簡單的網(wǎng)絡(luò)攻擊測試畢業(yè)設(shè)計論文(sniffer網(wǎng)絡(luò)安全)

簡單的網(wǎng)絡(luò)攻擊測試正文

說明：此設(shè)計由于本人只能熟練地操作WINDOWS，所以全部操作都有在WINDOWS2000上實現(xiàn)。所有部分軟件均以WINDOWS2000為準(zhǔn).目前，網(wǎng)絡(luò)的使用越來越普及.人們正在發(fā)現(xiàn)網(wǎng)絡(luò)的作用，搞高工作效率、節(jié)省開支、消息傳播快等等好處.如正實行的無紙辦公、網(wǎng)絡(luò)電話、網(wǎng)絡(luò)會議、網(wǎng)絡(luò)教學(xué)、網(wǎng)絡(luò)聊天、網(wǎng)絡(luò)游戲等等.網(wǎng)絡(luò)已經(jīng)延伸到各行各業(yè).可是在使用網(wǎng)絡(luò)，使用網(wǎng)絡(luò)帶給你的方便的同時，有一個重要的問題你有沒有考慮：網(wǎng)絡(luò)的安全性問題.去年的五.一的中美黑客大戰(zhàn)、去年網(wǎng)上的病毒，這些沒有使你對你正用的網(wǎng)絡(luò)有一些安全性的懷疑嗎？我們應(yīng)正視一個問題，一個全世界都面臨的問題：網(wǎng)絡(luò)安全問題.在中國安全問題更加嚴(yán)重，很多人沒有網(wǎng)絡(luò)安全的意識，有很多人對這些知之甚少，而且另一面一些人則為了追求黑客的刺激卻沒有責(zé)任感，用一些黑客軟件來破壞網(wǎng)絡(luò)、破壞網(wǎng)絡(luò)主機上的資料.所以，有必要了解一些網(wǎng)絡(luò)安全方面的知識，增加網(wǎng)絡(luò)安全意識.下面我就介紹一下常見的網(wǎng)絡(luò)攻擊的步驟.第一部分目標(biāo)探測

踩點攻擊者必須收集大量的信息，以便集中火力攻擊.因此，攻擊者將盡可能多地收集關(guān)于一個機構(gòu)的安全態(tài)勢的各個方面的信息.通過結(jié)合使用工具和技巧，攻擊者能夠由一個未知量歸結(jié)出域名、網(wǎng)絡(luò)塊以及直接連到因特網(wǎng)上的系統(tǒng)的IP地址的一個特定的范圍.下表列出一些攻擊者能標(biāo)識的技術(shù)和相關(guān)信息.表格SEQ表格\*ARABIC1技術(shù)標(biāo)識的信息因特網(wǎng)域名網(wǎng)絡(luò)塊經(jīng)因特網(wǎng)可達到的系統(tǒng)的指定IP地址每個系統(tǒng)上運行的TCP和UDP服務(wù)系統(tǒng)體系結(jié)構(gòu)（如SPARC或X86）訪問控制機制和相關(guān)訪問控制列表入侵檢測系統(tǒng)系統(tǒng)查點（用戶名和用戶組名、路由表、SNMP信息局域網(wǎng)連網(wǎng)協(xié)議（IP、IPX、APPLETALK）網(wǎng)絡(luò)塊經(jīng)局域網(wǎng)可達到的系統(tǒng)的指定IP地址每個系統(tǒng)上運行的TCP和UDP服務(wù)系統(tǒng)的體系結(jié)構(gòu)（如SPARC或X86）訪問控制機制和相關(guān)訪問控制列表入侵檢測系統(tǒng)系統(tǒng)查點（用戶名和用戶組名、路由表、SNMP信息遠程訪問模擬/數(shù)字電話號碼遠程系統(tǒng)類型認證機制1．定活動范圍首先應(yīng)解決的問題是確定踩點活動的范圍.你打算對整個機構(gòu)踩點呢？還是把自己的活動限制在特定的位置.首先，如果目標(biāo)機構(gòu)有網(wǎng)頁.應(yīng)仔細查看目標(biāo)機構(gòu)的網(wǎng)頁.不少機構(gòu)的網(wǎng)頁所提供的有助于攻擊者的信息量很多.如機構(gòu)的所在位置與其關(guān)系緊密的公司或?qū)嶓w公司兼并或收購新聞報道電話號碼聯(lián)系人姓名和電子郵件地址指示所用安全機制的類型的隱私或安全策略與其相關(guān)聯(lián)的WEB服務(wù)器鏈接此外，嘗試查閱HTML源代碼中的注釋.許多沒有公開展示的內(nèi)容會掩埋在諸如“＜”、“！”和“――”之類的HTML注釋標(biāo)記中.這會使你的踩點活動更有效率.還可以用網(wǎng)絡(luò)搜索引擎來收集一些與目標(biāo)相關(guān)的資料.█對策：公共數(shù)據(jù)庫安全從你自己的網(wǎng)碰見中去除可能輔助攻擊者獲取你的網(wǎng)絡(luò)的訪問權(quán)的任何非必要的信息.2．WHOIS查詢WHOIS是個實用程序，用于收集特定域的信息.這在查詢哪個機構(gòu)使用某個域名時有用.WHOIS是相當(dāng)強大的查故障工具：可以了解誰負責(zé)維護域，與誰聯(lián)系，哪個系統(tǒng)是主名稱服務(wù)器.WHOIS查詢過程的第一步是標(biāo)識與某個特定機構(gòu)相關(guān)的域名和網(wǎng)絡(luò).域名代表該公司在因特網(wǎng)上的存在，它是公司名稱在因特網(wǎng)上的等價物.例如”為查點這些域名，發(fā)現(xiàn)依附其上的網(wǎng)絡(luò)，你必須遍查因特網(wǎng).可供查詢的whois數(shù)據(jù)庫有很多，它們提供了豐富的可用于踩點的信息.亞太IP地址分配可查.().以下查詢類型提供的是黑客們用于發(fā)動攻擊的主要信息：a.注冊機構(gòu)顯示特定的注冊信息和相關(guān)whois服務(wù)器b.機構(gòu)本身顯示與某個特定機構(gòu)相關(guān)的所有信息c.域名顯示與某個特定域名相關(guān)的所有信息d.網(wǎng)絡(luò)顯示與某個特定網(wǎng)絡(luò)或單個IP地址相關(guān)的所有信息e.聯(lián)系點顯示與某位特定個員相關(guān)的所有信息下面便是在WHOIS中我校的一些資料：3．DNS查詢標(biāo)識出所有關(guān)聯(lián)的域名后，就可以開始查詢DNS了.DNS是一個分布式數(shù)據(jù)庫，用于把主機名映射成IP地址，或者反之.如果DNS配置得不安全，就有可能取得關(guān)于其所在機構(gòu)的泄密性信息.系統(tǒng)管理員可能犯的最嚴(yán)重的誤配置之一是：允許不信任的因特網(wǎng)用戶執(zhí)行DNS區(qū)域傳送（zonetransfer）.區(qū)域傳送允許一個輔域名服務(wù)器從其主服務(wù)器更新自己的區(qū)域數(shù)據(jù).這樣給DNS的運行提供了冗佘度，以防主域服務(wù)器變得不可用.一般地說，DNS區(qū)域傳送只有對應(yīng)的輔域名服務(wù)器才需執(zhí)行.然而許多DNS服務(wù)器誤配置成任何主機請求就給它提供一個區(qū)域數(shù)據(jù)的拷貝.真正的問題發(fā)生在一個機構(gòu)沒有使用公用/私用DNS機制來分割外部公用DNS信息和內(nèi)部私用DNS信息的時候，這種情況下，內(nèi)部主機名和IP地址暴露給了攻擊者.█對策：DNS安全.DNS給攻擊者提供了大量的信息，因此有必要降低可在因特網(wǎng)上獲取的信息量.從主機配置角度來看，必須把區(qū)域傳送限定在只有經(jīng)授權(quán)的服務(wù)器才能執(zhí)行.從網(wǎng)絡(luò)角度看，可以配置防火墻或分組過濾路由器，由它們拒絕所有未經(jīng)授權(quán)的通往53號TCP端口的外來連接請求.因為名字查找請求使用的是UDP，而區(qū)域傳送請求使用的是TCP，所以這將有效地挫敗區(qū)域傳送企圖.另外，可考慮設(shè)置訪問控制設(shè)備或入侵檢測系統(tǒng)，作為潛在的敵意活動來登記這些企圖傳送區(qū)域的信息.4．網(wǎng)絡(luò)勘察既然已經(jīng)標(biāo)識了潛在的網(wǎng)絡(luò)，我們就可以嘗試確定它們的網(wǎng)絡(luò)拓撲以及進入網(wǎng)絡(luò)內(nèi)部的潛在訪問通路.Traceroute是一個診斷工具，允許查看一個IP分組從一臺主機流動到另一臺主機的路徑.Traceroute使用IP分組中的存活時間（TTL）字段從途徑的每臺路由器引發(fā)一個ICMP超時信息.處理該分組的每臺路由器應(yīng)該將TTL字段減1.這么一來中，TTL字段實際上變成了一個步跳計數(shù)器.我們可利用標(biāo)識可能過濾我們的分組的訪問控制設(shè)備（基于應(yīng)用程序的防火墻或分組過濾路由器）外，也可以用于探索網(wǎng)絡(luò)采用的網(wǎng)絡(luò)拓撲.Tracert.exe在讓我們看一個例子：這是以清華BBS為例，看一看到清華BBS的網(wǎng)絡(luò)路徑：由于38為事先已知道的清華BBS的IP地址，所以的MX記錄指向.于是我們可以假設(shè)這是一臺活動主機，在它之前的那一跳（這是一個路由的數(shù)語，即經(jīng)過我路由器數(shù).如我校的網(wǎng)關(guān)路由器的IP是52所以第一跳就是他.因為是通過它連入網(wǎng)絡(luò)的）是該機構(gòu)的邊界路由器.可能是一臺專用的基于應(yīng)用程序的防火墻主機，也可能是一臺簡單的分組過濾設(shè)備路由器――這還不能肯定.一般地說，一旦在某個網(wǎng)絡(luò)上碰到一個活動的系統(tǒng)，它之前的系統(tǒng)通常是一個執(zhí)行路由功能的設(shè)備（例如路由器或防火墻）.值得注意的是.上大多數(shù)版本的缺省發(fā)送的是用戶數(shù)據(jù)協(xié)議（UDP）分組.而WINDOWS中tracert(由于windows中的8.3的限制)缺省行為是使用ICMP回射請求（echorequest）分組.因此使用traceroute工具的結(jié)果可能隨站點阻塞UDP分組還是阻塞ICMP分組而不同.這里有必要分清分組與路由器的關(guān)系：不考慮訪問控制等外加因素，當(dāng)某個設(shè)備轉(zhuǎn)發(fā)一個分組時，我們說該設(shè)備是該分組的路由器，或者說該設(shè)備路由了該分組.Traceroute工作時，首批發(fā)的探測分組（每批3個）的TTL字段為1.經(jīng)后逐批增加1，真到探測到目標(biāo)系統(tǒng)為止.第批探測分組依次探測到目標(biāo)系統(tǒng)的路徑上的一跳.按照分組與路由器的關(guān)系，除最后一跳即目的系統(tǒng)外，其余各跳都是探測分組的路由器.作為探測分組的路由器，它們將途徑的每個探測分組的TTL字段減1.把TTL字段減為0的那臺路由器丟棄相應(yīng)的探測分組.并返回一個ICMP超時信息.Traceroute據(jù)此探測出除后一跳外的其余各跳.如果到達目的的系統(tǒng)的探測分組是UDP分組，那么只要目的系統(tǒng)不在監(jiān)聽該分組的端口，它就返回一個ICMP端口不可達消息.如果探測分組是ICMP回射請求分組，那么目的系統(tǒng)必然返回一個ICMP回射應(yīng)答分組.Traceroute就是據(jù)此探測下一跳的.對于圖形界面愛好者來說，可以用Neotrace進行路徑跟蹤.例如下面，用同一個網(wǎng)址來比較一下：這個工具可以方便、直觀地表現(xiàn)網(wǎng)絡(luò)路徑.而且可以看出網(wǎng)絡(luò)中的主節(jié)點，侞圖中的便是一個中國教育網(wǎng)沈陽的主節(jié)點.B很顯然是北京的教育網(wǎng)主節(jié)點了.下面還有這個軟件一個說明Genericnode：普通節(jié)點.NET：互連網(wǎng)中的網(wǎng)關(guān)，或主干.EDU：█教育機構(gòu).對策：挫敗網(wǎng)絡(luò)勘察有很多程序可以檢測這種類型的網(wǎng)絡(luò)勘察.可以記錄外來的traceroute請求，并產(chǎn)生虛假的應(yīng)答.最后一個措施是把邊界路由器配置成限制ICMP和UDP分組到特定的系統(tǒng)，從而最大限度降低暴露程度，這得取決于所在站點的具體安全規(guī)范.●小結(jié)：要把因為自己在因特網(wǎng)上的存在而泄露的信息類型減少到最小，并實現(xiàn)時時警惕著的監(jiān)視措施.5．嗅探(sniff)：如果對方主機和自己在同一個局域網(wǎng)內(nèi)，或你已經(jīng)控制了對方局域網(wǎng)中的某臺機器時，嗅探是一種簡單有效的方法.你可以用一個嗅探軟件，輕易地得到你想要的一切信息，包括一些重要的，如EMAIL密碼、用戶名、密碼等.SNIFF原理解析：關(guān)于在網(wǎng)絡(luò)上采用SNIFF來獲取敏感信息已經(jīng)不是什么新鮮事.那么，SNIFF究竟是什么呢？SNIFF就是嗅探器，就是竊聽器，SNIFF靜悄悄的工作在網(wǎng)絡(luò)的底層，把你的秘密全部記錄下來.SNIFF就象里面精巧的竊聽器一樣，讓你防不勝防.

SNIFF可以是軟件，也可以是硬件，既然是軟件那就要分平臺，有WINDOWS下的、UNXI下的等，硬件的SNIFF稱為網(wǎng)絡(luò)分析儀，反正不管硬件軟件，目標(biāo)只有一個，就是獲取在網(wǎng)絡(luò)上傳輸?shù)母鞣N信息.

當(dāng)你舒適的坐在家里，愜意的享受網(wǎng)絡(luò)給你帶來的便利，收取你的EMAIL，購買你喜歡的物品的時候，你是否會想到你的朋友給你的信件，你的信用卡帳號變成了一個又一個的信息包在網(wǎng)絡(luò)上不停的傳送著，你是否曾經(jīng)這些信息包會通過網(wǎng)絡(luò)流入別人的機器呢？你的擔(dān)憂不是沒有道理的，因為SNIFF可以讓你的擔(dān)憂變成實實在在的危險.就好象一個人躲在你身后偷看一樣

必要的網(wǎng)絡(luò)基礎(chǔ)知識

（1）TCP/IP體系結(jié)構(gòu)

開放系統(tǒng)互連（OSI）模型將網(wǎng)絡(luò)劃分為七層模型，分別用以在各層上實現(xiàn)不同的功能，這七層分別為：應(yīng)用層、表示層、會話層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層及物理層.而TCP/IP體系也同樣遵循這七層標(biāo)準(zhǔn)，只不過在某些OSI功能上進行了壓縮，將表示層及會話層合并入應(yīng)用層中，所以實際上我們打交道的TCP/IP僅僅有5層而已，網(wǎng)絡(luò)上的分層結(jié)構(gòu)決定了在各層上的協(xié)議分布及功能實現(xiàn)，從而決定了各層上網(wǎng)絡(luò)設(shè)備的使用.實際上很多成功的系統(tǒng)都是基

于OSI模型的，如：幀中繼、ATM、ISDN等.TCP/IP的網(wǎng)絡(luò)體系結(jié)構(gòu)（部分）|SMTP|DNS|HTTP|FTP|TELNET|應(yīng)用層|TCP|UDP|傳輸層|IP|ICMP|ARPRARP|網(wǎng)絡(luò)層|IEEE802以太網(wǎng)SLIP/PPPPDNetc|數(shù)據(jù)鏈路層|網(wǎng)卡電纜雙絞線etc|物理層從上面的圖中我們可以看出，第一層物理層和第二層數(shù)據(jù)鏈路層是TCP/IP的基礎(chǔ)，而TCP/IP本身并不十分關(guān)心低層，因為處在數(shù)據(jù)鏈路層的網(wǎng)絡(luò)設(shè)備驅(qū)動程序?qū)⑸蠈拥膮f(xié)議和實際的物理接口隔離開來.網(wǎng)絡(luò)設(shè)備驅(qū)動程序位于介質(zhì)訪問子層(MAC).

（2）網(wǎng)絡(luò)上的設(shè)備中繼器：中繼器的主要功能是終結(jié)一個網(wǎng)段的信號并在另一個網(wǎng)段再生該信號，一句話，就是簡單的放大而已，工作在物理層上.網(wǎng)橋：網(wǎng)橋使用MAC物理地址實現(xiàn)中繼功能，可以用來分隔網(wǎng)段或連接部分異種網(wǎng)絡(luò)，工作在數(shù)據(jù)鏈路層.路由器：路由器使用網(wǎng)絡(luò)層地址(IP，IPX等)，主要負責(zé)數(shù)據(jù)包的路由尋徑，也能處理物理層和數(shù)據(jù)鏈路層上的工作.

網(wǎng)關(guān)：主要工作在網(wǎng)絡(luò)第四層以上，主要實現(xiàn)收斂功能及協(xié)議轉(zhuǎn)換，不過很多時候網(wǎng)關(guān)都被用來描述任何網(wǎng)絡(luò)互連設(shè)備.

（3）TCP/IP與以太網(wǎng)

以太網(wǎng)和TCP/IP可以說是相互相成的，可以說兩者的關(guān)系幾乎是密不可分，以太網(wǎng)在一二層提供物理上的連線，而TCP/IP工作在上層，使用32位的IP地址，以太網(wǎng)則使用48位的MAC地址，兩者間使用ARP和RARP協(xié)議進行相互轉(zhuǎn)換.從我們上面TCP/IP的模型圖中可以清楚的看到兩者的關(guān)系.載波監(jiān)聽/沖突檢測(CSMA/CD)技術(shù)被普遍的使用在以太網(wǎng)中，所謂載波監(jiān)聽是指在以太網(wǎng)中的每個站點都具有同等的權(quán)利，在傳輸自己的數(shù)據(jù)時，首先監(jiān)聽信道是否空閑，如果空閑，就傳輸自己的數(shù)據(jù)，如果信道被占用，就等待信道空閑.而沖突檢測則是為了防止發(fā)生兩個站點同時監(jiān)測到網(wǎng)絡(luò)沒有被使用時而產(chǎn)生沖突.以太網(wǎng)采用廣播機制，所有與網(wǎng)絡(luò)連接的工作站都可以看到網(wǎng)絡(luò)上傳遞的數(shù)據(jù).我們來看看下面的圖，一個典型的在以太網(wǎng)中客戶與服務(wù)器使用TCP/IP協(xié)議的通信.用戶進程FTP客戶<>FTP服務(wù)器應(yīng)用層||

內(nèi)核中的協(xié)議棧TCP<>TCP傳輸層||

內(nèi)核中的協(xié)議棧IP<>IP網(wǎng)絡(luò)層||

以太網(wǎng)驅(qū)動程序<>以太網(wǎng)驅(qū)動程序數(shù)據(jù)鏈路層──────SNIFF的原理要知道在以太網(wǎng)中，所有的通訊都是廣播的，也就是說通常在同一個網(wǎng)段的所有網(wǎng)絡(luò)接口都可以訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù)，而每一個網(wǎng)絡(luò)接口都有一個唯一的硬件地址，這個硬件地址也就是網(wǎng)卡的MAC地址，大多數(shù)系統(tǒng)使用48比特的地址，這個地址用來表示網(wǎng)絡(luò)中的每一個設(shè)備，一般來說每一塊網(wǎng)卡上的MAC地址都是不同的，每個網(wǎng)卡廠家得到一段地址，然后用這段地址分配給其生產(chǎn)的每個網(wǎng)卡一個地址.在硬件地址和IP地址間使用ARP和RARP協(xié)議進行相互轉(zhuǎn)換.在正常的情況下，一個網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀：1.自己硬件地址相匹配的數(shù)據(jù)幀.

2.發(fā)向所有機器的廣播數(shù)據(jù)幀.

在一個實際的系統(tǒng)中，數(shù)據(jù)的收發(fā)是由網(wǎng)卡來完成的，網(wǎng)卡接收到傳輸來的數(shù)據(jù)，網(wǎng)卡內(nèi)的程序接收數(shù)據(jù)幀的目的MAC地址，根據(jù)計算機上的網(wǎng)卡驅(qū)動程序設(shè)置的接收模式判斷該不該接收，認為該接收就接收后產(chǎn)生中斷信號通知CPU，認為不該接收就丟掉不管，所以不該接收的數(shù)據(jù)網(wǎng)卡就截斷了，計算機根本就不知道.CPU得到中斷信號產(chǎn)生中斷，操作系統(tǒng)就根據(jù)網(wǎng)卡的驅(qū)動程序設(shè)置的網(wǎng)卡中斷程序地址調(diào)用驅(qū)動程序接收數(shù)據(jù)，驅(qū)動程序接收數(shù)據(jù)后放入信號堆棧讓操作系統(tǒng)處理.而對于網(wǎng)卡來說一般有四種接收模式：

廣播方式：該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣播信息.組播方式：設(shè)置在該模式下的網(wǎng)卡能夠接收組播數(shù)據(jù).直接方式：在這種模式下，只有目的網(wǎng)卡才能接收該數(shù)據(jù).混雜模式：在這種模式下的網(wǎng)卡能夠接收一切通過它的數(shù)據(jù)，而不管該數(shù)據(jù)是否是傳給它的.首先，我們知道了在以太網(wǎng)中是基于廣播方式傳送數(shù)據(jù)的，也就是說，所有的物理信號都要經(jīng)過我的機器，再次，網(wǎng)卡可以置于一種模式叫混雜模式（promiscuous），在這種模式下工作的網(wǎng)卡能夠接收到一切通過它的數(shù)據(jù)，而不管實際上數(shù)據(jù)的目的地址是不是他.這實際上就是我們SNIFF工作的基本原理：讓網(wǎng)卡接收一切他所能接收的數(shù)據(jù).（圖一）CBCBAA我們來看一個簡單的例子，如圖所示，機器A、B、C與集線器HUB相連接，集線器HUB通過路由器Router訪問外部網(wǎng)絡(luò).這是一個很簡單也很常見的情況，比如說在公司大樓里，我所在的網(wǎng)絡(luò)部辦公室里的幾臺機器通過集線器連接，而網(wǎng)絡(luò)部、開發(fā)部、市場部也是同樣如此，幾個部門的集線器通過路由器連接.還是回到我們的(圖一)上來，值得注意的一點是機器A、B、C使用一個普通的HUB連接的，不是用SWITCH，也不是用ROUTER，使用SWITCH和ROUTER的情況要比這復(fù)雜得多.我們假設(shè)一下機器A上的管理員為了維護機器C，使用了一個FTP命令向機器C進行遠程登陸，那么在這個用HUB連接的網(wǎng)絡(luò)里數(shù)據(jù)走向過程是這樣的.首先機器A上的管理員輸入的登陸機器C的FTP口令經(jīng)過應(yīng)用層FTP協(xié)議、傳輸層TCP協(xié)議、網(wǎng)絡(luò)層IP協(xié)議、數(shù)據(jù)鏈路層上的以太網(wǎng)驅(qū)動程序一層一層的包裹，最后送到了物理層，我們的網(wǎng)線上.接下來數(shù)據(jù)幀送到了HUB上，現(xiàn)在由HUB向每一個接點廣播由機器A發(fā)出的數(shù)據(jù)幀，機器B接收到由HUB廣播發(fā)出的數(shù)據(jù)幀，并檢查在數(shù)據(jù)幀中的地址是否和自己的地址相匹配，發(fā)現(xiàn)不是發(fā)向自己的后把這數(shù)據(jù)幀丟棄，不予理睬.而機器C也接收到了數(shù)據(jù)幀，并在比較之后發(fā)現(xiàn)是發(fā)現(xiàn)自己的，接下來他就對這數(shù)據(jù)幀進行分析處理.在上面這個簡單的例子中，機器B上的管理員如果很好奇，他很想知道究竟登陸機器C上FTP口令是什么？那么他要做的很簡單，僅僅需要把自己機器上的網(wǎng)卡置于混雜模式，并對接收到的數(shù)據(jù)幀進行分析，從而找到包含在數(shù)據(jù)幀中的口令信息.下圖為在局域網(wǎng)中抓到的一個發(fā)向80端口的一個數(shù)據(jù)包，目的就是為了得到一個網(wǎng)站的回應(yīng)：Sniffers對策

顯而易見的，保護網(wǎng)絡(luò)不受sniffer監(jiān)聽的方法就是不要讓它們進入.如果一個cracker不能通過你的系統(tǒng)進入的話，那么他們無法安裝sniffers.我們是有可能防止這個的.但是從發(fā)現(xiàn)空前數(shù)目的安全漏洞并且大多數(shù)公司并沒有足夠能力來修復(fù)以來，crackers開始利用漏洞并安裝sniffers.自從crackers看上一個大多數(shù)網(wǎng)絡(luò)通訊流通的中心區(qū)域(防火墻或是代理服務(wù)器)時，他們便確定這是他們的攻擊目標(biāo)并將被監(jiān)視.一些可能的"受害者"在服務(wù)器的旁邊，這時候個人信息將被截獲(webserver，smtpsever)一個好的方式來保護你的網(wǎng)絡(luò)不受sniffer監(jiān)視是將網(wǎng)絡(luò)用以太網(wǎng)交換機代替普通的集線器分成盡可能多的段.交換機可以分割你的網(wǎng)絡(luò)通訊并防止每一個系統(tǒng)"看到"每個信息包.但是這個解決方法的缺點就是太費錢.這種交換機是普通集線器價錢的幾倍，但是它值這么多.交換機可以設(shè)置VLAN（虛擬局域網(wǎng)）在同一個VLAN中的計算機可以通信，而不在同一個VLAN中的計算機雖然連在同一個交換機上，并且可能相距很近但卻無法通信.這就是因為交換機有控制功能.在交換機中有一個標(biāo)識VLAN的標(biāo)致叫TRUCK，交換機就是通過它知道數(shù)據(jù)該發(fā)到哪個端口上的.另外，交換機能夠劃分沖突域，但注意的是，它的所有端口都在同一個廣播域中.另一個方法是，和那種接線器比就是加密術(shù).Sniffer依然可以監(jiān)視到信息的傳送，但是顯示的是亂碼.一些加密術(shù)的缺點是速度問題和使用一個弱加密術(shù)比較容易被攻破.幾乎所有的加密術(shù)將導(dǎo)致網(wǎng)絡(luò)的延遲.加密術(shù)越強，網(wǎng)絡(luò)溝通速度就越慢.系統(tǒng)管理員和用戶需要在某個地方折中一下.有一些加密總是比沒有加密要好的多.如果一個crakcer正在你的網(wǎng)絡(luò)上運行sniffer并發(fā)現(xiàn)所有他/她收集的資料都是亂碼，那么大多數(shù)會轉(zhuǎn)移到其他的沒有使用加密術(shù)的站點上.但是一份支票或是一個決心，hacker將會破解一個弱加密術(shù)標(biāo)準(zhǔn).所以要變的聰明和提供一個強有力的加密術(shù).二．掃描1）PING掃射映射出一個真實網(wǎng)絡(luò)的最基本步驟之一是在某個IP地址和網(wǎng)絡(luò)塊范圍內(nèi)執(zhí)行一輪自動的PING掃射，以此確定某個具體系統(tǒng)是否存活著.傳統(tǒng)意義上PING用于向某個目標(biāo)系統(tǒng)發(fā)送ICMP回射請求（echorequest）分組（ICMP類型為8）.并期待由此改發(fā)的表明目標(biāo)系統(tǒng)存活著的回射應(yīng)答（echoreply）分組（ICMP類型為0）.可能的話盡量避免對廣播地址的PING，因為如果有許多系統(tǒng)同時響應(yīng)的話，這么做可能導(dǎo)致拒絕服務(wù)（DoS）條件.無論是UNIX還是WINDOWS下都有很多PING工具.其中也有很多速度快的.如WINDOWS下的PINGSWEEP.PINGSWEEP能夠這么快的原因在于允指定分組發(fā)送之間的延遲時間.把該值定為0或者說的話，不到7秒鐘就能掃描一整個C類網(wǎng)絡(luò)并解析出主機名.不過使用這些工具時需要小心，它們發(fā)出的分組很輕易就能塞滿128K的鏈路.要是目標(biāo)站點阻塞ICMP分組，情況又怎么樣呢？碰上在其邊界路由器或防火墻上阻塞ICMP分組流通的有安全意識的站點并不新鮮.盡管ICMP分組可能被阻塞，其它的方法還是很多的，不過與正常的PING掃射相比，它們在準(zhǔn)確性和效率上有些不如.而在ICMP分組的流通被阻塞時，端口掃描是用于確定活動主機的首選技巧.下面用一個IPSCAN軟件演示一下PING掃射：如圖，綠色的顯示的IP為網(wǎng)絡(luò)中的活動主機，用這個軟件可以了解在一個C類網(wǎng)段中活動的主機數(shù)，但其結(jié)果可能由于某些機器有防火墻等原因而使某些活動主機不被發(fā)現(xiàn).█PING掃射對策：A．檢測:通過PING掃射執(zhí)行網(wǎng)絡(luò)映射是在真正發(fā)起攻擊前勘測網(wǎng)絡(luò)的有效方法.因此，檢測PING掃射活動對于掌握具體攻擊的可能發(fā)生時刻及其發(fā)動者至關(guān)重要.很多軟件和防火墻可以檢測并記錄PING掃射.如果你開始看到來自某個系統(tǒng)或網(wǎng)絡(luò)的ICMP回射請求分組的確定模式，那么它可能指示有人在對你的站點執(zhí)行網(wǎng)絡(luò)勘察.密切留意這種活動，因為一次全規(guī)模的攻擊可能迫在眉睫.B.預(yù)防:盡管PING掃射活動的檢測至關(guān)緊要，注射一劑預(yù)防針的效果卻更佳.建議仔細評價允許進入自己的網(wǎng)絡(luò)的ICMP分組類型.ICMP分組許多種類型，回射請求和回射應(yīng)答只是其中的兩種.大多數(shù)站點并不需要所有類型的ICMP分組都能通達直接連到因特網(wǎng)上的所有系統(tǒng).盡管幾乎任何防火墻都能過濾掉ICMP分組，但是機構(gòu)本身的需要可能要求防火墻放行某些ICMP分組.如果確實存在這種需要，那就仔細考慮放行哪些類型的ICMP分組.一個最簡單的做法是只允許ICMP應(yīng)答，主機不可達（hostunreachable）和超時分組從外部進入網(wǎng)絡(luò).有必要介紹一個ICMP協(xié)議.ICMP的全稱是InternetControlMessageProtocol（網(wǎng)間報文控制協(xié)議），它是IP不可分割的一部分，用來提供錯誤報告.一旦發(fā)現(xiàn)各種錯誤類型就將其返回原主機，我們平時最常見的ping命令就是基于ICMP的.

|

||

|ICMPECHOrequest|

||HOST|>|HOST||

||A|<|B||

|||如果存活或者沒有過濾|||

|將返回ICMPRCHOREPLY|

||

這種機制就是我們通常所用的ping命令來檢測目標(biāo)主機是否可以ping到.

ICMP的統(tǒng)計信息包含收發(fā)的各種類型的ICMP報文的計數(shù)以及收發(fā)錯誤報文的計數(shù).

顯示說明

Message消息

Errors錯誤消息

DestinationUnreachable目標(biāo)不可到達消息

TimeExceeded超時消息

ParameterProblems參數(shù)錯誤消息

SourceQuenchs源抑制消息

Redirecrs重定向消息

EchosEcho消息

EchoRepliesEcho響應(yīng)消息

Timestamps時間戳消息

TimestampReplies時間戳響應(yīng)消息

AddressMasks地址掩碼請求消息

AddressMaskReplies地址掩碼響應(yīng)消息路由器詢問和通告10或9路由器詢問和通告10或9地址掩碼請求或回答17或18時間戳請求或回答13或14回送請求或回答8或0查詢報文改變路由5參數(shù)問題12時間超過11源站抑制4目的站不可達3差所報告報文報文類型種類?源站抑制：源站抑制報文通知源站，由于擁塞在路由器或目的主機中已經(jīng)丟棄了數(shù)據(jù)報.源站必須放慢數(shù)據(jù)報的發(fā)送，直到擁塞程度減輕為止.?時間超過： 當(dāng)路由器收到一個生存時間字段的值為0的數(shù)據(jù)報時，就丟棄此數(shù)據(jù)報，并向源站發(fā)送時間超過報文. 當(dāng)一個分組的第一個分片到達時，目的主機就啟動計時器.當(dāng)在規(guī)定的時間內(nèi)沒有收到分組的所有分片時，它就丟棄已收到的分片，并向源站發(fā)送時間超過報文.?回送請求和回答：主機或路由器可以發(fā)送回送請求報文，收到回送請求報文的主機或路由器發(fā)送回送回答報文.用回送請求和回送回答報文可測試一個主機的可達性，通常是調(diào)用ping命令來這樣做的?時間戳請求和回答：兩個主機或路由器可使用時間戳請求和回答報文來確定IP數(shù)據(jù)報在這兩個機器之間來往所需的往返時間，也可用作兩個機器中時鐘的同步.?地址掩碼請求和回答?路由器詢問和通告ICMP查詢向某個系統(tǒng)發(fā)送ICMP類型為13的消息即時間戳（timestamp）分組，你就能請求返回該系統(tǒng)的時間（目的是查看該系統(tǒng)所在的時區(qū)）.改用ICMP類型為17的消息即地址掩碼請求（addressmaskrequest）分組，則能請求返回某個設(shè)備的子網(wǎng)掩碼.知道網(wǎng)絡(luò)的子網(wǎng)掩碼很重要，因為可以據(jù)此確定用到的所有子網(wǎng).有了關(guān)于子網(wǎng)的信息后，你就可以只攻擊特定的子網(wǎng)，并避免撞上廣播地址.但不是所有路由器/主機系統(tǒng)都允許響應(yīng)ICMP時間戳或子網(wǎng)掩碼請求分組，因此用這兩種查詢的結(jié)果可能得不到任何信息.■ICMP查詢的對策最好是預(yù)防辦法是在自己的邊界路由器上阻塞泄漏信息的ICMP分組類型.最小限度應(yīng)該限制ICMP時間戳（類型為13）和地址掩碼請求（類型為17）分組進入自己的網(wǎng)絡(luò)中.下面是Cisco路由器中的ACL規(guī)則：access-list101denyicmpanyany13！timestamprequestaccess-list101denyicmpanyany17!addressmaskrequest

端口掃描一個端口就是一個潛在的通信通道，也就是一個入侵通道.對目標(biāo)計算機進行端口掃描，能得到許多有用的信息.進行掃描的方法很多，可以是手工進行掃描，也可以用端口掃描軟件進行.

在手工進行掃描時，需要熟悉各種命令.對命令執(zhí)行后的輸出進行分析.用掃描軟件進行掃描時，許多掃描器軟件都有分析數(shù)據(jù)的功能.

通過端口掃描，可以得到許多有用的信息，從而發(fā)現(xiàn)系統(tǒng)的安全漏洞.

什么是掃描器？

掃描器是一種自動檢測遠程或本地主機安全性弱點的程序，通過使用掃描器你可一不留痕跡的發(fā)現(xiàn)遠程服務(wù)器的各種TCP端口的分配及提供的服務(wù)和它們的軟件版本！這就能讓我們間接的或直觀的了解到遠程主機所存在的安全問題.

工作原理

掃描器通過選用遠程TCP/IP不同的端口的服務(wù)，并記錄目標(biāo)給予的回答，通過這種方法，可以搜集到很多關(guān)于目標(biāo)主機的各種有用的信息（比如：是否能用匿名登陸！是否有可寫的FTP目錄，是否能用TELNET，HTTPD是用ROOT還是nobady在跑?。?/p>

掃描器能干什么？

掃描器并不是一個直接的攻擊網(wǎng)絡(luò)漏洞的程序，它僅僅能幫助我們發(fā)現(xiàn)目標(biāo)機的某些內(nèi)在的弱點.一個好的掃描器能對它得到的數(shù)據(jù)進行分析，幫助我們查找目標(biāo)主機的漏洞.但它不會提供進入一個系統(tǒng)的詳細步驟.

掃描器應(yīng)該有三項功能：發(fā)現(xiàn)一個主機或網(wǎng)絡(luò)的能力；一旦發(fā)現(xiàn)一臺主機，有發(fā)現(xiàn)什么服務(wù)正運行在這臺主機上的能力；通過測試這些服務(wù)，發(fā)現(xiàn)漏洞的能力.

編寫掃描器程序必須要很多TCP/IP程序編寫和C，Perl和或SHELL語言的知識.需要一些Socket編程的背景，一種在開發(fā)客戶/服務(wù)應(yīng)用程序的方法.開發(fā)一個掃描器是一個雄心勃勃的項目，通常能使程序員感到很滿意.常用的端口掃描技術(shù)

TCPconnect掃描

這是最基本的TCP掃描.操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用，用來與每一個感興趣的目標(biāo)計算機的端口進行連接.如果端口處于偵聽狀態(tài)，那么connect()就能成功.否則，這個端口是不能用的，即沒有提供服務(wù).這個技術(shù)的一個最大的優(yōu)點是，你不需要任何權(quán)限.系統(tǒng)中的任何用戶都有權(quán)利使用這個調(diào)用.另一個好處就是速度.如果對每個目標(biāo)端口以線性的方式，使用單獨的connect()調(diào)用，那么將會花費相當(dāng)長的時間，你可以通過同時打開多個套接字，從而加速掃描.使用非阻塞I/O允許你設(shè)置一個低的時間用盡周期，同時觀察多個套接字.但這種方法的缺點是很容易被發(fā)覺，并且被過濾掉.目標(biāo)計算機的logs文件會顯示一連串的連接和連接是出錯的服務(wù)消息，并且能很快的使它關(guān)閉.

TCPSYN掃描

這種技術(shù)通常認為是“半開放”掃描，這是因為掃描程序不必要打開一個完全的TCP連接.掃描程序發(fā)送的是一個SYN數(shù)據(jù)包，好象準(zhǔn)備打開一個實際的連接并等待反應(yīng)一樣（參考TCP的三次握手建立一個TCP連接的過程）.一個SYN|ACK的返回信息表示端口處于偵聽狀態(tài).一個RST返回，表示端口沒有處于偵聽?wèi)B(tài).如果收到一個SYN|ACK，則掃描程序必須再發(fā)送一個RST信號，來關(guān)閉這個連接過程.這種掃描技術(shù)的優(yōu)點在于一般不會在目標(biāo)計算機上留下記錄.但這種方法的一個缺點是，必須要有root權(quán)限才能建立自己的SYN數(shù)據(jù)包.

TCPFIN掃描

有的時候有可能SYN掃描都不夠秘密.一些防火墻和包過濾器會對一些指定的端口進行監(jiān)視，有的程序能檢測到這些掃描.相反，F(xiàn)IN數(shù)據(jù)包可能會沒有任何麻煩的通過.這種掃描方法的思想是關(guān)閉的端口會用適當(dāng)?shù)腞ST來回復(fù)FIN數(shù)據(jù)包.另一方面，打開的端口會忽略對FIN數(shù)據(jù)包的回復(fù).這種方法和系統(tǒng)的實現(xiàn)有一定的關(guān)系.有的系統(tǒng)不管端口是否打開，都回復(fù)RST，這樣，這種掃描方法就不適用了.并且這種方法在區(qū)分Unix和NT時，是十分有用的.

IP段掃描

這種不能算是新方法，只是其它技術(shù)的變化.它并不是直接發(fā)送TCP探測數(shù)據(jù)包，是將數(shù)據(jù)包分成兩個較小的IP段.這樣就將一個TCP頭分成好幾個數(shù)據(jù)包，從而過濾器就很難探測到.

TCP反向ident掃描

ident協(xié)議允許(rfc1413)看到通過TCP連接的任何進程的擁有者的用戶名，即使這個連接不是由這個進程開始的.因此你能，舉個例子，連接到http端口，然后用identd來發(fā)現(xiàn)服務(wù)器是否正在以root權(quán)限運行.這種方法只能在和目標(biāo)端口建立了一個完整的TCP連接后才能看到.

FTP返回攻擊

FTP協(xié)議的一個有趣的特點是它支持代理（proxy）FTP連接.即入侵者可以從自己的計算機和目標(biāo)主機的FTPserver-PI(協(xié)議解釋器)連接，建立一個控制通信連接.然后，請求這個server-PI激活一個有效的server-DTP(數(shù)據(jù)傳輸進程)來給Internet上任何地方發(fā)送文件.對于一個User-DTP，這是個推測，盡管RFC明確地定義請求一個服務(wù)器發(fā)送文件到另一個服務(wù)器是可以的.但現(xiàn)在這個方法好象不行了.這個協(xié)議的缺點是“能用來發(fā)送不能跟蹤的郵件和新聞，給許多服務(wù)器造成打擊，用盡磁盤，企圖越過防火墻”.

我們利用這個的目的是從一個代理的FTP服務(wù)器來掃描TCP端口.這樣，你能在一個防火墻后面連接到一個FTP服務(wù)器，然后掃描端口（這些原來有可能被阻塞）.如果FTP服務(wù)器允許從一個目錄讀寫數(shù)據(jù)，你就能發(fā)送任意的數(shù)據(jù)到發(fā)現(xiàn)的打開的端口.

對于端口掃描，這個技術(shù)是使用PORT命令來表示被動的UserDTP正在目標(biāo)計算機上的某個端口偵聽.然后入侵者試圖用LIST命令列出當(dāng)前目錄，結(jié)果通過Server-DTP發(fā)送出去.如果目標(biāo)主機正在某個端口偵聽，傳輸就會成功（產(chǎn)生一個150或226的回應(yīng)）.否則，會出現(xiàn)"425Can'tbuilddataconnection:Connectionrefused.".然后，使用另一個PORT命令，嘗試目標(biāo)計算機上的下一個端口.這種方法的優(yōu)點很明顯，難以跟蹤，能穿過防火墻.主要缺點是速度很慢，有的FTP服務(wù)器最終能得到一些線索，關(guān)閉代理功能.

UDPICMP端口不能到達掃描

這種方法與上面幾種方法的不同之處在于使用的是UDP協(xié)議.由于這個協(xié)議很簡單，所以掃描變得相對比較困難.這是由于打開的端口對掃描探測并不發(fā)送一個確認，關(guān)閉的端口也并不需要發(fā)送一個錯誤數(shù)據(jù)包.幸運的是，許多主機在你向一個未打開的UDP端口發(fā)送一個數(shù)據(jù)包時，會返回一個ICMP_PORT_UNREACH錯誤.這樣你就能發(fā)現(xiàn)哪個端口是關(guān)閉的.UDP和ICMP錯誤都不保證能到達，因此這種掃描器必須還實現(xiàn)在一個包看上去是丟失的時候能重新傳輸.這種掃描方法是很慢的，因為RFC對ICMP錯誤消息的產(chǎn)生速率做了規(guī)定.如果打算在因特網(wǎng)上執(zhí)行UDP掃描，那就準(zhǔn)備好接受不可靠的結(jié)果.

UDPrecvfrom()和write()掃描

當(dāng)非root用戶不能直接讀到端口不能到達錯誤時，Linux能間接地在它們到達時通知用戶.比如，對一個關(guān)閉的端口的第二個write()調(diào)用將失敗.在非阻塞的UDP套接字上調(diào)用recvfrom()時，如果ICMP出錯還沒有到達時回返回EAGAIN-重試.如果ICMP到達時，返回ECONNREFUSED-連接被拒絕.這就是用來查看端口是否打開的技術(shù).

ICMPecho掃描

這并不是真正意義上的掃描.但有時通過ping，在判斷在一個網(wǎng)絡(luò)上主機是否開機時非常有用.

下面用一個SuperScan的端口掃描軟件來測試一下.下面是掃描的結(jié)果：*+ |___21FileTransferProtocol[Control] |___220FTPserver(Versionwu-2.6.0(1)MonFeb2810:30:36EST2000))ready... |___25SimpleMailTransfer |___80WorldWideWebHTTP |___HTTP/1.1200OK..Date:Sun，28Apr200204:48:22GMT..Server:Apache/1.3.12(Unix)(RedHat/Linux)PHP/4.0.2mod_perl/1.21..La |___110PostOfficeProtocol-Version3 |___+OKPOP3v7.64serverready..*-*-[Unknown]*-0[Unknown]*-7[Unknown]*-9*+2[Unknown] |___80WorldWideWebHTTP |___HTTP/1.1404Server:Microsoft-IIS/4.0..Date:Sun，28Apr200204:55:20GMT..Content-Length:385..Content-Type:tex*-3[Unknown]*-4[Unknown]*+4[Unknown] |___21FileTransferProtocol[Control] |___220szjMicrosoftFTPService(Version5.0)... |___25SimpleMailTransfer |___220MicrosoftESMTPMAILService，Version:5.0.2172.1readyatSun，28Apr200212:53:18+0800.. |___80WorldWideWebHTTP |___HTTP/1.1200OK..Server:Microsoft-IIS/5.0..Date:Sun，28Apr200204:53:20GMT..Connection:Keep-Alive..Content-Length:1282.. |___119NetworkNewsTransferProtocol |___200NNTPService5.00.0984Version:5.0.2159.1PostingAllowed..*-5[Unknown]*-4[Unknown]*+8[Unknown] |___21FileTransferProtocol[Control] |___220XSCSERVERMicrosoftFTPService(Version5.0)... |___25SimpleMailTransfer |___220XSCSERVER.xsc.lnccMicrosoftESMTPMAILService，Version:5.0.2172.1readyatSun，28Apr200213:01:11+0800.. |___80WorldWideWebHTTP |___HTTP/1.1200OK..Server:Microsoft-IIS/5.0..Date:Sun，28Apr200205:01:11GMT..Connection:Keep-Alive..Content-Length:1177..*-9[Unknown]*-0[Unknown]*+5 |___21FileTransferProtocol[Control] |___220jsjxMicrosoftFTPService(Version5.0)... |___25SimpleMailTransfer |___220ESMTPonEasyMail[]ready... |___80WorldWideWebHTTP |___HTTP/1.1200OK..Server:Microsoft-IIS/5.0..Date:Sun，28Apr200204:56:28GMT..Connection:Keep-Alive..Content-Length:13162. |___110PostOfficeProtocol-Version3 |___+OKPOP3onEasyMail[]ready... |___119NetworkNewsTransferProtocol |___200NNTPService5.00.0984Version:5.0.2195.1608PostingAllowed..*-8[Unknown]*+20[Unknown] |___21FileTransferProtocol[Control] |___25SimpleMailTransfer |___220ZXFWQ.MicrosoftESMTPMAILService，Version:5.0.2172.1readyatSun，28Apr200212:55:45+0800.. |___80WorldWideWebHTTP |___119NetworkNewsTransferProtocol |___200NNTPService5.00.0984Version:5.0.2159.1PostingAllowed..*-31[Unknown]*+90[Unknown] |___80WorldWideWebHTTP |___HTTP/1.1302Objectmoved..Server:Microsoft-IIS/4.0..Date:Sun，28Apr200205:02:35GMT..Location:/IISSamples/Default/welcom*-98[Unknown]*-00[Unknown]*-12abc*-20[Unknown]*-35[Unknown]*-46[Unknown]*-48[Unknown]*+50 |___80WorldWideWebHTTP |___HTTP/1.0200OK..Pragma:no-cache..Content-type:text/html<HTML><HEAD><TITLE>AccessDenied</TITLE></HEAD>..<BODY><H1>Access*-52其中后有[Unknown]，是安有防火墻的機器，只能確定機器在網(wǎng)絡(luò)中活動著，但沒有更具體的信息.還有一個功能十分強大的工具，它是一個集成的一個綜合工具.SolarWinds公司出的Networkmanagementtools.其中的IPBROWSER大家能聽說過吧.它以快速的掃射，功能的強大，被廣泛地使用著.■端口掃描對策檢測：攻擊者們通常使用端口掃描來確定遠程系統(tǒng)上監(jiān)聽著的TCP和UDP端口.檢測端口掃描對于搞清某次攻擊可能在何時發(fā)生以及何人發(fā)起是首要的.有很多用于檢測端口掃描的工具，如SNORT（）可以檢測端口若懸企圖.預(yù)防：雖然難以防止別人對你的系統(tǒng)發(fā)起端口掃描這樣的探測，通過禁止所有不必要的服務(wù)卻可以把自己的暴露程度降到最低.對于WINDOWS2000應(yīng)該禁止所有不必要的服務(wù).因為用默認方式安裝時有很多無用的服務(wù)被默認開啟了，當(dāng)你認為你的主機很安全的同時，可能你的主機中的用戶中正多了一個系統(tǒng)管理員.操作系統(tǒng)檢測我們執(zhí)行端口掃描的第一個目的是標(biāo)識目標(biāo)系統(tǒng)上監(jiān)聽著的TCP和UDP端口.第二個目的就是確定所掃描系統(tǒng)的操作系統(tǒng)類型.也可以從諸如FTP（文件傳輸協(xié)議）、Telnet（遠程登陸）、SMTP（簡單郵件傳輸協(xié)議）、HTTP（超文本傳輸協(xié)議）、POP（郵件傳輸協(xié)議）等服務(wù)中取得信息.如，WINDOWS2000的WEB服務(wù)為IIS5.0、WINDOWSNT的WEB服務(wù)為IIS4.0、LINUX的WEB服務(wù)為apach.我們能夠處置的兩個最精確的工具是萬能的NMAP，它們都提供了TCP協(xié)議棧指紋鑒別能力.協(xié)議棧指紋鑒別是一個極其強大的技術(shù)，能夠以很高的概率迅速確定每臺主機的操作系統(tǒng).從原理上講，不同廠家的IP協(xié)議棧實現(xiàn)之間存在許多細微差別，也就是說各個廠家在編寫自己的TCP/IP協(xié)議棧時，通常對特定的RFC指南作出不同的解釋.因此通過探測這些差異，我們就能對目標(biāo)系統(tǒng)所用的準(zhǔn)確操作系統(tǒng)明智地加以猜測.為達到最大的可靠性，協(xié)議棧指紋鑒別通常要求目標(biāo)系統(tǒng)至少有一個鑒聽著的端口.即使沒有端口打開著，nmap也能明智地猜測所用的操作系統(tǒng)，不過其準(zhǔn)確度會相當(dāng)?shù)?FIN探測分組往某個打開著的端口發(fā)送一個FIN分組.按照RFC793，正確的行為是不作響應(yīng)；然而許多協(xié)議棧的實現(xiàn)（例如在WINDOWS上）會響應(yīng)一個FIN/ACK分組.假標(biāo)志探測分在某個SYN分組的TCP頭部設(shè)置一個未定義過的TCP標(biāo)志.某些操作系統(tǒng)（例如LINUX）會在其響應(yīng)分節(jié)中也設(shè)置該標(biāo)志.初始序列號采樣其基本前提是找出TCP實現(xiàn)中在響應(yīng)一個連接請求時所選擇的初始序列號中存在的模式.“不要分片位”監(jiān)視某些操作系統(tǒng)會設(shè)置IP頭部的“不要分片位”以改善性能.監(jiān)視該位可以判定目標(biāo)系統(tǒng)是否屬于表現(xiàn)出這種行為的操作系統(tǒng).TCP初始窗口大小跟蹤返送分組上設(shè)置的初始窗口大小.就某些協(xié)議棧實現(xiàn)來說，這個大小是獨特的，可極大地增強指紋鑒別機制的準(zhǔn)確度.ACK值不同IP協(xié)議棧實現(xiàn)在ACK分組序列號值的選擇上也存在差異，有些實現(xiàn)發(fā)送回所確認TCP分組的序列號，其他實現(xiàn)則發(fā)送回所確認TCP分組的序列號加1.ICMP出錯消息抑制有些操作系統(tǒng)會遵循RFC1812（/rfc/rfc1812.txt）限制發(fā)送ICMP出錯消息的速率.通過往某個隨機選定的高編號端口發(fā)送UDP分組，有可能統(tǒng)計出在某個給定時間段內(nèi)接收到的不可達出錯消息的數(shù)目.ICMP消息引用當(dāng)碰到需發(fā)送ICMP出錯消息的情況時，不同操作系統(tǒng)在引用網(wǎng)絡(luò)分組的信息量上存在差異.通過檢查所引用的消息，有可能就目標(biāo)操作系統(tǒng)作出些假設(shè).ICMP出錯消息回射完整性 某些協(xié)議棧實現(xiàn)在發(fā)送回ICMP出錯消息時會修改所引用的IP頭部.通過檢查對IP頭部所作的改動類型，有可能就目標(biāo)操作系統(tǒng)作出些假設(shè).服務(wù)類型 就“ICMPportunreachable(ICMP端口不可達)“消息檢查其TOS字段.大多數(shù)協(xié)議棧實現(xiàn)使用0，但也可能有變化.片段處理 不同的協(xié)議棧實現(xiàn)在對重疊的片段的處理上存在差異.在重組各個片段時，有些協(xié)議棧實現(xiàn)會用后到的新數(shù)據(jù)覆寫先到的舊數(shù)據(jù)，或者相反.通過檢查目標(biāo)系統(tǒng)如何重組探測分組，有可能就目標(biāo)操作系統(tǒng)作出些假設(shè).TCP選項 TC選項由RFC793和更新的RFC1323（/rfc/rfc1323.txt）定義.由RFC1323定義的較高級的選項往往在最新的各個協(xié)議棧實現(xiàn)中加入.通過發(fā)送設(shè)置了多個選取項的TCP分組.有可能就目標(biāo)操作系統(tǒng)作出些假設(shè).TCP選項的例子有：無操作、最大段大小、窗口規(guī)模因子、時間戳等.■操作系統(tǒng)檢對策檢測：通過端口掃描檢測工具可用來監(jiān)視操作系統(tǒng)檢測活動.能檢測具有特定選項的掃描，譬如說設(shè)置了SYN標(biāo)志.預(yù)防：通過修改操作系統(tǒng)源代碼或改動某個操作系統(tǒng)參數(shù)來達到改變單個獨特的協(xié)議棧指紋特征的目的是可能是；然而這么做可能對操作系統(tǒng)的功能造成不利的影響.被動協(xié)議棧指紋鑒別被動協(xié)議棧指紋與主動協(xié)議棧指紋很相似，但是，它不是向目標(biāo)系統(tǒng)發(fā)送分組，攻擊者只是被動地監(jiān)測網(wǎng)絡(luò)通信，以確定所用的操作系統(tǒng).因此，通監(jiān)控不同系統(tǒng)之間網(wǎng)絡(luò)包的情況，，主可以確定網(wǎng)絡(luò)上的操作系統(tǒng).被動簽名：有各種不同的簽名可用于標(biāo)識一個操作系統(tǒng)，不過，我們只將討論集中在幾個和TCP/IP會話有關(guān)的屬性上：■TTL操作系統(tǒng)對外出包的TTL（Time–to–Live）設(shè)置是什么？■窗口大小操作系統(tǒng)設(shè)置的窗口大小是什么？■DF操作系統(tǒng)設(shè)置了“Don’tFragment”（不分片）位嗎？■TOS操作系統(tǒng)是否設(shè)置了服務(wù)類型，如果有，是什么？通過被動地分析每種屬性，并將結(jié)果與已知的屬性庫進行比較，就可以決定遠程操作系統(tǒng).當(dāng)然這種方法并不能保證每次有正確的回答，但如果各個屬性組起來，結(jié)果就相對可靠得多.例：PING命令來檢查要到達的目標(biāo)IP地址并記錄結(jié)果.ping命令顯示目標(biāo)是否響應(yīng)以及接收答復(fù)所需的時間.如果在傳遞到目標(biāo)過程中有錯誤，ping命令將顯示錯誤消息.ICMPECHO(Type8)和ECHOReply(Type0)我們使用一個ICMPECHO數(shù)據(jù)包來探測主機地址HOSTB是否存活（當(dāng)然在主機沒有被配置為過濾ICMP形式）通過簡單的發(fā)送一個ICMPECHO(Type8)數(shù)據(jù)包到目標(biāo)主機如果ICMPECHOReply(ICMPtype0)數(shù)據(jù)包HOSTA可以接受到，說明主機是存活狀態(tài).如果沒有就可以初步判斷主機沒有在線或者使用了某些過濾設(shè)備過濾了ICMP的REPLY.

++

||

|++++|

|||ICMPEchoRequest|||

||HOST|>|HOST||

||||||

||A||B||

|||<|||

|||ICMPEchoReply|||

|++++|

||

++

這種機制就是我們通常所用的ping命令來檢測目標(biāo)主機是否可以ping到.

典型的例子

C:\>ping

Pingingwith32bytesofdata:

Replyfrom:bytes=32time<10msTTL=128

Replyfrom:bytes=32time<10msTTL=128

Replyfrom:bytes=32time<10msTTL=128

Replyfrom:bytes=32time<10msTTL=128

Pingstatisticsfor:

Packets:Sent=4，Received=4，Lost=0(0%loss)，

Approximateroundtriptimesinmilli-seconds:

Minimum=0ms，Maximum=0ms，Average=0ms

二、注意TTL

TTL：生存時間

指定數(shù)據(jù)報被路由器丟棄之前允許通過的網(wǎng)段數(shù)量.

TTL是由發(fā)送主機設(shè)置的，以防止數(shù)據(jù)包不斷在IP互聯(lián)網(wǎng)絡(luò)上永不終止地循環(huán).轉(zhuǎn)發(fā)IP數(shù)據(jù)包時，要求路由器至少將TTL減小1.

使用PING時涉及到的ICMP報文類型

一個為ICMP請求回顯（ICMPEchoRequest）

一個為ICMP回顯應(yīng)答（ICMPEchoReply）

三、TTL字段值可以幫助我們識別操作系統(tǒng)類型.

UNIX及類UNIX操作系統(tǒng)ICMP回顯應(yīng)答的TTL字段值為255

CompaqTru645.0ICMP回顯應(yīng)答的TTL字段值為64

微軟WindowsNT/2K操作系統(tǒng)ICMP回顯應(yīng)答的TTL字段值為128

微軟Windows95操作系統(tǒng)ICMP回顯應(yīng)答的TTL字段值為32

當(dāng)然，返回的TTL值是相同的

但有些情況下有所特殊

LINUXKernel2.2.x&2.4.xICMP回顯應(yīng)答的TTL字段值為64

FreeBSD4.1，4.0，3.4;

SunSolaris2.5.1，2.6，2.7，2.8;

OpenBSD2.6，2.7，

NetBSD

HPUX10.20

ICMP回顯應(yīng)答的TTL字段值為255

Windows95/98/98SE

WindowsME

ICMP回顯應(yīng)答的TTL字段值為32

WindowsNT4WRKS

WindowsNT4Server

Windows2000

ICMP回顯應(yīng)答的TTL字段值為128

這樣，我們就可以通過這種方法來辨別

操作系統(tǒng)TTL

LINUX64

WIN2K/NT128

WINDOWS系列32

UNIX系列255

經(jīng)過測試的操作系統(tǒng)如下:

LINUXKernel2.2.x，Kernel2.4t1-6;FreeBSD4.1，4.0，3.4;OpenBSD2.7，2.6;NetBSD

1.4.2;SunSolaris2.5.1，2.6，2.7，2.8;HP-UX10.20，11.0;AIX4.1，3.2;Compaq

Tru645.0;Irix6.5.3，6.5.8;BSDIBSD/OS4.0，3.1;Ultrix4.2-4.5;OpenVMS7.1-2;

Windows95/98/98SE/ME;WindowsNT4WorkstationSP3，SP4，SP6a;WindowsNT4

ServerSP4;Windows2000Professional，Server，AdvancedServer.

ICMP報文的類型包括如下：

ECHO(Request(Type8)，Reply(Type0))--回顯應(yīng)答，

TimeStamp(Request(Type13)，Reply(Type14))--時間戳請求和應(yīng)答，

Information(Request(Type15)，Reply(Type16))--信息請求和應(yīng)答，

AddressMask(Request(Type17)，Reply(Type18))--地址掩碼請求和應(yīng)答等

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

附:轉(zhuǎn)到20cn之前，再加點吧，都是copy別人的，侵犯版權(quán)的話一定要和MM說哦

首先要提一下TTL到底是什么東西，有的初學(xué)者可能不知道TTL是什么，大蝦們對不住了.

TTL（生存時間）

TTL是IP協(xié)議包中的一個值，它告訴網(wǎng)絡(luò)路由器包在網(wǎng)絡(luò)中的時間是否太長而應(yīng)被丟棄.有很多原因使包在一定時間內(nèi)不能被傳遞到目的地.例如，不正確的路由表可能導(dǎo)致包的無限循環(huán).一個解決方法就是在一段時間后丟棄這個包，然后給發(fā)送者一個報文，由發(fā)送者決定是否要重發(fā).TTL的初值通常是系統(tǒng)缺省值，是包頭中的8位的域.TTL的最初設(shè)想是確定一個時間范圍，超過此時間就把包丟棄.由于每個路由器都至少要把TTL域減一，TTL通常表示包在被丟棄前最多能經(jīng)過的路由器個數(shù).當(dāng)記數(shù)到0時，路由器決定丟棄該包，并發(fā)送一個ICMP報文給最初的發(fā)送者.

Windows95/98中TTL的缺省值為32.有人建議當(dāng)?shù)竭_一個節(jié)點比較困難時，把此值設(shè)為128.ping和tracerouter都使用TTL值以嘗試到達給定的主機或跟蹤到那個主機的路由.traceroute把包的TTL值設(shè)得較小，使它在到達目的的路上被各個路由器連續(xù)的丟棄.發(fā)出包到受到返回的ICMP報文之間的時間用來計算從一個路由器到另一個路由器的時間.

使用多路復(fù)用的IP協(xié)議，TTL值表示一個包被轉(zhuǎn)發(fā)的范圍.有以下轉(zhuǎn)換：0，限制在同一主機1，限制在同一子網(wǎng)32，限制在同一節(jié)點64，限制在同一區(qū)域（region）128，限制在同一大陸（continent）255，

一般ping出來的TTL值不完全都是以上文章所提的數(shù)字，對這個還有很多爭議，有一種說法就是:

TTL=244的時候就是說你發(fā)一個數(shù)據(jù)到你PING的地址只間要通過11個路游器.如果TTL=126的話就是中間要通過2個路游器

如果接近255的話就是UNIX系統(tǒng)

如果接近128的話就是WINDOWS系統(tǒng)

僅供參考，我覺得從理論上說是正確的，還是請大家自己思考.再加一句，TTL值是可以修改的.

■被動操作系統(tǒng)檢測對策與操作系統(tǒng)檢測對策同.四、自動發(fā)現(xiàn)工具有助于網(wǎng)絡(luò)發(fā)現(xiàn)的可用工具已有不少，而且還在不斷涌現(xiàn).■自動發(fā)現(xiàn)工具對策檢測這些攻擊的同樣技巧的同樣技巧也適用于檢測自動工具的發(fā)現(xiàn)活動.三．查點假設(shè)一開始的目標(biāo)探測和非入侵性勘察沒有找到任何真接的入侵路途，攻擊者就會轉(zhuǎn)向標(biāo)識有效的用戶賬號或保護不當(dāng)?shù)墓蚕碣Y歷源.從系統(tǒng)中抽取有效的賬號或?qū)С鲑Y源名過程稱為查點（enumeration）.攻擊者查瞇的信息類型大體上可歸為以下幾類：a.網(wǎng)絡(luò)資源和共享資源b.用戶和用戶組c.服務(wù)器程序及其旗標(biāo)下面介紹一下win2000的查點：a.空會話：windowsNT/2000有一個致命弱點，即它對CIFS/SMB和NetBIOS的缺省信賴.CIFS/SMB和平共處NetBIOS標(biāo)準(zhǔn)包括了一些API，這些API通過TCP端口139可以返回機器的大量信息，基至把這些信息返回給未認證的用戶.假設(shè)通過前面的端口掃描已經(jīng)知道TCP端口139正在監(jiān)聽，那么遠程訪問這些API的第一步是通過所謂的“空會話”命令在一個未經(jīng)過認證的用戶和一個NT/2000系統(tǒng)之間創(chuàng)建連接.Netuse\\3\ICP$””/u:““這條命令的意思是連接IP地址為3的隱藏的內(nèi)部處理的通信者”share“(IPC$)，把它作為內(nèi)置的匿名用戶（/u:“”），密碼為空.如果連接成功，攻擊者就擁有了一條開放通道，通過這條通道，攻擊者可以嘗試各種技術(shù)并盡可能地掠奪信息：網(wǎng)絡(luò)信息、共享資源、用戶、群組、注冊表等.空會話的對策：選中網(wǎng)絡(luò)連接小應(yīng)用程序的高級TCP/IP設(shè)置的WINS標(biāo)簽的DisableNetBIOSOverTCP/IP選項即可.b.NT/2000網(wǎng)絡(luò)資源查點：1．利用netview查點NT/2000域netview命令是一個很好的內(nèi)部創(chuàng)建的查點工具，也是一種非常簡單的NT/2000命令行實用工具，它列出了網(wǎng)絡(luò)上可使用的域和域中的所有機器.如圖2．使用nbtstat命令轉(zhuǎn)儲NetBIOS名字表另一個很好的嵌入工具是nbtstat，它可以提取遠程系統(tǒng)的NetBIOS名字表.名字表中包括了很多信息.如圖表格SEQ表格\*ARABIC2NetBIOS代碼來源<computername>[00]WorkstationService<domainname>[00]DomainName<computername>[03]MessengerService(formessagessenttothiscomputer)<username>[00]MessengerService(formessagessenttothisuser)<computername>[20]ServerService<domainname>[1D]MasterBrowser<domainname>[1E]BrowserServiceElections<domainname>[1B]DomainMasterBrowserNetBIOS查點對策：最好的方法是在路由器，防火墻或其他網(wǎng)絡(luò)關(guān)口進行阻塞.c.NT/2000SMMP查點即使你很嚴(yán)格的限制了對NetBIOS服務(wù)的訪問，如果你的NT/2000系統(tǒng)上的簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）代理可以通過缺省的公共串（例如：public）訪問，那么敏感信息仍然可能被泄露.如圖第二部分攻擊系統(tǒng)一、攻擊win98由于win98是為個人用戶設(shè)計的，它幾乎沒有提供什么網(wǎng)絡(luò)服務(wù)（除了PWS）.所以這也給想占有win98的人增加了難度，再則，作為一個個人系統(tǒng)，里面的內(nèi)容當(dāng)然也不值得黑客們?nèi)ベM力地破解.占有win98有兩種方法：一、欺騙該系統(tǒng)的操作員執(zhí)行他們期望的代碼；二、要么物理上接觸該系統(tǒng)的控制臺.Win98提供三個直接訪問遠程系統(tǒng)的機制：文件和打印共享、可選的撥號服務(wù)以及遠程注冊表操縱.其中的遠程注冊表訪問要求相當(dāng)高級的定制和用戶級安全，因而在目標(biāo)公司局域網(wǎng)以外的系統(tǒng)上很少能做到.攻擊Windows98文件和打印共享：可能用來掃描網(wǎng)絡(luò)以發(fā)現(xiàn)windows硬盤共享資源的一些工具和技巧，并指出其中一些具有在潛在入口點嘗試猜測密碼的能力.有一個Legion的工具.該工具能以在某個文本文件中提供的密碼試猜，并自動映射猜對的密碼.攻擊者可能造成的危害取決于當(dāng)前已共享的目錄.這些目錄上可能有關(guān)鍵的文件，有些用戶甚至可能把整個根分區(qū)都共享了，從而給攻擊者帶來方便.他們能夠簡單地把目的不正當(dāng)?shù)目蓤?zhí)行文件植入%systemroot%\StartMenu\Programs\Startup中.到下一次重啟系統(tǒng)時，這些代碼就會自動加載執(zhí)行.文件共享攻擊對策：解決這個問題很容易，把win98機器上的文件共享屬性關(guān)掉就行.建議使用系統(tǒng)策略編輯器(poledit.exe)跨所有系統(tǒng)禁止文件和打打印共享屬性.Win98拒絕服務(wù)：拒絕服務(wù)型攻擊是幾近絕望的破壞者的最后一招：有能力發(fā)送病態(tài)地構(gòu)造的網(wǎng)絡(luò)分組，導(dǎo)致win98系統(tǒng)崩潰的程序非常之多.如：WinNuke.這些工具很輕松的讓你的win98藍屏、死機、重啟.拒絕服務(wù)對策：建議安裝一個個人防火墻.內(nèi)存中的win98密碼：加密過的win98密碼清單即PWL文件可在系統(tǒng)根目錄下找到（通常為C：\Windows）.這些文件按該系統(tǒng)上每個用戶的初始定制文件命名，因此驅(qū)動器A中的軟盤上執(zhí)行如下命令的一個簡單批處理文件（BAT文件）可用于攫取大部分PWL文件：copyc:\Windows\*.pwla:PWL文件實際上只是一個用于訪問以下網(wǎng)絡(luò)資源的一個高速緩存的密碼清單：由共享級安全機制保護的資源編寫成用到密碼高速緩存API（應(yīng)用程序編程接口）的應(yīng)用程序.沒有加入任何NT域的Windows計算機不是PrimaryNetworkLogon的ＷindowsNT登錄密碼對策：保護ＰＷＬ文件：對于真正關(guān)心這個問題的管理員來說，Win98的系統(tǒng)策略編輯器（SystemPolicyEditor）可用來禁止密碼高速緩存，辦法是把以下ＤＷＯＲＤ類型注冊表鍵他建/設(shè)置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching=1二、攻擊Win20001．密碼猜測有一些簡單的工具，可以讀出win2000的用戶賬號，這就大大方便了黑客們的攻擊.因為在這個基礎(chǔ)上，很容易有目的地對相應(yīng)賬號進行猜測，由于大多數(shù)網(wǎng)絡(luò)管理員的大意，用一些不鍵壯的寬密碼，使黑客們在猜測時準(zhǔn)確率很好.以下是一些常見的用戶/密碼“高頻組合”.表格SEQ表格\*ARABIC3用戶名密碼AdministratorNULL，password，administratoTestTest，passwordLabLab，passwordUsernameUsername，company_nameBackupbackup下面為userinfo.exe獲取的一臺2000上的用戶名：***Alluseraccounts:***Account:Administrator ()#ofLogins:112UserLevel:Administrator (Flags:66049)Primarygroup:DomainUserPasswordage:79daysLastlogon:TueJun0419:08:272002Comment:Groupmemberof:Administrators，Additionalaccountinformations:-PasswordneverExpireAccount:cw1 (jwc)#ofLogins:1UserLevel:NormalUser (Flags:66113)Primarygroup:DomainUserPasswordage:13daysLastlogon:FriMay2413:36:402002Comment:Groupmemberof:Users，Additionalaccountinformations:-Theusercannotchangethepassword.-PasswordneverExpireAccount:cw2 (cw2)#ofLogins:0UserLevel:NormalUser (Flags:66113)Primarygroup:DomainUserPasswordage:95daysLastlogon:FriApr1221:28:462002Comment:Groupmemberof:Users，Additionalaccountinformations:-Theusercannotchangethepassword.-PasswordneverExpireAccount:gaohan (gaohan)#ofLogins:0UserLevel:Administrator (Flags:66113)Primarygroup:DomainUserPasswordage:78daysLastlogon:TueMar0509:32:422002Comment:gaohanlncceducnGroupmemberof:Administrators，Users，Additionalaccountinformations:-Theusercannotchangethepassword.-Pa