第8章-网络攻击与防护

第8章网络攻击与防护黑客及攻击8.1IP欺骗8.2拒绝服务攻击8.3侦察与工具8.4攻击与渗透8.5入侵监测系统IDS8.6审计结果8.74/15/202418.1黑客及攻击1．黑客概述在各种媒体上有许多关于Hacker这个名词的定义，一般是指计算机技术的行家或热衷于解决问题、克服限制的人。这可以追溯到几十年前第一台微型计算机刚刚诞生的时代。那时有一个由程序设计专家和网络名人所组成的具有分享特质的文化族群。这一文化族群的成员创造了Hacker这个名词。他们建立了Internet，创造出现在使用的UNIX操作系统，并且让WorldWideWeb传播开来，这就是最早的Hacker。4/15/20242也存在另外一个团体，其成员也称自己为Hacker。这些人专门闯入计算机或入侵电话系统，真正的Hacker称他们为入侵者（Cracker），并且不愿意和他们在一起做任何事。Hacker们认为这些人懒惰，不负责任，并且不够光明正大。他们认为，能破解安全系统并不能使你成为一位Hacker。基本上，Hacker和Cracker之间最主要的不同是，Hacker创造新东西，Cracker破坏东西。现在，人们所说的黑客是指Cracker。4/15/202432．黑客常用的攻击方法

（1）获取口令通过网络监听，非法得到用户口令知道用户的账号后利用一些专门软件强行破解用户口令获得一个服务器上的用户口令文件后，用暴力破解程序破解用户口令（2）放置特洛伊木马程序4/15/20244（3）WWW的欺骗技术访问的网页被黑客篡改过，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。（4）电子邮件攻击电子邮件轰炸和电子邮件“滚雪球”电子邮件欺骗（5）通过一个节点来攻击其他节点黑客在突破一台主机后，以此主机作为根据地，攻击其他主机，从而隐藏其入侵路径4/15/20245（6）网络监听在网络监听这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送发和接收方是谁。（7）寻找系统漏洞（8）利用账号进行攻击利用操作系统提供的缺省账户和密码进行攻击（9）偷取特权黑客通过非法手段获得对用户机器的完全控制权，甚至是整个网络的绝对控制权。4/15/202468.2IP欺骗

IP电子欺骗攻击是指利用TCP/IP本身的缺陷进行的入侵，即用一台主机设备冒充另外一台主机的IP地址，与其它设备通信，从而达到某种目的的过程。它不是进攻的结果而是进攻的手段。4/15/202478.2.1IP欺骗原理所谓IP欺骗，就是伪造某台主机的IP地址的技术。其实质就是让一台机器来扮演另一台机器，以达到蒙混过关的目的。被伪造的主机往往具有某种特权或者被另外的主机所信任。4/15/20248在IP欺骗的状态下，三次握手的情况如下： 第一步：黑客假冒A主机IP向服务方B主机发送SYN，告诉B主机是他所信任的A主机想发起一次TCP连接，序列号为数值X，这一步实现比较简单，黑客将IP包的源地址伪造为A主机IP地址即可。第二步：服务方B产生SYNACK响应，并向请求方A主机（注意:是A，不是黑客，因为B收到的IP包的源地址是A）发送ACK，4/15/20249ACK的值为X+1，表示数据成功接收到，且告知下一次希望接收到字节的SEQ是X+1。同时，B向请求方A发送自己的SEQ，注意，这个数值对黑客是不可见的。第三步：黑客再次向服务方发送ACK，表示接收到服务方的回应——虽然实际上他并没有收到服务方B的SYNACK响应。这次它的SEQ值为X+1，同时它必须猜出ACK的值，并加1后回馈给B主机。4/15/202410IP欺骗技术有如下三个特征： （1）只有少数平台能够被这种技术攻击，也就是说很多平台都不具有这方面缺陷。 （2）这种技术出现的可能性比较小，因为这种技术不好理解，也不好操作，只有一些真正的网络高手才能做到这点。 （3）很容易防备这种攻击方法，如使用防火墙等。4/15/202411IP欺骗的对象IP欺骗只能攻击那些完全实现了TCP/IP协议，包括所有的端口和服务。IP欺骗的实施几乎所有的欺骗都是基于某些机器之间的相互信任的。黑客可以通过很多命令或端口扫描技术、监听技术确定机器之间的信任关系，例如一台提供服务的机器很容易被端口扫描出来，使用端口扫描技术同样可以非常方便地确定一个局部网络内机器之间的相互关系。4/15/202412假定一个局域网内部存在某些信任关系。例如，主机A信任主机B、主机B信任主机C，则为了侵入该网络，黑客可以采用下面两种方式。（1）通过假冒机器B来欺骗机器A和C。（2）通过假冒机器A或C来欺骗机器B。 为了假冒机器C去欺骗机器B，首要的任务是攻击原来的C，使得C发生瘫痪。这是一种拒绝服务的攻击方式。4/15/2024138.2.2IP欺骗的防止

1．抛弃基于地址的信任策略2．进行包过滤3．使用加密方法4．使用随机化的初始序列号4/15/202414对于来自网络外部的欺骗来说，阻止这种攻击的方法是很简单的，在局部网络的对外路由器上加一个限制条件，只要在路由器里面设置不允许声称来自于内部网络的外来包通过就行了。如果网络存在外部的可信任主机，那么路由器就无法防止别人冒充这些主机而进行的IP欺骗。 当实施欺骗的主机在同一网络内时，攻击往往容易得手，并且不容易防范。

4/15/202415

应该注意与外部网络相连的路由器，看它是否支持内部接口。如果路由器有支持内部网络子网的两个接口，则须警惕，因为很容易受到IP欺骗。这也是为什么说将Web服务器放在防火墙外面有时会更安全的原因。检测和保护站点免受IP欺骗的最好办法就是安装一个过滤路由器，来限制对外部接口的访问，禁止带有内部网资源地址包通过。当然也应禁止（过滤）带有不同内部资源地址的内部包通过路由器到别的网上去，这就防止内部的用户对别的站点进行IP欺骗。4/15/2024168.3拒绝服务攻击

8.3.1概述DoS--DenialofService：现在一般指导致服务器不能正常提供服务的攻击。图8-1拒绝服务攻击示意图4/15/202417拒绝服务是一种简单的破坏性攻击，通常攻击者利用TCP/IP中的某个漏洞，或者系统存在的某些漏洞，对目标系统发起大规模的攻击，使得攻击目标失去工作能力，使得系统不可访问，合法用户不能及时得到应得的服务或系统资源，它最本质的特征是延长正常的应用服务的等待时间。4/15/202418DoS攻击的事件：◎2000年2月份的Yahoo、亚马逊、CNN被DoS攻击。◎2002年10月全世界13台DNS服务器同时受到了DDoS（分布式拒绝服务）攻击。◎2003年1月25日的“2003蠕虫王”病毒。◎2004年8月，共同社报道：日本近期共有上百网站遭到黑客袭击。4/15/2024198.3.2拒绝服务攻击的原理1．拒绝服务的模式按照入侵方式，拒绝服务可以分为资源消耗型，配置修改型，物理破坏型以及服务利用型。4/15/202420（1）资源消耗型：指入侵者试图消耗目标的合法资源，如网络带宽、内存和磁盘空间等，从而达到拒绝服务的目的。（2）配置修改型：入侵者通过改变或者破坏系统的配置信息，来阻止其他合法用户使用计算机和网络提供的服务。4/15/202421（3）物理破坏型：它主要针对物理设备的安全。入侵者可以通过破坏或者改变网络部件以实现拒绝服务。（4）服务利用型：入侵者常用的是TCP/IP以及目标系统自身应用软件中的一些漏洞和弱点，来达到拒绝服务的目的。4/15/2024222．拒绝服务常用方法以消耗目标主机的可用资源为目的（例如：死亡之ping、SYN攻击、Land攻击、泪珠攻击（Teardrop）、Smurf攻击等）以消耗服务器链路的有效带宽为目的（例如：蠕虫）4/15/202423攻击者

目标主机SYNSYN/ACKACK等待应答SYN：同步SYN/ACK:同步/确认ACK：确认SYN攻击的原理（1）4/15/202424....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻击者目标主机SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK应答.........不应答不应答重新发送SYN攻击的原理（2）4/15/2024251)攻击者攻击诸客户主机以求分析他们的安全水平和脆弱性。攻击者各种客户主机目标系统2)攻击者进入其已经发现的最弱的客户主机之内(“肉鸡”)，并且秘密地安置一个其可远程控制的代理程序(端口监督程序demon)。攻击准备：安置代理代理程序DDoS(分布式拒绝服务)攻击（1）4/15/202426

3)攻击者使他的全部代理程序同时发送由残缺的数字包构成的连接请求送至目标系统。攻击者目标系统发起攻击：指令攻击的代理程序4)包括虚假的连接请求在内的大量残缺的数字包攻击目标系统，最终将导致它因通信淤塞而崩溃。虚假的连接请求DDoS(分布式拒绝服务)攻击（2）4/15/2024278.4侦察与工具

8.4.1安全扫描安全扫描以各种各样的方式进行。可以利用Ping和端口扫描程序来侦查网络，也可以使用客户端/服务器程序，如Telnet和SNMP等来侦查网络泄漏的有用信息。应当利用一些工具来了解网络。有些工具很简单，便于安装和使用。有时，审计人员和黑客会利用程序语言如Perl,C,C++和Java自己编制一些工具，因为他们找不到现成的针对某种漏洞的工具。4/15/202428另外一些工具功能更全面，但是在使用前需要认真地配置。有专门从事网络管理和安全的公司出售这些工具。好的网络级和主机级扫描器会监听和隔离进出网络和主机的所有会话包。在学习这些“Hacker-in-a-box”的解决方案前，应当先接触一些当前黑客常常使用的技巧。4/15/2024291．Whois命令Whois（类似于finger）是一种Internet的目录服务，whois提供了在Internet上一台主机或某个域的所有者的信息，如管理员的姓名、通信地址、电话号码和E-mail地址等信息，这些信息是在官方网站whoisserver上注册的，如保存在InterNIC的数据库内。Whois命令通常是安全审计人员了解网络情况的开始。一旦得到了Whois记录，从查询的结果还可得知primary和secondary域名服务器的信息。4/15/2024302．nslookup

使用DNS的排错工具nslookup，可以利用从whois查询到的信息侦查更多的网络情况。例如，使用nslookup命令把主机伪装成secondaryDNS服务器，如果成功便可以要求从主DNS服务器进行区域传送。要是传送成功的话，将获得大量有用信息，包括：

使用此DNS服务器做域名解析到所有主机名和IP地址的映射情况；

公司使用的网络和子网情况；

主机在网络中的用途，许多公司使用带有描述性的主机名。4/15/202431使用nslookup实现区域传送的过程有如下几步。第1步，使用whois命令查询目标网络，例如在Linux提示符下输入whois。第2步，得到目标网络的primary和slaveDNS服务器的信息。例如，假设主DNS服务器的名字是。第3步，使用交互查询方式，缺省情况下nslookup会使用缺省的DNS服务器作域名解析。键入命令server定位目标网络的DNS服务器。4/15/202432第4步，列出目标网络DNS服务器的内容，如ls。此时DNS服务器会把数据传送过来。当然，管理员可以禁止DNS服务器进行区域传送，目前很多公司将DNS服务器至于防火墙的保护之下并严格设定了只能向某些主机进行区域传送。一旦从区域传送中获得了有用信息，便可以对每台主机实施端口扫描以确定它们提供了哪些服务。如果不能实现区域传送，用户还可以借助ping和端口扫描工具，当然还有traceroute。4/15/2024333．hostHost命令是UNIX提供的有关Internet域名查询的命令，可实现主机名到IP地址的映射，反之亦然。用host命令可实现以下功能：

实现区域传送；

获得名称解析信息；

得知域中邮件服务器的信息。参数-v可显示更多的信息，参数-l实现区域传送，参数-t允许查询特定的DNS记录。4/15/202434例如，要查询域的邮件服务器的记录，需要键入命令：host－tmx（你可以参考UNIX命令帮助获得更多信息）Traceroute（tracert）Traceroute用于路由追踪，如判断从主机到目标主机经过哪些路由器、跳计数、响应时间如何等。大多数操作系统（包括UNIX、Novell和WindowsNT）若配置了TCP/IP协议的话，都会有自己版本的traceroute程序。当然也可以使用其他一些第三方的路由追踪软件，在后面我们会接触到这些工具。使用traceroute，你可以推测出网络的物理布局，包括该网络连接Internet所使用的路由器。traceroute还可以判断出响应较慢的节点和数据包在路由过程中的跳计数。4/15/2024354．Ping扫描作用及工具Ping一个公司的Web服务器可帮助获得该公司所使用的IP地址范围。一旦得知了HTTP服务器的IP地址，就可以使用Ping扫描工具Ping该子网的所有IP地址，这可以帮助得到该网络的地址图。Ping扫描程序将自动扫描所指定的IP地址范围，WS_PingProPack工具包中集成有Ping扫描程序。单独的Ping工具有许多，Rhino9Pinger是比较流行的程序。4/15/2024368.4.2端口扫描与其他1．端口扫描端口扫描与ping扫描相似，不同的是端口扫描不仅可以返回IP地址，还可以发现目标系统上活动的UDP和TCP端口。例如，地址0正在运行SMTP和Telnet服务，地址2正在运行FTP服务，主机4未运行任何可辨别的服务，而主机6运行着SMTP服务。最后一台主机属于Microsoft网络，因为该网络使用UDP137和TCP138、139端口。4/15/202437（1）端口扫描软件

端口扫描器是黑客最常使用的工具。一些单独使用的端口扫描工具像PortScanner1.1，定义好IP地址范围和端口后便可开始实施扫描。还有许多单独使用的端口扫描器，如UltraScan等。如同Ping扫描器，许多工具也集成了端口扫描器。NetScan、PingPro和其他一些程序包集成了尽可能多的相关程序。许多企业级的网络产品也将ping和端口扫描集成起来。4/15/202438（2）网络侦查和服务器侦查程序使用简单的程序如PingPro，可以侦查出Microsoft的网络上开启的端口。PingPro的工作是通过监测远程过程调用服务所使用的TCP、UDP135端口，和Microsoft网络会话所使用的UDP137，138，和139端口来实现的。其他的网络扫描工具允许你监测UNIX、Novell、AppleTalk的网络。虽然PingPro只能工作在其安装的特定子网，但还有更多更复杂的工具，这些工具的设计者把它们设计成为可以识别更多的网络和服务类型的程序。例如，NMAP是UNIX下的扫描工具，它可以识别不同操作系统在处理TCP/IP协议上细微的差别。其他类似的程序还包括checkos,queso和SATAN。4/15/2024392．堆栈指纹

许多程序都利用堆栈指纹技术，这种技术允许利用TCP/IP来识别不同的操作系统和服务。因为大多数的系统管理员注意到信息的泄露而且屏蔽了系统标志，所以应用堆栈指纹的技术十分必要。但是，各个厂商和系统处理TCP/IP的特征是管理员所难以更改的。许多审计人员和黑客记录下这些TCP/IP应用的细微差别，并针对各种系统构建了堆栈指纹表。4/15/202440要想了解操作系统间处理TCP/IP的差异，需要向这些系统的IP和端口发送各种特殊的包。根据这些系统对包的回应的差别，可以推断出操作系统的种类。例如，可以向主机发送FIN包（或任何不含有ACK或SYN标志的包），从下列操作系统将获得回应：

MicrosoftWindowsNT,98,95,和3.11

FreeBSD

CISCO

HP/UX4/15/202441大多数其他系统不会回应。虽然只不过缩小了一点范围，但这至少开始了对目标系统的了解。如果向目标系统发送的报文头有未定义标志的TCP包的话，2.0.35版本以前的LINUX系统会在回应中加入这个未定义的标志。这种特定的行为可以判断出目标主机上是否运行该种LINUX操作系统。4/15/202442下面是堆栈指纹程序利用的部分特征，许多操作系统对它们的处理方式不同：

ICMP错误信息抑制

服务类型值(TOS)

TCP/IP选项

对SYNFLOOD的抵抗力

TCP初始窗口只要TCP开始进行三次握手，总是先发出一个SYN包。像NMAP这样的程序会发出一个SYN包欺骗操作系统作回应。堆栈指纹程序可以从回应报文的格式，推论出目标操作系统的一些情况。4/15/202443NMAP由于功能强大、不断升级和免费的原因，使之十分流行。它对网络的侦查十分有效是基于两个原因。首先，它具有非常灵活的TCP/IP堆栈指纹引擎。NMAP的制作人FYODOR不断升级该引擎，使它能够尽可能多的进行猜测。NMAP可以准确地扫描服务器操作系统（包括Novell、UNIX、Linux、NT），路由器（包括CISCO、3COM和HP），还有一些拨号设备。其次，它可以穿透网络边缘的安全设备，例如防火墙。4/15/202444NMAP穿透防火墙的一种方法是利用碎片扫描技术（fragmentscans），可以发送隐秘的FIN包（-sF）、Xmastree包（-sX）或NULL包（-sN）。这些选项允许将TCP查询分割成片断，从而绕过防火墙规则。这种策略对很多流行的防火墙产品都很有效。当前NMAP只能运行在Linux操作系统上，包括FreeBSD2.2.6-30、HP/UX和Solaris等Linux的所有版本。在Linux的X-Windows上还提供图形界面。最好的掌握NMAP的方法是学习使用它。使用nmap－h命令可以显示帮助信息，当然，也可以用mannmap命令查看它的使用手册。4/15/2024453．共享扫描共享扫描指可以扫描网络中绝大多数的内容，包括正在使用的共享。这种扫描过程提供了重要的侦查和利用各种资源和文件的方法。4/15/202446（1）共享扫描软件PingPro提供了允许审计人员扫描Windows网络共享的功能。它能侦查出共享名称，但不会入侵共享。例如，Microsoft网络利用TCP139端口建立共享。更具侵略性的侦查软件有知名的RedButton，许多Internet站点都免费提供下载。RedButton是一个很古老的程序，大多数的系统管理员和安全管理员都找到了防范它的方法。这个程序不仅可以侦查出共享名称还可以发现相应的密码。它还可以获得管理员的账号名称。4/15/202447（2）缺省配置和补丁级扫描黑客和审计人员对系统的缺省配置很了解，可以编制工具查找这些弱点。实际上，许多企业级的侦查工具都是针对这些弱点进行工作的。安全专家还知道操作系统工作的细节，根据服务补丁和hotfix的数量进行升级。4/15/202448（3）使用TelnetTelnet是远程登录系统进行管理的程序，缺省情况下telnet使用23端口。当然，也可以利用Telnet客户端程序连接到其他端口。例如，可以远程连接至HTTP端口。在连接一段时间内若没有任何动作，服务器会因为无法识别这次连接而自动切断。但是通常可以从HTTP服务器上得到一些信息。例如，可以得知服务厂商的信息、版本（如ApacheWebServer1.36或IIS4.0）等。虽然信息不是很多，但至少能从报错信息中推断出服务器类型，在Web服务器报错信息中可以看出HTTP服务器版本，还可以用Telnet连接上系统再使用SYST命令，许多TCP/IP堆栈会泄漏一些重要的信息4/15/2024494．扫描等级

大多数的企业级扫描器允许选择安全扫描的等级。一次轻级别的扫描通常会扫描众所周知的端口（从0到1023）和常见的安全漏洞，包括弱口令，低的补丁等级和额外的服务。如果扫描一个小型的子网大概需要花费30分钟。中级和严格级别的扫描根据网络的速度和运行扫描程序的主机CPU的时钟速度快慢等因素，通常会花费几天的时间。定义严格级别的扫描策略会让扫描器对目标网络发起连续的攻击。如果设置了规则让扫描器扫描所有的65,535个端口，还要检测口令强度以及细致地分析从管理账户到UNIX子系统的每项服务的话，工作量是相当大的。这种扫描不仅费时，而且会极大地加重网络的负担。个别主机将无法承受这种扫描。4/15/2024505．配置文件和策略

在使用任何扫描器前，必须首先定义配置文件，然后再实施策略。绝大多数的扫描程序事先都定义了一些配置和策略，但可以根据实际需要对它们进行编辑和增加。需要注意的是要将策略和配置文件结合起来。4/15/202451（1）报告功能

企业级的扫描程序具有细致的报告功能。可以用很多种格式输出信息，包括：

简单的ASCII文本

HTML字处理文本格式，如RTF，或一些专利格式，例如MicrosoftWord（DOC）或CorelWordPerfect（WPD）

电子表格形式，例如MicrosoftExcel

图形格式，包括幻灯片，例如MicrosoftPowerPoint4/15/202452（2）报告风险等级

大多数的网络扫描器将风险分成低、中、高三个等级。应该了解各种扫描器是如何汇报它们扫描结果的。即使得出网络只有低的安全问题，也不应该沾沾自喜。一名优秀的黑客可以从很小的缺陷入手就会给系统带来致命的破坏。4/15/202453（3）AxcetNetRecon

NetRecon是最先为WindowsNT网络设计的网络扫描产品之一。NetRecon象其他扫描器一样可以发现网络中的各种元素，包括密码检查。NetRecon可以比较准确地模拟各种攻击。NetRecon的界面由三个窗格组成，对象窗口允许查看每个扫描对象，通过单击可以展开目录结构；通过扫描网络，图形窗口显示低、中、高的风险等级；状态栏显示扫描的进程。可以对网络进行深度扫描，当然这种扫描会耗费大量的时间。例如，广泛的扫描会花费两天的时间。4/15/2024548.4.3扫描产品1．NetRecon在NetRecon中以一些漏洞列表作为侦查数据库，可以将这个列表理解为攻击指纹，但是这个名词通常被用于入侵检测系统程序中。如果你持有NetRecon的授权，便可以从Axent的Web站点升级这个漏洞列表。通过Reprots|viewVulnerabilityDescriptions菜单，可以查看相关漏洞的描述。4/15/202455下面列出NetRecon可以扫描出的系统漏洞：

Finger服务漏洞

GameOver（远程管理访问攻击）

未授权注销禁止

服务漏洞，包括SMTP、DNS、、SOCKS代理和低的sendmail补丁等级大多数网络扫描器，如NetRecon，包含了事先定义好的对象列表。通过选择“Reprots”→“ViewObjectiveDescriptions”，可以查看在NetRecon中已经配置好的当前对象列表。4/15/2024562．NetworkAssociatesCyberCopScannerCyberCopScanner是NetworkAssociates的产品，该公司的产品还包括SnifferBasic（前身是NetXRay）和其他网络管理软件。象NetRecon一样，CyberCopScanner是一个主机级别的审计程序。与Axent的产品一样，CyberCop把各种漏洞分类为低、中、高三个等级。技术提示：CyberCopMonitor不是网络扫描器，它是入侵监测系统程序，能够对黑客活动进行监视，提供报警功能，还能惩罚黑客。你将在本教程中学习一些入侵检测系统程序。4/15/2024573．WebTrendsSecurityAnalyzer该软件以前叫AsmodeusSecurityScanner，WebTrends的产品在UNIX和NT系统下都经过很好的测试。SecurityAnalyzer的优点之一是与UNIX搭配使用多年，操作界面简单易用。在主界面上选择“Policy”，然后“edit”，这时“SecurityAnalyzer”的选项窗口将出现。你可以选择扫描的强度，或编辑已有的策略、建立新的策略。如果你单击HostSelection标签，便可以选择子网内主机的范围。4/15/2024584．InternetSecuritySystems的扫描产品InternetSecuritySystems是最早生产扫描程序的公司，提供跨操作平台的安全工具包。（1）ISSInternetScanner这款扫描器工作于UNIX和NT平台，像AxentNetRecon、WebTrendsSecurityAnalyzer和其他扫描器一样，可以扫描远程主机。IneternetScanner有三个模块：intranet、firewall和Web服务器，程序的策略是希望将网络活动分类，并针对每种活动提供一种扫描方案，也可以在三个模块中定义自己的扫描参数。4/15/202459下面是InternetScanner中的部分扫描项目：

PHP3缓冲区溢出

Teardrop和Teardrop2攻击

跨网络的协议分析仪（包括tcpdump和SnifferBasic）

搜索一些FTP服务类型，包括WarFTP

SNMP和RMON检测

Whois检测

SAMBA溢出

增强的SMS支持

增强的NT功能，使它与UNIX一样有效4/15/202460（2）ISSSecurityScannerSecurityScanner是基于主机的扫描程序，它可以深入挖掘系统的情况。由于是基于主机的，所以能更深入地扫描系统内部，在检查像数据库、服务等特定的系统时显得十分有用。这种程序应该运行在考虑到有黑客活动的高风险的系统上。4/15/2024615．其他扫描程序厂商其他提供扫描和检测漏洞的产品有：

SecurityDynamicsKaneSecurityAnalyst

NetectHackerShield4/15/2024628.5攻击与渗透

8.5.1常见攻击类型和特征一旦黑客定位了要攻击的网络，就会选定一个目标进行渗透。通常这个目标是安全漏洞最多，或是其拥有最多攻击工具的主机。4/15/2024631．常见的攻击渗透网络和主机的方法（1）字典攻击：黑客利用一些自动执行的程序来猜测用户使用的口令和密码。（2）Man-in-the-middle攻击：黑客从合法的传输过程中嗅探密码和信息。（3）劫持攻击：在双方进行会话时被黑客入侵，黑客黑掉其中一方，并冒充他继续与另一方进行会话。4/15/202464（4）病毒攻击：利用病毒来消耗系统资源。（5）非法服务：是任何未经同意便运行在操作系统上的进程或服务。（6）拒绝服务攻击：利用各种程序使系统崩溃或消耗带宽。4/15/2024652．容易遭受攻击的目标

（1）路由器（2）数据库（3）服务器安全（4）Web页面涂改（5）邮件服务（6）名称服务4/15/2024668.5.2审计系统漏洞

安全审计系统的主要作用：对潜在的攻击者起到震慑或警告作用。对于已经发生的系统破坏行为提供有效的追纠证据。为系统安全管理员提供有何时何地的系统使用日志，从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞。为系统安全管理员提供系统运行的统计日志，使系统安全管理员能够发现系统性能上的不足或需要改进的地方。4/15/202467审计系统漏洞：1．审计TrapDoor和RootKit2．审计和后门程序3．审计拒绝服务攻击4．缓冲区溢出5．Telnet的拒绝服务攻击6．WindowsNT的TCPport3389存在漏洞7．特洛伊木马8．蠕虫4/15/2024688.5.3结合所有攻击定制审计策略

1．设备和服务2．物理接触3．操作系统策略4．较弱的密码策略5．较弱的系统策略6．审计文件系统漏洞7．IP欺骗和劫持4/15/2024698.6入侵监测系统IDS8.6.1入侵监测的功能1．什么是入侵监测入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续，它们可以与防火墙和路由器配合工作。4/15/202470入侵监测就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 入侵监测系统（IDS）被认为是防火墙之后的第二道安全闸门。IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。4/15/2024712．入侵监测的功能

（1）网络流量管理（2）系统扫描（3）追踪：IDS所能做到的不仅仅是记录事件，它还可以确定事件发生的位置。4/15/2024728.6.2入侵监测系统的构架

网络级IDS：网络级IDS程序同时充当管理者和代理的身份，安装IDS的主机完成所有的工作，网络只是接受被动的查询。这种入侵监测系统的优点是很容易安装和实施，通常只需要将程序在主机上安装一次。它尤其适合阻止扫描和拒绝服务攻击。4/15/202473主机级IDS：主机级IDS结构使用一个管理者和数个代理，管理者向代理发送查询请求，代理向管理者回报网络中主机传输信息的情况。代理和管理者之间直接通信，解决了复杂网络中的许多问题。4/15/202474

按照监测的对象分： ●基于主机的入侵监测系统 ●基于网络的入侵监测系统 ●混合型入侵监测系统 按照工作方式分： ●离线监测系统 ●在线监测系统4/15/202475入侵检测的过程 ●信息收集。内容包括系统、网络、数据及用户活动的状态