网络侦查与取证技术(精)

3.漏洞扫描
漏洞扫描指使用漏洞扫描程序对目标系统进行信息查询。 通过漏洞扫描，可以发现系统中存在的不安全的地方。
漏洞扫描器是一种自动检测远程或本地主机安全性弱点的 程序。
漏洞扫描器的外部扫描：在实际的Internet环境下通过网 络对系统管理员所维护的服务器进行外部特征扫描；
漏洞扫描器的内部扫描：以系统管理员的身份对所维护的 服务器进行内部特征扫描。
地址不加任何检查，全部接收的工作模式。
以太网逻辑上是总线拓扑结构，采用广播的通信方式。当 网卡工作在混杂模式下时，无论帧中的目标物理地址是什 么，主机都接收。如果在这台主机上安装了监听软件，就 可以达到监听的目的。
2.Sniffer（嗅探器）
Sniffer是一种在网络上非常流行的软件，它的正当用处主 要是分析网络的流量，以便找出所关心的网络中潜在的 问题。但是，由于Sniffer可以捕获网络报文，因此它对网 络也存在着极大的危害。
硬件Sniffer通常也称为协议分析仪，一般都是商业性的， 价格也比较昂贵。
Sniffer只能抓取一个五路网段内的包，也就是说，监听者 与监听的目标中间不能有路由（交换）或其他屏蔽广播包 的设备。所以对一般拨号上网的用户来说，是不可能利用 Sniffer来窃听到其他人的通信内容的。
（3）网络监听的目的
（4）利用ARP数据包进行监测 向局域网内的主机发送非广播方式的ARP包，如果局域网内的某台
主机响应了这个ARP请求，我们就可以判断它很有可能就是处于网络监 听模式了。
13.1.3 口令破解
1.字典文件 所谓字典文件，就是根据用户的各种信息建立一个用
户可能使用的口令的列表文件。字典中的口令是根据 人们设置自己账号口令的习惯总结出的常用口令。对 攻击者来说，攻击的口令在这字典文件中的可能性很 大，而且因为字典条目相对较少，在破解速度上也远 快于穷举法口令攻击。这种字典有很多种，适合在不 同的情况下使用。
扫描是通过向目标主机发送数据报文，包括根据响应获得目标主 机的情况。根据方式的不同，扫描主要分为以下3种：地址扫描、 端口扫描和漏洞扫描。
1.地址扫描 简单的做法就是通过ping这样的程序判断某个IP地址是否有活动
的主机，或者某个主机是否在线。Ping程序向目标系统发送ICMP 回显请求报文，并等待返回的ICMP回显应答。Ping程序一次只能 对一台主机进行测试。Fping能以并发的形式向大量的地址发出 ping请求。 对地址扫描的预防：在防火墙规则中加入丢弃ICMP回显请求信息， 或者在主机中通过一定的设置禁止对这样的请求信息应答。
攻破，才能进行Sniffer。 （2）采用加密技术 （3）对安全性要求比较高的公司可以考虑Kerberos，
提供可信第三方服务的面向开放系统的认证机制。 （4）使用交换机以及一次性口令技术。
4.检测网络监听的手段
（1）反映时间 向怀疑有网络监听行为的网源自文库发送大量垃圾数据报，根据各个主
13.1.2 网络监听
网络监听的目的是截获通信的内容，监听的手段是对 协议进行分析。
网络监听可以在网上的任何一个位置实施，但监听效 果最好的地方是在网关、路由器、防火墙一类的设备 上（通常由网络管理员来操作）。使用最方便的监听 是在一个以太网中的任何一台联网的主机上实施，这 是大多数黑客的做法。
机回应的情况进行判断，正常的系统回应时间应该没有太明显的变化。
（2）DNS测试 许多的网络监听软件都会尝试进行地址反向解析，在怀疑有网络监
听行为发生时，可以在DNS系统上观测有没有明显增多的解析请求。 （3）利用ping进行监测
用正确的IP地址和处错误的物理地址ping，运行模式程序的计算机 会有响应。因为正常的计算机不接收错误的物理地址，如果IPstack不 再次反向检查的话，就会响应。
2.端口扫描
为区别通信的程序，在所有的IP数据报文中不仅有源 地址和目的地址，也有源端口号与目的端口号。常用 的服务是使用标准的端口号，只要扫描到相应的端口 就能直到目标主机上执行着什么服务，然后入侵者才 能针对这些服务进行相应的攻击。
端口扫描有下面几种主要方法： （1）TCP connect扫描 （2）TCP SYN扫描 （3）TCP FIN扫描
第13章 网络侦查与取证技术
13.1 网络侦查技术 13.2 取证技术
13.1 网络侦查技术
本节介绍常见的网络侦查技术，包括： 网络扫描——重点介绍三种扫描类型以及常见的扫描器 网络监听——重点介绍对以太网的监听和嗅探器 口令破解——重点介绍口令破解器和字典文件
13.1.1 网络扫描
（1） Sniffer工作原理 一台安装了Sniffer的主机能捕获到达本机端口的报文，如
果要想完成监听，捕获网段上所有的报文，前提条件是： ①网段必须共享以太网； ②把本机上的网卡设置为混杂模式。
（2） Sniffer的分类
Sniffer分为软件和硬件两种。
软件的Sniffer，如NetXray，Packetbody，Net monitor等， 价廉物美，易于学习使用，也易于交流，但无法抓取网络 上所有的传输。
1.以太网的工作原理
网卡有几种接收数据帧的状态：
（1）Unicast是指网卡在工作时接收的目的地址是本机硬 件地址的数据帧；
（2）Broadcast是指接收所有类型为广播报文的数据帧； （3）Multicast是指接收特定的组播报文； （4）Promiscuous即混杂模式，是指对报文中的目的硬件
Sniffer属于第二层次的攻击，就是说只有在攻击者已 经进入目标系统的情况下，才能使用Sniffer这种攻击 手段，以便得到更多的信息。
如果Sniffer运行在路由器上或者有路由功能的主机上， 就能对大量的数据进行监控，因为所有进出网络的数 据包都要经过路由器。
3.网络监听的防范方法
Sniffer是发生在以太网内的。防范网络监听的方法： （1）确保以太网的整体安全性。只有有漏洞的主机被