网络攻防实战演练.
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
fdq© 2010信息学院
7
进入我们新的空间
安全扫描系统具有的功能说明
协调了其它的安全设备 使枯燥的系统安全信息易于理解,告诉了你系统发生的事情 跟踪用户进入,在系统中的行为和离开的信息 可以报告和识别文件的改动 纠正系统的错误设置
fdq© 2010信息学院
8
进入我们新的空间
安全扫描
安全扫描常用命令 whois nslookup host Traceroute Ping扫描工具
fdq© 2010信息学院wk.baidu.com
9
进入我们新的空间
Traceroute命令
用于路由跟踪,判断从你的主机到目标主机经过哪些路由器、跳计数、 响应时间等等 可以推测出网络物理布局 判断出响应较慢的节点和数据包在路由过程中的跳数 Traceroute 或者使用极少被其它程序使用的高端UDP端口,或者使用 PING数据包
侦查
渗透
控制
定位出网 络资源的 具体情况
控制网络资源、创建 账号、修改日志、行 使管理员的权限 3
fdq© 2010信息学院
进入我们新的空间
第一节:侦查阶段
fdq© 2010信息学院
4
进入我们新的空间
第一节:侦查阶段
本节要点: 描述侦查过程 识别特殊的侦查方法 安装和配置基于网络和基于主机的侦查软件 实施网络级和主机级的安全扫描
fdq© 2010信息学院
15
进入我们新的空间
使用ICMP数据包后Traceroute结果
xuyi>traceroute -I test.webmaster.com.cn traceroute to test.webmaster.com.cn (210.106.0.105), 30 hops max, 40 byte packets
fdq© 2010信息学院
6
进入我们新的空间
安全扫描的检测技术
基于应用的检测技术,它采用被动的,非破坏性的办法 检查应用软件包的设置,发现安全漏洞。 基于主机的检测技术,它采用被动的,非破坏性的办法 对系统进行检测。 基于目标的漏洞检测技术,它采用被动的,非破坏性的 办法检查系统属性和文件属性,如数据库,注册号等。 基于网络的检测技术,它采用积极的,非破坏性的办法 来检验系统是否有可能被攻击崩溃。
fdq© 2010信息学院
10
进入我们新的空间
Traceroute 路由跟踪原理
TTL=1 数据
A
小于等于0 ICMP time exceeded 发IP包的源地址 ???TTL1>0
B
IP包的所有内容
路由器的IP地址
fdq© 2010信息学院
11
进入我们新的空间
Traceroute 路由跟踪原理
网络连着你我他
计算机网络
傅德谦 2010.9
LinYi Normal University
fdq© 2010信息学院
网络连着你我他
网络攻防技术 or 网络侦查与审计技术
LinYi Normal University
fdq© 2010信息学院
进入我们新的空间
网络侦查审计的三个阶段
检查各种系统的漏洞
A
???TTL1>0
B
???TTL1>0 2-1=1>0 ICMP port unreachable
3-1=2>0
我知道路由器A存在于这个路径上 路由器A的IP地址 我知道路由器B存在于这个路径上 路由器B的IP地址 我到达了目的地
port number 是一个一般应用程序都不会 用的号码(30000 以上),所以当此数 据包 到达目的地后该主机会送回一个 「ICMP port unreachable」的消息,而 当源主机收到这个消息时,便知道目的 地已经到达了。
TTL=1 数据
A
小于等于0 ICMP time exceeded 发IP包的源地址
B
IP包的所有内容
路由器的IP地址
我知道路由器A存在于这个路径上 路由器A的IP地址
fdq© 2010信息学院
12
进入我们新的空间
Traceroute 路由跟踪原理
TTL=2 数据 TTL=1 数据
A
???TTL1>0 小于等于0 发IP包的源地址
配置和实施企业级的网络漏洞扫描器
fdq© 2010信息学院
5
进入我们新的空间
安全扫描的概念理解
安全扫描就是对计算机系统或者其它网络设备进行安全 相关的检测,以找出安全隐患和可被黑客利用的漏洞。 安全扫描软件是把双刃剑,黑客利用它入侵系统,而系 统管理员掌握它以后又可以有效的防范黑客入侵。 安全扫描是保证系统和网络安全必不可少的手段,必须 仔细研究利用。
fdq© 2010信息学院
14
进入我们新的空间
普通Traceroute到防火墙后的主机
假定防火墙的规则阻止除PING和PING响应(ICMP类型8和0)
uniwis>traceroute test.uniwis.net traceroute to test.uniwis.net (210.106.0.105), 30 hops max, 40 byte packets 1 2 3 4 5 6 7 8 10.0.0.1 (10.0.0.1) 202.106.0.2 (202.106.0.2) 61.109.101.34 (61.109.101.34) 130.10.52.4 (130.10.52.4) 134.202.31.115 (134.202.31.115) 212.36.70.16 (134.202.31.115) 202.99.46.7 (202.99.46.7) 202.99.44.76 (202.99.44.76) 0.540 ms 2.455 ms 4.812 ms 5.010 ms 5.520 ms 9.584 ms 94.127 ms 96.012 ms 0.394 ms 2.479 ms 4.780 ms 4.903 ms 5.809 ms 21.754 ms 81.764 ms 98.224 ms 0.397 ms 2.512 ms 4.747 ms 4.980 ms 6.061 ms 20.530 ms 96.476 ms 99.312 ms
B
???TTL1>0
2-1=1>0
ICMP time exceeded
IP包的所有内容
路由器的IP地址 我知道路由器A存在于这个路径上 路由器A的IP地址 我知道路由器B存在于这个路径上 路由器B的IP地址
fdq© 2010信息学院
13
进入我们新的空间
Traceroute 路由跟踪原理
TTL=3 数据 TTL=2 数据 TTL=1 数据