風(fēng)險評估與網(wǎng)絡(luò)嗅探

1、風(fēng)險評估與網(wǎng)絡(luò)嗅探第1頁，共65頁，2022年，5月20日，5點19分，星期四網(wǎng)絡(luò)攻擊的完整過程第2頁，共65頁，2022年，5月20日，5點19分，星期四信息收集信息收集技術(shù)是一把雙刃劍黑客在攻擊之前需要收集信息，才能實施有效的攻擊安全管理員用信息收集技術(shù)來發(fā)現(xiàn)系統(tǒng)的弱點并進行修補攻擊工具攻擊命令攻擊機制目標網(wǎng)絡(luò)網(wǎng)絡(luò)漏洞目標系統(tǒng)系統(tǒng)漏洞攻擊者漏洞掃描評估加固攻擊過程實時入侵檢測知己知彼，百戰(zhàn)不殆第3頁，共65頁，2022年，5月20日，5點19分，星期四信息收集過程信息收集（踩點，footprint）是一個綜合過程從一些社會信息入手找到網(wǎng)絡(luò)地址范圍找到關(guān)鍵的機器地址找到開放端口和入口點找到系

2、統(tǒng)的制造商和版本第4頁，共65頁，2022年，5月20日，5點19分，星期四網(wǎng)絡(luò)勘察最常用的工具： Ping和TraceroutePing: Packet InterNet Groper用來判斷遠程設(shè)備可訪問性最常用的方法原理：發(fā)送ICMP Echo消息，然后等待ICMP Reply消息Traceroute用來發(fā)現(xiàn)實際的路由路徑原理：給目標的一個無效端口發(fā)送一系列UDP，其TTL依次增一，中間路由器返回一個ICMP Time Exceeded消息Windows中為tracert第5頁，共65頁，2022年，5月20日，5點19分，星期四Ping工具發(fā)送ICMP Echo消息，等待Echo Re

3、ply消息可以確定網(wǎng)絡(luò)和外部主機的狀態(tài)可以用來調(diào)試網(wǎng)絡(luò)的軟件和硬件每秒發(fā)送一個包，顯示響應(yīng)的輸出，計算網(wǎng)絡(luò)來回的時間最后顯示統(tǒng)計結(jié)果丟包率第6頁，共65頁，2022年，5月20日，5點19分，星期四關(guān)于PingPing有許多命令行參數(shù)，可以改變?nèi)笔〉男袨榭梢杂脕戆l(fā)現(xiàn)一臺主機是否active為什么不能ping成功？沒有路由，網(wǎng)關(guān)設(shè)置？網(wǎng)卡沒有配置正確增大timeout值被防火墻阻止“Ping of death”發(fā)送特大ping數(shù)據(jù)包(65535字節(jié))導(dǎo)致機器崩潰許多老的操作系統(tǒng)都受影響第7頁，共65頁，2022年，5月20日，5點19分，星期四Traceroute發(fā)送一系列UDP包(缺省大小為3

4、8字節(jié))，其TTL字段從1開始遞增，然后監(jiān)聽來自路徑上網(wǎng)關(guān)發(fā)回來的ICMP Time Exceeded應(yīng)答消息UDP包的端口設(shè)置為一個不太可能用到的值(缺省為33434)，因此，目標會送回一個ICMP Destination Unreachable消息，指示端口不可達第8頁，共65頁，2022年，5月20日，5點19分，星期四關(guān)于Traceroutetraceroute有一些命令行參數(shù)，可以改變?nèi)笔〉男袨榭梢杂脕戆l(fā)現(xiàn)到一臺主機的路徑，為勾畫出網(wǎng)絡(luò)拓撲圖提供最基本的依據(jù)Traceroute允許指定寬松的源路由選項。許多防火墻是禁止帶源路由的包的第9頁，共65頁，2022年，5月20日，5點19分

5、，星期四網(wǎng)絡(luò)勘查的對策防火墻：設(shè)置過濾規(guī)則使用NIDS(Network Intrusion Detection System) 使用其他工具：如rotoroutor，它可以記錄外來的traceroute請求，產(chǎn)生虛假的應(yīng)答第10頁，共65頁，2022年，5月20日，5點19分，星期四掃描技術(shù)基于TCP/IP協(xié)議，對各種網(wǎng)絡(luò)服務(wù)，無論是主機或者防火墻、路由器都適用掃描可以確認各種配置的正確性，避免遭受不必要的攻擊用途，雙刃劍安全管理員可以用來確保自己系統(tǒng)的安全性黑客用來探查系統(tǒng)的入侵點端口掃描的技術(shù)已經(jīng)非常成熟，目前有大量的商業(yè)、非商業(yè)的掃描器第11頁，共65頁，2022年，5月20日，5點19

6、分，星期四掃描器的重要性掃描器能夠暴露網(wǎng)絡(luò)上潛在的脆弱性無論掃描器被管理員利用，或者被黑客利用，都有助于加強系統(tǒng)的安全性它能使得漏洞被及早發(fā)現(xiàn)，而漏洞遲早會被發(fā)現(xiàn)的掃描器可以滿足很多人的好奇心掃描器除了能掃描端口，往往還能夠發(fā)現(xiàn)系統(tǒng)存活情況，以及哪些服務(wù)在運行用已知的漏洞測試這些系統(tǒng)對一批機器進行測試，簡單的迭代過程有進一步的功能，包括操作系統(tǒng)辨識、應(yīng)用系統(tǒng)識別第12頁，共65頁，2022年，5月20日，5點19分，星期四掃描器的歷史早期80年代，網(wǎng)絡(luò)沒有普及，上網(wǎng)的好奇心驅(qū)使許多年輕人通過Modem撥號進入到UNIX系統(tǒng)中。這時候的手段需要大量的手工操作于是，出現(xiàn)了war dialer自動掃

7、描，并記錄下掃描的結(jié)果現(xiàn)代的掃描器要先進得多SATAN: Security Administrators Tool for Analyzing Networks 1995年4月發(fā)布，引起了新聞界的轟動界面上的突破，從命令行走向圖形界面(使用HTML界面)，不依賴于X兩位作者的影響(Dan Farmer寫過網(wǎng)絡(luò)安全檢查工具COPS，另一位Weitse Venema是TCP_Wrapper的作者)Nmap作者為Fyodor，技術(shù)上，是最先進的掃描技術(shù)大集成結(jié)合了功能強大的通過棧指紋來識別操作系統(tǒng)的眾多技術(shù)第13頁，共65頁，2022年，5月20日，5點19分，星期四掃描技術(shù)主機掃描：確定在目標網(wǎng)絡(luò)

8、上的主機是否可達，同時盡可能多映射目標網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，主要利用ICMP數(shù)據(jù)包 端口掃描：發(fā)現(xiàn)遠程主機開放的端口以及服務(wù)操作系統(tǒng)指紋掃描：根據(jù)協(xié)議棧判別操作系統(tǒng)第14頁，共65頁，2022年，5月20日，5點19分，星期四傳統(tǒng)主機掃描技術(shù)ICMP Echo Request (type 8) 和 Echo Reply (type 0) 通過簡單地向目標主機發(fā)送ICMP Echo Request 數(shù)據(jù)包，并等待回復(fù)的ICMP Echo Reply 包，如PingICMP Sweep（Ping Sweep）使用ICMP Echo Request一次探測多個目標主機。通常這種探測包會并行發(fā)送，以提高探測

9、效率 Broadcast ICMP 設(shè)置ICMP請求包的目標地址為廣播地址或網(wǎng)絡(luò)地址，則可以探測廣播域或整個網(wǎng)絡(luò)范圍內(nèi)的主機，這種情況只適合于UNIX/Linux系統(tǒng) Non-Echo ICMP 其它ICMP服務(wù)類型（13和14、15和16、17和18）也可以用于對主機或網(wǎng)絡(luò)設(shè)備如路由器等的探測 第15頁，共65頁，2022年，5月20日，5點19分，星期四高級主機掃描技術(shù)利用被探測主機產(chǎn)生的ICMP錯誤報文來進行復(fù)雜的主機探測 異常的IP包頭 向目標主機發(fā)送包頭錯誤的IP包，目標主機或過濾設(shè)備會反饋ICMP Parameter Problem Error信息。常見的偽造錯誤字段為Header

10、 Length 和IP Options。不同廠家的路由器和操作系統(tǒng)對這些錯誤的處理方式不同，返回的結(jié)果也不同。在IP頭中設(shè)置無效的字段值 向目標主機發(fā)送的IP包中填充錯誤的字段值，目標主機或過濾設(shè)備會反饋ICMP Destination Unreachable信息。這種方法同樣可以探測目標主機和網(wǎng)絡(luò)設(shè)備 第16頁，共65頁，2022年，5月20日，5點19分，星期四高級主機掃描技術(shù)通過超長包探測內(nèi)部路由器若構(gòu)造的數(shù)據(jù)包長度超過目標系統(tǒng)所在路由器的PMTU且設(shè)置禁止分片標志, 該路由器會反饋 Fragmentation Needed and Dont Fragment Bit was Set差錯

11、報文。反向映射探測用于探測被過濾設(shè)備或防火墻保護的網(wǎng)絡(luò)和主機 。構(gòu)造可能的內(nèi)部IP地址列表，并向這些地址發(fā)送數(shù)據(jù)包。當對方路由器接收到這些數(shù)據(jù)包時，會進行IP識別并路由，對不在其服務(wù)的范圍的IP包發(fā)送ICMP Host Unreachable或ICMP Time Exceeded 錯誤報文，沒有接收到相應(yīng)錯誤報文的IP地址可被認為在該網(wǎng)絡(luò)中 第17頁，共65頁，2022年，5月20日，5點19分，星期四主機掃描策略的對策使用可以檢測并記錄ICMP掃描的工具使用入侵檢測系統(tǒng)在防火墻或路由器中設(shè)置允許進出自己網(wǎng)絡(luò)的ICMP分組類型第18頁，共65頁，2022年，5月20日，5點19分，星期四端口掃

12、描技術(shù)開放掃描(Open Scanning)需要掃描方通過三次握手過程與目標主機建立完整的TCP連接可靠性高，產(chǎn)生大量審計數(shù)據(jù)，容易被發(fā)現(xiàn)半開放掃描(Half-Open Scanning)掃描方不需要打開一個完全的TCP連接秘密掃描(Stealth Scanning)不包含標準的TCP三次握手協(xié)議的任何部分 隱蔽性好，但這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡(luò)時容易被丟棄從而產(chǎn)生錯誤的探測信息 第19頁，共65頁，2022年，5月20日，5點19分，星期四端口掃描技術(shù)基本的TCP connect()掃描（開放）Reverse-ident掃描（開放）TCP SYN掃描(半開放)IP ID header a

13、ka “dump”掃描(半開放)TCP Fin掃描(秘密)TCP XMAS掃描(秘密)TCP ftp proxy掃描(bounce attack)用IP分片進行SYN/FIN掃描(躲開包過濾防火墻)UDP ICMP端口不可達掃描UDP recvfrom掃描第20頁，共65頁，2022年，5月20日，5點19分，星期四TCP connect()掃描原理掃描器調(diào)用socket的connect()函數(shù)發(fā)起一個正常的連接如果端口是打開的，則連接成功否則，連接失敗優(yōu)點簡單，不需要特殊的權(quán)限缺點服務(wù)器可以記錄下客戶的連接行為，如果同一個客戶輪流對每一個端口發(fā)起連接，則一定是在掃描第21頁，共65頁，202

14、2年，5月20日，5點19分，星期四Reverse-ident掃描Ident協(xié)議(RFC1413)使得可以發(fā)現(xiàn)任何一個通過TCP連接的進程的所有者的用戶名，即使該進程并沒有發(fā)起該連接只有在TCP全連接之后才有效TCP端口113例如可以先連接到80端口，然后通過identd來發(fā)現(xiàn)服務(wù)器是否在root下運行建議關(guān)閉ident服務(wù)，或者在防火墻上禁止，除非是為了審計的目的第22頁，共65頁，2022年，5月20日，5點19分，星期四 TCP SYN掃描原理向目標主機的特定端口發(fā)送一個SYN包如果應(yīng)答包為RST包，則說明該端口是關(guān)閉的否則，會收到一個SYN|ACK包。于是，發(fā)送一個RST，停止建立連接

15、由于連接沒有完全建立，所以稱為“半開連接掃描”優(yōu)點很少有系統(tǒng)會記錄這樣的行為缺點在UNIX平臺上，需要root權(quán)限才可以建立這樣的SYN數(shù)據(jù)包第23頁，共65頁，2022年，5月20日，5點19分，星期四IP ID header aka “dump” 掃描由Antirez首先使用，并在Bugtraq上公布 原理：掃描主機通過偽造第三方主機IP地址向目標主機發(fā)起SYN掃描，并通過觀察其IP序列號的增長規(guī)律獲取端口的狀態(tài) 優(yōu)點不直接掃描目標主機也不直接和它進行連接，隱蔽性較好 缺點對第三方主機的要求較高 第24頁，共65頁，2022年，5月20日，5點19分，星期四TCP Fin掃描原理掃描器發(fā)送

16、一個FIN數(shù)據(jù)包如果端口關(guān)閉的，則遠程主機丟棄該包，并送回一個RST包否則的話，遠程主機丟棄該包，不回送變種，組合其他的標記優(yōu)點不是TCP建立連接的過程，所以比較隱蔽缺點與SYN掃描類似，也需要構(gòu)造專門的數(shù)據(jù)包在Windows平臺無效，總是發(fā)送RST包第25頁，共65頁，2022年，5月20日，5點19分，星期四TCP XMAS掃描原理掃描器發(fā)送的TCP包包頭設(shè)置所有標志位關(guān)閉的端口會響應(yīng)一個同樣設(shè)置所有標志位的包 開放的端口則會忽略該包而不作任何響應(yīng) 優(yōu)點比較隱蔽缺點主要用于UNIX/Linux/BSD的TCP/IP的協(xié)議棧 不適用于Windows系統(tǒng)第26頁，共65頁，2022年，5月20

17、日，5點19分，星期四分片掃描它本身并不是一種新的掃描方法，而是其他掃描技術(shù)的變種，特別是SYN掃描和FIN掃描思想是，把TCP包分成很小的分片，從而讓它們能夠通過包過濾防火墻注意，有些防火墻會丟棄太小的包而有些服務(wù)程序在處理這樣的包的時候會出現(xiàn)異常，或者性能下降，或者出現(xiàn)錯誤第27頁，共65頁，2022年，5月20日，5點19分，星期四TCP ftp proxy掃描FTP bounce attack原理用PORT命令讓ftp server與目標主機建立連接，而且目標主機的端口可以指定如果端口打開，則可以傳輸否則，返回425 Cant build data connection: Connec

18、tion refused. Ftp這個缺陷還可以被用來向目標(郵件,新聞)傳送匿名信息優(yōu)點：這種技術(shù)可以用來穿透防火墻缺點：慢，有些ftp server禁止這種特性第28頁，共65頁，2022年，5月20日，5點19分，星期四UDP ICMP端口不可達掃描利用UDP協(xié)議原理開放的UDP端口并不需要送回ACK包，而關(guān)閉的端口也不要求送回錯誤包，所以利用UDP包進行掃描非常困難有些協(xié)議棧實現(xiàn)的時候，對于關(guān)閉的UDP端口，會送回一個ICMP Port Unreach錯誤缺點速度慢，而且UDP包和ICMP包都不是可靠的需要root權(quán)限，才能讀取ICMP Port Unreach消息一個應(yīng)用例子Sola

19、ris的rpcbind端口(UDP)位于32770之上，這時可以通過這種技術(shù)來探測第29頁，共65頁，2022年，5月20日，5點19分，星期四UDP recvfrom() & write()掃描非root用戶不能直接讀取ICMP Port Unreach消息，但是Linux提供了一種方法可以間接通知到原理第二次對一個關(guān)閉的UDP端口調(diào)用write()總是會失敗經(jīng)驗：在ICMP錯誤到達之前，在UDP端口上調(diào)用recvfrom()會返回EAGAIN(重試)，否則會返回ECONNREFUSED(連接拒絕)第30頁，共65頁，2022年，5月20日，5點19分，星期四端口掃描的對策設(shè)置防火墻過濾規(guī)則

20、，阻止對端口的掃描例如可以設(shè)置檢測SYN掃描而忽略FIN掃描使用入侵檢測系統(tǒng)禁止所有不必要的服務(wù)，把自己的暴露程度降到最低Unix或linux中，在/etc/inetd.conf中注釋掉不必要的服務(wù)，并在系統(tǒng)啟動腳本中禁止其他不必要的服務(wù)Windows中通過Services禁止敏感服務(wù)，如IIS第31頁，共65頁，2022年，5月20日，5點19分，星期四操作系統(tǒng)辨識操作系統(tǒng)辨識的動機許多漏洞是系統(tǒng)相關(guān)的，而且往往與相應(yīng)的版本對應(yīng)從操作系統(tǒng)或者應(yīng)用系統(tǒng)的具體實現(xiàn)中發(fā)掘出來的攻擊手段都需要辨識系統(tǒng)操作系統(tǒng)的信息還可以與其他信息結(jié)合起來，比如漏洞庫，或者社會詐騙(社會工程，social engin

21、eering)如何辨識一個操作系統(tǒng)一些端口服務(wù)的提示信息，例如，telnet、http、ftp等服務(wù)的提示信息TCP/IP棧指紋DNS泄漏出OS系統(tǒng)第32頁，共65頁，2022年，5月20日，5點19分，星期四端口服務(wù)提供的信息Telnet服務(wù)Http服務(wù)Ftp服務(wù)第33頁，共65頁，2022年，5月20日，5點19分，星期四棧指紋技術(shù)定義：利用TCP/IP協(xié)議棧實現(xiàn)上的特點來辨識一個操作系統(tǒng)技術(shù)導(dǎo)向可辨識的OS的種類，包括哪些操作系統(tǒng)結(jié)論的精確度，細微的版本差異是否能識別一些工具Checkos, by ShokQueso, by SavageNmap, by Fyodor第34頁，共65頁，

22、2022年，5月20日，5點19分，星期四主動棧指紋識別技術(shù)原理：尋找不同操作系統(tǒng)之間在處理網(wǎng)絡(luò)數(shù)據(jù)包上的差異，并且把足夠多的差異組合起來，以便精確地識別出一個系統(tǒng)的OS版本配置能力擴展性，新的OS，版本不斷推出定義一種配置語言或者格式第35頁，共65頁，2022年，5月20日，5點19分，星期四主動棧指紋識別方法常用的手段給一個開放的端口發(fā)送FIN包，有些操作系統(tǒng)有回應(yīng)，有的沒有回應(yīng)對于非正常數(shù)據(jù)包的反應(yīng)比如，發(fā)送一個包含未定義TCP標記的數(shù)據(jù)包根據(jù)TCP連接的序列號風(fēng)格尋找初始序列號之間的規(guī)律ACK值有些系統(tǒng)會發(fā)送回所確認的TCP分組的序列號，有些會發(fā)回序列號加1TCP初始化窗口有些操作系

23、統(tǒng)會使用一些固定的窗口大小DF位(Dont Fragment bit )某些操作系統(tǒng)會設(shè)置IP頭的DF位來改善性能第36頁，共65頁，2022年，5月20日，5點19分，星期四主動棧指紋識別方法分片處理方式分片重疊的情況下，處理會不同：用后到的新數(shù)據(jù)覆蓋先到的舊數(shù)據(jù)或者反之ICMP協(xié)議ICMP錯誤消息的限制發(fā)送一批UDP包給高端關(guān)閉的端口，然后計算返回來的不可達錯誤消息ICMP端口不可達消息的大小通常情況下送回IP頭+8個字節(jié)，但是個別系統(tǒng)送回的數(shù)據(jù)更多一些ICMP回應(yīng)消息中對于校驗和的處理方法不同ICMP回應(yīng)消息中，TOS域的值TCP選項(RFC793和更新的RFC1323)這里充滿了各種組

24、合的可能性應(yīng)答方式“Query-Reply”，可以把多個選項放到一個包中有些高級選項在新的協(xié)議棧實現(xiàn)中加入SYN flooding 測試 如果發(fā)送太多的 偽造SYN包，一些操作系統(tǒng)會停止建立新的連接。許多操作系 統(tǒng)只能處理8 個包。第37頁，共65頁，2022年，5月20日，5點19分，星期四被動棧指紋識別方法它和主動棧指紋識別方法類似不是向目標系統(tǒng)發(fā)送分組，而是被動監(jiān)測網(wǎng)絡(luò)通信，以確定所用的操作系統(tǒng)如根據(jù)TCP/IP會話中的幾個屬性：TTL窗口大小DFTOSSiphon工具，第38頁，共65頁，2022年，5月20日，5點19分，星期四例：被動棧指紋識別方法（發(fā)起方為55 ）利用snort監(jiān)

25、聽到的數(shù)據(jù)包：45:23- 55:2300 TCP TTL:255 TOS:0 x0 ID:58955 DF*S*A* Seq:0 xD3B709A4 Ack:0 xBE09B2B7 Win:0 x2798 TCP Options = NOP NOP TS:9688775 9682347 NOP WS:0 MSS:1460和osprints.conf比較， 可猜測的操作系統(tǒng)為第39頁，共65頁，2022年，5月20日，5點19分，星期四操作系統(tǒng)識別的對策端口掃描監(jiān)測工具監(jiān)視操作系統(tǒng)檢測活動讓操作系統(tǒng)識別失效的補丁修改OS的源代碼或改動某個OS參數(shù)以達到改變單個獨特的協(xié)議棧特征的目的防火墻和路由

26、器的規(guī)則配置使用入侵檢測系統(tǒng)第40頁，共65頁，2022年，5月20日，5點19分，星期四其他掃描方法延時掃描和分布式掃描原因：各IDS常采用的檢測方法在某個時間段內(nèi)特定主機對本地端口的訪問頻度是否大于事先預(yù)定的閾值來判斷入侵。延時掃描是加大各連接之間的時間間隔，逃避檢測。比較有效但是延緩了掃描速度。分布式掃描解決連接數(shù)問題的同時也解決了掃描進度的問題。把掃描任務(wù)分配到地理位置和網(wǎng)絡(luò)拓撲分布的掃描主機上。同時也解決了大量信息收集時單機掃描面臨的主機負載和網(wǎng)絡(luò)負載過重的問題。第41頁，共65頁，2022年，5月20日，5點19分，星期四查點如果黑客從一開始的目標探測中沒有找到任何可以直接利用的入

27、侵途徑，他就會轉(zhuǎn)向收集目標有效的用戶賬號或保護不當?shù)墓蚕碣Y源，這就是查點(enumeration)。查點要對目標系統(tǒng)進行連接和查詢，查點活動有可能會被目標系統(tǒng)記錄。查點通常是針對特定操作系統(tǒng)進行。第42頁，共65頁，2022年，5月20日，5點19分，星期四查點的信息攻擊者查點時感興趣的信息類型：網(wǎng)絡(luò)資源和共享資源用戶和用戶組服務(wù)器程序及其標記(banner)第43頁，共65頁，2022年，5月20日，5點19分，星期四Windows NT/2000的查點Windows NT的網(wǎng)絡(luò)服務(wù)依賴于CIFS/SMB(Common Internet File System/Server Message

28、Block)和NetBIOS數(shù)據(jù)傳輸協(xié)議，很容易泄漏共享信息。Windows 2000也同樣具有NT的不安全特性。Windows提供了很多工具用于管理網(wǎng)絡(luò)，同時也具有副作用。NTRK(NT Resource Kit)2000 Server安裝盤的SupportTools目錄第44頁，共65頁，2022年，5月20日，5點19分，星期四Windows NT/2000空會話原理利用Windows NT/2000對NetBIOS的缺省信賴通過TCP端口139返回主機的大量信息實例如果通過端口掃描獲知TCP端口139已經(jīng)打開net use 30IPC$ /USER: 在攻擊者和目標主機間建立連接Win

29、dows 2000還有另一個SMB端口445NT for all 工具第45頁，共65頁，2022年，5月20日，5點19分，星期四NT/2000 NetBIOS網(wǎng)絡(luò)資源查點NT/2000中有很多工具可用于提供對網(wǎng)絡(luò)資源的查詢nbtstat，可以獲取NetBIOS遠程主機名字表第46頁，共65頁，2022年，5月20日，5點19分，星期四NT/2000 NetBIOS網(wǎng)絡(luò)資源查點net view查看域、計算機或計算機共享資源的列表如果建立了空會話連接，可用net view查看目標共享資源Nc工具 第47頁，共65頁，2022年，5月20日，5點19分，星期四NT/2000 NetBIOS 網(wǎng)絡(luò)

30、資源查點工具兩個常用的網(wǎng)絡(luò)資源查點工具：legion和NAT第48頁，共65頁，2022年，5月20日，5點19分，星期四NT/2000 NetBIOS 網(wǎng)絡(luò)資源查點工具NTRK中的網(wǎng)絡(luò)資源查點工具nltest、rmtshare、srvcheck、srvinfo、 netdom等其他網(wǎng)絡(luò)資源查點工具epdump、getmac、netviewx、enum、dumpsec等第49頁，共65頁，2022年，5月20日，5點19分，星期四NT/2000 NetBIOS 用戶查點攻擊者對目標主機的用戶名和密碼更感興趣一旦獲取用戶名，50%的努力花在竊取賬號上用戶通常使用弱密碼在查詢資源的同時可以查詢用戶

31、前面介紹的一些工具，如NAT、enum、dumpsec等Rudnyi的sid2user和user2sid，從用戶名查找SID(Security Identifier)或從SID查找用戶名參看文章“第50頁，共65頁，2022年，5月20日，5點19分，星期四NT/2000服務(wù)器程序及標記查點連接目標主機的應(yīng)用程序并根據(jù)輸出來獲取標記可以確認服務(wù)器上運行的軟件和版本常用的方法telnet和nc(瑞士軍刀)c:telnet 55 80第51頁，共65頁，2022年，5月20日，5點19分，星期四NT/2000服務(wù)器程序及標記查點注冊表查點通常情況下正常安裝在系統(tǒng)上的應(yīng)用程序都會在注冊表中留下信息注

32、冊表中有大量和用戶有關(guān)的信息從目的地得到Windows注冊表的內(nèi)容NT/2000的缺省配置是只允許Administrator訪問注冊表HKEY_Local_MachineSYSTEMCurrentControlSetControlSecurePipeServerswinreg注冊表訪問工具：regdump、dumpsec等第52頁，共65頁，2022年，5月20日，5點19分，星期四NT/2000查點的對策在路由器、防火墻或其他網(wǎng)絡(luò)關(guān)口設(shè)置，不允許對TCP和UDP的135139端口的訪問2000中，還要禁止445端口。第53頁，共65頁，2022年，5月20日，5點19分，星期四NT/2000

33、查點的對策Hkey_Local_MachineSYSTEMCurrentControlSetControlLSA，增加一個數(shù)據(jù)項RestrictAnonymous，數(shù)據(jù)類型為REG_DWORD，NT下數(shù)值為1，2000下為22000下，“管理工具”中的“本地安全設(shè)置”|“本地策略”|“安全選項”中對匿名連接的額外限制(相當于設(shè)置RestrictAnonymous為2)第54頁，共65頁，2022年，5月20日，5點19分，星期四NT/2000查點的對策對服務(wù)程序標記查點的對策：對具有風(fēng)險的應(yīng)用程序，盡可能隱藏其標記中的廠商和版本信息；定期使用端口掃描和netcat工具連接活動端口進行網(wǎng)絡(luò)系統(tǒng)檢

34、查，確保沒有泄露信息鎖定注冊表，不能對它進行遠程訪問IIS Logo： www3c.dll第55頁，共65頁，2022年，5月20日，5點19分，星期四網(wǎng)絡(luò)嗅探在一個共享式網(wǎng)絡(luò)，可以聽取所有的流量是一把雙刃劍管理員可以用來監(jiān)聽網(wǎng)絡(luò)的流量情況開發(fā)網(wǎng)絡(luò)應(yīng)用的程序員可以監(jiān)視程序的網(wǎng)絡(luò)情況黑客可以用來刺探網(wǎng)絡(luò)情報目前有大量商業(yè)的、免費的監(jiān)聽工具，俗稱嗅探器(sniffer)LC4第56頁，共65頁，2022年，5月20日，5點19分，星期四以太網(wǎng)絡(luò)的工作原理載波偵聽/沖突檢測(CSMA/CD, carrier sense multiple access with collision detection

35、)技術(shù)載波偵聽：是指在網(wǎng)絡(luò)中的每個站點都具有同等的權(quán)利，在傳輸自己的數(shù)據(jù)時，首先監(jiān)聽信道是否空閑如果空閑，就傳輸自己的數(shù)據(jù)如果信道被占用，就等待信道空閑而沖突檢測則是為了防止發(fā)生兩個站點同時監(jiān)測到網(wǎng)絡(luò)沒有被使用時而產(chǎn)生沖突以太網(wǎng)采用了CSMA/CD技術(shù)，由于使用了廣播機制，所以，所有與網(wǎng)絡(luò)連接的工作站都可以看到網(wǎng)絡(luò)上傳遞的數(shù)據(jù)第57頁，共65頁，2022年，5月20日，5點19分，星期四以太網(wǎng)卡的工作模式網(wǎng)卡的MAC地址(48位)通過ARP來解析MAC與IP地址的轉(zhuǎn)換用ipconfig/ifconfig可以查看MAC地址正常情況下，網(wǎng)卡應(yīng)該只接收這樣的包MAC地址與自己相匹配的數(shù)據(jù)幀廣播包網(wǎng)卡完成收發(fā)數(shù)據(jù)包