版权所有,盗版必纠第3章网络扫描与网络监听李剑北京邮电大学信息安全中心E-mail:lijian@bupt.edu.cn电话:130-01936882版权所有,盗版必纠概述本章主要介绍黑客的相关知识、网络踩点的方法、网络扫描和网络监听技术。其中,网络扫描是黑客实施攻击前获得目标及其漏洞信息的重要手段,而网络监听则是黑客向内部网进行渗透的常用手法。版权所有,盗版必纠目录一.黑客概述二.网络踩点三.网络扫描四.网络监听版权所有,盗版必纠3.1黑客概述•3.1.1黑客的概念•“黑客”一词是由英文单词“Hacker”音译过来的。最初起源于20世纪50年代,是指那些精力充沛、热衷于解决计算机难题的程序员。当时计算机非常昂贵,只存在于各大院校与科研机构,技术人员使用一次计算机,需要很复杂的手续,而且计算机的效率也不高,为了绕过一些限制,最大限度地利用这些昂贵的计算机,一些程序员们就写出了一些简洁高效的捷径程序,这些程序往往较原有的程序系统更完善。版权所有,盗版必纠3.1黑客概述•3.1.2攻击的概念•攻击是对系统全策略的一种侵犯,是指任何企图破坏计算机资源的完整性(未授权的数据修改)、机密性(未授权的数据泄露或未授权的服务的使用)以及可用性(拒绝服务)的活动。通常,“攻击”和“入侵”同指这样一种活动。版权所有,盗版必纠3.1黑客概述•3.1.3攻击的分类•互联计算机的威胁来自很多形式。1980年,Anderson在其著名的报告中,对不同类型的计算机系统安全威胁进行了划分,他将入侵分为外部闯入、内部授权拥护的越权使用和滥用三种类型,并以此为基础提出了不同安全渗透的检测方法。•目前,攻击分类的主要依据有:威胁来源、攻击方式、安全属性、攻击目的和攻击使用的技术手段等。这里给出几种攻击分类方式。版权所有,盗版必纠3.1黑客概述1.按照威胁的来源,潜在入侵者的攻击可以被粗略地分成两类。2.按照安全属性,Stalling将攻击分为四类,如图3.1所示。3.按照攻击方式,攻击可分为主动攻击和被动攻击。(a)正常情况发送方接收方(b)中断(c)拦截侦听(d)篡改(e)伪造版权所有,盗版必纠3.1黑客概述•4.按照入侵者的攻击目的,可将攻击分为下面四类。(1)拒绝服务攻击:是最容易实施的攻击行为,它企图通过使目标计算机崩溃或把它压跨来阻止其提供服务。主要包括:Land,Synflooding(UDPflooding),Pingofdeath,Smurf(Fraggle),Teardrop,TCPRST攻击,Jot2,电子邮件炸弹,畸形消息攻击。•(2)利用型攻击:是一类试图直接对你的机器进行控制的攻击。主要包括:口令猜测,特洛伊木马,缓冲区溢出。•(3)信息收集型攻击:这类攻击并不对目标本身造成危害,而是被用来为进一步入侵提供有用的信息。主要包括:扫描(包括:端口扫描、地址扫描、反向映射、慢速扫描),体系结构刺探,利用信息服务(包括:DNS域转换、Finger服务,LDAP服务)。•(4)假消息攻击:用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。版权所有,盗版必纠3.1黑客概述•5.按照入侵者使用的技术手段,攻击技术主要分为以下四类。•网络信息收集技术:包括目标网络中主机的拓扑结构分析技术、目标网络服务分布分析技术和目标网络漏洞扫描技术。•目标网络权限提升技术:包括本地权限提升和远程权限提升。•目标网络渗透技术:包括后门技术、Sniffer技术、欺骗技术、tunnel及代理技术。•目标网络摧毁技术:包括目标服务终止、目标系统瘫痪和目标网络瘫痪。版权所有,盗版必纠3.2网络踩点•踩点,也就是信息收集。黑客实施攻击前要做的第一步就是“踩点”。与劫匪抢银行类似,攻击者在实施攻击前会使用公开的和可利用的信息来调查攻击目标。通过信息收集,攻击者可获得目标系统的外围资料,如机构的注册资料、网络管理员的个人爱好、网络拓扑图等。攻击者将收集来的信息进行整理、综合和分析后,就能够初步了解一个机构网络的安全态势和存在的问题,并据此拟定出一个攻击方案。版权所有,盗版必纠3.2网络踩点•踩点,版权所有,盗版必纠3.2网络踩点•1.利用搜索引擎•搜索引擎是一个非常有利的踩点工具,如Google具有很强搜索能力,能够帮助攻击者准确地找到目标,包括网站的弱点和不完善配置。比如,多数网站只要设置了目录列举功能,Google就能搜索出Indexof页面,如图3.2。版权所有,盗版必纠3.2网络踩点•打开Indexof页面就能够浏览一些隐藏在互联网背后的开放了目录浏览的网站服务器的目录,并下载本无法看到的密码账户等有用文件,如图3.3。版权所有,盗版必纠3.2网络踩点•2.利用whois数据库•除了搜索引擎外,Internet上的各种whois数据库也是非常有用的信息来源。这些数据库包含各种关于Internet地址分配、域名和个人联系方式等数据元素。攻击者可以从Whois数据库了解目标的一些注册信息。提供whois服务的机构很多,其中和中国最相关的机构及其对应网址如表3.2。版权所有,盗版必纠3.2网络踩点•下面给出一个例子,利用信息,如图3.4、图3.5所示。版权所有,盗版必纠3.2网络踩点•下面给出一个例子,利用信息,如图3.4、图3.5所示。版权所有,盗版必纠3.2网络踩点•3.利用DNS服务器•DNS服务中维护的信息除了域名和IP地址的对应关系外,还有主机类型、一个域中的邮件服务器地址、邮件转发信息、从IP地址到域名的反向解析信息等。用nslookup程序可以从DNS服务器上查询一些网站的相关信息,如图3.6是查询sina.com和163.com得到的结果。版权所有,盗版必纠3.3网络扫描•扫描是进行信息收集的一种必要工具,它可以完成大量的重复性工作,为使用者收集与系统相关的必要信息。对于黑客来讲,扫描是攻击系统时的有力助手;而对于管理员,扫描同样具备检查漏洞,提高安全性的重要作用。版权所有,盗版必纠3.3网络扫描•3.3.1安全漏洞概述•通常,网络或主机中存在的安全漏洞是攻击者成功地实施攻击的关键。那么,什么是安全漏洞?安全漏洞产生的根源是什么?这些漏洞有哪些危害呢?•1.安全漏洞的概念•这里所说的漏洞不是一个物理上的概念,而是指计算机系统具有的某种可能被入侵者恶意利用的属性,在计算机安全领域,安全漏洞通常又称作脆弱性。•简单地说,计算机漏洞是系统的一组特性,恶意的主体能够利用这组特性,通过已授权的手段和方式获取对资源的未授权访问,或者对系统造成损害。这里的漏洞既包括单个计算机系统的脆弱性,也包括计算机网络系统的漏洞。版权所有,盗版必纠3.3网络扫描•2.漏洞存在原因•现在Internet上仍然在使用的基础协议中,有很多早期的协议在最初设计时并没有考虑安全方面的需求。并且,Internet是一个快速变化的动态环境,要在这样一个基础设施并不安全、动态的、分布式的环境中保证应用的安全是相当困难的。正是由于Internet的开放性和其协议的原始设计,攻击者无需与被攻击者有物理上的接触,就可以成功地对目标实施攻击,而不被检测到或跟踪到。•从技术角度来看,漏洞的来源主要有以下几个方面:•(1)软件或协议设计时的瑕疵•(2)软件或协议实现中的弱点•(3)软件本身的瑕疵•(4)系统和网络的错误配置版权所有,盗版必纠3.3网络扫描•3.漏洞的危害•漏洞主要存在于操作系统、应用程序以及脚本中,它使得入侵者能够执行特殊的操作,从而获得不应该获得的权限。几乎每天都能在某些程序或操作系统中发现新的漏洞,许多漏洞都能导致攻击者获得root权限,从而可以控制系统并获得机密资料,导致公司或个人遭受巨大损失。不同的漏洞其表现形式不一样,危害也有大小之分,但是总的说来,安全漏洞危害系统的完整性、系统的可用性、系统的机密性、系统的可控性和系统的可靠性等。版权所有,盗版必纠3.3网络扫描•3.3.2为什么进行网络扫描•很多入侵者常常通过扫描来发现存活的目标及其存在的安全漏洞,然后通过漏洞入侵目标系统。为了解决安全问题,网络管理员也常借助扫描器对所管辖的网络进行扫描,以发现自身系统中的安全隐患和存在的棘手问题,然后修补漏洞排除隐患。所以说扫描是一把双刃剑。为了解决安全隐患和提高扫描效率,很多公司和开源组织开发了各种各样的漏洞评估工具,这些漏洞评估工具也被称为扫描器,其种类繁多、性能各异。版权所有,盗版必纠3.3网络扫描•3.3.3发现目标的扫描•如果将扫描比拟为收集情报的话,扫描目标就是寻找突破口了。本节介绍基本的扫描技术和扫描技巧,利用这些技术和技巧可以确定目标是否存活在网络上,以及正在从事的工作类型。该类扫描目前主要有Ping扫描和ICMP查询两种。版权所有,盗版必纠3.3网络扫描•1.Ping扫描版权所有,盗版必纠3.3网络扫描•在“开始IP”和“结束IP”文本框分别输入需要进行Ping扫描的起始地址和结束地址,并单击右侧按钮将其加入右侧文本框,如图3.8所示。版权所有,盗版必纠3.3网络扫描•在版权所有,盗版必纠3.3网络扫描•扫描完成后可以单击SuperScan提供的“查看HTML结果”按钮,查看主机存活情况,如图3.10所示。版权所有,盗版必纠3.3网络扫描•2.ICMP查询•如果目标主机阻塞了ICMP回显请求报文,仍然可以通过使用其它类型的ICMP报文探测目标主机是否存活,并收集到各种关于该系统的有价值的信息。例如,向该系统发送ICMP类型为13的消息,若主机存活就能获得该系统的系统时间;发送ICMP类型为17的消息,若主机存活就能获得该目标主机的子网掩码。版权所有,盗版必纠3.3网络扫描•3.TCP扫射和UDP扫射•另外,TCP扫射和UDP扫射也可用于发现目标是否存活。从TCP连接的三次握手过程可以知道,如果向目标发送一个SYN报文,则无论收到一个SYN/ACK报文还是一个RST报文,都表明目标处于存活状态,或向目标发送一个ACK报文,如果收到一个RST报文则表明目标存活。这就是TCP扫射的基本原理。如果向目标特定端口发送一个UDP数据报之后,接收到ICMP端口不可达的错误,则表明目标存活,否则表明目标不在线或者目标的相应UDP端口是打开的。这是UDP扫射的原理。版权所有,盗版必纠3.3网络扫描•3.3.4探测开放服务的端口扫描•在找出网络上存活的系统之后,入侵者下一步就是要得到目标主机的操作系统信息和开放的服务。端口扫描就是发送信息到目标计算机的所需要扫描的端口,然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。•1.端口•2.端口扫描原理•3.常见的端口扫描技术版权所有,盗版必纠3.3网络扫描•端口扫描分类端口扫描TCPSYN扫描TCPConnect扫描秘密扫描其它扫描TCPFIN扫描TCPACK扫描NULL扫描XMAS扫描SYN/ACK扫描UDP扫描IP头信息dump扫描IP分段扫描慢速扫描乱序扫描版权所有,盗版必纠3.3网络扫描•3.3.5漏洞扫描•漏洞扫描是使用漏洞扫描程序对目标系统进行信息查询,通过漏洞扫描,可以发现系统中存在的不安全的地方。针对各种服务的漏洞是一个庞大的数字,在2001年一年中,仅微软就针对自己的产品一共发布了上百个安全漏洞,而其中接近一半都是IIS漏洞。这些庞大的漏洞全部由手工检测是非常困难的。版权所有,盗版必纠3.3网络扫描•1.漏洞扫描技术的原理•漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。版权所有,盗版必纠3.3网络扫描•2.漏洞扫描技术的分类和实现方法•基于网络系