《计算机网络安全技术 第8章 网络攻击与防护.ppt》由会员分享,可在线阅读,更多相关《计算机网络安全技术 第8章 网络攻击与防护.ppt(59页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第8 8章章 网络攻击与防护网络攻击与防护 黑客及攻击黑客及攻击8.1 IPIP欺骗欺骗8.2 拒绝服务攻击拒绝服务攻击8.3侦察与工具侦察与工具8.4 攻击与渗透攻击与渗透8.5 入侵监测系统入侵监测系统IDSIDS8.6审审 计计 结结 果果8.78.1 黑客及攻击1黑客概述黑客概述 在各种媒体上有许多关于在各种媒体上有许多关于Hacker这个名词的这个名词的定义,一般是指计算机技术的行家或热衷于解决定义,一般是指计算机技术的行家或热衷于解决问题、克服限制的人。这可以追溯到几十年前第问题、克服限制的人。这可以追溯到几十年前第一台微型计算机刚刚诞生的时代。那时有一个由一台微型计算机刚刚诞生
2、的时代。那时有一个由程序设计专家和网络名人所组成的具有分享特质程序设计专家和网络名人所组成的具有分享特质的文化族群。这一文化族群的成员创造了的文化族群。这一文化族群的成员创造了Hacker这个名词。他们建立了这个名词。他们建立了Internet,创造出现在使,创造出现在使用的用的UNIX操作系统,使操作系统,使Usenet运作起来,并且运作起来,并且让让World Wide Web传播开来,这就是最早的传播开来,这就是最早的Hacker。也存在另外一个团体,其成员也称自己为也存在另外一个团体,其成员也称自己为Hacker。这些人专门闯入计算机或入侵电话系统,。这些人专门闯入计算机或入侵电话系统
3、,真正的真正的Hacker称他们为入侵者(称他们为入侵者(Cracker),并),并且不愿意和他们在一起做任何事。且不愿意和他们在一起做任何事。Hacker们认为们认为这些人懒惰,不负责任,并且不够光明正大。他这些人懒惰,不负责任,并且不够光明正大。他们认为,能破解安全系统并不能使你成为一位们认为,能破解安全系统并不能使你成为一位Hacker。基本上,。基本上,Hacker和和Cracker之间最主要之间最主要的不同是,的不同是,Hacker创造新东西,创造新东西,Cracker破坏东破坏东西。西。现在,人们所说的黑客是指现在,人们所说的黑客是指Cracker。2黑客常用的攻击方法黑客常用的攻
4、击方法(1)获取口令)获取口令(2)放置特洛伊木马程序)放置特洛伊木马程序(3)WWW的欺骗技术的欺骗技术(4)电子邮件攻击)电子邮件攻击(5)通过一个节点来攻击其他节点)通过一个节点来攻击其他节点(6)网络监听)网络监听(7)寻找系统漏洞)寻找系统漏洞(8)利用账号进行攻击)利用账号进行攻击(9)偷取特权)偷取特权8.2 IP欺骗8.2.1 IP欺骗原理欺骗原理1信任关系2Rlogin3TCP序列号预测4序列编号、确认和其他标志信息5IP欺骗8.2.2 IP欺骗的防止欺骗的防止1抛弃基于地址的信任策略2进行包过滤3使用加密方法4使用随机化的初始序列号8.3 拒绝服务攻击8.3.1 概述概述图
5、8-1 拒绝服务攻击示意图8.3.2 拒绝服务攻击的原理拒绝服务攻击的原理1拒绝服务的模式2拒绝服务常用方法8.4 侦察与工具8.4.1 安全扫描安全扫描 安全扫描以各种各样的方式进行。可安全扫描以各种各样的方式进行。可以利用以利用Ping和端口扫描程序来侦查网络,和端口扫描程序来侦查网络,也可以使用客户端也可以使用客户端/服务器程序,如服务器程序,如Telnet和和SNMP等来侦查网络泄漏的有用信息。等来侦查网络泄漏的有用信息。应当利用一些工具来了解网络。有些工具应当利用一些工具来了解网络。有些工具很简单,便于安装和使用。有时,审计人很简单,便于安装和使用。有时,审计人员和黑客会利用程序语言
6、如员和黑客会利用程序语言如Perl,C,C+和和Java自己编制一些工具,因为他们找不到自己编制一些工具,因为他们找不到现成的针对某种漏洞的工具。现成的针对某种漏洞的工具。另外一些工具功能更全面,但是在使另外一些工具功能更全面,但是在使用前需要认真地配置。有专门从事网络管用前需要认真地配置。有专门从事网络管理和安全的公司出售这些工具。好的网络理和安全的公司出售这些工具。好的网络级和主机级扫描器会监听和隔离进出网络级和主机级扫描器会监听和隔离进出网络和主机的所有会话包。在学习这些和主机的所有会话包。在学习这些“Hacker-in-a-box”的解决方案前,应当先的解决方案前,应当先接触一些当前黑
7、客常常使用的技巧。接触一些当前黑客常常使用的技巧。1Whois命令命令 Whois(类似于(类似于finger)是一种)是一种Internet的目的目录服务,录服务,whois提供了在提供了在Internet上一台主机或某上一台主机或某个域的所有者的信息,如管理员的姓名、通信地个域的所有者的信息,如管理员的姓名、通信地址、电话号码和址、电话号码和E-mail地址等信息,这些信息是地址等信息,这些信息是在官方网站在官方网站whois server上注册的,如保存在上注册的,如保存在InterNIC的数据库内。的数据库内。Whois命令通常是安全审命令通常是安全审计人员了解网络情况的开始。一旦得到
8、了计人员了解网络情况的开始。一旦得到了Whois记录,从查询的结果还可得知记录,从查询的结果还可得知primary和和secondary域名服务器的信息。域名服务器的信息。2nslookup 使用使用DNS的排错工具的排错工具nslookup,可以利用从,可以利用从whois查询到的信息侦查更多的网络情况。例如,查询到的信息侦查更多的网络情况。例如,使用使用nslookup命令把主机伪装成命令把主机伪装成secondary DNS服务器,如果成功便可以要求从主服务器,如果成功便可以要求从主DNS服务器进服务器进行区域传送。要是传送成功的话,将获得大量有行区域传送。要是传送成功的话,将获得大量有
9、用信息,包括:用信息,包括:使用此使用此DNS服务器做域名解析到所有主机名和服务器做域名解析到所有主机名和IP地址的映射情况;地址的映射情况;公司使用的网络和子网情况;公司使用的网络和子网情况;主机在网络中的用途,许多公司使用带有描述主机在网络中的用途,许多公司使用带有描述性的主机名。性的主机名。使用使用nslookup实现区域传送的过程有如下几实现区域传送的过程有如下几步。步。第第1步,使用步,使用whois命令查询目标网络,例如命令查询目标网络,例如在在Linux提示符下输入提示符下输入whois 。第第2步,得到目标网络的步,得到目标网络的primary和和slave DNS服务器的信息
10、。例如,假设主服务器的信息。例如,假设主DNS服务器的服务器的名字是名字是。第第3步,使用交互查询方式,缺省情况下步,使用交互查询方式,缺省情况下nslookup会使用缺省的会使用缺省的DNS服务器作域名解析。服务器作域名解析。键入命令键入命令server 定位目标网定位目标网络的络的DNS服务器。服务器。第第4步,列出目标网络步,列出目标网络DNS服务器的内容,服务器的内容,如如ls 。此时。此时DNS服务器会把数服务器会把数据传送过来。当然,管理员可以禁止据传送过来。当然,管理员可以禁止DNS服务器服务器进行区域传送,目前很多公司将进行区域传送,目前很多公司将DNS服务器至于服务器至于防火
11、墙的保护之下并严格设定了只能向某些主机防火墙的保护之下并严格设定了只能向某些主机进行区域传送。进行区域传送。一旦从区域传送中获得了有用信息,便可以一旦从区域传送中获得了有用信息,便可以对每台主机实施端口扫描以确定它们提供了哪些对每台主机实施端口扫描以确定它们提供了哪些服务。如果不能实现区域传送,用户还可以借助服务。如果不能实现区域传送,用户还可以借助ping和端口扫描工具,当然还有和端口扫描工具,当然还有traceroute。3host Host命令是命令是UNIX提供的有关提供的有关Internet域名查域名查询的命令,可实现主机名到询的命令,可实现主机名到IP地址的映射,反之地址的映射,反
12、之亦然。用亦然。用host命令可实现以下功能:命令可实现以下功能:实现区域传送;实现区域传送;获得名称解析信息;获得名称解析信息;得知域中邮件服务器的信息。得知域中邮件服务器的信息。参数参数-v可显示更多的信息,参数可显示更多的信息,参数-l实现区域传送,实现区域传送,参数参数-t允许查询特定的允许查询特定的DNS记录。记录。例如,要查询例如,要查询域的邮件服务器的记录,域的邮件服务器的记录,需要键入命令:需要键入命令:host t mx (你可以参考(你可以参考UNIX命令帮助命令帮助获得更多信息)获得更多信息)Traceroute(tracert)Traceroute 用于路由追踪,如判断
13、从主机到目标主机经过用于路由追踪,如判断从主机到目标主机经过哪些路由器、跳计数、响应时间如何等。大多数操作系统哪些路由器、跳计数、响应时间如何等。大多数操作系统(包括(包括UNIX、Novell和和Windows NT)若配置了)若配置了TCP/IP协协议的话,都会有自己版本的议的话,都会有自己版本的traceroute程序。当然也可以使程序。当然也可以使用其他一些第三方的路由追踪软件,在后面我们会接触到用其他一些第三方的路由追踪软件,在后面我们会接触到这些工具。这些工具。使用使用traceroute,你可以推测出网络的物理布局,包括,你可以推测出网络的物理布局,包括该网络连接该网络连接Int
14、ernet所使用的路由器。所使用的路由器。traceroute还可以判还可以判断出响应较慢的节点和数据包在路由过程中的跳计数。断出响应较慢的节点和数据包在路由过程中的跳计数。4Ping扫描作用及工具扫描作用及工具 Ping一个公司的一个公司的Web服务器可帮助获得该公服务器可帮助获得该公司所使用的司所使用的IP地址范围。一旦得知了地址范围。一旦得知了HTTP服务服务器的器的IP地址,就可以使用地址,就可以使用Ping扫描工具扫描工具Ping该子该子网的所有网的所有IP地址,这可以帮助得到该网络的地址地址,这可以帮助得到该网络的地址图。图。Ping扫描程序将自动扫描所指定的扫描程序将自动扫描所指
15、定的IP地址范地址范围,围,WS_Ping ProPack工具包中集成有工具包中集成有Ping扫描扫描程序。单独的程序。单独的Ping工具有许多,工具有许多,Rhino9 Pinger是是比较流行的程序。比较流行的程序。8.4.2 8.4.2 端口扫描与其他端口扫描与其他1端口扫描端口扫描 端口扫描与端口扫描与ping扫描相似,不同的是端口扫扫描相似,不同的是端口扫描不仅可以返回描不仅可以返回IP地址,还可以发现目标系统上地址,还可以发现目标系统上活动的活动的UDP和和TCP端口。端口。例如,地址例如,地址192.168.1.10正在运行正在运行SMTP和和Telnet服务,地址服务,地址19
16、2.168.1.12正在运行正在运行FTP服务,服务,主机主机192.168.1.14未运行任何可辨别的服务,而主未运行任何可辨别的服务,而主机机192.168.1.16运行着运行着SMTP服务。最后一台主机服务。最后一台主机属于属于Microsoft网络,因为该网络使用网络,因为该网络使用UDP137和和TCP138、139端口。端口。(1)端口扫描软件)端口扫描软件 端口扫描器是黑客最常使用的工具。端口扫描器是黑客最常使用的工具。一些单独使用的端口扫描工具像一些单独使用的端口扫描工具像Port Scanner1.1,定义好,定义好IP地址范围和端口后地址范围和端口后便可开始实施扫描。还有许
17、多单独使用的便可开始实施扫描。还有许多单独使用的端口扫描器,如端口扫描器,如UltraScan等。如同等。如同Ping扫扫描器,许多工具也集成了端口扫描器。描器,许多工具也集成了端口扫描器。NetScan、Ping Pro和其他一些程序包集成和其他一些程序包集成了尽可能多的相关程序。许多企业级的网了尽可能多的相关程序。许多企业级的网络产品也将络产品也将ping和端口扫描集成起来。和端口扫描集成起来。(2)网络侦查和服务器侦查程序)网络侦查和服务器侦查程序 使用简单的程序如使用简单的程序如Ping Pro,可以侦查出,可以侦查出Microsoft的的网络上开启的端口。网络上开启的端口。Ping
18、Pro的工作是通过监测远程过程的工作是通过监测远程过程调用服务所使用的调用服务所使用的TCP、UDP135端口,和端口,和Microsoft 网网络会话所使用的络会话所使用的UDP137,138,和,和139端口来实现的。其端口来实现的。其他的网络扫描工具允许你监测他的网络扫描工具允许你监测UNIX、Novell、AppleTalk的网络。虽然的网络。虽然Ping Pro只能工作在其安装的特定子网,但只能工作在其安装的特定子网,但还有更多更复杂的工具,这些工具的设计者把它们设计还有更多更复杂的工具,这些工具的设计者把它们设计成为可以识别更多的网络和服务类型的程序。成为可以识别更多的网络和服务类
19、型的程序。例如,例如,NMAP是是UNIX下的扫描工具,它可以识别不同操下的扫描工具,它可以识别不同操作系统在处理作系统在处理TCP/IP协议上细微的差别。其他类似的程协议上细微的差别。其他类似的程序还包括序还包括checkos,queso和和SATAN。2堆栈指纹堆栈指纹 许多程序都利用堆栈指纹技术,这种许多程序都利用堆栈指纹技术,这种技术允许利用技术允许利用TCP/IP来识别不同的操作系来识别不同的操作系统和服务。因为大多数的系统管理员注意统和服务。因为大多数的系统管理员注意到信息的泄露而且屏蔽了系统标志,所以到信息的泄露而且屏蔽了系统标志,所以应用堆栈指纹的技术十分必要。但是,各应用堆栈
20、指纹的技术十分必要。但是,各个厂商和系统处理个厂商和系统处理TCP/IP的特征是管理员的特征是管理员所难以更改的。许多审计人员和黑客记录所难以更改的。许多审计人员和黑客记录下这些下这些TCP/IP应用的细微差别,并针对各应用的细微差别,并针对各种系统构建了堆栈指纹表。种系统构建了堆栈指纹表。要想了解操作系统间处理要想了解操作系统间处理TCP/IP的差异,需的差异,需要向这些系统的要向这些系统的IP和端口发送各种特殊的包。根和端口发送各种特殊的包。根据这些系统对包的回应的差别,可以推断出操作据这些系统对包的回应的差别,可以推断出操作系统的种类。例如,可以向主机发送系统的种类。例如,可以向主机发送
21、FIN包(或包(或任何不含有任何不含有ACK或或SYN标志的包),从下列操作标志的包),从下列操作系统将获得回应:系统将获得回应:Microsoft Windows NT,98,95,和和3.11 FreeBSD CISCO HP/UX 大多数其他系统不会回应。虽然只不大多数其他系统不会回应。虽然只不过缩小了一点范围,但这至少开始了对目过缩小了一点范围,但这至少开始了对目标系统的了解。如果向目标系统发送的报标系统的了解。如果向目标系统发送的报文头有未定义标志的文头有未定义标志的TCP包的话,包的话,2.0.35版版本以前的本以前的LINUX系统会在回应中加入这个系统会在回应中加入这个未定义的标
22、志。这种特定的行为可以判断未定义的标志。这种特定的行为可以判断出目标主机上是否运行该种出目标主机上是否运行该种LINUX操作系操作系统。统。下面是堆栈指纹程序利用的部分特征,许多下面是堆栈指纹程序利用的部分特征,许多操作系统对它们的处理方式不同:操作系统对它们的处理方式不同:ICMP错误信息抑制错误信息抑制 服务类型值服务类型值(TOS)TCP/IP选项选项 对对SYN FLOOD的抵抗力的抵抗力 TCP初始窗口初始窗口 只要只要TCP开始进行三次握手,总是先发出一开始进行三次握手,总是先发出一个个SYN包。像包。像NMAP这样的程序会发出一个这样的程序会发出一个SYN包欺骗操作系统作回应。堆
23、栈指纹程序可以从回包欺骗操作系统作回应。堆栈指纹程序可以从回应报文的格式,推论出目标操作系统的一些情况。应报文的格式,推论出目标操作系统的一些情况。NMAP由于功能强大、不断升级和免费的原由于功能强大、不断升级和免费的原因,使之十分流行。它对网络的侦查十分有效是因,使之十分流行。它对网络的侦查十分有效是基于两个原因。首先,它具有非常灵活的基于两个原因。首先,它具有非常灵活的TCP/IP堆栈指纹引擎。堆栈指纹引擎。NMAP的制作人的制作人FYODOR不断升不断升级该引擎,使它能够尽可能多的进行猜测。级该引擎,使它能够尽可能多的进行猜测。NMAP可以准确地扫描服务器操作系统(包括可以准确地扫描服务
24、器操作系统(包括Novell、UNIX、Linux、NT),路由器(包括),路由器(包括CISCO、3COM和和HP),还有一些拨号设备。),还有一些拨号设备。其次,它可以穿透网络边缘的安全设备,例如防其次,它可以穿透网络边缘的安全设备,例如防火墙。火墙。NMAP穿透防火墙的一种方法是利用碎片扫描技术穿透防火墙的一种方法是利用碎片扫描技术(fragment scans),可以发送隐秘的),可以发送隐秘的FIN包(包(-sF)、)、Xmas tree包(包(-sX)或)或NULL包(包(-sN)。这些选项允许)。这些选项允许将将TCP查询分割成片断,从而绕过防火墙规则。这种策查询分割成片断,从而
25、绕过防火墙规则。这种策略对很多流行的防火墙产品都很有效。略对很多流行的防火墙产品都很有效。当前当前NMAP只能运行在只能运行在Linux操作系统上,包括操作系统上,包括Free BSD 2.2.6-30、HP/UX和和Solaris等等Linux的所有版本。在的所有版本。在Linux的的X-Windows上还提供图形界面。最好的掌握上还提供图形界面。最好的掌握NMAP的方法是学习使用它。使用的方法是学习使用它。使用nmaph命令可以显命令可以显示帮助信息,当然,也可以用示帮助信息,当然,也可以用man nmap命令查看它的使命令查看它的使用手册。用手册。3共享扫描共享扫描 共享扫描指可以扫描网
26、络中绝大多数共享扫描指可以扫描网络中绝大多数的内容,包括正在使用的共享。这种扫描的内容,包括正在使用的共享。这种扫描过程提供了重要的侦查和利用各种资源和过程提供了重要的侦查和利用各种资源和文件的方法。文件的方法。(1 1)共享扫描软件)共享扫描软件 Ping Pro提供了允许审计人员扫描提供了允许审计人员扫描Windows网络共享的功能。它能侦查出共享名称,但不会网络共享的功能。它能侦查出共享名称,但不会入侵共享。例如,入侵共享。例如,Microsoft网络利用网络利用TCP139端端口建立共享。更具侵略性的侦查软件有知名的口建立共享。更具侵略性的侦查软件有知名的RedButton,许多,许多
27、Internet站点都免费提供下载。站点都免费提供下载。RedButton是一个很古老的程序,大多数的系统是一个很古老的程序,大多数的系统管理员和安全管理员都找到了防范它的方法。这管理员和安全管理员都找到了防范它的方法。这个程序不仅可以侦查出共享名称还可以发现相应个程序不仅可以侦查出共享名称还可以发现相应的密码。它还可以获得管理员的账号名称。的密码。它还可以获得管理员的账号名称。(2 2)缺省配置和补丁级扫描)缺省配置和补丁级扫描 黑客和审计人员对系统的缺省配置很黑客和审计人员对系统的缺省配置很了解,可以编制工具查找这些弱点。实际了解,可以编制工具查找这些弱点。实际上,许多企业级的侦查工具都是
28、针对这些上,许多企业级的侦查工具都是针对这些弱点进行工作的。安全专家还知道操作系弱点进行工作的。安全专家还知道操作系统工作的细节,根据服务补丁和统工作的细节,根据服务补丁和hot fix的的数量进行升级。数量进行升级。(3)使用)使用Telnet Telnet是远程登录系统进行管理的程序,缺省情况下是远程登录系统进行管理的程序,缺省情况下telnet使用使用23端口。当然,也可以利用端口。当然,也可以利用Telnet客户端程序客户端程序连接到其他端口。连接到其他端口。例如,可以远程连接至例如,可以远程连接至HTTP端口。在连接一段时间端口。在连接一段时间内若没有任何动作,服务器会因为无法识别这
29、次连接而内若没有任何动作,服务器会因为无法识别这次连接而自动切断。但是通常可以从自动切断。但是通常可以从HTTP服务器上得到一些信息。服务器上得到一些信息。例如,可以得知服务厂商的信息、版本(如例如,可以得知服务厂商的信息、版本(如Apache Web Server 1.36或或IIS 4.0)等。)等。虽然信息不是很多,但至少能从报错信息中推断出虽然信息不是很多,但至少能从报错信息中推断出服务器类型,在服务器类型,在Web服务器报错信息中可以看出服务器报错信息中可以看出HTTP服服务器版本,还可以用务器版本,还可以用Telnet连接上系统再使用连接上系统再使用SYST命令,命令,许多许多TC
30、P/IP堆栈会泄漏一些重要的信息堆栈会泄漏一些重要的信息4扫描等级扫描等级 大多数的企业级扫描器允许选择安全扫描的等级。大多数的企业级扫描器允许选择安全扫描的等级。一次轻级别的扫描通常会扫描众所周知的端口(从一次轻级别的扫描通常会扫描众所周知的端口(从0到到1023)和常见的安全漏洞,包括弱口令,低的补丁等级)和常见的安全漏洞,包括弱口令,低的补丁等级和额外的服务。如果扫描一个小型的子网大概需要花费和额外的服务。如果扫描一个小型的子网大概需要花费30分钟。中级和严格级别的扫描根据网络的速度和运行分钟。中级和严格级别的扫描根据网络的速度和运行扫描程序的主机扫描程序的主机CPU的时钟速度快慢等因素
31、,通常会花的时钟速度快慢等因素,通常会花费几天的时间。费几天的时间。定义严格级别的扫描策略会让扫描器对目标网络发定义严格级别的扫描策略会让扫描器对目标网络发起连续的攻击。如果设置了规则让扫描器扫描所有的起连续的攻击。如果设置了规则让扫描器扫描所有的65,535个端口,还要检测口令强度以及细致地分析从管理个端口,还要检测口令强度以及细致地分析从管理账户到账户到UNIX子系统的每项服务的话,工作量是相当大的。子系统的每项服务的话,工作量是相当大的。这种扫描不仅费时,而且会极大地加重网络的负担。个这种扫描不仅费时,而且会极大地加重网络的负担。个别主机将无法承受这种扫描。别主机将无法承受这种扫描。5配
32、置文件和策略配置文件和策略 在使用任何扫描器前,必须首先定义在使用任何扫描器前,必须首先定义配置文件,然后再实施策略。绝大多数的配置文件,然后再实施策略。绝大多数的扫描程序事先都定义了一些配置和策略,扫描程序事先都定义了一些配置和策略,但可以根据实际需要对它们进行编辑和增但可以根据实际需要对它们进行编辑和增加。需要注意的是要将策略和配置文件结加。需要注意的是要将策略和配置文件结合起来。合起来。(1)报告功能)报告功能 企业级的扫描程序具有细致的报告功能。可企业级的扫描程序具有细致的报告功能。可以用很多种格式输出信息,包括:以用很多种格式输出信息,包括:简单的简单的ASCII文本文本 HTML字
33、处理文本格式,如字处理文本格式,如RTF,或一些专利,或一些专利格式,例如格式,例如Microsoft Word(DOC)或)或Corel Word Perfect(WPD)电子表格形式,例如电子表格形式,例如Microsoft Excel 图形格式,包括幻灯片,例如图形格式,包括幻灯片,例如Microsoft PowerPoint(2)报告风险等级)报告风险等级 大多数的网络扫描器将风险分成低、大多数的网络扫描器将风险分成低、中、高三个等级。应该了解各种扫描器是中、高三个等级。应该了解各种扫描器是如何汇报它们扫描结果的。即使得出网络如何汇报它们扫描结果的。即使得出网络只有低的安全问题,也不应
34、该沾沾自喜。只有低的安全问题,也不应该沾沾自喜。一名优秀的黑客可以从很小的缺陷入手就一名优秀的黑客可以从很小的缺陷入手就会给系统带来致命的破坏。会给系统带来致命的破坏。(3)Axcet NetRecon NetRecon是最先为是最先为Windows NT网络设计的网络设计的网络扫描产品之一。网络扫描产品之一。NetRecon象其他扫描器一样象其他扫描器一样可以发现网络中的各种元素,包括密码检查。可以发现网络中的各种元素,包括密码检查。NetRecon可以比较准确地模拟各种攻击。可以比较准确地模拟各种攻击。NetRecon的界面由三个窗格组成,对象窗口允许的界面由三个窗格组成,对象窗口允许查看
35、每个扫描对象,通过单击可以展开目录结构;查看每个扫描对象,通过单击可以展开目录结构;通过扫描网络,图形窗口显示低、中、高的风险通过扫描网络,图形窗口显示低、中、高的风险等级;状态栏显示扫描的进程。可以对网络进行等级;状态栏显示扫描的进程。可以对网络进行深度扫描,当然这种扫描会耗费大量的时间。例深度扫描,当然这种扫描会耗费大量的时间。例如,广泛的扫描会花费两天的时间。如,广泛的扫描会花费两天的时间。8.4.3 8.4.3 扫描产品扫描产品1NetRecon 在在NetRecon中以一些漏洞列表作为侦查数据中以一些漏洞列表作为侦查数据库,可以将这个列表理解为攻击指纹,但是这个库,可以将这个列表理解
36、为攻击指纹,但是这个名词通常被用于入侵检测系统程序中。如果你持名词通常被用于入侵检测系统程序中。如果你持有有NetRecon的授权,便可以从的授权,便可以从Axent的的Web站点站点升级这个漏洞列表。通过升级这个漏洞列表。通过Reprots|view Vulnerability Descriptions菜单,可以查看相关漏菜单,可以查看相关漏洞的描述。洞的描述。下面列出下面列出NetRecon可以扫描出的系统漏洞:可以扫描出的系统漏洞:Finger服务漏洞服务漏洞 GameOver(远程管理访问攻击)(远程管理访问攻击)未授权注销禁止未授权注销禁止 服务漏洞,包括服务漏洞,包括SMTP、DN
37、S、FTP、HTTP、SOCKS代理和低的代理和低的sendmail补丁等级补丁等级大多数网络扫描器,如大多数网络扫描器,如NetRecon,包含了事先定,包含了事先定义好的对象列表。通过选择义好的对象列表。通过选择“Reprots”“View Objective Descriptions”,可以查看在可以查看在NetRecon中已经配置好的当前对象列中已经配置好的当前对象列表。表。2Network Associates CyberCop Scanner CyberCop Scanner是是Network Associates的的产品,该公司的产品还包括产品,该公司的产品还包括Sniffer
38、Basic(前身(前身是是NetXRay)和其他网络管理软件。象)和其他网络管理软件。象NetRecon一样,一样,CyberCop Scanner是一个主机级别的审计是一个主机级别的审计程序。与程序。与Axent的产品一样,的产品一样,CyberCop把各种漏把各种漏洞分类为低、中、高三个等级。洞分类为低、中、高三个等级。技术提示:技术提示:CyberCop Monitor不是网络扫描器,不是网络扫描器,它是入侵监测系统程序,能够对黑客活动进行监它是入侵监测系统程序,能够对黑客活动进行监视,提供报警功能,还能惩罚黑客。你将在本教视,提供报警功能,还能惩罚黑客。你将在本教程中学习一些入侵检测系
39、统程序。程中学习一些入侵检测系统程序。3WebTrends Security Analyzer 该软件以前叫该软件以前叫Asmodeus Security Scanner,WebTrends的产品在的产品在UNIX和和NT系统下都经过很系统下都经过很好的测试。好的测试。Security Analyzer的优点之一是与的优点之一是与UNIX搭配使用多年,操作界面简单易用。搭配使用多年,操作界面简单易用。在主界面上选择在主界面上选择“Policy”,然后,然后“edit”,这时,这时“Security Analyzer”的选项窗口将出现。的选项窗口将出现。你可以选择扫描的强度,或编辑已有的策略、建
40、你可以选择扫描的强度,或编辑已有的策略、建立新的策略。如果你单击立新的策略。如果你单击Host Selection标签,便标签,便可以选择子网内主机的范围。可以选择子网内主机的范围。4Internet Security Systems的扫描产的扫描产品品 Internet Security Systems是最早生产扫描程是最早生产扫描程序的公司,提供跨操作平台的安全工具包。序的公司,提供跨操作平台的安全工具包。(1)ISS Internet Scanner 这款扫描器工作于这款扫描器工作于UNIX和和NT平台,像平台,像Axent NetRecon、WebTrends Security Ana
41、lyzer和其他和其他扫描器一样,可以扫描远程主机。扫描器一样,可以扫描远程主机。Ineternet Scanner有三个模块:有三个模块:intranet、firewall和和Web服务器,程序的策略是希望将网络服务器,程序的策略是希望将网络活动分类,并针对每种活动提供一种扫描方案,活动分类,并针对每种活动提供一种扫描方案,也可以在三个模块中定义自己的扫描参数。也可以在三个模块中定义自己的扫描参数。下面是下面是Internet Scanner中的部分扫描项目:中的部分扫描项目:PHP3缓冲区溢出缓冲区溢出 Teardrop和和Teardrop2攻击攻击 跨网络的协议分析仪(包括跨网络的协议分
42、析仪(包括tcpdump和和Sniffer Basic)搜索一些搜索一些FTP服务类型,包括服务类型,包括War FTP SNMP和和RMON检测检测 Whois检测检测 SAMBA溢出溢出 增强的增强的SMS支持支持 增强的增强的NT功能,使它与功能,使它与UNIX一样有效一样有效(2)ISS Security Scanner Security Scanner是基于主机的扫描程是基于主机的扫描程序,它可以深入挖掘系统的情况。由于是序,它可以深入挖掘系统的情况。由于是基于主机的,所以能更深入地扫描系统内基于主机的,所以能更深入地扫描系统内部,在检查像数据库、部,在检查像数据库、FTP和和Web
43、服务等服务等特定的系统时显得十分有用。这种程序应特定的系统时显得十分有用。这种程序应该运行在考虑到有黑客活动的高风险的系该运行在考虑到有黑客活动的高风险的系统上。统上。5其他扫描程序厂商其他扫描程序厂商其他提供扫描和检测漏洞的产品有:其他提供扫描和检测漏洞的产品有:Security Dynamics Kane Security Analyst Netect HackerShield8.5 攻击与渗透8.5.1 常见攻击类型和特征1常见的攻击方法常见的攻击方法(1)字典攻击)字典攻击(2)Man-in-the-middle攻击攻击(3)劫持攻击)劫持攻击(4)病毒攻击)病毒攻击(5)非法服务)非
44、法服务(6)拒绝服务攻击)拒绝服务攻击2容易遭受攻击的目标容易遭受攻击的目标(1)路由器)路由器(2)数据库)数据库(3)服务器安全)服务器安全(4)Web页面涂改页面涂改(5)邮件服务)邮件服务(6)名称服务)名称服务 8.5.2 审计系统漏洞审计系统漏洞1审计审计Trap Door和和Root Kit 2审计和后门程序审计和后门程序 3审计拒绝服务攻击审计拒绝服务攻击4缓冲区溢出缓冲区溢出 5Telnet的拒绝服务攻击的拒绝服务攻击 6Windows NT的的TCP port 3389存在漏洞存在漏洞 7特洛伊木马特洛伊木马 8蠕虫蠕虫 8.5.3 结合所有攻击定制审计策略结合所有攻击定制
45、审计策略 1设备和服务设备和服务 2物理接触物理接触 3操作系统策略操作系统策略 4较弱的密码策略较弱的密码策略 5较弱的系统策略较弱的系统策略 6审计文件系统漏洞审计文件系统漏洞 7IP欺骗和劫持欺骗和劫持8.6 入侵监测系统IDS8.6.1 入侵监测的功能入侵监测的功能1什么是入侵监测什么是入侵监测 入侵监测系统处于防火墙之后对网络活动进入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续,网络活动,所以入侵监测系统是防火墙的延续,它们可以与防火墙和路由器配合工作。例如,它们可以与
46、防火墙和路由器配合工作。例如,IDS可以重新配置来禁止从防火墙外部进入的恶可以重新配置来禁止从防火墙外部进入的恶意流量。应当理解入侵监测系统是独立于防火墙意流量。应当理解入侵监测系统是独立于防火墙工作的。工作的。2入侵监测的功能入侵监测的功能(1)网络流量管理)网络流量管理(2)系统扫描)系统扫描(3)追踪)追踪 3入侵监测系统的必要性入侵监测系统的必要性 8.6.2 入侵监测系统的构架入侵监测系统的构架网络级网络级IDS 主机级主机级IDS 1管理者管理者Managers 2特殊的考虑特殊的考虑 3管理者和代理的比例管理者和代理的比例 4代理代理 5理想的代理布局理想的代理布局 6管理者和代
47、理的通信管理者和代理的通信 7审计管理者和代理的通信审计管理者和代理的通信8.6.3 入侵检测方法入侵检测方法1混合入侵检测混合入侵检测(1)规则)规则(2)网络异常的监测)网络异常的监测(3)网络误用监测)网络误用监测 2常用检测方法常用检测方法(1)特征检测)特征检测(2)统计检测)统计检测(3)专家系统)专家系统(4)文件完整性检查)文件完整性检查 8.6.4 入侵检测技术分析入侵检测技术分析1入侵检测技术分析入侵检测技术分析(1)执行动作)执行动作 Action(2)误报)误报2入侵检测产品选择要点入侵检测产品选择要点 当选择入侵检测系统时,要考虑的有如下几当选择入侵检测系统时,要考虑
48、的有如下几个要点。个要点。(1)系统的价格)系统的价格 价格是必须考虑的要点。不过,性能价格比、价格是必须考虑的要点。不过,性能价格比、以及要保护的系统价值应该是更重要的因素。以及要保护的系统价值应该是更重要的因素。(2)特征库升级与维护的费用)特征库升级与维护的费用 象反病毒软件一样,入侵检测的特征库需要象反病毒软件一样,入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。不断更新才能检测出新出现的攻击方法。(3 3)对于网络入侵检测系统,最大可处理)对于网络入侵检测系统,最大可处理流量流量(包包/秒,秒,PPS)PPS)首先,要分析网络入侵检测系统所布首先,要分析网络入侵检测系统所布署
49、的网络环境,如果在署的网络环境,如果在512K或或2M专线上专线上布署网络入侵检测系统,则不需要高速的布署网络入侵检测系统,则不需要高速的入侵检测引擎;在负荷较高的环境中,性入侵检测引擎;在负荷较高的环境中,性能是一个非常重要的指标。能是一个非常重要的指标。(4 4)该产品易被躲避性)该产品易被躲避性 有些常用的躲开入侵检测的方法,如分片、有些常用的躲开入侵检测的方法,如分片、TTL欺骗、异常欺骗、异常TCP分段、慢扫描、协同攻击等,分段、慢扫描、协同攻击等,该产品是否都有识别这些入侵的手段。该产品是否都有识别这些入侵的手段。(5)产品的可伸缩性)产品的可伸缩性 产品的可伸缩性是指系统支持的传
50、感器数目、产品的可伸缩性是指系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理。和对审计日志溢出的处理。(6)运行与维护系统的开销)运行与维护系统的开销 产品报表结构、处理误报的方便程度、事件产品报表结构、处理误报的方便程度、事件与日志查询的方便程度以及使用该系统所需的技与日志查询的方便程度以及使用该系统所需的技术人员数量,这些都属于产品维护时的开销。术人员数量,这些都属于产品维护时的开销。(7)产品支持的入侵特征数)产品支持的入侵特征数 不同厂商对检测特征库大小的计算方法都不不同厂商对检测特征库大小的计算方法都不一