網(wǎng)絡(luò)偵查與取證技術(shù)課件

第13章網(wǎng)絡(luò)偵查與取證技術(shù)13.1網(wǎng)絡(luò)偵查技術(shù)13.2取證技術(shù)第13章網(wǎng)絡(luò)偵查與取證技術(shù)13.1網(wǎng)絡(luò)偵查技術(shù)113.1網(wǎng)絡(luò)偵查技術(shù)本節(jié)介紹常見的網(wǎng)絡(luò)偵查技術(shù)，包括：網(wǎng)絡(luò)掃描——重點介紹三種掃描類型以及常見的掃描器網(wǎng)絡(luò)監(jiān)聽——重點介紹對以太網(wǎng)的監(jiān)聽和嗅探器口令破解——重點介紹口令破解器和字典文件13.1網(wǎng)絡(luò)偵查技術(shù)本節(jié)介紹常見的網(wǎng)絡(luò)偵查技術(shù)，包括：213.1.1網(wǎng)絡(luò)掃描掃描是通過向目標(biāo)主機發(fā)送數(shù)據(jù)報文，包括根據(jù)響應(yīng)獲得目標(biāo)主機的情況。根據(jù)方式的不同，掃描主要分為以下3種：地址掃描、端口掃描和漏洞掃描。1.地址掃描簡單的做法就是通過ping這樣的程序判斷某個IP地址是否有活動的主機，或者某個主機是否在線。Ping程序向目標(biāo)系統(tǒng)發(fā)送ICMP回顯請求報文，并等待返回的ICMP回顯應(yīng)答。Ping程序一次只能對一臺主機進行測試。Fping能以并發(fā)的形式向大量的地址發(fā)出ping請求。對地址掃描的預(yù)防：在防火墻規(guī)則中加入丟棄ICMP回顯請求信息，或者在主機中通過一定的設(shè)置禁止對這樣的請求信息應(yīng)答。13.1.1網(wǎng)絡(luò)掃描掃描是通過向目標(biāo)主機發(fā)送數(shù)據(jù)報文，包括32.端口掃描為區(qū)別通信的程序，在所有的IP數(shù)據(jù)報文中不僅有源地址和目的地址，也有源端口號與目的端口號。常用的服務(wù)是使用標(biāo)準(zhǔn)的端口號，只要掃描到相應(yīng)的端口就能直到目標(biāo)主機上執(zhí)行著什么服務(wù)，然后入侵者才能針對這些服務(wù)進行相應(yīng)的攻擊。端口掃描有下面幾種主要方法：（1）TCPconnect掃描（2）TCPSYN掃描（3）TCPFIN掃描2.端口掃描43.漏洞掃描漏洞掃描指使用漏洞掃描程序?qū)δ繕?biāo)系統(tǒng)進行信息查詢。通過漏洞掃描，可以發(fā)現(xiàn)系統(tǒng)中存在的不安全的地方。漏洞掃描器是一種自動檢測遠(yuǎn)程或本地主機安全性弱點的程序。漏洞掃描器的外部掃描：在實際的Internet環(huán)境下通過網(wǎng)絡(luò)對系統(tǒng)管理員所維護的服務(wù)器進行外部特征掃描；漏洞掃描器的內(nèi)部掃描：以系統(tǒng)管理員的身份對所維護的服務(wù)器進行內(nèi)部特征掃描。3.漏洞掃描漏洞掃描指使用漏洞掃描程序?qū)δ繕?biāo)系統(tǒng)進行信息查詢513.1.2網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的目的是截獲通信的內(nèi)容，監(jiān)聽的手段是對協(xié)議進行分析。網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個位置實施，但監(jiān)聽效果最好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設(shè)備上（通常由網(wǎng)絡(luò)管理員來操作）。使用最方便的監(jiān)聽是在一個以太網(wǎng)中的任何一臺聯(lián)網(wǎng)的主機上實施，這是大多數(shù)黑客的做法。13.1.2網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的目的是截獲通信的內(nèi)容，監(jiān)聽的61.以太網(wǎng)的工作原理網(wǎng)卡有幾種接收數(shù)據(jù)幀的狀態(tài)：（1）Unicast是指網(wǎng)卡在工作時接收的目的地址是本機硬件地址的數(shù)據(jù)幀；（2）Broadcast是指接收所有類型為廣播報文的數(shù)據(jù)幀；（3）Multicast是指接收特定的組播報文；（4）Promiscuous即混雜模式，是指對報文中的目的硬件地址不加任何檢查，全部接收的工作模式。以太網(wǎng)邏輯上是總線拓?fù)浣Y(jié)構(gòu)，采用廣播的通信方式。當(dāng)網(wǎng)卡工作在混雜模式下時，無論幀中的目標(biāo)物理地址是什么，主機都接收。如果在這臺主機上安裝了監(jiān)聽軟件，就可以達(dá)到監(jiān)聽的目的。1.以太網(wǎng)的工作原理網(wǎng)卡有幾種接收數(shù)據(jù)幀的狀態(tài)：72.Sniffer（嗅探器）Sniffer是一種在網(wǎng)絡(luò)上非常流行的軟件，它的正當(dāng)用處主要是分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。但是，由于Sniffer可以捕獲網(wǎng)絡(luò)報文，因此它對網(wǎng)絡(luò)也存在著極大的危害。（1）Sniffer工作原理一臺安裝了Sniffer的主機能捕獲到達(dá)本機端口的報文，如果要想完成監(jiān)聽，捕獲網(wǎng)段上所有的報文，前提條件是：①網(wǎng)段必須共享以太網(wǎng)；②把本機上的網(wǎng)卡設(shè)置為混雜模式。2.Sniffer（嗅探器）Sniffer是一種在網(wǎng)絡(luò)上非常8（2）Sniffer的分類Sniffer分為軟件和硬件兩種。軟件的Sniffer，如NetXray，Packetbody，Netmonitor等，價廉物美，易于學(xué)習(xí)使用，也易于交流，但無法抓取網(wǎng)絡(luò)上所有的傳輸。硬件Sniffer通常也稱為協(xié)議分析儀，一般都是商業(yè)性的，價格也比較昂貴。Sniffer只能抓取一個五路網(wǎng)段內(nèi)的包，也就是說，監(jiān)聽者與監(jiān)聽的目標(biāo)中間不能有路由（交換）或其他屏蔽廣播包的設(shè)備。所以對一般撥號上網(wǎng)的用戶來說，是不可能利用Sniffer來竊聽到其他人的通信內(nèi)容的。（2）Sniffer的分類9（3）網(wǎng)絡(luò)監(jiān)聽的目的Sniffer屬于第二層次的攻擊，就是說只有在攻擊者已經(jīng)進入目標(biāo)系統(tǒng)的情況下，才能使用Sniffer這種攻擊手段，以便得到更多的信息。如果Sniffer運行在路由器上或者有路由功能的主機上，就能對大量的數(shù)據(jù)進行監(jiān)控，因為所有進出網(wǎng)絡(luò)的數(shù)據(jù)包都要經(jīng)過路由器。（3）網(wǎng)絡(luò)監(jiān)聽的目的103.網(wǎng)絡(luò)監(jiān)聽的防范方法Sniffer是發(fā)生在以太網(wǎng)內(nèi)的。防范網(wǎng)絡(luò)監(jiān)聽的方法：（1）確保以太網(wǎng)的整體安全性。只有有漏洞的主機被攻破，才能進行Sniffer。（2）采用加密技術(shù)（3）對安全性要求比較高的公司可以考慮Kerberos，提供可信第三方服務(wù)的面向開放系統(tǒng)的認(rèn)證機制。（4）使用交換機以及一次性口令技術(shù)。3.網(wǎng)絡(luò)監(jiān)聽的防范方法Sniffer是發(fā)生在以太網(wǎng)內(nèi)的。防范114.檢測網(wǎng)絡(luò)監(jiān)聽的手段（1）反映時間向懷疑有網(wǎng)絡(luò)監(jiān)聽行為的網(wǎng)絡(luò)發(fā)送大量垃圾數(shù)據(jù)報，根據(jù)各個主機回應(yīng)的情況進行判斷，正常的系統(tǒng)回應(yīng)時間應(yīng)該沒有太明顯的變化。（2）DNS測試許多的網(wǎng)絡(luò)監(jiān)聽軟件都會嘗試進行地址反向解析，在懷疑有網(wǎng)絡(luò)監(jiān)聽行為發(fā)生時，可以在DNS系統(tǒng)上觀測有沒有明顯增多的解析請求。（3）利用ping進行監(jiān)測用正確的IP地址和處錯誤的物理地址ping，運行模式程序的計算機會有響應(yīng)。因為正常的計算機不接收錯誤的物理地址，如果IPstack不再次反向檢查的話，就會響應(yīng)。（4）利用ARP數(shù)據(jù)包進行監(jiān)測向局域網(wǎng)內(nèi)的主機發(fā)送非廣播方式的ARP包，如果局域網(wǎng)內(nèi)的某臺主機響應(yīng)了這個ARP請求，我們就可以判斷它很有可能就是處于網(wǎng)絡(luò)監(jiān)聽模式了。4.檢測網(wǎng)絡(luò)監(jiān)聽的手段（1）反映時間1213.1.3口令破解1.字典文件所謂字典文件，就是根據(jù)用戶的各種信息建立一個用戶可能使用的口令的列表文件。字典中的口令是根據(jù)人們設(shè)置自己賬號口令的習(xí)慣總結(jié)出的常用口令。對攻擊者來說，攻擊的口令在這字典文件中的可能性很大，而且因為字典條目相對較少，在破解速度上也遠(yuǎn)快于窮舉法口令攻擊。這種字典有很多種，適合在不同的情況下使用。13.1.3口令破解1.字典文件132.口令攻擊類型（1）字典攻擊使用一部1萬個單詞的字典一般能猜測出系統(tǒng)中70%的口令。（2）強行攻擊沒有攻不破的口令，只是個時間問題。如果有速度足夠快的計算機能嘗試字母、數(shù)字、特殊字符的所有組合，將最終能破解所有的口令。（3）組合攻擊使用字典單詞但是單詞尾部串接幾個字母和數(shù)字，這就是組合攻擊。（鑒于很多管理員要求使用字母和數(shù)字，用戶的對策是在口令后面添加幾個數(shù)字）2.口令攻擊類型143.口令破解器口令破解器是一個程序，它能將口令解譯出來，或者讓口令保護失效?？诹钇平馄饕话悴皇钦嬲娜ソ獯a，因為事實上很多加密算法是不可逆的。大多數(shù)口令破解器是通過嘗試一個一個的單詞，用已知的加密算法來加密這些單詞，直到發(fā)現(xiàn)一個單詞經(jīng)過加密后的結(jié)果和待解密的數(shù)據(jù)一樣，就認(rèn)為這個單詞是要找的密碼。3.口令破解器口令破解器是一個程序，它能將口令解譯出來，或者15Windows口令破解Windows口令的安全性比UNIX要脆弱得多，這是由其采用的數(shù)據(jù)庫存儲和加密機制所直接導(dǎo)致的。Windows口令破解程序主要有：（1）L0phtcrack：是一個NT口令破解工具，它能通過保存在NT操作系統(tǒng)中的cryptographichashes列表來破解用戶口令。（2）NTSweep：利用Microsoft允許用戶改變口令的機制，NTSweep首先取定一個詞，NTSweep使用這個單詞作為賬號的原始口令并試圖把用戶的口令改為同一個單詞。NTSweep能通過防火墻，也不需要任何特殊權(quán)限來允許。（3）NTCrack：是UNIX破解程序的一部分，但是需要在NT環(huán)境下破解，它和NTSweep的工作原理類似，但功能上有限。（4）PWDump2：用來從SAM數(shù)據(jù)庫中提取哈?？诹睢indows口令破解Windows口令的安全性比UNIX1613.2取證技術(shù)13.2.1電子證據(jù)計算機證據(jù)國際組織（IOCE）對電子證據(jù)相關(guān)定義如下：①電子證據(jù)：法庭上可能成為證據(jù)的以二進制形式存儲或傳送的信息。②原始電子證據(jù)：查封計算機犯罪現(xiàn)場時，相關(guān)物理介質(zhì)及其存儲的數(shù)據(jù)對象。③電子證據(jù)副本：原始物理介質(zhì)上獲取的所有數(shù)據(jù)對象的完全拷貝。④拷貝：獨立于物理介質(zhì)，包含在數(shù)據(jù)對象中的信息的精確復(fù)制。13.2取證技術(shù)13.2.1電子證據(jù)17電子證據(jù)的特點（1）表現(xiàn)形式的多樣性（2）存儲介質(zhì)的電子性（3）準(zhǔn)確性（4）脆弱性（5）數(shù)據(jù)的揮發(fā)性（6）電子證據(jù)的高科技性電子證據(jù)的特點（1）表現(xiàn)形式的多樣性18常見的電子證據(jù)（1）計算機系統(tǒng)（2）聯(lián)網(wǎng)設(shè)備（調(diào)制解調(diào)器、網(wǎng)卡、路由器…）（3）自動應(yīng)答設(shè)備（4）數(shù)碼相機（5）便攜電子設(shè)備（個人數(shù)字助理…）（6）尋呼機（7）手機（8）打印機（9）掃描儀（10）其他電子設(shè)備（復(fù)印機、傳真機、讀卡機、全球定位儀）常見的電子證據(jù)（1）計算機系統(tǒng)1913.2.2計算機取證的定義與原則廣義的計算機取證：發(fā)現(xiàn)計算機及其相關(guān)設(shè)備中的有利于計算機事件調(diào)查的數(shù)據(jù)，并提取、保護、保存的過程。狹義的計算機取證：能夠為法庭接受的、原始的、完整的、有說服力的，存在于計算機和相關(guān)外設(shè)中的電子證據(jù)的提取、保護和保存的過程。13.2.2計算機取證的定義與原則廣義的計算機取證：發(fā)現(xiàn)計20IOCE提交的報告中指出計算機取證過程中應(yīng)該遵守的一般原則:（1）處理電子證據(jù)時，必須遵守所有的常規(guī)取證步驟、原則。（2）獲取電子證據(jù)時，必須保證證據(jù)的不變性。（3）進行原始證據(jù)處理的取證人員應(yīng)該進過專業(yè)培訓(xùn)。（4）所有與電子證據(jù)的獲取、訪問、存儲、傳送相關(guān)的處理都必須完全歸檔、保存好。（5）個人在擁有與安全相關(guān)的電子證據(jù)時，應(yīng)該對其所有在電子證據(jù)上所進行的相關(guān)操作負(fù)有責(zé)任。（6）任何代理機構(gòu)，在負(fù)責(zé)提取、訪問、保存或傳送電子證據(jù)時都必須遵守這些原則。IOCE提交的報告中指出計算機取證過程中應(yīng)該遵守的一般原則:21實際處理過程中，也就是在對計算機犯罪進行證據(jù)提取的過程中，應(yīng)該遵守以下各個原則：（1）必須盡早搜集證據(jù)，并保證其沒有受到任何破壞，如銷毀、篡改或其他的破壞方式，也不要被取證程序本身所破壞。（2）必須保證在取證過程中，計算機病毒不會被引入目標(biāo)計算機。（3）必須保證“證據(jù)連續(xù)性”（ChainofCustody），即在證據(jù)被正式提交給法庭時必需保證一直能被追蹤。也就是說，要能明白證據(jù)的取證拷貝是安全的，用于拷貝證據(jù)的進程是可靠并且可以復(fù)驗的，以及所有的介質(zhì)都是安全的。（4）整個檢查、取證過程必須受到其他方委派的專家監(jiān)督。（5）必須保證提取出來的可能有用的證據(jù)不會受到機械或電磁損害。（6）被取證的對象如果必須運行某些商務(wù)程序，要確保該程序的運行只能影響一段有限時間。（7）在取證的過程中，應(yīng)當(dāng)尊重不小心獲取的任何關(guān)于客戶代理人的私人信息，不能把這些信息泄露出去。實際處理過程中，也就是在對計算機犯罪進行證據(jù)提取的過程中，應(yīng)2213.2.3計算機取證的步驟對于計算機犯罪的取證，一般包括以下六個步驟：（1）證據(jù)的獲?。⊿eizureProcess）（2）位拷貝（BitCopyProcess）（3）分析檢查（ExaminationProcess）（4）取證提交（ReportingProcess）（5）證據(jù)存檔（ArchivingProcess）（6）證據(jù)呈貢（Deposition&testimonyProcess）13.2.3計算機取證的步驟對于計算機犯罪的取證，一般包括2313.2.4計算機取證方法傳統(tǒng)的靜態(tài)取證是在案發(fā)后對現(xiàn)場進行分析取證，所獲取的證據(jù)缺乏實時性與連續(xù)性，因而在法庭上缺乏說明力，有時入侵者會在入侵后清除入侵足跡。動態(tài)取證則在犯罪發(fā)生中進行取證，即能在入侵時實時進行，從而其證據(jù)具有實時性和連續(xù)性，結(jié)合入侵前后的網(wǎng)絡(luò)環(huán)境可再現(xiàn)入侵過程，所以，動態(tài)取證取得的電子證據(jù)更具有說服力與法律效力。13.2.4計算機取證方法傳統(tǒng)的靜態(tài)取證是在案發(fā)后對現(xiàn)場進241.取證模型攻擊進行中證據(jù)收集證據(jù)分析法律裁判攻擊發(fā)生檢測到攻擊備份證據(jù)原始證據(jù)分析結(jié)果傳統(tǒng)靜態(tài)取證模型1.取證模型攻擊進行中證據(jù)收集證據(jù)分析法律裁判攻擊發(fā)生檢測到25動態(tài)靜態(tài)取證模型網(wǎng)絡(luò)及主機信息攻擊進行中取證收集響應(yīng)系統(tǒng)網(wǎng)絡(luò)監(jiān)控法律制裁證據(jù)分析攻擊發(fā)生攻擊信息備份證據(jù)提交原始證據(jù)與分析結(jié)果動態(tài)靜態(tài)取證模型網(wǎng)絡(luò)及主機信息攻擊進行中取證收集響應(yīng)系統(tǒng)網(wǎng)絡(luò)262.取證方法（1）利用IDS取證利用入侵檢測系統(tǒng)檢測非法的入侵或惡意行為并激活取證系統(tǒng)，進行實時的電子證據(jù)的收集，是IDS新的應(yīng)用方向，也是IDS中的研究熱點之一。可以把入侵檢測系統(tǒng)發(fā)展成一種在緊急事故出現(xiàn)的時候既可以提供檢測/響應(yīng)，又能提供可靠電子證據(jù)的工具。（未來的一個發(fā)展方向）2.取證方法（1）利用IDS取證27（2）利用蜜罐技術(shù)蜜罐是一種在互聯(lián)網(wǎng)上運行的計算機系統(tǒng)，它是專門為吸引并“誘騙”那些試圖非法闖入他人計算機系統(tǒng)的人（如電腦黑客）而設(shè)計的。蜜罐系統(tǒng)是一種包含漏洞的誘騙系統(tǒng)，通過模擬一個或多個易受攻擊的主機，給攻擊者一個容易攻擊的目標(biāo)。蜜罐并沒有向外界提供真正有價值的服務(wù)，因此所有的連接都會被認(rèn)為是可疑的。蜜罐的另一個用途是拖延攻擊者對真正目標(biāo)的攻擊。蜜罐技術(shù)可疑對防火墻和其他入侵檢測系統(tǒng)等安全解決方案起到一定的補充作用，提供先進誘騙技術(shù)和早期檢測感應(yīng)器。（2）利用蜜罐技術(shù)蜜罐是一種在互聯(lián)網(wǎng)上運行的計算機系統(tǒng)，它是2813.2.5證據(jù)分析經(jīng)過電子證據(jù)的收集，取證人員會得到大量的數(shù)據(jù)信息，這些原始的數(shù)據(jù)信息經(jīng)過數(shù)字簽名并加蓋時間戳后，由專用的、安全的VPN通道傳送至證據(jù)服務(wù)器。對于備份則要經(jīng)過證據(jù)分析，從海量的原始證據(jù)中發(fā)現(xiàn)與入侵攻擊相關(guān)的、反映案件客觀事實的證據(jù)信息。13.2.5證據(jù)分析經(jīng)過電子證據(jù)的收集，取證人員會得到大量291.一般的證據(jù)分析技術(shù)在已經(jīng)獲取的原始數(shù)據(jù)流或信息流中尋找、匹配入侵相關(guān)的關(guān)鍵詞或關(guān)鍵短語是證據(jù)分析的主要技術(shù)。其具體包括：（1）文件屬性分析技術(shù)（2）文件數(shù)字摘要分析技術(shù)（3）日志分析技術(shù)（4）根據(jù)已獲得的文件或數(shù)據(jù)的用詞、語法和寫作風(fēng)格，推斷可能作者的分析技術(shù)。（5）發(fā)掘同一事件的不同證據(jù)間聯(lián)系的分析技術(shù)。（6）數(shù)據(jù)解密技術(shù)（7）密碼破譯技術(shù)（8）對電子介質(zhì)中的被保護信息強行訪問技術(shù)等。1.一般的證據(jù)分析技術(shù)在已經(jīng)獲取的原始數(shù)據(jù)流或信息流中尋找、302.電子證據(jù)分析的工具開放源代碼軟件——Coroners工具包，它是計算機犯罪取證檢查的一些工具軟件的集合。專門的商業(yè)軟件：Encase——基于Windows平臺，提供從數(shù)據(jù)發(fā)現(xiàn)到分析到生成報表的全面的解決方案；AccessData，用于獲取口令的軟件；以及ThumbsPlus，Snapback…在相應(yīng)的電子證據(jù)分析工具中，最著名的是NTI公司的軟件系統(tǒng)NetThreatAnalyzer。能發(fā)現(xiàn)系統(tǒng)中曾發(fā)生過的E-mail交流、因特網(wǎng)瀏覽及文件上傳下載等活動。2.電子證據(jù)分析的工具開放源代碼軟件——Coroners工具313.日志系統(tǒng)分析通過手工或借助相應(yīng)的日志分析工具對系統(tǒng)文件進行詳細(xì)的審查，可以了解入侵過程中攻擊者執(zhí)行了哪些操作，以及哪些遠(yuǎn)程主機訪問了你的主機。但是系統(tǒng)中的任何日志文件都可能被入侵者改動過，一旦入侵者獲得了系統(tǒng)root權(quán)限，就可以輕易地破壞或刪除操作系統(tǒng)所保存的日志記錄，從而掩蓋他們留下的痕跡。（使用第三方日志工具）3.日志系統(tǒng)分析通過手工或借助相應(yīng)的日志分析工具對系統(tǒng)文件進324.電子證據(jù)審查（1）證據(jù)能力審查審查證據(jù)的合法性，即審查證據(jù)是否符合證據(jù)要求，包括計算機系統(tǒng)自身的安全性和工作過程的可靠性；取證程序、證據(jù)固定保全是否符合法定要求。（2）證據(jù)的證明能力審查審查電子證據(jù)的客觀性和關(guān)聯(lián)性，結(jié)合全案其他證據(jù)，綜合審查電子證據(jù)是否同其他證據(jù)相互印證、相互聯(lián)系，建構(gòu)成堅實可靠的證據(jù)體系，并據(jù)此認(rèn)定案件的真實情況。4.電子證據(jù)審查（1）證據(jù)能力審查33第13章網(wǎng)絡(luò)偵查與取證技術(shù)13.1網(wǎng)絡(luò)偵查技術(shù)13.2取證技術(shù)第13章網(wǎng)絡(luò)偵查與取證技術(shù)13.1網(wǎng)絡(luò)偵查技術(shù)3413.1網(wǎng)絡(luò)偵查技術(shù)本節(jié)介紹常見的網(wǎng)絡(luò)偵查技術(shù)，包括：網(wǎng)絡(luò)掃描——重點介紹三種掃描類型以及常見的掃描器網(wǎng)絡(luò)監(jiān)聽——重點介紹對以太網(wǎng)的監(jiān)聽和嗅探器口令破解——重點介紹口令破解器和字典文件13.1網(wǎng)絡(luò)偵查技術(shù)本節(jié)介紹常見的網(wǎng)絡(luò)偵查技術(shù)，包括：3513.1.1網(wǎng)絡(luò)掃描掃描是通過向目標(biāo)主機發(fā)送數(shù)據(jù)報文，包括根據(jù)響應(yīng)獲得目標(biāo)主機的情況。根據(jù)方式的不同，掃描主要分為以下3種：地址掃描、端口掃描和漏洞掃描。1.地址掃描簡單的做法就是通過ping這樣的程序判斷某個IP地址是否有活動的主機，或者某個主機是否在線。Ping程序向目標(biāo)系統(tǒng)發(fā)送ICMP回顯請求報文，并等待返回的ICMP回顯應(yīng)答。Ping程序一次只能對一臺主機進行測試。Fping能以并發(fā)的形式向大量的地址發(fā)出ping請求。對地址掃描的預(yù)防：在防火墻規(guī)則中加入丟棄ICMP回顯請求信息，或者在主機中通過一定的設(shè)置禁止對這樣的請求信息應(yīng)答。13.1.1網(wǎng)絡(luò)掃描掃描是通過向目標(biāo)主機發(fā)送數(shù)據(jù)報文，包括362.端口掃描為區(qū)別通信的程序，在所有的IP數(shù)據(jù)報文中不僅有源地址和目的地址，也有源端口號與目的端口號。常用的服務(wù)是使用標(biāo)準(zhǔn)的端口號，只要掃描到相應(yīng)的端口就能直到目標(biāo)主機上執(zhí)行著什么服務(wù)，然后入侵者才能針對這些服務(wù)進行相應(yīng)的攻擊。端口掃描有下面幾種主要方法：（1）TCPconnect掃描（2）TCPSYN掃描（3）TCPFIN掃描2.端口掃描373.漏洞掃描漏洞掃描指使用漏洞掃描程序?qū)δ繕?biāo)系統(tǒng)進行信息查詢。通過漏洞掃描，可以發(fā)現(xiàn)系統(tǒng)中存在的不安全的地方。漏洞掃描器是一種自動檢測遠(yuǎn)程或本地主機安全性弱點的程序。漏洞掃描器的外部掃描：在實際的Internet環(huán)境下通過網(wǎng)絡(luò)對系統(tǒng)管理員所維護的服務(wù)器進行外部特征掃描；漏洞掃描器的內(nèi)部掃描：以系統(tǒng)管理員的身份對所維護的服務(wù)器進行內(nèi)部特征掃描。3.漏洞掃描漏洞掃描指使用漏洞掃描程序?qū)δ繕?biāo)系統(tǒng)進行信息查詢3813.1.2網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的目的是截獲通信的內(nèi)容，監(jiān)聽的手段是對協(xié)議進行分析。網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個位置實施，但監(jiān)聽效果最好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設(shè)備上（通常由網(wǎng)絡(luò)管理員來操作）。使用最方便的監(jiān)聽是在一個以太網(wǎng)中的任何一臺聯(lián)網(wǎng)的主機上實施，這是大多數(shù)黑客的做法。13.1.2網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的目的是截獲通信的內(nèi)容，監(jiān)聽的391.以太網(wǎng)的工作原理網(wǎng)卡有幾種接收數(shù)據(jù)幀的狀態(tài)：（1）Unicast是指網(wǎng)卡在工作時接收的目的地址是本機硬件地址的數(shù)據(jù)幀；（2）Broadcast是指接收所有類型為廣播報文的數(shù)據(jù)幀；（3）Multicast是指接收特定的組播報文；（4）Promiscuous即混雜模式，是指對報文中的目的硬件地址不加任何檢查，全部接收的工作模式。以太網(wǎng)邏輯上是總線拓?fù)浣Y(jié)構(gòu)，采用廣播的通信方式。當(dāng)網(wǎng)卡工作在混雜模式下時，無論幀中的目標(biāo)物理地址是什么，主機都接收。如果在這臺主機上安裝了監(jiān)聽軟件，就可以達(dá)到監(jiān)聽的目的。1.以太網(wǎng)的工作原理網(wǎng)卡有幾種接收數(shù)據(jù)幀的狀態(tài)：402.Sniffer（嗅探器）Sniffer是一種在網(wǎng)絡(luò)上非常流行的軟件，它的正當(dāng)用處主要是分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。但是，由于Sniffer可以捕獲網(wǎng)絡(luò)報文，因此它對網(wǎng)絡(luò)也存在著極大的危害。（1）Sniffer工作原理一臺安裝了Sniffer的主機能捕獲到達(dá)本機端口的報文，如果要想完成監(jiān)聽，捕獲網(wǎng)段上所有的報文，前提條件是：①網(wǎng)段必須共享以太網(wǎng)；②把本機上的網(wǎng)卡設(shè)置為混雜模式。2.Sniffer（嗅探器）Sniffer是一種在網(wǎng)絡(luò)上非常41（2）Sniffer的分類Sniffer分為軟件和硬件兩種。軟件的Sniffer，如NetXray，Packetbody，Netmonitor等，價廉物美，易于學(xué)習(xí)使用，也易于交流，但無法抓取網(wǎng)絡(luò)上所有的傳輸。硬件Sniffer通常也稱為協(xié)議分析儀，一般都是商業(yè)性的，價格也比較昂貴。Sniffer只能抓取一個五路網(wǎng)段內(nèi)的包，也就是說，監(jiān)聽者與監(jiān)聽的目標(biāo)中間不能有路由（交換）或其他屏蔽廣播包的設(shè)備。所以對一般撥號上網(wǎng)的用戶來說，是不可能利用Sniffer來竊聽到其他人的通信內(nèi)容的。（2）Sniffer的分類42（3）網(wǎng)絡(luò)監(jiān)聽的目的Sniffer屬于第二層次的攻擊，就是說只有在攻擊者已經(jīng)進入目標(biāo)系統(tǒng)的情況下，才能使用Sniffer這種攻擊手段，以便得到更多的信息。如果Sniffer運行在路由器上或者有路由功能的主機上，就能對大量的數(shù)據(jù)進行監(jiān)控，因為所有進出網(wǎng)絡(luò)的數(shù)據(jù)包都要經(jīng)過路由器。（3）網(wǎng)絡(luò)監(jiān)聽的目的433.網(wǎng)絡(luò)監(jiān)聽的防范方法Sniffer是發(fā)生在以太網(wǎng)內(nèi)的。防范網(wǎng)絡(luò)監(jiān)聽的方法：（1）確保以太網(wǎng)的整體安全性。只有有漏洞的主機被攻破，才能進行Sniffer。（2）采用加密技術(shù)（3）對安全性要求比較高的公司可以考慮Kerberos，提供可信第三方服務(wù)的面向開放系統(tǒng)的認(rèn)證機制。（4）使用交換機以及一次性口令技術(shù)。3.網(wǎng)絡(luò)監(jiān)聽的防范方法Sniffer是發(fā)生在以太網(wǎng)內(nèi)的。防范444.檢測網(wǎng)絡(luò)監(jiān)聽的手段（1）反映時間向懷疑有網(wǎng)絡(luò)監(jiān)聽行為的網(wǎng)絡(luò)發(fā)送大量垃圾數(shù)據(jù)報，根據(jù)各個主機回應(yīng)的情況進行判斷，正常的系統(tǒng)回應(yīng)時間應(yīng)該沒有太明顯的變化。（2）DNS測試許多的網(wǎng)絡(luò)監(jiān)聽軟件都會嘗試進行地址反向解析，在懷疑有網(wǎng)絡(luò)監(jiān)聽行為發(fā)生時，可以在DNS系統(tǒng)上觀測有沒有明顯增多的解析請求。（3）利用ping進行監(jiān)測用正確的IP地址和處錯誤的物理地址ping，運行模式程序的計算機會有響應(yīng)。因為正常的計算機不接收錯誤的物理地址，如果IPstack不再次反向檢查的話，就會響應(yīng)。（4）利用ARP數(shù)據(jù)包進行監(jiān)測向局域網(wǎng)內(nèi)的主機發(fā)送非廣播方式的ARP包，如果局域網(wǎng)內(nèi)的某臺主機響應(yīng)了這個ARP請求，我們就可以判斷它很有可能就是處于網(wǎng)絡(luò)監(jiān)聽模式了。4.檢測網(wǎng)絡(luò)監(jiān)聽的手段（1）反映時間4513.1.3口令破解1.字典文件所謂字典文件，就是根據(jù)用戶的各種信息建立一個用戶可能使用的口令的列表文件。字典中的口令是根據(jù)人們設(shè)置自己賬號口令的習(xí)慣總結(jié)出的常用口令。對攻擊者來說，攻擊的口令在這字典文件中的可能性很大，而且因為字典條目相對較少，在破解速度上也遠(yuǎn)快于窮舉法口令攻擊。這種字典有很多種，適合在不同的情況下使用。13.1.3口令破解1.字典文件462.口令攻擊類型（1）字典攻擊使用一部1萬個單詞的字典一般能猜測出系統(tǒng)中70%的口令。（2）強行攻擊沒有攻不破的口令，只是個時間問題。如果有速度足夠快的計算機能嘗試字母、數(shù)字、特殊字符的所有組合，將最終能破解所有的口令。（3）組合攻擊使用字典單詞但是單詞尾部串接幾個字母和數(shù)字，這就是組合攻擊。（鑒于很多管理員要求使用字母和數(shù)字，用戶的對策是在口令后面添加幾個數(shù)字）2.口令攻擊類型473.口令破解器口令破解器是一個程序，它能將口令解譯出來，或者讓口令保護失效。口令破解器一般不是真正的去解碼，因為事實上很多加密算法是不可逆的。大多數(shù)口令破解器是通過嘗試一個一個的單詞，用已知的加密算法來加密這些單詞，直到發(fā)現(xiàn)一個單詞經(jīng)過加密后的結(jié)果和待解密的數(shù)據(jù)一樣，就認(rèn)為這個單詞是要找的密碼。3.口令破解器口令破解器是一個程序，它能將口令解譯出來，或者48Windows口令破解Windows口令的安全性比UNIX要脆弱得多，這是由其采用的數(shù)據(jù)庫存儲和加密機制所直接導(dǎo)致的。Windows口令破解程序主要有：（1）L0phtcrack：是一個NT口令破解工具，它能通過保存在NT操作系統(tǒng)中的cryptographichashes列表來破解用戶口令。（2）NTSweep：利用Microsoft允許用戶改變口令的機制，NTSweep首先取定一個詞，NTSweep使用這個單詞作為賬號的原始口令并試圖把用戶的口令改為同一個單詞。NTSweep能通過防火墻，也不需要任何特殊權(quán)限來允許。（3）NTCrack：是UNIX破解程序的一部分，但是需要在NT環(huán)境下破解，它和NTSweep的工作原理類似，但功能上有限。（4）PWDump2：用來從SAM數(shù)據(jù)庫中提取哈?？诹?。Windows口令破解Windows口令的安全性比UNIX4913.2取證技術(shù)13.2.1電子證據(jù)計算機證據(jù)國際組織（IOCE）對電子證據(jù)相關(guān)定義如下：①電子證據(jù)：法庭上可能成為證據(jù)的以二進制形式存儲或傳送的信息。②原始電子證據(jù)：查封計算機犯罪現(xiàn)場時，相關(guān)物理介質(zhì)及其存儲的數(shù)據(jù)對象。③電子證據(jù)副本：原始物理介質(zhì)上獲取的所有數(shù)據(jù)對象的完全拷貝。④拷貝：獨立于物理介質(zhì)，包含在數(shù)據(jù)對象中的信息的精確復(fù)制。13.2取證技術(shù)13.2.1電子證據(jù)50電子證據(jù)的特點（1）表現(xiàn)形式的多樣性（2）存儲介質(zhì)的電子性（3）準(zhǔn)確性（4）脆弱性（5）數(shù)據(jù)的揮發(fā)性（6）電子證據(jù)的高科技性電子證據(jù)的特點（1）表現(xiàn)形式的多樣性51常見的電子證據(jù)（1）計算機系統(tǒng)（2）聯(lián)網(wǎng)設(shè)備（調(diào)制解調(diào)器、網(wǎng)卡、路由器…）（3）自動應(yīng)答設(shè)備（4）數(shù)碼相機（5）便攜電子設(shè)備（個人數(shù)字助理…）（6）尋呼機（7）手機（8）打印機（9）掃描儀（10）其他電子設(shè)備（復(fù)印機、傳真機、讀卡機、全球定位儀）常見的電子證據(jù)（1）計算機系統(tǒng)5213.2.2計算機取證的定義與原則廣義的計算機取證：發(fā)現(xiàn)計算機及其相關(guān)設(shè)備中的有利于計算機事件調(diào)查的數(shù)據(jù)，并提取、保護、保存的過程。狹義的計算機取證：能夠為法庭接受的、原始的、完整的、有說服力的，存在于計算機和相關(guān)外設(shè)中的電子證據(jù)的提取、保護和保存的過程。13.2.2計算機取證的定義與原則廣義的計算機取證：發(fā)現(xiàn)計53IOCE提交的報告中指出計算機取證過程中應(yīng)該遵守的一般原則:（1）處理電子證據(jù)時，必須遵守所有的常規(guī)取證步驟、原則。（2）獲取電子證據(jù)時，必須保證證據(jù)的不變性。（3）進行原始證據(jù)處理的取證人員應(yīng)該進過專業(yè)培訓(xùn)。（4）所有與電子證據(jù)的獲取、訪問、存儲、傳送相關(guān)的處理都必須完全歸檔、保存好。（5）個人在擁有與安全相關(guān)的電子證據(jù)時，應(yīng)該對其所有在電子證據(jù)上所進行的相關(guān)操作負(fù)有責(zé)任。（6）任何代理機構(gòu)，在負(fù)責(zé)提取、訪問、保存或傳送電子證據(jù)時都必須遵守這些原則。IOCE提交的報告中指出計算機取證過程中應(yīng)該遵守的一般原則:54實際處理過程中，也就是在對計算機犯罪進行證據(jù)提取的過程中，應(yīng)該遵守以下各個原則：（1）必須盡早搜集證據(jù)，并保證其沒有受到任何破壞，如銷毀、篡改或其他的破壞方式，也不要被取證程序本身所破壞。（2）必須保證在取證過程中，計算機病毒不會被引入目標(biāo)計算機。（3）必須保證“證據(jù)連續(xù)性”（ChainofCustody），即在證據(jù)被正式提交給法庭時必需保證一直能被追蹤。也就是說，要能明白證據(jù)的取證拷貝是安全的，用于拷貝證據(jù)的進程是可靠并且可以復(fù)驗的，以及所有的介質(zhì)都是安全的。（4）整個檢查、取證過程必須受到其他方委派的專家監(jiān)督。（5）必須保證提取出來的可能有用的證據(jù)不會受到機械或電磁損害。（6）被取證的對象如果必須運行某些商務(wù)程序，要確保該程序的運行只能影響一段有限時間。（7）在取證的過程中，應(yīng)當(dāng)尊重不小心獲取的任何關(guān)于客戶代理人的私人信息，不能把這些信息泄露出去。實際處理過程中，也就是在對計算機犯罪進行證據(jù)提取的過程中，應(yīng)5513.2.3計算機取證的步驟對于計算機犯罪的取證，一般包括以下六個步驟：（1）證據(jù)的獲?。⊿eizureProcess）（2）位拷貝（BitCopyProcess）（3）分析檢查（ExaminationProcess）（4）取證提交（ReportingProcess）（5）證據(jù)存檔（ArchivingProcess）（6）證據(jù)呈貢（Deposition&testimonyProcess）13.2.3計算機取證的步驟對于計算機犯罪的取證，一般包括5613.2.4計算機取證方法傳統(tǒng)的靜態(tài)取證是在案發(fā)后對現(xiàn)場進行分析取證，所獲取的證據(jù)缺乏實時性與連續(xù)性，因而在法庭上缺乏說明力，有時入侵者會在入侵后清除入侵足跡。動態(tài)取證則在犯罪發(fā)生中進行取證，即能在入侵時實時進行，從而其證據(jù)具有實時性和連續(xù)性，結(jié)合入侵前后的網(wǎng)絡(luò)環(huán)境可再現(xiàn)入侵過程，所以，動態(tài)取證取得的電子證據(jù)更具有說服力與法律效力。13.2.4計算機取證方法傳統(tǒng)的靜態(tài)取證是在案發(fā)后對現(xiàn)場進571.取證模型攻擊進行中證據(jù)收集證據(jù)分析法律裁判攻擊發(fā)生檢測到攻擊備份證據(jù)原始證據(jù)分析結(jié)果傳統(tǒng)靜態(tài)取證模型1.取證模型攻擊進行中證據(jù)收集證據(jù)分析法律裁判攻擊發(fā)生檢測到58動態(tài)靜態(tài)取證模型網(wǎng)絡(luò)及主機信息攻擊進行中取證收集響應(yīng)系統(tǒng)網(wǎng)絡(luò)監(jiān)控法律制裁證據(jù)分析攻擊發(fā)生攻擊信息備份證據(jù)提交原始證據(jù)與分析結(jié)果動態(tài)靜態(tài)取證模型網(wǎng)絡(luò)及主機信息攻擊進行中取證收集響應(yīng)系統(tǒng)網(wǎng)絡(luò)592.取證方法（1）利用IDS取證利用入侵檢測系統(tǒng)檢測非法的入侵或惡意行為并激活取證系統(tǒng)，進行實時的電子證據(jù)的收集，是IDS新的應(yīng)用方向，也是IDS中的研究熱點之一?？梢园讶肭謾z測