第五章网络攻击与防范.ppt

第五章 网络攻击与防范技术 ;*;近10年安全漏洞发布趋势;5.1 网络攻击概述与分类;*;*;*;5.1 网络攻击概述与分类;5.1 网络攻击概述与分类;网络攻击的一般流程;5.2 目标探测;5.2.1 目标探测的内容;5.2.2 目标探测的方法 ;2. 分析目标网络信息 使用专用的工具，如VisualRoute等。 这些软件的主要功能：快速分析和辨别Internet连接的来源，标识某个IP地址的地理位置等。 3. 分析目标网络路由 了解信息从一台计算机到达互联网另一端的另一台计算机传播路径，常见的检测工具为Tracert/TraceRoute。;*;Google Public DNS;简单网络管理协议 SNMP;SNMP信息搜集举例;5.3 扫描概念和原理;5.3.1 主机扫描技术;*;*;*;5.3.2 端口扫描技术 ;2．TCP SYN扫描（半打开扫描） 优点：隐蔽性比全连接扫描好，结果准确，速度快 缺点：防火墙及入侵检测系统已对其警惕 ;3．TCP FIN 扫描;4．TCP Xmas扫描 5．TCP NULL扫描 ;5．UDP扫描 关闭的端口会回应端口不可达数据包，开放的端 口不回应。 UDP扫描不可靠。 1)目标主机可以禁止任何UDP包通过； 2)UDP本身不是可靠的传输协议，数据传输的完整性不能得到保证； 3)系统在协议栈的实现上有差异，对一个关闭的UDP端口，可能不会返回任何信息，而只是简单的丢弃。;6．FTP返回扫描 ; FTP 代理扫描是用一个代理的FTP服务器来扫描TCP端口。 假设S是扫描机，T是扫描目标，F是一个支持代理选项的FTP服务器，能够跟S和T建立连接，FTP端口扫描步骤如下： （1） S与F建立一个FTP会话，使用PORT命令声明一个选择的端口p-T作为代理传输所需要的被动端口； （2）然后S使用一个LIST命令尝试启动一个到p-T的数据传输； （3）如果端口p-T确实在监听，传输就会成功，返回码150和226被发送回给S。否则S会收到 “425 Can build data connection:Connection refused” 的应答; （4）S持续使用PORT和LIST命令，直到对T上所有的选择端口扫描完毕为止。 这种方法的优点是难以跟踪，能穿过防火墙。主要缺点是速度很慢，有的FTP服务器最终还是能得到一些线索，关闭代理功能。;防止端口扫描;5.3.3 漏洞扫描 ;*;*;*;操作系统类型鉴别;间接鉴别操作系统;TELNET到装有IIS的服务器的80端口用GET命令来查看结果： HTTP/1.1 400 Bad Request Server: Microsoft-IIS/5.0 Date: Wed, 31 Dec 1997 20:37:29 GMT Content-Type: text/html Content-Length: 87 htmlheadtitleError/title /headbodyThe parameter is incorrect. /body/html ;虽然在IIS的管理器里面并没有提供给我们修改和隐藏BANNER的工具，但可以通过修改相应的DLL文件来实现。 首先，存放IIS BANNER的DLL文件都是放在C:\WINNT\SYSTEM32\INETSRV\ 目录下面的，其中对应关系是： WEB是：C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL FTP是： C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL SMTP是：C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL 用UltraEdit将他们打开，然后查找想要找的BANNER的关键字，例如IIS的WEB就是要找：Microsoft-IIS/5.0 ，直接修改成我们想要修改成的样子，之后保存即可。;直接鉴别操作系统类型;*;*;*;5.4 网络监听;*;*;*;1) Monitor – Matrix（主机会话监控矩阵）;2) Monitor – Protocol Distribution(协议分布状态监控） ;Monitor – Global Statistics（全局统计数据查看）;Capture – define filter（过滤器的定制）;*;*;5.4.2 网络监听检测与防范; 2．网络监听的防范 （1）采用加密手段进行信息传输 （2）以交换式集