精品课件-网络安全技术(杨演春)-第6章
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
10
第6章 网络入侵与防范
在清除完痕迹、隐蔽攻击行为后,攻击者往往会有意识地 在系统的不同部分布置陷阱或开辟一个“后门”,以便下次入 侵时能以特权用户的身份从容控制整个系统,也为日后利用该 受害主机作为跳板,去攻击其他的目标提供方便。创建“后门” 的主要方法有:创建具有特权用户权限的虚假用户帐号、安装 批处理、感染启动文件、植入远程控制服务、安装监控机制、 利用特洛伊木马替换系统程序等。
16
第6章 网络入侵与防范
2) TCP FIN扫描 此技术使用FIN数据包来探听端口。当一个FIN数据包到达 一个关闭的端口时,数据包会被丢掉,并且会返回一个RST数据 包。否则,当一个FIN数据包到达一个打开的端口时,数据包只 是简单地丢掉(不返回RST)。TCP FIN扫描技术由于不包含标准 的TCP三次握手协议的任何部分,所以无法被记录下来,比SYN 扫描更隐蔽。该技术通常使用Unix/Linux主机扫描,因为 Windows主机对此种扫描数据包只发送RST数据包。
12
第6章 网络入侵与防范
6.2 扫描和网络监听技术与防范
收集目标主机系统信息最常用的手段就是扫描和网络监听。 在入侵系统之前,攻击者常利用命令或网络扫描工具探测 目标主机TCP/IP的不同端口,并记录目标的响应,从中搜集关 于目标的有用信息(例如,当前正在进行什么服务,哪些用户拥 有这些服务,是否支持匿名登录,是否有某些网络服务需要鉴 别,目标的操作系统及其版本等),进行数据分析,以此查出目 标存在的薄弱环节或安全漏洞,为进一步攻击做好准备。
要完成权限的扩大,可以利用已获得的权限在系统上执行 利用本地漏洞的程序,也可以放一些木马之类的欺骗程序来套 取管理员密码,这种木马是放在本地套取最高权限用的,而不 能进行远程控制。
8
第6章 网络入侵与防范
3. 入侵的善后工作 如果入侵者完成入侵后就立刻离开系统而不做任何善后工 作,那么他的行踪将很快被系统管理员发现,因为所有的网络 操作系统一般都提供日志记录功能,会把系统上发生的动作记 录下来。所以,为了自身的隐蔽性,黑客一般都会抹掉自己在 日志中留下的痕迹。
第6章 网络入侵与防范
第6章 网络入侵与防范
6.1 入侵与防范技术概述 6.2 扫描和网络监听技术与防范 6.3 系统服务入侵与防范 6.4 木马入侵与防范 6.5 系统漏洞入侵与防范 习题
1
第6章 网络入侵与防范
6.1 入侵与防范技术概述
入侵是一件系统性很强的工作,一般包括准备、实施和善 后三个阶段。
11
第6章 网络入侵与防范
对于计算机系统来说,既然入侵是不可避免的,那么就必 须做好防范工作。首先,用户要对计算机系统非常熟悉,对系 统开放的端口、服务,使用的应用程序,甚至是系统存在的漏 洞都要一清二楚。其次,用户需要去了解入侵者攻击计算机系 统的方式及一些惯用的手段,做到知己知彼,才能百战不殆。 最后,用户要为计算机系统装配杀毒软件、防火墙并及时更新。 最关键的是用户自己要养成良好的上网习惯,这样才能最大程 度地防止计算机被入侵。
目标的端口,如果返回成功就认为这个端口是开放的。通常情 况下,普通用户即可实现此操作。这种扫描的缺点是会在目标 上留下大量密集的连接和错误日志,很容易被检测出来,因此 被黑客认为是不安全的扫描。秘密扫描技术避免了传统扫描遇 到的日志问题,可使日志生成记录减少甚至没有日志生成。常 用的秘密扫描技术包括TCP SYN扫描、TCP FIN扫描、分片扫描 等。
28
第6章 网络入侵与防范
以太网中的Sniffer对以太网上传输的数据包进行监听,并 将符合条件的数据包保存到log文件中(如包含“username”或 “password”的数据包)。Sniffer通常运行在路由器上或具有 路由功能的主机上,从而能够对网络中大量的数据进行监控。 黑客一般是在已经进入到目标系统之后,利用控制的主机进行 网络监听,从而获得更多更有价值的网络信息。
13
第6章 网络入侵与防范
攻击者一旦进入目标主机并获取控制权之后,就可以利用 该主机实施网络监听技术,对所有流经目标主机的网络信息进 行捕获并分析,从而收集到目标网络的更多信息,为攻击该网 络中的下一个目标主机做准备。14第6章 网络入侵与防范
6.2.1 扫描技术与防范 扫描可分为手工扫描和扫描器扫描两类。 1. 手工扫描 传统扫描利用TCP三次握手原理,通过调用connect()连接
29
第6章 网络入侵与防范
2. 网络监听实例 Windows 系统中本身就带有具有网络监听功能的管理工 具——网络监视器。主机A安装Windows Server 2003、FTP服务 器,并在系统中开设一个帐户ftp-user,密码设置为ftp-userpassword。本实例要实现使用网络监视器对本主机进行监听, 捕获主机B访问本主机FTP服务器的用户名和密码。
9
第6章 网络入侵与防范
清除入侵痕迹的方法主要有禁止系统审计、删除事件日志 记录、隐藏作案工具等。最直接的方法就是删除日志文件,这 样避免了自己被系统管理员追踪到,但是容易被管理员察觉系 统遭到了入侵。所以常见的方法是对日志文件中有关自己的那 一部分进行修改。针对不同的操作系统,需要使用不同的处理 方法,最好是入侵后能够马上关闭审计功能,否则在入侵后要 仔细将相关日志清除和修改,以免遗漏。
7
第6章 网络入侵与防范
系统漏洞分为远程漏洞和本地漏洞两种。远程漏洞是指黑 客可以在别的机器上直接利用该漏洞进行入侵并获取一定的权 限,这种漏洞的威胁性相当大。黑客的入侵一般都是从远程漏 洞开始的,利用远程漏洞获取普通用户的权限,再配合本地漏 洞来把获得的权限进行扩大,常常是扩大至系统的管理员权限。 只有获得了最高的管理员权限之后,才可以做诸如网络监听、 打扫痕迹之类的事情。
2. 扫描器扫描 扫描器是一种自动检测远程或本地主机安全性弱点的程序, 多数的扫描器都具有端口扫描和漏洞扫描功能。以Windows上运 行SuperScan 4.0扫描器为例,对目标主机(安装了WWW和FTP服 务的IP地址为192.168.0.3的Windows Server 2003主机)扫描后 得到的信息如图6.1所示。
19
第6章 网络入侵与防范
图6.1 端口扫描
20
第6章 网络入侵与防范
单击“查看HTML报告”打开扫描报告,如图6.2所示。 从扫描报告中可以看到扫描出的TCP和UDP端口号及端口服 务信息,如FTP服务中的用户名为“anonymous”,允许匿名登 录。 运行【SuperScan 4.0】窗口中的“工具”选项卡,可以用 内部集成的测试工具对目标主机进行探测,如图6.3所示。
3
第6章 网络入侵与防范
2) 信息收集 确定入侵目的之后,接下来的工作就是收集尽量多的关于 入侵目标的信息,主要包括目标主机的操作系统类型及版本, 提供的服务和各服务器程序的类型与版本,以及相关的社会信 息。
操作系统类型及版本不同也就意味着其系统漏洞有很大 区别,所以入侵的方法也完全不同。要确定一台服务器的操作 系统一般是靠经验,有些服务器的某些服务显示信息会泄露其 操作系统的类型和版本信息。
17
第6章 网络入侵与防范
3) 分片扫描 该技术将扫描数据包人为地分成许多的IP分片,使每个数 据包均不含有敏感信息,以期望绕过某些包过滤程序,到达目 标主机系统内部后再重组数据,实现隐蔽的网络扫描。但是需 要注意的是,有些程序因不能正确地处理IP分片,分片扫描可 能会造成系统崩溃。
18
第6章 网络入侵与防范
4
第6章 网络入侵与防范
提供的服务和各服务器程序的类型与版本决定了可以利 用的漏洞。服务通常是通过端口来提供的,因此通过端口号可 以断定系统运行的服务,例如80或8080端口对应的是WWW服务, 21端口对应的是FTP服务,23端口对应的是TELNET服务等,当然 管理员完全可以按自己的意愿修改服务所对应的端口号来迷惑 入侵者。在不同服务器上提供同一种服务的软件也可以不同, 例如同样是提供FTP服务,可以使用wuftp、proftp,ncftp等许 多不同种类的软件,通常管这种软件叫做daemon。确定daemon 的类型版本也有助于黑客利用系统漏洞攻击成功。
1. 入侵的准备阶段 1) 确定入侵的目的 目的决定手段。黑客攻击的常见目的有破坏型和入侵型两 种:破坏型攻击只是破坏攻击目标,使其不能正常工作,而不 能随意控制目标系统的运行,一般常用拒绝服务攻击(Denial Of Service);
2
第6章 网络入侵与防范
入侵型攻击是要获得一定的权限来控制攻击目标,一般利 用服务器操作系统、应用软件和网络协议存在的漏洞来进行攻 击,或者通过密码泄露、入侵者靠猜测或者穷举法来得到服务 器用户的密码,从而获得管理员权限。相比较而言,后者比前 者更为普遍,威胁性也更大。因为黑客一旦获取入侵目标的管 理员权限就可以对此服务器做任意动作,包括破坏性的入侵。
26
第6章 网络入侵与防范
6.2.2 网络监听技术与防范 网络监听原本是系统管理员用来监视网络的流量、状态、
数据等信息,从而发现并解决网络问题的有效工具,但由于网 络上传输的大量服务数据如Web、FTP等都是明文传输的,因此 黑客利用网络监听工具可以对网络上流经监听主机的信息进行 截获并分析,从中得到有效的用户名、密码等敏感信息,并为 进一步入侵系统做准备。
6
第6章 网络入侵与防范
2. 入侵的实施阶段 入侵者在收集到足够的信息之后就开始实施攻击行动。作 为破坏性攻击,只需利用工具发动攻击即可。而作为入侵性攻 击,往往要利用收集到的信息,找到其系统漏洞,然后利用该 漏洞获取一定的权限,对系统进行部分访问或修改,最终目的 是获得系统最高权限,完全控制系统。
24
第6章 网络入侵与防范
图6.4 漏洞扫描
25
第6章 网络入侵与防范
3. 扫描技术防范 防范端口扫描最有效的办法是给主机和网络系统装上防火 墙,禁止不信任的主机对系统进行扫描,而对于必须对外提供 的WWW服务和FTP服务,可以利用更改端口号的办法来欺骗扫描 器,使黑客根据扫描信息得到的系统服务漏洞与真实情况并不 符合,以此来对抗黑客攻击。
27
第6章 网络入侵与防范
1. 网络监听原理 网络监听主要使用Sniffer(嗅探器)。正常情况下,网卡只 捕捉网络上传输的和自己物理地址相匹配的数据帧或广播帧, 丢弃与自己无关的数据帧。而如果将本机网卡设置成“混 杂”(promiscuous)模式,则本机系统将接收所有在网络中传输 的数据帧,而不管该数据帧是广播数据还是发给某一个特定主 机的数据。这台主机也就变成了一个Sniffer。
15
第6章 网络入侵与防范
1) TCP SYN扫描 在这种扫描技术中,扫描程序向目标主机的选择端口发送 一个SYN数据包,如果目标端口处于关闭状态,攻击主机会收到 RST信息,继续探测其他端口;如果攻击主机收到包含SYN|ACK 的返回信息,说明目标端口处于监听状态,则扫描程序必须再 发送一个RST来关闭这个连接过程。TCP SYN扫描的优点在于, 一般不会在目标计算机上留下日志记录。但其缺点是攻击者在 UNIX环境下必须具有root权限才能建立自己的SYN数据包。
21
第6章 网络入侵与防范
图6.2 端口扫描详细报告
22
第6章 网络入侵与防范
图6.3 扫描工具
23
第6章 网络入侵与防范
运行【SuperScan 4.0】窗口中的“Windows枚举”选项卡, 可以用内部集成的测试工具对目标主机进行探测,如图6.4所 示。
从扫描的信息中可以发现目标主机系统漏洞,如MAC地址、 共享资源、空链接、系统运行服务、磁盘分区、注册表信息, 等等,通常我们可以在目标主机系统中发现许多可以被利用来 进行攻击的漏洞。
5
第6章 网络入侵与防范
相关的社会信息是指一些与计算机本身没有关系的社会 信息,例如网站所属公司的名称、规模,网络管理员的生活习 惯、电话号码等。这些信息有助于黑客进行猜测,如有些网站 管理员用自己的电话号码做系统密码,如果掌握了该电话号码, 就等于掌握了管理员权限。
进行信息收集可以手工进行,也可以利用工具来完成,完 成信息收集的工具叫做扫描器。用扫描器收集信息的优点是速 度快,可以一次对多个目标进行扫描。
第6章 网络入侵与防范
在清除完痕迹、隐蔽攻击行为后,攻击者往往会有意识地 在系统的不同部分布置陷阱或开辟一个“后门”,以便下次入 侵时能以特权用户的身份从容控制整个系统,也为日后利用该 受害主机作为跳板,去攻击其他的目标提供方便。创建“后门” 的主要方法有:创建具有特权用户权限的虚假用户帐号、安装 批处理、感染启动文件、植入远程控制服务、安装监控机制、 利用特洛伊木马替换系统程序等。
16
第6章 网络入侵与防范
2) TCP FIN扫描 此技术使用FIN数据包来探听端口。当一个FIN数据包到达 一个关闭的端口时,数据包会被丢掉,并且会返回一个RST数据 包。否则,当一个FIN数据包到达一个打开的端口时,数据包只 是简单地丢掉(不返回RST)。TCP FIN扫描技术由于不包含标准 的TCP三次握手协议的任何部分,所以无法被记录下来,比SYN 扫描更隐蔽。该技术通常使用Unix/Linux主机扫描,因为 Windows主机对此种扫描数据包只发送RST数据包。
12
第6章 网络入侵与防范
6.2 扫描和网络监听技术与防范
收集目标主机系统信息最常用的手段就是扫描和网络监听。 在入侵系统之前,攻击者常利用命令或网络扫描工具探测 目标主机TCP/IP的不同端口,并记录目标的响应,从中搜集关 于目标的有用信息(例如,当前正在进行什么服务,哪些用户拥 有这些服务,是否支持匿名登录,是否有某些网络服务需要鉴 别,目标的操作系统及其版本等),进行数据分析,以此查出目 标存在的薄弱环节或安全漏洞,为进一步攻击做好准备。
要完成权限的扩大,可以利用已获得的权限在系统上执行 利用本地漏洞的程序,也可以放一些木马之类的欺骗程序来套 取管理员密码,这种木马是放在本地套取最高权限用的,而不 能进行远程控制。
8
第6章 网络入侵与防范
3. 入侵的善后工作 如果入侵者完成入侵后就立刻离开系统而不做任何善后工 作,那么他的行踪将很快被系统管理员发现,因为所有的网络 操作系统一般都提供日志记录功能,会把系统上发生的动作记 录下来。所以,为了自身的隐蔽性,黑客一般都会抹掉自己在 日志中留下的痕迹。
第6章 网络入侵与防范
第6章 网络入侵与防范
6.1 入侵与防范技术概述 6.2 扫描和网络监听技术与防范 6.3 系统服务入侵与防范 6.4 木马入侵与防范 6.5 系统漏洞入侵与防范 习题
1
第6章 网络入侵与防范
6.1 入侵与防范技术概述
入侵是一件系统性很强的工作,一般包括准备、实施和善 后三个阶段。
11
第6章 网络入侵与防范
对于计算机系统来说,既然入侵是不可避免的,那么就必 须做好防范工作。首先,用户要对计算机系统非常熟悉,对系 统开放的端口、服务,使用的应用程序,甚至是系统存在的漏 洞都要一清二楚。其次,用户需要去了解入侵者攻击计算机系 统的方式及一些惯用的手段,做到知己知彼,才能百战不殆。 最后,用户要为计算机系统装配杀毒软件、防火墙并及时更新。 最关键的是用户自己要养成良好的上网习惯,这样才能最大程 度地防止计算机被入侵。
目标的端口,如果返回成功就认为这个端口是开放的。通常情 况下,普通用户即可实现此操作。这种扫描的缺点是会在目标 上留下大量密集的连接和错误日志,很容易被检测出来,因此 被黑客认为是不安全的扫描。秘密扫描技术避免了传统扫描遇 到的日志问题,可使日志生成记录减少甚至没有日志生成。常 用的秘密扫描技术包括TCP SYN扫描、TCP FIN扫描、分片扫描 等。
28
第6章 网络入侵与防范
以太网中的Sniffer对以太网上传输的数据包进行监听,并 将符合条件的数据包保存到log文件中(如包含“username”或 “password”的数据包)。Sniffer通常运行在路由器上或具有 路由功能的主机上,从而能够对网络中大量的数据进行监控。 黑客一般是在已经进入到目标系统之后,利用控制的主机进行 网络监听,从而获得更多更有价值的网络信息。
13
第6章 网络入侵与防范
攻击者一旦进入目标主机并获取控制权之后,就可以利用 该主机实施网络监听技术,对所有流经目标主机的网络信息进 行捕获并分析,从而收集到目标网络的更多信息,为攻击该网 络中的下一个目标主机做准备。14第6章 网络入侵与防范
6.2.1 扫描技术与防范 扫描可分为手工扫描和扫描器扫描两类。 1. 手工扫描 传统扫描利用TCP三次握手原理,通过调用connect()连接
29
第6章 网络入侵与防范
2. 网络监听实例 Windows 系统中本身就带有具有网络监听功能的管理工 具——网络监视器。主机A安装Windows Server 2003、FTP服务 器,并在系统中开设一个帐户ftp-user,密码设置为ftp-userpassword。本实例要实现使用网络监视器对本主机进行监听, 捕获主机B访问本主机FTP服务器的用户名和密码。
9
第6章 网络入侵与防范
清除入侵痕迹的方法主要有禁止系统审计、删除事件日志 记录、隐藏作案工具等。最直接的方法就是删除日志文件,这 样避免了自己被系统管理员追踪到,但是容易被管理员察觉系 统遭到了入侵。所以常见的方法是对日志文件中有关自己的那 一部分进行修改。针对不同的操作系统,需要使用不同的处理 方法,最好是入侵后能够马上关闭审计功能,否则在入侵后要 仔细将相关日志清除和修改,以免遗漏。
7
第6章 网络入侵与防范
系统漏洞分为远程漏洞和本地漏洞两种。远程漏洞是指黑 客可以在别的机器上直接利用该漏洞进行入侵并获取一定的权 限,这种漏洞的威胁性相当大。黑客的入侵一般都是从远程漏 洞开始的,利用远程漏洞获取普通用户的权限,再配合本地漏 洞来把获得的权限进行扩大,常常是扩大至系统的管理员权限。 只有获得了最高的管理员权限之后,才可以做诸如网络监听、 打扫痕迹之类的事情。
2. 扫描器扫描 扫描器是一种自动检测远程或本地主机安全性弱点的程序, 多数的扫描器都具有端口扫描和漏洞扫描功能。以Windows上运 行SuperScan 4.0扫描器为例,对目标主机(安装了WWW和FTP服 务的IP地址为192.168.0.3的Windows Server 2003主机)扫描后 得到的信息如图6.1所示。
19
第6章 网络入侵与防范
图6.1 端口扫描
20
第6章 网络入侵与防范
单击“查看HTML报告”打开扫描报告,如图6.2所示。 从扫描报告中可以看到扫描出的TCP和UDP端口号及端口服 务信息,如FTP服务中的用户名为“anonymous”,允许匿名登 录。 运行【SuperScan 4.0】窗口中的“工具”选项卡,可以用 内部集成的测试工具对目标主机进行探测,如图6.3所示。
3
第6章 网络入侵与防范
2) 信息收集 确定入侵目的之后,接下来的工作就是收集尽量多的关于 入侵目标的信息,主要包括目标主机的操作系统类型及版本, 提供的服务和各服务器程序的类型与版本,以及相关的社会信 息。
操作系统类型及版本不同也就意味着其系统漏洞有很大 区别,所以入侵的方法也完全不同。要确定一台服务器的操作 系统一般是靠经验,有些服务器的某些服务显示信息会泄露其 操作系统的类型和版本信息。
17
第6章 网络入侵与防范
3) 分片扫描 该技术将扫描数据包人为地分成许多的IP分片,使每个数 据包均不含有敏感信息,以期望绕过某些包过滤程序,到达目 标主机系统内部后再重组数据,实现隐蔽的网络扫描。但是需 要注意的是,有些程序因不能正确地处理IP分片,分片扫描可 能会造成系统崩溃。
18
第6章 网络入侵与防范
4
第6章 网络入侵与防范
提供的服务和各服务器程序的类型与版本决定了可以利 用的漏洞。服务通常是通过端口来提供的,因此通过端口号可 以断定系统运行的服务,例如80或8080端口对应的是WWW服务, 21端口对应的是FTP服务,23端口对应的是TELNET服务等,当然 管理员完全可以按自己的意愿修改服务所对应的端口号来迷惑 入侵者。在不同服务器上提供同一种服务的软件也可以不同, 例如同样是提供FTP服务,可以使用wuftp、proftp,ncftp等许 多不同种类的软件,通常管这种软件叫做daemon。确定daemon 的类型版本也有助于黑客利用系统漏洞攻击成功。
1. 入侵的准备阶段 1) 确定入侵的目的 目的决定手段。黑客攻击的常见目的有破坏型和入侵型两 种:破坏型攻击只是破坏攻击目标,使其不能正常工作,而不 能随意控制目标系统的运行,一般常用拒绝服务攻击(Denial Of Service);
2
第6章 网络入侵与防范
入侵型攻击是要获得一定的权限来控制攻击目标,一般利 用服务器操作系统、应用软件和网络协议存在的漏洞来进行攻 击,或者通过密码泄露、入侵者靠猜测或者穷举法来得到服务 器用户的密码,从而获得管理员权限。相比较而言,后者比前 者更为普遍,威胁性也更大。因为黑客一旦获取入侵目标的管 理员权限就可以对此服务器做任意动作,包括破坏性的入侵。
26
第6章 网络入侵与防范
6.2.2 网络监听技术与防范 网络监听原本是系统管理员用来监视网络的流量、状态、
数据等信息,从而发现并解决网络问题的有效工具,但由于网 络上传输的大量服务数据如Web、FTP等都是明文传输的,因此 黑客利用网络监听工具可以对网络上流经监听主机的信息进行 截获并分析,从中得到有效的用户名、密码等敏感信息,并为 进一步入侵系统做准备。
6
第6章 网络入侵与防范
2. 入侵的实施阶段 入侵者在收集到足够的信息之后就开始实施攻击行动。作 为破坏性攻击,只需利用工具发动攻击即可。而作为入侵性攻 击,往往要利用收集到的信息,找到其系统漏洞,然后利用该 漏洞获取一定的权限,对系统进行部分访问或修改,最终目的 是获得系统最高权限,完全控制系统。
24
第6章 网络入侵与防范
图6.4 漏洞扫描
25
第6章 网络入侵与防范
3. 扫描技术防范 防范端口扫描最有效的办法是给主机和网络系统装上防火 墙,禁止不信任的主机对系统进行扫描,而对于必须对外提供 的WWW服务和FTP服务,可以利用更改端口号的办法来欺骗扫描 器,使黑客根据扫描信息得到的系统服务漏洞与真实情况并不 符合,以此来对抗黑客攻击。
27
第6章 网络入侵与防范
1. 网络监听原理 网络监听主要使用Sniffer(嗅探器)。正常情况下,网卡只 捕捉网络上传输的和自己物理地址相匹配的数据帧或广播帧, 丢弃与自己无关的数据帧。而如果将本机网卡设置成“混 杂”(promiscuous)模式,则本机系统将接收所有在网络中传输 的数据帧,而不管该数据帧是广播数据还是发给某一个特定主 机的数据。这台主机也就变成了一个Sniffer。
15
第6章 网络入侵与防范
1) TCP SYN扫描 在这种扫描技术中,扫描程序向目标主机的选择端口发送 一个SYN数据包,如果目标端口处于关闭状态,攻击主机会收到 RST信息,继续探测其他端口;如果攻击主机收到包含SYN|ACK 的返回信息,说明目标端口处于监听状态,则扫描程序必须再 发送一个RST来关闭这个连接过程。TCP SYN扫描的优点在于, 一般不会在目标计算机上留下日志记录。但其缺点是攻击者在 UNIX环境下必须具有root权限才能建立自己的SYN数据包。
21
第6章 网络入侵与防范
图6.2 端口扫描详细报告
22
第6章 网络入侵与防范
图6.3 扫描工具
23
第6章 网络入侵与防范
运行【SuperScan 4.0】窗口中的“Windows枚举”选项卡, 可以用内部集成的测试工具对目标主机进行探测,如图6.4所 示。
从扫描的信息中可以发现目标主机系统漏洞,如MAC地址、 共享资源、空链接、系统运行服务、磁盘分区、注册表信息, 等等,通常我们可以在目标主机系统中发现许多可以被利用来 进行攻击的漏洞。
5
第6章 网络入侵与防范
相关的社会信息是指一些与计算机本身没有关系的社会 信息,例如网站所属公司的名称、规模,网络管理员的生活习 惯、电话号码等。这些信息有助于黑客进行猜测,如有些网站 管理员用自己的电话号码做系统密码,如果掌握了该电话号码, 就等于掌握了管理员权限。
进行信息收集可以手工进行,也可以利用工具来完成,完 成信息收集的工具叫做扫描器。用扫描器收集信息的优点是速 度快,可以一次对多个目标进行扫描。