第6章攻防技术实践

6.1日志在线分析的实现6.2端口扫描的实现6.3拒绝服务的实现6.4网络监听的实现6.5木马技术6.6实训第6章攻防技术实践

理论环节了解日志的作用及日志分析的方法与手段掌握端口扫描的方法了解拒绝服务攻击、网络监听及木马技术的原理重点掌握各种攻防机制的实现技术实践环节使用日志分析、端口扫描工具使用Sniffit工具进行网络监听如何使用防火墙保护网络与主机6.1日志在线分析的实现6.1.1为什么要记录日志对于一个系统来说可以有很多种不同类型、不同用途的日志。常见的日志如下。连接日志：用来跟踪当前用户当前对话、用户登录和退出的活动。进程日志：保存对进程活动的记录。应用程序日志：包含由应用程序或系统程序记录的事件。例如，数据库程序可在应用日志中记录文件错误。系统日志：包含系统组件记录的事件。例如，在启动过程中加载的驱动程序或其他系统组件的失败记录。系统可以预先确定由系统组件记录的事件类型。安全日志：可以记录安全事件，如有效的和无效的登录尝试，以及与创建、打开或删除文件等资源使用相关联的事件。管理员可以指定在安全日志中记录什么事件。6.1.2日志能够记录的信息1.IP地址IP地址可以被防火墙、入侵检测系统、操作系统、设备管理系统、验证服务器及应用程序所记录。2.登录账号登录账号可以被防火墙、入侵检测系统、操作系统、设备管理系统、验证服务器及应用程序所记录。3.日期和时间日期和时间可以被防火墙、入侵检测系统、操作系统、设备管理系统、验证服务器及应用程序所记录。4.命令的执行及进程命令的执行及进程可以被入侵检测系统、操作系统、设备管理系统及应用程序服务器所记录。5.被访问的文件及对象的列表被访问的文件及对象的列表可以被入侵检测系统、操作系统、设备管理系统及应用程序服务器所记录。6.1.3影响日志准确性的操作

1.IP欺骗（IPSpoofing）2.账号伪装（AccountMasquerading）3.删除或修改日志的条目（DeletionorModificationofLogFileEntries）4.使日志功能无效（DisablingLogging）5.操纵日志环境（ManipulatingtheLoggingEnvironment）6.操纵审计选项（ManipulationofAuditOptions）7.对审计追踪数据的修改与删除（DeletionorUpdateofAuditTrails）

6.1.4建立合理的日志策略Syslog服务器的配置示意图常用的第三方工具1.SWATCHSWATCH（TheSystemWatcher）可以提供一种实时监控、日志记录和产生报告的能力，拥有很好的可扩展性。SWATCH利用指定的触发器监视日志记录，当日志记录符合触发器条件时，SWATCH会按预定义好的方式通知系统管理员。适用于UNIX/Linux平台。

2.LogCheckLogCheck可以自动地检查日志文件，以发现安全入侵和不正常的活动。首先把正常的日志信息剔除掉，把一些有问题的日志保留下来，然后把这些信息通过E-mail发给系统管理员。适用于UNIX/Linux平台。

6.1.5对常用日志进行分析1.lastlog日志每当用户登录时，login程序都会在lastlog文件中查找用户的UID。如果有匹配的用户信息，则在标准输出中显示该用户上次登录时间、退出时间以及用户登录时使用的主机信息，然后login程序在lastlog中用新的登录信息替换掉原有的内容。2.UTMP日志UTMP日志记录当前登录的每个用户的信息，它不保存历史记录。当用户成功登录后，系统先向lastlog文件写入新的lastlog记录，然后打开UTMP文件并写入用户的UTMP信息。该记录一直到用户退出系统时才被删除。也就是说，UTMP日志是动态改变的，在用户进入和退出系统时，会被系统不停修改。3.WTMP日志与UTMP日志只记录系统当前在线的用户信息不同，WTMP日志可以保留历史的Login和Logout记录。系统管理员可以根据WTMP日志提供的用户访问情况来跟踪入侵并进行审计。4.pacct日志

pacct为进程统计日志。Linux不但可以记录用户的登录信息，还可以跟踪每个用户运行的每一条命令，这对于跟踪系统问题十分有用。但该日志也存在着一个弱点，即它只记录用户执行了哪些命令，而没有完整的命令记录。5.message日志

该日志记录了系统事件，是由Syslogd守护进程（Demon）操作的。Syslogd守护进程与syslog.conf文件是Syslog的重要组成部分。6.2端口扫描的实现在网络安全领域，端口扫描就是一把双刃剑，无论对于网络管理员还是黑客，端口扫描都是非常重要的。一方面，系统管理员可以通过端口扫描来检查自己的系统，看看存在哪些漏洞并及时修补这些漏洞，防止入侵；另一方面，黑客也可以利用端口扫描的方式查找网络上有漏洞的系统，进行攻击。大多数的网络攻击，都是从端口扫描开始的。6.2.1手工端口探测实例

1.ping命令

ping命令的主要目的是检测目标主机是否可连通。它会向目标主机发送ICMP回显请求报文，并等待ICMP应答，然后打印出回显报文。2.telnettelnet是进行远程登录的标准协议和主要方式，它为用户提供了在本地计算机上完成远程主机工作的能力。3.traceroute

traceroute工具通过更改“生存时间”的值向目标发送“ICMP回响请求”消息来确定到达目标的路径。

6.2.2端口扫描工具扫描工具是一种自动检测远程或本地主机安全性弱点的程序，它能够自动地发送数据包去探测远程服务器或本地的端口，然后收集、记录目标服务器的反馈信息。

扫描器能提供如下的功能：发现一台主机或网络。发现主机上有哪些服务正在运行。对这些服务进行测试，并得到相关数据。通过对得到的数据进行分析来发现漏洞。在选择扫描工具时需要考虑如下因素：漏洞检测的完整性。漏洞检测的精确性。漏洞检测的范围。更新是否及时。产生报告的能力。几种常用的端口扫描工具。1.ISS工具集2.SATAN3.Nessus4.Nmap6.2.3Nmap工具使用实例1.Ping扫描（PingSweeping）2.TCPPing3.端口扫描（PortScanning）6.3拒绝服务的实现拒绝服务攻击可以让主机停止服务或发生障碍，也会影响网络性能、数据一致性和操作系统的负载。DoS是一种很简单但又十分有效的攻击方式，其目的就是拒绝主机的服务访问，破坏网络的正常运行，最终它会使目标网络的部分Internet连接和网络系统失效。6.3.1拒绝服务攻击的原理最基本的拒绝服务攻击方式有如下的3种：（1）侵占资源。操作系统的内存、硬盘和处理能力都是有限的，如果这些资源被耗尽，其他应用就无法再执行。（2）消耗带宽。大量占用网络资源，使得网络数据承受能力下降，无法再处理新的数据包。（3）使系统和应用崩溃。应用程序本身的漏洞也会使程序或系统崩溃。DDoS原理图6.3.2DoS攻击常用的方法1.包洪水（PackageFlood）

常见的包洪水有3种：（1）SYNFlood。（2）ICMPFlood。（3）UDPFlood。SYNFlood原理图2.死亡之Ping（PingofDeath）一种利用网络最大传输单元（MaximumTransmissionUnit,MTU）的限制实施的攻击手段。MTU指在特定网络中所能传输的数据包的最大值。多数网络及操作系统默认的最大传输单元都是64KB。如果源主机发出的数据包大小超过MTU，就需要对该包进行分片发送，而服务器端则会对这些分片进行重组，组合成原始信息。3.Land攻击这种攻击技术是将SYN包中的源地址和目标地址都设置成同一个目标主机地址，这时将导致该主机接受请求并向它自己发送SYN|ACK消息，结果该主机又向自己发送ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时。4.Smurf攻击

这种攻击技术是伪装成被攻击主机向目标网络的广播地址发送ICMPecho请求，导致该网络的所有主机都对ICMPecho请求做出应答并向目标主机发送响应报文，造成目标网络的阻塞。这种方式造成的网络流量要比PingofDeath的网络流量高出数倍。给出了Smurf攻击的原理图。它结合了IP伪装和ICMPFlood两种技术。Smurf攻击原理图5.电子邮件炸弹

这是一种较古老、简单的攻击方式，它通过不断地向目标主机发送大量的电子邮件来消耗目标网络的带宽。

主要的通用防御手段有：（1）保证操作系统的安全性，及时下载补丁程序，不给黑客可乘之机。（2）设置路由器设备。这种方法可以过滤掉非法的ICMPecho请求。（3）配置防火墙。有效的防火墙设置可以阻断对未知协议或端口的连接及访问请求，还可以对邮件地址进行过滤。（4）定期地进行监测。定期检测机器中是否存在非法的守护程序和那些有可能是黑客在机器中植入的木马等。6.4网络监听的实现6.4.1概述网络监听是目前使用比较多的一种技术。它是一种管理手段，网络管理员通过网络监听对网络状况和网络流量进行检查和分析。使用网络监听可以拦截网络上机器之间传递的数据包，然后对这些数据包进行分析，从而得到有用的信息。如网络间的带宽、网络间访问的频率，当然也可以得知谁在什么时间发送了大量的数据包造成了网络的拥塞等等。1.网络监听的目的

网络监听的目的如下：（1）协议分析。网络监听还能得到与协议相关的信息，如源IP地址、目的IP地址、源端口号、目的端口号、包传输采用的协议（如TCP/IP,UDP）等等。（2）截获通信的内容。通过网络监听，可以对网络上主机间的通信给出一个详细的逐包的统计信息。多数情况下，在局域网内部的数据传递很少使用加密的方法，这就给黑客的监听带来了一种便利。2.网络监听的工作原理对网卡来说，它可以接收到两种类型的数据包，一种是包的目标区域具有和本地网络接口相匹配的硬件地址，另一种是包的目标区域具有广播地址。当这两种类型的数据包到达时，网卡会检测并把它接收下来。否则，将包转发或者将包丢弃。因此大多数的以太网卡也都有两种工作方式，标准模式和混杂模式（Promiscuous）。工作在标准模式的网卡，只接收发送给自己的数据包；工作在混杂模式的网卡，只要经过它的数据包是完整、合法的，就会接收它，并把该包传送给协议上层。6.4.2Sniffer实现的源码分析

6.4.3Sniffer工具sniffit介绍

6.5木马技术木马（全称为特洛伊木马）是一种恶意程序，它们悄悄地在用户机器上运行，在用户毫无察觉的情况下，让黑客获得了远程访问和控制系统的权限。在现代网络安全攻防体系中它也是一门非常重要的技术。6.5.1木马的工作原理黑客对木马程序的利用通常会有如下几个步骤：（1）黑客编制木马程序。（2）黑客将木马程序绑定到某个合法软件上，诱使用户运行合法软件。（3）一旦用户运行了木马程序，该木马就会在用户毫不知情的情况下完成了安装。（4）运行了的木马程序会自动将黑客感兴趣的内容发送回客户端，当然也可以等到客户端有连接请求时与其建立连接。6.5.2木马的特点木马程序通常具有以下特点。1．隐蔽性

首先，木马程序不会蠢到去显示运行后的图标来通知管理员表明它的存在。有些木马程序在成功运行后通常将自己隐藏在任务栏、任务管理器等地方，但这不是一个明智的选择。无论是在任务栏还是任务管理器，用户总会在不经意的情况下发现它们。其次，木马还会隐藏自己的端口。毕竟在与客户机间通信时要使用到端口，但一台机器上会有65536个端口，所以即使是扫描也很难发现它到底是在使用哪一个端口进行通信。最后，木马还可以隐藏通信。即便是管理员会经常地扫描端口，可能发现这个打入内部的特务，木马依然有其应付之道。2.伪装性

木马程序为了不让用户识别出来，还采取了各种伪装的方式。首先，木马的设计者们为木马提供了一个称做“出错显示的功能”。随着对木马防范意识的增强，如果在打开一个文件的时候没有任何反应，很可能会将其视为木马程序。其次，有些木马还能在安装完成后，自动改变其文件大小或文件名。这样，即使我们找到木马传播时所依附的文件，也不能轻易地找到安装后的木马程序。3.自动运行

木马为了随时对服务端进行控制，必须在系统启动时的同时自动启动。所以它会修改注册表或启动配置文件，如win.ini,system.ini等。4.自动恢复功能现在的木马程序可以多重备份、相互恢复。当管理员删除了其中的一个，认为万事大吉又运行其他程序的时候，木马程序又会悄然出现。像幽灵一样，防不胜防。5.功能的特殊性

木马还能具有十分特殊的功能，包括搜索Cache中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等。

6.5.3木马的种类1.破坏型

这种类型的木马能够自动地删除电脑上的文件、格式化硬盘等，以达到破坏的目的。2.密码记录与发送型

这种类型的木马程序能长期潜伏在目标主机上，与主机一同启动。记录操作者的键盘操作，从中寻找有用的密码，并把它们存放起来。一旦用户连接到网络，它们就可以把这些密码发送到指定的信箱或以某种形式传给黑客。3.远程访问型

这种类型的木马只要运行起来，就可以将目标主机的IP地址、端口号等信息发送回客户端。这样黑客就可以与木马建立连接，从而对目标主机进行控制。4.攻击、代理型木马

当黑客入侵了一台目标主机后，会给它植入DoS攻击木马及代理木马，它就变成了一台受控的傀儡机。黑客对傀儡机的控制是通过代理木马来进行的，而对目标主机的攻击是由攻击木马实现的。邮件炸弹木马也是一种攻击型木马。一旦机器被感染，木马就会随机生成各种各样主题的信件，向邮件列表中的地址或特定的邮箱不停地发送邮件，以达到让对方瘫痪的目的。5.其他类型的木马一种方式就是关闭运行于目标主机上的防木马软件，让它们不起作用。另一种方法是采用主动式的反弹端口，在目标主机打开已知端口以穿越目标主机