網(wǎng)絡(luò)安全網(wǎng)絡(luò)偵察技術(shù)

網(wǎng)絡(luò)安全

劉敏賢副教授西南科技大學(xué)計算機科學(xué)與技術(shù)學(xué)院第2章回顧攻擊事件攻擊的目的攻擊的步驟第3章網(wǎng)絡(luò)偵察技術(shù)本章介紹常見的網(wǎng)絡(luò)偵察技術(shù)，包括網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)監(jiān)聽和口令破解三個部分。網(wǎng)絡(luò)掃描重點介紹三種掃描類型以及常用的掃描器；網(wǎng)絡(luò)監(jiān)聽重點介紹對以太網(wǎng)的監(jiān)聽和嗅探器；口令破解重點介紹口令破解器、字典文件以及Windows2000和Unix口令破解所涉及的問題。第3章網(wǎng)絡(luò)偵察技術(shù)3.1網(wǎng)絡(luò)掃描3.2網(wǎng)絡(luò)監(jiān)聽3.3口令破解

網(wǎng)絡(luò)掃描掃描器掃描的類型常用的網(wǎng)絡(luò)掃描器第3章第1節(jié)掃描的目標(biāo)主機發(fā)現(xiàn)目標(biāo)主機上運行的可訪問的TCP及UDP網(wǎng)絡(luò)服務(wù)目標(biāo)主機的操作平臺及其配置目標(biāo)主機漏洞（包括系統(tǒng)漏洞和協(xié)議棧漏洞）過濾機制與安全系統(tǒng)的配置（包括防火墻、邊界路由器、交換機以及IDS探測器等）網(wǎng)絡(luò)掃描器的主要功能掃描目標(biāo)主機識別其工作狀態(tài)（開/關(guān)機）識別目標(biāo)主機端口的狀態(tài)（監(jiān)聽/關(guān)閉）識別目標(biāo)主機系統(tǒng)及服務(wù)程序的類型和版本根據(jù)已知漏洞信息，分析系統(tǒng)脆弱點生成掃描結(jié)果報告掃描技術(shù)主機掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機是否可達(dá)，同時盡可能多映射目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，主要利用ICMP數(shù)據(jù)包端口掃描：發(fā)現(xiàn)遠(yuǎn)程主機開放的端口以及服務(wù)操作系統(tǒng)指紋掃描：根據(jù)協(xié)議棧判別操作系統(tǒng)掃描器分類主機型安全掃描器網(wǎng)絡(luò)型漏洞掃描器數(shù)據(jù)庫漏洞掃描器1、

主機型安全掃描器 主機型漏洞掃描器一般采用C/S的架構(gòu)，通過在主機系統(tǒng)本地運行代理程序，針對操作系統(tǒng)內(nèi)部問題進行深入的系統(tǒng)漏洞掃描。2、網(wǎng)絡(luò)型漏洞洞掃描器網(wǎng)絡(luò)型漏洞洞掃描器是是通過模擬擬黑客經(jīng)由由網(wǎng)絡(luò)端發(fā)發(fā)出數(shù)據(jù)包包，以主機機接受到數(shù)數(shù)據(jù)包時的的回應(yīng)作為為判斷標(biāo)準(zhǔn)準(zhǔn)，進而了了解網(wǎng)絡(luò)上上各種網(wǎng)絡(luò)絡(luò)設(shè)備、主主機系統(tǒng)等等開放的端端口、服務(wù)務(wù)以及各種種應(yīng)用程序序的漏洞的的安全掃描描工具。3、數(shù)據(jù)庫漏洞洞掃描器數(shù)據(jù)庫漏洞洞掃描器，，是專門針針對數(shù)據(jù)庫庫進行安全全漏洞掃描描的掃描工工具，以發(fā)發(fā)現(xiàn)數(shù)據(jù)庫庫在系統(tǒng)軟軟件、應(yīng)用用程序、系系統(tǒng)管理以以及安全配配置等方面面的存在的的安全漏洞洞測。掃描器的工工作原理掃描器是一一種自動檢檢測遠(yuǎn)程或或本地主機機安全性弱弱點的程序序，通過使使用掃描器器可以發(fā)現(xiàn)現(xiàn)遠(yuǎn)程服務(wù)務(wù)器是否存存活和各種種端口的分分配及提供供的服務(wù)和和它們的軟軟件版本。。例如：操作作系統(tǒng)識別別，是否能能用匿名登登陸，是否否有可寫的的FTP目錄，是否否能用TELNET。掃描器工作作原理圖：：掃描器的基基本工作原原理TCP協(xié)議議TCP是一種面向向連接的，，可靠的傳傳輸層協(xié)議議。一次正正常的TCP傳輸需要通通過在客戶戶端和服務(wù)務(wù)器之間建建立特定的的虛電路連連接來完成成，該過程程通常被稱稱為“三次次握手”。。TCP通過數(shù)據(jù)分分段中的序序列號保證證所有傳輸輸?shù)臄?shù)據(jù)可可以在遠(yuǎn)端端按照正常常的次序進進行重組，，而且通過過確認(rèn)保證證數(shù)據(jù)傳輸輸?shù)耐暾孕?。TCP協(xié)議議TCP數(shù)據(jù)包格式式TCP協(xié)議議TCP標(biāo)志位ACK： 確認(rèn)標(biāo)標(biāo)志RST： 復(fù)位標(biāo)標(biāo)志URG：緊急標(biāo)志志SYN： 建立連連接標(biāo)志PSH： 推標(biāo)志志FIN： 結(jié)束標(biāo)標(biāo)志TCP協(xié)議議TCP連接建立示示意圖主機掃描技技術(shù)－傳統(tǒng)統(tǒng)技術(shù)主機掃描的的目的是確確定在目標(biāo)標(biāo)網(wǎng)絡(luò)上的的主機是否否可達(dá)。這這是信息收收集的初級級階段，其其效果直接接影響到后后續(xù)的掃描描。常用的傳統(tǒng)統(tǒng)掃描手段段有：ICMPEcho掃描ICMPSweep掃描BroadcastICMP掃描Non-EchoICMP掃描地址掃描目的：檢查查目標(biāo)主機機是否處于于活動狀態(tài)態(tài)(active)掃描方式：：ICMPPing掃描ACKPing掃描SYNPing掃描UDPPing掃描：到關(guān)關(guān)閉端口arp掃描描（局域網(wǎng)網(wǎng)）ICMPecho掃描實現(xiàn)原理：：Ping的實現(xiàn)機制制，在判斷斷在一個網(wǎng)網(wǎng)絡(luò)上主機機是否開機機時非常有有用。向目目標(biāo)主機發(fā)發(fā)送ICMPEchoRequest(type8)數(shù)據(jù)包，等等待回復(fù)的的ICMPEchoReply包(type0)。如果能收收到，則表表明目標(biāo)系系統(tǒng)可達(dá)，，否則表明明目標(biāo)系統(tǒng)統(tǒng)已經(jīng)不可可達(dá)或發(fā)送送的包被對對方的設(shè)備備過濾掉。。優(yōu)點：簡單單，系統(tǒng)支支持缺點：很容容易被防火火墻限制可以通過并并行發(fā)送，，同時探測測多個目標(biāo)標(biāo)主機，以以提高探測測效率（ICMPSweep掃描）。網(wǎng)絡(luò)掃描第3章第1節(jié)地址掃描主機掃描程程序：PingNmap:-sP選項,缺省執(zhí)行,集合了ICMP/SYN/ACK/UDPPing功能（SYN/ACK針對80端端口）SING（（SendICMPNastyGarbage））：發(fā)送完完全定制的的ICMP數(shù)據(jù)包的的命令行工工具地址掃描Ping掃射同時掃描大大量的IP地址段，以以發(fā)現(xiàn)某個個IP地址是否綁綁定活躍主主機的掃描描Ping掃射工具軟軟件UNIX:Nmap,fping,hping2Win32:SuperscanBroadcastICMP掃描實現(xiàn)原理：：將ICMP請求包的目目標(biāo)地址設(shè)設(shè)為廣播地地址或網(wǎng)絡(luò)絡(luò)地址，則則可以探測測廣播域或或整個網(wǎng)絡(luò)絡(luò)范圍內(nèi)的的主機。缺點：只適合于于UNIX/Linux系統(tǒng)，Windows會忽略這這種請求求包；這種掃描描方式容容易引起起廣播風(fēng)風(fēng)暴主機掃描描技術(shù)－－高級技技術(shù)防火墻和和網(wǎng)絡(luò)過過濾設(shè)備備常常導(dǎo)導(dǎo)致傳統(tǒng)統(tǒng)的探測測手段變變得無效效。為了了突破這這種限制制，必須須采用一一些非常常規(guī)的手手段，利利用ICMP協(xié)議提供供網(wǎng)絡(luò)間間傳送錯錯誤信息息的手段段，往往往可以更更有效的的達(dá)到目目的：異常的IP包頭在IP頭中設(shè)置置無效的的字段值值錯誤的數(shù)數(shù)據(jù)分片片通過超長長包探測測內(nèi)部路路由器反向映射射探測端口掃描描掃描的類類型端口掃描描(端口就是是一個潛潛在的通通信通道道，也就就是一個個入侵通通道)熟知端口口(0～1023)注冊端口口(1024～49151)專用端口口(49152～65535)方法基本掃描描Connect，SYN，F(xiàn)IN，Xmas樹，空掃掃描，，ACK，Windows，RPC，UDP高級掃描描Ident，F(xiàn)TPBounce第3章第1節(jié)端口掃描描技術(shù)當(dāng)確定了了目標(biāo)主主機可達(dá)達(dá)后，就就可以使使用端口口掃描技技術(shù)，發(fā)發(fā)現(xiàn)目標(biāo)標(biāo)主機的的開放端端口，包包括網(wǎng)絡(luò)絡(luò)協(xié)議和和各種應(yīng)應(yīng)用監(jiān)聽聽的端口口。端口口掃描技技術(shù)主要要包括以以下三類類：開放掃描描會產(chǎn)生大大量的審審計數(shù)據(jù)據(jù)，容易易被對方方發(fā)現(xiàn)，，但其可可靠性高高；隱蔽掃描描能有效的的避免對對方入侵侵檢測系系統(tǒng)和防防火墻的的檢測，，但這種種掃描使使用的數(shù)數(shù)據(jù)包在在通過網(wǎng)網(wǎng)絡(luò)時容容易被丟丟棄從而而產(chǎn)生錯錯誤的探探測信息息；半開放掃掃描隱蔽性和和可靠性性介于前前兩者之之間。開放式掃掃描——TCPConnect掃描會產(chǎn)生大大量的審審計數(shù)據(jù)據(jù)，容易易被對方方發(fā)現(xiàn)，，但其可可靠性高高。三次握手手示意圖圖：（1）SYN（3）ACK（2）SYN/ACK客戶端服務(wù)器端實現(xiàn)原理理：通過調(diào)用用socket函數(shù)connect()連接到目目標(biāo)計算算機上，，完成一一次完整整的三次次握手過過程。如如果端口口處于偵偵聽狀態(tài)態(tài)，那么么connect()就能成功功返回。。否則，，這個端端口不可可用，即即沒有提提供服務(wù)務(wù)。優(yōu)點：穩(wěn)定可靠靠，不需需要特殊殊的權(quán)限限。缺點：掃描方式式不隱蔽蔽，服務(wù)務(wù)器日志志會記錄錄下大量量密集的的連接和和錯誤記記錄，，并容易易被防火火墻發(fā)現(xiàn)現(xiàn)和屏蔽蔽。TCP反反向ident掃描實現(xiàn)原理理：ident協(xié)議議允許看看到通過過TCP連接的的任何進進程的擁擁有者的的用戶名名，即使使這個連連接不是是由這個個進程開開始的。。比如，，連接到到http端口口，然后后用identd來發(fā)發(fā)現(xiàn)服務(wù)務(wù)器是否否正在以以root權(quán)限限運行。。缺點：這這種方法法只能在在和目標(biāo)標(biāo)端口建建立了一一個完整整的TCP連接接后才能能看到。。半開放掃掃描技術(shù)術(shù)TCPSYN掃描描TCP間間接掃描描半開放掃掃描———TCPSYN掃描隱蔽性和和可靠性性介于開開發(fā)式掃掃描和隱隱蔽式掃掃描之間間。半連接示示意圖：：（1）SYN（3）RST（2）SYN/ACK客戶端服務(wù)器端實現(xiàn)原理理：掃描器向向目標(biāo)主主機端口口發(fā)送SYN包。如果果應(yīng)答是是RST包，那么么說明端端口是關(guān)關(guān)閉的；；如果應(yīng)應(yīng)答中包包含SYN和ACK包，說明明目標(biāo)端端口處于于監(jiān)聽狀狀態(tài)，再再傳送一一個RST包給目標(biāo)標(biāo)機從而而停止建建立連接接。由于于在SYN掃描時，，全連接接尚未建建立，所所以這種種技術(shù)通通常被稱稱為半連連接掃描描。優(yōu)點：隱蔽性較較全連接接掃描好好，一般般系統(tǒng)對對這種半半掃描很很少記錄錄。缺點：通常構(gòu)造造SYN數(shù)據(jù)包需需要授權(quán)權(quán)用戶。。隱蔽掃描描技術(shù)TCPFIN掃描描TCPXmas掃描描TCPNull掃掃描TCPftpproxy掃描分段掃描描隱蔽性掃掃描——TCPFIN掃描能有效的的避免對對方入侵侵檢測系系統(tǒng)和防防火墻的的檢測，，但這種種掃描使使用的數(shù)數(shù)據(jù)包在在通過網(wǎng)網(wǎng)絡(luò)時容容易被丟丟棄從而而產(chǎn)生錯錯誤的探探測信息息。隱蔽性掃掃描示意意圖：（1）FIN（2）RST客戶端服務(wù)器端實現(xiàn)原理：掃描器向目標(biāo)標(biāo)主機端口發(fā)發(fā)送FIN包。當(dāng)一個FIN數(shù)據(jù)包到達(dá)一一個關(guān)閉的端端口，數(shù)據(jù)包包會被丟掉，，并且返回一一個RST數(shù)據(jù)包。否則則，若是打開開的端口，數(shù)數(shù)據(jù)包只是簡簡單的丟掉（（不返回RST）。優(yōu)點：由于這種技術(shù)術(shù)不包含標(biāo)準(zhǔn)準(zhǔn)的TCP三次握手協(xié)議議的任何部分分，所以無法法被記錄下來來，從而比SYN掃描隱蔽得多多，F(xiàn)IN數(shù)據(jù)包能夠通通過只監(jiān)測SYN包的包過濾器器。缺點：跟SYN掃描類似，需需要自己構(gòu)造造數(shù)據(jù)包，要要求授權(quán)用戶戶訪問；通常常適用于UNIX目標(biāo)主機，除除過少量的應(yīng)應(yīng)當(dāng)丟棄數(shù)據(jù)據(jù)包卻發(fā)送RST包的操作系統(tǒng)統(tǒng)（包括CISCO等）。但在Windows95/NT環(huán)境下，該方方法無效，因因為不論目標(biāo)標(biāo)端口是否打打開，操作系系統(tǒng)都返回RST包。TCPXmas和TCPNull掃描描實現(xiàn)原理：：TCPXmas和Null掃描是FIN掃描的兩個個變種。Xmas掃描打開FIN，URG和PUSH標(biāo)記，而Null掃描關(guān)閉所所有標(biāo)記。。這些組合合的目的是是為了通過過對FIN標(biāo)記數(shù)據(jù)包包的過濾。。當(dāng)一個這這種數(shù)據(jù)包包到達(dá)一個個關(guān)閉的端端口，數(shù)據(jù)據(jù)包會被丟丟掉，并且且返回一個個RST數(shù)據(jù)包。否否則，若是是打開的端端口，數(shù)據(jù)據(jù)包只是簡簡單的丟掉掉（不返回回RST）。優(yōu)點：隱蔽性好；；缺點：需要自己構(gòu)構(gòu)造數(shù)據(jù)包包，要求由由超級用戶戶或者授權(quán)權(quán)用戶權(quán)限限；通常適用于于UNIX目標(biāo)主機，，而Windows系統(tǒng)不支持持。TCPftpproxy掃描實現(xiàn)原理：：FTP代理連接選選項，其目目的是允許許一個客戶戶端同時跟跟兩個FTP服務(wù)器建立立連接，然然后在服務(wù)務(wù)器之間直直接傳輸數(shù)數(shù)據(jù)。然而而，在大部部分實現(xiàn)中中，實際上上能夠使得得FTP服務(wù)器發(fā)送送文件到Internet的任何地方方。該方法法正是利用用了這個缺缺陷，其掃掃描步驟如如下：1：假定S是掃描機，，T是掃描目標(biāo)標(biāo)，F(xiàn)是一個ftp服務(wù)器，這這個服務(wù)器器支持代理理選項，能能夠跟S和T建立連接。。2：S與F建立一個ftp會話，使用用PORT命令聲明一一個選擇的的端口（稱稱之為p－T）作為代理理傳輸所需需要的被動動端口。3：然后S使用一個LIST命令嘗試啟啟動一個到到p－T的數(shù)據(jù)傳輸輸。4：如果端口口p－T確實在監(jiān)聽聽，傳輸就就會成功（（返回碼150和226被發(fā)送回給給S），否則S回收到"425無法打開數(shù)數(shù)據(jù)連接"的應(yīng)答。5：S持續(xù)使用PORT和LIST命令，直到到T上所有的選選擇端口掃掃描完畢。。優(yōu)點：FTP代理掃描不不但難以跟跟蹤，而且且可以穿越越防火墻缺點：一些些ftpserver禁止這種特特性分段掃描實現(xiàn)原理：：并不直接接發(fā)送TCP探測數(shù)據(jù)包包，是將數(shù)數(shù)據(jù)包分成成兩個較小小的IP段。這樣就就將一個TCP頭分成好幾幾個數(shù)據(jù)包包，從而包包過濾器就就很難探測測到。優(yōu)點：隱蔽蔽性好，可可穿越防火火墻缺點：可能被丟棄棄；某些程序在在處理這些些小數(shù)據(jù)包包時會出現(xiàn)現(xiàn)異常。TCP端口口掃描TCP端口口掃描工具具：UNIX：：Nmap，Unicornscan，nast，Knockerwin：SuperScan，vscan，Xscan...網(wǎng)絡(luò)掃描掃描的類型型漏洞掃描定義：通常常是指基于于漏洞數(shù)據(jù)據(jù)庫，通過過掃描等手手段，對指指定的遠(yuǎn)程程或者本地地計算機系系統(tǒng)的安全全脆弱性進進行檢測，，發(fā)現(xiàn)可利利用的漏洞洞的一種種安全檢測測（滲透攻攻擊）行為為。漏洞掃描是是指使用漏漏洞掃描程程序?qū)δ繕?biāo)標(biāo)系統(tǒng)進行行信息查詢詢漏洞掃描器器是一種自自動檢測遠(yuǎn)遠(yuǎn)程或本地地主機安全全性弱點的的程序外部掃描與與內(nèi)內(nèi)部掃描描第3章第1節(jié)系統(tǒng)類型探探查系統(tǒng)類型探探查：探查查活躍主機機的系統(tǒng)及及開放網(wǎng)絡(luò)絡(luò)服務(wù)的類類型目標(biāo)主機上上運行著何何種類型什什么版本的的操作系統(tǒng)統(tǒng)各個開放端端口上監(jiān)聽聽的是哪些些網(wǎng)絡(luò)服務(wù)務(wù)目的為更為深入入的情報信信息收集，，真正實施施攻擊做好好準(zhǔn)備如遠(yuǎn)程滲透透攻擊需了了解目標(biāo)系系統(tǒng)操作系系統(tǒng)類型，，并配置操作系統(tǒng)類類型探查操作系統(tǒng)類類型探查(OSIdentification)通過各種不不同操作系系統(tǒng)類型和和版本實現(xiàn)現(xiàn)機制上的的差異通過特定方方法以確定定目標(biāo)主機機所安裝的的操作系統(tǒng)統(tǒng)類型和版版本的技術(shù)術(shù)手段明確操作系系統(tǒng)類型和和版本是進進一步進行行安全漏洞洞發(fā)現(xiàn)和滲滲透攻擊的的必要前提提不同操作系系統(tǒng)類型和和版本的差差異性協(xié)議棧實現(xiàn)現(xiàn)差異－協(xié)協(xié)議棧指紋紋鑒別開放端口的的差異－端端口掃描應(yīng)用服務(wù)的的差異－旗旗標(biāo)攫取辨識方式主動：操作作系統(tǒng)主動動探測技術(shù)術(shù)被動：被動動操作系統(tǒng)統(tǒng)識別技術(shù)術(shù)網(wǎng)絡(luò)服務(wù)類類型探查網(wǎng)絡(luò)服務(wù)類類型探查確定目標(biāo)網(wǎng)網(wǎng)絡(luò)中開放放端口上綁綁定的網(wǎng)絡(luò)絡(luò)應(yīng)用服務(wù)務(wù)類型和版版本了解目標(biāo)系系統(tǒng)更豐富富信息,可支持進一一步的操作作系統(tǒng)辨識識和漏洞識識別網(wǎng)絡(luò)服務(wù)主主動探測網(wǎng)絡(luò)服務(wù)旗旗標(biāo)抓取和和探測:nmap-sV網(wǎng)絡(luò)服務(wù)被被動識別網(wǎng)絡(luò)服務(wù)特特征匹配和和識別:PADS漏洞掃描漏洞：SecurityVulnerability，安全脆弱性性漏洞掃描：：檢查系統(tǒng)是是否存在已已公布安全全漏洞，硬硬件、軟件件或策略是是否存在安安全缺陷，，從而使得得攻擊者能能夠在未授授權(quán)的情況況下訪問、、攻擊、控控制系統(tǒng)漏洞掃描網(wǎng)絡(luò)掃描第3章第1節(jié)第3章第1節(jié)網(wǎng)絡(luò)掃描第3章第第1節(jié)網(wǎng)絡(luò)絡(luò)掃掃描描常用用的的網(wǎng)網(wǎng)絡(luò)絡(luò)掃掃描描器器X-scan提供供了了圖圖形形界界面面和和命命令令行行兩兩種種操操作作方方式式遠(yuǎn)程程操操作作系系統(tǒng)統(tǒng)類類型型及及版版本本、、標(biāo)標(biāo)準(zhǔn)準(zhǔn)端端口口狀狀態(tài)態(tài)及及端端口口banner信息息、、CGI漏洞洞、、RPC漏洞洞、、SQL-SERVER默認(rèn)認(rèn)帳帳戶戶、、弱弱口口令令，，NT主機機共共享享信信息息、、用用戶戶信信息息、、組組信信息息、、NT主機機弱弱口口令令用用戶戶第3章第第1節(jié)功能能特特色色：：采用用多多線線程程方方式式對對指指定定IP地址址段段(或單單機機)進行行安安全全漏漏洞洞檢檢測測，，支支持持插插件件功功能能。。掃掃描描內(nèi)內(nèi)容容可可包包括括：：遠(yuǎn)遠(yuǎn)程程服服務(wù)務(wù)類類型型、、操操作作系系統(tǒng)統(tǒng)類類型型及及版版本本，，各各種種弱弱口口令令漏漏洞洞、、后后門門、、應(yīng)應(yīng)用用服服務(wù)務(wù)漏漏洞洞、、網(wǎng)網(wǎng)絡(luò)絡(luò)設(shè)設(shè)備備漏漏洞洞、、拒拒絕絕服服務(wù)務(wù)漏漏洞洞等等二二十十幾幾個個大大類類。。評價價：X-Scan是一個個完全全免費費軟件件，其其中的的漏洞洞資資料和和整體體功能能都存存在嚴(yán)嚴(yán)重不不足，，各項項功能能的測測試受受時間間及環(huán)環(huán)境所所限也也不夠夠全面面。xscan選擇‘‘無條條件掃掃描’’，才才可以以突破破防火火墻屏屏蔽ping，進行行端口口掃描描。軟件圖圖形界界面：：SUPERSCAN3.0適用平平臺：：Win9x/NT/2000/XP功能特特色：：解解析主主機名名、只只掃描描響應(yīng)應(yīng)PING的主機機、顯顯示主主機響響應(yīng)、、只用用PING掃描主主機、、掃描描端口口選擇擇等。。評價價：：foundstone實驗室室的一一個端端口掃掃描工工具，，掃描描速度度可自自由調(diào)調(diào)整速速度而而且資資源占占用很很小。。軟件圖圖形界界面：：掃描器器產(chǎn)品品網(wǎng)絡(luò)監(jiān)監(jiān)聽網(wǎng)絡(luò)監(jiān)監(jiān)聽的的目的的是截截獲通通信的的內(nèi)容容監(jiān)聽的的手段段是對對協(xié)議議進行行分析析當(dāng)黑客客成功功地登登錄進進一臺臺網(wǎng)絡(luò)絡(luò)上的的主機機，并并取得得了root權(quán)限之之后，，而且且還想想利用用這臺臺主機機去攻攻擊同同一網(wǎng)網(wǎng)段上上的其其它主主機時時，這這時網(wǎng)網(wǎng)絡(luò)監(jiān)監(jiān)聽是是一種種最簡簡單而而且最最有效效的方方法，，它常常常能能輕易易地獲獲得用用其他他方法法很難難獲得得的信信息第3章第第2節(jié)網(wǎng)絡(luò)監(jiān)監(jiān)聽監(jiān)聽器器Sniffer的原理理：在在局域域網(wǎng)中中與其其他計計算機機進行行數(shù)據(jù)據(jù)交換換的時時候，，發(fā)送送的數(shù)數(shù)據(jù)包包發(fā)往往所有有的連連在一一起的的主機機，也也就是是廣播播，在在報頭頭中包包含目目標(biāo)機機的正正確地地址。。因此此只有有與數(shù)數(shù)據(jù)包包中目目標(biāo)地地址一一致的的那臺臺主機機才會會接收收數(shù)據(jù)據(jù)包，，其他他的機機器都都會將將包丟丟棄。。但是是，當(dāng)當(dāng)主機機工作作在監(jiān)監(jiān)聽模模式下下時，，無論論接收收到的的數(shù)據(jù)據(jù)包中中目標(biāo)標(biāo)地址址是什什么，，主機機都將將其接接收下下來。。然后后對數(shù)數(shù)據(jù)包包進行行分析析，就就得到到了局局域網(wǎng)網(wǎng)中通通信的的數(shù)據(jù)據(jù)。一一臺計計算機機可以以監(jiān)聽聽同一一網(wǎng)段段所有有的數(shù)數(shù)據(jù)包包，不不能監(jiān)監(jiān)聽不不同網(wǎng)網(wǎng)段的的計算算機傳傳輸?shù)牡男畔⑾?。網(wǎng)卡的的工作作模式式廣播方方式：：能夠夠接收收網(wǎng)絡(luò)絡(luò)中的的廣播播信息息。組播方方式：：能夠夠接收收組播播數(shù)據(jù)據(jù)。直接方方式：：只有目目的網(wǎng)網(wǎng)卡才才能接接收該該數(shù)據(jù)據(jù)?；祀s模模式（（promiscuous）：能能夠接接收到到一切切通過過它的的數(shù)據(jù)據(jù)。HUB工作作原理理HUB工作作原理理Username:herma009<cr>Password:hiHKK234<cr>以太網(wǎng)網(wǎng)（HUB）FTPLoginMail普通用用戶A服務(wù)器器C嗅探者者B網(wǎng)絡(luò)監(jiān)監(jiān)聽原原理Username:herma009<cr>Password:hiHKK234<cr>集線器器路由器器Internet攻擊者者主機機受害者者主機機其它主主機交換式式局域域網(wǎng)的的監(jiān)聽聽技術(shù)術(shù)什么是是交換換式局局域網(wǎng)網(wǎng)交換式式以太太網(wǎng)就就是用用交換換機或或其它它非廣廣播式式交換換設(shè)備備組建建成的的局域域網(wǎng)。。這些設(shè)設(shè)備根根據(jù)收收到的的數(shù)據(jù)據(jù)幀中中的MAC地址決決定數(shù)數(shù)據(jù)幀幀應(yīng)發(fā)發(fā)向交交換機機的哪哪個端端口。。因為端端口間間的幀幀傳輸輸彼此此屏蔽蔽，因因此節(jié)節(jié)點就就不擔(dān)擔(dān)心自自己發(fā)發(fā)送的的幀會會被發(fā)發(fā)送到到非目目的節(jié)節(jié)點中中去。。網(wǎng)絡(luò)監(jiān)監(jiān)聽原原理一個sniffer需要作作的：：把網(wǎng)卡卡置于于混雜雜模式式。捕獲數(shù)數(shù)據(jù)包包。分析數(shù)數(shù)據(jù)包包監(jiān)聽軟軟件防止監(jiān)監(jiān)聽的的手段段是：：建設(shè)設(shè)交換換網(wǎng)絡(luò)絡(luò)、使使用加加密技技術(shù)和和使用用一次次性口口令技技術(shù)。。除了非非常著著名的的監(jiān)聽聽軟件件SnifferPro以外，，還有有一些些常用用的監(jiān)監(jiān)聽軟軟件：：嗅探經(jīng)經(jīng)典－－－Iris密碼監(jiān)監(jiān)聽工工具－－－WinSniffer密碼監(jiān)監(jiān)聽工工具－－－pswmonitor和非交交換環(huán)環(huán)境局局域網(wǎng)網(wǎng)的fssniffer等等SnifferPro是一款款非常常著名名監(jiān)聽聽的工工具，，但是是SnifferPro不能有有效的的提取取有效效的信信息。。監(jiān)聽工工具-WinSnifferWinSniffer專門用用來截截取局局域網(wǎng)網(wǎng)內(nèi)的的密碼碼，比比如登登錄FTP，登錄錄Email等的密密碼。。主界界面如如圖所所示。。設(shè)置只要做做簡單單的設(shè)設(shè)置就就可以以進行行密碼碼抓取取了，，點擊擊工具具欄圖圖標(biāo)““Adapter”，設(shè)置置網(wǎng)卡卡，這這里設(shè)設(shè)置為為本機機的物物理網(wǎng)網(wǎng)卡就就可以以，如如圖所所示。。抓取密密碼這樣就就可以以抓取取密碼碼了，，使用用DOS命令行行連接接遠(yuǎn)程程的FTP服務(wù)，，如圖圖所示示。會話過過程打開WinSniffer，看到到剛才才的會會話過過程已已經(jīng)被被記錄錄下來來了，，顯示示了會會話的的一些些基本本信息息，如如圖所所示。。監(jiān)聽工工具-pswmonitor監(jiān)聽器器pswmonitor用于監(jiān)監(jiān)聽基基于WEB的郵箱箱密碼碼、POP3收信密密碼和和FTP登錄密密碼等等等，，只需需在一一臺電電腦上上運行行，就就可以以監(jiān)聽聽局域域網(wǎng)內(nèi)內(nèi)任意意一臺臺電腦腦登錄錄的用用戶名名和密密碼，，并將將密碼碼顯示示、保保存，，或發(fā)發(fā)送到到用戶戶指定定的郵郵箱，，主界界面如如圖所所示。。監(jiān)聽工工具-pswmonitor該工具具軟件件功能能比較較強大大，可可以監(jiān)監(jiān)聽的的一個個網(wǎng)段段所有有的用用戶名名和密密碼，，而且且還可可以指指定發(fā)發(fā)送的的郵箱箱，設(shè)設(shè)置的的界面面如圖圖所示示。監(jiān)聽的的防御御通用策策略共享網(wǎng)網(wǎng)絡(luò)下下的防防監(jiān)聽聽通用策策略由于嗅探探器是一一種被動動攻擊技技術(shù)，因因此非常常難以被被發(fā)現(xiàn)。。完全主動動的解決決方案很很難找到到并且因因網(wǎng)絡(luò)類類型而有有一些差差異，但但我們可可以先采采用一些些被動但但卻是通通用的防防御措施施。這主要包包括采用用安全的網(wǎng)網(wǎng)絡(luò)拓?fù)鋼浣Y(jié)構(gòu)和數(shù)據(jù)加密密技術(shù)兩方面。。此外要要注意重重點區(qū)域域的安全全防范。。安全的拓拓?fù)浣Y(jié)構(gòu)構(gòu)網(wǎng)絡(luò)分段段越細(xì)，，嗅探器器能夠收收集的信信息就越越少。網(wǎng)絡(luò)分段段：將網(wǎng)絡(luò)分分成一些些小的網(wǎng)網(wǎng)絡(luò)，每每一個網(wǎng)網(wǎng)段的集集線器被被連接到到一個交交換器(Switch)上，所以以數(shù)據(jù)包包只能在在該網(wǎng)段段的內(nèi)部部被網(wǎng)絡(luò)絡(luò)監(jiān)聽器器截獲，，這樣網(wǎng)網(wǎng)絡(luò)的剩剩余部分分（不在在同一網(wǎng)網(wǎng)段）便便被保護護了。網(wǎng)網(wǎng)絡(luò)有三三種網(wǎng)絡(luò)絡(luò)設(shè)備是是嗅探器器不可能能跨過的的：交換換機、路路由器、、網(wǎng)橋。。我們可可以通過過靈活的的運用這這些設(shè)備備來進行行網(wǎng)絡(luò)分分段。劃分VLAN：使得網(wǎng)絡(luò)絡(luò)隔離不不必要的的數(shù)據(jù)傳傳送，一一般可以以采用20個工作站站為一組組，這是是一個比比較合理理的數(shù)字字。網(wǎng)絡(luò)絡(luò)分段只只適應(yīng)于于中小的的網(wǎng)絡(luò)。。網(wǎng)絡(luò)分分段需要要昂貴的的硬件設(shè)設(shè)備。數(shù)據(jù)加密密數(shù)據(jù)通道道加密：：正常的數(shù)數(shù)據(jù)都是是通過事事先建立立的通道道進行傳傳輸?shù)?，，以往許許多應(yīng)用用協(xié)議中中明文傳傳輸?shù)馁~賬號、口口令的敏敏感信息息將受到到嚴(yán)密保保護。目目前的數(shù)數(shù)據(jù)加密密通道方方式主要要有SSH、SSL(SecureSocketLayer，安全套套接字應(yīng)應(yīng)用層)和VPN。數(shù)據(jù)內(nèi)容容加密：：主要采用用的是將將目前被被證實的的較為可可靠的加加密機制制對對互互聯(lián)網(wǎng)上上傳輸?shù)牡泥]件和和文件進進行加密密。如PGP等。共享網(wǎng)絡(luò)絡(luò)下的防防監(jiān)聽雖然共享享式局域域網(wǎng)中的的嗅探很很隱蔽，，但也有有一些方方法來幫幫助判斷斷：檢測處于于混雜模模式的網(wǎng)網(wǎng)卡網(wǎng)絡(luò)通訊訊丟包率率非常高高網(wǎng)絡(luò)帶寬寬出現(xiàn)反反常檢測技術(shù)術(shù)網(wǎng)絡(luò)和主主機響應(yīng)應(yīng)時間測測試ARP檢測（如如AntiSniff工具）共享網(wǎng)絡(luò)絡(luò)下的防防監(jiān)聽1.網(wǎng)絡(luò)和主主機響應(yīng)應(yīng)時間測測試這種檢測測已被證證明是最最有效的的，它能能夠發(fā)現(xiàn)現(xiàn)網(wǎng)絡(luò)中中處于監(jiān)監(jiān)聽模式式的機器器，而不不管其操操作系統(tǒng)統(tǒng)是什么么。共享網(wǎng)絡(luò)絡(luò)下的防防監(jiān)聽1.網(wǎng)絡(luò)和主主機響應(yīng)應(yīng)時間測測試測試原理理是處于非非監(jiān)聽模模式的網(wǎng)網(wǎng)卡提供供了一定定的硬件件底層過過濾機制制，即目目標(biāo)地址址為非本本地(廣播地址址除外)的數(shù)據(jù)包包將被網(wǎng)網(wǎng)卡所丟丟棄。這種情況況下驟然然增加目目標(biāo)地址址不是本本地的網(wǎng)網(wǎng)絡(luò)通訊訊流量對對操作系系統(tǒng)的影影響很小小。而處于混混雜模式式下的機機器則缺缺乏底層層的過濾濾，驟然然增加目目標(biāo)地址址不是本本地的網(wǎng)網(wǎng)絡(luò)通訊訊流量會會對該機機器造成成較明顯顯的影響響(不同的操操作系統(tǒng)統(tǒng)/內(nèi)核/用戶方式式會有不不同)。共享網(wǎng)絡(luò)絡(luò)下的防防監(jiān)聽1.網(wǎng)絡(luò)和主主機響應(yīng)應(yīng)時間測測試實現(xiàn)方法法是利用ICMPECHO請求及響響應(yīng)計算算出需要要檢測機機器的響響應(yīng)時間間基準(zhǔn)和和平均值值。在得到這這個數(shù)據(jù)據(jù)后，立立刻向本本地網(wǎng)絡(luò)絡(luò)發(fā)送大大量的偽偽造數(shù)據(jù)據(jù)包，與與此同時時再次發(fā)發(fā)送測試試數(shù)據(jù)包包以確定定平均響響應(yīng)時間間的變化化值。非監(jiān)聽模式的的機器的響應(yīng)應(yīng)時間變化量量會很小，而而監(jiān)聽模式的的機器的響應(yīng)應(yīng)時間變化量量則通常會有有1～4個數(shù)量級。網(wǎng)絡(luò)偵察技術(shù)術(shù)網(wǎng)絡(luò)掃描網(wǎng)絡(luò)監(jiān)聽口令破解第3章小結(jié)2022/12/2985口令的歷史與與現(xiàn)狀口令的作用就是向系統(tǒng)提提供唯一標(biāo)識識個體身份的的機制，只給給個體所需信信息的訪問權(quán)權(quán)，從而達(dá)到到保護敏感信信息和個人隱隱私的作用。。雖然口令的出出現(xiàn)使登陸系系統(tǒng)時的安全全性大大提高高，但是這又又產(chǎn)生了一個個很大的問題題。如果口令過于于簡單，容易易被人猜解出出來；如果過過于復(fù)雜，用用戶往往需要要把它寫下來來以防忘記，，這種做法也也會增加口令令的不安全性性。當(dāng)前，計算機機用戶的口令令現(xiàn)狀是令人人擔(dān)憂的。2022/12/2986口令的歷史史與現(xiàn)狀另外一個和和口令有關(guān)關(guān)的問題是是多數(shù)系統(tǒng)統(tǒng)和軟件有有默認(rèn)口令令和內(nèi)建帳帳號，而且且很少有人人去改動它們，主要是是因為：不知道有默默認(rèn)口令和和帳號的存存在，并不不能禁用他他們；出于防止故故障以防萬一的觀點，希希望在產(chǎn)生生重大問題題時，商家家能訪問系統(tǒng)，，因此不想想改口令而而將商家拒拒之門外；多數(shù)管理員員想保證他他們自己不不被鎖在系系統(tǒng)之外：：一種方法法就是創(chuàng)建建一個口令令非常容易易記憶的帳帳號；另一一種方法就就是和別人人共享口令令或者把它它寫下來。。而以上兩兩種都會給給系統(tǒng)帶來來重大安全全漏洞。2022/12/2987口令令的的歷歷史史與與現(xiàn)現(xiàn)狀狀在這這里里還還需需要要提提到到的的是是：：口令令必必須須定定期期更更換換。有有一一些些用用戶戶，，口口令令從從來來都都不不過過期期，，或或者者很很長長時時間間才才更更換換。。最基基本本的的規(guī)規(guī)則則是是口口令令的的更更換換周周期期應(yīng)應(yīng)當(dāng)當(dāng)比比強強行行破破解解口口令令的的時時間間要要短短。。2022/12/2988口令令破破解解方方式式口令令破破解解方方式式概概述述詞典典攻攻擊擊強行行攻攻擊擊組合合攻攻擊擊常見見攻攻擊擊方方式式的的比比較較其它它的的攻攻擊擊方方式式2022/12/2989口令破解方式式概述口令破解是入入侵一個系統(tǒng)統(tǒng)比較常用的的方法。獲得口令的思思路：窮舉嘗試：最最容易想到的的方法設(shè)法找到存放放口令的文件件并破解通過其它途徑徑如網(wǎng)絡(luò)嗅探探、鍵盤記錄錄器等獲取口口令這里所講的口口令破解通常常是指通過前前兩種方式獲獲取口令。這這一般又有兩兩種方式：手手工破解和自自動破解。2022/12/2990口令破解方式式概述（2）手工破解的步驟一般為為：產(chǎn)生可能的口口令列表按口令的可能能性從高到低低排序依次手動輸入入每個口令如果系統(tǒng)允許許訪問，則成成功如果沒有成功功，則重試。。注意不要超過過口令的限制制次數(shù)這種方式需要要攻擊者知道道用戶的userID，并能進入被被攻擊系統(tǒng)的的登陸界面。。需要先擬出出所有可能的的口令列表，，并手動輸入入嘗試。思路簡單，但但是費時間，，效率低2022/12/2991口令破破解方方式概概述（（3）自動破破解只要得得到了了加密密口令令的副副本，，就可可以離離線破破解。。這種種破解解的方方法是是需要要花一一番功功夫的的，因因為要要得到到加密密口令令的副副本就就必須須得到到系統(tǒng)統(tǒng)訪問問權(quán)。。但是一一旦得得到口口令文文件，，口令令的破破解就就會非非常的的快，，而且且由于于是在在脫機機的情情況下下完成成的，，不易易被察察覺出出來。。2022/12/2992口令破解方方式概述（（4）自動破解的的一般過程程如下：找到可用的的userID找到所用的的加密算法法獲取加密口口令創(chuàng)建可能的的口令名單單對每個單詞詞加密對所有的userID觀察是否匹匹配重復(fù)以上過過程，直到到找出所有有口令為止止2022/12/2993詞典攻擊所謂的詞典典，實際上上是一個單單詞列表文文件。這些些單詞有的的純粹來自自于普通詞詞典中的英英文單詞，，有的則是是根據(jù)用戶戶的各種信信息建立起起來的，如如用戶名字字、生日、、街道名字字、喜歡的的動物等。。簡而言之，，詞典是根根據(jù)人們設(shè)設(shè)置自己賬賬號口令的的習(xí)慣總結(jié)結(jié)出來的常常用口令列列表文件。。2022/12/2994詞典攻擊擊(2)使用一個個或多個個詞典文文件，利利用里面面的單詞詞列表進進行口令令猜測的的過程，，就是詞詞典攻擊擊。多數(shù)用戶戶都會根根據(jù)自己己的喜好好或自己己所熟知知的事物物來設(shè)置置口令，，因此，，口令在在詞典文文件中的的可能性性很大。。而且詞詞典條目目相對較較少，在在破解速速度上也也遠(yuǎn)快于于窮舉法法口令攻攻擊。在大多數(shù)數(shù)系統(tǒng)中中，和窮窮舉嘗試試所有的的組合相相比，詞詞典攻擊擊能在很很短的時時間內(nèi)完完成。2022/12/2995詞典攻擊(3)用詞典攻擊檢檢查系統(tǒng)安全全性的好處是是能針對特定定的用戶或者者公司制定。。如果有一個詞詞很多人都用用來作為口令令，那么就可可以把它添加加到詞典中。。在Internet上，有許多已已經(jīng)編好的詞詞典可以用，，包括外文詞詞典和針對特特定類型公司司的詞典。例如，在一家家公司里有很很多體育迷，，那么就可以以在核心詞典典中添加一部部關(guān)于體育名名詞的詞典。。2022/12/2996詞典攻攻擊(4)經(jīng)過仔仔細(xì)的的研究究了解解周圍圍的環(huán)環(huán)境，，成功功破解解口令令的可可能性性就會會大大大的增增加。。從安全全的角角度來來講，，要求求用戶戶不要從從周圍圍環(huán)境境中派派生口口令是很重重要的的。2022/12/2997強行行攻攻擊擊很多多人人認(rèn)認(rèn)為為，，如如果果使使用用足足夠夠長長的的口口令令或或者者使使用用足足夠夠完完善善的的加加密密模模式式，，就就能能有有一一個個攻攻不不破破的的口口令令。。事實實上上，，是是沒沒有有攻攻不不破破的的口口令令的的，，攻破破只只是是一一個個時時間間的的問問題題，哪哪怕怕是是花花上上100年才才能能破破解解一一個個高高級級加加密密方方式式，，但但是是起起碼碼他他是是可可以以破破解解的的，，而而且且破破解解的的時時間間會會隨隨著著計計算算機機處處理理速速度度的的提提高高而而減減少少。。10年前前需需要要花花100年才才能能破破解解的的口口令令可可能能現(xiàn)現(xiàn)在在只只要要花花一一星星期期就就可可以以了了。。2022/12/2998強行行攻攻擊擊(2)如果果有有速速度度足足夠夠快快的的計計算算機機能能嘗嘗試試字字母母、、數(shù)數(shù)字字、、特特殊殊字字符符所所有有的的組組合合，，將將最最終終能能破破解解所所有有的的口口令令。。這這種種攻攻擊擊方方式式叫叫做做強行行攻攻擊擊（（也也叫叫做做暴暴力力破破解解））。使用用強強行行攻攻擊擊，，先先從從字字母母a開始始，，嘗嘗試試aa、ab、ac等等等，，然然后后嘗嘗試試aaa、aab、aac…………。2022/12/2999強行攻擊擊(3)系統(tǒng)的一一些限定定條件將將有助于于強行攻攻擊破解解口令。。比如攻擊擊者知道道系統(tǒng)規(guī)規(guī)定口令令長度在在6~32位，那么么強行攻攻擊就可可以從6位字符串串開始破破解，并并不再嘗嘗試大于于32位的字符符串。2022/12/29100強行攻攻擊(4)使用強強行攻攻擊，，基本本上是是CPU的速度度和破破解口口令的的時間間上的的矛盾盾?，F(xiàn)在的的臺式式機性性能增增長迅迅速，，口令令的破破解會會隨著著內(nèi)存存價格格的下下降和和處理理器速速度的的上升升而變變得越越來越越容易易了。。2022/12/29101強行攻擊(5)一種新型的的強行攻擊擊叫做分布式暴力力破解，如果攻擊擊者希望在在盡量短的的時間內(nèi)破破解口令，，他不必購購買大批昂昂貴的計算算機，而是是把一個大大的破解任任務(wù)分解成成許多小任任務(wù)，然后后利用互聯(lián)聯(lián)網(wǎng)上的計計算機資源源來完成這這些小任務(wù)務(wù)，加快口口令破解的的進程。2022/12/29102組合攻擊詞典攻擊雖雖然速度快快，但是只只能發(fā)現(xiàn)詞詞典單詞口口令；強行行攻擊能發(fā)發(fā)現(xiàn)所有口口令，但是是破解的時時間長。很多情況下下，管理員員會要求用用戶的口令令是字母和和數(shù)字的組組合，而這這個時候，，許多用戶戶就僅僅會會在他們的的口令后面面添加幾個個數(shù)字，例例如，把口口令從ericgolf改成ericgolf2324，這樣的口口令利用組組合攻擊很很有效。組合攻擊是在使用詞詞典單詞的的基礎(chǔ)上在在單詞的后后面串接幾幾個字母和和數(shù)字進行行攻擊的攻攻擊方式。。2022/12/29103組合攻擊(2)組合攻擊是使使用詞典中的的單詞，但是是對單詞進行行了重組，它它介于詞典攻攻擊和強行攻攻擊之間。2022/12/29104常見攻擊方式式的比較詞典攻擊強行攻擊組合攻擊攻擊速度快慢中等破解口令數(shù)量找到所有詞典單詞找到所有口令找到以詞典為基礎(chǔ)的口令2022/12/29105其它的攻擊方方式口令安全最容容易想到的一一個威脅就是是口令破解，，許多公司因因此花費大量量功夫加強口口令的安全性性、牢固性、、不可破解性性，但即使是是看似堅不可可摧很難破解解的口令，還還是有一些其其它手段可以以獲取的，類類似大開著的的“后門”。。社會工程學(xué)偷窺搜索垃圾箱口令蠕蟲特洛伊木馬網(wǎng)絡(luò)監(jiān)聽重放社會工程學(xué)攻擊者：喂，，我是大為。。我在技術(shù)支支持中心工作作，現(xiàn)在我要要對你的系統(tǒng)統(tǒng)進行例行維維護。受騙者：是嗎嗎？我從來沒沒有聽說支持持中心要對我我們的系統(tǒng)進進行例行維護護。攻擊者：嗯，，是這樣，上上個季度我們們才開始做這這個工作。我我們正在為所所有遠(yuǎn)程用戶戶做例行維護護。我剛剛做做完北區(qū)的所所有計算機的的維護。實際際上，絕大多多數(shù)用戶都說說，經(jīng)過這次次維護之后，，他們的計算算機的速度明明顯加快了。。受騙者：是嗎嗎？那好，如如果其它人的的機器速度都都加快了，那那么我也這樣樣做一下?，F(xiàn)現(xiàn)在我需要做做些什么？攻擊者：嗯，，你不需要做做什么。我可可以遠(yuǎn)程地把把一切都為你你做好，但為為了能夠這樣樣做，我需要要知道你的VPN用戶名和口令令。受騙者