarp-s%LocalIP%LocalMac%arp-s%GatewayIP%GatewayMac%exit,51,Sniffer工具介绍,SnifferPro,Tcpdump，Windump,Dsniff,Sniffit,Ethereal,52,tcpdump&windump,tcpdump是由berkeley大学洛仑兹伯克利国家实验室开发的一个非常著名的sniffer软件，同时也是一个网络报文分析程序。它的报文过滤能力非常强大，它由很多个选项来设置过滤条件，并且通过布尔表达式来生成报文过滤器。,windump是tcpdump的windows版本。安装windump之前需要安装winpcap库。,53,wireshark简介,一个跨平台的嗅探工具，有图形化界面和命令行两种版本。目前支持windows和linux等多种操作系统。,图形化的报文过滤器：wireshark通过displayfilter对话框来创建报文过滤器，用户可以通过指定不同协议的不同字段值来生成报文过滤规则