网络攻防实战演练

fdq© 2010信息学院
6
进入我们新的空间
安全扫描的检测技术
基于应用的检测技术，它采用被动的，非破坏性的办法 检查应用软件包的设置，发现安全漏洞。 基于主机的检测技术，它采用被动的，非破坏性的办法 对系统进行检测。 基于目标的漏洞检测技术，它采用被动的，非破坏性的 办法检查系统属性和文件属性，如数据库，注册号等。 基于网络的检测技术，它采用积极的，非破坏性的办法 来检验系统是否有可能被攻击崩溃。
配置和实施企业级的网络漏洞扫描器
fdq© 2010信息学院
5
进入我们新的空间
安全扫描的概念理解
安全扫描就是对计算机系统或者其它网络设备进行安全 相关的检测，以找出安全隐患和可被黑客利用的漏洞。 安全扫描软件是把双刃剑，黑客利用它入侵系统，而系 统管理员掌握它以后又可以有效的防范黑客入侵。 安全扫描是保证系统和网络安全必不可少的手段，必须 仔细研究利用。
0.397 ms
2.512 ms 4.747 ms 4.980 ms
5
6 7 8
134.202.31.115 (134.202.31.115)
212.36.70.16 (134.202.31.115) 202.99.46.7 (202.99.46.7) 202.99.44.76 (202.99.44.76)
fdq© 2010信息学院
24
进入我们新的空间
TCP/IP协议簇
应用层
HTTP、FTP、SMTP、 SNMP、POP、TELNET、 RIP、NNTP等
应用层
表示层 会话层
TCP和UDP
IP、ICMP、IGMP、 ARP、RARP等
传输层 网络层
传输层 网络层 数据连路层
物理层
物理层
fdq© 2010信息学院
fdq© 2010信息学院
10
进入我们新的空间
Traceroute 路由跟踪原理
TTL=1 数据
A
小于等于0 ICMP time exceeded 发IP包的源地址 ???TTL1>0
B
IP包的所有内容
路由器的IP地址
fdq© 2010信息学院
11
进入我们新的空间
Traceroute 路由跟踪原理
Sequence number (32) Acknowledgement number (32)
Header length (4)
Reserved (6) Code bits (6)
Window (16) Urgent (16)
20 bytes
Checksum (16)
Options (0 or 32 if any) Data (varies)
fdq© 2010信息学院
14
进入我们新的空间
普通Traceroute到防火墙后的主机
假定防火墙的规则阻止除PING和PING响应（ICMP类型8和0）
uniwis>traceroute test.uniwis.net traceroute to test.uniwis.net (210.106.0.105), 30 hops max, 40 byte packets 1 2 3 4 5 6 7 8 10.0.0.1 (10.0.0.1) 202.106.0.2 (202.106.0.2) 61.109.101.34 (61.109.101.34) 130.10.52.4 (130.10.52.4) 134.202.31.115 (134.202.31.115) 212.36.70.16 (134.202.31.115) 202.99.46.7 (202.99.46.7) 202.99.44.76 (202.99.44.76) 0.540 ms 2.455 ms 4.812 ms 5.010 ms 5.520 ms 9.584 ms 94.127 ms 96.012 ms 0.394 ms 2.479 ms 4.780 ms 4.903 ms 5.809 ms 21.754 ms 81.764 ms 98.224 ms 0.397 ms 2.512 ms 4.747 ms 4.980 ms 6.061 ms 20.530 ms 96.476 ms 99.312 ms
B
???TTL1>0
2-1=1>0
ICMP time exceeded
IP包的所有内容
路由器的IP地址 我知道路由器A存在于这个路径上 路由器A的IP地址 我知道路由器B存在于这个路径上 路由器B的IP地址
fdq© 2010信息学院
13
进入我们新的空间
Traceroute 路由跟踪原理
TTL=3 数据 TTL=2 数据 TTL=1 数据
fdq© 2010信息学院
7
进入我们新的空间
安全扫描系统具有的功能说明
协调了其它的安全设备 使枯燥的系统安全信息易于理解，告诉了你系统发生的事情 跟踪用户进入，在系统中的行为和离开的信息 可以报告和识别文件的改动 纠正系统的错误设置
fdq© 2010信息学院
8
进入我们新的空间
起始端口号=(目标端口-两机间的跳数*探测数据包数)-1
例：防火墙允许FTP数据包通过，即开放了21号端口,两机间跳数为2
起始端口号＝（ftp端口－两机间的跳数*默认的每轮跳数)－1 ＝（21－2*3）-1 ＝ 15－1 ＝ 14
fdq© 2010信息学院
17
进入我们新的空间
扫描类型
按照获得结果分类
fdq© 2010信息学院
26
进入我们新的空间
ICMP协议包头
0
7 8
1516
31
Type(类型)
Code（代码）
Checksum（校验和）
ICMP Content
fdq© 2010信息学院
27
进入我们新的空间
TCP协议包头
Bit 0 Source port (16) Bit 15Bit 16 Destination port (16) Bit 31
存活性扫描 端口扫描 系统堆栈扫描
按照攻击者角色分类
主动扫描 被动扫描
fdq© 2010信息学院
18
进入我们新的空间
一、存活性扫描
发送扫描数据包，等待对方的回应数据包 其最终结果并不一定准确，依赖于网络边界设备的过滤策略 最常用的探测包是ICMP数据包 例如发送方发送ICMP Echo Request，期待对方返回ICMP Echo Reply
fdq© 2010信息学院
20
进入我们新的空间
二、端口扫描
Netscan tools扫描结果 端口扫描不仅可以返回IP地址，还可以发现目标系统上活动的UDP和TCP端口
fdq© 2010信息学院
21
进入我们新的空间
端口扫描技术一览
对SYN分段的回应 对FIN分段的回应 对ACK分段的回应 对回应分段 进行分析
fdq© 2010信息学院
15
进入我们新的空间
使用ICMP数据包后Traceroute结果
xuyi>traceroute -I test.webmaster.com.cn traceroute to test.webmaster.com.cn (210.106.0.105), 30 hops max, 40 byte packets
TTL=1 数据
A
小于等于0 ICMP time exceeded 发IP包的源地址
B
IP包的所有内容
路由器的IP地址
我知道路由器A存在于这个路径上 路由器A的IP地址
fdq© 2010信息学院
12
进入我们新的空间
Traceroute 路由跟踪原理
TTL=2 数据 TTL=1 数据
A
???TTL1>0 小于等于0 发IP包的源地址
侦查
渗透
控制
定位出网 络资源的 具体情况
控制网络资源、创建 账号、修改日志、行 使管理员的权限 3
fdq© 2010信息学院
进入我们新的空间
第一节：侦查阶段
fdq© 2010信息学院
4
进入我们新的空间
第一节：侦查阶段
本节要点： 描述侦查过程 识别特殊的侦查方法 安装和配置基于网络和基于主机的侦查软件 实施网络级和主机级的安全扫描
fdq© 2010信息学院
28
进入我们新的空间
UDP协议包头
0
15 16
31
Source Port Length Data
Destination Port Checksum
网络连着你我他
计算机网络
傅德谦 2010.9
LinYi Normal University
fdq© 2010信息学院
网络连着你我他
网络攻防技术 or 网络侦查与审计技术
LinYi Normal University
fdq© 2010信息学院
进入我们新的空间
网络侦查审计的三个阶段
检查各种系统的漏洞
1
2 3 4
10.0.0.1 (10.0.0.1)
202.106.0.2 (202.106.0.2) 61.109.101.34 (61.109.101.34) 130.10.52.4 (130.10.52.4)
0.540 ms
2.455 ms 4.812 ms 5.010 ms
0.394 ms
2.479 ms 4.780 ms 4.903 ms
对Xmas分段的回应
对Null分段的回应 对RST分段的回应 对UDP数据报的回应
fdq© 2010信息学院
22
进入我们新的空间
端口扫描原理
一个端口就是一个潜在的通信通道，即入侵通道 对目标计算机进行端口扫描，得到有用的信息 扫描的方法：
–手工进行扫描
–端口扫描软件
fdq© 2010信息学院
fdq© 2010信息学院
19
进入我们新的空间
Ping扫描作用及工具
192.168.1.14 192.168.1.10 192.168.1.12 子网 Ping扫描
192.168.1.16 192.168.1.18
Ping扫描程序能自动扫描你所指定的IP地址范围
结果 192.168.1.10 192.168.1.12 192.168.1.14 192.168.1.16 192.168.1.18
23
进入我们新的空间
Biblioteka Baidu
OSI 参考模型
Application Presentation Session Transport Network Data Link Physical
比特流 数据 代码流 会话流 分段 （Segment） 包（Packet） 帧（Frame）
Application Presentation Session Transport Network Data Link Physical
A
???TTL1>0
B
???TTL1>0 2-1=1>0 ICMP port unreachable
3-1=2>0
我知道路由器A存在于这个路径上 路由器A的IP地址 我知道路由器B存在于这个路径上 路由器B的IP地址 我到达了目的地
port number 是一个一般应用程序都不会 用的号码（30000 以上），所以当此数 据包 到达目的地后该主机会送回一个 「ICMP port unreachable」的消息，而 当源主机收到这个消息时，便知道目的 地已经到达了。
5.520 ms
9.584 ms 94.127 ms 96.012 ms
5.809 ms
21.754 ms 81.764 ms 98.224 ms
6.061 ms
20.530 ms 96.476 ms 99.312 ms
fdq© 2010信息学院
16
进入我们新的空间
使用ICMP的Traceroute原理 由于防火墙一般不进行内容检查，我们可以将探测数据包到达防火墙时 端口为其接受的端口，就可以绕过防火墙到达目标主机。 起始端口号计算公式
25
进入我们新的空间
IP协议包头
0 15 16 31
VER
HDR.LTH
SERVICE
DATADRAM LENGTH FLAGS FRAGMENT OFFSET
DATAGRAM IDENTIFICATION TTL PROTOCOL
HEADER CHECKSUM
SOURCE ADDRESS DESTINATION ADDRESS OPTIONS
安全扫描
安全扫描常用命令 whois nslookup host Traceroute Ping扫描工具
fdq© 2010信息学院
9
进入我们新的空间
Traceroute命令
用于路由跟踪，判断从你的主机到目标主机经过哪些路由器、跳计数、 响应时间等等 可以推测出网络物理布局 判断出响应较慢的节点和数据包在路由过程中的跳数 Traceroute 或者使用极少被其它程序使用的高端UDP端口，或者使用 PING数据包