目标系统信息收集技术2.ppt
《目标系统信息收集技术2.ppt》由会员分享,可在线阅读,更多相关《目标系统信息收集技术2.ppt(192页珍藏版)》请在三一文库上搜索。
1、第二章 目标系统信息收集技术,1)信息采集及其内容 2)信息采集的基本原理和技术 3)信息采集常用的工具 4)交换式网络上的嗅探 5)嗅探器的检测与防范,2.1 信息采集的定义与内容,1、黑客攻击的基本原则: 从不进入自己不了解的系统 2、什么是信息采集? 对目标主机、目标网络、相关的系统管理人员进行非公开的检测,全面收集目标系统的信息。,2.1 信息采集的定义与内容,3、信息采集的内容 1)目标主机信息 主机的物理位置、IP地址、主机名; 操作系统类型、版本号; 主机开放的端口和服务; 主机上的用户列表及用户账号的安全性,例如是否存在弱口令、默认用户的口令等; 系统的配置情况。例如系统是否禁
2、止root远程登录,SMTP服务器是否支持decode别名等; 系统安全漏洞检测信息,2.1 信息采集的定义与内容,3、信息采集的内容 2)目标网络信息 目标网络的拓扑结构; 网络中网关、防火墙、入侵检测系统等设备的部署情况; 网络中的路由器、交换机的配置情况,例如路由器的路由算法,交换机是否支持“转发表”的动态更新等,2.1 信息采集的定义与内容,3、信息采集的内容 3)目标系统的其他信息 系统运行的作息制度(例如:何时开机、何时关机); 系统管理员素质(教育背景、家庭背景)、习惯等。,2.2 信息采集的基本原理和技术,1、IP地址扫描 1)主机IP地址的获取,网站名称搜索引擎Ping主机,
3、2.2 信息采集的基本原理和技术,1、IP地址扫描 1)主机IP地址的获取,利用nslookup,查询DNS服务器,2.2 信息采集的基本原理和技术,1、IP地址扫描 2)查询在线主机,PING扫射,Internet,集线器,黑客主机,Ping扫射,2.2 信息采集的基本原理和技术,1、IP地址扫描 2)查询在线主机,向目标主机 发送错误的IP包,2.2 信息采集的基本原理和技术,1、IP地址扫描 2)查询在线主机,透过防火墙查询在线主机,2.2 信息采集的基本原理和技术,2、端口扫描 1)端口的基本概念,端口是传输层协议为了识别同一主机上不同应用程序进程而引入的一个概念。,2.2 信息采集的
4、基本原理和技术,2、端口扫描 1)端口的基本概念,一个端口占16个比特位,一台主机可供分配的端口数为216-1 = 65535个。,2.2 信息采集的基本原理和技术,2、端口扫描 2)端口的管理和分配,端口由应用程序申请,操作系统同一管理和分配; 一个应用程序会占用1个或多个端口。,)公认端口(Well Known Ports) 01023的端口是公认的、知名的端口(Well Known Ports); 0255之间的端口由因特网名称与数字地址分配机构(ICANN)管理。,2.2 信息采集的基本原理和技术,2、端口扫描 2)端口的管理和分配,)注册端口(Registered Ports) 注册
5、端口主要用于服务器对外提供服务。端口范围:102449151。 )动态、私有端口 用于分配给用户编写的客户端应用程序。端口范围:4915265535。,2.2 信息采集的基本原理和技术,2、端口扫描 2)端口的管理和分配,常见的UDP知名端口,2.2 信息采集的基本原理和技术,2、端口扫描 2)端口的管理和分配,常见的TCP知名端口,2.2 信息采集的基本原理和技术,2、端口扫描 3)端口扫描的原理和技术,端口扫描是向目标主机的TCP或UDP端口发送探测数据包,随后记录目标主机的响应。通过分析目标主机的响应来判断服务端口是打开还是关闭,据此推测目标主机端口提供的服务或信息。,发现一个主机或一个
6、网络; 发现主机上运行的服务和应用程序; 检测和发现系统漏洞。,2.2 信息采集的基本原理和技术,3)端口扫描的原理和技术,TCP连接扫描 TCP全连接扫描主要用于TCP端口的扫描,包括: TCP connect()扫描(TCP连接扫描) TCP反向ident扫描两种方式,TCP connect()扫描(TCP连接扫描),1201,时间,时间,4801,TCP connect()扫描(TCP连接扫描),s将要建立的会话套接口描述字; name 一个通用地址结构指针,指向一个缓冲区,用来存储服务器IP地址; namelen地址结构name的长度;,int connect( SOCKET s, s
7、truct sockaddr * name, int namelen);,TCP connect()扫描(TCP连接扫描),s传入参数,一个套接口的描述字; cmd 传入参数,对套接口s的操作控制命令。例如FIONBIO命令用于在套接口上允许或禁止非阻塞模式; argp传入参数,指向一个无符号整型常量。设置阻塞模式时,整型常量的值=0,设置非阻塞模式时,该值为一个非0的整型数。,int ioctlsocket(SOCKET s,long cmd,u_long FAR* argp),创建多个套接口 设置非阻塞工作模式,2.2 信息采集的基本原理和技术,3)端口扫描的原理和技术,TCP连接扫描 T
8、CP全连接扫描主要用于TCP端口的扫描,包括: TCP connect()扫描(TCP连接扫描),TCP connect扫描的优点:稳定可靠,不需要特殊的权限; 缺点:扫描方式不隐蔽,服务器日志会记录下大量密集的连接和错误记录 ,并容易被防火墙发现和屏蔽。,2.2 信息采集的基本原理和技术,3)端口扫描的原理和技术,TCP连接扫描 TCP反向ident扫描 Ident(Identification Protocol,标识协议)提供了一种方法,可以对建立TCP连接的用户身份进行标识; 该协议使用113端口,一旦建立连接,该服务就会读取指定TCP连接的查询数据,将拥有指定TCP连接的用户信息反馈给
9、对方; Ident 协议(RFC1413)允许通过TCP连接查询对方的任何进程的用户名,即使这个连接不是由该进程开始的,2.2 信息采集的基本原理和技术,3)端口扫描的原理和技术,TCP SYN 扫描(半连接扫描、间接扫描 ),优点:隐蔽性较全连接扫描好,一般系统对这种半扫描很少记录; 缺点:通常构造SYN数据包需要超级用户或者授权用户权限,才能调用系统的这项功能。,2.2 信息采集的基本原理和技术,3)端口扫描的原理和技术,TCP FIN 扫描,优点:由于这种技术不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而比SYN扫描隐蔽得多。,端口关闭:返回RST包 端口打开:丢弃、
10、不响应,2.2 信息采集的基本原理和技术,3)端口扫描的原理和技术,间接扫描,间接扫描原理,2.2 信息采集的基本原理和技术,3)端口扫描的原理和技术,间接扫描,2.2 信息采集的基本原理和技术,3)端口扫描的原理和技术,间接扫描,套接口选项设置函数 int setsockopt ( SOCKET s, int level, int optname, const char FAR * optval, int optlen );,s需要改变选项设置的套接字; level指定控制套接字的层次。 SOL_SOCKET:通用套接字选项; IPPROTO_IP:IP选项; IPPROTO_TCP:TCP
11、选项。 optname套接字选项的名称 optval一个指针。,2.2 信息采集的基本原理和技术,3)端口扫描的原理和技术,间接扫描,发送同步响应:返回RST 发送RST:不回应,2.2 信息采集的基本原理和技术,3)端口扫描的原理和技术,间接扫描,伪装主机响应的检测是利用了某些操作系统存在的IP标识(IPID)漏洞实现的。,Windows系统每发送一个数据包,其IPID字段的值会简单增加一个固定的数值; Linus、Solaris、OpenBSD等,它们通过随机数设置IPID。,2.2 信息采集的基本原理和技术,3)端口扫描的原理和技术,间接扫描,获取伪装主机的当前IPID,2.2 信息采集
12、的基本原理和技术,3)端口扫描的原理和技术,间接扫描,获取伪装主机的当前IPID,2.2 信息采集的基本原理和技术,3)端口扫描的原理和技术,ICMP 端口不可达扫描,3,2.2 信息采集的基本原理和技术,3)端口扫描的原理和技术,ICMP 端口不可达扫描,扫描速度慢 很多操作系统采用了RFC1812的建议:限制了ICMP差错报文的速率。 例如: Linux系统每4秒最多只允许发送80个目标不可达消息; Solaris每秒只允许发送2个目标不可达消息; Windows系统忽略了RFC1812的建议 可靠度差 需要root权限,2.2 信息采集的基本原理和技术,3)端口扫描的原理和技术,recv
13、from()和write() 扫描,sendto()数据报套接口数据发送 recvfrom()数据报套接口数据接受,2.2 信息采集的基本原理和技术,3、操作系统扫描,操作系统扫描大部分都是基于TCP/IP协议栈的指纹检测技术的。 主动探测 被动监听,2.2 信息采集的基本原理和技术,3、操作系统扫描,1)主动探测 根据端口扫描的结果判断 Windows系统:137、139、445等端口; Linux系统:512、513、514端口。,2.2 信息采集的基本原理和技术,3、操作系统扫描,1)主动探测 根据Banner信息判断,2.2 信息采集的基本原理和技术,3、操作系统扫描,1)主动探测 根
14、据TCP/IP协议栈的指纹判断 不同操作系统在实现TCP/IP协议时,会有细微的差别。通常,我们把这种独特的差别称为“TCP/IP协议栈的指纹”。,2.2 信息采集的基本原理和技术,3、操作系统扫描,根据TCP/IP协议栈的指纹判断 )初始化序列号,许多老的UNIX机器,其TCP初始化序列号采用“随机增量”的方式生成; Linux 2.0、新的AIX采用“真随机”生成TCP初始化序列号; Windows会采用一个“时间相关”的模型,每过一段时间ISN(初始化序列号)就被加上一个小的固定数。,2.2 信息采集的基本原理和技术,3、操作系统扫描,根据TCP/IP协议栈的指纹判断 )TCP头部保留位
15、的处理,TCP数据报的头部有6个保留位,一般置为0 ; 当客户端发送SYN报文时,如果保留位中第7、8两位被置为1,则低于2.0.35的Linux版本内核会在响应数据报中保持这个标记。,2.2 信息采集的基本原理和技术,3、操作系统扫描,根据TCP/IP协议栈的指纹判断 )对ICMP差错报文的响应,A,R,To Z,Destination unreachable,Send data to Z.,I do not know how to get to Z! Send ICMP.,网络不可达; 目标不可达; 超时错误; 数据报参数错,2.2 信息采集的基本原理和技术,2.2 信息采集的基本原理和技
16、术,3、操作系统扫描,根据TCP/IP协议栈的指纹判断 )对ICMP差错报文的响应,RFC 792标准规定:所有ICMP差错报文回复时都要包含引起差错的源报文的IP头部及64个字节的数据; RFC 1122标准允许数据达到576个字节。,2.2 信息采集的基本原理和技术,3、操作系统扫描,根据TCP/IP协议栈的指纹判断 )对ICMP差错报文的响应,有些操作系统根据RFC 1812的建议对某些类型的差错报告频率作了限制。,协议不可达 端口不可达,2.2 信息采集的基本原理和技术,3、操作系统扫描,根据TCP/IP协议栈的指纹判断 )对ICMP回显报文的响应,8,0,2.2 信息采集的基本原理和
17、技术,3、操作系统扫描,2)被动监听检测 根据TTL值判断,2.2 信息采集的基本原理和技术,3、操作系统扫描,2)被动监听检测 根据TTL值判断,根据TTL值判断 向一台主机发送Ping命令,C:ping 10.1.1.2 Pinging 10.1.1.2 with 32 bytes of data: Reply from 10.1.1.2: bytes=32 time10ms TTL=128 Reply from 10.1.1.2: bytes=32 time10ms TTL=128 Reply from 10.1.1.2: bytes=32 time10ms TTL=128 Reply
18、from 10.1.1.2: bytes=32 time10ms TTL=128 Ping statistics for 10.1.1.2: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms Windows 2000,根据TTL值判断 向一台主机发送Ping命令,C:ping 10.1.1.6 Pinging 10.1.1.6 with 32 bytes of
19、 data: Request timed out. Reply from 10.1.1.6: bytes=32 time=250ms TTL=237 Reply from 10.1.1.6: bytes=32 time=234ms TTL=237 Reply from 10.1.1.6: bytes=32 time=234ms TTL=237 Ping statistics for 10.1.1.6: Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-secon
20、ds: Minimum = 234ms, Maximum = 250ms, Average = 179ms Unix(Sun OS 5.8),2.2 信息采集的基本原理和技术,3、操作系统扫描,2)被动监听检测 根据滑动窗口的大小判定,2.2 信息采集的基本原理和技术,3、操作系统扫描,2)被动监听检测,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,网络拓扑结构探测是网络攻防研究的重点内容之一。 很多高校、企业、国际化组织都在致力于互联网拓扑结构发现技术的研究,例如: 国际性的组织CAIDA 美国Cornell大学 IBM、HP、Cisco(思科)等。 HP的网管软件Open Vie
21、w就具有一定的网络拓扑结构发现功能。,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,网络拓扑结构发现的主要任务 : 自动发现互联网的自治域; 探测一个自治域内局域网之间的连接关系;,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,探测局域网内服务器、交换机、网络安全设备的部署,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,ICMP响应分析 基于SNMP的拓扑发现 基于路由协议分析,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,1)ICMP响应分析,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,1)ICMP响应分析 利用ICMP回显请求广播,172
22、.16.255.255 (所有网络号为172.16的子网广播),172.16.1.0,172.16.2.0,172.16.3.0,172.16.4.0,172.16.3.255 (直接广播),255.255.255.255 (本地网络广播),X,本地广播IP地址: 255.255.255.255 172.16.1.255,外部网络广播 172.16.3.255 172.16.255.255,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,1)ICMP响应分析 利用子网掩码查询请求与应答报文,获取子网掩码,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,1)ICMP响应分析 利用
23、TTL值分析从源主机到目标主机的路径信息,2.2 信息采集的基本原理和技术,4、网络拓扑结构探测,2)基于SNMP的拓扑发现 SNMP(Simple Network Management Protocol,简单网络管理协议),2.2 信息采集的基本原理和技术,2)基于SNMP的拓扑发现,管理工作站 被管理设备 管理代理 管理信息库 网络管理协议,2.2 信息采集的基本原理和技术,2)基于SNMP的拓扑发现,Get Request,Get Next Request,Set Request,Get Response,Trap,从代理进程处提取一个或多个参数值,代理进程处提取紧跟当前参数值的下一个参
24、数值,设置代理进程的一个或多个参数值,返回的一个或多个参数值,代理进程主动发出的报文,通知管理进程有某些事情发生,网络管理工作站,2.2 信息采集的基本原理和技术,2)基于SNMP的拓扑发现,2.2 信息采集的基本原理和技术,2)基于SNMP的拓扑发现,2.2 信息采集的基本原理和技术,3)基于路由协议分析,内部网关协议IGP(Interior Gateway Protocol) 外部网关协议EGP(External Gateway Protocol),RIP、OSPF BGP,2.2 信息采集的基本原理和技术,5、漏洞扫描,1)什么是漏洞(vulnerability,脆弱性)?,定义一:指计
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 目标 系统 信息 收集 技术
链接地址:https://www.31doc.com/p-2985699.html