计算机网络安全技术第8章网络攻击与防护

《计算机网络安全技术第8章网络攻击与防护》由会员分享，可在线阅读，更多相关《计算机网络安全技术第8章网络攻击与防护（59页珍藏版）》请在金锄头文库上搜索。

1、第8章 网络攻击与防护,8.1 黑客及攻击,1黑客概述 在各种媒体上有许多关于Hacker这个名词的定义，一般是指计算机技术的行家或热衷于解决问题、克服限制的人。这可以追溯到几十年前第一台微型计算机刚刚诞生的时代。那时有一个由程序设计专家和网络名人所组成的具有分享特质的文化族群。这一文化族群的成员创造了Hacker这个名词。他们建立了Internet，创造出现在使用的UNIX操作系统，使Usenet运作起来，并且让World Wide Web传播开来，这就是最早的Hacker。,也存在另外一个团体，其成员也称自己为Hacker。这些人专门闯入计算机或入侵电话系统，真正的Hacker称他们为入侵

2、者（Cracker），并且不愿意和他们在一起做任何事。Hacker们认为这些人懒惰，不负责任，并且不够光明正大。他们认为，能破解安全系统并不能使你成为一位Hacker。基本上，Hacker和Cracker之间最主要的不同是，Hacker创造新东西，Cracker破坏东西。 现在，人们所说的黑客是指Cracker。,2黑客常用的攻击方法,（1）获取口令 （2）放置特洛伊木马程序 （3）WWW的欺骗技术 （4）电子邮件攻击 （5）通过一个节点来攻击其他节点 （6）网络监听 （7）寻找系统漏洞 （8）利用账号进行攻击 （9）偷取特权,8.2 IP欺骗,8.2.1 IP欺骗原理 1信任关系 2Rlog

3、in 3TCP序列号预测 4序列编号、确认和其他标志信息 5IP欺骗,8.2.2 IP欺骗的防止,1抛弃基于地址的信任策略 2进行包过滤 3使用加密方法 4使用随机化的初始序列号,8.3 拒绝服务攻击,8.3.1 概述,图8-1 拒绝服务攻击示意图,8.3.2 拒绝服务攻击的原理,1拒绝服务的模式 2拒绝服务常用方法,8.4 侦察与工具 8.4.1 安全扫描,安全扫描以各种各样的方式进行。可以利用Ping和端口扫描程序来侦查网络，也可以使用客户端/服务器程序，如Telnet和SNMP等来侦查网络泄漏的有用信息。应当利用一些工具来了解网络。有些工具很简单，便于安装和使用。有时，审计人员和黑客会利

4、用程序语言如Perl, C,C+和Java自己编制一些工具，因为他们找不到现成的针对某种漏洞的工具。,另外一些工具功能更全面，但是在使用前需要认真地配置。有专门从事网络管理和安全的公司出售这些工具。好的网络级和主机级扫描器会监听和隔离进出网络和主机的所有会话包。在学习这些“Hacker-in-a-box”的解决方案前，应当先接触一些当前黑客常常使用的技巧。,1Whois命令,Whois（类似于finger）是一种Internet的目录服务，whois提供了在Internet上一台主机或某个域的所有者的信息，如管理员的姓名、通信地址、电话号码和E-mail地址等信息，这些信息是在官方网站whoi

5、s server上注册的，如保存在InterNIC的数据库内。Whois命令通常是安全审计人员了解网络情况的开始。一旦得到了Whois记录，从查询的结果还可得知primary和secondary域名服务器的信息。,2nslookup,使用DNS的排错工具nslookup，可以利用从whois查询到的信息侦查更多的网络情况。例如，使用nslookup命令把主机伪装成secondary DNS服务器，如果成功便可以要求从主DNS服务器进行区域传送。要是传送成功的话，将获得大量有用信息，包括： 使用此DNS服务器做域名解析到所有主机名和IP地址的映射情况； 公司使用的网络和子网情况； 主机在网络中的

6、用途，许多公司使用带有描述性的主机名。,使用nslookup实现区域传送的过程有如下几步。 第1步，使用whois命令查询目标网络，例如在Linux提示符下输入whois 。 第2步，得到目标网络的primary和slave DNS服务器的信息。例如，假设主DNS服务器的名字是。 第3步，使用交互查询方式，缺省情况下nslookup会使用缺省的DNS服务器作域名解析。键入命令server 定位目标网络的DNS服务器。,第4步，列出目标网络DNS服务器的内容，如ls 。此时DNS服务器会把数据传送过来。当然，管理员可以禁止DNS服务器进行区域传送，目前很多公司将DNS服务器至于防火墙的保护之下

7、并严格设定了只能向某些主机进行区域传送。 一旦从区域传送中获得了有用信息，便可以对每台主机实施端口扫描以确定它们提供了哪些服务。如果不能实现区域传送，用户还可以借助ping和端口扫描工具，当然还有traceroute。,3host,Host命令是UNIX提供的有关Internet域名查询的命令，可实现主机名到IP地址的映射，反之亦然。用host命令可实现以下功能： 实现区域传送； 获得名称解析信息； 得知域中邮件服务器的信息。 参数-v可显示更多的信息，参数-l实现区域传送，参数-t允许查询特定的DNS记录。,例如，要查询域的邮件服务器的记录，需要键入命令： host t mx （你可以参考U

8、NIX命令帮助获得更多信息） Traceroute（tracert） Traceroute 用于路由追踪，如判断从主机到目标主机经过哪些路由器、跳计数、响应时间如何等。大多数操作系统（包括UNIX、Novell和Windows NT）若配置了TCP/IP协议的话，都会有自己版本的traceroute程序。当然也可以使用其他一些第三方的路由追踪软件，在后面我们会接触到这些工具。 使用traceroute，你可以推测出网络的物理布局，包括该网络连接Internet所使用的路由器。traceroute还可以判断出响应较慢的节点和数据包在路由过程中的跳计数。,4Ping扫描作用及工具,Ping一个公司

9、的Web服务器可帮助获得该公司所使用的IP地址范围。一旦得知了HTTP服务器的IP地址，就可以使用Ping扫描工具Ping该子网的所有IP地址，这可以帮助得到该网络的地址图。 Ping扫描程序将自动扫描所指定的IP地址范围，WS_Ping ProPack工具包中集成有Ping扫描程序。单独的Ping工具有许多，Rhino9 Pinger是比较流行的程序。,8.4.2 端口扫描与其他,1端口扫描 端口扫描与ping扫描相似，不同的是端口扫描不仅可以返回IP地址，还可以发现目标系统上活动的UDP和TCP端口。 例如，地址192.168.1.10正在运行SMTP和Telnet服务，地址192.168

10、.1.12正在运行FTP服务，主机192.168.1.14未运行任何可辨别的服务，而主机192.168.1.16运行着SMTP服务。最后一台主机属于Microsoft网络，因为该网络使用UDP137和TCP138、139端口。,（1）端口扫描软件,端口扫描器是黑客最常使用的工具。一些单独使用的端口扫描工具像Port Scanner1.1，定义好IP地址范围和端口后便可开始实施扫描。还有许多单独使用的端口扫描器，如UltraScan等。如同Ping扫描器，许多工具也集成了端口扫描器。NetScan、Ping Pro和其他一些程序包集成了尽可能多的相关程序。许多企业级的网络产品也将ping和端口扫

11、描集成起来。,（2）网络侦查和服务器侦查程序,使用简单的程序如Ping Pro，可以侦查出Microsoft的网络上开启的端口。Ping Pro的工作是通过监测远程过程调用服务所使用的TCP、UDP135端口，和Microsoft 网络会话所使用的UDP137，138，和139端口来实现的。其他的网络扫描工具允许你监测UNIX、Novell、AppleTalk的网络。虽然Ping Pro只能工作在其安装的特定子网，但还有更多更复杂的工具，这些工具的设计者把它们设计成为可以识别更多的网络和服务类型的程序。 例如，NMAP是UNIX下的扫描工具，它可以识别不同操作系统在处理TCP/IP协议上细微的

12、差别。其他类似的程序还包括checkos,queso和SATAN。,2堆栈指纹,许多程序都利用堆栈指纹技术，这种技术允许利用TCP/IP来识别不同的操作系统和服务。因为大多数的系统管理员注意到信息的泄露而且屏蔽了系统标志，所以应用堆栈指纹的技术十分必要。但是，各个厂商和系统处理TCP/IP的特征是管理员所难以更改的。许多审计人员和黑客记录下这些TCP/IP应用的细微差别，并针对各种系统构建了堆栈指纹表。,要想了解操作系统间处理TCP/IP的差异，需要向这些系统的IP和端口发送各种特殊的包。根据这些系统对包的回应的差别，可以推断出操作系统的种类。例如，可以向主机发送FIN包（或任何不含有ACK或

13、SYN标志的包），从下列操作系统将获得回应： Microsoft Windows NT,98,95,和3.11 FreeBSD CISCO HP/UX,大多数其他系统不会回应。虽然只不过缩小了一点范围，但这至少开始了对目标系统的了解。如果向目标系统发送的报文头有未定义标志的TCP包的话，2.0.35版本以前的LINUX系统会在回应中加入这个未定义的标志。这种特定的行为可以判断出目标主机上是否运行该种LINUX操作系统。,下面是堆栈指纹程序利用的部分特征，许多操作系统对它们的处理方式不同： ICMP错误信息抑制 服务类型值(TOS) TCP/IP选项 对SYN FLOOD的抵抗力 TCP初始窗口

14、 只要TCP开始进行三次握手，总是先发出一个SYN包。像NMAP这样的程序会发出一个SYN包欺骗操作系统作回应。堆栈指纹程序可以从回应报文的格式，推论出目标操作系统的一些情况。,NMAP由于功能强大、不断升级和免费的原因，使之十分流行。它对网络的侦查十分有效是基于两个原因。首先，它具有非常灵活的TCP/IP堆栈指纹引擎。NMAP的制作人FYODOR不断升级该引擎，使它能够尽可能多的进行猜测。NMAP可以准确地扫描服务器操作系统（包括Novell、UNIX、Linux、NT），路由器（包括CISCO、3COM和HP），还有一些拨号设备。其次，它可以穿透网络边缘的安全设备，例如防火墙。,NMAP穿

15、透防火墙的一种方法是利用碎片扫描技术（fragment scans），可以发送隐秘的FIN包（-sF）、Xmas tree包（-sX）或NULL包（-sN）。这些选项允许将TCP查询分割成片断，从而绕过防火墙规则。这种策略对很多流行的防火墙产品都很有效。 当前NMAP只能运行在Linux操作系统上，包括Free BSD 2.2.6-30、HP/UX和Solaris等Linux的所有版本。在Linux的X-Windows上还提供图形界面。最好的掌握NMAP的方法是学习使用它。使用nmaph命令可以显示帮助信息，当然，也可以用man nmap命令查看它的使用手册。,3共享扫描,共享扫描指可以扫描网

16、络中绝大多数的内容，包括正在使用的共享。这种扫描过程提供了重要的侦查和利用各种资源和文件的方法。,（1）共享扫描软件,Ping Pro提供了允许审计人员扫描Windows网络共享的功能。它能侦查出共享名称，但不会入侵共享。例如，Microsoft网络利用TCP139端口建立共享。更具侵略性的侦查软件有知名的RedButton，许多Internet站点都免费提供下载。 RedButton是一个很古老的程序，大多数的系统管理员和安全管理员都找到了防范它的方法。这个程序不仅可以侦查出共享名称还可以发现相应的密码。它还可以获得管理员的账号名称。,（2）缺省配置和补丁级扫描,黑客和审计人员对系统的缺省配置很了解，可以编制工具查找这些弱点。实际上，许多企业级的侦查工具都是针对这些弱点进行工作的。安全专家还知道操作系统工作的细节，根据服务补丁和hot fix的数量进行升级。,