《信息收集与漏洞扫描》由会员分享,可在线阅读,更多相关《信息收集与漏洞扫描(86页珍藏版)》请在金锄头文库上搜索。
1、4 信息收集与漏洞扫描 攻击的前奏1内容踩点社会工程学搜索引擎网络嗅探安全扫描21 1、踩点、踩点孙子兵法孙子兵法里指出:里指出:“知己知彼,百战不殆;不知彼而知己,一知己知彼,百战不殆;不知彼而知己,一胜一负;不知彼不知己,每战必败胜一负;不知彼不知己,每战必败。” ” 对对于黑客们来说,在开始真正肆虐之前,必须完成三个基本步骤。于黑客们来说,在开始真正肆虐之前,必须完成三个基本步骤。本章讨论本章讨论第一个步骤第一个步骤踩点(踩点(footprintingfootprinting),这是收集目这是收集目标信息的奇技淫巧。举例来说,当盗贼决定抢劫一家银行时,他们标信息的奇技淫巧。举例来说,当盗
2、贼决定抢劫一家银行时,他们不会大摇大摆地走进去直接要钱(至少明智的贼不会)。相反,他不会大摇大摆地走进去直接要钱(至少明智的贼不会)。相反,他们会狠下一番苦功夫收集关于这家银行的相关信息,包括武装押运们会狠下一番苦功夫收集关于这家银行的相关信息,包括武装押运车的路线和运送时间、摄像头位置和摄像范围、出纳员人数、逃跑车的路线和运送时间、摄像头位置和摄像范围、出纳员人数、逃跑出口以及其他任何有助于行事的信息。出口以及其他任何有助于行事的信息。3踩点攻击者可以通过对某个组织进行有计划、有步骤的踩点,收集整理出一份关于该组织信息安防现状的完整剖析图。结合使用各种工具和技巧,攻击者完全可以从对某个组织(
3、比如XYZ公司)毫无所知变成知之甚详,他们可以从公开渠道查出该组织具体使用的域名、网络地址块、与因特网直接相联的各有关系统的IP地址以及与信息安防现状有关的其他细节。有很多种技术可以用来进行踩点,但它们的主要目的不外乎发现和收集与以下几种与网络环境相关的信息:因特网、内联网(intranet)、远程访问和外联网(extranet)。4网络环境网络环境需要确认的信息需要确认的信息因特网因特网域名域名网络地址块网络地址块可以直接从因特网进行访问的各个系统的具体可以直接从因特网进行访问的各个系统的具体IP地址地址已被发现的各个系统上运行的已被发现的各个系统上运行的TCP和和UDP服务服务系统体系结构
4、(例如系统体系结构(例如SPARC或或X86)访问控制机制和相关的访问控制表(访问控制机制和相关的访问控制表(access control list,ACL)入侵检测系统(入侵检测系统(intrusion detection system,IDS)各各有有关关系系统统的的细细节节信信息息(用用户户名名和和用用户户组组名名、系系统统旗旗标标、路路由由表表、SNMP信息等等)信息等等)DNS主机名主机名外联网外联网连接的源地址和目标地址连接的源地址和目标地址连接的类型连接的类型访问控制机制访问控制机制5网络环境网络环境需要确认的信息需要确认的信息内联网内联网组网协议(比如说,组网协议(比如说,IP
5、、IPX、DecNET等等)等等)内部域名内部域名网络地址块网络地址块可以直接从内联网进行访问的各个系统的具体可以直接从内联网进行访问的各个系统的具体IP地址地址已被发现的各系统上运行的已被发现的各系统上运行的TCP和和UDP服务服务已被发现的各系统的体系结构(例如,已被发现的各系统的体系结构(例如,SPARC还是还是X86)访问控制机制和相关的访问控制表(访问控制机制和相关的访问控制表(access control list,ACL)入侵检测系统(入侵检测系统(intrusion detection system,IDS)各有关系统的细节信息(用户名和用户组名、系统旗标、路由表、各有关系统的
6、细节信息(用户名和用户组名、系统旗标、路由表、SNMP信息等等)信息等等)远程访问远程访问模拟模拟/数字电话号码数字电话号码远程系统的类型远程系统的类型身份验证机制身份验证机制VPN和相关的协议(和相关的协议(IPSec和和PPTP)6步骤1:确定踩点活动范围首先要解决的问题是确定踩点活动的范围。换句话说,是打算对目标组织做全面的踩点,还是把自己的踩点活动范围控制在它的某个子公司或某个特定的地理位置?在许多场合,单是把与某个组织有关的的所有实体全都找出来就已经是一项令人生畏的繁杂任务,若再想把它们都保护得面面俱到就更不容易了.7步骤2:获得必要的授权从纯粹的技术角度讲,OSI网络模型只有7个层
7、次,但在讨论信息安防问题的时候,都认为应该把政治因素和资金因素看做是OSI模型的第8层和第9层。这两个层次对黑客来说无足轻重,但你们却必须特别加以注意。这些层次对信息安防工作有着种种影响,其中又以授权方面的问题最不好解决。你的踩点或其他活动是否得到了授权?你获得的授权都允许你从事哪些具体的活动?授权是否来自有权做出这种授权的人?授权是不是以书面形式下达的?目标IP地址是否正确无误?8步骤3:可以从公开渠道获得的信息可以从公开渠道获得的信息 流行度:9简单度:9影响力:2风险率:7如果把收集情报比作大海捞针的话,那么踩点活动要捞的“针”都有哪些呢?公司的Web网页相关组织地理位置细节电话号码、联
8、系人名单、电子邮件地址、详细的个人资料近期重大事件(合并、收购、裁员、快速增长等等)可以表明现有信息安防机制的隐私/安防策略和技术细节已归档的信息心怀不满的员工搜索引擎、Usenet和个人简历让人感兴趣的其他信息9公司的Web网页说到踩点,仔细研究目标组织的Web网页通常是一个很好的出发点。在很多时候,目标组织的Web站点会向攻击者提供大量有用的信息。我们曾亲眼见过很多缺乏安防意识的组织就那么毫不掩饰地把它们的网络或系统安防配置细节列在它们的因特网Web服务器上。此外,HTML源代码里的注释语句也是一个收集情报的好去处。在诸如“”、“!”和“”之类的HTML注释标记里往往会隐藏着一些你们在We
9、b浏览器的窗口画面里看不到的秘密。以脱机方式阅读源代码通常要比以在线方式查阅来得更快,所以把整个站点镜像下来进行脱机浏览的好处很多。在你们自己的机器里保留一份目标站点的本地拷贝可以让你们通过各种编程手段去查找你们感兴趣的注释或其他内容,而这将使你们的踩点活动更有效率。至于镜像整个Web站点的工具,UNIX操作系统下的Wget()和Windows操作系统下的Teleport Pro()都是非常不错的选择。10地理位置细节对目的明确的攻击者来说,一个具体的地理地址往往非常有用。有了这个地址,攻击者就可以去“翻垃圾”(从垃圾箱里寻找废弃的敏感文件)、盯梢、进行社交工程或者展开其他非技术性的攻击。利用
10、泄露的地理地址还可能非法侵入对方的办公大楼、有线或无线网络、计算机等。利用因特网上的各种资源,攻击者甚至可以获得目标建筑物的一份相当详尽的卫星图像。就拿笔者最喜欢的站点来说吧,该站点的拥有者是Google公司的一家子公司,它可以让你把全世界(至少是全世界的各主要都市)尽收眼底,并通过一个设计得非常优秀的客户端软件以令人惊讶的清晰度和细节把某给定地址的周边地理环境展示在你的面前(如图1-1所示)。站点也是一个查看地理环境的流行资源。11电话号码、联系人名单、电子邮件地址和详细的个人资料在得到你的电话号码之后,攻击者就可以通过、或之类的网站查出你的地理地址。他们还可以根据你的电话号码为他们的“密集
11、拨号”攻击设定一个攻击范围或是开展“社交工程”攻击以获得更多的信息和/或访问权限。12已归档的信息在因特网上有一些专门归档保存过期信息的站点,你们可以从这类站点上轻而易举地检索出很多从其原始来源都无法查到的信息。由于这类站点的存在,很多因为安全原因而被特意删除的信息还是可以被那些知道这一诀窍的人检索出来。这类站点的例子有地址处的WayBack Machine网站(如图1-3所示)、和通过Google搜索引擎的cached results(缓存结果)链接查看到的缓存结果(如图1-4所示)。13在网站上检索到的多年前的网页 14搜索引擎的特性使得任何人都可以轻而易举地查看到它们曾标引过的缓存内容。
12、图中是通过Google搜索引擎的cached results(缓存结果)链接检索出来的主页的缓存版本 15Google与黑客1、 index of /admin2、index of /passwd /passwd目录3、index of /password 4、index of /mail /电子邮件目录5、“index of /config”/查询config 目录利用index of可以浏览一些隐藏在互联网背后的开放了目录浏览的网站服务器的目录,并能够下载本无法看到的密码等有用文件16Google与黑客inurl: inurl: 是骇客重要的搜寻方法,可搜到网址包括的关键字, 例如填上 a
13、llinurl:login password 作搜寻,便会很易找到有 login 和 password 的网页。 17搜索引擎、Usenet和个人简历现如今的搜索引擎已经发展到了一种不可思议的地步。只需几秒钟的时间,你就可以查到想知道的任何问题的答案。现在,许多流行的搜索引擎都提供了这样或那样的高级搜索功能,这些功能可以帮助你把最细枝末节的信息轻而易举地查找出来。搜索引擎:、和(它会把你的搜索请求同时发送给多个搜索引擎)。18步骤4:WHOIS和DNS查点whois 流行度:9简单度:9影响力:5风险率:8为了确保因特网上的各类系统可以互联互通、防止IP地址发生冲突、确保地理边界和政治因素不会
14、给名字解析带来干扰,因特网的几种基础性功能必须由某个中央机构统一管理起来。这意味着有人在管理着数量十分庞大的信息。如果你们了解这一点是如何做到的,就可以有效地利用好这个信息宝库!因特网的这些核心功能是由一家名为Internet Corporation for Assigned Names and Numbers(ICANN;)的非赢利组织负责管理的。19ICANN有很多下属分支机构,我们此时最感兴趣的是以下三个:有很多下属分支机构,我们此时最感兴趣的是以下三个:Address Supporting Organization(ASO,地址支持组织),地址支持组织)Generic Name Sup
15、porting Organization(GNSO,基本名称支持,基本名称支持组织)组织)Country Code Domain Name Supporting Organization(CNNSO,国家代码域名支持组织),国家代码域名支持组织) 20ASO负责听取、审查与负责听取、审查与IP地址分配政策有关的意见并就这些问题向地址分配政策有关的意见并就这些问题向ICANN董事会董事会提出建议。提出建议。ASO负责把负责把IP地址块统一分配给几个在各自的辖区内负责公共因特网地址块统一分配给几个在各自的辖区内负责公共因特网号码资源的管理、分配和注册事务的洲际因特网注册局(号码资源的管理、分配和注
16、册事务的洲际因特网注册局(Regional Internet Registry,RIR;如下图所示)。这些;如下图所示)。这些RIR再把再把IP地址分配给企事业单位、因特网地址分配给企事业单位、因特网接入服务提供商(接入服务提供商(Internet service provider,ISP)或者)或者根据当地政府(主根据当地政府(主要是一些共产主义国家和集权统治国家)的有关规定要是一些共产主义国家和集权统治国家)的有关规定国家因特网注册局国家因特网注册局(National Internet Registry,NIR)或地区因特网注册局()或地区因特网注册局(Local Internet Reg
17、istry,LIR):):APNIC()() 亚太地区亚太地区ARIN()() 南美洲、北美洲和非洲下撒哈拉地区南美洲、北美洲和非洲下撒哈拉地区LACNIC()() 拉丁美洲和加勒比海地区拉丁美洲和加勒比海地区RIPE()() 欧洲、亚洲部分地区、赤道以北的非洲地区和中东地区欧洲、亚洲部分地区、赤道以北的非洲地区和中东地区AfriNIC(;目前仍是(;目前仍是“观察员身份观察员身份”) 南非和北非地区目前分别由南非和北非地区目前分别由ARIN和和RIPE负责,但最终将会交给负责,但最终将会交给AfriNIC来管辖来管辖21GNSO负责听取、审查与通用顶级域负责听取、审查与通用顶级域域名分配政策
18、有关的各种意见,并就域名分配政策有关的各种意见,并就这些问题向这些问题向ICANN董事会提出建议董事会提出建议(如右图所示)。请注意,(如右图所示)。请注意,GNSO不不负责具体的域名注册事务,它只负责负责具体的域名注册事务,它只负责顶级域(比如顶级域(比如.com、.net、.edu、.org和和.info等),通用顶级域的完等),通用顶级域的完整清单可以在主页上查到。整清单可以在主页上查到。22CCNSO负责听取、审查与国家负责听取、审查与国家代码顶级域域名分配政策有关的代码顶级域域名分配政策有关的各种意见,并就这些问题向各种意见,并就这些问题向ICANN董事会提出建议。请注董事会提出建议
19、。请注意,意,CCNSO也不负责具体的域也不负责具体的域名注册事务。国家代码顶级域的名注册事务。国家代码顶级域的完整清单可以在主页上查到(如完整清单可以在主页上查到(如右图所示)。右图所示)。23虽然上述信息的管理工作相当集中化,但实际数据却因为技术和政虽然上述信息的管理工作相当集中化,但实际数据却因为技术和政治方面的原因分别存储在全球各地的许多治方面的原因分别存储在全球各地的许多WHOIS服务器上。使事情服务器上。使事情变得更加复杂的是,变得更加复杂的是,WHOIS查询的语法、允许的查询类型、可供查查询的语法、允许的查询类型、可供查询的数据和查询结果的格式在不同的服务器间往往有着很大的差异。
20、询的数据和查询结果的格式在不同的服务器间往往有着很大的差异。此外,出于防范垃圾邮件制造者、黑客和资源过载问题的考虑,许此外,出于防范垃圾邮件制造者、黑客和资源过载问题的考虑,许多注册服务商都会限制人们进行某些查询;出于国家安全方面的考多注册服务商都会限制人们进行某些查询;出于国家安全方面的考虑,虑,.mil和和.gov域的信息完全不允许普通大众进行查询。域的信息完全不允许普通大众进行查询。只要有合适的工具、再加上一些技巧和足够的耐心,就应该可以把只要有合适的工具、再加上一些技巧和足够的耐心,就应该可以把这个星球上几乎所有曾经注册过的单位和个人的域注册信息和这个星球上几乎所有曾经注册过的单位和个
21、人的域注册信息和IP注注册信息查询出来!册信息查询出来!24域注册信息的查询域注册信息(比如域注册信息(比如)和)和IP注册信息(比如注册信息(比如IP地址块、地址块、BGP自自主系统号码、等等)需要分别向两个机构注册,这意味着我们需要沿着两条主系统号码、等等)需要分别向两个机构注册,这意味着我们需要沿着两条不同的路径去查找这些细节。先来看一个查找域注册信息的例子,例子中的不同的路径去查找这些细节。先来看一个查找域注册信息的例子,例子中的目标组织是目标组织是。首先,我们需要确定想要查找的信息到底存储在哪个首先,我们需要确定想要查找的信息到底存储在哪个WHOIS服务器上。这服务器上。这一查询的基
22、本思路是这样的:先通过某个给定一查询的基本思路是这样的:先通过某个给定TLD(top-level domain,顶,顶级域)的官方注册局查出目标组织是向哪家注册商进行注册,再从那家注册级域)的官方注册局查出目标组织是向哪家注册商进行注册,再从那家注册商那里查出查找的目标组织的域名注册细节。因为官方注册局(商那里查出查找的目标组织的域名注册细节。因为官方注册局(Registry)、)、注册商(注册商(Registrar)和注册人()和注册人(Registrant,也就是目标组织)的英文名,也就是目标组织)的英文名称都以字母称都以字母“R”打头,所以我们把它们统称为打头,所以我们把它们统称为WHO
23、IS查询的三个查询的三个“R”。25首先,我们需要从站点查出所有,我们需要从站点查出所有.com域的最终注册机构。这个搜索域的最终注册机构。这个搜索(如下图所示)告诉我们,(如下图所示)告诉我们,.com域的官方注册机构是域的官方注册机构是Verisign Global Registry Services( )26在在Verisign Global Registry Services的站点上(见下图),我们用的站点上(见下图),我们用“”作为关键字查出该域名是通过为的域名注册商进行的作为关键字查出该域名是通过为的域名注册商进行的注册注册。27如果我们再去那个站点(如下图所示),就可以通过它们的
24、如果我们再去那个站点(如下图所示),就可以通过它们的Web界面查界面查询这家注册商的询这家注册商的WHOIS服务器查找到服务器查找到域名的注册细节信息域名的注册细节信息大功告成!大功告成!28注册人细节信息可以告诉我们目标组织的注册人细节信息可以告诉我们目标组织的地理地址、电话号码、联系人名字、电子邮件地址、DNS服务器名字、IP地址等很多有用的地址等很多有用的信息。信息。此外,下面这些网站可以自动完成这种此外,下面这些网站可以自动完成这种WHOIS查询:查询:最后,还有其他一些最后,还有其他一些GUI界面的工具可以帮助你们进行这类查询:可以帮助你们进行这类查询:SamSpade:SuperS
25、can:NetScan Tools Pro:29IP注册信息的查询现在,你们已经知道如何查询域注册信息了,可是IP注册信息又该如何查询呢?我们前面讲过,IP注册事务是由属于ICANN的ASO的几家RIR具体负责的。下面,我们就一起去看看如何查询这些信息吧。与TLD的情况不同,ICANN(IANA)的WHOIS服务器目前并不是所有RIR的最终注册机构,但每家RIR都知道自己都管辖着哪些个IP地址范围。我们只须从它们当中随便挑选一个作为IP注册信息查询的出发点,它就会告诉我们应该去往哪一个RIR才能找到需要的信息。30我们不妨假设你希望了解源IP地址是61.0.0.2的记录项,你想知道这个IP地址
26、到底来自哪里。从ARIN(http:/)开始这次追踪,于是把这个IP地址作为关键字输入到了ARIN网站的WHOIS查询提示框里(如下图所示),但它却告诉你说这个IP地址范围的实际管理者是APNIC。31在APNIC的站点继续进行这次搜索(如下图所示)。在那里,就可发现这个IP地址是由印度的National Internet Backbone公司负责管理的。32机制资源适用平台Web界面安装有Web客户程序的任何一种平台Whois客户程序大多数UNIX版本自带的whois查询工具UNIXChris Cappuccio()编写的Fwhois程序WS_Ping ProPackWindows 95/N
27、T/2000/XPSam SpadeWindows 95/NT/2000/XPSam Spade工具的Web界面安装有Web客户端程序的任何一种平台Netscan工具Windows 95/NT/2000/XPXwhoisnr/xwhois/安装有X和GTK+GUI开发工具包的UNIX系统JwhoisUNIXWHOIS查询工具查询工具/数据源的下载地址和适用平台数据源的下载地址和适用平台 33步骤5:DNS查询确认了所有关联的域名后,就可以开始查询DNS了。DNS是一个把主机名映射为IP地址或者把IP地址映射为主机名的分布式数据库系统。如果DNS配置得不够安全,就有可能泄露有关组织的敏感信息。3
28、4区域传送流行度:9简单度:9影响力:3风险率:7对一名系统管理员来说,允许不受信任的因特网用户执行对一名系统管理员来说,允许不受信任的因特网用户执行DNS区域传送区域传送(zone transfer)操作是后果最为严重的错误配置之一。)操作是后果最为严重的错误配置之一。区域传送操作指的是一台后备服务器使用来自主服务器的数据刷新自己的区域传送操作指的是一台后备服务器使用来自主服务器的数据刷新自己的zone数据库。这为运行中的数据库。这为运行中的DNS服务提供了一定的冗余度,其目的是为了服务提供了一定的冗余度,其目的是为了防止主域名服务器因意外故障变得不可用时影响到全局。一般来说,防止主域名服务
29、器因意外故障变得不可用时影响到全局。一般来说,DNS区区域传送操作只在网络里真的有后备域名域传送操作只在网络里真的有后备域名DNS服务器时才有必要执行,但许多服务器时才有必要执行,但许多DNS服务器却被错误地配置成只要有人发出请求,就会向对方提供一个服务器却被错误地配置成只要有人发出请求,就会向对方提供一个zone数据库的拷贝。如果所提供的信息只是与连到因特网上且具备有效主数据库的拷贝。如果所提供的信息只是与连到因特网上且具备有效主机名的系统相关,那么这种错误配置不一定是坏事,尽管这使得攻击者发现机名的系统相关,那么这种错误配置不一定是坏事,尽管这使得攻击者发现潜在目标要容易得多。真正的问题发
30、生在一个单位没有使用公用潜在目标要容易得多。真正的问题发生在一个单位没有使用公用/私用私用DNS机制来分割外部公用机制来分割外部公用DNS信息和内部私用信息和内部私用DNS信息的时候,此时内部主机信息的时候,此时内部主机名和名和IP地址都暴露给了攻击者。把内部地址都暴露给了攻击者。把内部IP地址信息提供给因特网上不受信任地址信息提供给因特网上不受信任的用户,就像是把一个单位的内部网络完整蓝图或导航图奉送给了别人。的用户,就像是把一个单位的内部网络完整蓝图或导航图奉送给了别人。35使用大多数UNIX和Windows上通常提供的nslookup客户程序是执行区域传送的一个简单办法。我们可以以交互模
31、式使用nslookup:bash$ nslookupDefault Server: Address: 10.10.20.2 216.182.1.1Server: Address: 10.10.20.2Name: Address: 216.182.1.1 set type=any ls -d T. /tmp/zone_out36运行nslookup程序。将回显它当前使用的名字服务器,它通常是本单位的本地DNS服务器或者某ISP提供的DNS服务器。以手动方式告诉nslookup去查询哪一个DNS服务器。具体到上面的例子,我们使用Tellurian Networks的主DNS服务器216.182.1
32、.1。接下来,我们把记录类型设置为“any”,这允许你取得任何可能的DNS记录(使用man nslookup命令查看),从而构成一个完整的清单。最后,我们使用“ls”选项列出所有与目标域名有关的记录,其中“-d”开关用于列出该域名的所有记录。我们在域名后面添了一个点号“.”以强调这是一个完全限定域名。另外,我们把输出内容重定向到文件 /tmp/zone_out里去,以便稍后对它操作。完成区域传送后,查看输出文件,找一找是否存在有助于确认特定系统的让人感兴趣的信息。因为Tellurian Network网站不允许进行区域传送操作,我们这里只能给出一个示例性的输出结果:37bash$ more z
33、one_outacct18 1D IN A 192.168.230.3 1D IN HINFO Gateway2000 WinWKGRPS1D IN MX 0 tellurianadmin-smtp1D IN RP bsmith.rci bsmith.who1D IN TXT Location:Telephone Roomau 1D IN A 192.168.230.41D IN HINFO Aspect MS-DOS1D IN MX 0 andromeda1D IN RP jcoy.erebus jcoy.who1D IN TXT Location: Library在上面的输出清单里,列在右
34、边的每个主机系统名栏都对应一个“A”类型记录,它指出了该系统的IP地址。另外,每台主机都对应一个HINFO记录,标识其平台或所运行的操作系统类型。38步骤6:网络侦察找到可以作为潜在攻击目标的网络之后,攻击者就可以去尝试确定那些网络的网络拓扑结构和可能存在的网络访问路径了。路由追踪:流行度:9简单度:9影响力:2风险率:7为了完成这一任务,我们可以使用大多数为了完成这一任务,我们可以使用大多数UNIX版本和版本和Windows NT都提供的都提供的traceroute程序(下载地址:)。在程序(下载地址:)。在Windows操作系统里,因为需要与早期的操作系统里,因为需要与早期的8.3文件命名
35、规则文件命名规则保持兼容,所以这个工具的程序名是保持兼容,所以这个工具的程序名是“tracert”。39例如:bash$ traceroute traceroute to (216.182.1.7), 30 hops max, 38 byte packets1 (205.243.210.33) 4.264 ms 4.245 ms 4.226 ms2 (66.192.251.0) 9.155 ms 9.181 ms 9.180 ms3 (168.215.54.90) 9.224 ms 9.183 ms 9.145 ms4 (144.232.192.33) 9.660 ms 9.771 ms 9
36、.737 ms5 (144.232.1.217) 12.654 ms 10.145 ms 9.945 ms6 (144.232.1.173) 10.235 ms 9.968 ms 10.024 ms7 (144.232.8.97) 133.128 ms 77.520 ms 218.464 ms8 (144.232.18.78) 65.065 ms 65.189 ms 65.168 ms9 (144.232.16.252) 64.998 ms 65.021 ms 65.301 ms10 (144.223.15.130) 82.511 ms 66.022 ms 66.17011 (216.182.
37、1.7) 82.355 ms 81.644 ms 84.238 ms408/9/2024412、Sniffer(嗅探器)简介嗅探器是能够捕获网络报文的设备(软件或硬件)嗅探器是能够捕获网络报文的设备(软件或硬件),嗅探器这个术语源于通用网络公司,嗅探器这个术语源于通用网络公司(Network (Network General)General)开发的捕获网络数据包软件开发的捕获网络数据包软件SnifferSniffer。以。以后的协议分析软件都被称为后的协议分析软件都被称为SnifferSniffer。418/9/202442Sniffer的用途SnifferSniffer的正当用处是分析网络流
38、量,确定网络的正当用处是分析网络流量,确定网络故障原因。比如:网络的某一段出现问题,报故障原因。比如:网络的某一段出现问题,报文传输非常慢,而管理员又不知道那里出了问文传输非常慢,而管理员又不知道那里出了问题。这时,就可以利用题。这时,就可以利用sniffersniffer来确定网络故障原来确定网络故障原因。另外,利用因。另外,利用sniffersniffer还可以统计网络流量。还可以统计网络流量。n n而黑客利用而黑客利用sniffersniffer软件来捕获网络流量,从中软件来捕获网络流量,从中发现用户的各种服务的帐号和口令或是信用卡发现用户的各种服务的帐号和口令或是信用卡账号。账号。42
39、网卡接收模式网卡接收模式( 1) 广播模式: 该模式下的网卡能够接收网络中的广播信息。( 2) 组播模式: 该模式下的网卡能够接收组播数据。( 3) 直接模式: 在这种模式下, 只有匹配目的MAC 地址的网卡才能接收该数据帧。( 4) 混杂模式: 在这种模式下, 网卡能够接收一切监听到的数据帧, 而无论其目的MAC 地址是什么。8/9/202443438/9/202444Sniffer工作原理正常模式:网卡只接收目的地址为本机的网络数据。混杂模式(promiscuous):是指网卡接收网络上传输的所有网络数据,而不仅仅只接收它们自己的数据。 Sniffer就是将主机的网络接口(网卡)设置成混杂
40、模式(promiscuous),那么它就能够接收到网络中所有的报文和数据帧。Linux下设置网卡混杂模式需要root权限:ifconfig eth0 promisc448/9/202445Sniffer工作的必要条件lsniffer工作在共享式以太网,也就是说使用Hub来组成局域网。l本机的网卡需要设置成混杂模式。l本机上安装处理数据包的嗅探软件l需要系统管理员权限来运行sniffer软件。458/9/202446交换机工作原理交换机交换机(switch)(switch)比集线器比集线器(HUB)(HUB)更聪明,它知道每更聪明,它知道每台计算机的台计算机的MACMAC地址信息和与之相连的特定
41、端口,地址信息和与之相连的特定端口,发给某个主机的数据包会被发给某个主机的数据包会被SWITCHSWITCH从特定的端从特定的端口送出,而不是象口送出,而不是象HUBHUB那样,广播给网络上所有那样,广播给网络上所有的机器。的机器。 468/9/202447被动嗅探被动嗅探 vs 主动嗅探主动嗅探l共享式以太网的嗅探:由集线器(HUB)组建的以太网叫做共享式以太网,采取数据广播方式。Sniffer可以正常工作。l交换式以太网的嗅探:交换式以太网的嗅探:由交换机(switch)组建的以太网,采取点对点数据传输方式。 sniffer在交换网络环境中只能捕获本机网络流量。478/9/202448交换
42、网络中的嗅探攻击ArpspoofArpspoof攻击攻击交换环境下的交换环境下的sniffersniffer需要进行需要进行arparp欺骗攻击(欺骗攻击(arpspoofarpspoof),),实际上是中间人攻击。通过欺骗网关和被攻击主机,感染实际上是中间人攻击。通过欺骗网关和被攻击主机,感染它们的它们的arparp缓存来实现网络数据包的嗅探。缓存来实现网络数据包的嗅探。MAC FLOODMAC FLOOD(MACMAC地址泛滥)地址泛滥) 向向LANLAN中发送大量的随机中发送大量的随机MACMAC地址,由于交换机把每个链地址,由于交换机把每个链路上使用的路上使用的MACMAC地址都保存在
43、它的内存中,当交换机的内地址都保存在它的内存中,当交换机的内存被耗尽时,交换机就会将数据包发送到所有的链路上,存被耗尽时,交换机就会将数据包发送到所有的链路上,这时交换机变成了集线器。而这时交换机变成了集线器。而sniffersniffer在共享式网络中可以在共享式网络中可以嗅探到网络中的所有数据包。嗅探到网络中的所有数据包。48ARP协议及ARP欺骗ARP协议实现IP地址解析为MAC地址;RARP协议实现MAC地址解析为IP地址.Windows操作系统在接受到ARP REPLY的信息时,立刻更新缓存的ARP信息。因此,当接收到假冒的ARP信息时, ARP缓存就被污染了。ARP协议不进行验证和
44、确认。因此,ARP欺骗是很难防御的。49ARP欺骗欺骗(ARP spoof)l向被欺骗主机发送包含欺骗内容的ARP响应包,来改变被欺骗主机的ARP缓冲。lARP欺骗攻击是属于局域网内部的欺骗攻击,即攻击主机与被欺骗主机都必须在同一个网段内。l下面的ARP欺骗攻击实验所使用的攻击工具是Dug Song的工具集Dsniff中的arpspoof。Arpsoof的限制是只能使用本机的MAC地址,而不能任意指定MAC地址。50在交换式网络上监听数据包ARP重定向技术,一种中间人攻击,可使用dsniff中的arpspoof实现。ABGW1 B打开IP转发功能2 B发送假冒的arp包给A,声称自己是GW的I
45、P地址3 A给外部发送数据,首先发给B4 B再转发给GW51ARP欺骗GATE网关,被冒名的主机 00-00-00-00-00-00 192.168.1.1 C目标机,被攻击对象 00-00-e2-52-c3-38 192.168.1.213 B跳板机,被控制,用于伪造包的直接发送00-50-56-40-5b-93 192.168.1.232 A发动欺骗的主机 00-0d-87-61-a9-81 192.168.1.234 主机代号主机用途主机MAC地址主机IP52被欺骗主机的arp缓冲1step1:使用arp a 命令显示C的arp缓存内容为: Interface: 192.168.1.21
46、3 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.1 00-00-00-00-00-00 dynamicstep2: A远程登陆B后,从B ping向C,这时C的arp缓存中加入了B的信息:Interface: 192.168.1.213 on Interface 0x1000003Internet Address Physical Address Type 192.168.1.1 00-00-00-00-00-00 dynamic 192.168.1.232 00-50-56-40-5b-93
47、dynamic53被欺骗主机的arp缓冲2step3:A控制B,以B的mac,网关的名义(ip),向C发arp响应数据包,那么C中原来正确的网关mac信息将被替换成B的mac,这时C所有发向网关的包都会被送到B上,这样B就可以捕获所有C的网络流量。Interface: 192.168.1.213 on Interface 0x1000003 Internet Address Physical Address Type 192.168.1.232 00-50-56-40-5b-93 dynamic 192.168.1.1 00-50-56-40-5b-93 dynamic548/9/202455
48、Sniffer工具介绍lSnifferPro lTcpdump,WindumplDsnifflSnifferProlEthereal558/9/202456tcpdump & windump tcpdumptcpdump是由是由berkeleyberkeley大学洛仑兹伯克利国家实验室开发大学洛仑兹伯克利国家实验室开发的一个非常著名的的一个非常著名的sniffersniffer软件,同时也是一个网络报文分软件,同时也是一个网络报文分析程序。它的报文过滤能力非常强大,它由很多个选项来析程序。它的报文过滤能力非常强大,它由很多个选项来设置过滤条件,并且通过布尔表达式来生成报文过滤器。设置过滤条件,
49、并且通过布尔表达式来生成报文过滤器。 windumpwindump是是tcpdumptcpdump的的windowswindows版本。安装版本。安装windumpwindump之前之前需要安装需要安装winpcapwinpcap库。库。568/9/202457SnifferPro NAINAI公司开发的功能强大的图形界面的嗅探器公司开发的功能强大的图形界面的嗅探器SnifferProSnifferPro,它是目前最好,功能最强大的,它是目前最好,功能最强大的SnifferSniffer软件,软件,通用协议分析工具通用协议分析工具, ,占到网络分析市场的占到网络分析市场的76% 76% 。 S
50、nifferPro. . 作者(美)西作者(美)西蒙斯基(蒙斯基(ShimonskiShimonski,R.J.R.J.) 等著,陈逸等著,陈逸 等译等译. . 电子工电子工业出版社业出版社,ISBN 7121000075.,ISBN 7121000075.578/9/202458Dsniffdsniffdsniff是由是由Dug SongDug Song开发的,可以从开发的,可以从 处下载。处下载。n ndsniffdsniff安装需要其他几个软件包:安装需要其他几个软件包:n nOpenSSLOpenSSLn nlibpcaplibpcapn nBerkeley DBBerkeley DB
51、n nlinnidslinnids588/9/202459Ethereal 最优秀的跨平台开源嗅探工具,有图形化界面和命令最优秀的跨平台开源嗅探工具,有图形化界面和命令行两种版本。目前支持行两种版本。目前支持windowswindows和和linuxlinux等多种操作系等多种操作系统。下载地址统。下载地址: : n n图形化的报文过滤器:图形化的报文过滤器:图形化的报文过滤器:图形化的报文过滤器: etherealethereal通过通过display filterdisplay filter对话框来创建报文过滤器,用对话框来创建报文过滤器,用户可以通过指定不同协议的不同字段值来生成报文过户
52、可以通过指定不同协议的不同字段值来生成报文过滤规则,并且可以使用布尔表达式滤规则,并且可以使用布尔表达式ANDAND和和OROR来组合这来组合这些过滤规则。些过滤规则。n nTCPTCP会话流重组:会话流重组:会话流重组:会话流重组: etherealethereal通过通过follow TCP Streamfollow TCP Stream来重组同一来重组同一TCPTCP会话的所会话的所有数据包。有数据包。59选此开始设置捕获包的参数选择网络接口选择混杂模式设置过滤器点此开始捕获60捕获到的包列表数据包头解析选此开始捕获包原始数据包字节选此进行分析设置显示过滤条件选此进行统计618/9/20
53、2462display filter62捕获HTTP数据包3. 输入网址1. 设置捕获过滤器仅捕获TCP包,端口802. 开始捕获638/9/202464Follow TCP Stream64Wireshark 65Sniffer ProSniffer应用性能管理应用性能管理深入的协议分析深入的协议分析报表报表实时故障诊断实时故障诊断66SnifferPortable Wireless PDA Option67 Sniffer的产品组成的产品组成 广域网硬件广域网硬件(SnifferBook)两种两种Portable平台平台:Dolch NotebookPOS硬件硬件(SnifferBook
54、Ultra)Gigabit SplitterATM硬件硬件(ATMBook)分布式分布式Sniffer Agent(DSS/RMON)68Sniffer Pro69黑客工具Cain & AbelGoogle Hack V2.070Cain & AbelCain & Abel是一个可以破 解屏保、PWL密码、共享密码、缓存口令、远程共享口令、SMB口令、支持VNC口令解码、Cisco Type-7口令解码、Base64口令解码、SQL Server 7.0/2000口令解码、Remote Desktop口令解码、Access Database口令解码、Cisco PIX Firewall口令解码
55、、Cisco MD5解码、NTLM Session Security口令解码、IKE Aggressive Mode Pre-Shared Keys口令解码、Dialup口令解码、远程桌面口令解码等综合工具,还可以远程破 解,可以挂字典以及暴力破解,其sniffer功能极其强大,几乎可以明文捕获一切帐号口令,包括、IMAP、POP3、SMB、TELNET、VNC、TDS、 SMTP、MSKERB5-PREAUTH、MSN、RADIUS-KEYS、RADIUS-USERS、ICQ、IKE Aggressive Mode Pre-Shared Keys authentications等。71Cai
56、n & Abel 7273Google-Hack V2.07475768/9/202477Sniffer攻击的预防和检测利用交换机、路由器、网桥等设备对网络合理分段。尽量避免使用Hub来连接网络。配置地址绑定来防止ARP欺骗。采用加密会话,比如:SSH来代替telnet。使用SSL、PGP(Pretty Good Privacy)。根据根据SnifferSniffer软件的安装位置进行检测,黑客通常将软件的安装位置进行检测,黑客通常将SnifferSniffer软件安装在路由器,有路由功能的主机上。软件安装在路由器,有路由功能的主机上。使用检测工具:tripwire,antisniffer。由
57、L0pth小组开发的AntiSniffer能够检测出sniffer攻击。在unix主机上我们通过ifconfig命令可以确定网卡是否处于混杂模式来判断是否被安装sniffer软件。7710:28:3278网络监控软件 目前很多企业配备了专门的网络管理人员管理企业所构建的网站,虽然管好了设备,但设备所带来的方便却降低了企业员工的工作效率(都用网络干别的事情去了),加大了商业信息泄露的风险(因为缺乏管理,客户资料很可能被自己人传送给竞争对手,成为对方的资源)。因此企业内部网络的管理,仅仅靠购买设备是不够的,仅仅建设网站也是不够的,只管理网络设备还是不够的,还需要把员工使用网络的内容做监控,把使用网
58、络的行为管理起来。尤其是外贸企业、技术研发类企业(如软件开发、机械工程)、政府机关、银行、医院、部队等关键任务机构,对员工的上网监督管理必不可少。 7810:28:3279网络监控软件主要目标 1、防止并追查重要资料、机密文件等外泄; 2、监督、审查、限制、规范网络使用行为; 3、限制消耗资源的聊天、游戏、外发资料、BT恶性下载和股票等行为; 4、备份重要网络资源文件(比如业务邮件); 5、监视QQ/MSN聊天记录内容和行为过程; 6、流量限制以及网站访问统计,用于分析员工使用网络情况; 7910:28:3280 网络监控软件的解决方案 按照运行原理区分为: 监听模式和网关模式两种监听模式 :
59、通过共享式HUB(集线器) 通过镜像交换机 通过代理/网关服务器 网关模式:内网监控 外网监控8010:28:3281网路岗 网路岗软件通过旁路对网络数据流进行采集、分析和识别,实时监视网络系统的运行状态,记录网络事件、发现安全隐患,并对网络活动的相关信息进行存储、分析和协议还原。该产品可监视企业内部员工是否将公司机密资料通过因特网外传到竞争对手的手中。 网路岗软件可以监控的内容包括:监控邮件内容和附件(包括Web邮件监控)、监控聊天内容、监控上网网站、监控FTP外传文件、监控Telnet命令、监控上网流量;IP过滤、端口过滤、网页过滤、封堵聊天游戏;限制外发资料邮件大小;限制网络流量;IP-
60、MAC绑定;截取屏幕等。 8110:28:3282网路岗对上网的监控能做到什么程度 (1)让某人只能在规定时间上网,且只能上指定的网站。(2)让某人只能在哪个网站上收发邮件,只能收发哪类的邮箱。(3)谁什么时候通过什么软件发送了什么邮件或通过哪个网站发了什么软件,邮件的内容和附件是什么,以及附件在发送者电脑的具体位置。(4)规定某人只能发送多大的邮件。(5)规定某些人只能发送到哪些目标邮箱。(6)轻松抓取指定人的电脑屏幕。(7)所有机器在一天内各时间段的上网流量。(8)某台机器哪些外部端口不能用,或只能通过哪些端口和外界联系。 8210:28:3283网路岗 网路岗在代理服务器上的安装拓扑8310:28:3284网路岗在HUB的一个端口上的安装 8410:28:3285网路岗在交换机的镜像端口上的安装拓扑 8510:28:3286网路岗在网络桥上的安装拓扑 86
