安全检测技术

第7章安全检测技术——

入侵检测技术、信息获取技术陈德伟西南财经大学信息学院E-mail:chendw_t@

概述入侵检测的分类入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作

入侵检测的现状和展望1概述入侵检测的分类入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作

入侵检测的现状和展望IntrusionIntrusion:Attemptingtobreakintoormisuseyoursystem.Intrudersmaybefromoutsidethenetworkorlegitimateusersofthenetwork.Intrusioncanbeaphysical,systemorremoteintrusion.传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测（IntrusionDetection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象IntrusionDetection入侵检测的定义入侵检测就是对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性网络安全工具的特点优点局限性IDS实时监控网络安全状态误报警，缓慢攻击，新的攻击模式Scanner简单可操作，帮助系统管理员和安全服务人员解决实际问题并不能真正扫描漏洞VPN保护公网上的内部通信可视为防火墙上的一个漏洞防火墙可简化网络管理，产品成熟无法处理网络内部的攻击防病毒针对文件与邮件，产品成熟功能单一与其他网络安全设备的不同之处在于，IDS是一种积极主动的安全防护技术。入侵检测的起源（1）审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程审计的目标：确定和保持系统活动中每个人的责任重建事件评估损失监测系统的问题区提供有效的灾难恢复阻止系统的不正当使用入侵检测的起源（2）计算机安全和审计美国国防部在70年代支持“可信信息系统”的研究，最终审计机制纳入《可信计算机系统评估准则》（TCSEC）C2级以上系统的要求的一部分“褐皮书”《理解可信系统中的审计指南》入侵检测的起源（3）1980年4月，JamesP.Anderson:《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念他提出对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作入侵检测的起源（4）

从1984年到1986年，乔治敦大学的DorothyDenning和SRI/CSL的PeterNeumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）IDES结构框架审计数据源策略规则模式匹配器轮廓特征引擎异常检测器警告/报告产生器入侵检测的起源（5）1990，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（NetworkSecurityMonitor）该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS

为什么需要IDS关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得IDS存在与发展的必然性一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击IDS基本结构入侵检测是监测计算机网络和系统,以发现违反安全策略事件的过程简单地说，入侵检测系统包括三个功能部件：（1）信息收集（2）信息分析（3）结果处理信息收集入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，尽可能扩大检测范围从一个源来的信息有可能看不出疑点信息收集入侵检测很大程度上依赖于收集信息的可靠性和正确性。因此要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息信息收集的来源系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为系统或网络的日志文件黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容显然，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等系统目录和文件的异常变化网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件

信息分析模式匹配统计分析完整性分析，往往用于事后分析模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）统计分析统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生完整性分析完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被安装木马的应用程序方面特别有效

概述2入侵检测的分类入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作

入侵检测的现状和展望按检测方法分类异常检测模型（AnomalyDetection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵

误用检测模型（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵

异常检测BelowThresholdlevelsExceedThresholdLevelsSystemAuditMetricsProfilerIntrusionNormalActivity异常检测模型前提：入侵是异常活动的子集用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围过程监控

量化

比较

判定

修正指标:漏报，错报异常检测异常检测如果系统错误地将异常活动定义为入侵，称为误报(falsepositive)；如果系统未能检测出真正的入侵行为则称为漏报(falsenegative)。特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。

AnomalyDetectionactivitymeasuresprobableintrusionSystemAuditMetricsPatternMatcherIntrusionNormalActivityNoSignatureMatchSignatureMatch误用检测模型误用检测前提：所有的入侵行为都有可被检测到的特征攻击特征库:当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵过程监控

特征提取

匹配

判定指标错报低

漏报高

误用检测误用检测模型如果入侵特征与正常的用户行能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报特点：采用特征匹配，误用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力MisuseDetectionIntrusionPatternsactivitiespatternmatchingintrusionCan’tdetectnewattacksExample:if(src_ip==dst_ip)then“landattack”按照数据来源分类基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行混合型监视与分析主机的审计记录可以不运行在监控主机上存在问题：能否及时采集到审计记录？如何保护作为攻击目标主机审计子系统？基于主机在共享网段上对通信数据进行侦听采集数据主机资源消耗少提供对网络通用的保护存在问题：如何适应高速网络环境？非共享网络上如何采集数据？基于网络两类IDS监测软件网络IDS侦测速度快隐蔽性好视野更宽较少的监测器占资源少主机IDS视野集中易于用户自定义保护更加周密对网络流量不敏感入侵检测系统体系结构交换机交换机防火墙防火墙路由器Internet基于网络的IDS基于主机的IDS内网基于网络的IDSWWW服务器FTP服务器邮件服务器入侵检测系统原理示意图外部网络DMZ区域内部网络常用术语当一个入侵正在发生或者试图发生时，IDS系统将发布一个alert信息通知系统管理员如果控制台与IDS系统同在一台机器，alert信息将显示在监视器上，也可能伴随着声音提示如果是远程控制台，那么alert将通过IDS系统内置方法（通常是加密的）、SNMP（简单网络管理协议，通常不加密）、email、SMS（短信息）或者以上几种方法的混合方式传递给管理员Alert（警报）

Anomaly（异常）当有某个事件与一个已知攻击的信号相匹配时，多数IDS都会告警一个基于anomaly（异常）的IDS会构造一个当时活动的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时，IDS就会告警有些IDS厂商将此方法看做启发式功能，但一个启发式的IDS应该在其推理判断方面具有更多的智能首先，可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流;其次，通过在网络上发送reset包切断连接但是这两种方式都有问题，攻击者可以反过来利用重新配置的设备，其方法是：通过伪装成一个友方的地址来发动攻击，然后IDS就会配置路由器和防火墙来拒绝这些地址，这样实际上就是对“自己人”拒绝服务了发送reset包的方法要求有一个活动的网络接口，这样它将置于攻击之下，一个补救的办法是：使活动网络接口位于防火墙内，或者使用专门的发包程序，从而避开标准IP栈需求AutomatedResponse（自动响应）IDS的核心是攻击特征，它使IDS在事件发生时触发特征信息过短会经常触发IDS，导致误报或错报，过长则会减慢IDS的工作速度有人将IDS所支持的特征数视为IDS好坏的标准，但是有的产商用一个特征涵盖许多攻击，而有些产商则会将这些特征单独列出，这就会给人一种印象，好像它包含了更多的特征，是更好的IDSSignatures（特征）Promiscuous（混杂模式）默认状态下，IDS网络接口只能看到进出主机的信息，也就是所谓的non-promiscuous（非混杂模式）如果网络接口是混杂模式，就可以看到网段中所有的网络通信量，不管其来源或目的地这对于网络IDS是必要的，但同时可能被信息包嗅探器所利用来监控网络通信量

概述

入侵检测的分类3

入侵检测系统的设计原理（略）入侵检测响应机制入侵检测标准化工作

入侵检测的现状和展望活动数据源感应器分析器管理器操作员管理员事件警报通告应急安全策略安全策略入侵检测系统原理图攻击模式库入侵检测器应急措施配置系统库数据采集安全控制系统审计记录/协议数据等系统操作简单的入侵检测示意图基于主机的入侵检测系统系统分析主机产生的数据（应用程序及操作系统的事件日志）由于内部人员的威胁正变得更重要基于主机的检测威胁基于主机的结构优点及问题基于主机的检测威胁特权滥用关键数据的访问及修改安全配置的变化基于主机的入侵检测系统结构基于主机的入侵检测系统通常是基于代理的，代理是运行在目标系统上的可执行程序，与中央控制计算机通信集中式：原始数据在分析之前要先发送到中央位置分布式：原始数据在目标系统上实时分析，只有告警命令被发送给控制台目标系统审计记录收集方法审计记录预处理异常检测误用检测安全管理员接口审计记录数据归档/查询审计记录数据库审计记录基于审计的入侵检测系统结构示意图集中式检测的优缺点优点：不会降低目标机的性能统计行为信息多主机标志、用于支持起诉的原始数据缺点：不能进行实时检测不能实时响应影响网络通信量分布式检测的优缺点优点：实时告警实时响应缺点：降低目标机的性能没有统计行为信息没有多主机标志没有用于支持起诉的原始数据降低了数据的辨析能力系统离线时不能分析数据操作模式操作主机入侵检测系统的方式警告监视毁坏情况评估遵从性基于主机的技术面临的问题性能：降低是不可避免的部署/维护损害欺骗基于网络的入侵检测系统入侵检测系统分析网络数据包基于网络的检测威胁基于网络的结构优点及问题基于网络的检测威胁非授权访问数据/资源的窃取拒绝服务基于网络的入侵检测系统结构基于网络的入侵检测系统由遍及网络的传感器（Sensor)组成，传感器会向中央控制台报告。传感器通常是独立的检测引擎，能获得网络分组、找寻误用模式，然后告警。传统的基于传感器的结构分布式网络节点结构传统的基于传感器的结构传感器（通常设置为混杂模式）用于嗅探网络上的数据分组，并将分组送往检测引擎检测引擎安装在传感器计算机本身网络分接器分布在关键任务网段上，每个网段一个管理/配置入侵分析引擎器网络安全数据库嗅探器嗅探器分析结果基于网络的入侵检测系统模型分布式网络节点结构为解决高速网络上的丢包问题，1999年6月，出现的一种新的结构，将传感器分布到网络上的每台计算机上每个传感器检查流经他的网络分组，然后传感器相互通信，主控制台将所有的告警聚集、关联起来数据采集构件应急处理构件通信传输构件检测分析构件管理构件安全知识库分布式入侵检测系统结构示意图基于网络的入侵检测的好处威慑外部人员检测自动响应及报告基于网络的技术面临的问题分组重组高速网络加密基于异常的入侵检测思想：任何正常人的行为有一定的规律需要考虑的问题：（1）选择哪些数据来表现用户的行为（2）通过以上数据如何有效地表示用户的行为，主要在于学习和检测方法的不同（3）考虑学习过程的时间长短、用户行为的时效性等问题数据选取的原则（1）数据能充分反映用户行为特征的全貌（2）应使需要的数据量最小（3）数据提取难度不应太大NIDS抓包PF_PACKET从链路层抓包libpcap提供API函数winpcapWindows下的抓包库分析数据包EthernetIPTCP模式匹配EthernetIPTCP协议分析HTTPUnicodeXML一个攻击检测实例老版本的Sendmail漏洞利用$telnet25WIZshell或者DEBUG#直接获得rootshell！简单的匹配检查每个packet是否包含： “WIZ” |“DEBUG”检查端口号缩小匹配范围Port25:{ “WIZ” |“DEBUG”}深入决策树只判断客户端发送部分Port25:{ Client-sends:“WIZ”| Client-sends:“DEBUG”}

概述

入侵检测的分类入侵检测系统的设计原理4.

入侵检测响应机制入侵检测标准化工作

入侵检测的现状和展望响应策略弹出窗口报警E-mail通知切断TCP连接执行自定义程序与其他安全产品交互FirewallSNMPTrap

概述

入侵检测的分类入侵检测系统的设计原理入侵检测响应机制5.入侵检测标准化工作

入侵检测的现状和展望IDS标准化工作的组织IETF的入侵检测工作组IDWG：/html.charters/OLD/idwg-charter.html通用入侵检测框架CIDF：

/cidf

入侵检测工作组IDWGIDWG的主要工作是定义相关的数据格式和共享信息的交换过程，用于入侵检测与响应（IntrusionDetectionandResponse，IDR）系统之间或与需要交互的管理系统之间的信息共享。入侵检测工作组IDWG从进展状况来看，目前IDWG基本形成了4个RFC文档，其中有3个文档实在2007年3月从草案正式被接受为RFC文档的，历时数年之久，相当不容易；通用入侵检测框架CIDFCIDF所做的工作主要包括四部分：IDS的体系结构通信机制描述语言应用编程接口APICIDF将一个入侵检测系统分为四个组件事件产生器（Eventgenerators）事件分析器（Eventanalyzers）响应单元（Responseunits）事件数据库（Eventdatabases）。CIDF的体系结构事件产生器响应单元事件数据库事件分析器CIDF的体系结构原始事件响应事件通用入侵检测框架CIDF目前CIDF的进展不尽如人意，该项目组的工作基本处于停滞状态，其思想和理念也没有得到很好的贯彻和执行。

概述

入侵检测的分类入侵检测系统的设计原理

入侵检测响应机制入侵检测标准化工作6.入侵检测的现状和展望IDS现状存在问题：误报和漏报的矛盾隐私和安全的矛盾被动分析与主动发现的矛盾海量信息与分析代价的矛盾功能性和可管理性的矛盾单一的产品与复杂的网络应用的矛盾网络规模扩大，网络速度提高，需满足高速大规模网络应用需求IDS发展方向分析技术的改进智能化的检测方法改进对高速网络数据流的检测与防火墙联动集成网络分析和管理功能入侵检测产品集成网管功能、扫描器(Scanner)、嗅探器(Sniffer)等功能是以后发展的方向IDS与Firewall联动通过在防火墙中驻留的一个IDSAgent对象，以接收来自IDS的控制消息，然后再增加防火墙的过滤规则，最终实现联动CiscoCIDF(CISL)ISSCheckpoint产品免费SnortSHADOW/ISSEC/CID/产品商业CyberCopMonitor,NAIDragonSensor,EnterasyseTrustID,CANetProwler,SymantecNetRanger,CiscoNID-100/200,NFRSecurityRealSecure,ISSSecureNetPro,I资源IDSFAQ/pubs/Focus-IDSMailinglist/archive/96YawlOldHandSinbad/doc.html?board=IDS引语：在这一实验中，将在Windows平台上建立入侵检测系统（snort）。Snort是一个轻便的网络入侵检测系统，在运行的时只占用极少的网络资源，对原有网络性能影响很小。它可以完成实时流量分析和对网络上的IP包登录进行测试等功能，能完成协议分析，内容查找／匹配，是用来探测多种攻击的侵入探测器（如缓冲区溢出、秘密端口扫描、CGI攻击、SMB嗅探、指纹采集尝试等）。Snort可以运行在*nix/Win32平台上。目的：本实验在Win2000Server环境安装与配置入侵检测系统（snort）。完成这一实验之后，将能够：安装“snort”服务，使用“snort”服务。

实验入侵检测系统snort配置实验所需软件：具备服务器运行Windows2000Server。snort软件。要完整的安装入侵检测系统必须先从网上下载以下软件：Snort（Win32MySQLBinary!）（）；SnortRules2.1（）；

WinPcap3.1（winpcap.polito.it）；MySQLShareware3.23.58（）；PHP4.3.5（）；

ADODB3.5.0（/lens/dl/）；ACID0.9.6b6（/kb/acid/）；l

MySQLDatabasel

PHP实验入侵检测系统snort配置任务1.安装Snort任务2.安装MySQLDatabase

任务3.生成Win32MySQLdatabase

任务4.在MySQL中生成Acid的库表

任务5.测试Snort

任务6.将Snort设置成为windows2000/XP的一项服务

任务7.安装PHP

任务8.配置PHP运行在2000/XP的IIS4/5环境下

任务9.安装ADODB—一个高性能的数据库

实验入侵检测系统snort配置第7章安全检测技术——网络信息获取技术陈德伟Chendw_t@西南财经大学信息工程学院目录网络信息收集网络扫描技术网络流量侦听技术网络信息收集信息攻击者和管理者都需要各种网络信息，如：域名，IP地址，主机运行的TCP和UDP服务，系统信息（用户名、版本等），认证机制。网络信息收集—社会信息指通过非网络技术手段获得的信息社会工程：获取员工的信任。搜索引擎：google,百度新闻论坛网站：网络信息收集－WHOISWHOIS：是用来查询域名的IP以及所有者等信息的传输协议UNIX系统自带Whois客户端程序，windows可以直接通过Web查询中国域名信息查询：W网易的域名信息网络信息收集－DNS查询DNS是一个全球分布式数据库，对每一个DNS结点，都包含该结点的机器、邮件服务器、主机CPU和操作系统信息。Nslookup:客户程序，可以把DNS数据库中的信息挖掘出来Nslookup查询的新浪注：本机所访问到的新浪网页是镜像网站目录网络信息收集网络扫描技术网络流量侦听技术扫描技术扫描技术是网络安全领域的重要技术之一，是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术，是为使系统管理员能够及时了解系统中存在的安全漏洞，并采取相应防范措施，从而降低系统的安全风险而发展起来的一种安全技术。扫描步骤一次完整的扫描分为3个阶段：（1）第1阶段：发现目标主机或网络。（2）第2阶段：发现目标后进一步搜集目标信息，包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息。（3）第3阶段：根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。扫描技术的分类扫描技术主要包括主机扫描端口扫描

主机扫描技术主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。常用的传统扫描手段有：ICMPEcho扫描ICMPSweep扫描BroadcastICMP扫描Non-EchoICMP扫描ICMPecho扫描实现原理：Ping的实现机制，在判断在一个网络上主机是否开机时非常有用。向目标主机发送ICMPEchoRequest(type8)数据包，等待回复的ICMPEchoReply包(type0)。如果能收到，则表明目标系统可达，否则表明目标系统已经不可达或发送的包被对方的设备过滤掉。优点：简单，系统支持缺点：很容易被防火墙限制可以通过并行发送，同时探测多个目标主机，以提高探测效率（ICMPSweep扫描）。BroadcastICMP扫描实现原理：将ICMPECHOrequest包的目标地址设为广播地址或网络地址，则可以探测广播域或整个网络范围内的主机。缺点：只适合于UNIX/Linux系统，Windows会忽略这种请求包；这种扫描方式容易引起广播风暴ICMP报文类型0EchoReply3DestinationUnreachable4SourceQuench5Redirect8Echo11TimeExceeded12ParameterProblem13Timestamp14TimestampReply15InformationRequest16InformationReply17AddressMaskRequest18AddressMaskReply端口扫描技术当确定了目标主机可达后，就可以使用端口扫描技术，发现目标主机的开放端口，包括网络协议和各种应用监听的端口。端口扫描技术主要包括以下三类：开放扫描（TCPConnect扫描）会产生大量审计数据，易被对方发现，但其可靠性高隐蔽扫描（TCPFIN扫描、分段扫描）能有效的避免对方入侵检测系统和防火墙的检测，但这种扫描使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息；半开放扫描（TCPSYN扫描）隐蔽性和可靠性介于前两者之间。开放扫描TCPConnect扫描实现原理：通过调用socket函数connect()连接到目标计算机上，完成一次完整的三次握手过程。如果端口处于侦听状态，那么connect()就能成功返回。否则，这个端口不可用，即没有提供服务。优点：稳定可靠，不需要特殊的权限缺点：扫描方式不隐蔽，服务器日志会记录下大量密集的连接和错误记录，并容易被防火墙发现和屏蔽半开放扫描TCPSYN扫描实现原理：扫描器向目标主机端口发送SYN包。如果应答是RST包，那么说明端口是关闭的；如果应答中包含SYN和ACK包，说明目标端口处于监听状态，再传送一个RST包给目标机从而停止建立连接。在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半连接扫描优点：隐蔽性较全连接扫描好，一般系统对这种半扫描很少记录缺点：通常构造SYN数据包需要超级用户或者授权用户访问专门的系统调用隐蔽扫描技术——TCPFIN扫描实现原理：扫描器向目标主机端口发送FIN包。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且返回一个RST数据包。否则，若是打开的端口，数据包只是简单的丢掉（不返回RST）。优点：由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而必SYN扫描隐蔽得多，FIN数据包能够通过只监测SYN包的包过滤器。缺点：跟SYN扫描类似，需要自己构造数据包，要求由超级用户或者授权用户访问专门的系统调用；通常适用于UNIX目标主机。但在Windows环境下，该方法无效，因为不论目标端口是否打开，操作系统都返回RST包。利用综合扫描工具收集信息目录网络信息收集网络扫描技术网络流量侦听技术网络监听原理网卡工作在数据链路层，数据以帧为单位进行传输，在帧头部分含有数据的目的MAC地址和源MAC地址。普通模式下，网卡只接收与自己MAC地址相同的数据包，并将其传递给操作系统。在“混杂”模式下，网卡将所有经过的数据包都传递给操作系统。被监听的网络类型：以太网FDDI、Token-ring使用电话线通过有线电视信道微波和无线电网络监听原理举例：共享式集线器（HUB）连接将网卡置于混杂模式实现监听Sniffer软件WiresharkNetxRaySnifferProCuteSniffer(小巧，功能较全)IrisAcePasswordSniffer(自动捕获口令)CuteSniffer自动捕捉口令AcePasswordSniffer，能监听LAN，取得密码。包括：FTP、POP3、HTTP、SMTP、Telnet密码。交换局域网嗅探交换机在正常模式下按MAC地址表转发数据包，此时只能监听广播数据包。交换网络嗅探的关键：如何使不应到达的数据包到达本地MAC洪水包利用交换机的镜像功能利用ARP欺骗MAC洪水包向交换机发送大量含有虚构MAC地址和IP地址的IP包，使交换机无法处理如此多的信息，致使交换机就进入了所谓的"打开失效"模式，也就是开始了类似于集线器的工作方式，向网络上所有的机器广播数据包利用交换机的镜像功能利用交换机的镜像功能利用ARP欺骗首先介绍以太数据包格式

目的MAC地址源MAC地址类型数据66246~1500类型0800：IP数据包

类型0806：ARP数据包

目的端MAC地址源MAC地址0806硬件类型协议类型硬件地址长度协议地址长度ARP包类型发送端MAC地址发送端IP地址目的端MAC地址目的端IP地址662221126464

<------以太网首部-------->

<------26字节ARP请求/应答-------->ARP数据包格式交换局域网嗅探在VICTIM运行ARP–A，有如下输出：Interface:onInterface0x3000006InternetAddressPhysicalAddressType

00-00-00-00-00-01dynamic00-00-00-00-00-03dynamic交换局域网嗅探在ATTACKER上构建并发送表一所示的包，其中

目的mac为00-00-00-00-00-02，

目的IPaddress为，

发送者MAC为00-00-00-00-00-01，

发送者IP为（假冒IP）。在VICTIM上运行ARP–A，有如下的输出：Interface:onInterface0x3000006InternetAddressPhysicalAddressType