收藏
下载资源

大讲解网络攻防技术

上传人:bin****86 文档编号:54649516 上传时间:2018-09-16 格式:PPT 页数:214 大小:6.93MB
返回 下载 相关 举报
大讲解网络攻防技术_第1页
第1页 / 共214页
大讲解网络攻防技术_第2页
第2页 / 共214页
大讲解网络攻防技术_第3页
第3页 / 共214页
大讲解网络攻防技术_第4页
第4页 / 共214页
大讲解网络攻防技术_第5页
第5页 / 共214页
点击查看更多>>
资源描述

《大讲解网络攻防技术》由会员分享,可在线阅读,更多相关《大讲解网络攻防技术(214页珍藏版)》请在金锄头文库上搜索。

1、计算机网络,网络攻防技术 or 网络侦查与审计技术,网络侦查审计的三个阶段,第一节:侦查阶段,第一节:侦查阶段,本节要点:,描述侦查过程 识别特殊的侦查方法 安装和配置基于网络和基于主机的侦查软件 实施网络级和主机级的安全扫描 配置和实施企业级的网络漏洞扫描器,安全扫描的概念理解,安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。安全扫描软件是把双刃剑,黑客利用它入侵系统,而系统管理员掌握它以后又可以有效的防范黑客入侵。安全扫描是保证系统和网络安全必不可少的手段,必须仔细研究利用。,安全扫描的检测技术,基于应用的检测技术,它采用被动的,非破坏性的办

2、法检查应用软件包的设置,发现安全漏洞。 基于主机的检测技术,它采用被动的,非破坏性的办法对系统进行检测。 基于目标的漏洞检测技术,它采用被动的,非破坏性的办法检查系统属性和文件属性,如数据库,注册号等。 基于网络的检测技术,它采用积极的,非破坏性的办法来检验系统是否有可能被攻击崩溃。,安全扫描系统具有的功能说明,协调了其它的安全设备 使枯燥的系统安全信息易于理解,告诉了你系统发生的事情 跟踪用户进入,在系统中的行为和离开的信息 可以报告和识别文件的改动 纠正系统的错误设置,安全扫描,whois nslookup host Traceroute Ping扫描工具,安全扫描常用命令,Tracero

3、ute命令,用于路由跟踪,判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间等等 可以推测出网络物理布局 判断出响应较慢的节点和数据包在路由过程中的跳数 Traceroute 或者使用极少被其它程序使用的高端UDP端口,或者使用PING数据包,Traceroute 路由跟踪原理,?TTL-10,A,B,Traceroute 路由跟踪原理,A,B,B,Traceroute 路由跟踪原理,A,?TTL-10,B,Traceroute 路由跟踪原理,A,我知道路由器B存在于这个路径上,路由器B的IP地址,普通Traceroute到防火墙后的主机,假定防火墙的规则阻止除PING和PING响应(I

4、CMP类型8和0),uniwistraceroute traceroute to (210.106.0.105), 30 hops max, 40 byte packets 1 10.0.0.1 (10.0.0.1) 0.540 ms 0.394 ms 0.397 ms 2 202.106.0.2 (202.106.0.2) 2.455 ms 2.479 ms 2.512 ms 3 61.109.101.34 (61.109.101.34) 4.812 ms 4.780 ms 4.747 ms 4 130.10.52.4 (130.10.52.4) 5.010 ms 4.903 ms 4.

5、980 ms 5 134.202.31.115 (134.202.31.115) 5.520 ms 5.809 ms 6.061 ms 6 212.36.70.16 (134.202.31.115) 9.584 ms 21.754 ms 20.530 ms 7 202.99.46.7 (202.99.46.7) 94.127 ms 81.764 ms 96.476 ms 8 202.99.44.76 (202.99.44.76) 96.012 ms 98.224 ms 99.312 ms,使用ICMP数据包后Traceroute结果,xuyitraceroute -I traceroute

6、to (210.106.0.105), 30 hops max, 40 byte packets 1 10.0.0.1 (10.0.0.1) 0.540 ms 0.394 ms 0.397 ms 2 202.106.0.2 (202.106.0.2) 2.455 ms 2.479 ms 2.512 ms 3 61.109.101.34 (61.109.101.34) 4.812 ms 4.780 ms 4.747 ms 4 130.10.52.4 (130.10.52.4) 5.010 ms 4.903 ms 4.980 ms 5 134.202.31.115 (134.202.31.115

7、) 5.520 ms 5.809 ms 6.061 ms 6 212.36.70.16 (134.202.31.115) 9.584 ms 21.754 ms 20.530 ms 7 202.99.46.7 (202.99.46.7) 94.127 ms 81.764 ms 96.476 ms 8 202.99.44.76 (202.99.44.76) 96.012 ms 98.224 ms 99.312 ms,使用ICMP的Traceroute原理,由于防火墙一般不进行内容检查,我们可以将探测数据包到达防火墙时端口为其接受的端口,就可以绕过防火墙到达目标主机。起始端口号计算公式 起始端口号=

8、(目标端口-两机间的跳数*探测数据包数)-1,例:防火墙允许FTP数据包通过,即开放了21号端口,两机间跳数为2起始端口号(ftp端口两机间的跳数*默认的每轮跳数)1(212*3)-1 151 14,扫描类型,按照获得结果分类 存活性扫描 端口扫描 系统堆栈扫描按照攻击者角色分类 主动扫描 被动扫描,一、存活性扫描,发送扫描数据包,等待对方的回应数据包 其最终结果并不一定准确,依赖于网络边界设备的过滤策略 最常用的探测包是ICMP数据包 例如发送方发送ICMP Echo Request,期待对方返回ICMP Echo Reply,Ping扫描作用及工具,子网,192.168.1.16,192.

9、168.1.18,192.168.1.10,192.168.1.12,192.168.1.14,Ping扫描,Ping扫描程序能自动扫描你所指定的IP地址范围,二、端口扫描,端口扫描不仅可以返回IP地址,还可以发现目标系统上活动的UDP和TCP端口,Netscan tools扫描结果,端口扫描技术一览,对SYN分段的回应,对FIN分段的回应,对ACK分段的回应,对Xmas分段的回应,对Null分段的回应,对RST分段的回应,对UDP数据报的回应,端口扫描原理,一个端口就是一个潜在的通信通道,即入侵通道 对目标计算机进行端口扫描,得到有用的信息 扫描的方法:,手工进行扫描 端口扫描软件,OSI

10、参考模型,Application,TCP/IP协议簇,传输层,数据连路层,网络层,物理层,会话层,表示层,应用层,IP协议包头,0,15,16,31,ICMP协议包头,Type(类型),Code(代码),Checksum(校验和),ICMP Content,0,7,8,15,16,31,TCP协议包头,Source port (16),Destination port (16),Sequence number (32),Header length (4),Acknowledgement number (32),Reserved (6),Code bits (6),Window (16),Che

11、cksum (16),Urgent (16),Options (0 or 32 if any),Data (varies),Bit 0,Bit 15,Bit 16,Bit 31,20 bytes,UDP协议包头,Source Port,Length,0,15,16,31,Data,Destination Port,Checksum,TCP三次握手机制,SYN received,主机A:客户端,主机 B:服务端,发送TCP SYN分段 (seq=100 ctl=SYN),TCP连接的终止,主机A:客户端,主机 B:服务端,关闭A到B的连接,关闭B到A的连接,TCP/IP相关问题,一个TCP头包含

12、6个标志位。它们的意义如下所述:,SYN:标志位用来建立连接,让连接双方同步序列号。如果SYN1而ACK=0,则表示该数据包为连接请求,如果SYN=1而ACK=1则表示接受连接; FIN:表示发送端已经没有数据要求传输了,希望释放连接; RST:用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下,如果TCP收到的一个分段明显不是属于该主机上的任何一个连接,则向远端发送一个复位包; URG:为紧急数据标志。如果它为1,表示本数据包中包含紧急数据。此时紧急数据指针有效; ACK:为确认标志位。如果为1,表示包中的确认号时有效的。否则,包中的确认号无效; PSH:如果置位,接收端应尽快把

13、数据传送给应用层。,大部分TCP/IP遵循的原则(1),大部分TCP/IP遵循的原则(2),大部分TCP/IP遵循的原则(3),大部分TCP/IP遵循的原则(4),大部分TCP/IP遵循的原则(5),大部分TCP/IP遵循的原则(6),端口扫描方式,全TCP连接 TCP SYN 扫描 TCP FIN 扫描 其它TCP扫描方式 UDP扫描 UDP recvfrom()和write ()扫描 秘密扫描技术 间接扫描,全TCP连接,长期以来TCP端口扫描的基础扫描主机尝试(使用三次握手)与目的机指定端口建立建立正规的连接 连接由系统调用connect()开始对于每一个监听端口,connect()会获

14、得成功,否则返回1,表示端口不可访问 很容易被检测出来 Courtney,Gabriel和TCP Wrapper监测程序通常用来进行监测。另外,TCP Wrapper可以对连接请求进行控制,所以它可以用来阻止来自不明主机的全连接扫描。,TCP SYN扫描,TCP FIN 扫描,其他TCP扫描方式,NULL扫描,发送一个没有任何标志位的TCP包,根据RFC 793,如果目标主机的相应端口是关闭的话,应该发送回一个RST数据包,向目标主机发送一个FIN、URG和PUSH分组,根据RFC 793,如果目标主机的相应端口是关闭的,那么应该返回一个RST标志,当一个包含ACK的数据包到达目标主机的监听端

15、口时,数据包被丢弃,同时发送一个RST数据包,ACK扫描,FIN+URG+PUSH(Xmas扫描),UDP扫描,使用的是UDP协议,扫描变得相对比较困难 打开的端口对扫描探测并不发送一个确认,关闭的端口也并不需要发送一个错误数据包。然而,许多主机在向未打开的UDP端口发送数据包时,会返回一个ICMP_PORT_UNREACHABLE错误,即类型为3、代码为13的ICMP消息 UDP和ICMP错误都不保证能到达,因此这种扫描器必须还实现在一个包看上去是丢失的时候能重新传输 这种扫描方法是很慢的,因为RFC对ICMP错误消息的产生速率做了规定 这种扫描方法需要具有root权限,UDP recvfrom()和write() 扫描,当非root用户不能直接读到端口不能到达错误时,某些系统如Linux能间接地在它们到达时通知用户。,在非阻塞的UDP套接字上调用recvfrom()时,如果ICMP出错还没有到达时回返回AGAIN重试。如果ICMP到达时,返回CONNECT REFUSED连接被拒绝。这就是用来查看端口是否打开的技术。,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号