《网络扫描与网络监听》由会员分享,可在线阅读,更多相关《网络扫描与网络监听(81页珍藏版)》请在金锄头文库上搜索。
1、第3章 网络扫描与网络监听 概 述本章主要介绍黑客的相关知识、网络踩点的方法、 网络扫描和网络监听技术。其中,网络扫描是黑客实 施攻击前获得目标及其漏洞信息的重要手段,而网络 监听则是黑客向内部网进行渗透的常用手法。目 录一. 黑客概述 二. 网络踩点 三. 网络扫描 四. 网络监听 3.1 黑客概述 3.1.1 黑客的概念 “黑客”一词是由英文单词“Hacker”音译过来的。 最初起源于20世纪50年代,是指那些精力充沛 、热衷于解决计算机难题的程序员。当时计算 机非常昂贵,只存在于各大院校与科研机构, 技术人员使用一次计算机,需要很复杂的手续 ,而且计算机的效率也不高,为了绕过一些限 制,
2、最大限度地利用这些昂贵的计算机,一些 程序员们就写出了一些简洁高效的捷径程序, 这些程序往往较原有的程序系统更完善,这种 行为被称为“Hack” ,而“ Hacker”就是从事这种行 为的人。3.1 黑客概述 3.1.1 黑客的概念 20世纪60、70年代,黑客一词仍是褒义词,用 于指代那些独立思考、奉公守法的计算机迷, 他们智力超群,对计算机全身心投入,从事黑 客活动意味着对计算机的最大潜能进行智力上 的自由探索。随着互联网的日益扩大,逐渐形 成了黑客群体。正是这些黑客,倡导了一场个 人计算机革命,倡导了现代计算机的开放体系 结构,打破了以往计算机技术只掌握在少数人 手里的局面,是计算机发展
3、史上的英雄。3.1 黑客概述3.1 黑客概述3.1 黑客概述3.1 黑客概述 3.1.1 黑客的概念从黑客的起源来看,称计算机犯罪的人 为黑客是对Hacker本质的误解,只会使用 一些软件入侵系统的人根本没有任何资格 和黑客这个词相提并论。黑客:首先应该在某项安全技术上有出众 的能力,即技术上的行家,另外,还应具 有自由、共享的精神和正义的行为,即热 衷于解决问题,并能无偿帮助他人。3.1 黑客概述 3.1.1 黑客的概念 黑客们为了与其他黑客相区别自封了三顶帽子 ,即“黑帽子”、“白帽子”和“灰帽子”。 黑帽子:以入侵他人计算机系统为乐趣并进行 破坏的人。 白帽子:入侵系统进行安全研究并主动
4、帮助别 人修补漏洞的网络安全人员。 灰帽子:指那些发现系统漏洞,并在公开场合探讨这些漏洞和安全防范措施的计算机技术爱好者。3.1 黑客概述 3.1.2 攻击的概念 攻击是对系统全策略的一种侵犯,是指任何 企图破坏计算机资源的完整性(未授权的数据 修改)、机密性(未授权的数据泄露或未授权 的服务的使用)以及可用性(拒绝服务)的活 动。通常,“攻击”和“入侵”同指这样一种活动。3.1 黑客概述 3.1.3 攻击的分类 互联计算机的威胁来自很多形式。1980年, Anderson在其著名的报告中,对不同类型的计 算机系统安全威胁进行了划分,他将入侵分为 外部闯入、内部授权拥护的越权使用和滥用三 种类
5、型,并以此为基础提出了不同安全渗透的 检测方法。 目前,攻击分类的主要依据有:威胁来源、攻 击方式、安全属性、攻击目的和攻击使用的技 术手段等。这里给出几种攻击分类方式。3.1 黑客概述1. 按照威胁的来源,潜在入侵者的攻击可以被粗略地分成 两类。外来人员攻击和内部人员攻击 2. 按照安全属性,Stalling将攻击分为四类,如图3.1所示 。 3. 按照攻击方式,攻击可分为主动攻击和被动攻击。被动攻击包括窃听和监 听。常用保护方法:加 密。此攻击检测困难。主动攻击包括伪装、应 答、修改文件、拒绝服 务。此攻击难阻止、但 可以检测、并修复。3.1 黑客概述 4. 按照入侵者的攻击目的,可将攻击
6、分为下面四类。(1) 拒绝服务攻击:是最容易实施的攻击行为,它企图 通过使目标计算机崩溃或把它压跨来阻止其提供服务。 主要包括:Land,Syn flooding (UDP flooding),Ping of death,Smurf (Fraggle),Teardrop,TCP RST攻击 ,Jot2,电子邮件炸弹,畸形消息攻击。 (2) 利用型攻击:是一类试图直接对你的机器进行控制 的攻击。主要包括:口令猜测,特洛伊木马,缓冲区溢 出。 (3) 信息收集型攻击:这类攻击并不对目标本身造成危 害,而是被用来为进一步入侵提供有用的信息。主要包 括:扫描(包括:端口扫描、地址扫描、反向映射、慢 速
7、扫描),体系结构刺探,利用信息服务(包括:DNS 域转换、Finger服务,LDAP服务)。 (4) 假消息攻击:用于攻击目标配置不正确的消息,主 要包括:DNS高速缓存污染、伪造电子邮件。匿名电子邮件转发u漏洞名称:Exchange Server5.5匿名转发漏洞 u原理匿名电子邮件转发u案例 深圳市二十多个邮件服务器 番禺东城小学Internet东城小学台湾日本匿名电子邮件转发u造成危害 u网络堵塞 u给利用于反动宣传 u解决方法 u打补丁 u关闭该服务或端口25 , 110张三是一个大型软件公司的程序员,其工作是编 写和测试一些工具软件。他所在的公司采用两班 轮换制:白天进行程序开发和联
8、机操作,晚上完 成产品的批处理工作。张三通过访问工作负荷数 据了解到,晚上的批处理工作是白天编程工作的 补充。也就是说,再晚班时增加程序设计工作, 不会太多的影响他人计算机的操作性能。张三利用晚班时间,花费几个小时的编程,开发 了一个管理自己股票清单的程序,之后又回到公 司产品批处理工作上,他的程序对系统消耗很小 ,耗材很少,几乎觉察不到。请问张三的行为违反法律吗?行为道德吗?信息安全案例问题讨论1 资产拥有权问题。计算机资产与时间人员资产。 只为公司的工作需要提供资源。 2 一人行为对他人的影响问题。尽管程序对系统消 耗很小,程序也简单,一般情况也可能无影响。 但不能保证程序中没有漏洞。如有
9、就会对系统造 成严重影响和故障。 3 普遍性问题。如果张三的行为可以接受,许多人 都这样,就会影响系统和效率。 4 检测的可能性与处罚问题。不容易发觉不是不能 检测到,如果公司确定他的行为不当,就会受到 处罚。3.1 黑客概述 5. 按照入侵者使用的技术手段,攻击技术主要 分为以下四类。 网络信息收集技术:包括目标网络中主机的拓 扑结构分析技术、目标网络服务分布分析技术 和目标网络漏洞扫描技术。 目标网络权限提升技术:包括本地权限提升和 远程权限提升。 目标网络渗透技术:包括后门技术、Sniffer技 术、欺骗技术、tunnel及代理技术。 目标网络摧毁技术:包括目标服务终止、目标 系统瘫痪和
10、目标网络瘫痪。3.2 网络踩点 踩点,也就是信息收集。黑客实施攻击 前要做的第一步就是“踩点”。与劫匪抢银 行类似,攻击者在实施攻击前会使用公开 的和可利用的信息来调查攻击目标。通过 信息收集,攻击者可获得目标系统的外围 资料,如机构的注册资料、网络管理员的 个人爱好、网络拓扑图等。攻击者将收集 来的信息进行整理、综合和分析后,就能 够初步了解一个机构网络的安全态势和存 在的问题,并据此拟定出一个攻击方案。3.2 网络踩点 肉鸡就是被黑客攻破,种植了木马病毒的 电脑,黑客可以随意操纵它并利用它做任 何事情,就象傀儡。肉鸡可以是各种系统 ,如windows、linux、unix等,更可以是 一家
11、公司、企业、学校甚至是政府军队的 服务器。 如何检测呢?3.2 网络踩点 注意以下几种基本的情况: 1:QQ、MSN的异常登录提醒 (系统提示上 一次的登录IP不符) 2:网络游戏登录时发现装备丢失或与上次下 线时的位置不符,甚至用正确的密码无法登录 。 3:有时会突然发现你的鼠标不听使唤,在你 不动鼠标的时候,鼠标也会移动,并且还会点 击有关按钮进行操作。 4:正常上网时,突然感觉很慢,硬盘灯在闪 烁,就像你平时在COPY文件。 3.2 网络踩点 5:当你准备使用摄像头时,系统提示, 该设备正在使用中。 6:在你没有使用网络资源时,你发现网 卡灯在不停闪烁。如果你设定为连接后显 示状态,你还
12、会发现屏幕右下角的网卡图 标在闪。 7:服务列队中出可疑程服务。 8:宽带连接的用户在硬件打开后未连接 时收到不正常数据包。(可能有程序后台 连接) 3.2 网络踩点 9:防火墙失去对一些端口的控制。 10:上网过程中计算机重启。 11:有些程序如杀毒软件防火墙卸载时出 现闪屏(卸载界面一闪而过,然后报告完 成。) 12:一些用户信任并经常使用的程序( QQ杀毒)卸载后。目录文仍然存在,删 除后自动生成。 13:电脑运行过程中或者开机的时候弹出 莫名其妙的对话框 3.2 网络踩点 我们可以借助一些软件来观察网络活动情 况,以检查系统是否被入侵。 1注意检查防火墙软件的工作状态 比如金山网镖、3
13、60安全卫士等。在网络 状态页,会显示当前正在活动的网络连接 ,仔细查看相关连接。如果发现自己根本 没有使用的软件在连接到远程计算机,就 要小心了。 3.2 网络踩点 2推荐使用tcpview,可以非常清晰的查 看当前网络的活动状态。 一般的木马连接,是可以通过这个工具 查看到结果的。 这里说一般的木马连接,是区别于某些 精心构造的rootkit木马采用更高明的隐藏 技术,不易被发现的情况。 3.2 网络踩点 3使用360、金山清理专家等进行在线 诊断,特别注意全面诊断的进程项 清理专家会对每一项进行安全评估, 当遇到未知项时,需要特别小心。 4清理专家百宝箱的进程管理器 可以查找可疑文件,帮
14、你简单的检查危 险程序所在。如何避免呢? 3.2 网络踩点 1.关闭高危端口 2.及时打补丁 即升级杀毒软件 3.经常检查系统 4.盗版Windows XP存在巨大风险 5.小心使用移动存储设备 6.安全上网3.2 网络踩点 踩点3.2 网络踩点 Intranet又称为企业内部网,是 Internet技术在企业内部的应用。它 实际上是采用Internet技术建立的企 业内部网络,它的核心技术是基于Web 的计算。Intranet的基本思想是:在内 部网络上采用TCP/IP作为通信协议, 利用Internet的Web模型作为标准信息 平台,同时建立防火墙把内部网和 Internet分开。当然In
15、tranet并非一 定要和Internet连接在一起,它完全 可以自成一体作为一个独立的网络。3.2 网络踩点 whois(读作“Who is”,而非缩写)是用 来查询域名的IP以及所有者等信息的 传输协议。whois就是一个用来查询域名是否已经 被注册,以及注册域名的详细信息的 数据库(如域名所有人、域名注册商 、域名注册日期和过期日期等)。通 过whois来实现对域名信息的查询。 3.2 网络踩点1利用搜索引擎 搜索引擎是一个非常有利的踩点工具,如Google具有很强搜索能 力,能够帮助攻击者准确地找到目标,包括网站的弱点和不完善配 置。比如,多数网站只要设置了目录列举功能,Google就
16、能搜索 出Index of页面,如图3.2。 3.2 网络踩点打开Index of页面就能够浏览一些隐藏在互联网背后的开放了目录 浏览的网站服务器的目录,并下载本无法看到的密码账户等有用文 件,如图3.3。 3.2 网络踩点2利用whois数据库 除了搜索引擎外,Internet上的各种whois数据库也是非 常有用的信息来源。这些数据库包含各种关于Internet 地址分配、域名和个人联系方式等数据元素。攻击者可 以从Whois数据库了解目标的一些注册信息。提供 whois服务的机构很多,其中和中国最相关的机构及其 对应网址如表3.2。3.2 网络踩点下面给出一个例子,利用http:/提供的whois服务查 询信息,如图3.4、图3.5所示。3.2 网络踩点下面给出一
