《信息技术--赵泽茂--第十一章精编版》由会员分享,可在线阅读,更多相关《信息技术--赵泽茂--第十一章精编版(189页珍藏版)》请在金锄头文库上搜索。
1、11.1 信息收集技术 11.2 攻击实施技术 11.3 隐身巩固技术 小结,信息收集是指通过各种方式获取所需要的信息。网络攻击的信息收集技术主要有网络踩点、网络扫描和网络监听等。,11.1 信息收集技术,11.1.1 网络踩点踩点是指攻击者通过各种途径对所要攻击的目标进行的多方面的调查和了解,包括与被攻击目标有关的任何可得到的信息,从中规约出目标对象的网段、域名以及IP地址等相关信息的特定手段和方法。踩点的目的就是探察目标的基本情况、可能存在的漏洞、管理最薄弱的环节和守卫松懈的时刻等,从而确定有效的攻击手段和最佳的攻击时机。常见的踩点方法有域名相关信息的查询、公司性质的了解、对主页进行分析、
2、对目标IP地址范围进行查询和网络勘查等。,1. 域名相关信息的查询攻击者可以利用域名解析服务(DNS)来请求查询网络的粗略信息,如注册人、域名、管理方面联系人、记录创建及更新时间和域名服务器等。在某些时候,甚至可能利用一种被称为区域传输的手段获取域名信息。所谓区域传输,就是指请求某一台DNS服务器发送整个DNS区域的一份拷贝,即该网络中所有已注册主机名称的列表。尽管对于大多数的攻击行为来说,主机名称并非至关重要,但这些主机名却能够使某些类型的攻击变得更加简单。举例说明,如果黑客获取了某一个运行着IIS的Web服务器主机名称, 他就能够推导出针对这一主机的匿名IIS用户,因为通常来说这一用户被设
3、置为IUSR_。,2. 了解公司性质利用公共信息渠道收集目标公司信息,确定目标公司所处的行业,如IT行业、制造业、服务业、政府或公益组织等; 了解目标公司目前的网络保护技术措施、网络管理和网络应用的状况,寻找可能存在的漏洞和管理薄弱的环节等。攻击者在对公司性质基本了解后,再从多方面了解管理员的技术水平,尽可能看一些这个管理员张贴的文章,从中可以了解管理员熟悉什么、不熟悉什么,由此推测管理员可能会出现什么错误的配置。,3. 对主页进行分析仔细查看目标机构的网页,收集尽可能多的主机上机构的信息,这其中可能有机构所在的地理位置、与其关系亲密的公司或实体、公司兼并或归靠的新闻报道、电话号码、联系人的姓
4、名和电子邮件地址、指示所用安全机制的类型的隐私和机密保障策略、与其相关联的Web服务器超链接。,阅读主页HTML源代码,了解整个主页真正在客户端运行的源代码(一个好的主页,为了方便其他网页编程员更方便地读懂网页,同时也加了很多注释)。通过阅读主页源代码,确定目标网站的源代码可能存在的可利用漏洞。,4. 对目标机构IP地址范围进行查询当攻击者掌握一些主机的IP地址后,下一步就是要找出目标网段的地址范围或者子网掩码。 需要知道地址范围,以保证攻击者能集中精力对付一个网络而没有闯入其他网络。这样做有两个原因: 第一,假设有地址10.10.10.5,要扫描整个A类地址需要一段时间,如果正在跟踪的目标只
5、是地址的一个小子集,那么就无需浪费时间; 第二,一些公司有比其他公司更好的安全性,因此跟踪较大的地址空间增加了危险,如攻击者可能会闯入有良好安全性的公司,而它会报告这次攻击并发出报警。 ,攻击者能用两种方法找到这一信息,容易的方法是使用America Registry for Internet Numbers(ARIN)whois 搜索找到信息; ARIN允许任何人搜索whois数据库找到网络上的定位信息、自治系统号码(ASN)、有关的网络句柄和其他有关的接触点(POC)。基本上,常规的whois会提供关于域名的信息。ARINwhois允许询问IP地址,帮助攻击者找到关于子网地址和网络如何被分
6、割的策略信息。,5. 网络勘查在目标网络IP地址范围确定后,就需要对网络内部进行一定的勘查,看看网络速度、是否存在防火墙等。下面以在Windows下的tracert追踪A的路由为例来了解网络的大致拓扑: C: tracert ATracert to A (10.10.10.1),30 hops max,40byte packets1 gate2 (192.168.10.1) 5.391ms 5.107ms 5.559ms,2 (10.10.12.13) 33.374ms 33.443ms 33.137ms3 (10.10.12.14) 35.100ms 34.427ms 34.813ms4 (
7、10.11.31.14) 43.030ms 43.941ms 43.244ms5 gate.A (10.10.10.1) 43.803ms 44.041ms 47.835ms由上可以看见本地到主机需要经过5跳,中间没有ICMP分组的丢失,因此可以看出第4跳很可能是主机A的路由设备,可以对整个网络有一个大体的了解。 ,11.1.2 网络扫描网络扫描是一种自动检测远程或本地主机安全脆弱点的技术。它是通过向远程或本地主机发送探测数据包,获取主机的响应,并根据反馈的数据包进行解包和分析,从而获取主机的端口开放情况,获得主机提供的服务信息。通过扫描,攻击者可以获取远程服务器的各种TCP端口的分配及提供的
8、服务和它们的软件版本,间接或直观地了解到远程主机所存在的安全问题。常见的网络扫描技术有端口扫描、共享目录扫描、系统用户扫描和漏洞扫描。,1. 端口扫描端口扫描技术是向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应的技术。通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或信息。端口扫描器有很多,这里介绍一款端口扫描器软件SuperScan。SupersCan是一款获取对方计算机开放端口的工具软件,主界面如图11-1-1所示。,图 11-1-1 SuperScan 主界面,对218.109.78.185的计算机进行端口扫描,在“主机名查找”文本框中输入IP地址
9、,点击“开始”按钮,开始扫描,扫描端口结果界面如图11-1-2所示。通过端口扫描,可以知道对方开放了哪些服务,从而根据某些服务的漏洞进行攻击。,图 11-1-2 SuperScan扫描端口结果界面,2. 共享目录扫描为了达到相互交流的目的,我们常常会将自己的一些重要信息保存到共享目录中,以方便其他人调用。这些共享目录可以被黑客通过共享目录扫描工具获取。这里介绍一款共享目录扫描工具软件网络工具包,其主界面如图11-1-3所示。,图 11-1-3 网络工具包界面,网络工具包软件可以扫描一个IP地址段的共享信息。在起始IP框输入218.109.76.1,在终止IP框输入218.109.77.255,
10、点击“开始查找”按钮就可以得到对方的共享目录了,如图11-1-4所示。 结果显示218.109.77.166计算机上C、D、E、F盘是默认隐式共享的。,图 11-1-4 网络工具包扫描结果界面,3. 系统用户扫描目前计算机系统一般都支持多用户操作,因此,即使是个人计算机中也存在多个用户帐号,而且往往有些是默认的帐号或者一些临时帐号。这些帐号的存在都是黑客扫描的重点。这里介绍一款系统用户扫描软件NTscan,其界面如图11-1-5所示。,图 11-1-5 NTscan界面,对IP为218.109.76.54的计算机进行扫描,首先将该IP段添加到扫描配置中(软件的左上角),输入需要扫描的IP段,如
11、图11-1-6所示; 接下来的连接共享根据需要选择,一般选择c$; 然后选中WMI扫描(可以根据需要选择其他扫描方式); 端口选中135; 最后点击“开始”按钮,一段时间后得到存在弱口令的主机帐号,如图11-1-7所示。,图 11-1-6 NTscan添加扫描主机设置界面,图 11-1-7 NTscan扫描结果界面,4. 漏洞扫描 常见的漏洞主要有3类: 网络协议的安全漏洞、操作系统的安全漏洞、应用程序的安全漏洞。这些漏洞都可以被黑客扫描获取并利用。这里介绍一款扫描软件X-Scan v3.3,其主界面如图11-1-8所示。,可以利用X-Scan v3.3软件对系统存在的一些漏洞进行扫描,选择菜
12、单栏设置下的菜单项“设置”“扫描参数”; 接着需要确定要扫描主机的IP地址或者IP地址段,选择菜单栏设置下的菜单项“扫描参数”,扫描一台主机,在指定IP范围框中输入218.109.77.1-218.109.78.254,如图11-1-9所示; 选中需要检测的漏洞,点击“确定”按钮,如图 11-1-10 所示。设置完毕后,进行漏洞扫描,点击工具栏上的“开始”图标,开始对目标主机进行扫描,如图11-1-11所示。,图 11-1-8 X-Scan v3.3界面,图 11-1-9 X-Scan v3.3扫描参数设置界面,图 11-1-10 X-Scan v3.3扫描模块界面,图 11-1-11 X-S
13、can v3.3扫描结果界面,11.1.3 网络监听网络监听器(Sniffer)原本是提供给系统管理员的一类管理工具,现多作为一种网络监测工具。它既可以是硬件,也可以是软件。硬件形式的网络监测器称为网络分析仪; 软件形式的网络监器用于Windows或UNIX平台,如NexXray、Net monitor等。但是,黑客们却用它来暗中监视网络状况、窃取各种数据,如明文形式的密码等。,1. 网络监听原理以太网是在 20 世纪 70 年代研制开发的一种基带局域网技术。 它使用同轴电缆作为网络媒体,采用载波监听多路访问/冲突检测(Carrier Sense Multiple Access/Collisi
14、on Detection,CSMA/CD)机制, 但是如今的以太网更多的被用来指各种采用 CSMA/CD 技术的局域网。,以太网的基本特征是采用CSMA/CD的共享访问方案,即多个主机都连接在一条总线上,所有的主机都不断向总线上发出监听信号,但在同一时刻只能有一个主机在总线上进行传输, 而其他主机必须等待其传输结束后再开始自己的传输。局域网内的每台主机都在监听网内传输数据,当所监听到的数据帧包含的MAC地址与自己的MAC地址相同时,则接收该帧,否则丢弃,这就是以太网的“过滤”规则。但是,如果把以太网卡设置为“混杂模式”(Promiscuous Mode),它就能接收在网络上传输的每一个数据包。
15、网络监听器就是依据这种原理来监听网络数据的。,2. 网络监听的实现方式由于网络节点或工作站之间的信息交流归根到底是比特流在物理信道上的传输,现在很多的数据传送是明文传送,因此,只要能截获所传比特流,就可以从中窃听到很多有用的信息。计算机网络中的监听可以在任何位置进行,比如网关、路由器、远程网的调制解调器或者网络中的某一台主机。,1) 基于集线器的监听 当局域网内的主机通过HUB连接时,HUB的作用就是局域网上面的一个共享的广播媒体,所有通过局域网发送的数据首先被送到HUB,然后HUB将接收到的所有数据向它的每个端口转发。只要将某台主机的网卡设置为混杂模式,就可以接收到局域网内所有主机间的数据流
16、量。,2) 基于交换机的监听基于交换机的监听不同于工作在物理层的HUB,交换机是工作在数据链路层的。交换机在工作时维护着一张ARP的数据库表,在这个库中记录着交换机每个端口所绑定的MAC地址,当有数据报发送到交换机时,交换机会将数据报的目的MAC地址与自己维护的数据库内的端口对照,然后将数据报发送到“相应的”端口上,交换机转发的报文是一一对应的。,对交换机而言,仅有两种情况会以广播方式发送: 一是数据报的目的MAC地址不在交换机维护的数据库中,此时报文向所有端口转发; 二是报文本身就是广播报文。因此,基于交换机以太网建立的局域网并不是真正的广播媒体,交换机限制了被动监听工具所能截获的数据。为了实现监听的目的,可以采用MAC f1ooding和ARP欺骗等方法。,(1) MAC flooding: 通过在局域网上发送大量随机的MAC地址,以造成交换机的内存耗尽,当内存耗尽时,一些交换机便开始向所有连在它上面的链路发送数据。(2) ARP欺骗: ARP协议的作用是将IP地址映射到MAC地址,攻击者通过向目标主机发送伪造的ARP应答包,骗取目标系统更新ARP表,将目标系统的网关的MAC地址修
