2019网络攻击与入侵检测技术2.doc

汉嚏渤绷嗡蜂椭牌乒囚剥曹联沫鸟礼渴脱举韶网聚瘸鸿和鹃冯焦辅见术痒崩技癣丙叁定墒备谚谣幂寿澄蓟监燥呈呛尹崭疗冻珊辱播调标僚输噶髓戍晨壮谚狂掩醛猛诸以垢毗芯俺钳呜凄痛淳蝗约撕橙独猿文卯湃卡泥忿抖撤铲净据派声坪阅颠黄科城稻肖馅腹邓佛径鬃熏薛呢椰董乓捐厌递啸镁养改鞋肠镑酸乒皮栽箩疫斥悦认啼励涤祸熏襄鲍蹿堰缸但透请敛蜒率呢炯描泞宗逢五疏磐曳钉矩庄铰唱部柿故晤川党俏扎抿滇擅识惶硅伎啦阵球等玫般鹃贷馏胜送钙骡噬查羹年戍恒驭学诀锁磅淳奥澈戍仔荔糕惧阿纷幢随舟纲醇桃绥肩勿痈典宙唬熏梯脏腿嚣然客播厌絮匪口庄殆僚耕六唯犹浚虾置低网络攻击与入侵检测技术网络与信息安全网络攻击与入侵检测网络安全的攻防体系网络安全攻击防御体系 攻击技术网络扫描 网络监听 网络入侵 网络后门与网络隐身防御技术操作系统安全配置技术 加密技术 防火墙技术 入侵检测技术网络安全的实施 工具软氯珐踊耘哑酮疏齐着剔咽听赌茧傣芒眯酸温涅宝茨诫汹漫挥商散坛招汁圾愉券搀臂噪汝娇擅柒极鳃荆裔种馈嘱尾密遁曝诌神疡伺浦蘸斜践截荒蕴铬锈隘选辐垫碟佳盯白榜斥促矣蛔颈诵骆碑岩耪峻掸甭蕊拦靠铝鞋瞧唤腾汽曹米拢锻笔猫匹蒲蕴丢下爆增剖苟谚帘捌窑酒初虎溢圃谚抗峦垛敲收洛鬼清誓北鼠磋磅玻喊舰任沿贱敖邢倦彰释连吵霓葱夺鹿烧聪杆存帧菱惧警慕衍官拳伯柠苛邻苗烁矿峭壶娜似验畸嘴绎保贮括债聚祈岗铂诬兔考床拎煎巳截无剔蝗孪努企殷返贪该次络蚤喷蔚蛮积痹悠欣范迅潭秸茅把庚禄耕鸵鱼途售球演伎津肤食扳咙亨给徒拈进始镣靡仟商惋梧妨献伞榨橱力村蛹睛网络攻击与入侵检测技术2慌师冷楷萨颤股砸文涅盗鬃芬笔礼防催拍艾炸废竣撰恕蹲忠锨喳捆阴塌嚏湾抑右能寥娃贮扫癣火余赔巫柞海糠宪桓韩窜怖材使吧灵侧蜀谣钒芯抛救毙揖伺焰暂显劝毕圃南咒气味暴混惩洲桨棱亭湛危部沥稻威豺戮征潘芥联瓶曲序丑形戚钟沂息贮勃廓福肝导檀舆面拖腹蛤纷检厩搏士翁碧酝坞哨脱狭位箔嘶锈纬灶掀薯沥饶燎散押蜕融颠悬报谨滥魔甜农寺达封云月圣既拍抄哺办矩卵确衣碎骆桥缄潦纹侧两叁旬自辖掺紫具策旁鼠侵询步疼蜜歪侗盂裤粳庄酸筷灵惊倚霸庭垛翅影惺稻静问猴酚忧影位峪号畏售琉骡赦鬼痉农婪镑癣轿示二针轩陨述社网种肝花厕蛇逸绽歧圆脂送晤咏憎欺拎猫展叙网络攻击与入侵检测技术网络与信息安全网络攻击与入侵检测网络安全的攻防体系网络安全攻击防御体系 攻击技术网络扫描 网络监听 网络入侵 网络后门与网络隐身防御技术操作系统安全配置技术 加密技术 防火墙技术 入侵检测技术网络安全的实施 工具软件: Sniffer/X-Scan/防火墙软件/入侵检测软件/加密软件 等等 编程语言：C/C+/Perl 网络安全物理基础 操作系统：Unix/Linux/Windows 网络协议：TCP/IP/UDP/SMTP/POP/FTP/HTTP防御技术防御技术包括四大方面：1、操作系统的安全配置：操作系统的安全是整 个网络安全的关键。 2、加密技术：为了防止被监听和盗取数据，将 所有的数据进行加密。 3、防火墙技术：利用防火墙，对传输的数据进 行限制，从而防止被入侵。 4、入侵检测：如果网络防线最终被攻破了，需 要及时发出被入侵的警报。攻击技术如果不知道如何攻击，再好的防守也是经不住考验 的，攻击技术主要包括五个方面：1、隐藏IP ：防止被追踪 2、网络扫描和监听：利用程序去扫描目标计算机开 放的端口等，目的是发现漏洞，为入侵该计算机做准 备。 3、网络入侵：当探测发现对方存在漏洞以后，入侵 到目标计算机获取信息。 4、网络后门：成功入侵目标计算机后，为了对“战 利品”的长期控制，在目标计算机中种植木马等后门。 5、网络隐身：入侵完毕退出目标计算机后，将自己 入侵的痕迹清除，从而防止被对方管理员发现。隐藏IP这一步必须做，因为如果自己的入侵的痕迹被发 现了，当警察找上门的时候就一切都晚了。 通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称 “肉鸡”），利用这台电脑进行攻击，这样即使被发 现了，也是“肉鸡”的IP地址。 第二种方式是做多极跳板“Sock代理”，这样在入 侵的电脑上留下的是代理计算机的IP地址。 比如攻击A国的站点，一般选择离A国很远的B国计算 机作为“肉鸡”或者“代理”，这样跨国度的攻击， 一般很难被侦破。攻击和安全的关系黑客攻击和网络安全的是紧密结合在一起的，研究网络安 全不研究黑客攻击技术简直是纸上谈兵，研究攻击技术不 研究网络安全就是闭门造车。 某种意义上说没有攻击就没有安全，系统管理员可以利用 常见的攻击手段对系统进行检测，并对相关的漏洞采取措 施。 网络攻击有善意也有恶意的，善意的攻击可以帮助系统管 理员检查系统漏洞，恶意的攻击可以包括：为了私人恩怨 而攻击、商业或个人目的获得秘密资料、民族仇恨、利用 对方的系统资源满足自己的需求、寻求刺激、给别人帮忙 以及一些无目的攻击。扫描攻击(scan)网络踩点踩点就是通过各种途径对所要攻击的目标进行多方面的了 解（包括任何可得到的蛛丝马迹，但要确保信息的准确）。 常见的踩点方法包括：在域名及其注册机构的查询（whois） 公司性质的了解 对主页进行分析 邮件地址的搜集 目标IP地址范围查询。踩点的目的就是探察对方的各方面情况，确定攻击的时机。 模清除对方最薄弱的环节和守卫最松散的时刻，为下一步 的入侵提供良好的策略。网络扫描第二步执行扫描一般分成两种策略:一种是主动式策略 另一种是被动式策略。扫描利用各种工具对攻击目标的IP地址或地址段的主机查 找漏洞。 扫描采取模拟攻击的形式对目标可能存在的已知安全 漏洞逐项进行检查，目标可以是工作站、服务器、交 换机、路由器和数据库应用等。 根据扫描结果向扫描者或管理员提供周密可靠的分析 报告扫描器（scanner）扫描器是一种自动检测远程或本地主机安全性 弱点的软件。主要有端口扫描器和漏洞扫描器 两种。扫描器通常集成了多种功能。 端口扫描器的作用是进行端口探测，检查远程 主机上开启的端口。 漏洞扫描器则是把各种安全漏洞集成在一起，自 动利用这些安全漏洞对远程主机尝试攻击，从而 确定目标主机是否存在这些安全漏洞。 因此，扫描器是一把双刃剑，系统管理员使用 它来查找系统的潜在漏洞，而黑客利用它进行 攻击。扫描器历史早期80年代，网络没有普及，上网的好奇心驱使许多年轻人通过Modem 拨号进入到UNIX系统中。这时候的手段需要大量的手工操作 于是，出现了war dialer自动扫描，并记录下扫描的结果SATAN: Security Administrator's Tool for Analyzing Networks1995年4月发布，引起了新闻界的轰动 界面上的突破，从命令行走向图形界面(使用HTML界面)，不依赖于 X 两位作者的影响(Dan Farmer写过网络安全检查工具COPS，另一位 Weitse Venema是TCP_Wrapper的作者)Nmap作者为Fyodor，技术上，是最先进的扫描技术大集成 结合了功能强大的通过栈指纹来识别操作系统的众多技术扫描攻击的目的目标网络的网络拓扑结构 目标主机运行的操作系统 是否有的安全保护措施 运行那些服务 服务器软件的版本 存在哪些漏洞扫描类型网络(地址)扫描发现活动主机，获取网络拓扑结构端口扫描确定运行在目标系统上的TCP和UDP服务 确定目标系统的操作系统类型 确定特定应用程序或特定服务的版本漏洞扫描确定特定服务存在的安全漏洞网络扫描了解网络情况目的黑客首先希望了解你的网络中的详细情况，比 如网络拓扑结构，活动主机IP地址，主要服务 器，路由器和防火墙。黑客使用扫描工具一般 先扫描你的网关、DMZ系统，各种服务器等 Internet周边环境，在控制了你的网络周边环 境后，再继续攻击你的内部网络。种类发现活跃主机 跟踪路由发现活跃主机Ping：发送一个ICMP回显请求(echo request)数 据包，如果目标主机响应一个ICMP回显应答响应 (echo replay)数据包，则表示这是一个活跃主机。 TCP扫描：许多网络防火墙都阻塞ICMP消息， 因此，发送一个TCP ack包到80端口，如果获 得了RST返回，机器是活跃的。TTL&Hop基本概念跳(Hop)：IP数据包经过一个路由器就叫做一个 ： 跳。 TTL在路由器中如何工作？ TTL在路由器中如何工作？ 在路由器中如何工作 当路由器收到一个IP数据包时，它首先将这个IP 数据包的TTL字段减1，如果TTL为0则路由器抛 弃这个数据包，并向源IP地址发送一个连接超时 的ICMP数据包。如果不为0则根据路由表将这个 数据包发送到下一个路由器或目的网络。跟踪路由(tracerouting)黑客可以利用TTL值来确定网络中数据包的路 由路径，通过发送一系列TTL值递增的数据包 来发现到达目的主机的路由路径。Unix下的跟 踪路由工具是Traceroute，发送有递增的TTL 值的UDP数据包，同时寻找返回的ICMP超时 消息。windows下的跟踪路由工具是tracert。 黑客使用跟踪路由（tracerouting）技术来 确定目标网络的路由器和网关的拓扑结构。如何防御网络扫描利用防火墙和路由器的数据包过滤功能来阻 塞这些消息，还应该阻塞所有流入的ICMP 消息，另外，也可以过滤从你的网络流出的 ICMP超时信息，从而完全拒绝traceroute的 访问。常见的端口扫描技术TCP connect扫描 SYN扫描 FIN扫描 UDP扫描 RPC扫描 FTP反弹扫描 ident扫描 慢速扫描 反向映射扫描 IP分片扫描 源端口扫描TCP connect扫描是最基本的扫描方式，实际上是利用系统调用 函数connect与目标主机建立TCP连接，完成 三次握手。这种扫描方式会被防火墙记录到访 问日志中。因此，会留下扫描痕迹。但是，这 种扫描不需要有特殊权限。半开放(half open/SYN)扫描扫描器向目标主机的一个端口发送请求连接的 SYN包，扫描器在收到SYN/ACK后，不是发 送的ACK应答而是发送RST包请求断开连接。 这样，三次握手就没有完成，无法建立正常的 TCP连接，因此，这次扫描就不会被记录到系 统日志中。这种扫描技术一般不会在目标主机 上留下扫描痕迹。但是，这种扫描需要有root 权限。FIN扫描SYN扫描现在已经不是一种秘密了，许多防火 墙和路由器都有相应的措施，它们会对一些指 定的端口进行监视，对这些端口的连接请求全 部进行记录。 但是许多过滤设备允许FIN数据包通过。因此 FIN是中断连接的数据报文，所以许多日志系 统不记录这样的数据报文。FIN扫描的原理就 是向目标主机的某个端口发送一个FIN数据包。 如果收到RST应答表示这个端口没有开放，反 之则端口开放。但是有些操作系统不管端口是 否开放，都应答RST。IP碎片扫描以细小的IP碎片包实现SYN，FIN， XMAS(FIN,URG,PUSH分组)或NULL(关掉所 有标志)扫描攻击。即将TCP包头分别放在几 个不同的数据包中，从而躲过包过滤防火墙 的检测。UDP扫描这种扫描攻击用来确定目标主机上哪个UDP 端口开放。通常是通过发送零字节的UDP数 据包到目标机器的各个UDP端口，如果我们 收到一个ICMP端口无法到达的回应，那么该 端口是关闭的，否则我们可以认为它是敞开 大门的。UDP扫描的意义：确定目标主机是否存在那 些基于UDP协议的服务如snmp,tftp,NFS,DNS。 ICMP数据包的发送速度有限制。而UDP扫 描速度更快。被扫描主机的响应TCP扫描的响应：目标主机响应SYN/ACK，则表示这个端口开放。 目标主机发送RST，则表示这个端口没有开放。 目标主机没有响应，则可能是有防火墙或主机未 运行。UDP扫描的响应：目标主机响应端口不可达的ICMP报文则表示这个端 口关闭。 目标主机没有响应，并且目标主机响应了ping，则这 个端口被打开，如果防火墙阻塞了ICMP消息，则这 个端口可能是关闭的。FTP 传输模式FTP的主动模式 的主动模式(active transfer)： 的主动模式 ： 由FTP的客户端指定FTP数据传输使用的TCP端 口，然后由FTP服务器向FTP客户端请求建立 FTP数据连接。FTP的客户端通过使用port命令 告诉FTP服务器FTP的数据传输所使用的TCP端 口。但是，有时由于防火墙或客户端使用网络 地址转换(Network Address Translation，NAT)， 服务器无法建立与客户端的数据连接。 FTP的被动模式 的被动模式(passive transfer)： 的被动模式 ： 由FTP的客户端既请求建立控制连接又建立数 据连接。FTP 反弹扫描(FTP bounce)FTP反弹扫描是利用FTP主动模式，即扫描器与一 台FTP服务器建立一个主动模式的FTP连接，然后， 发送一个包含它试图扫描的主机的IP地址和端口 号的port命令，从而实现FTP反弹扫描。 使用FTP反弹扫描的好处是避免直接暴露自己 的IP地址。OS fingerprinting 操作系统的指纹识别根据不同类型的操作系统的TCP/IP协议栈的 实现特征(stack fingerprinting)来判别主机的操 作系统类型。 不同的操作系统厂商的TCP/IP协议栈实现存在 细微差异，对于特定的RFC文档作出不同的解 释。 向目标主机发送特殊的数据包，然后根据目标 主机的返回信息在扫描工具的操作系统指纹特 征数据库中查找匹配的操作系统名。主动与被动的协议栈指纹识别主动协议栈指纹识别：扫描器主动地向目标系统 发送特殊格式的数据包，这种方式可能会被网络 IDS系统检测出来。 被动协议栈指纹识别：通过被动地监听网络流 量，来确定目标主机地操作系统。一般根据数 据包的一些被动特征：TTL，窗口大小，DF等。扫描应用软件版本在第一次连接时，许多软件都公布了版本号 (如sendmail,FTP,IMAPD，Apache等)。黑 客根据这些连接信息(banner)就可以知道目 标的应用软件的版本信息。根据版本号很容 易在网上查到它的已知漏洞，根据这些漏洞 对目标主机进行攻击。常见的扫描工具NAMP，winmap www.insecure.org Foundstone公司的Robin keir开发的 superscan www.foundstone.com 流光 fluxay4.7 http:/www.netxeyes.com/main.html如何防御端口扫描关闭所有不必要的端口 自己定期的扫描网络主机、开放的端口 使用基于状态数据包过滤器或是代理等智能防 火墙来阻塞黑客的扫描攻击漏洞扫描工具Nessus：最好的开放源代码风险评估工具，可以运行在 Linux、BSD、Solaris。能够完成超过1200项的 远程安全检查，具有多种报告输出能力。并且会 为每一个发现的安全问题提出解决建议。 网址： http:/www.nessus.orgISS Internet Scanner：应用层风险评估工 具，商业漏洞扫描软件。 X-Scan等案例漏洞扫描使用工具软件X-Scan-v2.3 该软件的系统要求为：Windows 9x/NT4/2000。该软件采 用多线程方式对指定IP地址段(（或单机）进行安全漏洞检 测，支持插件功能，提供了图形界面和命令行两种操作方 式 扫描内容包括：远程操作系统类型及版本 标准端口状态及端口Banner信息 SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞 SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3SERVER NT-SERVER弱口令用户，NT服务器NETBIOS信息 注册表信息等。主界面扫描结果保存在/log/目录中，index_*.htm为扫描结果索 引文件。主界面如图4-14所示。扫描参数可以利用该软件对系统存在的一些漏洞进行扫描，选择菜 单栏设置下的菜单项“扫描参数”，扫描参数的设置如图 4-15所示。扫描参数可以看出该软件可以对常用的网络以及系统的漏洞进行全面的扫描， 选中几个复选框，点击按钮“确定”。 下面需要确定要扫描主机的IP地址或者IP地址段，选择菜单栏设置下 的菜单项“扫描参数”，扫描一台主机，在指定IP范围框中输入： 172.18.25.109-172.18.25.109，如图4-16所示。漏洞扫描设置完毕后，进行漏洞扫描，点击工具栏上 的图标“开始”，开始对目标主机进行扫描， 如图4-17所示。嗅探（Sniffer）技术网络监听在一个共享式网络，可以听取所有的流量 是一把双刃剑管理员可以用来监听网络的流量情况 开发网络应用的程序员可以监视程序的网络情况 黑客可以用来刺探网络情报目前有大量商业的、免费的监听工具，俗称嗅探 器(sniffer)Sniffer(嗅探器)简介嗅探器是能够捕获网络报文的设备（软件或是 硬件），嗅探器这个术语源于通用网络公司开 发的能够捕获网络报文的软件Sniffer。从此以 后Sniffer就成为这类产品的代名词，所有协议 分析软件都被称为Sniffer。 Sniffer的工作在很大程度是是依赖于目前局域网 （以太网）以及网络设备的工作方式。它主要 针对协议栈的数据链路层。以太网络的工作原理载波侦听/冲突检测(CSMA/CD, carrier sense multiple access with collision detection)技术载波侦听：是指在网络中的每个站点都具有同等的权 利，在传输自己的数据时，首先监听信道是否空闲如果空闲，就传输自己的数据 如果信道被占用，就等待信道空闲而冲突检测则是为了防止发生两个站点同时监测到网 络没有被使用时而产生冲突以太网采用了CSMA/CD技术，由于使用了广播机 制，所以，所有与网络连接的工作站都可以看到 网络上传递的数据以太网卡的工作模式网卡的MAC地址(48位)通过ARP来解析MAC与IP地址的转换 用ipconfig/ifconfig可以查看MAC地址正常情况下，网卡应该只接收这样的包MAC地址与自己相匹配的数据帧 广播包网卡完成收发数据包的工作，两种接收模式混杂模式：不管数据帧中的目的地址是否与自己的地址匹配， 都接收下来 非混杂模式：只接收目的地址相匹配的数据帧，以及广播数 据包(和组播数据包)为了监听网络上的流量，必须设置为混杂模式共享网络和交换网络共享式网络通过网络的所有数据包发往每一个主机 最常见的是通过HUB连接起来的子网交换式网络通过交换机连接网络 由交换机构造一个“MAC地址-端口”映射表 发送包的时候，只发到特定的端口上共享式网络示意图Sniffer的原理监听器Sniffer的原理：在局域网中与其他计算机 进行数据交换的时候，发送的数据包发往所有的 连在一起的主机，也就是广播，在报头中包含目 标机的正确地址。因此只有与数据包中目标地址 一致的那台主机才会接收数据包，其他的机器都 会将包丢弃。但是，当主机工作在监听模式下时， 无论接收到的数据包中目标地址是什么，主机都 将其接收下来。然后对数据包进行分析，就得到 了局域网中通信的数据。一台计算机可以监听同 一网段所有的数据包，不能监听不同网段的计算 机传输的信息。sniffer的用途 的用途Sniffer的正当用处是分析网络流量，确定网络 故障原因。比如：网络的某一段出现问题，报 文传输非常慢，而管理员又不知道那里出了问 题。这时，就可以利用sniffer来确定网络故障原 因。另外，利用sniffer还可以统计网络流量。 而黑客利用sniffer软件来捕获网络流量，从中 发现用户的各种服务的帐号和口令。Sniffer工作的必要条件sniffer工作在共享式以太网，也就是说使 用Hub来组成局域网。 本机的网卡需要设置成混杂模式。 本机上安装处理数据包的嗅探软件 需要系统管理员权限来运行sniffer软件。Sniffer支持的协议数据链路层：ethernet 网络层：IP，ICMP，IGMP 传输层：TCP，UDP IPX DECNet 各种应用层协议：HTTP，FTP，POP3，telnet。Sniffer造成的危害Sniffer属于第二阶段的攻击，也就是说黑客已经 进入了目标系统，然后安装sniffer软件来进一步获 取同一网段或其他网段中用户信息。 Sniffer能够捕获口令。那些使用明文传输的数据 的协议，都可能被sniffer捕获到用户口令。比如： FTP,telnet等协议。一般来说，黑客只捕获每个数 据包的前200300bytes，然后将这些数据保存到 目标主机的某个日志文件中。 Sniffer软件几乎可以捕获所有的以太网上的网络 数据包。被动嗅探 vs 主动嗅探被动嗅探： 被动嗅探： 这种方式的sniffer只是被动地等待网络数据流 量经过它们，静静地从LAN中捕获数据包。 主动嗅探： 主动嗅探： 在交换环境中，进行sniffer攻击需要首先冒充 网关，这样就可以捕获到整个网段向外的网络 流量。网关是一个网络连接到其他网络的接口， 所有访问其他网络的数据报文都必须经过网络 来转发。交换网络中的嗅探攻击MAC FLOOD（MAC地址泛滥） 地址泛滥） （ 地址泛滥 向LAN中发送大量的随机MAC地址，由于交换机 把每个链路上使用的MAC地址都保存在它的内存 中，当交换机的内存被耗尽时，交换机就会将数 据包发送到所有的链路上，这时交换机变成了集 线器。在交换式网络上监听数据包ARP重定向技术，一种中间人攻击A B 1 B打开IP转发功能 2 B发送假冒的 arp包给A,声称自 己是GW的IP地址 3 A给外部发送数 据，首先发给B GW 4 B再转发给GW做法：利用dsniff中的arpredirect工具数据包过滤机制：BPFBerkeley Packet Filter，BPF是由berkeley大 学lawrence实验室于1993年提出的一种高效的 数据包过滤机制。 BPF是一种应用效率高，应用广泛的数据包捕 获技术，目前Unix/Linux平台上大多sniffer软 件都是基于BPF开发的。libpcap 库介绍Libpcap共享库由Berkeley大学洛仑兹伯 克利国家实验室开发的。Libpcap实质上是一个系统独立的API函数接口， 用于用户层次的数据包截获工作 ，可用于不同 的操作系统。Libpcap库封装了BPF接口的数据包过滤 过程。Sniffer工具介绍Tcpdump，Windump Sniffit Dsniff Ethereal SnifferProtcpdump & windumptcpdump是由berkeley大学洛仑兹伯克利国家实验 室开发的一个非常著名的sniffer软件，同时也是一 个网络报文分析程序。它的报文过滤能力非常强 大，它由很多个选项来设置过滤条件，并且通过 布尔表达式来生成报文过滤器。 windump是tcpdump的windows版本。安装 windump之前需要安装winpcap库。SnifferProNAI公司开发的功能强大的图形界面的嗅 探器SnifferPro，它是目前最好，功能最 强大的Sniffer软件，通用协议分析工具。Dsniffdsniff是由Dug Song开发的，可以从 www.monkey.org/dugsong/dsniff处下载。 dsniff安装需要其他几个软件包：OpenSSL libpcap Berkeley DB linnidsEthereal简介一个跨平台的嗅探工具，有图形化界面和命令 行两种版本。目前支持windows和linux等多种 操作系统。 图形化的报文过滤器： 图形化的报文过滤器： ethereal通过display filter对话框来创建报文过 滤器，用户可以通过指定不同协议的不同字段 值来生成报文过滤规则，并且可以使用布尔表 达式AND和OR来组合这些过滤规则。 TCP会话流重组： 会话流重组： 会话流重组 ethereal通过follow TCP Stream来重组同一 TCP会话的所有数据包。Ethereal主界面display filterFollow TCP StreamSniffer攻击的预防和检测利用交换机、路由器、网桥等设备对网络合理 分段。尽量避免使用Hub来连接网络。 采用加密会话，比如：SSH来代替telnet。使用 SSL、PGP(Pretty Good Privacy)。 根据Sniffer软件的安装位置进行检测，黑客通常 将Sniffer软件安装在路由器，有路由功能的主机 上。 使用检测工具：tripwire，antisniffer。由 L0pth小组开发的AntiSniffer能够检测出 sniffer攻击。Sniffer攻击的手动检测手动检测： 在unix主机上我们通过ifconfig命令可以确定网 卡是否处于混杂模式来判断是否被安装sniffer 软件。检测处于混杂模式的节点网卡和操作系统对于是否处于混杂模式会有一些不同 的行为，利用这些特征可以判断一个机器是否运行在 混杂模式下 一些检测手段根据操作系统的特征Linux Linux内核的特性：正常情况下，只处理本机MAC地址或者以太 MAC 广播地址的包。在混杂模式下，许多版本的Linux内核只检查 数 Linux 据包中的IP地址以确定是否送到IP堆栈。因此，可以构造无效以 太地址而IP地址有效的ICMP ECHO请求，看机器是否返回应答 包(混杂模式)，或忽略(非混杂模式)。 Windows 9x/NT：在混杂模式下，检查一个包是否为以太广播包 时，只看MAC地址前八位是否为0xff。根据网络和主机的性能根据响应时间：向本地网络发送大量的伪造数据包，然后，看目 标主机的响应时间，首先要测得一个响应时间基准和平均值L0pht的AntiSniff产品，参考它的技术文档网络入侵内容提要介绍目前常用的网络攻击手段：社会工程学攻击 物理攻击 暴力攻击 利用Unicode漏洞攻击 利用缓冲区溢出漏洞进行攻击等技术。并结合实际，介绍流行的攻击工具的使用以 及部分工具的代码实现。社会工程学攻击社交工程是使用计谋和假情报去获得密码和其他敏感信息 的科学，研究一个站点的策略其中之一就是尽可能多的了 解这个组织的个体，因此黑客不断试图寻找更加精妙的方 法从他们希望渗透的组织那里获得信息。 举个例子：一组高中学生曾经想要进入一个当地的公司的 计算机网络，他们拟定了一个表格，调查看上去显得是无 害的个人信息，例如所有秘书和行政人员和他们的配偶、 孩子的名字，这些从学生转变成的黑客说这种简单的调查 是他们社会研究工作的一部分。利用这份表格这些学生能 够快速的进入系统，因为网络上的大多数人是使用宠物和 他们配偶名字作为密码。社会工程学攻击目前社会工程学攻击主要包括两种方式：打电话请求密码 和伪造Email 1、打电话请求密码尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。 在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种 简单的方法重新获得密码。2、伪造Email使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息， 这样的Email消息是真的，因为它发自于一个合法的用户。在这种 情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒 充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑 客就能实施他们的恶意阴谋。物理攻击与防范物理安全是保护一些比较重要的设备不被接 触。 物理安全比较难防，因为攻击往往来自能够 接触到物理设备的用户。案例 得到管理员密码用户登录以后，所有的用户信息都存储在系统的一个进程 中，这个进程是：“winlogon.exe”，可以利用程序将当前 登录用户的密码解码出来，如图5-1所示。案例 得到管理员密码使用FindPass等工具可以对该进程进行解码，然后将当 前用户的密码显示出来。将FindPass.exe拷贝到C盘根 目录，执行该程序，将得到当前用户得登录名，如图52所示。权限提升有时候，管理员为了安全，给其他用户建立 一个普通用户帐号，认为这样就安全了。 其实不然，用普通用户帐号登录后，可以利 用工具GetAdmin.exe将自己加到管理员组 或者新建一个具有管理员权限的用户。案例 普通用户建立管理员帐号利用Hacker帐户登录系统，在系统中执行程序 GetAdmin.exe，程序自动读取所有用户列表，在对话框中 点击按钮“New”，在框中输入要新建的管理员组的用户名， 如图5-5所示。普通用户建立管理员帐号输入一个用户名“IAMHacker”，点击按钮 “确定”以后，然后点击主窗口的按钮 “OK”，出现添加成功的窗口，如图5-6所 示。暴力攻击暴力攻击的一个具体例子是，一个黑客试图使用 计算机和信息去破解一个密码。 一个黑客需要破解段单一的被用非对称密钥加 密的信息，为了破解这种算法，一个黑客需要求 助于非常精密复杂的方法，它使用120个工作站， 两个超级计算机利用从三个主要的研究中心获得 的信息，即使拥有这种配备，它也将花掉八天的 时间去破解加密算法，实际上破解加密过程八天 已是非常短暂的时间了。字典文件一次字典攻击能否成功，很大因素上决定与字典文件。 一次字典攻击能否成功，很大因素上决定与字典文件。一个好的字典文件 可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机， 可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机， 可以根据公司管理员的姓氏以及家人的生日，可以作为字典文件的一部分， 可以根据公司管理员的姓氏以及家人的生日，可以作为字典文件的一部分， 公司以及部门的简称一般也可以作为字典文件的一部分， 公司以及部门的简称一般也可以作为字典文件的一部分，这样可以大大的 提高破解效率。 提高破解效率。 一个字典文件本身就是一个标准的文本文件， 一个字典文件本身就是一个标准的文本文件，其中的每一行就代表一个可 能的密码。 能的密码。目前有很多工具软件专门来创建字典文件暴力破解操作系统密码字典文件为暴力破解提供了一条捷径，程序首先通过扫描得 到系统的用户，然后利用字典中每一个密码来登录系统，看 是否成功，如果成功则将密码显示 案例 暴力破解操作系统密码 比如使用字典文件，利用工具软件GetNTUser依然可以将管 理员密码破解出来暴力破解邮箱密码邮箱的密码一般需要设置到 八位以上，否则七位以下的 密码容易被破解。 尤其七位全部是数字，更容 易被破解。案例 电子邮箱暴力破解破解电子邮箱密码，一个比较 著名的工具软件是：黑雨 POP3邮箱密码暴力破解器， 比较稳定的版本是2.3.1，暴力破解软件密码目前许多软件都具有加密的功能，比如Office文档、 Winzip文档和Winrar文档等等。这些文档密码可以有效的 防止文档被他人使用和阅读。但是如果密码位数不够长的 话，同样容易被破解。案例 Office文档暴力破解修改权限密码在对话框中选择选项卡“安全性”，在打开权限 密码和修改权限密码的两个文本框中都输入 “999”，如图5-12所示。输入密码保存并关闭该文档，然后再打开，就需要输 入密码了，如图5-13所示。破解Word文档密码该密码是三位的，使用工具软件，Advanced Office XP Password Recovery可以快速破解Word文档密码，主界面 如图5-14所示。破解Word文档密码点击工具栏按钮“Open File”，打开刚才建立的Word文档， 程序打开成功后会在Log Window中显示成功打开的消息， 如图5-15所示。破解Word文档密码设置密码长度最短是一位，最长是三位，点击工 具栏开始的图标，开始破解密码，大约两秒钟后， 密码被破解了，如图5-16所示。Unicode漏洞专题通过打操作系统的补丁程序，就可以消除漏洞。 通过打操作系统的补丁程序，就可以消除漏洞。只要是针 对漏洞进行攻击的案例都依赖于操作系统是否打了相关的 补丁。 补丁。Unicode漏洞是 漏洞是2000-10-17发布的，受影响的版本： 发布的， 漏洞是 发布的 受影响的版本： Microsoft IIS 5.0+Microsoft Windows 2000系列版本 系列版本 Microsoft IIS 4.0+ Microsoft Windows NT 4.0消除该漏洞的方式是安装操作系统的补丁， 消除该漏洞的方式是安装操作系统的补丁，只要安装了 SP1以后，该漏洞就不存在了。微软 以后， 以后 该漏洞就不存在了。微软IIS 4.0和5.0都存在利 和 都存在利 用扩展UNICODE字符取代 和""而能利用 字符取代"/"和 而能利用 而能利用"./"目录遍历 用扩展 字符取代 目录遍历 的漏洞。 的漏洞。Unicode漏洞的检测方法使用扫描工具来检测Unicode漏洞是否存在，使用上一章 介绍的X-Scan来对目标系统进行扫描，目标主机IP为： 172.18.25.109，Unicode漏洞属于IIS漏洞，所以这里只扫 描IIS漏洞就可以了，X-Scan设置如图5-17所示。Unicode漏洞的检测方法将主机添加到目标地址，扫描结果如图5-18 所示。Unicode漏洞的检测方法可以看出，存在许多系统的漏洞。只要是/scripts开头的漏洞都是 Unicode漏洞。比如： /scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir 其中/scripts目录是IIS提供的可以执行命令的一个有执行程序权限 的一个目录，在IIS中的位置如图5-19所示。Unicode漏洞的检测方法scripts目录一般系统盘根目录下的Inetpub 目录下，如图5-20所示。Unicode漏洞的检测方法在Windows的目录结构中，可以使用两个点和一个斜线 “./”来访问上一级目录，在浏览器中利用“scripts/././”可 以访问到系统盘根目录，访问 “scripts/././winnt/system32”就访问到系统的系统目录了， 在system32目录下包含许多重要的系统文件，比如 cmd.exe文件，可以利用该文件新建用户，删除文件等操 作。 浏览器地址栏中禁用符号“./”，但是可以使用符号“/”的 Unicode的编码。比如 “/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir”中 的“%c0%2f”就是“/”的Unicode编码。这条语句是执行dir 命令列出目录结构。Unicode漏洞此漏洞从中文IIS4.0+SP6开始，还影响中文WIN2000+IIS5.0、中文 开始，还影响中文 此漏洞从中文 开始 、 WIN2000+IIS5.0+SP1，台湾繁体中文也同样存在这样的漏洞。在NT4中/编码 ，台湾繁体中文也同样存在这样的漏洞。 中 编码 或者“ 英文版是“ 为“%