搜索
第11章网络攻击技术11.1信息收集技术11.2攻击实施技术11.3隐身巩固技术小结习题第11章网络攻击技术信息收集是指通过各种方式获取所需要的信息。网络攻击的信息收集技术主要有网络踩点、网络扫描和网络监听等。11.1第11章网络攻击技术11.1.1踩点是指攻击者通过各种途径对所要攻击的目标进行的多方面的调查和了解,包括与被攻击目标有关的任何可得到的信息,从中规约出目标对象的网段、域名以及IP地址等相关信息的特定手段和方法。踩点的目的就是探察目标的基本情况、可能存在的漏洞、管理最薄弱的环节和守卫松懈的时刻等,从而确定有效的攻击手段和最佳的攻击时机。常见的踩点方法有域名相关信息的查询、公司性质的了解、对主页进行分析、对目标IP地址范围进行查询和网络勘查等。第11章网络攻击技术1.攻击者可以利用域名解析服务(DNS)来请求查询网络的粗略信息,如注册人、域名、管理方面联系人、记录创建及在某些时候,甚至可能利用一种被称为区域传输的手段获取域名信息。所谓区域传输,就是指请求某一台DNS服务器发送整个DNS区域的一份拷贝,即该网络中所有已注册主机名称的列表。尽管对于大多数的攻击行为来说,主机名称并非至关重要,但这些主机名却能够使某些类型的攻击变得更加简单。举例说明,如果黑客获取了某一个运行着IIS的Web服务器主机名称,他就能够推导出针对这一主机的匿名IIS用户,因为通常来说这一用户被设置为IUSR_主机名称。第11章网络攻击技术2.利用公共信息渠道收集目标公司信息,确定目标公司所处的行业,如IT行业、制造业、服务业、政府或公益组织等;了解目标公司目前的网络保护技术措施、网络管理和网络应攻击者在对公司性质基本了解后,再从多方面了解管理员的技术水平,尽可能看一些这个管理员张贴的文章,从中可以了解管理员熟悉什么、不熟悉什么,由此推测管理员可第11章网络攻击技术3.仔细查看目标机构的网页,收集尽可能多的主机上机构的信息,这其中可能有机构所在的地理位置、与其关系亲密的公司或实体、公司兼并或归靠的新闻报道、电话号码、联系人的姓名和电子邮件地址、指示所用安全机制的类型的隐私和机密保障策略、与其相关联的Web第11章网络攻击技术阅读主页HTML源代码,了解整个主页真正在客户端运行的源代码(一个好的主页,为了方便其他网页编程员更方便地读懂网页,同时也加了很多注释)。通过阅读主页源代第11章网络攻击技术4.对目标机构IP当攻击者掌握一些主机的IP地址后,下一步就是要找出目标网段的地址范围或者子网掩码。需要知道地址范围,以保证攻击者能集中精力对付一个网络而没有闯入其他网络。这样做有两个原因:第一,假设有地址10.10.10.5,要扫描整个A类地址需要一段时间,如果正在跟踪的目标只是地址的一个小子集,那么就无需浪费时间;第二,一些公司有比其他公司更好的安全性,因此跟踪较大的地址空间增加了危险,如攻击者可能会闯入有良好安全性的公司,而它会报告这次攻击并发出报警。第11章网络攻击技术攻击者能用两种方法找到这一信息,容易的方法是使用AmericaRegistryforInternetNumbers(ARIN)whois搜索找到信息;ARIN允许任何人搜索whois数据库找到网络上的定位信息、自治系统号码(ASN)、有关的网络句柄和其他有关的接触点(POC)。基本上,常规的whois会提供关于域名的信息。ARINwhois允许询问IP地址,帮助攻击者找到关于子网第11章网络攻击技术5.在目标网络IP地址范围确定后,就需要对网络内部进行一定的勘查,看看网络速度、是否存在防火墙等。下面以在Windows下的tracert追踪Acme.net的路由为例来了解网络的大致拓扑:C:\tracertAcme.netTracerttoAcme.net(10.10.10.1),30hopsmax,40bytepackets1gate2(192.168.10.1)5.391ms5.107ms5.559ms第11章网络攻击技术2rtr1.bigisp.net(10.10.12.13)33.374ms33.443ms33.137ms3rtr2.bigisp.net(10.10.12.14)35.100ms34.427ms34.813ms4hssitrt.bigisp.net(10.11.31.14)43.030ms43.941ms43.244ms5gate.Acme.net(10.10.10.1)43.803ms44.041ms47.835ms由上可以看见本地到主机需要经过5跳,中间没有ICMP分组的丢失,因此可以看出第4跳很可能是主机Acme.net的路由设备,可以对整个网络有一个大体的了解。第11章网络攻击技术11.1.2网络扫描是一种自动检测远程或本地主机安全脆弱点的技术。它是通过向远程或本地主机发送探测数据包,获取主机的响应,并根据反馈的数据包进行解包和分析,从而获取主机的端口开放情况,获得主机提供的服务信息。通过扫描,攻击者可以获取远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本,间接或直观地了解到远程主机所存在的安全问题。常见的网络扫描技术有端口扫描、共享目录扫描、系统用户扫描和漏洞扫描。第11章网络攻击技术1.端口扫描技术是向目标主机的TCP/IP服务端口发送探测数据包,并记录目标主机的响应的技术。通过分析响应来判断服务端口是打开还是关闭,就可以得知端口提供的服务或信息。端口扫描器有很多,这里介绍一款端口扫描器软件——SuperScan。SupersCan是一款获取对方计算机开放端口的工具软件,主界面如图11-1-1所示。第11章网络攻击技术图11-1-1SuperScan主界面第11章网络攻击技术对218.109.78.185的计算机进行端口扫描,在“主机名查找”文本框中输入IP地址,点击“开始”按钮,开始扫描,扫描端口结果界面如图11-1-2通过端口扫描,可以知道对方开放了哪些服务,从而根第11章网络攻击技术图11-1-2SuperScan扫描端口结果界面第11章网络攻击技术2.为了达到相互交流的目的,我们常常会将自己的一些重要信息保存到共享目录中,以方便其他人调用。这些共享目录可以被黑客通过共享目录扫描工具获取。这里介绍一款共享目录扫描工具软件——网络工具包,其主界面如图11-1-3第11章网络攻击技术图11-1-3网络工具包界面第11章网络攻击技术网络工具包软件可以扫描一个IP地址段的共享信息。在起始IP框输入218.109.76.1,在终止IP框输入218.109.77.255,点击“开始查找”按钮就可以得到对方的共享目录了,如图11-1-4所示。结果显示218.109.77.166计算机上C、D、E、F第11章网络攻击技术图11-1-4网络工具包扫描结果界面第11章网络攻击技术3.目前计算机系统一般都支持多用户操作,因此,即使是个人计算机中也存在多个用户帐号,而且往往有些是默认的帐号或者一些临时帐号。这些帐号的存在都是黑客扫描的重点。这里介绍一款系统用户扫描软件——NTscan,其界面如图11-1-5第11章网络攻击技术图11-1-5NTscan界面第11章网络攻击技术对IP为218.109.76.54的计算机进行扫描,首先将该IP段添加到扫描配置中(软件的左上角),输入需要扫描的IP段,如图11-1-6所示;接下来的连接共享根据需要选择,一般选择c$;然后选中WMI扫描(可以根据需要选择其他扫描方式);端口选中135;最后点击“开始”按钮,一段时间后得到存在弱口令的主机帐号,如图11-1-7所示。第11章网络攻击技术图11-1-6NTscan添加扫描主机设置界面第11章网络攻击技术图11-1-7NTscan扫描结果界面第11章网络攻击技术4.常见的漏洞主要有3类:网络协议的安全漏洞、操作系统的安全漏洞、应用程序的安全漏洞。这些漏洞都可以被黑客扫描获取并利用。这里介绍一款扫描软件——X-Scanv3.3,其主界面如图11-1-8第11章网络攻击技术可以利用X-Scanv3.3软件对系统存在的一些漏洞进行扫描,选择菜单栏设置下的菜单项“设置”→“扫描参数”;接着需要确定要扫描主机的IP地址或者IP地址段,选择菜单栏设置下的菜单项“扫描参数”,扫描一台主机,在指定IP范围框中输入218.109.77.1-218.109.78.254,如图11-1-9所示;选中需要检测的漏洞,点击“确定”按钮,如图11-1-10所设置完毕后,进行漏洞扫描,点击工具栏上的“开始”图标,开始对目标主机进行扫描,如图11-1-11所示。第11章网络攻击技术图11-1-8X-Scanv3.3界面第11章网络攻击技术图11-1-9X-Scanv3.3扫描参数设置界面第11章网络攻击技术图11-1-10X-Scanv3.3扫描模块界面第11章网络攻击技术图11-1-11X-Scanv3.3扫描结果界面第11章网络攻击技术11.1.3网络监听器(Sniffer)原本是提供给系统管理员的一类管理工具,现多作为一种网络监测工具。它既可以是硬件,也可以是软件。硬件形式的网络监测器称为网络分析仪;软件形式的网络监器用于Windows或UNIX平台,如NexXray、Netmonitor等。但是,黑客们却用它来暗中监视网络状况、窃取各种数第11章网络攻击技术1.以太网是在20世纪70年代研制开发的一种基带局域网技术。它使用同轴电缆作为网络媒体,采用载波监听多路访问/冲突检测(CarrierSenseMultipleAccess/CollisionDetection,CSMA/CD)机制,但是如今的以太网更多的被用来指各种采用CSMA/CD技术的局域网。第11章网络攻击技术以太网的基本特征是采用CSMA/CD的共享访问方案,即多个主机都连接在一条总线上,所有的主机都不断向总线上发出监听信号,但在同一时刻只能有一个主机在总线上进行传输,而其他主机必须等待其传输结束后再开始自己的传输。局域网内的每台主机都在监听网内传输数据,当所监听到的数据帧包含的MAC地址与自己的MAC地址相同时,则接收该帧,否则丢弃,这就是以太网的“过滤”规则。但是,如果把以太网卡设置为“混杂模式”(PromiscuousMode),它就能接收在网络上传输的每一个数据包。网络监听器就是依据这种原理来监听网络数据的。第11章网络攻击技术2.由于网络节点或工作站之间的信息交流归根到底是比特流在物理信道上的传输,现在很多的数据传送是明文传送,因此,只要能截获所传比特流,就可以从中窃听到很多有用的信息。计算机网络中的监听可以在任何位置进行,比如网关、路由器、远程网的调制解调器或者网络中的某一台主机。第11章网络攻击技术1)基于集线器的监听当局域网内的主机通过HUB连接时,HUB的作用就是局域网上面的一个共享的广播媒体,所有通过局域网发送的数据首先被送到HUB,然后HUB将接收到的所有数据向它的每个端口转发。只要将某台主机的网卡设置为混杂模式,就可第11章网络攻击技术2)基于交换机的监听不同于工作在物理层的HUB,交换机是工作在数据链路层的。交换机在工作时维护着一张ARP的数据库表,在这个库中记录着交换机每个端口所绑定的MAC地址,当有数据报发送到交换机时,交换机会将数据报的目的MAC地址与自己维护的数据库内的端口对照,然后将数据报发送到“相应的”端口上,交换机转发的报文是一一对应的。第11章网络攻击技术对交换机而言,仅有两种情况会以广播方式发送:一是数据报的目的MAC地址不在交换机维护的数据库中,此时报文向所有端口转发;二是报文本身就是广播报文。因此,基于交换机以太网建立的局域网并不是真正的广播媒体,交换机限制了被动监听工具所能截获的数据。为了实现监听的目的,可以采用MACf1ooding和ARP第11章网络攻击技术(1)MACflooding:通过在局域网上发送大量随机的MAC地址,以造成交换机的内存耗尽,当内存耗尽时,一些交换(2)ARP欺骗:ARP协议的作用是将IP地址映射到MAC地址,攻击者通过向目标主机发送