第8章-網(wǎng)絡攻擊與防護

第8章網(wǎng)絡攻擊與防護黑客及攻擊8.1IP欺騙8.2拒絕服務攻擊8.3偵察與工具8.4攻擊與滲透8.5入侵監(jiān)測系統(tǒng)IDS8.6審計結果8.74/15/202418.1黑客及攻擊1．黑客概述在各種媒體上有許多關于Hacker這個名詞的定義，一般是指計算機技術的行家或熱衷于解決問題、克服限制的人。這可以追溯到幾十年前第一臺微型計算機剛剛誕生的時代。那時有一個由程序設計專家和網(wǎng)絡名人所組成的具有分享特質(zhì)的文化族群。這一文化族群的成員創(chuàng)造了Hacker這個名詞。他們建立了Internet，創(chuàng)造出現(xiàn)在使用的UNIX操作系統(tǒng)，并且讓WorldWideWeb傳播開來，這就是最早的Hacker。4/15/20242也存在另外一個團體，其成員也稱自己為Hacker。這些人專門闖入計算機或入侵電話系統(tǒng)，真正的Hacker稱他們?yōu)槿肭终撸–racker），并且不愿意和他們在一起做任何事。Hacker們認為這些人懶惰，不負責任，并且不夠光明正大。他們認為，能破解安全系統(tǒng)并不能使你成為一位Hacker?；旧希琀acker和Cracker之間最主要的不同是，Hacker創(chuàng)造新東西，Cracker破壞東西。現(xiàn)在，人們所說的黑客是指Cracker。4/15/202432．黑客常用的攻擊方法

（1）獲取口令通過網(wǎng)絡監(jiān)聽，非法得到用戶口令知道用戶的賬號后利用一些專門軟件強行破解用戶口令獲得一個服務器上的用戶口令文件后，用暴力破解程序破解用戶口令（2）放置特洛伊木馬程序4/15/20244（3）WWW的欺騙技術訪問的網(wǎng)頁被黑客篡改過，當用戶瀏覽目標網(wǎng)頁的時候，實際上是向黑客服務器發(fā)出請求，那么黑客就可以達到欺騙的目的了。（4）電子郵件攻擊電子郵件轟炸和電子郵件“滾雪球”電子郵件欺騙（5）通過一個節(jié)點來攻擊其他節(jié)點黑客在突破一臺主機后，以此主機作為根據(jù)地，攻擊其他主機，從而隱藏其入侵路徑4/15/20245（6）網(wǎng)絡監(jiān)聽在網(wǎng)絡監(jiān)聽這種模式下，主機可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送發(fā)和接收方是誰。（7）尋找系統(tǒng)漏洞（8）利用賬號進行攻擊利用操作系統(tǒng)提供的缺省賬戶和密碼進行攻擊（9）偷取特權黑客通過非法手段獲得對用戶機器的完全控制權，甚至是整個網(wǎng)絡的絕對控制權。4/15/202468.2IP欺騙

IP電子欺騙攻擊是指利用TCP/IP本身的缺陷進行的入侵，即用一臺主機設備冒充另外一臺主機的IP地址，與其它設備通信，從而達到某種目的的過程。它不是進攻的結果而是進攻的手段。4/15/202478.2.1IP欺騙原理所謂IP欺騙，就是偽造某臺主機的IP地址的技術。其實質(zhì)就是讓一臺機器來扮演另一臺機器，以達到蒙混過關的目的。被偽造的主機往往具有某種特權或者被另外的主機所信任。4/15/20248在IP欺騙的狀態(tài)下，三次握手的情況如下： 第一步：黑客假冒A主機IP向服務方B主機發(fā)送SYN，告訴B主機是他所信任的A主機想發(fā)起一次TCP連接，序列號為數(shù)值X，這一步實現(xiàn)比較簡單，黑客將IP包的源地址偽造為A主機IP地址即可。第二步：服務方B產(chǎn)生SYNACK響應，并向請求方A主機（注意:是A，不是黑客，因為B收到的IP包的源地址是A）發(fā)送ACK，4/15/20249ACK的值為X+1，表示數(shù)據(jù)成功接收到，且告知下一次希望接收到字節(jié)的SEQ是X+1。同時，B向請求方A發(fā)送自己的SEQ，注意，這個數(shù)值對黑客是不可見的。第三步：黑客再次向服務方發(fā)送ACK，表示接收到服務方的回應——雖然實際上他并沒有收到服務方B的SYNACK響應。這次它的SEQ值為X+1，同時它必須猜出ACK的值，并加1后回饋給B主機。4/15/202410IP欺騙技術有如下三個特征： （1）只有少數(shù)平臺能夠被這種技術攻擊，也就是說很多平臺都不具有這方面缺陷。 （2）這種技術出現(xiàn)的可能性比較小，因為這種技術不好理解，也不好操作，只有一些真正的網(wǎng)絡高手才能做到這點。 （3）很容易防備這種攻擊方法，如使用防火墻等。4/15/202411IP欺騙的對象IP欺騙只能攻擊那些完全實現(xiàn)了TCP/IP協(xié)議，包括所有的端口和服務。IP欺騙的實施幾乎所有的欺騙都是基于某些機器之間的相互信任的。黑客可以通過很多命令或端口掃描技術、監(jiān)聽技術確定機器之間的信任關系，例如一臺提供服務的機器很容易被端口掃描出來，使用端口掃描技術同樣可以非常方便地確定一個局部網(wǎng)絡內(nèi)機器之間的相互關系。4/15/202412假定一個局域網(wǎng)內(nèi)部存在某些信任關系。例如，主機A信任主機B、主機B信任主機C，則為了侵入該網(wǎng)絡，黑客可以采用下面兩種方式。（1）通過假冒機器B來欺騙機器A和C。（2）通過假冒機器A或C來欺騙機器B。 為了假冒機器C去欺騙機器B，首要的任務是攻擊原來的C，使得C發(fā)生癱瘓。這是一種拒絕服務的攻擊方式。4/15/2024138.2.2IP欺騙的防止

1．拋棄基于地址的信任策略2．進行包過濾3．使用加密方法4．使用隨機化的初始序列號4/15/202414對于來自網(wǎng)絡外部的欺騙來說，阻止這種攻擊的方法是很簡單的，在局部網(wǎng)絡的對外路由器上加一個限制條件，只要在路由器里面設置不允許聲稱來自于內(nèi)部網(wǎng)絡的外來包通過就行了。如果網(wǎng)絡存在外部的可信任主機，那么路由器就無法防止別人冒充這些主機而進行的IP欺騙。 當實施欺騙的主機在同一網(wǎng)絡內(nèi)時，攻擊往往容易得手，并且不容易防范。

4/15/202415

應該注意與外部網(wǎng)絡相連的路由器，看它是否支持內(nèi)部接口。如果路由器有支持內(nèi)部網(wǎng)絡子網(wǎng)的兩個接口，則須警惕，因為很容易受到IP欺騙。這也是為什么說將Web服務器放在防火墻外面有時會更安全的原因。檢測和保護站點免受IP欺騙的最好辦法就是安裝一個過濾路由器，來限制對外部接口的訪問，禁止帶有內(nèi)部網(wǎng)資源地址包通過。當然也應禁止（過濾）帶有不同內(nèi)部資源地址的內(nèi)部包通過路由器到別的網(wǎng)上去，這就防止內(nèi)部的用戶對別的站點進行IP欺騙。4/15/2024168.3拒絕服務攻擊

8.3.1概述DoS--DenialofService：現(xiàn)在一般指導致服務器不能正常提供服務的攻擊。圖8-1拒絕服務攻擊示意圖4/15/202417拒絕服務是一種簡單的破壞性攻擊，通常攻擊者利用TCP/IP中的某個漏洞，或者系統(tǒng)存在的某些漏洞，對目標系統(tǒng)發(fā)起大規(guī)模的攻擊，使得攻擊目標失去工作能力，使得系統(tǒng)不可訪問，合法用戶不能及時得到應得的服務或系統(tǒng)資源，它最本質(zhì)的特征是延長正常的應用服務的等待時間。4/15/202418DoS攻擊的事件：◎2000年2月份的Yahoo、亞馬遜、CNN被DoS攻擊?！?002年10月全世界13臺DNS服務器同時受到了DDoS（分布式拒絕服務）攻擊。◎2003年1月25日的“2003蠕蟲王”病毒?！?004年8月，共同社報道：日本近期共有上百網(wǎng)站遭到黑客襲擊。4/15/2024198.3.2拒絕服務攻擊的原理1．拒絕服務的模式按照入侵方式，拒絕服務可以分為資源消耗型，配置修改型，物理破壞型以及服務利用型。4/15/202420（1）資源消耗型：指入侵者試圖消耗目標的合法資源，如網(wǎng)絡帶寬、內(nèi)存和磁盤空間等，從而達到拒絕服務的目的。（2）配置修改型：入侵者通過改變或者破壞系統(tǒng)的配置信息，來阻止其他合法用戶使用計算機和網(wǎng)絡提供的服務。4/15/202421（3）物理破壞型：它主要針對物理設備的安全。入侵者可以通過破壞或者改變網(wǎng)絡部件以實現(xiàn)拒絕服務。（4）服務利用型：入侵者常用的是TCP/IP以及目標系統(tǒng)自身應用軟件中的一些漏洞和弱點，來達到拒絕服務的目的。4/15/2024222．拒絕服務常用方法以消耗目標主機的可用資源為目的（例如：死亡之ping、SYN攻擊、Land攻擊、淚珠攻擊（Teardrop）、Smurf攻擊等）以消耗服務器鏈路的有效帶寬為目的（例如：蠕蟲）4/15/202423攻擊者

目標主機SYNSYN/ACKACK等待應答SYN：同步SYN/ACK:同步/確認ACK：確認SYN攻擊的原理（1）4/15/202424....SYN/ACKSYN/ACKSYN/ACKSYNSYNSYN攻擊者目標主機SYNSYN/ACK1nSYN/ACKSYN/ACKSYN/ACKSYN/ACK....等待ACK應答.........不應答不應答重新發(fā)送SYN攻擊的原理（2）4/15/2024251)攻擊者攻擊諸客戶主機以求分析他們的安全水平和脆弱性。攻擊者各種客戶主機目標系統(tǒng)2)攻擊者進入其已經(jīng)發(fā)現(xiàn)的最弱的客戶主機之內(nèi)(“肉雞”)，并且秘密地安置一個其可遠程控制的代理程序(端口監(jiān)督程序demon)。攻擊準備：安置代理代理程序DDoS(分布式拒絕服務)攻擊（1）4/15/202426

3)攻擊者使他的全部代理程序同時發(fā)送由殘缺的數(shù)字包構成的連接請求送至目標系統(tǒng)。攻擊者目標系統(tǒng)發(fā)起攻擊：指令攻擊的代理程序4)包括虛假的連接請求在內(nèi)的大量殘缺的數(shù)字包攻擊目標系統(tǒng)，最終將導致它因通信淤塞而崩潰。虛假的連接請求DDoS(分布式拒絕服務)攻擊（2）4/15/2024278.4偵察與工具

8.4.1安全掃描安全掃描以各種各樣的方式進行?？梢岳肞ing和端口掃描程序來偵查網(wǎng)絡，也可以使用客戶端/服務器程序，如Telnet和SNMP等來偵查網(wǎng)絡泄漏的有用信息。應當利用一些工具來了解網(wǎng)絡。有些工具很簡單，便于安裝和使用。有時，審計人員和黑客會利用程序語言如Perl,C,C++和Java自己編制一些工具，因為他們找不到現(xiàn)成的針對某種漏洞的工具。4/15/202428另外一些工具功能更全面，但是在使用前需要認真地配置。有專門從事網(wǎng)絡管理和安全的公司出售這些工具。好的網(wǎng)絡級和主機級掃描器會監(jiān)聽和隔離進出網(wǎng)絡和主機的所有會話包。在學習這些“Hacker-in-a-box”的解決方案前，應當先接觸一些當前黑客常常使用的技巧。4/15/2024291．Whois命令Whois（類似于finger）是一種Internet的目錄服務，whois提供了在Internet上一臺主機或某個域的所有者的信息，如管理員的姓名、通信地址、電話號碼和E-mail地址等信息，這些信息是在官方網(wǎng)站whoisserver上注冊的，如保存在InterNIC的數(shù)據(jù)庫內(nèi)。Whois命令通常是安全審計人員了解網(wǎng)絡情況的開始。一旦得到了Whois記錄，從查詢的結果還可得知primary和secondary域名服務器的信息。4/15/2024302．nslookup

使用DNS的排錯工具nslookup，可以利用從whois查詢到的信息偵查更多的網(wǎng)絡情況。例如，使用nslookup命令把主機偽裝成secondaryDNS服務器，如果成功便可以要求從主DNS服務器進行區(qū)域傳送。要是傳送成功的話，將獲得大量有用信息，包括：

使用此DNS服務器做域名解析到所有主機名和IP地址的映射情況；

公司使用的網(wǎng)絡和子網(wǎng)情況；

主機在網(wǎng)絡中的用途，許多公司使用帶有描述性的主機名。4/15/202431使用nslookup實現(xiàn)區(qū)域傳送的過程有如下幾步。第1步，使用whois命令查詢目標網(wǎng)絡，例如在Linux提示符下輸入whois。第2步，得到目標網(wǎng)絡的primary和slaveDNS服務器的信息。例如，假設主DNS服務器的名字是。第3步，使用交互查詢方式，缺省情況下nslookup會使用缺省的DNS服務器作域名解析。鍵入命令server定位目標網(wǎng)絡的DNS服務器。4/15/202432第4步，列出目標網(wǎng)絡DNS服務器的內(nèi)容，如ls。此時DNS服務器會把數(shù)據(jù)傳送過來。當然，管理員可以禁止DNS服務器進行區(qū)域傳送，目前很多公司將DNS服務器至于防火墻的保護之下并嚴格設定了只能向某些主機進行區(qū)域傳送。一旦從區(qū)域傳送中獲得了有用信息，便可以對每臺主機實施端口掃描以確定它們提供了哪些服務。如果不能實現(xiàn)區(qū)域傳送，用戶還可以借助ping和端口掃描工具，當然還有traceroute。4/15/2024333．hostHost命令是UNIX提供的有關Internet域名查詢的命令，可實現(xiàn)主機名到IP地址的映射，反之亦然。用host命令可實現(xiàn)以下功能：

實現(xiàn)區(qū)域傳送；

獲得名稱解析信息；

得知域中郵件服務器的信息。參數(shù)-v可顯示更多的信息，參數(shù)-l實現(xiàn)區(qū)域傳送，參數(shù)-t允許查詢特定的DNS記錄。4/15/202434例如，要查詢域的郵件服務器的記錄，需要鍵入命令：host－tmx（你可以參考UNIX命令幫助獲得更多信息）Traceroute（tracert）Traceroute用于路由追蹤，如判斷從主機到目標主機經(jīng)過哪些路由器、跳計數(shù)、響應時間如何等。大多數(shù)操作系統(tǒng)（包括UNIX、Novell和WindowsNT）若配置了TCP/IP協(xié)議的話，都會有自己版本的traceroute程序。當然也可以使用其他一些第三方的路由追蹤軟件，在后面我們會接觸到這些工具。使用traceroute，你可以推測出網(wǎng)絡的物理布局，包括該網(wǎng)絡連接Internet所使用的路由器。traceroute還可以判斷出響應較慢的節(jié)點和數(shù)據(jù)包在路由過程中的跳計數(shù)。4/15/2024354．Ping掃描作用及工具Ping一個公司的Web服務器可幫助獲得該公司所使用的IP地址范圍。一旦得知了HTTP服務器的IP地址，就可以使用Ping掃描工具Ping該子網(wǎng)的所有IP地址，這可以幫助得到該網(wǎng)絡的地址圖。Ping掃描程序?qū)⒆詣訏呙杷付ǖ腎P地址范圍，WS_PingProPack工具包中集成有Ping掃描程序。單獨的Ping工具有許多，Rhino9Pinger是比較流行的程序。4/15/2024368.4.2端口掃描與其他1．端口掃描端口掃描與ping掃描相似，不同的是端口掃描不僅可以返回IP地址，還可以發(fā)現(xiàn)目標系統(tǒng)上活動的UDP和TCP端口。例如，地址0正在運行SMTP和Telnet服務，地址2正在運行FTP服務，主機4未運行任何可辨別的服務，而主機6運行著SMTP服務。最后一臺主機屬于Microsoft網(wǎng)絡，因為該網(wǎng)絡使用UDP137和TCP138、139端口。4/15/202437（1）端口掃描軟件

端口掃描器是黑客最常使用的工具。一些單獨使用的端口掃描工具像PortScanner1.1，定義好IP地址范圍和端口后便可開始實施掃描。還有許多單獨使用的端口掃描器，如UltraScan等。如同Ping掃描器，許多工具也集成了端口掃描器。NetScan、PingPro和其他一些程序包集成了盡可能多的相關程序。許多企業(yè)級的網(wǎng)絡產(chǎn)品也將ping和端口掃描集成起來。4/15/202438（2）網(wǎng)絡偵查和服務器偵查程序使用簡單的程序如PingPro，可以偵查出Microsoft的網(wǎng)絡上開啟的端口。PingPro的工作是通過監(jiān)測遠程過程調(diào)用服務所使用的TCP、UDP135端口，和Microsoft網(wǎng)絡會話所使用的UDP137，138，和139端口來實現(xiàn)的。其他的網(wǎng)絡掃描工具允許你監(jiān)測UNIX、Novell、AppleTalk的網(wǎng)絡。雖然PingPro只能工作在其安裝的特定子網(wǎng)，但還有更多更復雜的工具，這些工具的設計者把它們設計成為可以識別更多的網(wǎng)絡和服務類型的程序。例如，NMAP是UNIX下的掃描工具，它可以識別不同操作系統(tǒng)在處理TCP/IP協(xié)議上細微的差別。其他類似的程序還包括checkos,queso和SATAN。4/15/2024392．堆棧指紋

許多程序都利用堆棧指紋技術，這種技術允許利用TCP/IP來識別不同的操作系統(tǒng)和服務。因為大多數(shù)的系統(tǒng)管理員注意到信息的泄露而且屏蔽了系統(tǒng)標志，所以應用堆棧指紋的技術十分必要。但是，各個廠商和系統(tǒng)處理TCP/IP的特征是管理員所難以更改的。許多審計人員和黑客記錄下這些TCP/IP應用的細微差別，并針對各種系統(tǒng)構建了堆棧指紋表。4/15/202440要想了解操作系統(tǒng)間處理TCP/IP的差異，需要向這些系統(tǒng)的IP和端口發(fā)送各種特殊的包。根據(jù)這些系統(tǒng)對包的回應的差別，可以推斷出操作系統(tǒng)的種類。例如，可以向主機發(fā)送FIN包（或任何不含有ACK或SYN標志的包），從下列操作系統(tǒng)將獲得回應：

MicrosoftWindowsNT,98,95,和3.11

FreeBSD

CISCO

HP/UX4/15/202441大多數(shù)其他系統(tǒng)不會回應。雖然只不過縮小了一點范圍，但這至少開始了對目標系統(tǒng)的了解。如果向目標系統(tǒng)發(fā)送的報文頭有未定義標志的TCP包的話，2.0.35版本以前的LINUX系統(tǒng)會在回應中加入這個未定義的標志。這種特定的行為可以判斷出目標主機上是否運行該種LINUX操作系統(tǒng)。4/15/202442下面是堆棧指紋程序利用的部分特征，許多操作系統(tǒng)對它們的處理方式不同：

ICMP錯誤信息抑制

服務類型值(TOS)

TCP/IP選項

對SYNFLOOD的抵抗力

TCP初始窗口只要TCP開始進行三次握手，總是先發(fā)出一個SYN包。像NMAP這樣的程序會發(fā)出一個SYN包欺騙操作系統(tǒng)作回應。堆棧指紋程序可以從回應報文的格式，推論出目標操作系統(tǒng)的一些情況。4/15/202443NMAP由于功能強大、不斷升級和免費的原因，使之十分流行。它對網(wǎng)絡的偵查十分有效是基于兩個原因。首先，它具有非常靈活的TCP/IP堆棧指紋引擎。NMAP的制作人FYODOR不斷升級該引擎，使它能夠盡可能多的進行猜測。NMAP可以準確地掃描服務器操作系統(tǒng)（包括Novell、UNIX、Linux、NT），路由器（包括CISCO、3COM和HP），還有一些撥號設備。其次，它可以穿透網(wǎng)絡邊緣的安全設備，例如防火墻。4/15/202444NMAP穿透防火墻的一種方法是利用碎片掃描技術（fragmentscans），可以發(fā)送隱秘的FIN包（-sF）、Xmastree包（-sX）或NULL包（-sN）。這些選項允許將TCP查詢分割成片斷，從而繞過防火墻規(guī)則。這種策略對很多流行的防火墻產(chǎn)品都很有效。當前NMAP只能運行在Linux操作系統(tǒng)上，包括FreeBSD2.2.6-30、HP/UX和Solaris等Linux的所有版本。在Linux的X-Windows上還提供圖形界面。最好的掌握NMAP的方法是學習使用它。使用nmap－h(huán)命令可以顯示幫助信息，當然，也可以用mannmap命令查看它的使用手冊。4/15/2024453．共享掃描共享掃描指可以掃描網(wǎng)絡中絕大多數(shù)的內(nèi)容，包括正在使用的共享。這種掃描過程提供了重要的偵查和利用各種資源和文件的方法。4/15/202446（1）共享掃描軟件PingPro提供了允許審計人員掃描Windows網(wǎng)絡共享的功能。它能偵查出共享名稱，但不會入侵共享。例如，Microsoft網(wǎng)絡利用TCP139端口建立共享。更具侵略性的偵查軟件有知名的RedButton，許多Internet站點都免費提供下載。RedButton是一個很古老的程序，大多數(shù)的系統(tǒng)管理員和安全管理員都找到了防范它的方法。這個程序不僅可以偵查出共享名稱還可以發(fā)現(xiàn)相應的密碼。它還可以獲得管理員的賬號名稱。4/15/202447（2）缺省配置和補丁級掃描黑客和審計人員對系統(tǒng)的缺省配置很了解，可以編制工具查找這些弱點。實際上，許多企業(yè)級的偵查工具都是針對這些弱點進行工作的。安全專家還知道操作系統(tǒng)工作的細節(jié)，根據(jù)服務補丁和hotfix的數(shù)量進行升級。4/15/202448（3）使用TelnetTelnet是遠程登錄系統(tǒng)進行管理的程序，缺省情況下telnet使用23端口。當然，也可以利用Telnet客戶端程序連接到其他端口。例如，可以遠程連接至HTTP端口。在連接一段時間內(nèi)若沒有任何動作，服務器會因為無法識別這次連接而自動切斷。但是通常可以從HTTP服務器上得到一些信息。例如，可以得知服務廠商的信息、版本（如ApacheWebServer1.36或IIS4.0）等。雖然信息不是很多，但至少能從報錯信息中推斷出服務器類型，在Web服務器報錯信息中可以看出HTTP服務器版本，還可以用Telnet連接上系統(tǒng)再使用SYST命令，許多TCP/IP堆棧會泄漏一些重要的信息4/15/2024494．掃描等級

大多數(shù)的企業(yè)級掃描器允許選擇安全掃描的等級。一次輕級別的掃描通常會掃描眾所周知的端口（從0到1023）和常見的安全漏洞，包括弱口令，低的補丁等級和額外的服務。如果掃描一個小型的子網(wǎng)大概需要花費30分鐘。中級和嚴格級別的掃描根據(jù)網(wǎng)絡的速度和運行掃描程序的主機CPU的時鐘速度快慢等因素，通常會花費幾天的時間。定義嚴格級別的掃描策略會讓掃描器對目標網(wǎng)絡發(fā)起連續(xù)的攻擊。如果設置了規(guī)則讓掃描器掃描所有的65,535個端口，還要檢測口令強度以及細致地分析從管理賬戶到UNIX子系統(tǒng)的每項服務的話，工作量是相當大的。這種掃描不僅費時，而且會極大地加重網(wǎng)絡的負擔。個別主機將無法承受這種掃描。4/15/2024505．配置文件和策略

在使用任何掃描器前，必須首先定義配置文件，然后再實施策略。絕大多數(shù)的掃描程序事先都定義了一些配置和策略，但可以根據(jù)實際需要對它們進行編輯和增加。需要注意的是要將策略和配置文件結合起來。4/15/202451（1）報告功能

企業(yè)級的掃描程序具有細致的報告功能?？梢杂煤芏喾N格式輸出信息，包括：

簡單的ASCII文本

HTML字處理文本格式，如RTF，或一些專利格式，例如MicrosoftWord（DOC）或CorelWordPerfect（WPD）

電子表格形式，例如MicrosoftExcel

圖形格式，包括幻燈片，例如MicrosoftPowerPoint4/15/202452（2）報告風險等級

大多數(shù)的網(wǎng)絡掃描器將風險分成低、中、高三個等級。應該了解各種掃描器是如何匯報它們掃描結果的。即使得出網(wǎng)絡只有低的安全問題，也不應該沾沾自喜。一名優(yōu)秀的黑客可以從很小的缺陷入手就會給系統(tǒng)帶來致命的破壞。4/15/202453（3）AxcetNetRecon

NetRecon是最先為WindowsNT網(wǎng)絡設計的網(wǎng)絡掃描產(chǎn)品之一。NetRecon象其他掃描器一樣可以發(fā)現(xiàn)網(wǎng)絡中的各種元素，包括密碼檢查。NetRecon可以比較準確地模擬各種攻擊。NetRecon的界面由三個窗格組成，對象窗口允許查看每個掃描對象，通過單擊可以展開目錄結構；通過掃描網(wǎng)絡，圖形窗口顯示低、中、高的風險等級；狀態(tài)欄顯示掃描的進程?？梢詫W(wǎng)絡進行深度掃描，當然這種掃描會耗費大量的時間。例如，廣泛的掃描會花費兩天的時間。4/15/2024548.4.3掃描產(chǎn)品1．NetRecon在NetRecon中以一些漏洞列表作為偵查數(shù)據(jù)庫，可以將這個列表理解為攻擊指紋，但是這個名詞通常被用于入侵檢測系統(tǒng)程序中。如果你持有NetRecon的授權，便可以從Axent的Web站點升級這個漏洞列表。通過Reprots|viewVulnerabilityDescriptions菜單，可以查看相關漏洞的描述。4/15/202455下面列出NetRecon可以掃描出的系統(tǒng)漏洞：

Finger服務漏洞

GameOver（遠程管理訪問攻擊）

未授權注銷禁止

服務漏洞，包括SMTP、DNS、、SOCKS代理和低的sendmail補丁等級大多數(shù)網(wǎng)絡掃描器，如NetRecon，包含了事先定義好的對象列表。通過選擇“Reprots”→“ViewObjectiveDescriptions”，可以查看在NetRecon中已經(jīng)配置好的當前對象列表。4/15/2024562．NetworkAssociatesCyberCopScannerCyberCopScanner是NetworkAssociates的產(chǎn)品，該公司的產(chǎn)品還包括SnifferBasic（前身是NetXRay）和其他網(wǎng)絡管理軟件。象NetRecon一樣，CyberCopScanner是一個主機級別的審計程序。與Axent的產(chǎn)品一樣，CyberCop把各種漏洞分類為低、中、高三個等級。技術提示：CyberCopMonitor不是網(wǎng)絡掃描器，它是入侵監(jiān)測系統(tǒng)程序，能夠?qū)诳突顒舆M行監(jiān)視，提供報警功能，還能懲罰黑客。你將在本教程中學習一些入侵檢測系統(tǒng)程序。4/15/2024573．WebTrendsSecurityAnalyzer該軟件以前叫AsmodeusSecurityScanner，WebTrends的產(chǎn)品在UNIX和NT系統(tǒng)下都經(jīng)過很好的測試。SecurityAnalyzer的優(yōu)點之一是與UNIX搭配使用多年，操作界面簡單易用。在主界面上選擇“Policy”，然后“edit”，這時“SecurityAnalyzer”的選項窗口將出現(xiàn)。你可以選擇掃描的強度，或編輯已有的策略、建立新的策略。如果你單擊HostSelection標簽，便可以選擇子網(wǎng)內(nèi)主機的范圍。4/15/2024584．InternetSecuritySystems的掃描產(chǎn)品InternetSecuritySystems是最早生產(chǎn)掃描程序的公司，提供跨操作平臺的安全工具包。（1）ISSInternetScanner這款掃描器工作于UNIX和NT平臺，像AxentNetRecon、WebTrendsSecurityAnalyzer和其他掃描器一樣，可以掃描遠程主機。IneternetScanner有三個模塊：intranet、firewall和Web服務器，程序的策略是希望將網(wǎng)絡活動分類，并針對每種活動提供一種掃描方案，也可以在三個模塊中定義自己的掃描參數(shù)。4/15/202459下面是InternetScanner中的部分掃描項目：

PHP3緩沖區(qū)溢出

Teardrop和Teardrop2攻擊

跨網(wǎng)絡的協(xié)議分析儀（包括tcpdump和SnifferBasic）

搜索一些FTP服務類型，包括WarFTP

SNMP和RMON檢測

Whois檢測

SAMBA溢出

增強的SMS支持

增強的NT功能，使它與UNIX一樣有效4/15/202460（2）ISSSecurityScannerSecurityScanner是基于主機的掃描程序，它可以深入挖掘系統(tǒng)的情況。由于是基于主機的，所以能更深入地掃描系統(tǒng)內(nèi)部，在檢查像數(shù)據(jù)庫、服務等特定的系統(tǒng)時顯得十分有用。這種程序應該運行在考慮到有黑客活動的高風險的系統(tǒng)上。4/15/2024615．其他掃描程序廠商其他提供掃描和檢測漏洞的產(chǎn)品有：

SecurityDynamicsKaneSecurityAnalyst

NetectHackerShield4/15/2024628.5攻擊與滲透

8.5.1常見攻擊類型和特征一旦黑客定位了要攻擊的網(wǎng)絡，就會選定一個目標進行滲透。通常這個目標是安全漏洞最多，或是其擁有最多攻擊工具的主機。4/15/2024631．常見的攻擊滲透網(wǎng)絡和主機的方法（1）字典攻擊：黑客利用一些自動執(zhí)行的程序來猜測用戶使用的口令和密碼。（2）Man-in-the-middle攻擊：黑客從合法的傳輸過程中嗅探密碼和信息。（3）劫持攻擊：在雙方進行會話時被黑客入侵，黑客黑掉其中一方，并冒充他繼續(xù)與另一方進行會話。4/15/202464（4）病毒攻擊：利用病毒來消耗系統(tǒng)資源。（5）非法服務：是任何未經(jīng)同意便運行在操作系統(tǒng)上的進程或服務。（6）拒絕服務攻擊：利用各種程序使系統(tǒng)崩潰或消耗帶寬。4/15/2024652．容易遭受攻擊的目標

（1）路由器（2）數(shù)據(jù)庫（3）服務器安全（4）Web頁面涂改（5）郵件服務（6）名稱服務4/15/2024668.5.2審計系統(tǒng)漏洞

安全審計系統(tǒng)的主要作用：對潛在的攻擊者起到震懾或警告作用。對于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追糾證據(jù)。為系統(tǒng)安全管理員提供有何時何地的系統(tǒng)使用日志，從而幫助系統(tǒng)安全管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。為系統(tǒng)安全管理員提供系統(tǒng)運行的統(tǒng)計日志，使系統(tǒng)安全管理員能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進的地方。4/15/202467審計系統(tǒng)漏洞：1．審計TrapDoor和RootKit2．審計和后門程序3．審計拒絕服務攻擊4．緩沖區(qū)溢出5．Telnet的拒絕服務攻擊6．WindowsNT的TCPport3389存在漏洞7．特洛伊木馬8．蠕蟲4/15/2024688.5.3結合所有攻擊定制審計策略

1．設備和服務2．物理接觸3．操作系統(tǒng)策略4．較弱的密碼策略5．較弱的系統(tǒng)策略6．審計文件系統(tǒng)漏洞7．IP欺騙和劫持4/15/2024698.6入侵監(jiān)測系統(tǒng)IDS8.6.1入侵監(jiān)測的功能1．什么是入侵監(jiān)測入侵監(jiān)測系統(tǒng)處于防火墻之后對網(wǎng)絡活動進行實時檢測。許多情況下，由于可以記錄和禁止網(wǎng)絡活動，所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)，它們可以與防火墻和路由器配合工作。4/15/202470入侵監(jiān)測就是通過從計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。 入侵監(jiān)測系統(tǒng)（IDS）被認為是防火墻之后的第二道安全閘門。IDS掃描當前網(wǎng)絡的活動，監(jiān)視和記錄網(wǎng)絡的流量，根據(jù)定義好的規(guī)則來過濾從主機網(wǎng)卡到網(wǎng)線上的流量，提供實時報警。4/15/2024712．入侵監(jiān)測的功能

（1）網(wǎng)絡流量管理（2）系統(tǒng)掃描（3）追蹤：IDS所能做到的不僅僅是記錄事件，它還可以確定事件發(fā)生的位置。4/15/2024728.6.2入侵監(jiān)測系統(tǒng)的構架

網(wǎng)絡級IDS：網(wǎng)絡級IDS程序同時充當管理者和代理的身份，安裝IDS的主機完成所有的工作，網(wǎng)絡只是接受被動的查詢。這種入侵監(jiān)測系統(tǒng)的優(yōu)點是很容易安裝和實施，通常只需要將程序在主機上安裝一次。它尤其適合阻止掃描和拒絕服務攻擊。4/15/202473主機級IDS：主機級IDS結構使用一個管理者和數(shù)個代理，管理者向代理發(fā)送查詢請求，代理向管理者回報網(wǎng)絡中主機傳輸信息的情況。代理和管理者之間直接通信，解決了復雜網(wǎng)絡中的許多問題。4/15/202474

按照監(jiān)測的對象分： ●基于主機的入侵監(jiān)測系統(tǒng) ●基于網(wǎng)絡的入侵監(jiān)測系統(tǒng) ●混合型入侵監(jiān)測系統(tǒng) 按照工作方式分： ●離線監(jiān)測系統(tǒng) ●在線監(jiān)測系統(tǒng)4/15/202475入侵檢測的過程 ●信息收集。內(nèi)容包括系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)