《信息安全原理與實踐教程》課件第11章

第11章端口掃描與網(wǎng)絡(luò)偵聽

11.1概述11.2SSS端口掃描實驗11.3Sniffer網(wǎng)絡(luò)偵聽實驗——捕獲并分析數(shù)據(jù)11.4小結(jié)11.1概述

11.1.1端口掃描所謂端口掃描，就是對目標(biāo)計算機(jī)進(jìn)行端口掃描，能得到許多有用的信息。進(jìn)行掃描的方法很多，可以用手工進(jìn)行掃描，也可以用端口掃描軟件進(jìn)行。在手工進(jìn)行掃描時，需要熟悉各種命令，對命令執(zhí)行后的輸出進(jìn)行分析；用掃描軟件進(jìn)行掃描時，許多掃描器軟件都有分析數(shù)據(jù)的功能。通過端口掃描，可以得到許多有用的信息，從而發(fā)現(xiàn)系統(tǒng)的安全漏洞。端口掃描程序?qū)τ谙到y(tǒng)管理人員，是一個非常簡便實用的工具。端口掃描程序可以幫助系統(tǒng)管理員更好地管理系統(tǒng)與外界的交互。當(dāng)系統(tǒng)管理員掃描到Finger服務(wù)所在的端口號(79/tcp)時，假如原來端口是關(guān)閉的，現(xiàn)在又被掃描到，則說明有人非法取得了系統(tǒng)管理員的權(quán)限，改變了inetd.conf文件中的內(nèi)容。因為這個文件只有系統(tǒng)管理員可以修改，這說明系統(tǒng)的安全正在受到侵犯。

最簡單的端口掃描程序僅僅是檢查一下目標(biāo)主機(jī)在哪些端口可以建立TCP連接。如果可以建立連接，則說明該主機(jī)在那個端口監(jiān)聽。當(dāng)然，這種端口掃描程序不能進(jìn)一步確定端口提供什么樣的服務(wù)，也不能確定該服務(wù)是否有眾所周知的那些缺陷。對于非法入侵者而言，要想知道端口上具體是什么服務(wù)，必須用相應(yīng)的協(xié)議來驗證才能確定。因為一個服務(wù)進(jìn)程總是為了完成某種具體的工作而設(shè)定的，比如說，文件傳輸服務(wù)有文件傳輸?shù)囊惶讌f(xié)議，客戶端只有按照這個協(xié)議提供正確的命令序列，才能完成正確的文件傳輸服務(wù)。使用端口掃描器對目標(biāo)系統(tǒng)執(zhí)行端口掃描時至少能達(dá)到以下目的：標(biāo)識運行在目標(biāo)系統(tǒng)上的TCP和UDP服務(wù)；標(biāo)識目標(biāo)系統(tǒng)的操作系統(tǒng)類型；標(biāo)識特定應(yīng)用程序或特定服務(wù)的版本。常見的掃描方法有TCPConnect()、TCPSYN、TCPFIN、TCPACK及UDP掃描等。11.1.2網(wǎng)絡(luò)偵聽所謂網(wǎng)絡(luò)偵聽，是指利用先進(jìn)的技術(shù)和手段，發(fā)現(xiàn)和捕獲網(wǎng)絡(luò)設(shè)備上傳輸?shù)膱笪牡刃畔?，它是主機(jī)的一種工作模式。在這種模式下，主機(jī)可以接收本網(wǎng)段內(nèi)在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接收方是誰。此時，如果兩臺主機(jī)進(jìn)行通信的信息沒有被加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具，就可以輕而易舉地截取包括口令和帳號在內(nèi)的信息資料。目前應(yīng)用非常廣泛的一類偵聽軟件是通用網(wǎng)絡(luò)公司開發(fā)的Sniffer程序。由于通用網(wǎng)絡(luò)公司在市場上的主導(dǎo)地位，Sniffer這個詞越來越流行，逐漸成為這一類產(chǎn)品的代名詞，以后的所有協(xié)議分析程序都被稱為Sniffer。

Sniffer只能捕獲本機(jī)網(wǎng)絡(luò)接口上所能接收到的報文。因此，要使嗅探器能捕獲該網(wǎng)段上所有的包，其工作前提是：●網(wǎng)絡(luò)中使用的是共享式的HUB；●本機(jī)的網(wǎng)卡需要設(shè)為混雜模式；●本機(jī)上安裝有處理接收來的數(shù)據(jù)的嗅探軟件。可見，Sniffer工作在網(wǎng)絡(luò)環(huán)境的底層，它會捕獲所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，可以實時分析這些數(shù)據(jù)的內(nèi)容，通過對這些數(shù)據(jù)的分析獲得所處網(wǎng)絡(luò)的狀態(tài)和整體布局。

Sniffer的正當(dāng)用處是分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。Sniffer對系統(tǒng)管理員來說非常重要，網(wǎng)絡(luò)管理員通過Sniffer可以診斷出大量的不可見的模糊問題，這些問題涉及兩臺乃至更多臺計算機(jī)之間的異常通信，有些甚至涉及各種協(xié)議，借助于Sniffer系統(tǒng)，管理員可以方便地確定出多少的通信量屬于哪個網(wǎng)絡(luò)協(xié)議、占主要通信協(xié)議的主機(jī)是哪一臺、大多數(shù)通信目的地是哪臺主機(jī)、報文發(fā)送占用多長時間，或者主機(jī)相互間的報文傳送間隔時間等，這些信息為管理員查找網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。

由于Sniffer可捕捉網(wǎng)絡(luò)報文，甚至可以捕捉到網(wǎng)絡(luò)中傳輸?shù)目诹?、機(jī)密信息、專用信息并通過它獲得更高基本權(quán)限等，因此如果被非法利用，則會對網(wǎng)絡(luò)產(chǎn)生極大的安全威脅。11.2SSS端口掃描實驗

1.實驗?zāi)康谋緦嶒炌ㄟ^使用SSS(ShadowSecurityScanner)軟件進(jìn)行綜合掃描，學(xué)習(xí)如何發(fā)現(xiàn)計算機(jī)系統(tǒng)的安全漏洞，并對掃描結(jié)果進(jìn)行簡單的分析。

2.實驗環(huán)境多臺計算機(jī)構(gòu)成的局域網(wǎng)環(huán)境、Windows操作系統(tǒng)、ShadowSecurityScanner網(wǎng)絡(luò)掃描軟件、Sniffer網(wǎng)絡(luò)監(jiān)聽軟件。

3.SSS掃描目標(biāo)主機(jī)實驗

SSS掃描目標(biāo)主機(jī)實驗的步驟如下：第1步：第一次啟動SSS掃描時，系統(tǒng)會檢查所使用的SSS是不是最新版本，主界面如圖11.1所示。這時系統(tǒng)會出現(xiàn)5個掃描項目可供選擇，如表11.1所示。一般選用Scanner進(jìn)行主機(jī)掃描。單擊【Scanner】按鈕，進(jìn)入下一步。圖11.1SSS系統(tǒng)的主界面表11.1掃描項目列表第2步：在新任務(wù)向?qū)Ы缑嬷校?種掃描方式可供選擇，如表11.2所示，也可以單擊【Addrule】按鈕添加自己的掃描規(guī)則或者單擊【Editrule】按鈕來編輯已經(jīng)有的規(guī)則。如圖11.2所示，選擇“CompleteScan”選項，再單擊【Next】按鈕，進(jìn)入下一步。表11.26種掃描方式圖11.2選擇掃描方式第3步：在彈出的對話框中添加要掃描的主機(jī)，選擇【AddHost】選項，再單擊【Next】按鈕進(jìn)入下一步，如圖11.3所示。圖11.3添加掃描主機(jī)第4步：輸入待掃描主機(jī)的IP地址為192.168.0.158，單擊【OK】按鈕，如圖11.4所示。圖11.4輸入要掃描主機(jī)的IP地址第5步：回到主界面后可以看到已成功添加了目標(biāo)主機(jī)的IP地址，如圖11.5所示。圖11.5已成功添加IP地址第6步：右鍵單擊IP地址，選擇“Startscan”選項，則開始掃描目標(biāo)主機(jī)，如圖11.6所示。圖11.6開始掃描第7步：掃描結(jié)果如圖11.7所示，可以根據(jù)不同顏色提示來查看不同安全級別的掃描結(jié)果。圖11.7查看掃描結(jié)果第8步：選中“WebServers”提示，則可以查看該項的詳細(xì)掃描結(jié)果，如圖11.8所示。圖11.8查看詳細(xì)結(jié)果

4.查看主機(jī)參數(shù)風(fēng)險級別實驗查看主機(jī)參數(shù)風(fēng)險級別的實驗步驟如下：第1步：在主界面中右鍵點擊空白處，選擇“Addhost”選項，如圖11.9所示。圖11.9添加主機(jī)第2步：在彈出的“Addhost”對話框中輸入要掃描的主機(jī)的IP地址為“192.168.0.137”，點擊【OK】按鈕，如圖11.10所示。

圖11.10輸入遠(yuǎn)程主機(jī)IP第3步：添加成功后，右鍵單擊IP地址，選擇“Startscan”選項，如圖11.11所示，則掃描開始。圖11.11掃描目標(biāo)主機(jī)第4步：掃描完成以后，可以看到高風(fēng)險級別，帳戶guest23的密碼竟然為空，如圖11.12所示。并且還發(fā)現(xiàn)guest23的用戶權(quán)限竟然是Administrator，如圖11.13所示。在這種情況下，入侵者可以使用guest23帳戶遠(yuǎn)程空連接的方法對這臺主機(jī)進(jìn)行入侵。圖11.12查看漏洞圖11.13查看用戶權(quán)限11.3Sniffer網(wǎng)絡(luò)偵聽實驗——捕獲并分析數(shù)據(jù)

11.3.1實驗?zāi)康睦镁W(wǎng)絡(luò)監(jiān)聽軟件Sniffer，捕獲接口上傳輸?shù)臄?shù)據(jù)報文，通過分析報文，完成相應(yīng)的操作。

11.3.2Sniffer簡介

SnifferPro是由NAI公司開發(fā)的一個功能強(qiáng)大的圖形界面嗅探器。它是目前唯一能夠為全部七層OSI網(wǎng)絡(luò)模型提供全面性能管理的工具。它的功能包括：●實時監(jiān)視網(wǎng)絡(luò)活動；●采集單個工作站、對話或者對網(wǎng)絡(luò)任何部分詳細(xì)的利用率和錯誤統(tǒng)計數(shù)據(jù)；●保存歷史利用率和錯誤信息，以進(jìn)行原始分析；●生成實時的聲光警報；●檢測到故障時通知網(wǎng)絡(luò)管理員；●捕獲網(wǎng)絡(luò)通信量，以進(jìn)行詳細(xì)的數(shù)據(jù)包分析；●接收專家系統(tǒng)對網(wǎng)絡(luò)通信量的分析；●用有效的工具探索網(wǎng)絡(luò)，以模擬通信量測量響應(yīng)時間、統(tǒng)計躍點數(shù)和排除故障。

在進(jìn)行流量捕獲之前，首先要選擇網(wǎng)絡(luò)適配器，確定從計算機(jī)的哪個網(wǎng)絡(luò)適配器上接收數(shù)據(jù)。運行SnifferPro，執(zhí)行“File”→“selectsettings”菜單命令，在打開的對話框中選擇需要監(jiān)視的網(wǎng)絡(luò)適配器，如圖11.14所示。圖11.14“設(shè)置”對話框11.3.3Sniffer捕獲報文實驗

1)捕獲面板報文捕獲功能可以在報文捕獲面板中進(jìn)行，圖11.15是捕獲面板的功能圖，圖中顯示的是處于開始狀態(tài)的面板。

圖11.15報文捕獲面板

2)統(tǒng)計捕獲報文在捕獲過程中可以通過圖11.16所示的面板查看捕獲報文的數(shù)量和緩沖區(qū)的利用率。

圖11.16捕獲報文信息統(tǒng)計

3)查看捕獲報文

SnifferPro軟件提供了強(qiáng)大的分析能力和解碼功能，如圖11.17所示。它對于捕獲的報文提供了一個Expert專家分析系統(tǒng)進(jìn)行分析，還有解碼選項、圖形和表格的統(tǒng)計信息。

圖11.17捕獲報文查看按鍵

(1)專家分析系統(tǒng)。專家分析系統(tǒng)提供了一個分析平臺，對網(wǎng)絡(luò)上的流量進(jìn)行了一些分析，對于分析出的診斷結(jié)果可以通過查看在線幫助獲得。圖11.18顯示出在網(wǎng)絡(luò)中WINS查詢失敗的次數(shù)及TCP重傳的次數(shù)統(tǒng)計等內(nèi)容，可以方便了解網(wǎng)絡(luò)中高層協(xié)議出現(xiàn)故障的可能點。對于某項統(tǒng)計分析可以通過鼠標(biāo)雙擊此條記錄來查看詳細(xì)統(tǒng)計信息，并且對于每一項都可以通過查看幫助來了解產(chǎn)生的原因。圖11.18專家分析系統(tǒng)

(2)解碼分析系統(tǒng)。圖11.19所示是對捕獲報文進(jìn)行解碼的顯示，通常分為三部分，即捕獲的報文、報文解碼和二進(jìn)制內(nèi)容。目前大部分此類軟件都采用這種結(jié)構(gòu)顯示。該軟件使用簡單，但如果需要使用解碼分析功能來解決問題，必須對各層協(xié)議了解得比較透徹，工具軟件只是提供一個輔助的手段。因涉及的內(nèi)容太多，這里不對協(xié)議進(jìn)行過多講解。圖11.19解碼分析系統(tǒng)對于MAC地址，Snffier軟件進(jìn)行了頭部的替換，如以00e0fc開頭的就替換成“Huawei”，這樣有利于了解網(wǎng)絡(luò)上各種相關(guān)設(shè)備的制造廠商信息。

(3)統(tǒng)計分析系統(tǒng)。統(tǒng)計分析系統(tǒng)對Matrix、HostTable、ProtocolDist、Statistics等提供了豐富的按照地址、協(xié)議等內(nèi)容進(jìn)行組合統(tǒng)計的方法。該系統(tǒng)比較簡單，可以通過操作很快掌握，這里就不再詳細(xì)介紹了。11.3.4Sniffer捕獲條件配置實驗執(zhí)行“Capture”→“DefineFilter”和“Display”→“DefineFilter”可以設(shè)置和顯示捕獲規(guī)則。

1)基本捕獲條件基本捕獲條件有兩種，如圖11.20所示。

圖11.20基本捕獲條件

(1)鏈路層捕獲。鏈路層捕獲按源MAC和目的MAC地址進(jìn)行捕獲，輸入方式為十六進(jìn)制連續(xù)輸入，如00E0FC123456。

(2)?IP層捕獲。IP層捕獲按源IP和目的IP進(jìn)行捕獲。輸入方式為點間隔方式，如10.107.1.1。如果選擇IP層捕獲條件，則ARP等報文將被過濾掉。

2)高級捕獲條件在“Advance”頁面下，可以編輯協(xié)議捕獲條件，如圖11.21所示。圖11.21高級捕獲條件編輯圖在協(xié)議選擇樹中可以選擇需要捕獲的協(xié)議條件，如果什么都不選，則表示忽略該條件，捕獲所有協(xié)議；在捕獲幀長度條件下，可以選擇捕獲等于、小于、大于某個值的報文；在錯誤幀是否捕獲欄，可以選擇當(dāng)網(wǎng)絡(luò)上有如下錯誤時是否捕獲；選擇保存過濾規(guī)則條件按鈕【Profiles】，可以將當(dāng)前設(shè)置的過濾規(guī)則進(jìn)行保存，在捕獲主面板中，可以選擇保存的捕獲條件。

3)任意捕獲條件在“DataPattern”下，可以編輯任意捕獲條件，如圖11.22所示。圖11.22任意捕獲條件編輯圖11.3.5Sniffer發(fā)送報文實驗

1)編輯報文發(fā)送

Sniffer可以對發(fā)送的報文進(jìn)