网络攻防实战演练.ppt
《网络攻防实战演练.ppt》由会员分享,可在线阅读,更多相关《网络攻防实战演练.ppt(214页珍藏版)》请在冰点文库上搜索。
计算机网络,傅德谦2010.9,网络攻防技术or网络侦查与审计技术,3,2023/8/3,网络侦查审计的三个阶段,4,2023/8/3,第一节:
侦查阶段,5,2023/8/3,第一节:
侦查阶段,本节要点:
描述侦查过程识别特殊的侦查方法安装和配置基于网络和基于主机的侦查软件实施网络级和主机级的安全扫描配置和实施企业级的网络漏洞扫描器,6,2023/8/3,安全扫描的概念理解,安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。
安全扫描软件是把双刃剑,黑客利用它入侵系统,而系统管理员掌握它以后又可以有效的防范黑客入侵。
安全扫描是保证系统和网络安全必不可少的手段,必须仔细研究利用。
7,2023/8/3,安全扫描的检测技术,基于应用的检测技术,它采用被动的,非破坏性的办法检查应用软件包的设置,发现安全漏洞。
基于主机的检测技术,它采用被动的,非破坏性的办法对系统进行检测。
基于目标的漏洞检测技术,它采用被动的,非破坏性的办法检查系统属性和文件属性,如数据库,注册号等。
基于网络的检测技术,它采用积极的,非破坏性的办法来检验系统是否有可能被攻击崩溃。
8,2023/8/3,安全扫描系统具有的功能说明,协调了其它的安全设备使枯燥的系统安全信息易于理解,告诉了你系统发生的事情跟踪用户进入,在系统中的行为和离开的信息可以报告和识别文件的改动纠正系统的错误设置,9,2023/8/3,安全扫描,whoisnslookuphostTraceroutePing扫描工具,安全扫描常用命令,10,2023/8/3,Traceroute命令,用于路由跟踪,判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间等等可以推测出网络物理布局判断出响应较慢的节点和数据包在路由过程中的跳数Traceroute或者使用极少被其它程序使用的高端UDP端口,或者使用PING数据包,11,2023/8/3,Traceroute路由跟踪原理,?
TTL-10,A,B,12,2023/8/3,Traceroute路由跟踪原理,A,B,13,2023/8/3,B,Traceroute路由跟踪原理,A,?
TTL-10,14,2023/8/3,B,Traceroute路由跟踪原理,A,我知道路由器B存在于这个路径上,路由器B的IP地址,15,2023/8/3,普通Traceroute到防火墙后的主机,假定防火墙的规则阻止除PING和PING响应(ICMP类型8和0),uniwistraceroutetracerouteto(210.106.0.105),30hopsmax,40bytepackets110.0.0.1(10.0.0.1)0.540ms0.394ms0.397ms2202.106.0.2(202.106.0.2)2.455ms2.479ms2.512ms361.109.101.34(61.109.101.34)4.812ms4.780ms4.747ms4130.10.52.4(130.10.52.4)5.010ms4.903ms4.980ms5134.202.31.115(134.202.31.115)5.520ms5.809ms6.061ms6212.36.70.16(134.202.31.115)9.584ms21.754ms20.530ms7202.99.46.7(202.99.46.7)94.127ms81.764ms96.476ms8202.99.44.76(202.99.44.76)96.012ms98.224ms99.312ms,16,2023/8/3,使用ICMP数据包后Traceroute结果,xuyitraceroute-Itracerouteto(210.106.0.105),30hopsmax,40bytepackets110.0.0.1(10.0.0.1)0.540ms0.394ms0.397ms2202.106.0.2(202.106.0.2)2.455ms2.479ms2.512ms361.109.101.34(61.109.101.34)4.812ms4.780ms4.747ms4130.10.52.4(130.10.52.4)5.010ms4.903ms4.980ms5134.202.31.115(134.202.31.115)5.520ms5.809ms6.061ms6212.36.70.16(134.202.31.115)9.584ms21.754ms20.530ms7202.99.46.7(202.99.46.7)94.127ms81.764ms96.476ms8202.99.44.76(202.99.44.76)96.012ms98.224ms99.312ms,17,2023/8/3,使用ICMP的Traceroute原理,由于防火墙一般不进行内容检查,我们可以将探测数据包到达防火墙时端口为其接受的端口,就可以绕过防火墙到达目标主机。
起始端口号计算公式起始端口号=(目标端口-两机间的跳数*探测数据包数)-1,例:
防火墙允许FTP数据包通过,即开放了21号端口,两机间跳数为2起始端口号(ftp端口两机间的跳数*默认的每轮跳数)1(212*3)-115114,18,2023/8/3,扫描类型,按照获得结果分类存活性扫描端口扫描系统堆栈扫描按照攻击者角色分类主动扫描被动扫描,19,2023/8/3,一、存活性扫描,发送扫描数据包,等待对方的回应数据包其最终结果并不一定准确,依赖于网络边界设备的过滤策略最常用的探测包是ICMP数据包例如发送方发送ICMPEchoRequest,期待对方返回ICMPEchoReply,20,2023/8/3,Ping扫描作用及工具,子网,192.168.1.16,192.168.1.18,192.168.1.10,192.168.1.12,192.168.1.14,Ping扫描,Ping扫描程序能自动扫描你所指定的IP地址范围,21,2023/8/3,二、端口扫描,端口扫描不仅可以返回IP地址,还可以发现目标系统上活动的UDP和TCP端口,Netscantools扫描结果,22,2023/8/3,端口扫描技术一览,对SYN分段的回应,对FIN分段的回应,对ACK分段的回应,对Xmas分段的回应,对Null分段的回应,对RST分段的回应,对UDP数据报的回应,23,2023/8/3,端口扫描原理,一个端口就是一个潜在的通信通道,即入侵通道对目标计算机进行端口扫描,得到有用的信息扫描的方法:
手工进行扫描端口扫描软件,24,2023/8/3,OSI参考模型,Application,25,TCP/IP协议簇,传输层,数据连路层,网络层,物理层,会话层,表示层,应用层,26,2023/8/3,IP协议包头,0,15,16,31,27,2023/8/3,ICMP协议包头,Type(类型),Code(代码),Checksum(校验和),ICMPContent,0,7,8,15,16,31,28,2023/8/3,TCP协议包头,Sourceport(16),Destinationport(16),Sequencenumber(32),Headerlength(4),Acknowledgementnumber(32),Reserved(6),Codebits(6),Window(16),Checksum(16),Urgent(16),Options(0or32ifany),Data(varies),Bit0,Bit15,Bit16,Bit31,20bytes,29,2023/8/3,UDP协议包头,SourcePort,Length,0,15,16,31,Data,DestinationPort,Checksum,30,2023/8/3,TCP三次握手机制,SYNreceived,主机A:
客户端,主机B:
服务端,发送TCPSYN分段(seq=100ctl=SYN),31,2023/8/3,TCP连接的终止,主机A:
客户端,主机B:
服务端,关闭A到B的连接,关闭B到A的连接,32,2023/8/3,TCP/IP相关问题,一个TCP头包含6个标志位。
它们的意义如下所述:
SYN:
标志位用来建立连接,让连接双方同步序列号。
如果SYN1而ACK=0,则表示该数据包为连接请求,如果SYN=1而ACK=1则表示接受连接;FIN:
表示发送端已经没有数据要求传输了,希望释放连接;RST:
用来复位一个连接。
RST标志置位的数据包称为复位包。
一般情况下,如果TCP收到的一个分段明显不是属于该主机上的任何一个连接,则向远端发送一个复位包;URG:
为紧急数据标志。
如果它为1,表示本数据包中包含紧急数据。
此时紧急数据指针有效;ACK:
为确认标志位。
如果为1,表示包中的确认号时有效的。
否则,包中的确认号无效;PSH:
如果置位,接收端应尽快把数据传送给应用层。
33,2023/8/3,大部分TCP/IP遵循的原则
(1),34,2023/8/3,大部分TCP/IP遵循的原则
(2),35,2023/8/3,大部分TCP/IP遵循的原则(3),36,2023/8/3,大部分TCP/IP遵循的原则(4),37,2023/8/3,大部分TCP/IP遵循的原则(5),38,2023/8/3,大部分TCP/IP遵循的原则(6),39,2023/8/3,端口扫描方式,全TCP连接TCPSYN扫描TCPFIN扫描其它TCP扫描方式UDP扫描UDPrecvfrom()和write()扫描秘密扫描技术间接扫描,40,2023/8/3,全TCP连接,长期以来TCP端口扫描的基础扫描主机尝试(使用三次握手)与目的机指定端口建立建立正规的连接连接由系统调用connect()开始对于每一个监听端口,connect()会获得成功,否则返回1,表示端口不可访问很容易被检测出来Courtney,Gabriel和TCPWrapper监测程序通常用来进行监测。
另外,TCPWrapper可以对连接请求进行控制,所以它可以用来阻止来自不明主机的全连接扫描。
41,2023/8/3,TCPSYN扫描,42,2023/8/3,TCPFIN扫描,43,2023/8/3,其他TCP扫描方式,NULL扫描,发送一个没有任何标志位的TCP包,根据RFC793,如果目标主机的相应端口是关闭的话,应该发送回一个RST数据包,向目标主机发送一个FIN、URG和PUSH分组,根据RFC793,如果目标主机的相应端口是关闭的,那么应该返回一个RST标志,当一个包含ACK的数据包到达目标主机的监听端口时,数据包被丢弃,同时发送一个RST数据包,ACK扫描,FIN+URG+PUSH(Xmas扫描),44,2023/8/3,UDP扫描,使用的是UDP协议,扫描变得相对比较困难打开的端口对扫描探测并不发送一个确认,关闭的端口也并不需要发送一个错误数据包。
然而,许多主机在向未打开的UDP端口发送数据包时,会返回一个ICMP_PORT_UNREACHABLE错误,即类型为3、代码为13的ICMP消息UDP和ICMP错误都不保证能到达,因此这种扫描器必须还实现在一个包看上去是丢失的时候能重新传输这种扫描方法是很慢的,因为RFC对ICMP错误消息的产生速率做了规定这种扫描方法需要具有root权限,45,2023/8/3,UDPrecvfrom()和write()扫描,当非root用户不能直接读到端口不能到达错误时,某些系统如Linux能间接地在它们到达时通知用户。
在非阻塞的UDP套接字上调用recvfrom()时,如果ICMP出错还没有到达时回返回AGAIN重试。
如果ICMP到达时,返回CONNECTREFUSED连接被拒绝。
这就是用来查看端口是否打开的技术。
对一个关闭的端口的第二个write()调用将失败。
46,2023/8/3,秘密扫描技术,不含标准TCP三次握手协议的任何部分,比SYN扫描隐蔽得多FIN数据包能够通过只监测SYN包的包过滤器秘密扫描技术使用FIN数据包来探听端口Xmas和Null扫描秘密扫描的两个变种Xmas扫描打开FIN,URG和PUSH标记而Null扫描关闭所有标记。
这些组合的目的是为了通过所谓的FIN标记监测器的过滤秘密扫描通常适用于UNIX目标主机跟SYN扫描类似,秘密扫描也需要自己构造IP包,47,2023/8/3,间接扫描,利用第三方的IP(欺骗主机)来隐藏真正扫描者的IP假定参与扫描过程的主机为扫描机,隐藏机,目标机。
扫描机和目标机的角色非常明显。
隐藏机是一个非常特殊的角色,在扫描机扫描目的机的时候,它不能发送任何数据包(除了与扫描有关的包),48,2023/8/3,端口扫描软件,端口扫描器是黑客最常使用的工具,单独使用的端口扫描工具集成的扫描工具,49,2023/8/3,三、系统堆栈指纹扫描,利用TCP/IP来识别不同的操作系统和服务向系统发送各种特殊的包,根据系统对包回应的差别,推断出操作系统的种类堆栈指纹程序利用的部分特征ICMP错误信息抑制服务类型值(TOS)TCP/IP选项对SYNFLOOD的抵抗力TCP初始窗口,50,2023/8/3,堆栈指纹的应用,利用FIN探测利用TCPISN采样使用TCP的初始化窗口ICMP消息抑制机制ICMP错误引用机制ToS字段的设置DF位的设置ICMP错误信息回显完整性TCP选项ACK值,51,2023/8/3,利用FIN标记探测,开放端口,52,2023/8/3,利用BOGUS标记探测,开放端口,53,2023/8/3,使用TCP的初始化窗口,简单地检查返回包里包含的窗口长度。
根据各个操作系统的不同的初始化窗口大小来唯一确定操作系统类型:
注:
TCP使用滑动窗口为两台主机间传送缓冲数据。
每台TCP/IP主机支持两个滑动窗口,一个用于接收数据,另一个用于发送数据。
窗口尺寸表示计算机可以缓冲的数据量大小。
54,2023/8/3,NMAP工具,功能强大、不断升级并且免费对网络的侦查十分有效它具有非常灵活的TCP/IP堆栈指纹引擎它可以穿透网络边缘的安全设备,注:
NMAP穿透防火墙的一种方法是利用碎片扫描技术(fragmentscans),你可以发送隐秘的FIN包(-sF),Xmastree包(-sX)或NULL包(-sN)。
这些选项允许你将TCP查询分割成片断从而绕过防火墙规则。
这种策略对很多流行的防火墙产品都很有效。
55,2023/8/3,四、其它扫描,共享扫描软件使用Telnet使用SNMP认证扫描代理扫描社会工程,56,2023/8/3,共享扫描软件,提供了允许审计人员扫描Windows网络共享的功能只能侦查出共享名称,但不会入侵共享PingProRedButton,57,2023/8/3,共享扫描软件,子网,192.168.1.16,192.168.1.10,结果,192.168.1.10:
home,data,192.168.1.16:
files,apps,共享扫描,共享目录Filesapps,共享目录homedata,58,2023/8/3,使用Telnet,是远程登录系统进行管理的程序可以利用Telnet客户端程序连接到其它端口,从返回的报错中获得需要的系统信息,59,2023/8/3,使用SNMP,SNMPv1最普通但也最不安全它使用弱的校验机制用明文发送communitynameSNMP信息暴露,60,2023/8/3,企业级的扫描工具,扫描等级配置文件和策略报告功能报告风险等级AxcentBetReconFinger服务漏洞;GameOver(远程管理访问攻击)未授权注销禁止服务漏洞,包括SMTP、DNS、FTP、HTTP、SOCKS代理和低的sendmail补丁等级,61,2023/8/3,企业级的扫描工具,NetworkAssociatesCyberCopScanner是NetworkAssociates的产品,象NetRecon一样,CyberCopScanner是一个主机级别的审计程序。
也把各种漏洞分类为低、中、高三个等级,提示:
CyberCopMonitor不是网络扫描器,它是入侵监测系统程序,能够对黑客活动进行监视,提供报警功能,还能惩罚黑客。
62,2023/8/3,企业级的扫描工具,WebTrendsSecurityAnalyzer与UNIX搭配使用多年操作界面也简单易用InternetSecuritySystems的扫描产品ISSInternetScanner有三个模块:
intranet,firewall和Web服务器程序的策略是希望将网络活动分类,并针对每种活动提供一种扫描方案ISSSecurityScanner基于主机的扫描程序,63,2023/8/3,社会工程,电话访问欺骗信任欺骗教育,64,2023/8/3,电话访问,一位新的职员寻求帮助,试图找到在计算机上完成某个特定任务的方法一位愤怒的经理打电话给下级,因为他的口令突然失效一位系统管理员打电话给一名职员,需要修补它的账号,而这需要使用它的口令一位新雇佣的远程管理员打电话给公司,询问安全系统的配置资料一位客户打电话给供应商,询问公司的新计划,发展方向和公司主要负责人,65,2023/8/3,信任欺骗,当电话社交工程失败的时候,攻击者可能展开长达数月的信任欺骗典型情况通过熟人介绍,来一次四人晚餐可以隐藏自己的身份,通过网络聊天或者是电子邮件与之结识伪装成工程技术人员骗取别人回复信件,泄漏有价值的信息一般说来,有魅力的异性通常是最可怕的信任欺骗者,不过不论对于男性还是女性,女性总是更容易令人信任,66,2023/8/3,防范措施教育,网络安全中人是薄弱的一环,作为安全管理人员,避免员工成为侦查工具的最好方法是对他们进行教育。
提高本网络现有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。
67,2023/8/3,扫描目标网络级别的信息,68,2023/8/3,扫描目标主机级别的信息,69,2023/8/3,安全扫描技术的发展趋势,使用插件(plugin)或者叫功能模块技术使用专用脚本语言由安全扫描程序到安全评估专家系统,70,2023/8/3,对网络进行安全评估,DMZE-MailFileTransferHTTP,Intranet,生产部,工程部,市场部,人事部,路由,Internet,中继,通讯&应用服务层,71,2023/8/3,可适应性安全弱点监测和响应,DMZE-MailFileTransferHTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,操作系统层,72,2023/8/3,对于DMZ区域的检测,DMZE-MailFileTransferHTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,应用程序层,73,2023/8/3,第二节:
渗透阶段,74,2023/8/3,重点内容:
服务器渗透与攻击技术,本节要点:
讨论渗透策略和手法列举潜在的物理、操作系统和TCP/IP堆栈攻击识别和分析暴力攻击、社会工程和拒绝服务攻击实施反渗透和攻击的方法,75,2023/8/3,入侵和攻击的范畴,在Internet上,在局域网上,本地,离线,76,2023/8/3,在Internet上,协作攻击:
Internet允许全世界范围的连接,这很容易使来自全世界的人们在一个攻击中进行合作参与。
会话劫持:
在合法的用户得到鉴别可以访问后,攻击者接管一个现存动态会话的过程。
欺骗:
欺骗是一种模仿或采取不是自己身份的行为。
转播:
是攻击者通过第三方的机器转播或反射他的通信,这样攻击就好象来自第三方的机器而不是他。
特洛伊木马或病毒:
特洛伊木马的常见用途是安装后门。
77,2023/8/3,在局域网上,嗅探流量:
观察网络上所有流量的被动攻击。
广播:
攻击者发送一个信息包到广播地址,以达到产生大量流量的目的。
文件访问:
通过找到用户标识和口令,可以对文件进行访问。
远程控制:
通过安装木马实现对机器的远程控制。
应用抢劫:
接收应用并且达到非授权访问。
78,2023/8/3,在本地,旁侧偷看,未上锁的终端,被写下的口令,拔掉机器,本地登录,79,2023/8/3,离线,下载口令文件,下载加密的文本,复制大量的数据,80,2023/8/3,常见的攻击方法,1.欺骗攻击(Spoofing),3.拒绝服务(DenialofService)攻击,2.中间人攻击(Man-in-the-MiddleAttacks),4.缓冲区溢出(BufferOverflow)攻击,5.后门和漏洞攻击,6.暴力破解攻击,81,2023/8/3,容易遭受攻击的目标,路由器数据库邮件服务名称服务Web和FTP服务器和与协议相关的服务,82,2023/8/3,一、欺骗技术,83,2023/8/3,84,2023/8/3,85,2023/8/3,86,2023/8/3,87,2023/8/3,88,2023/8/3,89,2023/8/3,90,2023/8/3,91,2023/8/3,92,2023/8/3,93,2023/8/3,电子邮件欺骗,94,2023/8/3,修改邮件客户软件的帐户配置,95,2023/8/3,96,2023/8/3,97,2023/8/3,98,2023/8/3,99,2023/8/3,100,2023/8/3,101,2023/8/3,102,2023/8/3,103,2023/8/3,通过使用网络报文窃听以及路由和传输协议进行这种攻击。
主要目的是窃取信息、截获正在传输中的会话以便访问专用网络资源、进行流量分析以获取关于一个网络及其用途的信息、拒绝服务、破坏传输数据以及在网络会话中插入新的信息。
Man-in-the-MiddleAttacks原理,二、中间人攻击(Man-in-the-MiddleAttacks),104,2023/8/3,报文窃听(PacketSniffers),数据包篡改(Packetalteration),重放攻击(Replayattack),会话劫持(Sessionhijacking),中间人攻击的类型,105,2023/8/3,报文窃听是一种软件应用,该应用利用一种处于无区别模式的网络适配卡捕获通过某个冲突域的所有网络分组。
可以轻易通过解码工具(sniffers/netxray等)获得敏感信息(用户密码等)。
报文窃听(PacketSniffers),106,2023/8/3,报文窃听(PacketSniffers)实例分析,107,2023/8/3,用交换机来替代HUB,可以减少危害。
防窃听工具:
使用专门检测网络上窃听使用情况的软件与硬件。
加密:
采用IPSecurity(IPSec)、SecureShell(SSH)、SecureSocketsLayer(SSL)等技术。
验证(Authentication):
采用一次性密码技术(one-time-passwordsOTPs),PacketSniffers窃听防范,108,2023/8/3,数据包篡改(Packetalteration),对捕获的数据包内容进行篡改,以达到攻击者的目的,更改数据包的校验和及头部信息,为进一步攻击做准备,109,2023/8/3,攻击者截获了一次远程主机登录过程后,选择适当的时机对该登录过程进行重放,以进入远程主机。
重放攻击(Replayattack),110,2023/8/3,会话劫持(sessionhijacking),111,2023
升级会员 